SymantecSEP終端安全與準(zhǔn)入控制概述(55張)課件

1、SymantecSEP終端安全與準(zhǔn)入控制第1頁(yè)，共56頁(yè)。Symantec SEP解決方案終端安全管理問(wèn)題和解決之道Symantec優(yōu)勢(shì)和案例分析 競(jìng)爭(zhēng)對(duì)比Agenda 2/22/2019第2頁(yè)，共56頁(yè)。企業(yè)終端管理的典型問(wèn)題終端網(wǎng)絡(luò)接入帶來(lái)的問(wèn)題第三方人員的電腦接入VPN遠(yuǎn)程接入的安全風(fēng)險(xiǎn)存在安全隱患的終端網(wǎng)絡(luò)訪問(wèn)終端自身安全防護(hù)問(wèn)題單一的防病毒不能防范最新的安全威脅如何防范蠕蟲病毒和攻擊事件？如何限制終端應(yīng)用程序的使用？泄密、非法撥號(hào)外聯(lián)終端安全管理問(wèn)題如何實(shí)現(xiàn)企業(yè)的安全策略？如何進(jìn)行有效管理？ 2/22/2019第3頁(yè)，共56頁(yè)。網(wǎng)絡(luò)保護(hù)的發(fā)展過(guò)去，現(xiàn)在，下一步InternetE-Ne

2、tInternetE-NetE-NetE-NetE-NetNetwork AccessControlManagedUnmanagedUnmanageableQuarantineGuestInternetPerimeterNetworksInternet-BasedMulti-Perimeter NetsAdmission ControlledCompliance NetworksProduction 2/22/2019第4頁(yè)，共56頁(yè)。端點(diǎn)保護(hù)的發(fā)展過(guò)去，現(xiàn)在，下一步Host ProtectionAVHost ProtectionNetwork ProtectionPFWRemediation

3、ALSBufferOverflowIPSHost ProtectionAVSpywareNetwork ProtectionPFWRemediationALSBufferOverflowIPSInfo ProtectionVirtualizedEncryptionDRMNACOSBehaviorPhishingProtectDevices Protect Devices,Apps & NetworksCompliance & Protectionfor Device, Apps, Net, Info, etc.Universal Compliance FrameworkPolicy Enfor

4、ceAVSpywarePolicy EnforcePharming 2/22/2019第5頁(yè)，共56頁(yè)?！癢ith Sygate, all Prudential Financials workers are guaranteed to be in a trusted state before gaining network access.” Ken Tyminski, CISO, Prudential Financial網(wǎng)絡(luò)準(zhǔn)入控制+終端安全保護(hù)集中安全策略管理“SYGATE 的解決方案確保了我們所有的終端在被允許接入公司網(wǎng)絡(luò)之前都是安全的，可信的?！盨ymantec Sygate 方案解決之

5、道 2/22/2019第6頁(yè)，共56頁(yè)。發(fā)現(xiàn) 提供防護(hù)的第一步是知道所有網(wǎng)絡(luò)端點(diǎn)的安全狀態(tài)遵守 安全管理系統(tǒng)必須能夠覆蓋所有網(wǎng)絡(luò)端點(diǎn)，才能要求用戶不間斷地遵守安全規(guī)范強(qiáng)制 只有遵守規(guī)范的端點(diǎn)才給予網(wǎng)絡(luò)接入的權(quán)限，且這種強(qiáng)制對(duì)用戶是透明的 修復(fù) 全自動(dòng)化的安全完整性修復(fù)以提高安全管理的效率和安全系統(tǒng)的投資回報(bào)率 實(shí)現(xiàn)用戶對(duì)安全政策不間斷的遵守自動(dòng)化的安全管理流程 2/22/2019第7頁(yè)，共56頁(yè)。締造全新的動(dòng)態(tài)安全管理架構(gòu)網(wǎng)絡(luò)安全持續(xù)改進(jìn) 2/22/2019第8頁(yè)，共56頁(yè)。Symantec SEP解決方案終端安全管理問(wèn)題和解決之道Symantec優(yōu)勢(shì)和案例分析 競(jìng)爭(zhēng)對(duì)比Agenda 2/22

6、/2019第9頁(yè)，共56頁(yè)。Sygate Enterprise Protection 解決方案構(gòu)成網(wǎng)絡(luò)準(zhǔn)入控制SNACSygate Network Access Control 主機(jī)完整性和修復(fù)Host Integrity& Remediation終端安全防護(hù)ProtectionFirewallHIPSOS ProtectionAdaptive Policy處所切換 2/22/2019第10頁(yè)，共56頁(yè)。Sygate Enterprise Solution（SEP）體系架構(gòu)Sygate策略管理服務(wù)器SPMSygate強(qiáng)制服務(wù)器LAN EnforcerGateway EnforcerDHCP E

