提高安全成熟度 - LANDesk

LANDesk 白皮书
提高安全成熟度
利用分层式方法实现端点安全

LANDesk 白皮书 | 提高安全成熟度
在现行法律允许的最大限度内,LANDesk 对于与 LANDesk 产品的销售和/或使用相关的任何事项概不负责,并且声明免于任何明示或暗示的担保,包括与特定用途的适用性、适销性或专利、版权或其他知识产权侵权相关的责任或担保(若未限定
版权所有之权利)。
LANDesk 保留在未事先通知的情况下,随时更改本文档或相关产品的规格和说明的权利。LANDesk 不对本文档的使用提出任何担保,并且对于文档中可能出现的任何错误概不负责,也没有更新其中所含信息的义务。有关最新的产品信息,请访问
www.landesk.com。
版权所有 © 2011, LANDesk Software, Inc. 及其附属公司。保留所有权利。LANDesk 及其徽标为 LANDesk Software, Inc. 及其附属公司在美国和/或其他国家/地区的注册商标或商标。其他品牌和名称是其他各自拥有者的财产。
LSI-0909 1010 HB/BB/DL
2
www.landesk.com

LANDesk 白皮书 | 提高安全成熟度
www.landesk.com
目录
摘要 ……………………………………………………………………………………………………………4
IT 安全领域日益增长的复杂性需要成熟的安全管理 …………………………………………………… 4
成熟、系统的安全管理方法 …………………………………………………………………………………5
第 1 层:首先构建强大的安全防线和数据基础 ……………………………………………………… 5
LANDesk 方法:………………………………………………………………………………………… 6
第 2 层:借助更强大的智能和系统的修正方法提高主动性 ………………………………………… 7
LANDesk 方法:………………………………………………………………………………………… 8
第 3 层:保护内部重要信息 — 数据 ……………………………………………………………………9
LANDesk 方法:……………………………………………………………………………………… 10
第 4 层:优化安全流程 …………………………………………………………………………………11
LANDesk 方法:……………………………………………………………………………………… 11
简化升级到成熟安全模式的过程 ………………………………………………………………………… 12
3

LANDesk 白皮书 | 提高安全成熟度
4
摘要
恶意软件中的犯罪性创新越来越具创意、成本投入越来
越高,并且威胁环境也在快速演变。各种恶意软件的数
量急剧膨胀,且基于 Web 的越来越多。IT 部门通过设
置越来越多的障碍来抵抗网络攻击和数据丢失,原因不
仅在于保护数据这一工作越来越复杂,还在于尽量避免
陷入丢失客户机密数据这一尴尬处境。
公司在提高安全性方面的努力可能会促使他们购买更多
的单一针对性产品,而这些产品可能只会让他们感觉
更加安全而非实际上更加安全。这些企业实际上只是
更具反应力,而这也是大多数企业目前的现状。问题在
于高级攻击的层出不穷不再允许企业只是单纯地做出反
应而己。具有更加成熟的安全系统和方法的公司在安全
性方面表现出更加主动的姿态。更加主动就是部署多层
集成保护技术来增加网络攻击的难度。下表显示事后反
应型企业与更加主动或具有更加成熟的 IT 安全性的企业
各自的一些倾向性做法:
被动型企业 主动型企业
■
■
■
■
■
安全水平低
多点解决方案
IT 资源利用率低下
用手动方法来隔离安全威胁
IT 安全部门管理整个安全流程
■
■
■
■
■
多层安全防护
集成安全解决方案
流程简化至最基本的几个步骤
自动隔离安全威胁
IT 运行部门管理已知安全流
程,IT 安全部门则持续监控
并调查安全威胁
LANDesk 分层式安全方法旨在简化每个安全层。
LANDesk 首先使用 LANDesk ® 管理套件 全面的硬件和软
件管理功能为企业提供逻辑的增量型方法,以此来更加
紧密集成的使用相同客户端软件代理、服务器基础架构
和管理控制台的安全功能。这些功能包括反恶意软件、
设备和应用程序控制、数据保护、应用程序白名单、防
火墙、主机入侵防护 (HIPS)、网络访问控制 (802.1x) 和
全面的修补程序管理。每个防御性新增功能都会集成到
公共管理平台中并作为一个紧密结合的应用程序来运
行。
本白皮书将探究为什么企业需要成熟的分层式方法来构
建安全管理以及 LANDesk 可如何帮助客户满足其对分
层式方法的需求。
IT 安全领域日益增长的复杂性需要成熟
的安全管理
端点安全需要更加灵活,而这一需求也与日俱增。如今
的 IT 威胁为竭力保护大量台式机和便捷式计算机的 IT
部门提出了极大的挑战。随着越来越多的移动工作者使
