BES产品白皮书v3.0.2 - 图文(4)

BigFix 产品白皮书

4.2.1 安全配置管理

当前，需要被保护的企业其计算能力及计算机环境的参与者正在呈指数级增长，所以安全配置管理需求对于企业来说也变得愈发的重要。由于业界最佳实践，政府机构要求和行业规范的参与，实现高效安全管理的解决方案也不断趋于标准化。美国国防信息系统局（DISA），国家标准与技术研究所（NIST），国土安全部（DHS）和国防部（DoD）等机构开发了一系列针对不同操作系统平台的配置标准，要求美国各联邦机构和军队机构必须遵从，以提高信息安全并减少整体IT运营费用。同时，许多私营企业也采用这些政府标准作为内部规范。BigFix可以在整个组织中为制定和执行这些策略规范带来前所未有的实时可视及控制能力。

BigFix安全配置管理模块提供全面的技术控制集，可在Windows，UNIX和Linux系统上检测和执行组织的安全配置策略，帮助IT组织达成法规遵从和最佳实践的目标。此模块具备以下特点：

? ?

实现自动化的配置可见，设定及强制

通过订阅来自BigFix的，可即时应用的修复策略使安全配置管理遵从来自SANS学会，美国国家标准技术研究院（US National Institute of Standards and Technology（NIST）），美国国家安全局（US National Security Agency（NSA））和微软的最佳实践 ?

可选择支持美国国防信息系统局技术规范（Defense Information Systems Agency Security Technical Group（DISA STIG））和美国联邦桌面通用配置（Federal Desktop Common Configuration（FDCC））标准的BigFix Fixlet消息库，每个策略控件映射相应的标准参考ID

? 包括BigFix安全策略管理器，可通过订阅不断丰富的，预打包的Fixlet消息库来实现

安全配置策略遵从并使策略配置自动化；可覆盖多方面的安全配置，包括MS Office/IE/Outlook安全配置检查、网络连接管理、外设管理、网络共享管理、进程及服务管理，屏幕保护设置和密码策略等等 ?

整合多种策略驱动型配置管理模版，降低安全审计费用及安全风险

13

BigFix 产品白皮书

? ? ? ? ? ?

可对离线的终端进行策略强制 特别查询及上报

客户端自我监管，可不间断根据配置基线进行评估及修复 可自定义内容满足多样化的安全配置管理需求 将修复周期由数天或数周缩短为数分钟或数小时 在弱点和漏洞被利用前主动进行封堵

? 实时的报告满足目标和法规遵从需要

4.2.2 漏洞评估

BigFix漏洞评估模块可依据来源于MITRE公司脆弱性评估语言OVAL（Open Vulnerability Assessment Language）的漏洞评估定义知识库对所有安装了BigFix客户端的终端进行主动的系统安全漏洞评估，以实现对企业网络脆弱性检测的基准测试。此模块具备以下特点：

? ? ? ? ?

主动的风险评估和风险管理

不间断评估系统状态，识别安全漏洞但不影响系统性能 对可识别的漏洞进行安全等级和优先级划分

对连接企业网的固定终端和离线的移动计算机进行全面的漏洞管理 兼容MITRE OVAL/OVAL-ID

4.3 BigFix终端防护

BigFix终端防护方案集将多种最重要的终端防护服务结合在一起——包括防病毒、反间谍软件，网络准入控制和终端防火墙等——管理员可以通过BigFix统一管理平台对这些服务进行无缝的集成管理。借助于单一的代理和单一的管理控制台，BigFix终端防护方案集可消除由于使用多种安全工具所带来的复杂性，混乱性及高昂的费用，可在全球规模实现主动的，先发制人的策略驱动式终端防护而无须增加管理和使用成本。更重要的是，IT人员可通过他们在实现系统生命周期管理和安全配置及漏洞管理时使用的同一BigFix基础架构和管理控制台来实现终端防护。

14

BigFix 产品白皮书

4.3.1 防病毒

无论终端是否连接到企业网络，BigFix防病毒扩展模块都可以维护被管理的终端免受计算机病毒的侵害。该模块可以部署特别针对BigFix进行优化的防病毒客户端到联网的终端，不间断地对系统进行监控，执行按需及定时病毒扫描，更新病毒定义文件，评估网络健康程度并通过展示板跟踪工作进度。此模块具备以下特点：

