Symantec安全解决方案

Symantec安全解决方案Agenda2安全体系建设1解决方案概览2讨论3信息安全风险发展趋势业务功能越来越多，对外接口也越来越多，对信息安全的管理和技术控制措施提出更高要求。12业务开放化终端多样化驱动利益化攻击成熟化35公司内部员工、第三方人员等，利用其了解的信息和掌握的权限谋取非法收入；利用技术手段获取非法收益的地下产业链正在不断扩大；应用软件的多样化使得相应的漏洞数量也呈现出超过了操作系统的趋势应用补丁的速度却远不及操作系统补丁.应用补丁受重视程度低，但应用漏洞逐渐呈现被广泛利用的趋势，并大量通过客户端感染木马等方式，影响服务器端。大量自动化、集成度高的攻击工具，可通过互联网下载，攻击成本逐年降低；攻击的方法愈加隐蔽，使得发现和追踪更为困难。传统计算机领域的安全问题逐步扩展到多种多样的固定或者移动终端领域。特别是终端互联网访问中无意识的信息泄漏和遭受的恶意代码攻击等，给金融业务带来安全隐患。4漏洞应用化安全建设关注点的变化趋势•传统基于网络的防护虽依然是基础，但关注点逐渐转向对于数据内容、应用本身、用户身份和行为安全的管理•日益增长的IT资产数量，无论硬件设施还是各类软件，高效安全的管理已成为大型企业关注的话题•企业多年来的安全投资，是否产生了价值？这使企业开始考虑如何正确了解和评价企业安全风险，以及衡量安全工作成效的标准，并更加关注安全的监控和综合性分析的价值•威胁的不断发展变化，使企业认识到安全投入的长期性，同时也更愿意获得在节约投资、加强主动性防御的安全建设方面的借鉴。以技术平台支撑的合规管理工作正在越来越受到重视•安全威胁的破坏性越来越大，同时业务的发展对系统和数据的高可靠性要求不断提高，企业需要根据不断发展变化的安全威胁，在系统和数据的可用性方面不断优化和改进。5规划的出发点——信息为核心的世界5基础架构信息IT治理业务连续性风险管控法规遵从其他IT技术与管理网络管理安全管理系统管理分类分级内容安全归档保存审计取证企业业务云终端数据中心网络服务器存储高效管理绿色管理泄密防范企业的IT管理者：“我们面对的是一个以信息为核心的世界”存储管理规划的原则整体规划应对变化安全建设规划要有相对完整和全面的框架，能应对当前安全威胁的变化趋势立足现有提升能力现有安全建设基础上，完善IT基础架构的安全建设，通过优化和调整挖掘潜力，提升整体安全保障能力着眼信息重点防范以安全治理为工作目标，以防范有意、无意的数据泄漏为近期工作重点总体规划目标安全治理为方针–企业最终保障的是企业业务，而业务的关键内容之一就是围绕业务的各类数据和信息；信息安全为核心–不可管理本身就是不安全的一个隐患–支撑IT系统的基础设施和架构要以“可量化管理、可流程化管理”为目标，全面提升其安全支撑和保障能力可管理IT基础架构为基础–安全工作的目标是对信息安全环境的不断治理和改善。安全治理为方针81.安全治理层（Policy-driven）包含：安全监控、合规管理、审计管理、IT资产服务管理等内容安全治理是安全工作长期的、持续性的工作目标安全治理的手段依赖于平台化的技术支撑3.基础架构安全(Managed-Infrastructure)IT系统中传递和承载信息的各类硬、软件设备及系统安全建设涵盖了基础架构各方面的专业性、结构性和可管理性安全方面的各种内容，是安全建设的关键和基础2.信息安全(Information-centric)包含：数据安全、内容安全、IT基础设施所承载的所有数据及内容，是安全工作目标的核心，安全工作的重点开放平台安全工作框架XX客户的安全治理进度终端安全防护200920102011数据防泄漏安全基础架构安全工作IT资产管理—终端标准化管理安全治理工作IT资产管理—其他器标准化敏感数据加密保护集中安全监控和审计平台建立安全配置合规管理安全策略合规管理IT资产服务流程管理信息安全工作网络准入控制网页访问安全管理统一身份管理（维护帐号）裸机恢复系统和数据加固统一身份管理（业务帐号）基础架构安全规划要点1.