DCS安全防護(hù)最佳實踐

1、ySymantec.DCS系統(tǒng)安全防護(hù)最佳實踐高級系統(tǒng)工程師關(guān)福君2014年10月23日軟件定義數(shù)據(jù)中心安全防護(hù)最佳實踐專用業(yè)務(wù)終端安全防護(hù)最佳實踐企業(yè)IT架構(gòu)重塑對安全建設(shè)意味著什么IT服務(wù)管理業(yè)務(wù)IT運(yùn)營系統(tǒng)分析系統(tǒng)莒業(yè)終端中間件中間件中間件故據(jù)庫據(jù)庫酸據(jù)庫數(shù)據(jù)展現(xiàn)/分析數(shù)據(jù)集市/挖掘數(shù)據(jù)倉庫大宗商品化 架構(gòu)大宗商品化 哪WelVA PPWeh/A PP企業(yè)終端辦公緣益泛終端僅是原有防護(hù)動終順 手段在覆蓋范 圍上獷展嗎？接入Web/APP按需縮放架構(gòu)運(yùn)營業(yè)務(wù)新基礎(chǔ)設(shè)施的安全傳統(tǒng)技術(shù)適應(yīng)嗎？數(shù)據(jù)傳統(tǒng)架構(gòu)的優(yōu)化提升化架構(gòu)HAs > Service企業(yè)業(yè)務(wù)連續(xù)性信息安全智能防護(hù)體系數(shù)據(jù)中心

2、安全威脅的變化第三方接入的威脅數(shù)據(jù)泄密身份欺詐運(yùn)維1:理的安全風(fēng)險集中化管理，加大越權(quán)訪問、權(quán) 限濫用安全策略是否能隨虛機(jī)同步遷移服務(wù)器的安全風(fēng)險來自互聯(lián)網(wǎng)的威脅病毒、黑客攻擊應(yīng)用漏洞利用，進(jìn)行業(yè)務(wù)欺 詐及盜用內(nèi)部終端的威脅病毒、木馬、蠕蟲爆發(fā)敏感/機(jī)型信息泄露更大量的Web應(yīng)用與接口增加了攻擊面 X86化下大量的Linux和Windows,漏洞風(fēng)險加 虛擬化的使用，虛擬主機(jī)爆炸式增長，風(fēng)險快速蔓延 非授權(quán)的訪問、系統(tǒng)變更 虛擬化基礎(chǔ)設(shè)施成為新的風(fēng)險點(diǎn)數(shù)據(jù)中心安全適應(yīng)新的轉(zhuǎn)型軟件定義數(shù)據(jù)中心所有的基礎(chǔ)設(shè)施資源都將被虛擬化以服務(wù)的方式提供(DeliveredasService)數(shù)據(jù)中心完全可通過

3、軟件實現(xiàn)自動化的管控。1.抽象化.2.資源池化.3.自動化.賽門鐵克安全解決/主機(jī)、網(wǎng)絡(luò)、存儲虛擬化/池化整合，按需提供/模版式的自動快速部署SDDC將會是動態(tài)并以應(yīng)用為中心服務(wù)器威脅趨勢在改變，威脅防護(hù)的策略應(yīng)是主動響應(yīng)部署幾周Ei近年來ATM入侵事件頻發(fā)，給業(yè)務(wù)運(yùn)營帶來風(fēng)險2014年5月29日據(jù)澳門日 報報道，澳門司警破獲跨 境計算機(jī)犯罪集團(tuán)，首次發(fā) 現(xiàn)不法分子利用計算機(jī)病毒 程序，攻陷澳門一間銀行七 配自動柜員機(jī)，行動中拘捕易感染惡意代碼I訪植入或甑卜玄3 *兩名烏克蘭男 2011年開始，國內(nèi)某漏洞 網(wǎng)站爆出銀行ATM機(jī)存 在安全漏洞，2012年某 幾個國有大行也被爆ATM 機(jī)存在漏洞。

