SYMANTEC構建全面安全的系統(tǒng)

SYMANTEC構建全面安全的系統(tǒng)議程SYMANTEC公司簡介SYMANTEC的安全整體解決方案簡述端點安全到網(wǎng)絡安全SYMANTEC專業(yè)安全服務全球第四大獨立軟件公司全球第一大安全軟件公司全球增長速度最快的大型軟件公司在全球有15,000多名員工賽門鐵克中國有350多名員工中國研發(fā)中心有93名員工“賽門鐵克的信息完整性是向安全性和系統(tǒng)管理一體化邁出的大膽的一步…賽門鐵克的構想還力圖解決令客戶頭疼的補丁程序管理、法規(guī)遵從性以及業(yè)務連續(xù)性等的問題?！?-ChrisChristiansen,IDC賽門鐵克公司簡要介紹信息安全性主動防護各層基礎架構免受安全威脅為新出現(xiàn)的威脅提供早期預警監(jiān)視系統(tǒng)的遵從性信息可用性+分區(qū)、優(yōu)化、監(jiān)視和補救系統(tǒng)及存儲，確保維持正常運行時間和性能水平一旦出現(xiàn)故障，即可恢復系統(tǒng)和數(shù)據(jù)結果是您的基礎架構更加富有彈性=信息完整性信息安全可用效率更高復雜度減小遵從性增加風險降低業(yè)界領先者推動融合賽門鐵克:業(yè)界領導地位客戶機網(wǎng)絡/網(wǎng)關應用程序服務器存儲器安全洞察力預防和檢測數(shù)據(jù)保護、恢復、存儲管理資源實時分配群集復制性能管理優(yōu)化管理映像/備份補救措施

修補/備份

恢復建立合理的、具有彈性的基礎架構賽門鐵克的主動安全防護體系保障信息的完整性整合的人員、流程和技術，可以在信息安全和可用性之間形成恰當?shù)钠胶?/p>

信息安全性：

安全但是您的員工無法獲得的信息是毫無用處的。

信息可用性：

您的員工可以獲得但是不安全的信息是不可信的。

因此由這些信息得出的所有結果也是不可信的預警防護響應管理發(fā)現(xiàn)交付恢復設計更新信息安全性信息可用性SYMANTEC的安全整體解決方案簡述

建立主動防御式的網(wǎng)絡安全體系網(wǎng)絡邊界威脅防御措施內網(wǎng)間的網(wǎng)絡攻擊行為控制內部端點威脅防御嚴密的安全策略管理建立高可用性的應用系統(tǒng)架構預防軟、硬件故障造成的關鍵應用停機預防突發(fā)或人為失誤造成的系統(tǒng)癱瘓建立靈活的存儲管理系統(tǒng)提高存儲利用率SYMANTEC主動防御式安全解決方案發(fā)布漏洞特征/發(fā)布防護措施和方法針對漏洞的病毒大規(guī)模爆發(fā)發(fā)現(xiàn)漏洞TimeVulnerabilityActivityT1T3

T4被動響應階段主動應對階段控制、補救、清除漏洞樣本被分析、定義命名T2漏洞知識庫和控制策略部署完畢采用主動防范技術有效的防御措施將提供

最優(yōu)的投資收益面向過程的風險管理終端安全防護重要服務器、應用防護內部網(wǎng)間攻擊防護外部網(wǎng)關統(tǒng)一威脅控制層次化的信息安全管理體系建立主動防御信息網(wǎng)絡體系安全管理策略

外部網(wǎng)關安全面臨的挑戰(zhàn)第一道安全屏障威脅與正常訪問的區(qū)分防止其他網(wǎng)絡的非授權用戶或非法用戶進入有限的TCO，多功能網(wǎng)關安全產品的迫切需求簡單的部署方式與集中管理SGS5600防病毒深度包檢測防火墻VPN入侵檢測入侵防護內容過濾反垃圾郵件