终端安全防护软件：主机防火墙、防入侵、应用程序与外设监控等2.网络准入控制：强制端点安全策略、受控与非受控端点的控制、访客终端控制3.服务器安全：安全配置基线检查、关键服务器入侵防护4.网络安全：安全域优化与局部调整、边界访问控制、网络入侵防御等5.资产标准化管理：补丁自动化管理、问题管理、状态追踪等6.统一身份管理：重点对维护帐号和口令实施实名制的统一认证、授权、单点登录等管理7.架构冗余和数据冗余：根据RTO/RPO的变化，对架构和数据冗余作相应调整管理技术维护与服务1.分基础设施类型的配套制度与流程的制定与完善：•终端（服务器）安全防护策略规范•互联网接入及安全防护规范•终端（服务器）安全日常维护规范•安全设备（系统）日常维护规范•内网网络准入控制规范•资产标准化安全配置基线及管理规范•业务连续性计划（RTO/RPO的调整）1.分基础设施类型的配套基本维护作业计划：•防病毒日常安全维护计划•终端日常安全维护作业计划（服务器、网络设备、安全设备）•IT系统级测试、演练、运维作业计划的调整2.服务支持：•各类特征库的升级服务支持•安全配置策略的调整与优化•服务响应级别及支持内容的调整信息安全规划要点1.数据归档与审计：•Email及文件的归档与快速搜寻•文档信息的审计与取证2.邮件安全网关•垃圾邮件与即时消息安全防范•邮件病毒防范3.网页访问安全网关：•防网页挂马、病毒过滤、应用管控、网页过滤、僵尸网络行为分析4.数据防泄漏：•网络、存储、终端层面的数据内容监控，实现数据泄漏防护功能5.数字版权保护：•通过数字水印、或加密防拷贝技术对明确的重要文件实施保护6.数据加密•针对必要的关键性的数据的加密保护管理技术维护与服务1.配套制度与流程的制定与完善：•逐步形成企业数据分类、分级规范及相应安全防护策略•数据泄密响应处理流程及汇报制度1.维护作业计划：•数据防泄漏监控与泄漏事件响应作业计划•密钥管理与维护作业计划•网页安全访问统计分析2.服务支持：•数据防泄漏监控策略调整与优化•网页信誉评级知识库•垃圾邮件库安全治理规划要点1.安全事件监控与审计平台：•日志、事件的集中收集、存储和综合分析•安全风险的告警、展现、审计•依据企业的审计规范与策略，形成安全审计报告，为合规平台提供支持2.合规管理平台：•依据管理规范和要求的检查项设置，并进行安全配置的收集，•依据技术和管理类安全基线的要求，以及安全审计的结果，进行合规评估，提供合规检查报告3.IT资产生命周期管理平台：•实现资产管理、远程管理、软件分发等维护管理功能•实现从从”采购”→”安装设置”→”运营”→”淘汰”四个环节中各阶段的流程管理管理技术维护与服务1.制定和完善与合规管理配套的制度与流程：•技术类安全基线规范的完善•合规检查工作管理要求•管理类安全基线规范•制定统一的安全审计策略规范2.制定和完善与IT资产标准化服务管理配套的制度与流程：•资产生命周期管理流程（结合技术平台的梳理和调整）3.制定和完善与安全监控配套的制度与流程，乃至相关组织：•在现有监控体系中，增加安全事件监控岗位，并给予相应的职责和考核•建立ICBC安全事件分级分类规范•安全事件的响应与报告管理规范1.三大平台的相关维护作业计划：•安全维护计划•安全监控作业•IT资产管理流程相关作业计划2.平台所需的服务支持：•全球化的威胁信息库支持•丰富的关联分析性和事件处理知识库•覆盖广泛的安全事件标准化库•持续的事件优化与安全治理推进服务解决方案概览终端安全标准化单独的防病毒产品已经无法应对当前威胁•2008年每日新增病毒种类超过4500种，没有任何一家防病毒产品可以做到100%防护•2008年上半年CNCERT发现大陆地区302526个IP地址的主机被植入木马•2008年上半年CNCERT发现境内外约有2百多万个IP地址的主机被植入僵尸程序。