7、nforcerOn-Demand EnforcerSygate 安全代理Sygate保護(hù)代理SPASygate強(qiáng)制代理SEA 2/22/2019第11頁(yè)，共56頁(yè)。OS Protection (File, Registry, Process Control)System Lockdown (Application Control)Buffer Overflow ProtectionPeripheral Device ControlFWHIPSAdaptivePoliciesOSProtectionNAC/NAPDHCP/LAN/Gateway/APIAuto-Location Switchin

8、gDesktop FirewallSignature-based IPSEnforcementHost IntegrityHI & RemediationAdaptivePoliciesNAC/NAPDHCP/LAN/Gateway/APIAuto-Location SwitchingEnforcementHost IntegrityHI & RemediationSygate Enforcement AgentSygate Protection AgentSEA vs SPA 2/22/2019第12頁(yè)，共56頁(yè)。SEP企業(yè)級(jí)的管理功能可擴(kuò)展的多服務(wù)器架構(gòu)容錯(cuò)性、集群、影子數(shù)據(jù)庫(kù) 策略及日志

9、復(fù)制策略分發(fā) (推/拉)可配置的優(yōu)先級(jí)/負(fù)載均衡策略管理可繼承的多層組管理能按計(jì)算機(jī)或用戶管理（NT域，活動(dòng)目錄、LDAP）可重用的策略對(duì)象活目錄用戶及組同步功能集中的日志與報(bào)表事件轉(zhuǎn)發(fā) (Syslog, SIMs)每日或每周通過(guò)E-mailed發(fā)送報(bào)告 2/22/2019第13頁(yè)，共56頁(yè)。What is NACNetwork Admission/Access Control ( NAC )核心思想 屏蔽一切不安全的設(shè)備和人員接入網(wǎng)絡(luò)，或者規(guī)范用戶接入網(wǎng)絡(luò)的行為，從而鏟除網(wǎng)絡(luò)威脅的源頭，避免事后處理的高額成本 2/22/2019第14頁(yè)，共56頁(yè)。NAC可以解決的問(wèn)題 惡意代碼的泛濫導(dǎo)致網(wǎng)絡(luò)

10、的擁堵和癱瘓?jiān)L客和移動(dòng)用戶的私自接入內(nèi)部未授權(quán)的訪問(wèn)和網(wǎng)絡(luò)濫用未授權(quán)的卸載和篡改問(wèn)題為終端標(biāo)準(zhǔn)化提供技術(shù)保障新的安全建設(shè)保障機(jī)制，替代費(fèi)時(shí)、費(fèi)力的周期性安全審計(jì) 安全自動(dòng)化，降低安全成本在NAC架構(gòu)中保護(hù)已有的安全投資利益 2/22/2019第15頁(yè)，共56頁(yè)。Symantec Sygate NAC的流程定義安全策略發(fā)現(xiàn)網(wǎng)絡(luò)中不符合安全規(guī)范的終端Installed AgentLoadable Agent強(qiáng)制網(wǎng)絡(luò)準(zhǔn)入控制LAN, DHCP, Gateway Enforcer Self-EnforcementOn-Demand Enforcement和主流安全架構(gòu)整合 (CNAC, MSNAP,

11、TNC)Universal Enforcement API修復(fù)不符合規(guī)范的端點(diǎn)連續(xù)監(jiān)控PolicyDiscoverEnforceMonitorRemediateProtectProtectProtectProtect 2/22/2019第16頁(yè)，共56頁(yè)。策略決策點(diǎn)策略管理 接入設(shè)備已管理的 臺(tái)式機(jī)未管理的已管理的移動(dòng)用戶策略強(qiáng)制點(diǎn)遠(yuǎn)程接入SSL & IPsec認(rèn)證服務(wù) - RADIUS局域網(wǎng)交換機(jī) & 無(wú)線全面的Symantec SNAC架構(gòu)Sygate 管理服務(wù)器(分布式, 高彈性, 與目錄技術(shù)集成)LAN Enforcer無(wú)法管理的端點(diǎn) - PFWIP地址服務(wù) - DHCP透明網(wǎng)關(guān)Gig

12、-ECisco NACGateway EnforcerSelf EnforcerDHCP EnforcerOn-Demand EnforcerPDA 2/22/2019第17頁(yè)，共56頁(yè)。接入強(qiáng)制802.1x802.1X交換機(jī) + SYGATE身份認(rèn)證+安全檢查 2/22/2019第18頁(yè)，共56頁(yè)。Sygate Secure EnterpriseSygate On-DemandSygate Magellan CorrelatorSygate Discovery EngineSygate Network Access Control工作原理TravelingExecutiveHotelPart