4、黑客利用漏 洞可以獲取管理員權(quán)限， 進(jìn)而執(zhí)行任何惡意行為。2012年,某銀行ATM機(jī)感 染惡意代碼，防病毒系統(tǒng) 運(yùn)行出現(xiàn)異常，前臺顯示 病毒查殺界面，用戶受到 相當(dāng)程度的驚嚇。業(yè)務(wù)運(yùn)營風(fēng)險Windows XP停止支持全球至少有9 5 %的ATM運(yùn)行在Windows XP±VISA針對ATM防護(hù)建議 2014年4月8日，微軟停止WindowsXP技術(shù)支持 根據(jù)Microsoft的說法，XP遭遇安全風(fēng)險（如病毒和惡意軟件）的幾率提高了五倍 國內(nèi)銀行ATM機(jī)大多運(yùn)行在WindowsXP±，很長時間內(nèi)都無法完成升級和遷移 現(xiàn)有A1；M硬伸至性能上無法滿足升級要求，全面升級成本太后）

5、 了角翠現(xiàn)有ATM硬件是否支持升級 禁止ATM上任何與支付無關(guān)的應(yīng)用和功能 監(jiān)控ATM文件完整性，作為預(yù)防措施安全運(yùn)維壓力部署嵌入式系統(tǒng)無法安裝常規(guī)防病毒軟件wn防病毒軟件需要頻繁升級病毒特征庫，無法與升級互聯(lián)網(wǎng)隔離;操作系統(tǒng)補(bǔ)丁需要升級后肺部署防病毒軟件，面臨無法安裝、病毒定義碼歡切更新和掃描性能等問題安全運(yùn)維防護(hù)防病毒軟件對系統(tǒng)資源和帶寬消耗極大，導(dǎo)致卬"ATM系統(tǒng)不穩(wěn)定ATM品牌眾多，防護(hù)策略和手段差異大，無法集中進(jìn)行安全管理不部署安全防護(hù)軟件無法滿足監(jiān)管要求SymantecDataCenterSecurity(DCS)讓安全滿足軟件定義數(shù)據(jù)中心的體系結(jié)構(gòu)提供針對。day攻擊與

6、APT攻擊的安全防護(hù)加固過期的系統(tǒng)并且提供化解攻擊方案提供實時的可視化管理與控制滿足合規(guī)要求DCS系統(tǒng)產(chǎn)品家族DCSV6.0DCS： Server(NEW)DCS：ServerAdvanced(SCSPSERVER)數(shù)據(jù)中心安全防護(hù)專用終端安全防護(hù)DataCenterSecurity:Server6.0可縮放的安全防護(hù)集成到VMWare最新NSX技術(shù)- 提供無Agent的病毒防護(hù)- 賽門鐵克文件信譽(yù)技術(shù)降低誤報率自動化伸縮滿足數(shù)據(jù)中心增長£強(qiáng)化VMWare的網(wǎng)絡(luò)與服務(wù)虛擬化安全- 集成安全策略到統(tǒng)一安全管理平臺，可用彈性控制安全部署DataCenterSecurity:ServerA

7、dvanced6.0可伸縮的安全防護(hù)加大數(shù)據(jù)中心安全控制能力-新一代的SCSP產(chǎn)品功能將會服務(wù)器加固過程-根據(jù)安全策略提供規(guī)則向?qū)ПＷo(hù)技術(shù)；智能白名單、進(jìn)程、基本無需事先了解服務(wù)器應(yīng)用程序應(yīng)用程序的發(fā)現(xiàn)與信譽(yù)機(jī)制選擇應(yīng)用程序和沙箱保護(hù)方式應(yīng)用程序配置文件開箱即用的默認(rèn)沙箱controller,database,mai:(domain所有已經(jīng)存在SCSP的功能DCS:SA&SCSPClient安全防護(hù)的基本原理服務(wù)及后臺進(jìn)程交互式程序DNS ServerRegistryNetworkDevices默認(rèn)的服務(wù)及程序Memory進(jìn)程訪問控制為每一個程序集分配一 個沙箱，每個沙箱根據(jù) 策略的定