內部網(wǎng)絡攻擊防護出口的安全控制無法對內網(wǎng)的攻擊做控制移動電腦的流行，威脅的爆發(fā)點較多不同網(wǎng)段間的安全策略不一，需要進行實時監(jiān)控，攔截攻擊行為對網(wǎng)絡蠕蟲等傳播范圍大、攻擊力度強的威脅進行防護安全補丁的分發(fā)部署總是顧此失彼，內網(wǎng)的安全隱患不容忽視內部網(wǎng)絡安全的第一需求是終止安全威脅在網(wǎng)絡內快速傳播

基于網(wǎng)絡入侵檢測方案

SymantecNetworkSecurity7100

SymantecNetwork4.0基于主機的入侵檢測方案SymantecIntruderAlertSymantecHostIDS

誘騙型的入侵檢測方案SymantecDecoyServer內網(wǎng)IDS/IPS安全方案

Symantec網(wǎng)絡安全產品：

SNS7100In-Line(透明)模式下,自動阻截攻擊行為

準確的發(fā)現(xiàn)和阻斷網(wǎng)絡入侵(包括零日攻擊zero-dayattacks)000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000FirewallprovidesaccesscontrolDenyTrafficAllowTrafficDenySomeAttacksCorporateNetwork防火墻是網(wǎng)絡第一道防線防火墻有哪些局限性？不能防止惡意的內部攻擊不能防范不通過它的連接不能防備全部的威脅只能防止已知的威脅對利用允許通過的協(xié)議的攻擊無能為力某些DoS攻擊會造成防火墻失效防火墻自身的系統(tǒng)安全風險錯誤的配置導致的防范失效影響網(wǎng)絡性能入侵檢測(IDS)Vs入侵防御(IPS)入侵檢測是指：“通過對行為、安全日志或審計數(shù)據(jù)或其他網(wǎng)絡上可以獲得的信息進行操作，檢測到對系統(tǒng)的闖入或闖入的企圖”(參見國標GB/T18336)。IPS的檢測功能類似于IDS，但IPS檢測到攻擊后會采取行動阻止攻擊，可以說IPS是基于IDS的、是建立在IDS發(fā)展的基礎上的新生網(wǎng)絡安全產品。

(摘自:公安部計算機信息系統(tǒng)安全產品質量監(jiān)督檢驗中心-入侵防御產品安全檢驗規(guī)范)InternetDesktopsWebServersTelecommutersCustomersServersNetworkBranchOfficePartnersHackerIPS的工作模式郵件面臨的威脅保護企業(yè)免受郵件威脅的侵害保障來自合法組織的重要郵件能夠正常發(fā)送盡量不增加管理員的管理負擔

煽動、攻擊性內容法規(guī)遵從系統(tǒng)停機威脅關鍵服務器安全生產力降低資源浪費由于不恰當?shù)倪^濾帶來的誤報減少可用帶寬浪費郵件服務器的資源，包括CPU、內存和硬盤空間增加了資源的投資病毒和惡意代碼垃圾郵件逐步增加的無用數(shù)據(jù)流量內容控制系統(tǒng)管理員面臨的主要挑戰(zhàn)BLOC(SymantecBrightmailLogisticsandOperationsCenter)

垃圾郵件分析操作中心自動化創(chuàng)建垃圾郵件過濾器垃圾郵件的研究和查證24x7全天候運作探測網(wǎng)絡管理監(jiān)視有效性與準確率在網(wǎng)絡中的部署部署在郵件服務器或現(xiàn)存網(wǎng)關的前面根據(jù)垃圾郵件特征庫，在垃圾郵件進入郵件服務器之前將其刪掉根據(jù)策略過濾制定內容的郵件客戶端安全的挑戰(zhàn)移動電腦最容易被攻擊，將病毒帶入內網(wǎng)中客戶端信息安全問題客戶端數(shù)量相對龐大，統(tǒng)一管理比較困難各部門對計算機病毒的防治手段和水平參差不齊，無法有效抑制病毒、混合型威脅、惡意代碼在網(wǎng)內傳播在混合性威脅爆發(fā)時無法作出及時響應、缺乏緊急響應流程AntivirusIntrusionPreventionFirewall需要協(xié)同防御體系FirewallandIntrusionPrevention威脅例子:Sasser試圖利用WINDOWS平臺的Lsass漏洞通過相關服務進入系統(tǒng),并試圖建立大量對外連結.流量被IPS檢測到并阻斷在本機上的衍生體在本機的生成和安裝,通知防火墻阻斷對該端口流量的傳遞.

