赛门铁克Symantec企业终端标准化解决方案.pptx

presentation identifier goes here1 symantec企业终端标准化解决方案 袁源 华东区系统工程师 symantec公司介绍 presentation identifier goes here2 全球第三大的独立软件公司 全球第一大安全软件产商 全球第一大存储软件厂商 2010财富500 第353名 年收入接近70亿美元 机构遍布40多个国家 17500多雇员 关于赛门铁克(symantec) 3 存储基础架构软件 （市场排名第一16） 行业知名度 赛门铁克公司概况 7 消费费者端点安全 （市场排名第一1） 安全领域的领导者 存储和可用性管理的领导者 核心存储管理软件 （市场排名第一15） 端点安全 （市场排名第一2，位于gartner魔力象限的领导者象限3） 消息安全 （市场排名第一4，位于gartner魔力象限的领导者象限5） ssl证书 （市场排名第一9） 安全信息和事件管理 (siem) （位于gartner魔力象限的领导者象限11） 安全管理 （市场排名第一10） 电子邮件归档 （市场排名第一13，位于gartner魔力象限的领导者象限14） 数据保护 （市场排名第一17） 防止数据丢失 （市场排名第一6，位于gartner魔力象限的领导者象限7 ） 移动数据保护 （位于gartner魔力象限的领导者象限12） 政策和法规遵从 （市场排名第一8） 中国区概况与发展 1998年进入中国，在北京、上海、广州、深圳及成都设有分支机构。 1999年在北京成立技术支持中心，目前向大中国及日本和韩国用户提供技术支持。 2004年在北京成立研发中心。 2006年在成都成立研发中心，规模高速增长。 2007年在中国成立安全响应中心，迅速响应来自本地的威胁。 2008年2月，赛门铁克公司和华为技术有限公司宣布，双方合资公司已正式成立。 1998 1999 2004 2006 2007 2008 进入中国 在北京、上 海、广州、深 圳及成都设 有分支机构 北京 技术支持中心 (beijing tech support center) 北京 研发中心 (cdc beijing) 成都 研发中心 (cdc chengdu) 成都 安全响应中心 (src chengdu) 华赛 (huasy) 赛门铁克领先亚 太区安全与存储 软件市场 idc表示，在所 有调查的存储软 件中，赛门铁克 占据明显的市场 领先地位 2009 5 大中国地区 主要地点 北京 销售部门 1999年：技术支持中心 2004年：研发中心 成都 销售部门 2006年：研发中心 2007年：安全响应中心 大中国地区 1998年：进入中国 在北京、上海、广州、深圳、 成都、武汉、香港及台湾（台北 ）设有分支机构 2008年2月，赛门铁克公司和华 为技术有限公司宣布成立合资公 司 - 华为赛门铁克 台湾（台北） 销售部门 上海 销售部门 香港 销售部门 广州、深圳 销售部门 赛门铁克技术支持人员分布于 北京、上海、香港、台湾。拥 有近100名人员组成的专家队 伍。 6 大中国区合作伙伴 赛门铁克超过1300家合作伙 伴覆盖全国绝大部分地区， 包括香港、澳门和台湾地 区。 7 symantc提供全方位的解决方案 数据保护与容灾数据保护与容灾 数据中心存储优化数据中心存储优化 基础架构与信息安全基础架构与信息安全 安全管理与审计 itit 基础设施 信息 数据库、文件、邮件、设计图 服务器、存储、网络、pc 战略重点和企业解决方案 数据中心优化企业安全和管理 solutions: 战略重点 安全管理 终端安全 信息安全 web安全 终端管理 it 服务管理 终端虚拟化 it 遵从 发现和保存管理 数据防泄密 数据保护 存储管理 归档 高可用 灾难恢复 绿色it 虚拟化管理 9 终端标准化演进路线 presentation identifier goes here10 为什么从终端讲起？ protecting infrastructure protecting information protecting interactions 端点是it架构中的关键组件；虚拟化和移动设备的 增长将导致端点分叉的增长 端点是主要的信息泄漏点和脆弱 点 端点进入网络的主要 门户 因为终端是企业信息安全中最重要的一环 过去，终端的价值被严重低估 终端失陷以后 企业安全边界被突破 对周边环境的影响 停工降低生产效益 直接财务损失 机密与隐私泄露 企业声誉损毁 服务水准降低、关系恶化 监管不利导致法律风险 还有各种“意外” presentation identifier goes here13 19952000200320062008future 标准化管理 系统策略配置标准化 ； 安全防护措施标准化 ； 软件使用标准化； 管理流程标准化； 硬件配置标准化； 终端管理的技术演进 单机防病毒 网络版防病毒 单机防火墙 单机ghost镜像 单机远程登录 网络版防病毒 单机防恶意软件 单机防火墙 单机ghost镜像 单机远程登录 补丁管理 集成的安全防护 软件 基于策略的补丁 管理 遵从管理 内网终端管理 终端准入控制 14 今天，终端标准化的意义 提高终端的安全性和可管性 没有标准化就没有全面的防护 没有标准化就没有统一的管理 没有标准化就没有强制的安全 提高运维效率 没有标准化就没有自动化 没有标准化就没有效率 没有标准化就无法降低成本 终端标准化要求四个转变 强制统一的安全 安全管理为核心 标准化的、自动化管理 一体化的方案 自觉自愿的安全 安全防护为核心 个性化的、人工的管理 单功能产品的松散组合 presentation identifier goes here16 symantec终端标准化建设三步走 防病毒、反间 谍软件等端点 保护措施 symantec endpoint protection 桌面管理 symantec altiris client management suite 网络准入控制 symantec network access control 终端管理 终端安全 终端准入 终端标准化 建设 终端资源配置管理 安全木桶的桶箍 终端安全防护 终端安全 17 终端安全问题 l病毒破坏 l木马造成黑客攻击 l外设使用混乱 l混乱的应用程序环境造成系统不稳定 l使用应用程序行为不规范造成信息安全风险，带来网络威胁。 (qq、bt下载） l安全状况参差不齐，易受到攻击和病毒爆发 19 当前防病毒体系需要增补的领域 系统漏洞渗透 防间谍软件 usb病毒查杀、读写权限控制、应用管理 光驱、红外、蓝牙、3g等外置设备管理控制 防病毒/防间谍软件 应用程序控制 主机防火墙 主机入侵防护 网络访问控制 外设管理 应用程序执行控制、下载管理 聊天工具，p2p工具管制 应用程序指纹系统防止程序改变 各种网络途径监控 系统配置缺陷定位 强制健康检查修复 20 完整的端点防护 antivirus antispyware firewall proactive threat scan device control network access control application control (network) intrusion prevention 需要的端点技术 symantec endpoint protection v11.0 其他厂商 bac 已具备snac 简易授权即可启用 完整的防护 最佳技术 * 防病毒 防间谍程序 防火墙 主动威胁扫描 外设管理 网络访问控制 应用程序控制 (主机)入侵防御 终端准入控制 21 外来电脑设备接入问题 22 l未授权的用户私自接入网络，造成安全威胁 l不安全的计算机接入网络，造成安全风险（带来木马、引起病毒爆发） l校内计算机违反安全策略（不装防病毒、不打补丁、安装黑客工具） 23 准入控制 工作站 symantec 策略管理服务器 修复服务器 局域网准入控制器 隔离vlan 受保护网络 客户端连接， 系统通过eap 协议传送、遵 从、策略数据 交换机 转发数 据到lan enforcer hi 失败: 分配到隔离 vlan hi 通过: 打开交换机 端口 lan enforcer 检查策略 与遵从有 效状态 802.1x 透明模式 host integrity rulestatus anti-virus on anti-virus updated personal firewall on service pack updated patch updated patch updated symantec nac enforcement agent presentation identifier goes here24 symantec endpoint security manager 准入控制 symantec 执行代理 + symantec enterprise protection agent (self-enforcement ；peer to peer enforcement microsoft sql server 数据库 端点强制器管理 使用802.1x的交换 机 symantec 局域网强制器 symantec 网关强制器 dhcp 服务器 symantec