13、nerKioskPrinterWorkstationGuestATMRemediationRadiusApplicationsSygate EnforcerSygate Management SystemSSL VPNIPSEC VPNWirelessFirewall802.1x SwitchPasswordTokenUser NameStatusEAP Patch UpdatedService Pack UpdatedPersonal Firewall OnAnti-Virus UpdatedAnti-Virus OnStatusHost Integrity RuleXCompliantNo

14、n-Compliant802.1x EnforcementPatch UpdatedService Pack UpdatedPersonal Firewall OnAnti-Virus UpdatedAnti-Virus OnStatusHost Integrity RulePasswordTokenUser NameStatusEAP Patch UpdatedService Pack UpdatedPersonal Firewall OnAnti-Virus UpdatedAnti-Virus OnStatusHost Integrity RulePatch UpdatedService

15、Pack UpdatedPersonal Firewall OnAnti-Virus UpdatedAnti-Virus OnStatusHost Integrity RulePatch UpdatedService Pack UpdatedPersonal Firewall OnAnti-Virus UpdatedAnti-Virus OnStatusHost Integrity RulePatch UpdatedService Pack UpdatedPersonal Firewall OnAnti-Virus UpdatedAnti-Virus OnStatusHost Integrit

16、y RuleXPatch UpdatedService Pack UpdatedPersonal Firewall OnAnti-Virus UpdatedAnti-Virus OnStatusHost Integrity RuleGuest EnforcementGateway/API EnforcementCompliantNon-Compliant 2/22/2019第19頁(yè)，共56頁(yè)。Symantec全面的SNAC解決方案 2/22/2019第20頁(yè)，共56頁(yè)。Symantec SNAC 完整性檢查的內(nèi)容Lan EnforcerGateway EnforcerDHCP Enforcer

17、Sygate Policy ServerSygate On-DemandSelf EnforcementCNAC, MS NAP, TNCUniversal APIAntiVirus Host FirewallService PackSygateEnforcementAgent反間諜軟件 主機(jī)入侵防御Hotfix 自定義 核準(zhǔn)的程序 Network Security SUM（Host Integrity）策 略 執(zhí) 行策 略 強(qiáng) 制策略制定 2/22/2019第21頁(yè)，共56頁(yè)。主機(jī)完整性 ：主機(jī)系統(tǒng)所采用的安全措施的完整性自動(dòng)化修復(fù)動(dòng)態(tài)提示綠色通道自動(dòng)連接到服務(wù)器下載最新的版本、特征庫(kù)和補(bǔ)丁

18、全面修復(fù)安裝缺失的安全應(yīng)用更新安全軟件特征庫(kù)檢查并安裝系統(tǒng)關(guān)鍵安全補(bǔ)丁檢查并修復(fù)系統(tǒng)安全設(shè)置安全策略自動(dòng)化修復(fù) 2/22/2019第22頁(yè)，共56頁(yè)。企業(yè)NAC的需求 (Symantec Value)普遍的端點(diǎn)覆蓋可管理的筆記本，臺(tái)式機(jī)，服務(wù)器未管理的訪客，合同工，家庭電腦中央的，可擴(kuò)展的, 靈活的策略管理分布式的服務(wù)器, 冗余, 數(shù)據(jù)庫(kù)復(fù)制, AD集成通用強(qiáng)制(W)LAN, IPSec VPN, SSL VPN, Web Portal, 分支機(jī)構(gòu)WAN和現(xiàn)有及新興標(biāo)準(zhǔn)整合802.1x, DHCP, Cisco NAC, Microsoft NAP, TCGs TNC自動(dòng)化的修復(fù)進(jìn)程無(wú)需用戶干

19、預(yù)容易部署學(xué)習(xí)模式和發(fā)現(xiàn)工具Symantec是當(dāng)今唯一發(fā)布了企業(yè)級(jí)適用的NAC方案的公司。 2/22/2019第23頁(yè)，共56頁(yè)。RootkitsAccount CreationAuto StartCode ExecutionFile IntegritySQL InjectionPrivilege EscalationBuffer OverflowsShatter AttacksDoSWormsData TheftSpywareCPU & KernelFile RegistryApplicationsNetworkDeviceMemorySystem LockdownFile AccessRe