用多种设备来访问公司资源,IT 安全部门考虑用户所在
的位置和周围环境将变得更加重要(无论他们位于防火
墙内部还是外部)。一旦出现重大 IT 安全事故,企业将
蒙受巨大损失;漏洞和潜在攻击的表现形式也在不断地
发展变化。对于任意单一针对性解决方案而言,如今的
威胁环境太过变化多端,它们难以实现有效的保护。
以 IT 部门每天面对的越来越多的威胁为例:
■ 随着 操作系统 安全性方面的改进,恶意攻击策略
现在的关注重点是利用应用程序的漏洞,包括浏览
器、办公软件、媒体播放器、备份软件、智能手
机、iPad 甚至安全性软件。这些攻击的目标通常是僵
尸网络招募。
■ 基于 Web 的攻击数量已显著增加,不仅包括钓鱼
网络,还包括从已被危害的受信任站点启动的攻
击。通常它们会针对每个访问者发动经过特殊编码
的攻击以避开基于签名的安全性。
■ 信息窃取目前是跨国犯罪集团的主要领域。许多
公司网络入侵是定向攻击,旨在窃取个人信息和知
识产权,并且同时从企业内部和外部启动。通常,
在检测到此类攻击时,入侵者已经逃之夭夭了。
■ 数据丢失的媒介正在迅速增加:笔记本电脑仍最
为常见,但可移动大容量存储设备(尤其是普遍存
在且容易隐蔽的 USB 驱动器)和临时无线网络桥接
设备正在快速增长。
■ 恶意软件创新仍在不断加速。
www.landesk.com

LANDesk 白皮书 | 提高安全成熟度
此外,还需要企业内的 IT 安全团队与 IT 运营团队之间
增强协作。在许多情形下,企业中的这两个 IT 团队都存
在争执。IT 安全团队担心风险和威胁,制定各种策略并
评估环境,而 IT 运营领域(服务器管理、网络管理和桌
面管理)为可用性和性能而坐立不安,即保持环境的稳
定、管理变更以及消除可能影响可用性和性能的一切因
素。
IT 安全团队通常会督促执行各种策略和建议,并快速部
署新的技术以便应对攻击和威胁,而有时也会将技术强
行引入可能存在管理或性能问题的环境中。IT 运营团队
一直在寻找具有统一的界面、管理、报告和工作流而不
会对可用性和性能产生外来干扰的技术。
例如,在华盛顿特区郊外举办的 2010 Gartner 安全与风
险管理峰会中,副总裁兼著名分析家 Mark Nicolett 在“
IT 安全与 IT 运营集成的最佳方法”会议中提到:
“随着信息安全威胁和解决这些威胁的技术的日渐
成熟,这些活动应移交到 IT 部门的运营团队。信息
安全团队应将重点放在新兴威胁和技术上。它要求
信息安全团队“放弃”更为常见、普通的威胁防护
技术。如病毒(威胁)和防病毒(保护)技术。成
熟的技术已能充分地了解它们。桌面运营团队应处
理防病毒软件和签名更新。信息安全团队可以设置
策略,但运营团队负责具体实施。还有一个例子就
是修补程序管理,它应与软件分发合并起来,为什
么要让两个团队使用两个流程来分别完成这一任
务?这并不意味着将信息安全与运营合二为一。相
反地,让每个团队将重点放在自己最擅长的领域。
运营人员不希望事情发生改变,而在涉及安全威胁
时,这种做法并不永远正确。
“让您的信息安全专家们关注他们最擅长的领域并
有效地处理新的威胁。让您的 IT 运营专家们关注他
们最擅长的领域并有效地运营成熟的系统。” 1
IT 安全专家可利用多种方法来让企业实现更为成熟的安
全解决方案。他们可继续部署单一针对性解决方案,然
后尝试单独管理它们或让 IT 运营部门管理。他们可部署
单一针对性解决方案,并在找到更为整合的安全解决方
www.landesk.com
案之后将它们“取而代之”。或者,他们可寻找一个可
集成到 IT 运营工作流中的解决方案来管理端点设备,并
在多个层中利用集成的安全性。
成熟、系统的安全管理方法
提高安全成熟度需要各种分层式端点保护、管理和防御
功能,将它们集成起来以实现全自动化运营。
第 1 层:首先构建强大的安全防线和数
据基础
如下图所示,实现安全性的第一步就是了解环境中有哪
些软件和硬件,设置防范恶意软件攻击的第一层障碍,
随时为所有的操作系统安装修补程序并在任意指定时间
生成报告以显示安全状态。
管理
设备发现
报警
混乱
杀毒软件/反间谍软件
被动响应 主动管理
端点安全成熟度曲线
安全风险
操作系统补丁
个人防火墙
资产发现和清单
安全风险
还应注意的是,不仅要查看所管理的设备,还要查看连
接到网络的所有设备,因为如果您不了解连接了哪些设
备以及这些设备上正在运行什么软件,将无法对网络进
行保护。您需要能够发现整个企业网络中的资产(无论
它们位于企业办公场所还是处于远程位置),并实时维
护该资产清单。
1 Mark Nicolett, *2010 Gartner Security & Risk Management Summit, National Harbor, MD, “Best
Practices in IT Security and IT Operations Integration” session speaker notes, slide 4.