? 突发威胁快速响应——利用快速响应中心网络实现对病毒威胁24 x 7的监控和响应 ? 多种检测技术——包括特征匹配及高级启发式检测

? 强制防病毒策略——BigFix终端代理可确保防病毒软件客户端的安装和运行，弥补

一般防病毒软件5-15%的部署间隙

? 跨平台的集中报表——可为多平台环境及分布式网络提供全面、准确，统一的防病

毒状态实时报告

? 自动当日下载最新的病毒定义文件及更新，将Windows漏洞暴露时间窗减至最小 ? 闭环反馈信息——从每台终端接收实时状态，能使IT人员在几分钟内确认升级文件

的成功交付而不会对网络带来影响

? 最低的误报率，最广泛的覆盖，确保高水平的方案完整性

4.3.2 终端防火墙

BigFix终端防火墙扩展模块通过BigFix控制台对终端防火墙的管理进行集成和强化。该模块可结合并对应BigFix的策略来实现基于终端状态细粒度评估的网络访问级别定义，动态并自动地根据环境标准调整防火墙策略。此模块具备以下特点：

? 采用独特的评估，修复及连接（ARC）工作模型，允许管理员根据终端安全状态动

态定义防火墙的访问控制策略 ? 强大的包检测及过滤技术 ? 提供细粒度的策略强制

? 具备位置感知技术，可在任何时刻检测终端访问企业网络的连接类型——LAN，

VPN还是WLAN，当连接类型变化时可自动调整访问控制策略

15

BigFix 产品白皮书

? 应用级阻断可为出入终端的通讯提供特殊的控制

? 集成网络准入控制功能，可实现终端基于安全策略的自我隔离 ? 通过控制台实现实时的可视及可控

4.3.3 反间谍软件

间谍软件和其他恶意软件会威胁到组织业务的连续性，需要花费一定的时间进行修复，从而降低员工的生产力并威胁到敏感的组织和客户数据。目前在互联网上已有数万种程序可窃取数据或可让攻击者访问目标计算机。跟据微软公司的统计：不需要的，恶意的程序导致了50%的PC崩溃事件。

BigFix反间谍软件扩展模块以可扩展的，实时可控的BigFix平台为基础，可帮助IT部门减少用于修复被破坏的IT资产的费用，并保护计算机及敏感信息不受间谍软件和其他有害软件的威胁。此模块具备以下特点：

? 提供针对间谍软件、广告软件、击键记录软件，远程访问木马程序及浏览器劫持工

具的全面保护

? 采用独立的专用反间谍软件引擎，兼具特征匹配及高级启发式检测技术

? 采取主动保护，可清除内存中运行的有害程序，在间谍软件窃取敏感信息前及时予

以清除

? 可对反间谍软件进行快速高效的升级

? 提供有害软件感染情况，清除状况及危害程度的集中报告和分析 ? 将由间谍软件威胁带来的漏洞暴露时间窗减至最小

4.3.4 第三方防病毒软件客户端管理

通过BigFix的实时可见及可控的基础架构可强化并简化第三方防病毒软件客户端的管理。该模块不仅可以将防恶意软件的防线置于BigFix的管理架构之下，还可以为专有的恶意软件防护管理架构带来前所未有的扩展能力，速度及完全性，使组织能够真正走在外部威胁的前面。此模块具备以下特点：

16

BigFix 产品白皮书

? 为防病毒和其他安全及系统管理服务提供单一及可升级的管理点；实现统一的管理

视角和控制

? 实时展现当前使用的防病毒软件客户端和恶意软件特征识别状态 ? 在多品牌环境中实现快速，可靠的DAT升级文件分发

? 支持CA eTrust，Kaspersky，McAfee VirusScan，Rising，Symantec/Norton，Sophos

和Trend Micro等防病毒产品

? 弥补Windows计算机使用环境中5-15%的防病毒软件覆盖盲点 ? 降低防病毒软件管理成本并提高其管理质量

5 部署与使用

如上图所示，在企业网络中部署一台BigFix服务器，定时与位于互联网的BigFix Fixlet

服务器通信，下载最新的Fixlet策略消息。

在网络中所有的服务器，台式机和笔记本上安装BigFix客户端程序，由BigFix服务器

统一管理。

BigFix中继器可通过控制台实现远程安装、启用和管理。BigFix系统使用中继器汇聚

17

百度搜索“70edu”或“70教育网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，70教育网，提供经典综合文库BES产品白皮书v3.0.2 - 图文(4)在线全文阅读。