20、gistry ControlAnti-HijackingProcess ExecutionApplication BehaviorBlock DLL LoadingMemory FirewallNX EmulationDevice ControlFile Read/Write/ExeFirewallIPSNetworkMemoryCPU & KernelFile RegistryApplicationsDeviceSygate保護(hù)代理的保護(hù)能力 2/22/2019第24頁(yè)，共56頁(yè)?；趹?yīng)用程序的防火墻和入侵防護(hù)OS Protection /HIPS(控制應(yīng)用程序的行為和訪問(wèn)，例如對(duì)文件、注冊(cè)

21、表、外設(shè)、網(wǎng)絡(luò)的訪問(wèn)等）System Lockdown（指紋鑒別的程序白名單，鎖定哪些程序可以在操作系統(tǒng)上運(yùn)行）Device Manager （防止設(shè)備被加載, 例如，USB drives)內(nèi)存防火墻Buffer Overflow ProtectionAdaptive Policy處所切換主機(jī)完整性SPA客戶端Sygate客戶端 2/22/2019第25頁(yè)，共56頁(yè)。Windows平臺(tái)安全代理以應(yīng)用程序?yàn)橹行牡闹鳈C(jī)防火墻得到ICSA和公安部認(rèn)證的全狀態(tài)檢測(cè)防火墻基于規(guī)則的安全引擎（整合用戶、網(wǎng)絡(luò)應(yīng)用程序以及網(wǎng)絡(luò)信息）基于應(yīng)用程序的主機(jī)入侵預(yù)防系統(tǒng)結(jié)合對(duì)應(yīng)用程序的控制來(lái)識(shí)別和阻斷網(wǎng)絡(luò)入侵更優(yōu)的性

22、能，更少的虛假報(bào)警幫助審計(jì)，快速定位攻擊源基于應(yīng)用程序的防火墻和入侵防護(hù) 2/22/2019第26頁(yè)，共56頁(yè)。系統(tǒng)級(jí)OS pretection應(yīng)用程序行為分析進(jìn)程管理文件訪問(wèn)控制注冊(cè)表訪問(wèn)控制強(qiáng)大的DLL管理System Lockdown內(nèi)存防火墻設(shè)備級(jí)保護(hù)功 能OS Protection 功能 2/22/2019第27頁(yè)，共56頁(yè)。OS Protection: 外設(shè)控制根據(jù)設(shè)備類型(Windows Class ID)進(jìn)行設(shè)備禁用 支持所有常用接口USB, Infrared, Bluetooth, Serial, Parallel, FireWire, SCSI, PCMCIA可以進(jìn)行可移動(dòng)

23、設(shè)備的read/write/execute 權(quán)限功能Block all USB devices except USB mouse and keyboard (e.g., thumb drives)案例 2/22/2019第28頁(yè)，共56頁(yè)。Stack-based Buffer Overflow（棧溢出利用）Heap-based Buffer Overflow（堆溢出利用）Format String（格式化串漏洞利用）Code injection（代碼注入）Integer Overflow（整數(shù)溢出）Memory corruption, etcMemory Firewallfor Windows

24、 ServicesMemory Firewallfor IISMemory Firewallfor SQL ServerMemory Firewallfor ExchangeMMC-based ConsoleMemory Firewallfor Linux ServicesMemory Firewallfor ApacheMemory Firewallfor OracleMemory Firewallfor other Linux AppsMemory Firewall Management FrameworkBrowser-based ConsoleEvent and Management

25、APIsSygate Memory Firewall （內(nèi)存防火墻）對(duì)抗 2/22/2019第29頁(yè)，共56頁(yè)。自適應(yīng)性的端點(diǎn)保護(hù)一個(gè)終端多種用途、終端具有多個(gè)網(wǎng)卡、不同類型的接入終端、或者漫游終端在不同的網(wǎng)絡(luò)中進(jìn)行切換時(shí)：管理策略的適應(yīng)性針對(duì)不同的網(wǎng)絡(luò)環(huán)境，網(wǎng)絡(luò)連接方式有多套策略可自動(dòng)或手動(dòng)在多套策略中切換，以應(yīng)對(duì)不同的風(fēng)險(xiǎn)等級(jí)自適應(yīng)性的安全策略角色/設(shè)備網(wǎng)絡(luò)位置連接方式策略筆記本用戶公司內(nèi)網(wǎng)以太網(wǎng)禁止使用游戲，即時(shí)聊天工具,可以進(jìn)行文件共享筆記本用戶家里的寬帶以太網(wǎng)/電話撥號(hào)可以使用游戲,即時(shí)聊天工具,禁止文件共享筆記本用戶在家里通過(guò)VPN進(jìn)入公司內(nèi)網(wǎng)VPN適配器只能使用IE, Lotus