5

LANDesk 白皮书 | 提高安全成熟度
6
恶意软件防护
作为安全的基础,需安装防恶意软件的软件(如防病毒
和防间谍软件)来阻止或防护特定的威胁。通过新的恶
意软件病毒库来持续更新这些安全应用程序以便能够阻
止已知的攻击。但是,黑名单对于剧增的新威胁而言正
变得越来越无效,并且对于定向威胁而言基本不起作
用。
因此,许多公司正通过非基于签名的解决方案(如应用
程序控制和白名单)来增强安全性,从而阻止除特定应
用程序以外的所有应用程序或者阻止使用任意未经批准
的应用程序。此外,恶意代码防御应包括其他组件,例
如需要经常更新且集中管理的基于签名的传统防病毒和
防间谍软件保护。将其与主机入侵保护解决方案 (HIPS)
结合起来,从而即使是在缺少公认的恶意软件签名的情
况下,也能够阻止未经许可的代码执行、预防缓冲区溢
出漏洞并检测异常应用程序行为。
个人防火墙
为实现更多保护,IT 管理员应使用能阻止特定的入站或
出站连接的个人防火墙。优秀的防火墙可根据计算机是
连接到受信任网络还是非信任网络来动态更改阻止行
为,甚至可在发生防火墙入侵时发出警告并加以记录。
有些防火墙甚至做得更好,对哪些应用程序可以访问网
络以及访问方式进行了限制。
最终用户的防火墙通常放在受保护的网络与未受保护的
网络之间。它的作用类似于保护资产的大门,以确保私
有的信息不会流出并且恶意的内容不会流入。可将个人
防火墙配置为允许或拒绝入站和出站连接,并且可针对
任意入侵行为向 IT 人员发出警告,然后将它们记录下
来。有些防火墙可根据用户位于受信任站点还是非信任
站点来更改策略。防火墙还可控制或阻止应用程序以帮
助最小化公司风险。
操作系统修补程序管理
随时更新 Microsoft Windows 和其他操作系统的修补程
序对于减少与操作系统漏洞相关的安全风险而言至关重
要。因此,发现和清单是了解网络动态的重要环节。然
后可制定策略来为指定的操作系统自动安装修补程序。
此外,一旦新的修补程序可用就自动下载和安装它们,
这样可以减少工作量并降低风险。
LANDesk 方法:
对于资产发现和清单,LANDesk ® 管理套件用户已习惯
实时的子网级发现技术的便利和透明性,这些技术会识
别、定位计算机资产并列出清单,评估它们的配置和管
理状态以及确定是否启用了本地防火墙。它们甚至无需
使用 VPN 即可通过 Internet 访问远程分布式站点上的
系统。LANDesk ® 安全套件通过无线访问点发现解决方
案扩展了这些功能,即利用笔记本电脑无线网卡定位并
归类企业环境内部和附近的所有访问点,从而使管理员
可阻止访问未经授权的无线接入点。
LANDesk 为企业提供了两种方法来实现恶意软件防
护,以使工作变得更加轻松。可使用 LANDesk 恶意
软件解决方案,也可从单个 LANDesk 控制台管理第三
方的单一针对性防病毒和间谍软件产品。如果选择使用
世界级 LANDesk ® 防病毒解决方案,恶意软件防护将与
LANDesk ® 管理套件和 LANDesk ® 安全套件相集成,从
而提供单一代理的便捷,同时还能让您在一个控制台中
查看所有安全活动。
借助 Kaspersky Lab 引擎和签名数据库,LANDesk ® 防
病毒每小时都会从业界最完整的威胁签名数据库获取更
新,以提供对病毒、蠕虫、木马、间谍软件、隐藏木马
和其他恶意代码的出色防护。通过将 Kaspersky Lab 的
速 度 和 不 断 增 加 的 病 毒 库 文 件 更 新 与 获 得 专 利 的
LANDesk 分发技术结合起来,可解决在不影响网络的情
况下更新客户端这一难题。
LANDesk 还为邮件服务器提供防病毒保护。
LANDesk ® 防病毒– Mail Server 解决方案为端点安全增
加了一个保护层以保护公司邮件服务器免受外部威胁,
防止在公司网络内部发生病毒爆发并过滤垃圾邮件。它
的主要任务是保护 Microsoft Exchange Server 上的邮