8、義實現(xiàn)有限的 資源訪問和行為控制Chrome fOutlookKernel “RPC被保護(hù)主機(jī)大多數(shù)應(yīng)用只需要有限 的資源以完成相關(guān)工作但大多數(shù)程序擁有遠(yuǎn)遠(yuǎn) 超出其自身要求的資源 惡意的入侵攻擊常常利 用這些空隙ySymantec.新IT環(huán)境下的新安全防護(hù)需求2軟件定義數(shù)據(jù)中心安全防護(hù)最佳實踐專用業(yè)務(wù)終端安全防護(hù)最佳實踐14SDDC安全防護(hù)需求分析關(guān)鍵資源保護(hù)（配置文件、注!安全管理需求虛擬化基礎(chǔ)設(shè)施安全監(jiān)控與審：計；安全策略前置，隨身行安全防護(hù)需求;惡意軟件防護(hù)；系統(tǒng)及應(yīng)用漏洞防護(hù)冊表、系統(tǒng)用戶等）主機(jī)用戶權(quán)限濫用控制系統(tǒng)進(jìn)程控制系統(tǒng)變更監(jiān)控系統(tǒng)邊界防護(hù)1.惡意軟件防護(hù)不是需求的所有。2、安

9、全防護(hù)的對象不僅是VM。3、安全防護(hù)是分級別的。4、最強(qiáng)防護(hù)一定是在系統(tǒng)層。DCS數(shù)據(jù)中心安全防護(hù)的架構(gòu)UO/J032CLdDDU應(yīng)用場景工:惡意軟件防護(hù)需求描述數(shù)據(jù)中心主要采用VMWare虛擬化技術(shù)實現(xiàn)，虛擬主機(jī)的操作系統(tǒng)以Windows為針對VM實現(xiàn)惡意軟件防護(hù)能力，并在被保護(hù)對象上不希望安裝防護(hù)客戶端程序；解決方案部署DCS:S系統(tǒng)，與NSX集成提供Agentless的惡意軟件防護(hù)功能。應(yīng)用場景2:基本的安全攻擊防護(hù)能力需求描述對數(shù)據(jù)中心的服務(wù)器進(jìn)行安全攻擊檢測對數(shù)據(jù)中心的服務(wù)器進(jìn)行安全攻擊防護(hù)General SettingsOHAppNcitloo SMidbOM OptionsC=H

10、EdhMHost SecurMy ProgramsOBE&Mirterna ExjMoraCZHE«*linterne sixmME3BEd«>Microson Exchange Ser verEcfflMiaoson Office£Edit MkosoH SQL ServerEdi!陽Outlool 8 OUbok ExpressC31Ed則Oracle RDBI4SOS Saeidbox Option冬sere解決方案部署DCS:SA對數(shù)據(jù)中心的服務(wù)器進(jìn)行安全攻擊檢測及安全攻擊防御MemoryCwihols苗ErafclsBufferOverfl

11、owDetecton司BlockiiuiuBiialmemoryallocMiona-IEdt4ErcepiionsforunusualmenrayalccatonsBIckHunu811Mmemorypermiaienchanges_Edt卜Exceptionsforunysuolmemccvpermissionchanges刊BlochturningoffDataExecutionPreventionDIP)Ed中IExceptionsforturningoffDotaExecutionPrevention.I'DEP)General Settingsdit ESystem Fil

12、eWatch MonitorGlobal FileWatch SettingsMonitor System-Critical FilesCore System FilesMonitor File CreateMonitor File DeleteMonitor File AccessMonitor File ModificationEdit 田Core System Configuration Files回Monitor File CreateMonitor File DeleteMonitor File AccessMonitor File ModificationEdit 田Report