26、 notes軟件訪問(wèn)內(nèi)網(wǎng)指定的應(yīng)用服務(wù)器和郵件服務(wù)器自適應(yīng)策略舉例 2/22/2019第30頁(yè)，共56頁(yè)。Symantec SEP解決方案終端安全管理問(wèn)題和解決之道Symantec優(yōu)勢(shì)和案例分析 競(jìng)爭(zhēng)對(duì)比Agenda 2/22/2019第31頁(yè)，共56頁(yè)。Symantec Sygate 方案優(yōu)勢(shì)通過(guò)提供戰(zhàn)略信息安全防護(hù)的流程，為用戶締造一個(gè)全新的安全管理架構(gòu)全面實(shí)現(xiàn)強(qiáng)制的、不間斷的防護(hù)自動(dòng)化的流程對(duì)用戶透明整合現(xiàn)有安全投資全面的覆蓋大幅度提高安全性的同時(shí)減少IT運(yùn)維成本最小化網(wǎng)絡(luò)癱瘓和業(yè)務(wù)中斷的時(shí)間減少安全管理和維護(hù)的成本保護(hù)數(shù)據(jù)安全和強(qiáng)制安全規(guī)范（ BS7799/ISO17799） 2/22

27、/2019第32頁(yè)，共56頁(yè)。Sygate Enterprise Protection終端保護(hù)網(wǎng)絡(luò)準(zhǔn)入控制終端修復(fù)終端管理主機(jī)防火墻主機(jī)入侵防御系統(tǒng)安全檢查自適應(yīng)策略網(wǎng)絡(luò)程序管理文件訪問(wèn)控制外設(shè)管理網(wǎng)絡(luò)適配器管理系統(tǒng)加固、修復(fù)軟件分發(fā)關(guān)鍵補(bǔ)丁強(qiáng)制安全問(wèn)題通告邊界準(zhǔn)入與隔離局域網(wǎng)準(zhǔn)入與隔離DHCP IP獲取準(zhǔn)入Web應(yīng)用準(zhǔn)入控制內(nèi)存防火墻操作系統(tǒng)保護(hù)本地隔離系統(tǒng)鎖定SYGATE提供端點(diǎn)的全程、縱深防護(hù)體系 2/22/2019第33頁(yè)，共56頁(yè)。領(lǐng)導(dǎo)地位端點(diǎn)安全市場(chǎng)的領(lǐng)導(dǎo)廠商Gartner and Meta Acclaim3個(gè)領(lǐng)域的技術(shù)領(lǐng)導(dǎo)者端點(diǎn)安全網(wǎng)絡(luò)訪問(wèn)控制(Network Access Co

28、ntrol)On Demand Anti-Spyware + Firewall 2/22/2019第34頁(yè)，共56頁(yè)。2005年5月最新的Gartner調(diào)研報(bào)告 獲獎(jiǎng)技術(shù)Sygate的主機(jī)防火墻技術(shù)04，05年連續(xù)兩次蟬聯(lián)該安全目錄第一Sygate On-demand技術(shù)2005年評(píng)出的“網(wǎng)絡(luò)安全和保密最炫目廠商”該安全目錄中7項(xiàng)指標(biāo)，6項(xiàng)由Sygate發(fā)布市場(chǎng)上第一個(gè)On-demand終端安全產(chǎn)品Sygate 主機(jī)入侵防御(HIPS)技術(shù)Sygate Ups the Ante on Enterprise HIPS Sygate網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)全球第一個(gè)通用網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng) 2/22/2019

29、第35頁(yè)，共56頁(yè)。國(guó)內(nèi)的成功案例中興通訊30，000個(gè)節(jié)點(diǎn)，國(guó)內(nèi)最大的用戶勝在策略的適應(yīng)性，可擴(kuò)展的架構(gòu)，大用戶數(shù)支撐華為8，000個(gè)節(jié)點(diǎn)，國(guó)內(nèi)最苛刻和挑剔的用戶勝在產(chǎn)品成熟度高，4輪技術(shù)選型全部最高分東風(fēng)標(biāo)致雪鐵龍汽車有限公司3000個(gè)節(jié)點(diǎn)，最精于計(jì)算的用戶勝在投資回報(bào)率和整體擁有成本先進(jìn)半導(dǎo)體1000多點(diǎn)，國(guó)內(nèi)少數(shù)幾家通過(guò)BS7799認(rèn)證的用戶，增加采購(gòu)次數(shù)最多的用戶勝在產(chǎn)品功能集成度高，覆蓋BS7799標(biāo)準(zhǔn)中的眾多控制點(diǎn)，幫助他們通過(guò)以認(rèn)證為目標(biāo)的企業(yè)信息安全系統(tǒng)建設(shè)中石化 6000點(diǎn)海南移動(dòng) 1000點(diǎn) 勝任省、地、市的多級(jí)管理模式 2/22/2019第36頁(yè)，共56頁(yè)。海南移動(dòng)網(wǎng)絡(luò)