箱、公共文件夹以及转发邮件免受恶意程序的侵害。具
体方法是,扫描邮箱和公共文件夹中的邮件流量和消
息,并利用最新签名数据库中的信息为受感染的对象杀
毒。
www.landesk.com

LANDesk 白皮书 | 提高安全成熟度
用 户 只 需 选 择 管 理 控 制 台 中 的 一 个 按 钮 即 可 选 用
LANDesk ® 防病毒软件,剩余的操作将由 LANDesk 完
成 — 从删除之前的防病毒应用程序到将 LANDesk ® 防
病毒推送到所有计算机。
如果选择保留或实施其他供应商的单一针对性防病毒产
品,LANDesk ® 安全套件将直接从 LANDesk 中央管理
控制台管理来自 CA、ESET、Kaspersky Lab、McAfee、
Sophos、Symantec 或 Trend Micro 的其他防病毒产
品 。 您 可 自 行 确 定 如 何 以 最 佳 的 方 式 保 护 企 业 ,
LANDesk 解决方案可支持您的计划。
LANDesk 端点个人防火墙只允许用户访问授权网络或
IP 地址,以确保更强的系统保护并显著降低有效系统攻
击发生的可能性。从简化工作量的角度来看,您不必使
用多个控制台和多个代理,从而降低了支持不同单一针
对性解决方案的成本。LANDesk ® 安全套件中的防火墙
技术仅需要一个管理点即可实现应用程序控制和防火墙
配置。IT 管理员可允许或拒绝入站或出站连接,并且可
针对防火墙入侵发出警告并加以记录。LANDesk 位置感
知策略支持根据给定计算机所处的环境通过可调整安全
设置(包括应用程序控制、防恶意软件配置和可移动存
储限制)的动态策略降低数据丢失和感染的可能性。
通过使用 LANDesk ® 安全套件,管理员还可直接从管理
控制台集中启用和配置 Windows 防火墙。您可轻松识
别未受保护的计算机(无论是有线还是无线),可以使
用统一的标准化配置,也可针对不同用户组进行自定
义。
第 2 层:借助更强大的智能和系统的修
正方法提高主动性
建立安全基础之后,IT 部门希望通过漏洞评估、安装应
用程序修补程序、白名单和应用程序控制变得更加主
动。
www.landesk.com
管理
混乱
杀毒软件/反间谍软件
被动响应 主动管理
端点安全成熟度曲线
漏洞评估
设备发现
报警
安全风险
操作系统补丁
个人防火墙
应用程序补丁
安全设置
应用软件黑名单
按需报告
安全威胁分析
漏洞是设备整体安全性的薄弱环节。威胁会利用这些薄
弱环节,从而可能损坏计算机或个人数据。
公司的 IT 部门需要评估环境的漏洞并确定可采取哪些措
施来保护公司资产。IT 人员在企业中设置用户角色并为
IT 环境设置安全策略之后,他们即可评估所有可能的安
全瑕疵并在攻击发生之前予以修复。
安装应用程序修补程序
随时安装最新的应用程序安全修补程序是 IT 最为复杂
且工作量最大的工作之一。必需具有强大的修补程序管
理解决方案,包括扫描、漏洞评估、验证、下载和暂
存、分发以及维护功能。除 Microsoft Windows 和 Office
应用程序以外,维护功能必须扩展到越来越常见的目
标,例如非 Microsoft 浏览器和应用程序、媒体播放器以
及备份和安全软件。
白名单和应用程序控制
安全风险
具有更高安全性体验和成熟度的企业已经意识到,仅使
用黑名单并不起作用,因此他们开始依赖黑名单、防火
墙、入侵检测系统 (IDS) 和防病毒软件相结合的方式。
尽管所有这些措施都是必要的,但它们仍不足以抵抗不
断演变的威胁和各式各样的攻击途径,这促使企业利用
白名单来声明允许哪些应用程序和连接并阻止其余的应
用程序和连接。如果白名单设置正确,可以减少使用黑
名单和防病毒应用程序的必要性。
7

LANDesk 白皮书 | 提高安全成熟度
8
根据 Gartner, Inc. 的调查:
“标准的防恶意软件签名引擎对于剧增的新威胁而
言正在迅速失去有效性,并且它们对于防御定向威