AntivirusandFirewall威脅例子:Blaster端口掃描試圖發(fā)現(xiàn)機器的弱點.Firewall阻斷TCP端口135,通知AV清除在該端口進入的信息.SymantecSystemCenterAntivirus威脅例子:MyDoom被AV引擎檢測到郵件發(fā)送的行為特征.AV阻止由蠕蟲攻擊生成的SMTP引擎外發(fā)郵件.SymantecClientSecurity挑戰(zhàn)－網(wǎng)絡端點，安全起點

WhySygate?Sygate的主機防火墻技術04，05年連續(xù)兩次蟬聯(lián)該安全目錄第一SygateOn-demand技術2005年評出的“網(wǎng)絡安全和保密最炫目廠商”該安全目錄中7項指標，6項由Sygate發(fā)布Sygate主機入侵防御(HIPS)技術SygateUpstheAnteonEnterpriseHIPSSygate網(wǎng)絡準入控制技術全球第一個通用網(wǎng)絡準入控制系統(tǒng)

Gartner預測到2006年，30%的連網(wǎng)桌面機將會安裝PFWs，到2008年該比率將升到60%，而2010年則高達95%最近榮譽2005年度最佳安全解決方案SCMagazine（計算機安全雜志）963個產品，291家廠商2004安全管理類年度產品大獎InformationSecurity（信息安全雜志）2004年度技術創(chuàng)新大獎ComputerWorld（計算機世界雜志）2004年度用戶選擇大獎SecureEnterprise（企業(yè)信息安全雜志）依據(jù)用戶反饋意見評選端點－企業(yè)安全體系建設的短板移動終端引入的安全威脅VPN移動終端網(wǎng)絡/無線連接旅館/餐廳/機場/家黑客網(wǎng)關郵件服務器文件服務器收發(fā)Email下載音樂、軟件瀏覽新聞移動終端瀏覽器網(wǎng)絡入口不斷增加管理員最擔心的終端安全問題蠕蟲病毒爆發(fā)導致的拒絕服務移動終端與非法接入安全防護軟件管理失效補丁分發(fā)問題用戶網(wǎng)絡濫用12345郵件服務器癱瘓網(wǎng)絡設備阻塞如何強制分發(fā)如何及時分發(fā)盜版系統(tǒng)的兼容性移動終端外來人員接入內網(wǎng)外聯(lián)VPN接入一機多用聊天海量下載掃描工具黑客工具Arp欺騙防病毒軟件不安裝防病毒軟件卸載病毒定義不更新其他終端防護軟件的使用效果方案－雙劍合璧，安全無憂

Symantec端點安全解決方案反間諜軟件客戶防火墻O/S保護防反堆棧溢出主機IPS外設控制防病毒網(wǎng)絡IPS策略符合性檢查和自動修復保護技術數(shù)據(jù)和文件系統(tǒng)網(wǎng)絡連接操作系統(tǒng)內存/程序應用軟件蠕蟲、探尋和攻擊病毒、特洛伊木馬、惡意軟件和間諜軟件惡意軟件、Rootkits、零日漏洞緩沖溢出攻擊、程序注入、按鍵記錄零日攻擊、惡意軟件、特洛伊木馬、應用程序注入I/O設備Slurping、IP竊取、惡意軟件行為保護對象威脅移動終端、非法接入、外設管理、外聯(lián)管理、行為監(jiān)控賽門鐵克企業(yè)保護SEP賽門鐵克防病毒SAV賽門鐵克網(wǎng)絡準入控制SNAC賽門鐵克解決方案統(tǒng)一端點安全管理SPMSNAC：網(wǎng)絡準入控制方案主機完整性檢查&自動修復、端點強制沒有保護功能（不包含主機防火墻、主機IPS、內存防火墻等）沒有自我強制功能SEP=NAC+端點保護主機防火墻、主機IPS、主機完整性檢查&自動修復、端點強制等；SEP和SNAC共享同樣的架構策略管理服務器、強制服務器Sygate安全代理和Sygate強制代理可以在一個架構中共同部署SEPvs.SNAC產品功能SygateEnterpriseProtection終端保護網(wǎng)絡準入控制終端修復終端管理主機防火墻主機入侵防御系統(tǒng)安全檢查自適應策略網(wǎng)絡程序管理文件訪問控制外設管理網(wǎng)絡適配器管理系統(tǒng)加固、修復軟件分發(fā)關鍵補丁強制安全問題通告邊界準入與隔離局域網(wǎng)準入與隔離DHCPIP獲取準入Web應用準入控制內存防火墻操作系統(tǒng)保護本地隔離系統(tǒng)鎖定SymantecSygateEnterpriseProtectionSolution

