1   1  /  1  页   跳转

“地震灾难”带来的警示

收藏
本主题由 大版主 lqqk7 于 2008-5-22 13:47:43 执行 移动主题 操作
天使白的翅膀
头像
初生襁褓狮
  • 帖子:9
  • 注册: 2008-02-26
  • 来自:
发表于: 2008-05-22 11:04 | 显示全部 短消息 资料
字号: 1楼

“地震灾难”带来的警示

地震灾难”带来的警示


主动保护PC安全,提供更多业务保障



一、
用“看不见”的投入保障未来
2008年5月12日,“汶川大地震”就这样突然发生了,灾害如此巨大,举国齐哀。我们在哀悼的同时,总得思考些什么。倘若我们事先有一些觉察和预测,倘若建筑物更坚固些,岂不是可以挽救更多生命吗?不是么,在同样的灾难面前,那些依然屹立不倒的房屋,使多少人幸免于难!
对于企业的网络信息化建设来讲,何尝不是如此呢?可以想象一下:系统崩溃、数据损毁、信息遭窃、网络瘫痪,对企业同样是灾难。凡事豫则立、不豫则废,与其事后弥补,何如事前防范!
面对网络业务的飞速发展,面安全威胁的日渐增多,我们不仅仅需要防病毒、防间谍,还需要采取更多和更加深入的主动防御措施,用“看不见”的投入保障未来的安全。
二、
为什么需要进行主动防御?
防病毒和防间谍软件是良好开端,但依然不够
对于防病毒、防蠕虫、防木马、防间谍软件,我们已经耳熟能详,传统的防病毒和防间谍软件也始终是企业最基础的安全措施。但是,仅有这些就够吗?
防病毒和防间谍软件基于特征码进行安全检测和处理,因此必须事先通过其它工具将它们识别为恶意代码并加入特征库,然后下发该特征码到终端计算机,这样才能及时检测和拦截威胁。因而,在特征库更新之前,“未知”新威胁便有了可乘之机,终端计算机随时都有可能遭受零日攻击(zero-day attack)和感染。
这就要求采用主机入侵防御系统(HIPS)进行更为积极的安全防预,通过行为分析技术来识别异常和潜在的恶意行为,以此来保护计算机避免遭受零日攻击(zero-day attack)和其它攻击。
业务实践表明:终端需要混合防护
企业网络为拓展业务发展,其网络“大门”直接对内和对外敞开。大量的资产信息、金融交易、知识数据、职员和客户数据需要安全保障。由于员工使用笔记本电脑、U盘等移动设备在办公室、家庭和差旅地点频繁更换工作场所,随时可能将威胁带入到企业网络环境。企业网络边界变得更为模糊,网关统一保护并不能解决企业的所有安全问题。
随着时间变迁,在过去的几年里,恶意软件的制作和散布从大众化的黑客爱好者向职业化的利益集团发展。恶意软件的目标已经从单纯炫耀技巧和破坏向获取利益方向发展,恶意软件变得更加狡猾,其组合技术更难防范。这些混合型威胁很难被单一的防御技术发现和阻止。“混合型”威胁要求“混合型”保护。
建立混合型的主机入侵防御系统
有效的主机入侵防御系统应包含两个部分:入侵检测、入侵防御。这意味着当监测到可疑的网络流量时可能存在网络攻击,当监测到可疑活动时便及时告警并采用行动。主机防火墙是一种管理主机与其它计算机和网络之间通讯的基本措施。入侵防御还应该包括一些操作系统安全措施以保护文件、系统配置安全,限制对设备(例如USB存储设备)的访问。
一个有效的主机入侵防御系统,应包含如下功能:
入侵检测(IDS):通过检测入站和出站网络流量来发现可疑的网络攻击。
入侵防御(IPS):为IDS增加安全策略,当检测到可疑活动时进行报警和响应处理。IPS是一种主动防御技术,用来保护系统免受潜在和未知的威胁。
防火墙:主机防火墙控制主机和其它计算机网络之间的通讯,仅允许那些已知的合法网络连接行为通过。
操作系统安全:操作系统安全包括预防针对文件目录和系统配置(如注册表)的恶意访问或误操作。它还可有效限制设备使用,防止危害通过USB等设备引入到终端计算机。
策略管理:策略用于限制用户名、计算机名、网络地址、时间等要素。对多数企业来讲,策略管理能力甚为重要,因为所有用户不需要同等水平的威胁防御能力。
三、
主机入侵防御的带来的好处
主机入侵防御系统可用于保护客户端计算机远离网络安全威胁,主要包括:
组合的威胁防御技术:独立防火墙、IDS、IPS和操作系统安全防护技术,可保护计算机抵御广泛的攻击。通过这些组合技术,您可以减少技术支持和实施成本。
基于行为的实时威胁防御您可以使用策略检测那些超出预料行为模式的活动。这项技术不需要特征码更新即可有效工作,用以保护数据免受令日攻击(“zero-day”)和其它以前未知的攻击。通过修改这些策略,您可以定制适合自身业务需要的工作环境。
关注企业威胁管理:您可以决定允许哪些网络通讯进出客户端计算机,并且决定允许哪些程序访问网络。您还可以选择允许或拒绝某些类型的程序行为和访问权限。集中管理功能提供高效和有效的相关事件日志,以帮助合规检查、报告和研究。
四、
CA主机入侵防御系统:积极保护主机安全
什么是CA HIPS
CA HIPS组合了IDS、IPS、防火墙技术,它通过独立防火墙、入侵检测、入侵防御和集中管理的措施,主动防御在线的安全威胁。通过这些技术,CA HIPS能够立即识别异常和潜在的恶意行为,防止零日攻击(zero-day attack)和其它攻击。
CA HIPS是一个终端安全保护工具,您可以通过中央管理服务器进行配置和管理,客户端连接到服务器,通过安全策略接受强制保护。
主机防火墙
HIPS防火墙采用预定义规则过滤网络活动,或者使用您自定义的规则允许或阻断网络通讯。HIPS防火墙是一个状态包检测防火墙,用以替换Windows XP和Windows Server 2003内建的防火墙。
IDS/IPS
IDS和IPS被组合到了CA HIPS的一个模块中。IDS/IPS模块按照HIPS数据库中文档化的已知攻击模式检查网络数据包。基于客户端强制执行的HIPS策略,通过执行IDS/IPS规则,HIPS服务器及时发出告警,必要时阻断可疑活动。这些在终端上的活动被事件管理器捕获并报告给后台运行的服务器。
操作系统安全
CA HIPS操作系统安全服务提供一个基础安全保障,保护操作系统资源免受意外或可疑的篡改。操作系统的变化可被监视,包括:
§
读和修改文件、注册表
§
衍生程序
§
加载DLL
§
访问OLE/COM对象
§
修改系统服务
§
获取系统特权的企图
§
访问计算机设备,例如USB、CD-ROM和DVD驱动器、红外接口等。
CA HIPS策略
策略是一套规则,用来描述允许或禁止客户端做什么,决定可接受的网络活动、应用程序和设备使用。策略由HIPS服务器下载到HIPS客户端。
CA HIPS允许您定义细粒度的策略。您可能有一组用户在总部上班,业余时间在远程办公,也会客户现场。在这种情况下,您可以定义3种策略:总部策略(HQ)、远程策略(Remote)、移动策略(Traveling)。
CA HIPS客户端
如果客户端安装了用户界面(可选项),您可以使用该界面显示安装在该计算机上的CA HIPS软件信息,例如本地告警日志中的阻断事件清单。作为管理员,您可以控制用户能否配置某些参数。