dhcp强制器 终端运维管理 25 日常的运维管理问题 26 l分散的大量用户计算机如何管理 l如何为用户打补丁 l如何为用户安装软件 l怎么统计分散的it资产 l当用户计算机出现问题，如何远程协助和维护 l如何备份保护用户计算机上的数据 l新购计算机或者用户计算机损坏如何快速重新部署 powerpoint style guide27 重新定义 it 生命周期管理 部署新系统 os部署 网络配置 初始系统安装 定义资产 硬件资产 软件资产 固定资产 分发软件 应用软件 升级 病毒包 问题管理 远程控制 桌面帮助 升级 硬件更新 操作系统更新 应用软件更新 pc 个性化迁移 监视/跟踪 采购辅助 预定策略 检测非法软件 应用测量 软件授权管理 安全管理 端口/无线控制 管理员密码 系统安全漏洞分析 扫描、报告，补丁 it生命周期管理 业务连续性 软件自动修复 健康状态管理 冲突分析 备份和恢复 合约管理 软件许可证 硬件租约 服务水准协议 采购淘汰 安装设置 运作生产 事件和问题管理 资产管理 许可证遵从 cmdb service desk 系统设置 清单和基准设置 硬件和系统监控 虚拟化管理 远程诊断 部署和迁移 资产清单和应用程序计量 软件管理和补丁管理 软件虚拟化 远程控制和诊断 客户端管理服务器管理服务和资产管理 total management suite it analyticssoftware virtualization proworkflow solution 附加解决方案 data loss protectionbackup exec system recoverysymantec endpoint protection 与客户已有的赛门铁克其他解决方案免费集成 symantec altiris 7.0 altiris cms 7.0主要功能 结果 altiris client management suite altiris client management suite 7 映像制作和 部署 智能软件和 补丁程序管理 远程 协助 资产管理 终端数据备份 30 几分钟内全面恢复系统 异地复制 ftp 服务器 受保护的服务器受保护的服务器 系统 x nas/san 设备scsi、sata、sasusb/固件flash 内存 dvd/蓝光光盘 x 不同硬件不同硬件 系统 虚拟系统虚拟系统 系统 37 sps套件 32 symantec protection suites 3.0 让不同层面的用户有更加简单的选择 symantec protection suite enterprise edition sps ee for endpoints sps ee for gateway sps ee for servers sep snac self enforcement besr desktop smsdom smsmse sbg new 50 users symantec protection suite small business edition symantec protection suite advanced business edition sep sbe smsmse swg non-windows clients 250 users besr desktop sav for mac choice of sep or sep sbe sav for mac besr desktop besr server (1:50) sep snac self enforcement dlp standard altiris inventory & patch scsp client edition non-windows clients altiris workflow smsdom smsmse sbg swg snac gateway & guest altiris workflow sep scsp server edition altiris workflow new new new sms mse sbg mid-market to enterprise large enterprise smb 应用场景和案例 34 苏宁电器_终端安全 36 2004 symantec corporation, all rights reserved 用户环境 全国各省市都有连锁机构，划分为了14个大区，终端数量达 到2万台以上 原来部署采用了sav防病毒系统，版本包括8、9、10等 37 2004 symantec corporation, all rights reserved 用户问题 2009.4月出现大规模的病毒爆发 大量终端受到网络攻击，本机445端口有大量远程终端连接，导致网络访问不正常 被病毒感染的终端会主动连接其它终端的445端口 大量服务器的可执行程序被病毒感染，导致无法正常工作 问题原因分析 该病毒主要是利用系统漏洞和弱密码进行传播，如果系统存在这些弱点，单纯的防病毒软件是无法保证系统的安全。 