胁而言几乎没有任何价值。必需使用非基于签名的
解决方案(如基于主机的入侵防护系统 — HIPS)和
熟练的运维规程(如资产发现、配置管理、漏洞评
估、软件管理和白名单)来帮 PC 做好抵抗未知威胁
的预防工作。” 2
LANDesk ® 安全套件使实施白名单策略变得轻松无比。
首先,可设置白名单来了解应用程序的现有行为,然后
设置策略来确定现有应用程序的哪些方面是可接受的,
并阻止可能包含会感染环境的恶意软件的其他应用程
序。可利用 LANDesk 位置感知功能定义信任和非受信
网络,然后为整个企业设置策略。可在 IT 管理员控制台
上的单个视图中查看所有此类策略。可利用定义位置感
知策略的功能来“松开缰绳”或者加强企业内部的安全
策略。
许多 IT 部门都发现了将基于主机的入侵防护 (HIPS) 技
术作为其端点安全性的组成部分的好处。HIPS 技术集成
了防火墙、沙箱和各种系统级操作的应用程序控制。它
对于保护非受信环境(如宾馆 Wi-Fi 网络)中使用的便
捷式计算机非常有用,并且还有助于防止流氓应用程序
执行恶意操作。一旦 HIPS 功能发现可疑行为,它不仅
会阻止该行为,并且还可以就这一问题向 IT 管理员发出
警告。
缓冲区溢出保护已成为 HIPS 的一个重要组件。此功能
可防止环境暴露利用程序等待用户输入的漏洞。通过在
发生时检测栈分配或堆分配变量上的缓冲区溢出并防止
它们成为严重的安全漏洞,缓冲区溢出保护增强了可执
行程序的安全性。
在 SANS Institute 2009 年 9 月的报告中,我们看到操
作系统成为了许多攻击的目标:
2 Peter Firstbrook, Arabella Hallawell, John Girard, Neil MacDonald. “Magic Quadrant for
Endpoint Protection Platforms”; Gartner, Inc., May 4, 2009, p. 2
操作系统中会导致大量 Internet 蠕虫的远程可利用漏
洞变得越来越少。
除 Conficker/Downadup 外,报告期内没有发现任何
针对操作系统的新型主要蠕虫病毒作祟。即便如
此,针对 Windows 中的缓冲区溢出漏洞的攻击数量
从 5 - 6 月到 7 - 8 月增加至三倍,并且超过了已检测
到的针对 Windows 操作系统的攻击的 90%。 3
LANDesk 方法:
LANDesk ® 安全套件简化了 IT 人员在建立安全成熟度方
面变得更加主动的工作。此解决方案提供标准且高频率
的漏洞评估扫描功能以快速轻松地确定配置、安装修
补程序和软件更新需求。可设置自定义扫描以定义搜索
特定条件组。定义和维护安全配置由于使用基于角色的
管理和基于策略的管理工具而得以简化。
LANDesk 还针对成千上万个应用程序提供最广泛的漏洞
评估,从而使您可以查看潜在的风险并确定是否满足公
司的标准。如果贵企业需要遵守以下标准,这一点尤其
重要:
■ PCI – 支付卡产业联盟
■ FDCC – 联邦桌面计算机配置
■ SCAP – 安全内容自动化协议
■ FISMA – 联邦信息安全管理法案
■ HIPAA – 健康保险流通与责任法案
LANDesk ® 补丁管理器是 LANDesk ® 安全套件的一个
组成部分,它为混合 IT 环境中的操作系统和应用程序
提供集成的漏洞评估、修补程序验证、下载、暂存和分
发功能。修补程序解决方案支持各种 Windows 操作系
统以及 Macintosh 和 Linux 操作系统。
3
security-risks/
www.landesk.com

LANDesk 白皮书 | 提高安全成熟度
LANDesk ® Targeted Multicast 和 LANDesk ® Peer
Download 技术提高了部署速度并降低了分发带宽要
求,同时无需其他的硬件或路由器重新配置操作。例
如,一家大型跨国公司仅使用 5 台服务器即可将修补程
