Symantec安全解决方案.ppt

Symantec安全解决方案 Agenda 2 信息安全风险发展趋势 业务功能越来越多 对外接口也越来越多 对信息安全的管理和技术控制措施提出更高要求 业务开放化 终端多样化 驱动利益化 攻击成熟化 公司内部员工 第三方人员等 利用其了解的信息和掌握的权限谋取非法收入 利用技术手段获取非法收益的地下产业链正在不断扩大 应用软件的多样化使得相应的漏洞数量也呈现出超过了操作系统的趋势应用补丁的速度却远不及操作系统补丁 应用补丁受重视程度低 但应用漏洞逐渐呈现被广泛利用的趋势 并大量通过客户端感染木马等方式 影响服务器端 大量自动化 集成度高的攻击工具 可通过互联网下载 攻击成本逐年降低 攻击的方法愈加隐蔽 使得发现和追踪更为困难 传统计算机领域的安全问题逐步扩展到多种多样的固定或者移动终端领域 特别是终端互联网访问中无意识的信息泄漏和遭受的恶意代码攻击等 给金融业务带来安全隐患 安全建设关注点的变化趋势 传统基于网络的防护虽依然是基础 但关注点逐渐转向对于数据内容 应用本身 用户身份和行为安全的管理日益增长的IT资产数量 无论硬件设施还是各类软件 高效安全的管理已成为大型企业关注的话题企业多年来的安全投资 是否产生了价值 这使企业开始考虑如何正确了解和评价企业安全风险 以及衡量安全工作成效的标准 并更加关注安全的监控和综合性分析的价值威胁的不断发展变化 使企业认识到安全投入的长期性 同时也更愿意获得在节约投资 加强主动性防御的安全建设方面的借鉴 以技术平台支撑的合规管理工作正在越来越受到重视安全威胁的破坏性越来越大 同时业务的发展对系统和数据的高可靠性要求不断提高 企业需要根据不断发展变化的安全威胁 在系统和数据的可用性方面不断优化和改进 5 规划的出发点 信息为核心的世界 5 基础架构 信息 IT治理 业务连续性 风险管控 法规遵从 其他IT技术与管理 安全管理 分类分级 内容安全 归档保存 审计取证 企业业务 云 终端 数据中心 网络 服务器 存储 高效管理 绿色管理 泄密防范 企业的IT管理者 我们面对的是一个以信息为核心的世界 存储管理 规划的原则 整体规划应对变化 安全建设规划要有相对完整和全面的框架 能应对当前安全威胁的变化趋势 立足现有提升能力 现有安全建设基础上 完善IT基础架构的安全建设 通过优化和调整挖掘潜力 提升整体安全保障能力 着眼信息重点防范 以安全治理为工作目标 以防范有意 无意的数据泄漏为近期工作重点 总体规划目标 安全治理为方针 企业最终保障的是企业业务 而业务的关键内容之一就是围绕业务的各类数据和信息 信息安全为核心 不可管理本身就是不安全的一个隐患支撑IT系统的基础设施和架构要以 可量化管理 可流程化管理 为目标 全面提升其安全支撑和保障能力 可管理IT基础架构为基础 安全工作的目标是对信息安全环境的不断治理和改善 安全治理为方针 8 1 安全治理层 Policy driven 包含 安全监控 合规管理 审计管理 IT资产服务管理等内容安全治理是安全工作长期的 持续性的工作目标安全治理的手段依赖于平台化的技术支撑 基础架构安全 Managed Infrastructure IT系统中传递和承载信息的各类硬 软件设备及系统安全建设涵盖了基础架构各方面的专业性 结构性和可管理性安全方面的各种内容 是安全建设的关键和基础 信息安全 Information centric 包含 数据安全 内容安全 IT基础设施所承载的所有数据及内容 是安全工作目标的核心 安全工作的重点 开放平台安全工作框架 XX客户的安全治理进度 基础架构安全规划要点 信息安全规划要点 安全治理规划要点 解决方案概览 终端安全标准化 单独的防病毒产品已经无法应对当前威胁 2008年每日新增病毒种类超过4500种 没有任何一家防病毒产品可以做到100 防护2008年上半年CNCERT发现大陆地区302526个IP地址的主机被植入木马2008年上半年CNCERT发现境内外约有2百多万个IP地址的主机被植入僵尸程序 终端的安全问题是企业安全体系中薄弱环节 终端可能导致的安全问题利用终端为跳板攻击内部网络90 的恶意软件都有木马 后门的特性偷取机密信息70 的恶意软件都有偷取信息的行为导致网络瘫痪arp欺骗 系统漏洞攻击结论终端问题是整个企业安全建设的短板 如何解决终端安全管理面临的问题 PresentationIdentifierGoesHere 17 自由 与 安全 的平衡 PresentationIdentifierGoesHere 18 安全性与可管理性 用户自由度 类型1 严格受控终端白名单技术 用户没有权限安装任何程序 包括病毒 管理员统一分发软件 类型2 一般受控终端白名单技术 用户不能任意下载安装程序 包括病毒 只能安装管理员验证后的程序 管理员可以统一分发软件 类型3 