13、File Differences1°Monitor File Checksums Monitor File ChecksumsDate Time RestrictionsDate Time Restrictions應(yīng)用場景3:系統(tǒng)關(guān)鍵配置完整性監(jiān)控需求描述數(shù)據(jù)中心擁有大量的關(guān)鍵業(yè)務(wù)服務(wù)器,服務(wù)器上的業(yè)務(wù)系統(tǒng)配置文件、操作系統(tǒng)配置文件非常關(guān)鍵，一旦被非授權(quán)修改將導(dǎo)致業(yè)務(wù)系統(tǒng)異常；需要對服務(wù)器關(guān)鍵目錄或目錄內(nèi)的文件進(jìn)行完整性檢查。解決方案部署DCS:SA對關(guān)鍵業(yè)務(wù)主機(jī)的文件及目錄的創(chuàng)建、修改、訪問情況，文件的完整性變化，進(jìn)行實時監(jiān)控告警,包括提供引起變化的進(jìn)程或用戶，變更的相關(guān)內(nèi)容；應(yīng)用

14、場景4:最小權(quán)限需求描述數(shù)據(jù)中心擁有的部分服務(wù)器要求在一個絕對安全的環(huán)境下運(yùn)行，只有被允許的操作才能夠在系統(tǒng)中執(zhí)行，保證系統(tǒng)以最小的權(quán)限運(yùn)行。解決方案在數(shù)據(jù)中心部署DCS:SA,對服務(wù)器關(guān)鍵資源的使用進(jìn)行"鎖定"。的安全防護(hù)應(yīng)用場景5:虛擬化基礎(chǔ)架構(gòu)的安全防護(hù)MofnevSplieierSX_Dctectlo<iPolcySettnce需求描述：數(shù)據(jù)中心采用VMWare虛擬化軟件,需要對vSphereHypervisor主機(jī)進(jìn)行安全檢測，及時發(fā)現(xiàn)針對宿主機(jī)的攻擊行為、針對宿主機(jī)非授權(quán)變更行為；解決方案部署DCS:SA對Hypervisor主機(jī)進(jìn)行安全檢測，包括針對攻擊

15、行為的檢測和配置變更的檢測。GoncrdSettingsCkOalPolkySettingsEdrp|ES：<HostServerLoga)dWKFilePatnSett像*dtl*lES'HotfS-FrvrFieI.IWakviPdlngImer/al44nnItttdddEEEESXHootM©IntegrityWrrtor(HNT03)ESXConfmonfifesESXconfESXHostCommandLineInterface(CLI)MonttorCLILoyinDetectionCLIFailedLoginDetectionFaredlontiiesh

16、odtimerteivalandSeverityKecordindividualratedLogrs)toconsoeCLIRootLoghDetectcnCLiUseiLoghDetectionCLiLoinDeteambasedOnTmeofDayorweekCLICommandMonitofinQMonRoiSUDOCommandsMonitoiAJIRootCommardsFSXHcSHrawallMontforHostESXFwewalAlbwAlincomngPortsHostESXFrewalAlbwAlOutgoingPortsHoc!e$XNonStandfitfdPorte

17、rotocolMocif»c«tiorESXHostAdmmtstratorWebAccessMonorESXHostAcifnmWebAccessFaieclLoginDetectionFaedLogotrreshau,lint-mief/ai,ancbevetiyRecordbdviduaiFaledLogln(sitoConsoieESXHostAcltnlnWebAccessInvalidRequestDetectionRecordrxividuanvd©RequesttoConsoleESXHostAttackDetectionAttackDetecti

18、onDateandTineResectionsHrtPiHTTPS'.unerabltyScannngctivtyDetectedESXSystemViiWarf#dtyScanningActMyDetectedNMAPNSEScanningAdiytyDetected安全前置：虛擬化管理平臺的資源管理【-】aBriKi、r七A-*tb£囹】1-資源官理曲d心3roig0017Z.Z9.3Jg172.2P,3.12g172.».3.13口17Z,Z9.3J4g5口172.43.16g17Z.5,3.17口8