30、安全接入工程終端管理類型包括辦公終端（含省公司、分公司）、營(yíng)業(yè)終端、臨時(shí)來(lái)訪者、以及各專業(yè)子系統(tǒng)維護(hù)終端（包括維護(hù)生產(chǎn)終端和廠商維護(hù)人員）四類，并可在上述四類的基礎(chǔ)上根據(jù)實(shí)際情況劃分子類。 辦公終端管理 營(yíng)業(yè)終端管理 臨時(shí)來(lái)訪終端管理 各專業(yè)系統(tǒng)維護(hù)終端管理終端管理 2/22/2019第37頁(yè)，共56頁(yè)。海南移動(dòng)網(wǎng)絡(luò)安全接入工程終端接入控制客戶端行為監(jiān)控管理和網(wǎng)絡(luò)程序控制主機(jī)防火墻入侵檢測(cè)防護(hù)完整性檢查和自動(dòng)修復(fù)關(guān)鍵補(bǔ)丁管理Symantec Sygate安全策略保證系統(tǒng)用于實(shí)現(xiàn)如下功能 2/22/2019第38頁(yè)，共56頁(yè)。海南移動(dòng)網(wǎng)絡(luò)安全接入工程通過(guò)Sygate安全代理能夠自動(dòng)學(xué)習(xí)到網(wǎng)絡(luò)上運(yùn)

31、行的應(yīng)用程序，收集到運(yùn)行軟件列表里，通過(guò)策略服務(wù)器設(shè)置網(wǎng)絡(luò)程序白名單功能，實(shí)現(xiàn)自有在名單里的網(wǎng)絡(luò)程序可運(yùn)行，在白名單之外的軟件均不能正常運(yùn)行訪問(wèn)網(wǎng)絡(luò)。在終端管理策略網(wǎng)關(guān)提供全網(wǎng)允許運(yùn)行網(wǎng)絡(luò)程序總表 2/22/2019第39頁(yè)，共56頁(yè)。海南移動(dòng)網(wǎng)絡(luò)安全接入工程通過(guò)Sygate Gateway Enforcer安全接入網(wǎng)關(guān)實(shí)現(xiàn)該功能，終端接入網(wǎng)絡(luò)進(jìn)行訪問(wèn)時(shí)，必須首先安裝Sygate客戶端，安裝好Sygate客戶端后，還必須接受完整性檢查，安裝了完整性檢查要求的必要的軟件和補(bǔ)丁后，才能夠訪問(wèn)公司網(wǎng)絡(luò)，否則不能通過(guò)安全接入網(wǎng)關(guān)訪問(wèn)公司網(wǎng)絡(luò)終端接入網(wǎng)絡(luò)時(shí),必須實(shí)現(xiàn)是否安裝了必需軟件，對(duì)不符合要求的，禁

32、止訪問(wèn)公司網(wǎng)絡(luò)。 2/22/2019第40頁(yè)，共56頁(yè)。 中興通訊PC安全管理 涉及中興通訊全國(guó)各中心、事業(yè)部、分支機(jī)構(gòu)等所有在網(wǎng)個(gè)人計(jì)算機(jī)。適用范圍為公司全體員工，對(duì)用戶數(shù)的要求為3萬(wàn)人。項(xiàng)目一期目標(biāo)：一個(gè)半月完成國(guó)內(nèi)的部署實(shí)施；項(xiàng)目二期目標(biāo)：2005年底前完成海外個(gè)片區(qū)中心的部署實(shí)施。中興通訊PC安全管理項(xiàng)目的實(shí)施范圍 2/22/2019第41頁(yè)，共56頁(yè)。 訪問(wèn)控制 對(duì)于未通過(guò)認(rèn)證及不符合安全策略的用戶，可以限制其對(duì)網(wǎng)絡(luò)的訪問(wèn)。 策略統(tǒng)一制定和管理 可以靈活地制定所有用戶的安全策略，及時(shí)地下發(fā)給所有用戶，并強(qiáng)制用戶執(zhí)行。 策略切換 對(duì)于移動(dòng)用戶，根據(jù)其所處環(huán)境的不同和用戶的不同自動(dòng)啟用相