终端的安全问题是企业安全体系中薄弱环节•终端可能导致的安全问题–利用终端为跳板攻击内部网络•90%的恶意软件都有木马、后门的特性–偷取机密信息•70%的恶意软件都有偷取信息的行为–导致网络瘫痪•arp欺骗，系统漏洞攻击•结论–终端问题是整个企业安全建设的短板如何解决终端安全管理面临的问题“防”•病毒木马等恶意软件•补丁、安全设置“控”•不可控的软件使用•违规的网络使用•机密信息泄露“管”•混乱的操作系统环境•资产管理•软件管理PresentationIdentifierGoesHere17“自由”与“安全”的平衡PresentationIdentifierGoesHere18类型1－严格受控终端白名单技术：用户没有权限安装任何程序（包括病毒）；管理员统一分发软件类型2－一般受控终端白名单技术：用户不能任意下载安装程序（包括病毒），只能安装管理员验证后的程序。管理员可以统一分发软件类型3－自主保护终端黑名单技术：用户可以安装软件，依赖防病毒软件阻止恶意软件。管理员可以统一分发软件，可以监控终端进程并指定黑名单阻断特定进程Apps(common)OS(common)Information&Personality(unique)终端管理复杂性的根本原因•今天,OS,应用和用户信息混杂在一起–用户设置保存在应用文件、注册表中–由于用户的交互活动，端点配置与标准化的设定偏差越来越远•将OS，应用，设置和用户数据分离–用户的体验不变–针对所有人使用单个操作系统镜像–干净的，快速地应用分发–严格限制用户安装任何应用程序–快速地系统和应用恢复标准化的终端安全管理PresentationIdentifierGoesHere20•备份关键用户数据、快速恢复数据和系统•扫描终端上是否存储机密信息•当终端试图泄露这些机密信息时予以阻断要素3：用户数据保护•禁止用户私自安装任何可执行程序•虚拟化的应用程序管理简化软件管理工作•通过软件仓库为用户提供经验证的软件•监测终端上启动的所有程序要素2：受控的应用软件管理•统一的操作系统镜像文件，快速部署•集中、标准化的配置•自动化的补丁管理要素1：标准化的操作系统•八层纵深安全防御体系要素4：终端全面防护完全隔离的虚拟层OperatingSystemFilterDriverApplicationASymantecConfidentialApplicationBApplicationCApplicationDApplicationE优点:增强稳定性和可靠性.允许用户虚拟化更多的应用!虚拟化环境软件虚拟化如何工作ApplicationLayerRead-onlysub-layerRead-writesub-layerOperatingSystemSVSFilterDriverresetExcludesNetworkDrivesDataLayers234网络和主机入侵防护:•阻断RPC缓冲区溢出漏洞•阻断利用Web浏览器漏洞的攻击（间谍软件最常用的安装方式）3防火墙•阻断进入的对开放端口的攻击•阻断病毒向外扩散的途径•阻断非法的对外通信–间谍软件数据泄漏和连接控制站点的企图6实时防护和阻断(SAV)•自动识别并清除蠕虫病毒•自动防护已知恶意软件（特别是间谍软件）的安装•如果恶意软件已经安装，在其运行时检测并阻断5抑制未知的恶意软件(主动防御技术)•启发式病毒扫描•根据恶意软件的行为特征发现和抑制其操作•邮件蠕虫拦截•间谍软件键盘记录、屏幕拦截、数据泄漏行为打分7系统加固，强身健体•关键补丁•强口令•关闭危险服务和默认共享•匿名访问限制1SNAC网络准入控制，御毒于网络之外2外设控制防止病毒从U盘引入，防止非法外联8当紧急意外事故发生后…•应急响应•专杀工具分发，自动修复1、主动的、层次化的终端安全实施Symantec终端安全管理解决方案:可以量化安全性和可管理性目标类别实施前实施后技术手段提升终端安全水平生产类终端安全事件N次病毒事件/每年0次病毒事件/每年应用程序白名单办公终端（一般控制）N次病毒事件/每年0次病毒事件/每年应用程