19、明0田器19R2加SyMCQJ«ng5u_Weruing6AD浮CCSH確乙乂/1/V入門"ZSvilQ1”如.103”2如小Q"2293.I2Q172293.1331722S.3.H317229,3.15317229.3.163172393173172393183帝172293M093H172293113g172(338sm©必銀一炊斤9g電CCS.SCT小：O».W!H-Ur“c©VC551MIWUMdglXR什么是朝機(jī)與，汨耳機(jī)一樣，算帆。詡炯因力狂言即AM作不日<

20、;L作達(dá)J9-五vCcrterSc臺主機(jī)司自行，基本任務(wù)險啟動虐“1爭墉焦慮必!l.R-JCfv第TRG*0TJAtxZt笫W力卬®g囪電玨eHP機(jī)口蝴M>打網(wǎng)紗后0CPSCSP凈5C5P_8»t_l_nJXa>$pcCpSSIM田TJ1,5-5elOSDlX3ZgT_Redhat5.4|博1_反6曲加inuxJMJ田l_Redhatlinux_M_2海IJWn2003R2g并牌才總近秒曾克席(CX.Q帔(DToler»珈機(jī)而笛茁又，小川）滲加城SCul*l明汕>1而.6*TJWn2008R2而VMeV5M由jn:c受品8日右近鯊口中打開M.Cu

21、l*Alt»rM甲申網(wǎng)co耳超,的00QIjsacc-vSphereClient文件編榕視圖附活單以）系統(tǒng)管理從）插件色）幫助00松主頁D用藥單D電虛I以機(jī)和模撅oa®|受|瞪歇ccIrvr禺照況第reu口口口N1已發(fā)現(xiàn)副機(jī)172.Z9.3.1D12SYI4CjmccLinux_R.&dhatJSUSE10SP1X32s)jsellSPl-64bi3-資源交付克隆©轉(zhuǎn)換成虛擬機(jī)CD.從該填機(jī)部罷屋旗機(jī)）劾1螂艮伊）Ctrl+?在新窗口市打開怎）Ctrl+Mt+K更命名01）從清華中移豚的從磁盤刪除03負(fù)源官1埋：自多

22、個虛擬觀用組、資源池，資源組下多個虛擬機(jī)。彈舞翻出瞠露t癱全系統(tǒng)客戶端，客戶端靜默，而后以此虛擬資源交付：以該模板為基準(zhǔn)，創(chuàng)建虛擬機(jī)資源T_RedhatLinux_M。安全前置的技術(shù)實現(xiàn)效果IsmccEhlEbkf3曲dusterOl口17Z.?.3.10J5172.312口172,5.3.13J45172,».3.15口172,9.3.16J7|172,9.3.1012SYNCyang5u_KisrJngT；AD(3CC5(3SCSPSCSPzrfc.Lrux田3PC器SS1M海衛(wèi)竺

23、竺"pl%銀孕|TJ<£lhat5Wl祥T_RdhatUn必U昆T_RcdhWinLix_M_2理lJMn2003R2那T_n2OOBP2注UM臣：<x;*lbo%,»*.rrrrSynmntrc<ExfISy«»trniProtEmcS.2.9LoagMoc|oyirodmnCmneciMTo:Loctihootserver細(xì)自”卜_-(iPreferencesAdvancoOSeaichIfteMCtkPreventionDetecCon/AssetPdk.k-1$駕PNcy修172.2531017229341G17223

24、.3.12?S5YWC(5B8HSuj4«HJ»»avyn*CommonCoimgsJgJCcmTKnCann(uraScnABtKMlesbVindowsKodesSoIbtw3”LruxMM3qoup岬性G»ynLiiwrjiuL»bpvS.OtriOG?3ym_wii_mJL8tt>v$00noCustomPrewentionPeldesMoCH»fcKame|IPAddressPoHcyferstonl°SLastContact9XSC笠_Mm17229.3242口sj,m_urix_ru!Lsbpv5.0.0