自主保护终端黑名单技术 用户可以安装软件 依赖防病毒软件阻止恶意软件 管理员可以统一分发软件 可以监控终端进程并指定黑名单阻断特定进程 Apps common OS common Information Personality unique 终端管理复杂性的根本原因 今天 OS 应用和用户信息混杂在一起用户设置保存在应用文件 注册表中由于用户的交互活动 端点配置与标准化的设定偏差越来越远将OS 应用 设置和用户数据分离用户的体验不变针对所有人使用单个操作系统镜像干净的 快速地应用分发严格限制用户安装任何应用程序快速地系统和应用恢复 标准化的终端安全管理 PresentationIdentifierGoesHere 20 终端防御体系 操作系统 应用程序 用户数据 完全隔离的虚拟层 ApplicationA SymantecConfidential ApplicationB ApplicationC ApplicationD ApplicationE 优点 增强稳定性和可靠性 允许用户虚拟化更多的应用 虚拟化环境 软件虚拟化如何工作 ApplicationLayer Read onlysub layer Read writesub layer OperatingSystem SVSFilterDriver reset 23 4网络和主机入侵防护 阻断RPC缓冲区溢出漏洞阻断利用Web浏览器漏洞的攻击 间谍软件最常用的安装方式 3防火墙阻断进入的对开放端口的攻击阻断病毒向外扩散的途径阻断非法的对外通信 间谍软件数据泄漏和连接控制站点的企图 6实时防护和阻断 SAV 自动识别并清除蠕虫病毒自动防护已知恶意软件 特别是间谍软件 的安装如果恶意软件已经安装 在其运行时检测并阻断 5抑制未知的恶意软件 主动防御技术 启发式病毒扫描根据恶意软件的行为特征发现和抑制其操作邮件蠕虫拦截间谍软件键盘记录 屏幕拦截 数据泄漏行为打分 7系统加固 强身健体关键补丁强口令关闭危险服务和默认共享匿名访问限制 1SNAC网络准入控制 御毒于网络之外 2外设控制防止病毒从U盘引入 防止非法外联 8当紧急意外事故发生后 应急响应专杀工具分发 自动修复 1 主动的 层次化的终端安全 实施Symantec终端安全管理解决方案 可以量化安全性和可管理性 服务器安全体系 SCSPProductOverview 26 服务器挑战 多种平台 多种威胁 ExternalThreats FileServer WebServer MailServer User Admin账号攻击Application漏洞后门攻击系统漏洞授权用户漏洞审计篡改配置更改用户权限扩大 DatabaseServer LegacyServer PrintServer ApplicationServer InternalThreats PointOfSalesTerminals SCSPProductOverview 27 漏洞 系统生产漏洞补丁的时间 Jan Jun2007 Jul Dec2006 Ave Time to Patchindays SCSPProductOverview 28 被威胁 感染 感染 网络防护技术不足以抵御攻击 恶意的内部攻击者 标准的安全解决方案可以保护已知的攻击和保护已知的漏洞 但是会放过 新威胁新漏洞内部攻击者 企业边界 数据中心边界 SCSPProductOverview 29 Files Registry Network Devices Read Write数据文件 ReadOnly配置信息 选择的端口和设备的用法 攻击阻断 HIPS 层 EmailClient Office Browser Mail Web crond RPC LPDPrinter 核心系统守护进程 应用守护进程 交互式程序 正常的资源访问 主机程序 SCSPProductOverview 30 保护场景举例 企业网络 WebServer DatabaseServer 故意的错误配置或者留下后门 拷贝被感染的文件 数据 Internet SCSPProductOverview 31 事件检测 IDS 层 如何工作 EmailClient Office IEBrowser Web Mail crond RPC LPDPrinter 系统核心进程 应用守护进程 交互式程序 SystemOperations 主机系统 采集器收集日志和规则集进行对比 customorlibrary 匹配规则 采取动作 记录本次事件 发出告警到控制台 企业安全策略遵从 安全自评估 技术弱点评估 PresentationIdentifierGoesHere 33 第一阶段 漏洞扫描分析第二阶段 人工评估 安全配置检查系统管理和维护的正常配置 合理配置 及优化配置 例如系统目录权限 帐号管理策略 文件系统配置 进程通信管理等 安全机制检查安全机制的使用和正常配置 合理配置 及优化配置 例如日志及审计 备份与恢复 签名与校验 加密与通信 特殊授权及访问控制等 定义风险检查策略 治理 Symantec公司IT策略遵从的工作流程 检查策略遵从情况 报告与分析 终端服务器应用数据人员 SOX等级保护 COSOCOBITISO17799ITILCC InternalpoliciesCISNISTNSA 法规 框架 标准 定义 组织策略 检查 度量 记录 报告 IT控制策略 根据企业定制的合规性自动检查 PresentationIdentifierGoesHere 35 PresentationIdentifierGoesHere 36 规则映射举例 PresentationIdentifierGoesHere 37 保护客户信息 MISC WAP 彩铃 彩信 39 现实世界中的机密数据流失状况 39 每400封邮件中就有1封包含机密信息每50份通过网络传输的文件中就有1份包含机密数据50 的USB盘中包含机密信息80 的公司在丢失笔记本电脑后会发生泄密事件在美国平均每次数据泄密事件导致的财务损失高达630万美金 PonemonInstitute 2007 数据泄漏导致客户流失的比例正在以每年11 的速率上升SOX HIPPA PCI以及中国的企业内控基本规范都要求企业保护机密信息信息保护正日益成为安全管理和风险控制的核心内容 数据备份 归档 防病毒 防火墙入侵检测 加密身份认证 容灾 防病毒 防火墙 从定义看信息系统安全 数据 40 以控制为核心的安全保护方法 以业务系统 System centric 而非敏感数据 Data centric 为保护对象鉴权 Authentication 授权 Authority 审计 Account 访问控制 AccessControl 为主要的保护手段以信息载体 数据库或者文件 而非信息内容为保护对象数字权限保护 即什么样的人可以访问什么样的信息加密USB或者整个硬盘或者文件 41 42 42 42 如何保护我们的机密数据 How我是如何防止数据丢失的 How机密数据是怎样被使用的 Where机密数据存放在那里 管理 发现 识别扫描目标运行扫描以发现网络及端点上的敏感数据data 启用或自定义策略模板 补救并报告风险降低 监控 1 2 3 保护 4 5 检查发送的数据监控网络与端点事件 禁止 删除或加密隔离或复制文件通知员工及其经理 工作原理 9 18 SymantecDLP架构 安全的企业LAN DMZ 中断连接 STORAGE NETWORKPROTECT DISCOVER SPAN端口或接点 MANAGEMENTPLATFORM MTA或代理 45 Vontu如何杜绝愚蠢 45 几种泄密场景举例邮件发送开放共享USB拷贝 46 VontuMonitor PreventProcess VontuEnforce VontuPrevent Internet Incident Notification 47 48 49 VontuDiscoverProcess SCAN VontuEnforce VontuDiscover Protect QuarantineServer FileServer Pointer Incident 50 51 52 VontuEndpointPreventProcess VontuEnforce VontuEndpoint VontuEndpointPrevent Incident Notification 53 54 55 安全网关 禁断BOT 净化流量 SWG硬件型号 57 58 SWG主要功能概览一 双向病毒扫描针对HTTP FTP协议和常用IM聊天软件的病毒检测与清除染毒客户端检测覆盖全协议的网络特征签名 发现染毒客户端的网络攻击行为Botnet检测和阻断覆盖全协议的行为模式分析 发现未知病毒和BotnetURL过滤 需额外License 62个URL类别 超过1亿站点应用程序控制上百种应用程序如P2P IM VoIP等支持阻断 监控等控制手段 59 SWG主要功能概览二 内置集中管理和报表功能每台设备可选择2种角色之一 WebGateway和CentralManagement可集中管理超过100台设备内置较丰富的报表功能支持Inline和Monitor两种部署模式Inline模式支持Bypass切换支持与Proxy集成支持HTTP Socks类型Proxy支持AD集成根据ADOU Department User进行策略分配对上网用户进行身份认证 安全审计 主动安全 某用户 安全信息的事件量23台防火墙 11 7GB 天 513GB 月IDS 1 600 000事件 天 48 000 000事件 月通常每天安全事故的统计防火墙和IDS及其它安全产品日志量为6 600 000条记录