33、應(yīng)的策略。 個(gè)人防火墻 無(wú)論在公司內(nèi)網(wǎng)或公司外網(wǎng)，軟件能夠自動(dòng)啟用基本的防火墻功能。需要實(shí)現(xiàn)的基本功能和基本要求 中興通訊PC安全管理 2/22/2019第42頁(yè)，共56頁(yè)。增強(qiáng)移動(dòng)終端的安全風(fēng)險(xiǎn)對(duì)抗能力終端自動(dòng)化安全加固補(bǔ)丁管理與強(qiáng)制防止蠕蟲、木馬、黑客工具等在網(wǎng)絡(luò)內(nèi)部的傳播、擴(kuò)散強(qiáng)制如殺毒軟件等安全工具和管理工具的正常運(yùn)行及更新可輕松跨安全域，跨防火墻部署靈活的管理尺度按需擴(kuò)展的能力華為端點(diǎn)安全考慮因素:關(guān)鍵需求:需求偏重安全防護(hù) 2/22/2019第43頁(yè)，共56頁(yè)。華為關(guān)鍵需求Symantec Sygate 方案FW IDS 針對(duì)不同的網(wǎng)絡(luò)環(huán)境，網(wǎng)絡(luò)連接方式有多套策略可自動(dòng)在多套策略中

34、切換，以應(yīng)對(duì)不同的風(fēng)險(xiǎn)等級(jí)在中央管理的主機(jī)防火墻上應(yīng)用網(wǎng)絡(luò)程序黑名單如果沒(méi)有安裝殺毒軟件，則下載安裝，如果未更新特征庫(kù)，則強(qiáng)制更新關(guān)鍵需求增強(qiáng)移動(dòng)終端的安全風(fēng)險(xiǎn)對(duì)抗能力防止蠕蟲、木馬、黑客工具等在網(wǎng)絡(luò)內(nèi)部的傳播、擴(kuò)散強(qiáng)制如殺毒軟件等安全工具和網(wǎng)絡(luò)管理工具的正常運(yùn)行 2/22/2019第44頁(yè)，共56頁(yè)。華為關(guān)鍵需求Symantec Sygate 方案啟用強(qiáng)口令策略 啟用統(tǒng)一屏幕保護(hù)策略關(guān)閉威脅的服務(wù)和端口匿名訪問(wèn)限制（不容許枚舉共享文件夾，SAM中的用戶信息）禁止修改IP地址，切換信息點(diǎn)禁止一切沒(méi)有限制的文件共享禁止用戶安裝新程序啟用系統(tǒng)文件保護(hù)禁用注冊(cè)表編輯器關(guān)鍵需求終端自動(dòng)化安全加固 2/

35、22/2019第45頁(yè)，共56頁(yè)。華為關(guān)鍵需求Symantec Sygate 方案SYGATE客戶端自動(dòng)重定向到內(nèi)部指定SUS服務(wù)器升級(jí)微軟補(bǔ)丁強(qiáng)制檢查關(guān)鍵補(bǔ)丁，如果缺失則Sygate系統(tǒng)自動(dòng)分發(fā)安裝針對(duì)無(wú)法安裝補(bǔ)丁的終端可分發(fā)內(nèi)存補(bǔ)丁可分發(fā)第三方應(yīng)用程序補(bǔ)丁支持?jǐn)帱c(diǎn)續(xù)傳關(guān)鍵需求補(bǔ)丁管理與強(qiáng)制輔助軟件分發(fā) 2/22/2019第46頁(yè)，共56頁(yè)。給客戶帶來(lái)的好處Symantec SYGATE 解決方案幫助華為:打造主動(dòng)防御網(wǎng)絡(luò)，避免事后處理的高額成本將網(wǎng)絡(luò)管理員從勞動(dòng)密集型工作中解放出來(lái)實(shí)現(xiàn)全網(wǎng)統(tǒng)一殺毒將安全緊急事件的響應(yīng)時(shí)間縮短為之前的十分之一僅用了清除一次重大病毒疫的成本就換來(lái)了不間斷自防御

36、網(wǎng)絡(luò)“Taking vulnerability out of the network” 2/22/2019第47頁(yè)，共56頁(yè)。Symantec SEP解決方案終端安全管理問(wèn)題和解決之道Symantec優(yōu)勢(shì)和案例分析 競(jìng)爭(zhēng)對(duì)比Agenda 2/22/2019第48頁(yè)，共56頁(yè)。市場(chǎng)競(jìng)爭(zhēng)中所處的位置主要的競(jìng)爭(zhēng)對(duì)手: 2/22/2019第49頁(yè)，共56頁(yè)。Competitive Positioning: Cisco NACCNAC: Customers report that deploying CNAC would cost up to$20 Million in Cisco network in