Gartner定义的9种HIPS
Gartner定义了9类主机入侵防御:

CA HIPS和冠群金辰的威胁管理方案覆盖了Gartner九种类型HIPS的每一个环节。比如类型5,CA HIPS提供IDS和IPS规则来识别病毒,但依赖于防病毒产品(KILL防病毒系统或其增强版)来实现高级的防病毒和系统恢复处理。此外,冠群金辰的KILL过滤网关(KSG系列)还可提供进一步的应用级保护,包括网络流量过滤(http、ftp、smtp、pop3等)。
冠群金辰的集成解决方案
单一的产品或技术并不能保护计算机应对所有可能的威胁。这就要求多层次的防御,采用特定的技术来对抗特定种类的威胁。对终端的保护需要将多种产品联合起来共同实现。
CA主机入侵防御系统基于行为分析技术来识别威胁,是对防病毒、防间谍软件等基于特征码分析方法的重要补充。CA HIPS可以集成冠群金辰的其它威胁管理解决方案,提供完整的威胁管理。

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
分享到:
gototop
 
天使白的翅膀
头像
初生襁褓狮
  • 帖子:9
  • 注册: 2008-02-26
  • 来自:
发表于: 2008-05-23 10:54 | 显示全部 短消息 资料
字号: 2楼

回复: “地震灾难”带来的警示

有机会去用下就知道了
看看是不是真的像说的这么好
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT