SYMANTEC的安全整体解决方案.ppt

SYMANTEC构建全面安全的系统 议程 SYMANTEC公司简介SYMANTEC的安全整体解决方案简述端点安全到网络安全SYMANTEC专业安全服务 全球第四大独立软件公司全球第一大安全软件公司全球增长速度最快的大型软件公司在全球有15 000多名员工赛门铁克中国有350多名员工中国研发中心有93名员工 赛门铁克的信息完整性是向安全性和系统管理一体化迈出的大胆的一步 赛门铁克的构想还力图解决令客户头疼的补丁程序管理 法规遵从性以及业务连续性等的问题 ChrisChristiansen IDC 赛门铁克公司简要介绍 信息安全性 主动防护各层基础架构免受安全威胁为新出现的威胁提供早期预警监视系统的遵从性 信息可用性 分区 优化 监视和补救系统及存储 确保维持正常运行时间和性能水平一旦出现故障 即可恢复系统和数据 结果是您的基础架构更加富有弹性 信息完整性 信息安全可用效率更高复杂度减小遵从性增加风险降低 业界领先者推动融合 赛门铁克 业界领导地位 安全洞察力 预防和检测 数据保护 恢复 存储管理 资源实时分配 群集 复制 性能管理优化 管理 映像 备份 补救措施修补 备份恢复 建立合理的 具有弹性的基础架构 赛门铁克的主动安全防护体系保障信息的完整性 整合的人员 流程和技术 可以在信息安全和可用性之间形成恰当的平衡信息安全性 安全但是您的员工无法获得的信息是毫无用处的 信息可用性 您的员工可以获得但是不安全的信息是不可信的 因此由这些信息得出的所有结果也是不可信的 预警 防护 响应 管理 发现 交付 恢复 设计 更新 信息安全性 信息可用性 SYMANTEC的安全整体解决方案简述 建立主动防御式的网络安全体系网络边界威胁防御措施内网间的网络攻击行为控制内部端点威胁防御严密的安全策略管理建立高可用性的应用系统架构预防软 硬件故障造成的关键应用停机预防突发或人为失误造成的系统瘫痪建立灵活的存储管理系统提高存储利用率 SYMANTEC主动防御式安全解决方案 发布漏洞特征 发布防护措施和方法 针对漏洞的病毒大规模爆发 发现漏洞 Time VulnerabilityActivity T1 T3 T4 被动响应阶段 主动应对阶段 控制 补救 清除 漏洞样本被分析 定义命名 T2 漏洞知识库和控制策略部署完毕 采用主动防范技术 有效的防御措施将提供最优的投资收益 面向过程的风险管理 终端安全防护 重要服务器 应用防护 内部网间攻击防护 外部网关统一威胁控制 建立主动防御信息网络体系 安全管理策略 外部网关安全面临的挑战 第一道安全屏障威胁与正常访问的区分防止其他网络的非授权用户或非法用户进入有限的TCO 多功能网关安全产品的迫切需求简单的部署方式与集中管理 SGS5600 防病毒 深度包检测防火墙 VPN 入侵检测 入侵防护 内容过滤 反垃圾邮件 内部网络攻击防护 出口的安全控制无法对内网的攻击做控制移动电脑的流行 威胁的爆发点较多不同网段间的安全策略不一 需要进行实时监控 拦截攻击行为对网络蠕虫等传播范围大 攻击力度强的威胁进行防护安全补丁的分发部署总是顾此失彼 内网的安全隐患不容忽视内部网络安全的第一需求是终止安全威胁在网络内快速传播 基于网络入侵检测方案SymantecNetworkSecurity7100SymantecNetwork4 0基于主机的入侵检测方案SymantecIntruderAlertSymantecHostIDS诱骗型的入侵检测方案SymantecDecoyServer 内网IDS IPS安全方案 Symantec网络安全产品 SNS7100In Line 透明 模式下 自动阻截攻击行为 准确的发现和阻断网络入侵 包括零日攻击zero dayattacks 防火墙是网络第一道防线 防火墙有哪些局限性 不能防止恶意的内部攻击不能防范不通过它的连接不能防备全部的威胁只能防止已知的威胁对利用允许通过的协议的攻击无能为力某些DoS攻击会造成防火墙失效防火墙自身的系统安全风险错误的配置导致的防范失效影响网络性能 入侵检测 IDS Vs入侵防御 IPS 入侵检测是指 通过对行为 安全日志或审计数据或其他网络上可以获得的信息进行操作 检测到对系统的闯入或闯入的企图 参见国标GB T18336 IPS的检测功能类似于IDS 但IPS检测到攻击后会采取行动阻止攻击 可以说IPS是基于IDS的 是建立在IDS发展的基础上的新生网络安全产品 摘自 公安部计算机信息系统安全产品质量监督检验中心 入侵防御产品安全检验规范 Desktops WebServers Telecommuters Customers Servers Network BranchOffice Partners Hacker IPS的工作模式 邮件面临的威胁 保护企业免受邮件威胁的侵害保障来自合法组织的重要邮件能够正常发送尽量不增加管理员的管理负担 煽动 攻击性内容法规遵从 系统停机威胁关键服务器安全 生产力降低资源浪费由于不恰当的过滤带来的误报 减少可用带宽浪费邮件服务器的资源 包括CPU 内存和硬盘空间增加了资源的投资 病毒和恶意代码 垃圾邮件 逐步增加的无用数据流量 内容控制 系统管理员面临的主要挑战 BLOC SymantecBrightmailLogisticsandOperationsCenter 垃圾邮件分析操作中心 自动化创建垃圾邮件过滤器垃圾邮件的研究和查证24x7全天候运作探测网络管理监视有效性与准确率 在网络中的部署 部署在邮件服务器或现存网关的前面根据垃圾邮件特征库 在垃圾邮件进入邮件服务器之前将其删掉根据策略过滤制定内容的邮件 客户端安全的挑战 移动电脑最容易被攻击 将病毒带入内网中客户端信息安全问题客户端数量相对庞大 统一管理比较困难各部门对计算机病毒的防治手段和水平参差不齐 无法有效抑制病毒 混合型威胁 恶意代码在网内传播在混合性威胁爆发时无法作出及时响应 缺乏紧急响应流程 Antivirus IntrusionPrevention Firewall 需要协同防御体系 FirewallandIntrusionPrevention威胁例子 Sasser试图利用WINDOWS平台的Lsass漏洞通过相关服务进入系统 并试图建立大量对外连结 流量被IPS检测到并阻断在本机上的衍生体在本机的生成和安装 通知防火墙阻断对该端口流量的传递 AntivirusandFirewall威胁例子 Blaster端口扫描试图发现机器的弱点 Firewall阻断TCP端口135 通知AV清除在该端口进入的信息 SymantecSystemCenter Antivirus威胁例子 MyDoom被AV引擎检测到邮件发送的行为特征 AV阻止由蠕虫攻击生成的SMTP引擎外发邮件 SymantecClientSecurity 挑战 网络端点 安全起点 WhySygate Sygate的主机防火墙技术04 05年连续两次蝉联该安全目录第一SygateOn demand技术2005年评出的 网络安全和保密最炫目厂商 该安全目录中7项指标 6项由Sygate发布Sygate主机入侵防御 HIPS 技术SygateUpstheAnteonEnterpriseHIPSSygate网络准入控制技术全球第一个通用网络准入控制系统Gartner预测到2006年 30 的连网桌面机将会安装PFWs 到2008年该比率将升到60 而2010年则高达95 最近荣誉 2005年度最佳安全解决方案SCMagazine 计算机安全杂志 963个产品 291家厂商2004安全管理类年度产品大奖InformationSecurity 信息安全杂志 2004年度技术创新大奖ComputerWorld 计算机世界杂志 2004年度用户选择大奖SecureEnterprise 企业信息安全杂志 依据用户反馈意见评选 端点 企业安全体系建设的短板 移动终端引入的安全威胁 网络 无线连接旅馆 餐厅 机场 家 黑客 网关 邮件服务器 文件服务器 收发Email下载音乐 软件浏览新闻 移动终端 浏览器 网络入口不断增加 管理员最担心的终端安全问题 蠕虫病毒爆发导致的拒绝服务 1 2 3 4 5 邮件服务器瘫痪网络设备阻塞 如何强制分发如何及时分发盗版系统的兼容性 移动终端外来人员接入内网外联VPN接入一机多用 聊天海量下载扫描工具黑客工具Arp欺骗 防病毒软件不安装防病毒软件卸载病毒定义不更新其他终端防护软件的使用效果 方案 双剑合璧 安全无忧 Symantec端点安全解决方案 SNAC 网络准入控制方案主机完整性检查 自动修复 端点强制没有保护功能 不包含主机防火墙 主机IPS 内存防火墙等 没有自我强制功能SEP NAC 端点保护主机防火墙 主机IPS 主机完整性检查 自动修复 端点强制等 SEP和SNAC共享同样的架构策略管理服务器 强制服务器Sygate安全代理和Sygate强制代理可以在一个架构中共同部署 SEPvs SNAC 产品功能 SygateEnterpriseProtection 终端保护 网络准入控制 终端修复 终端管理 主机防火墙 主机入侵防御 系统安全检查 自适应策略 网络程序管理 文件访问控制 外设管理 网络适配器管理 系统加固 修复 软件分发 关键补丁强制 安全问题通告 边界准入与隔离 局域网准入与隔离 DHCPIP获取准入 Web应用准入控制 内存防火墙 操作系统保护 本地隔离 系统锁定 SymantecSygateEnterpriseProtectionSolution 恶意代码的泛滥网络的拥堵和瘫痪访客 和移动用户的私自接入内部未授权的访问和网络滥用未授权的卸载和篡改 问题 为终端标准化提供技术保障新的安全建设保障机制 替代费时 费力的周期性安全审计安全自动化 降低安全成本在用户现有架构中保护已有的安全投资 利益 双重检查确保策略遵从 SNAC 端点策略遵从流程 SNAC 从纸面的管理口号到技术上的策略遵从 自愈 remediation 自驭 restrictandquarantine 自御 protection Symantec的方法NetworkAccessControl 安全访问控制 NetworkAdmission AccessControl NAC 网络准入控制核心思想 屏蔽一切不安全的设备和人员接入企业网络 或者规范终端用户接入网络的行为 从而铲除对网络威胁的源头 避免事后处理的高额成本关键字 自御 protection 自驭 restrictandquarantine 自愈 remediation SymantecSNAC完整性检查的内容 LanEnforcer GatewayEnforcer DHCPEnforcer SygatePolicyServer SygateOn Demand SelfEnforcement CNAC MSNAP TNC UniversalAPI NetworkSecurity SUM HostIntegrity 策略执行 策略强制 策略制定 策略决策点 策略管理 接入设备 已管理的台式机 未管理的 已管理的移动用户 策略强制点 远程接入SSL IPsec 认证服务 RADIUS 局域网交换机 无线 全面的SymantecSNAC架构 Sygate管理服务器 分布式 高弹性 与目录技术集成 LANEnforcer 无法管理的 端点 PFW IP地址服务 DHCP 透明网关Gig E CiscoNAC GatewayEnforcer SelfEnforcer DHCPEnforcer On DemandEnforcer PDA SygateNetworkAccessControl TravelingExecutive Hotel Partner Kiosk Printer Workstation Guest ATM Remediation Radius Applications SygateEnforcer SygateManagementSystem SSLVPN IPSECVPN Wireless Firewall 802 1xSwitch Compliant Non Compliant 802 1xEnforcement GuestEnforcement Gateway APIEnforcement Compliant Non Compliant 端点安全三级跳 防病毒的例子 查杀已进入的病毒 Antivirus 价值 连接之际 安全之时 客户 技术支持人员 外包项目常驻人员 访客 合作伙伴 台式机用户 服务器 某大型银行因外来人员随意接入而十分困扰 某大型交通企业因为USB移动存储设备传播病毒 服务器 工作站 工作站 工作站 互联网 交通企业网络 某省级运营商遭受蠕虫和病毒攻击的案例分析 内部网络连续两周出现间歇性瘫痪的症状 平均每天瘫痪4次左右 持续时间不等 最长可达几个小时 症状较轻时 网络尚可联通 但网速异常慢 让人无法忍受 症状较重时 则网络彻底瘫痪 子网之间均不可达 且同一子网内丢包率很高 SEP带给客户的价值 优势 赛门铁克 安全首选 引领趋势 从端点防毒到IT策略遵从 2004 2006连续3年排名第一市场领先的解决方案主动防护当前的威胁自动执行端点法规遵从要求监控和报告用于证明IT控制 市场的绝对领导者 全面广泛的支持 用户的信任 SNAC SEP成熟 大规模的应用 TimeWarner SygateNAC支持 业内的领导地位 端点安全市场的领导厂商GartnerandMetaAcclaim3个领域的技术领导者端点安全KeyLabs评测的优胜者网络准入控制 NetworkAccessControl 用户选择大奖 SecureEnterpriseMagazine 封面文章 OnDemandAnti Spyware Firewall和Gartner共同发起网络研讨市场上第一个On Demand端点安全产品网络访问控制革新的领导者SecureEnterpriseNACBakeoffWinnerSCMagazine 2005年最佳新解决方案InformationSecurityMagazine年度产品大奖InfoWorld 第一名公认的领导者 不仅仅是检测终端对安全策略的依从在出现问题之前ComplianceonContactTM ProductoftheYear 部分现有客户 SYMANTEC提供关键系统的连续运行 关键应用的连续运行问题 重要的业务服务器人为失误 病毒导致数据删除服务器或存储故障导致停机或数据丢失软件运行逻辑错误导致数据不准确火灾等自然灾难导致数据中心损毁提高资源使用效率 如何保证系统中断后能正确恢复 方案效果 支持任何故障后的关键系统恢复 快速恢复完整的系统 操作系统 数据 异构环境统一的数据备份与恢复工具 SYMANTEC方案提供业界最先进的技术解决用户的问题 分散的数据备份 分支机构 提供RPO 0的连续数据保护 CDP 完全自动化的管理手段 容灾需求 停电 火灾等灾难需要更高层的解决方案什么是容灾 当发生灾难时有另一个IT系统继续支持业务的运行关键应用系统需要容灾容灾的课题RPO RTO容灾中心选择数据传送技术应用切换方式定期系统测试计划 应用服务器 应用后备服务器 双网络交换机 主中心 WAN LAN 容灾中心 总结Symantec提供可靠的业务连续性解决方案 数据备份与恢复是关键应用系统最基本的数据保护系统 它能够保证任何灾难后整个应用系统的恢复 解除管理者的后顾之忧集群与存储管理系统可以进一步提高系统的高可用性 保证单个磁盘或磁盘阵列坏掉不影响数据的使用 同时能够在服务器硬件故障时快速恢复运行 一般是在数据备份与恢复架构的基础上 对影响业务的关键系统部署集群和存储管理 容灾可以对关键系统实施最高级别的保护 保证任何灾难下都不影响关键应用 SYMANTEC专业安全服务 加拿大卡尔加里 4 800多个可管理安全设备200万密罐电子邮件帐户 全球有1 2亿个赛门铁克系统超过25 的全球电子邮件得到分析 全球最大的智能化安全监控网络 加州Redwood市 加州SantaMonica 犹他州Orem和犹他州AmericanFork 台湾台北 英国伦敦 德国慕尼黑 日本东京 澳大利亚悉尼 5个赛门铁克SOC 61个受赛门铁克监控的国家 6个赛门铁克安全响应实验室 180个国家的40 000多个注册传感器 29个全球赛门铁克支持中心 加州MountainView 明尼苏达州Roseville 佛罗里达州Heathrow 马萨诸塞州Boston 德州Austin 阿根廷布宜诺斯艾利斯 英格兰瑞町Reading 法国巴黎 西