37、frastructure upgradesCSA: Customers report up to 85% trouble ticket rate during pilotsKILLERS弱點(diǎn)不支持其他網(wǎng)絡(luò)產(chǎn)商的設(shè)備，無(wú)法使用在異類網(wǎng)絡(luò)環(huán)境中需要大量的路由器、交換機(jī)等固件升級(jí)或更換，總體擁有成本太高CNAC需要在第四個(gè)階段才能實(shí)現(xiàn)比較全面的覆蓋，現(xiàn)在僅在第二個(gè)階段安全因?yàn)橐蕾囈粋€(gè)廠商而降低不能提供全面測(cè)試，用戶做決定時(shí)需要下賭注需要第三方方案解決客戶端問(wèn)題，需要額外的客戶端部署，用戶實(shí)際期待的是multi-function Agent,而不是multiple single-function ag

38、ent管理缺乏擴(kuò)展性，策略缺乏適應(yīng)性Cisco并不為離開CNAC的端點(diǎn)提供持續(xù)的保護(hù)CNAC不能提供細(xì)粒度自定義規(guī)則。Sygate方案中，不同用戶可以從屬于不同的策略客戶端經(jīng)常打擾和中斷用戶不能中央管理所有的CNAC策略ACS一端咨詢多個(gè)posture server，管理煩瑣，管理員需要弄清在何處升級(jí)策略，存在多個(gè)潛在的失敗點(diǎn)（failure point） 2/22/2019第50頁(yè)，共56頁(yè)。Competitive Positioning: Huawei-3com EADKILLERS弱點(diǎn)絕大多數(shù)CNAC的弱點(diǎn)，同樣適用于Huawei-3com醉翁之意不在酒, 在于對(duì)付技術(shù)門檻，完成硬件銷售

39、成熟度低，05年11月進(jìn)入市場(chǎng)，屬于半成品合作伙伴太少，只有3家客戶群少，僅有20個(gè)案例接入點(diǎn)覆蓋率低，受制于Huawei3com的產(chǎn)品線長(zhǎng)度架構(gòu)設(shè)計(jì)上只能支持到千級(jí)的客戶端管理服務(wù)器沒(méi)有熱備和容錯(cuò)機(jī)制，可能導(dǎo)致大面積終端無(wú)法上網(wǎng)不支持級(jí)聯(lián)的組結(jié)構(gòu)，策略無(wú)法繼承客戶端功能匱乏 2/22/2019第51頁(yè)，共56頁(yè)。軟件分發(fā)補(bǔ)丁管理資產(chǎn)管理軟件許可監(jiān)管遠(yuǎn)程幫助操作系統(tǒng)部署及配置遷移 網(wǎng)絡(luò)準(zhǔn)入控制網(wǎng)絡(luò)程序管理主機(jī)防火墻內(nèi)存防火墻自適應(yīng)策略系統(tǒng)鎖定Behavioral IPSSignature based IPS外設(shè)管理Sygate專著于終端安全管理與防護(hù)Landesk偏重終端資產(chǎn)管理Competi

40、tive Positioning: Landesk 2/22/2019第52頁(yè)，共56頁(yè)。弱點(diǎn)安全才是用戶真正的痛資產(chǎn)管理來(lái)實(shí)現(xiàn)軟硬件滾動(dòng)升級(jí)在中國(guó)還只能是遠(yuǎn)景目標(biāo)，而且決策者不會(huì)是IT安全部門Landesk的安全手段單一，主要是打補(bǔ)丁在終端項(xiàng)目中，如果有網(wǎng)絡(luò)準(zhǔn)入控制，就為它設(shè)置了無(wú)法逾越的技術(shù)壁壘有侵犯終端用戶隱私的功能模塊，容易引起抵觸，部署時(shí)阻力大客戶端無(wú)自我保護(hù)能力，容易被卸載可說(shuō)服用戶分開立項(xiàng)Competitive Positioning: Landesk Contd 2/22/2019第53頁(yè)，共56頁(yè)。劣勢(shì)成熟度低，用戶網(wǎng)絡(luò)成為其試驗(yàn)田只在電信領(lǐng)域遭遇照虎畫貓，終端安全和策略強(qiáng)制上只實(shí)現(xiàn)Sygate的部分功能不支持802.1x認(rèn)證，無(wú)法實(shí)現(xiàn)接入層安全認(rèn)證 客戶端所帶的主機(jī)防火墻未經(jīng)受考驗(yàn)系統(tǒng)擴(kuò)展能力差，缺少熱備/容錯(cuò)機(jī)制系統(tǒng)內(nèi)置的負(fù)載均衡能力不完善優(yōu)勢(shì)利用自己在電信行業(yè)的影響力，多種手段采取卡位戰(zhàn)略有自主知識(shí)產(chǎn)權(quán)，對(duì)用戶需求響應(yīng)迅捷Competit