惡意代碼的泛濫網(wǎng)絡的擁堵和癱瘓訪客、和移動用戶的私自接入內部未授權的訪問和網(wǎng)絡濫用未授權的卸載和篡改問題為終端標準化提供技術保障新的安全建設保障機制，替代費時、費力的周期性安全審計安全自動化，降低安全成本在用戶現(xiàn)有架構中保護已有的安全投資利益雙重檢查確保策略遵從安全檢查合規(guī)終端12拒絕請求隔離到修復區(qū)身份識別12合法終端拒絕請求隔離到漫游區(qū)權限請求SNAC-端點策略遵從流程發(fā)現(xiàn)

端點連接到網(wǎng)絡獲取配置步驟1實施

對照策略檢查配置是否遵守規(guī)定步驟2üü?補救

根據(jù)策略檢查結果采取措施步驟3補丁

隔離

虛擬臺式電腦監(jiān)控

監(jiān)控端點，確保長期的法規(guī)遵從步驟4SNAC－從紙面的管理口號到技術上的策略遵從傳統(tǒng)的管理方式紅頭文件/通告Mail、電話通知安全管理規(guī)章制度罰款、通報批評身份認證安全認證準許接入終端接入失敗修復周期檢查拒絕隔離自愈(remediation)自馭(restrictandquarantine)自御(protection)Symantec的方法

NetworkAccessControl策略

制定策略

執(zhí)行安全訪問控制

NetworkAdmission/AccessControl(NAC)網(wǎng)絡準入控制核心思想－屏蔽一切不安全的設備和人員接入企業(yè)網(wǎng)絡，或者規(guī)范終端用戶接入網(wǎng)絡的行為，從而鏟除對網(wǎng)絡威脅的源頭，避免事后處理的高額成本關鍵字－自御(protection)、自馭(restrictandquarantine)、自愈(remediation)SymantecSNAC完整性檢查的內容LanEnforcerGatewayEnforcerDHCPEnforcerSygatePolicyServerSygateOn-DemandSelfEnforcementCNAC,MSNAP,TNCUniversalAPIAntiVirusHostFirewallServicePackSygateEnforcementAgent反間諜軟件主機入侵防御Hotfix自定義…核準的程序NetworkSecurity＝SUM（HostIntegrity）策略執(zhí)行策略強制策略制定策略決策點策略管理

接入設備已管理的

臺式機未管理的已管理的移動用戶策略強制點遠程接入

SSL&IPsec認證服務

-RADIUS局域網(wǎng)交換機

&無線全面的SymantecSNAC架構Sygate管理服務器

(分布式,高彈性,與目錄技術集成)LANEnforcer無法管理的端點

-PFWIP地址服務-DHCP透明網(wǎng)關

Gig-ECiscoNACGatewayEnforcerSelfEnforcerDHCPEnforcerOn-DemandEnforcerPDASygateSecureEnterpriseSygateOn-DemandSygateMagellanCorrelatorSygateDiscoveryEngineSygateNetworkAccessControl