25、r70LingOUl-20131409T.RechatUnux.w.i172293241s，E_unxjrQ3clon_8Cp22.29070Linw01-201314egT_Rech3tLmux_H_2172292240s)m_unx_Froterton_5tp<6229870Lirlk(M明月-2(meX!T_Win2003R217229.3249syn)_K(Uacwied_A,§Mon.2.9.670Vrflndwi01兒月201314eWJ_VVT»2(XW?2172293283/二制n-praclQn_CM0_3.29670Wlndsrs。

26、1少月2。13“JPO*eyJ$YMC®川”11MPapelof1torI_ReanatL*nvx_M_iG«n«ralNIupsiCorFigaGrowEvsrte|Historyharm:Verier：OperathoSytnwDom3hPAddratfifCrewee丁一口用，兒5.2967。liWx2B.19l6g力SWPTjjjg181ssi48&OT2Q09鎮(zhèn)的一。)3Ml31VW2O13170043CSTWodflfrtO1.?S.2t>13M363BCSTLBKCcrtac：01-7.r-2Q1314:3：33CST資源發(fā)布后，DCS

27、SA客戶端自動注冊到管理控制臺從Vmware虛擬平臺同步資源組織架構(gòu)根據(jù)資源組，自動化安全入侵防護(hù)策略下發(fā)和執(zhí)行虛擬機(jī)飄移到不同的資源組，可以自動繼承資源組已有的安全策略防護(hù)效果示例：DCS:SA內(nèi)存攻擊防護(hù)攻擊原理-利用Windows口令緩存加密算法可逆的缺陷,對系統(tǒng)核心進(jìn)程lsass.exe進(jìn)行線程注入攻擊，破解內(nèi)存中的賬戶口令攻擊效果-獲取Windows上曾登錄過的所有帳戶口令攻擊演示選定BiaikAtz1.0z8&(alpha)Traltenent du Kiwi <Feb 9 2012 01:46:57) */C:Win32>ninikatz.exeninilca

28、tz1-0x86<alpha>ZZhttp:z/blog-gentiIkiw1-citznimlkatzninikAtz#privilege：<lebuy|Dnnandcd,ACT1UATIONduprivilege:SeDelxiyPriuileye:OKninihatz#inject：procc33loass.cxc3cktirl3Q.dllPH0CESSENTR¥32<13as3.cxc>.t：li32Pi-o33lD-436Ittontcdoconnexionducliont.Sorvcurconnect©qunclient!iossa

29、c(cdupi'ocoscus：Bienvenuedan©unppoceeeuedictMGentil攻擊成功后可獲得系統(tǒng)開機(jī)后所有曾登錄過賬戶的明文口令SekupLSD：iilniKatztt向Isassex讖程;主人esdesdcurit6sdansISASS，dll文件AutlicntificationJd5FV，/VUtilisatcurprincipalDonckincd，authcntiFicationmsul_W:lm<d8c«43fc93Sllb9Ubfe»9Ub>：R;73A964niUil：edmin：UEBSERUER?9

30、b67f2bI«dUafkJ4'9393d9?c?al8?3c，ntlnC61cbr2b68f|wdiqcwt;：synantccAuthentificationIdPackagedauthentificationUtilisateiiFprincipalDnnained，authentIficationmsu1_P:lm<6ae?31b73c59d7eAc089c0>蚓dig，匕：0；996：Negotiate：NFIWORKSERUICE：NTAUTHORITYaad3h435l)5I404eeaad3M35b51404entln<31d6cfeWdi如

31、演示所示，獲取到admin賬戶的口令為AutlientificntiunIdPackaged，authenti£icationUtilisutcurprincipalPonaincdauthentification0；61536NTLMmsul_U：vdicst：n.t.<LU1DK0>n.t.CLUIDK0>Symantec,Administrator的口令為symantec123Utilisateur principal Dtmaine d1 authentification ms u 1 _Q :lm<46ace4cdffab372cb353dc >