而用户的终端和服务器恰恰大量存在这样的安全隐患，造成了病毒大规模爆发。 病毒传播破坏技术总是在不断更新，防病毒软件必须也不断更新才能应对最新的这些病毒威胁。用户环境中基本都是 sav9和sav10的旧版本系统，在安全防护效果上就大打折扣。 此病毒最早是在北京出现的（大约是在4月初），经过一段时间传播，才在南京、江苏全面爆发。这段时间，缺乏一个 对全国病毒感染传播状况的监控，也没有和安全厂商及时沟通确定补救措施，造成了现在的病毒爆发。 38 2004 symantec corporation, all rights reserved 方案建议 尽快将防病毒系统升级至sep11版本。sep11不是一个单纯的防病毒系统， 它集成了桌面防火墙、网络入侵防护、主机保护、应用程序和外设控制等 多项安全功能。实际证明sep11可以有效查杀苏宁电器出现的病毒，而 sav只能在安全模式下有效查杀。 强制建立所有终端的安全标准规范（snac），包括补丁更新、密码强 度、外设使用、应用程序的使用。 建立一套全国的病毒安全监控机制（ssim平台），及时发现病毒传播感 染的状况，加强与安全厂商的沟通，尽可能地将病毒的危害减少到最低程 度。 用户的大量windows服务器由于感染病毒导致无法正常工作，最坏的情况 可能需要重新安装系统和应用。为了能够及时对系统应用进行恢复，保障 业务的连续性，需要建立一套有效的服务器系统备份和恢复机制。 电信业_阿里巴巴支付宝_终端标准化 支付宝终端管理面临的挑战 支付宝是阿里巴巴集团创办,国内领先的独立第三方支付平台.目 前注册用户超过2亿, 日交易额达到7亿，日交易笔数达到400万 笔。 目前员工总数1200人，且预期至少会以每年20%的速度增长。 it部门有9人，因为新员工不断入职，需要派发电脑（台式机或笔 记本）。因此it部门60%的时间都是用在装机和日常桌面维护上。 it部门希望通过终端标准化流程，将装机流程自动化并与相关审 批流程结合，尽量减少人工干预，将it工程师从装机工作中解脱 出来。 用户希望实现如下目标： 终端部署标准化-企业终端集中式部署 终端应用标准化-终端上的应用程序安装标准化 终端安全标准化-按照企业规划的安全配置实现标准化 40 赛门铁克的解决方案 产品：altiris cms 具体实现功能： 部署时从杭州读取数据库，杭州、上海和成都从本地安装操作系统镜像和应 用程序 数据表中包括：机器名、序列号、用户名、部门、角色，应用程序列表 操作系统镜像适合绝大部分机型，即达到通用镜像效果 操作系统镜像包括公用的应用程序（例如office等） 操作系统镜像达到安全最大化（安全策略+启用防火墙+最新补丁+防病毒程序 ） 驱动程序在镜像外更新（可定期维护） 非公用应用程序在镜像外更新（根据企业提供的白名单） 部署完成后自动加入域 部署是从网络部署 上海和成都等分支通过各自本地的代理/文件服务器 整个部署过程无需用户参与 41 系统部署示意图 42 symantec公司 运输业-coscon中远集运-snac 44 2004 symantec corporation, all rights reserved 用户问题 拥有1000多台终端，分布在两个办公地点，由于少量客户端 的安全问题（防病毒未安装、病毒码升级不及时、关键补丁 未更新、运行恶意程序软件）可能会导致整体网络安全性能 下降 终端规模达到一定数量，不能单纯依靠人工手段解决问题 外部用户私自接入到内网，带来安全隐患 45 2004 symantec corporation, all rights reserved snac解决方案介绍 针对有线网络，配置交换机启用802.1x，部署2台 lanenforcer设备分布在两个办公地点，互为冗余 office a的2条vpn利用1台dhcp enforcer来实现准入控制 office a的1个无线利用1台gateway enforcer来实现准入控 制 office b的2个无线利用1台gateway enforcer来实现准入控 制 通过snac强制内部终端符合企业制定的安全规范，控制外部 用户只能访问有限的内部资源 广东核电 网络准入 47 广东核电终端安全问题 蠕虫爆发问题 曾经出现过数次的网络蠕