TravelingExecutiveHotelPartnerKioskPrinterWorkstationGuestATMRemediationRadiusApplicationsSygateEnforcerSygateManagementSystemSSLVPNIPSECVPNWirelessFirewall802.1xSwitchPasswordTokenUserNameStatusEAP

PatchUpdatedServicePackUpdatedPersonalFirewallOnAnti-VirusUpdatedAnti-VirusOnStatusHostIntegrityRuleXCompliantNon-Compliant802.1xEnforcementPatchUpdatedServicePackUpdatedPersonalFirewallOnAnti-VirusUpdatedAnti-VirusOnStatusHostIntegrityRulePasswordTokenUserNameStatusEAP

PatchUpdatedServicePackUpdatedPersonalFirewallOnAnti-VirusUpdatedAnti-VirusOnStatusHostIntegrityRulePatchUpdatedServicePackUpdatedPersonalFirewallOnAnti-VirusUpdatedAnti-VirusOnStatusHostIntegrityRulePatchUpdatedServicePackUpdatedPersonalFirewallOnAnti-VirusUpdatedAnti-VirusOnStatusHostIntegrityRulePatchUpdatedServicePackUpdatedPersonalFirewallOnAnti-VirusUpdatedAnti-VirusOnStatusHostIntegrityRuleXPatchUpdatedServicePackUpdatedPersonalFirewallOnAnti-VirusUpdatedAnti-VirusOnStatusHostIntegrityRuleGuestEnforcementGateway/APIEnforcementCompliantNon-Compliant端點安全三級跳－防病毒的例子查殺已進入的病毒Antivirus防止病毒進入系統(tǒng)IPSFirewallAntivirus防止病毒進入網(wǎng)絡SNAC價值－連接之際，安全之時

客戶互聯(lián)網(wǎng)“內網(wǎng)”技術支持人員外包項目常駐人員訪客合作伙伴臺式機用戶服務器某大型銀行因外來人員隨意接入而十分困擾某大型交通企業(yè)因為USB移動存儲設備傳播病毒服務器工作站工作站工作站互聯(lián)網(wǎng)交通企業(yè)網(wǎng)絡某省級運營商遭受蠕蟲和病毒攻擊的案例分析內部網(wǎng)絡連續(xù)兩周出現(xiàn)間歇性癱瘓的癥狀，平均每天癱瘓4次左右，持續(xù)時間不等，最長可達幾個小時。癥狀較輕時，網(wǎng)絡尚可聯(lián)通，但網(wǎng)速異常慢，讓人無法忍受。癥狀較重時，則網(wǎng)絡徹底癱瘓，子網(wǎng)之間均不可達，且同一子網(wǎng)內丟包率很高。SEP帶給客戶的價值LastModified:2004兺06懍14粧10:15湰屃<員工生產效率提高30%>（網(wǎng)絡程序管理）<應急響應時間縮短90%、>（FW、IDS）<網(wǎng)絡癱瘓幾率下降90%

>（準入控制）<運維人力減少20%～30%>（自動化加固、修復）<降低部署企業(yè)應用的終端環(huán)境復雜度

><保護企業(yè)已有的安全投入>（策略強制）優(yōu)勢－賽門鐵克，安全首選

引領趨勢－從端點防毒到IT策略遵從IT

策略遵從定義管理控制?端點防病毒SAV病毒端點集成保護黑客間諜竊賊SCS發(fā)現(xiàn)和實施?端點策略遵從補救SEP/SNAC2004－2006連續(xù)3年排名第一市場領先的解決方案主動防護當前的威脅自動執(zhí)行端點法規(guī)遵從要求監(jiān)控和報告用于證明IT控制市場的絕對領導者全面廣泛的支持APIIntegration802.1x(W)LAN

NACTestingOn-Demand

NACIntegrationCiscoCiscoJuniperJuniperNortelArrayNetworksCheckpointAlcatelAEP/NetillaAventailFoundryAventailNortelArubaArubaiPassExtremeV-OneHPProcureTrapezeNetworksAireSpace(Cisco)NortelNetworksEnterasys用戶的信任－SNAC/SEP成熟、大規(guī)模的應用TimeWarnerSygateNAC支持API整合802.1x(W)LANNAC支持On-DemandNAC整合CiscoCiscoJuniperJuniperNortelArrayNetworksCheckpointAlcatelNetillaAventailFoundryAventailNortelArubaArubaiPassExtremeV-OneHPProcurveAireSpace(Cisco)EnterasysHuawei-3com業(yè)內的領導地位端點安全市場的領導廠商GartnerandMetaAcclaim3個領域的技術領導者端點安全KeyLabs評測的優(yōu)勝者網(wǎng)絡準入控制(NetworkAccessControl)用戶選擇大獎-SecureEnterpriseMagazine(封面文章!)OnDemandAnti-Spyware+Firewall和Gartner共同發(fā)起網(wǎng)絡研討市場上第一個On-Demand端點安全產品網(wǎng)絡訪問控制革新的領導者SecureEnterpriseNACBakeoffWinnerSCMagazine–2005年最佳新解決方案InformationSecurityMagazine年度產品大獎InfoWorld–第一名公認的領導者

–不僅僅是檢測終端對安全策略的依從在出現(xiàn)問題之前ComplianceonContactTM

ProductoftheYear部分現(xiàn)有客戶SYMANTEC提供關鍵系統(tǒng)的連續(xù)運行

關鍵應用的連續(xù)運行問題重要的業(yè)務服務器人為失誤、病毒導致數(shù)據(jù)刪除服務器或存儲故障導致停機或數(shù)據(jù)丟失軟件運行邏輯錯誤導致數(shù)據(jù)不準確火災等自然災難導致數(shù)據(jù)中心損毀提高資源使用效率如何保證系統(tǒng)中斷后能正確恢復？方案效果支持任何故障后的關鍵系統(tǒng)恢復快速恢復完整的系統(tǒng)（操作系統(tǒng)/數(shù)據(jù)）異構環(huán)境統(tǒng)一的數(shù)據(jù)備份與恢復工具SYMANTEC方案提供業(yè)界最先進的技術解決用戶的問題分散的數(shù)據(jù)備份（分支機構）提供RPO=0的連續(xù)數(shù)據(jù)保護（CDP)完全自動化的管理手段容災需求停電、火災等災難需要更高層的解決方案什么是容災？當發(fā)生災難時有另一個IT系統(tǒng)繼續(xù)支持業(yè)務的運行關鍵應用系統(tǒng)需要容災容災的課題RPO/RTO容災中心選擇數(shù)據(jù)傳送技術應用切換方式定期系統(tǒng)測試計劃應用服務器應用后備服務器雙網(wǎng)絡交換機主中心WAN/LAN容災中心總結

Symantec提供可靠的業(yè)務連續(xù)性解決方案數(shù)據(jù)備份與恢復是關鍵應用系統(tǒng)最基本的數(shù)據(jù)保護系統(tǒng)，它能夠保證任何災難后整個應用系統(tǒng)的恢復，解除管理者的后顧之憂集群與存儲管理系統(tǒng)可以進一步提高系統(tǒng)的高可用性，保證單個磁盤或磁盤陣列壞掉不影響數(shù)據(jù)的使用，同時能夠在服務器硬件故障時快速恢復運行。一般是在數(shù)據(jù)備份與恢復架構的基礎上，對影響業(yè)務的關鍵系統(tǒng)部署集群和存儲管理。容災可以對關鍵系統(tǒng)實施最高級別的保護，保證任何災難下都不影響關鍵應用。SYMANTEC專業(yè)安全服務

加拿大卡爾加里4,800多個可管理安全設備

200萬密罐電子郵件帳戶全球有1.2億個賽門鐵克系統(tǒng)

超過25%的全球電子郵件得到分析全球最大的智能化安全監(jiān)控網(wǎng)絡加州Redwood市加州SantaMonica愛爾蘭都柏林維吉尼亞州

NewportNews馬薩諸塞州Waltham猶他州Orem和猶他州

AmericanFork臺灣