32、;icc21c4<108AnthentificationId：«；1W/421Packaged?authentification：NTLM：AdRinistratop：WFBSERUER79力67£2h£8皿£。4，如81)92£89。居9/7ntlnCsynctnf;ecP123內(nèi)存攻擊防護(hù)效果JDJxlMemoryControlsEnableBufferOverflowDetectionBlockunusualmemoryallocationsExceptionsforunusualmemoryallocationsastContac

33、tfin-2012235532CST1-nj-2012112709CST1-n>2012114417CST1-MfJ-2012114708CSTBlockunusualmEdiExceptionsrmissionchangesBlockturningSCSP服務(wù)端開啟異常內(nèi)存保護(hù)。tSP阻止了線程注入攻擊EdK*ExceptionsforturningoffDataExecutionPrevention(DEP)IKiMkrosoWRpcpserMod9ChkAcc.logJ59rMod9IChkAcc.logMeAWebserver11-'1B113905FileACCESSW

34、arningFilewiteDeniedfoisxnosi®。oncvmnDOWSVdebuUserModeK;hkAcc.lOQAWebserver11-7UJ113050MemoryZccessWarningThreadinjectionbfprocessmimikatzexeintoprocessl。砒DO*VSlsysiem32MsaasexeAdmin內(nèi)存攻擊防護(hù)效果（續(xù)）CA命令提示符9 2612 01：46：5?> */C：Win32>ninika.tz.exeniniLatz1.0x86<a,lpha>/決TraitementduKiwi<

35、;Feb/littp：/blog.ffentilkiwi.Gon/miinikataUiniatzttprivilege:debugDemanded'ACTIUATIONduprivilege：SeDebugPriuilege:OKnimiJatzinject：processlsass.exeseKurAsa-dll-PBOCESSENTR?32(lsass.exe>.th32ProcessID=436AttentedeconnexionduclientC：Wir)32>.攻擊失敗，并且攻擊工具被SCSP自動殺死bd小結(jié)：DCS是SDDC安全防護(hù)的首選全面覆蓋虛擬化環(huán)境-三

36、位一體，全面防護(hù)重量級防護(hù)，輕量級運(yùn)行-全面加固WindowsVMVMVMVMLinuxVMVMCCS-節(jié)省資源多系統(tǒng)平臺覆蓋可實現(xiàn)安全零維護(hù)- 無簽名，免升級- 策略模板化- 策略隨身行VMVMvShieldEdge/AppA.vCenterCCSI安全配置評估DCSJl電）基礎(chǔ)架構(gòu)觸防護(hù)Im演用分髓U和認(rèn)證Y Symantec.軟件定義數(shù)據(jù)中心安全防護(hù)最佳實踐賽門鐵克DataCenterSecurity解決方案發(fā)布會|新IT環(huán)境下的新安全防護(hù)需求專用業(yè)務(wù)終端安全防護(hù)最佳實踐銀行自助柜員機(jī)（ATM）使用現(xiàn)狀口口由atm品牌眾多，口口碑運(yùn)營模式復(fù)雜多樣國內(nèi)主要品牌有迪堡、神碼、長城、廣電、德利

37、多富、日立、升騰、新大陸、怡化、實達(dá)等品牌眾多，各家的系統(tǒng)和運(yùn)營模式不同，安全防護(hù)措施和標(biāo)準(zhǔn)也不同系統(tǒng)操作系統(tǒng)復(fù)雜多樣,從嵌入式向標(biāo)準(zhǔn)Window過渡，WinXP是當(dāng)前主流平臺由于系統(tǒng)配置較低，國內(nèi)主流ATM廠商（如廣電運(yùn)通）早期均以Embeded系統(tǒng)為標(biāo)配現(xiàn)在ATM廠家可按照用戶需求提供系統(tǒng)，如：WinXP+WinxpEmbededWinXP開發(fā)成熟穩(wěn)定,Win7需要更高的硬件,增加成本，如無特別要求，廠家一般都提供WinXP發(fā)展銀行逐漸淘汰早期ATM設(shè)備來滿足更為安全的業(yè)務(wù)需求銀監(jiān)會要求2015年之前完成有磁卡到磁卡+IC卡的支撐改造，早期ATM機(jī)已不適應(yīng)該需求新ATM設(shè)備硬件配置：2G內(nèi)

