策略执行:你凭什么安全
时间:2022-10-22 11:57:15
对局域网(LAN)增加基于网络的策略执行,可以保护网络终端不受攻击。
终端安全技术的认证和接入控制把传统的用户和机器身份的检查,扩展到包括终端系统的属性,这种认证和控制方式称作策略执行解决方案。安全管理员根据修补能力、运行进程、安全配置,或其他终端用户机器设置,能将策略执行技术用于基础网络接入。在许多情况下,这些策略执行系统通过直接与网络基础设施交互执行接入决策,从而不再需要由终端用户应用程序执行之。
策略执行保护网络连接
由于基于动态配置的接入控制保护各种网络连接机制。鉴于此,尤其对于虚拟专用网(VPN)连接和移动计算机经常将应用程序推向企业防火墙后面受保护的网络,许多机构开始对其远程接入基础设施增加策略执行系统。
策略执行还能通过安全套接层(SSL)VPN系统,在无线配置、局域网和基于Web的接入方面得以实现。为了把未打补丁或受到损害的机器的危险性降低到最小,同样的接入限制应当应用于试图连接受保护网络的所有终端系统,而采用哪种连接机制无关紧要。任何策略执行系统的核心都是策略服务器,它负责对适当的网络基础设施装置,评估终端配置和通信接入控制决策。终端配置数据可以通过软件或通过基于网络的扫描予以收集。
随着策略执行技术的成熟,其中的每个软件部件,包括企业网上的其他软件部件都可以分发。策略服务器可在机构中组成所有终端配置的存储库,还可以协调其他企业管理系统,如集中式软件补丁配发或抗病毒服务器升级的需求。
策略服务器把好安全门户
策略执行直接观察终端状态,还可以查询其他客户软件,把了解到的详细配置信息回传给策略服务器。这种灵活性充分利用现有的基础设施,而不要求配置补丁管理系统或集中式抗病毒程序。
当执行审计后,策略服务器通知相应的网络基础设施装置所需的接入控制等级。管理通信子系统可以利用802.1x及厂商装入的驱动机制一类的基于标准的协议,或SNMP一类的设备专用协议。
这些执行框架和制订中的附加框架提供接口,让服务器通知网络设备所需的接入控制决策。而后,网络设备就可以通过虚拟LAN分配或接入控制表,利用一定形式的动态接入控制。
尽管有些执行框架具有基本的策略评估能力,但大多数企业安全管理员将要求支持多策略、网络连接机制、终端操作系统和基础设施装置的能力。厂商应在基于网络的执行框架的上层建立策略评估系统。除其他执行框架外,有些厂商还采取附加措施,控制老式网络接入设备和厂商专有的应用程序接口。鉴于终端状态,在规定的网络连接有效期内,环境条件和安全策略可能改变,策略执行系统应以本机管理员规定的时间间隔监控终端机器。如果终端的审计状态改变,策略服务器通过网络基础设施也使相应的接入控制跟着改变,正如第一次连接被激活时发生的改变一样。像蠕虫和病毒一类的自动攻击对短指令可能是破坏性的,所以大多数策略执行系统提供的日常监控大大减少了生产网络暴露给新的攻击的机会。
策略执行应对不同安全环境
即使是相对简单的策略也可能对机构的网络和数据的完整性所产生的作用明显不同。例如,大多数企业对全体桌面工作人员采用一种抗病毒解决方案。而实际情况可能有多个抗病毒版本在运行,而且在任何规定的时间内,几乎总是有几个反病毒特征版本,这就使为抗病毒应用程序编写审计条件的任务面临挑战。这些操作系统、应用程序版本和特征数据库的共同要求是它们需要有效运行的抗病毒应用程序。所以,简单的“最小公分母”策略检验,对准予网络接入的目标系统,可能要求有效的抗病毒处理;如果抗病毒程序不管什么原因而停止运行,都得使目标机器脱离网络连接。这种简单的审计条件对保护企业网显然要打问号。
抗病毒厂商在规定的时间内检测到50%以上的故障件,都试图破坏抗病毒程序和个人安全软件的性能。例如,特洛伊木马的“阿戈博特/费特博特”家族的受害者,常常最先发现他们被感染,原因在于他们注意到其抗病毒软件不能下载新的病毒特性,或者表示错误。因此,赶在抗病毒厂商研究新的利用程序之前,只要他们的应用程序被损害,在中断合法活动的危险较低的情况下,使遭受损害的机器脱离连接也能显著增强保护效果。
强行安装全操作系统和应用补丁程序,同样会迅速变得难以管理,从而要求广泛的测试和故障查找,并增加打扰终端用户的几率。一种替代方法可能只要求关键性的软件补丁,例如与下面的微软Windows环境的指导原则相匹配的软件补丁:
・易受攻击的软件是核心操作系统或应用软件,也可能是机构内广泛采用的软件;
・易受攻击的软件无需认证或用户介入就能够取得;
・易受攻击的软件通过网络就能够取得,无需本机访问就能够利用;
・易受攻击性可使攻击者运行出恶意的随机攻击的代码,或者损害目标机器;
・将易受攻击性用于信息传送过程中;
许多Windows管理员也在考虑Internet Explorer补丁命令,即使易受攻击性在系统利用方面常常要求一定程度的用户交互。为适合操作系统和环境,机构安全策略和风险容限要求,这些指导原则是可以修改的。
机构桌面策略也要求下面的检验,以使安全保证更加完善:
・安装关键性的操作系统补丁;
・安装最新安全应用程序并运行;
・安装最新企业应用程序(如e-mail、数据库);
・必要时配置自动升级的OS和应用程序。
策略执行系统在必要时,将可见度置入终端机器配置的每个方面,包括操作系统和业务打包能力、OS补丁、已安装的应用程序、Windows登记设置、配置文件目录,甚至网络环境和主机名称。这种灵活性可使管理人员为各种桌面和膝上计算机、机构的作用和计算机位置修改审计条件。策略执行系统同样应能实现分阶段执行,使管理员在强制网络限制和考虑较容易测试和集成之前,能够监控终端用户系统的适配性。