序部署到遍布全球的超过 77,000 个节点,并且在 5 天
内达到超过 95% 的修补率。另一企业仅在 2010 年 2 月
就将超过 846,000 个修补程序发送到 118,000 个节点,
达到 95% 的成功率。
部署可实现自动化,并且可将修补程序先期缓存到目标
计 算 机 上 以 便 随 后 激 活 和 安 装 。 并 且 , 在 启 用
LANDesk ® 流程管理器 (Process Manager) 自动化修补
程序部署之后,可通过全自动化更新流程(它们会利用
可修改的工作流、自动化审批和试验组)来部署新的修
补程序。
LANDesk ® 主机入侵防御系统 (Host Intrusion Prevention:
HIPS) 是 LANDesk ® 安全套件的其中一个功能,它会针
对各种和基于非签名的恶意代码防御和应用程序控制提
供基于行为的防御,以便为防病毒和防间谍软件系统
提供补充以及防御恶意软件病毒库不可用的零日漏洞。
经过验证的行为识别技术会阻止恶意行为。LANDesk
HIPS 是用于控制系统上执行的应用程序的一个强大工
具,其可指定经过批准的应用程序可执行哪些行为。
第 3 层:保护内部重要信息 — 数据
为遵守公司的安全政策和制度要求,公司必须竭尽所能
地维持公司机密信息和个人信息(包括员工和客户/顾
客)的安全性。在安全成熟度的第三层,在最终用户端
加密数据并设置和实施策略至关重要。
管理
设备发现
报警
混乱
杀毒软件/反间谍软件
被动响应 主动管理
端点安全成熟度曲线
www.landesk.com
安全风险
操作系统补丁
个人防火墙
应用程序补丁
安全设置
应用软件黑名单
按需报告
安全威胁分析
设备控制
数据加密
远程用户管理
实时仪表板
安全遵从性标准
安全风险
设备控制和防止数据丢失
IT 部门需要设置公司机密政策,然后轻松地识别政策违
规行为和潜在的数据泄漏问题。如果 IT 可阻止高危行为
(如复制公司机密文件)并控制用户对磁盘驱动器和通
信通道的访问以帮助预防发生数据窃取将会更好。
数据加密
可移动大容量存储设备和 U 盘、存储卡使复制、携带和
隐藏敏感信息变得十分容易,已成为传播恶意软件的一
个方便途径。根据开放安全基金会的 DataLossDB(这
一网站收集涉及个人可识别信息的丢失、窃取或暴露的
各种事件的相关信息)的调查,大约三分之一的数据丢
失事故是由于计算机、便捷式计算机、驱动器和存储介
质丢失或被盗所致。
出处:DataLossDB.org
数据安全要求能够对数据移动执行基于策略的控制,甚
至是具有合法访问权限的数据移动。还应阻止有线网络
上的用户桥接到未受保护的网络并将数据传输到 IT 环
境之外。
加密具有多种形式,包括保护只有个别用户可查看的信息
(如社会保障数据)的用户数据加密,针对 USB、iPod
和其他外部存储设备的外部媒体加密以及系统数据加密。
9

LANDesk 白皮书 | 提高安全成熟度
10
移动和远程用户
IT 部门希望收集硬件和软件清单、评估漏洞并修正所有
的风险问题,无论用户位于公司总部、远程办公室还是
暂时离开办公室。目标是在不影响用户生产效率的情况
下保护网络,例如,不要将出差回来后重新连接公司网
络的用户拒之门外,而是在他们重新连接的同时更新其
应用程序和操作系统。能够针对公司防火墙外的用户执
行防病毒软件管理并禁用非授权软件对于维持安全的环
境而言至关重要。
保持数据安全的合规性
许多人认为遵守 PCI、SCAP、FDCC 之类的规章制度
是一项繁琐的任务,对于安全性而言没有多大价值。实
际上,遵守此类标准会增强公司的安全状况,因为这些
标准要求企业遵循众所周知的方法,而这些方法会填补
可能遗漏的空白。
例如,许多管理标准要求使用强密码,即至少为 8 个字
符长,同时包含大写字母和小写字母、数字以及符号,
并且不得包含用户名。因此,“steve” 之类的密码可能会
遭到拒绝,因为它很容易被猜到;而 “$teVe136” 却可接
受并且不太可能成为安全攻击的漏洞。此类强密码将有
助于阻止 Conficker/Kido 蠕虫攻击计算机。
遵守此类标准是企业安全性成熟的标志,它提供最佳安
全方法指南和检查 IT 环境的方法,并有助于保护用户和
客户数据。
实时仪表板(分层式视图)
使用可控制流入信息的仪表板使识别问题变得更加简
单,并且由于能够根据公司环境自定义仪表板,从而也
会使管理安全性变得更加简单并提高管理员的自信。
LANDesk 方法:
LANDesk ® 安全套件中的另一核心技术 - 设备控制管理
器允许您设置设备控制和防止数据丢失策略,并轻松
地识别政策违规行为和潜在的数据泄漏问题。设备控制
管理器会记录复制到可移动媒体的文件,甚至会保存卷
影副本。可在单个行为窗口中查看复制内容和设备阻止
操作。控制用户对磁盘驱动器、通信通道、端口和调制
解调器的访问以帮助防止因窃取或疏忽导致的数据丢
失。其中一个新功能是能够在向便携式设备(如 U 盘)
传输(如果允许)数据和文件时执行加密。
可利用 LANDesk ® 管理网关 (Management Gateway) 将
LANDesk ® 安全套件的功能扩展到公司防火墙以外,
该插件设备允许您通过使用任何现有的 Internet 连接、
基于证书的身份验证和 SSL 加密,轻松且安全地管理所
有的移动用户。此设备有助于确保移动用户在出差时无
缝地收到修补程序、病毒库更新和其他配置更新,从而
确保他们返回公司主网络时已符合安全策略。这一网关
技术可免去使用 VPN、租用线路或本地管理服务器的必
要性,并且使您可按自己的计划而非用户的计划集中且
主动地管理远程计算机。LANDesk Management
Gateway Appliance 让您可随时随地管理系统,而不会
让防火墙产生任何漏洞。它包括自动冗余备份以确保配
置和日志信息始终可用。
LANDesk ® 安全套件使您可执行综合评估以遵守合规性
标准,如 PCI、FDCC、SCAP 和 SOX。
此外,各种强大的报告功能(包括趋势图以及安全策
略和间谍软件报告)使安全问题的跟踪和记录变得非常
轻松。通过图形方式显示有关策略执行和修补程序部署
的详细历史报告,从而按时间清楚地记录策略、性能、
问题区域和趋势。提供此类合规性报告可帮助您顺利通
过特定的 PCI、FDCC、SCAP、HIPAA 和 SOX 规章
制度的遵从性审计。
第 4 层:优化安全流程
实施前三层安全性后,IT 部门可通过确保遵守公司和管
理标准并调查任何新的漏洞和新的恶意软件攻击模式而
变得更加主动。最后的步骤包括根据遇到过的攻击完善
策略,自动化流程以通过最少的步骤保持安全性,使用
白名单和 HIPS 以及使用更加先进的维护安全配置的方
法(包括基于位置的策略和权限锁定)。
www.landesk.com

LANDesk 白皮书 | 提高安全成熟度
管理
混乱
杀毒软件/反间谍软件
被动响应 主动管理
端点安全成熟度曲线
完善策略和设置
确保遵守公司政策或规章制度的最佳方式之一就是审核
或收集并维护安全事件,无论这些事件是外部攻击还是
员工所采取的操作。事件日志中的报告不仅会提供已发
生事件的整体视图,而且它们还可针对环境中发生的任
何威胁提供实时警告。
通过流程引擎驱动安全性
自动化安全流程不仅能够节约时间和精力,同时由于减
少了人员犯错的机率,还可降低风险。并且,一旦将流
程建模并记录下来,用户便可轻松对其加以完善。例
如,假设您已利用白名单设置环境。如果用户需要访问
一个新的应用程序应该怎么办?第一步可能是在实验室
中加载应用程序,测试,然后通过 LANDesk ® 安全套件
应用学习模式以识别应用程序的病毒库。在此处,可设
置新的白名单以包括新的应用程序,打包应用程序并将
应用程序和许可证推送给用户。
此时,如果将这些步骤一起打包到一个工作流中,通过
将自动生成的电子邮件发送到正确人员处进行审批即可
自动完成其中的大多数步骤。通过让系统访问某个网站
并取下文件样本,将它们与应用程序匹配,并将应用程
序推送到用户,可更进一步简化这一过程。这些过程几
乎都可以自动化。
事件关联
设备发现
报警
www.landesk.com
安全风险
操作系统补丁
个人防火墙
应用程序补丁
安全设置
应用软件黑名单
按需报告
安全威胁分析
设备控制
数据加密
远程用户管理
实时仪表板
安全遵从性标准
安全风险
审计
流程引擎
移动设备安全
安全事件分析
应用程序控制
基于位置的策略
特权锁定
企业意识到其防病毒软件每天(如果不是每小时)都会
发现有新的病毒试图进入环境中。此时,IT 部门可能最
希望看到 HIPS 系统已发现问题,然后要么自动阻止操
作,要么通知最终用户以获得权限。
此外,当 HIPS 功能感应到问题并向 IT 部门发出警告
时,系统会记录该事件,之后 IT 可将问题提交给防病毒
解决方案供应商以进行跟进。然后,供应商解决问题并
将病毒/恶意软件特征代码交回发出警告的源头,而 IT 部
门几乎不需要参与任何工作。通过流程引擎自动化流程
来包括事件关联不仅可以减少工作量,还可通过自动解
决问题的方式来降低企业的整体风险。
LANDesk 方法:
通过使用动态 LANDesk 位置感知策略完善策略和设置
可降低数据丢失和感染的机率。动态策略可根据选中计
算机所在的环境调整安全设置,包括应用程序控制、防
恶意软件配置、HIPS、白名单、设备控制、LANDesk
个人防火墙以及可移动存储限制。
可通过 LANDesk ® 流程管理器驱动安全性,它使您可
利用一个简单的拖放用户界面(其中显示了正在操作的
工作流)设计和记录流程。可利用此解决方案自动化包
含安全管理和修补程序管理的业务流程。LANDesk
Process Management 可确保在整个企业实施您制定的
策略并自动记录流程,从而使遵守标准变得更加轻松和
快速。
LANDesk ® 安全套件具有一个活动视图以将来自防病毒、
防火墙、HIPS、白名单和设备控制的所有安全活动全
都放在一个“单一管理平台”中,从而可以快速访问最
新的安全事件。还可构建事件关联流程,它们会切断警
告事件以便精确且自动定位事件。
简化升级到成熟安全模式的过程
端点安全性的关键是,目前的威胁环境对于任何单一针
对性解决方案而言太过变化多端,而无法实现有效的保
护。唯一可行且可用的防御策略是改用结合多个保护技
术层的更为成熟的安全模式。
11

LANDesk 白皮书 | 提高安全成熟度
12
如 Forrester Research 最近的独家报告所述:
“在过去的几年时间里,安全企业不得不拼尽全力
解决越来越复杂的威胁状况,并且在企业中具有越
来越明显的作用,而企业的期望值也显著提高。企
业期望安全部门在保持员工人数不变的同时完成所
有这些任务并承担其他职责。结果,安全企业的实
际表现与企业的期望之间往往存在一定的差距。如
今的安全企业必须敏捷且高效 - 能够同时处理大量
任务和需求。” 4
除了其他事项以外,要成为敏捷高效的 IT 企业,必须抛
弃单一针对性解决方案,而改用结合多个保护技术层的
更为成熟的安全模式。LANDesk 客户体验了分层式端点
安全性的世界级解决方案,它已通过市场的验证并已做
好立即部署的准备。客户可通过单个控制台管理所有的
安全资源,并可实现日常流程自动化以降低成本并减轻
管理工作量。并且,最为重要的是,它们可以部署一个
可根据业务和技术要求方便扩展和调整的安全基础架
构。
有关针对分层式端点安全的 LANDesk 解决方案的详细
信息,请访问 www.landesk.com。
4 Khalid Kark and Rachel A. Dines, “Security Organization 2.0: Building A Robust Security
Organization”, Forrester Research, Inc., May 10, 2010, p. 1
www.landesk.com