38、存+500G硬盤銀行自助柜員機(jī)（ATM）安全防護(hù)現(xiàn)狀和問題安全統(tǒng)方面安全防護(hù)現(xiàn)狀 國內(nèi)ATM品牌幾乎都不提供集成安全解決方案 硬件+裸系統(tǒng)+業(yè)務(wù)軟件 廠家只能提供本品牌的維護(hù)，常見做法就是在現(xiàn)場重刷系統(tǒng)存在的問題和風(fēng)險 ATM品牌眾多,安全防護(hù)策略和手段差異大，無法建立統(tǒng)一的ATM設(shè)備安全集中管理平臺 銀行柜面終端防護(hù)手段與ATM基本相同惡意代碼防護(hù)方面安裝傳統(tǒng)防病毒軟件是現(xiàn)在主要的安全防護(hù)手段，防病毒軟件存在諸多不適應(yīng) 很多嵌入式系統(tǒng)無法安裝常規(guī)防病毒軟件 防病毒軟件本身的系統(tǒng)資源和帶寬消耗極大，導(dǎo)致ATM系統(tǒng)不穩(wěn)定。當(dāng)發(fā)生故障時,經(jīng)常發(fā)生和ATM廠家扯皮的現(xiàn)象'防病毒軟件需要依靠頻

39、繁的病毒特征庫升級，占用網(wǎng)絡(luò)帶寬 防病毒軟件是針對設(shè)備內(nèi)存在的病毒文件的檢測和處理,無法防護(hù)外部直接攻擊安全補(bǔ)丁方面安裝非常有限的Windows補(bǔ)丁由于ATM的業(yè)務(wù)特殊性，銀行無法及時部署Windows補(bǔ)丁-攻擊者可以利用Windows漏洞侵入ATM設(shè)備獲得最高權(quán)限從而控制整個設(shè)備安全鎖定保障ATM最小權(quán)限的安全運(yùn)行環(huán)境SCSPClient 鎖定ATM的網(wǎng)絡(luò)環(huán)境，嚴(yán)格限制網(wǎng)絡(luò)通訊 只允許ATM應(yīng)用與后臺特 定服務(wù)器通訊網(wǎng)絡(luò)環(huán)境”鎖定應(yīng)用環(huán)境"鎖定" 鎖定應(yīng)用進(jìn)程運(yùn)行環(huán)境，嚴(yán)格 限制可運(yùn)行的進(jìn)程及資源 只允許ATM的應(yīng)用進(jìn)程及其 調(diào)用的系統(tǒng)進(jìn)程和資源運(yùn)行 進(jìn)程間繼承關(guān)系智能檢測識別可以有效控制惡意代碼的傳播和感染，防護(hù)網(wǎng)絡(luò)攻擊可以有效控制惡意代碼、非法進(jìn)程的執(zhí)行和活動ATM及柜面終端機(jī) 鎖定系統(tǒng)運(yùn)行環(huán)境和資源 開啟系統(tǒng)資源保護(hù)，防止 緩沖區(qū)溢出、進(jìn)程注入、 內(nèi)存注入等攻擊;®:系統(tǒng)環(huán)境"鎖定"策略“統(tǒng)一”管理 支持所有ATM設(shè)備和系統(tǒng) 集中管理ATM安全防護(hù)策略 統(tǒng)一監(jiān)控AT