SYMANTEC构建全面安全的系统

SYMANTEC构建全面安全的系统2议程SYMANTEC公司简介SYMANTEC的安全整体解决方案简述端点安全到网络安全SYMANTEC专业安全服务3全球第四大独立软件公司全球第一大安全软件公司全球增长速度最快的大型软件公司在全球有15,000多名员工赛门铁克中国有350多名员工中国研发中心有93名员工“赛门铁克的信息完整性是向安全性和系统管理一体化迈出的大胆的一步…赛门铁克的构想还力图解决令客户头疼的补丁程序管理、法规遵从性以及业务连续性等的问题。”--ChrisChristiansen,IDC赛门铁克公司简要介绍4信息安全性•主动防护各层基础架构免受安全威胁•为新出现的威胁提供早期预警•监视系统的遵从性信息可用性+•分区、优化、监视和补救系统及存储，确保维持正常运行时间和性能水平•一旦出现故障，即可恢复系统和数据结果是您的基础架构更加富有弹性=信息完整性信息安全可用•效率更高•复杂度减小•遵从性增加•风险降低业界领先者推动融合5赛门铁克:业界领导地位6客户机网络/网关应用程序服务器存储器安全洞察力预防和检测数据保护、恢复、存储管理资源实时分配群集复制性能管理优化管理映像/备份补救措施修补/备份恢复建立合理的、具有弹性的基础架构7赛门铁克的主动安全防护体系保障信息的完整性整合的人员、流程和技术，可以在信息安全和可用性之间形成恰当的平衡信息安全性：安全但是您的员工无法获得的信息是毫无用处的。信息可用性：您的员工可以获得但是不安全的信息是不可信的。因此由这些信息得出的所有结果也是不可信的预警防护响应管理发现交付恢复设计更新信息安全性信息可用性8SYMANTEC的安全整体解决方案简述建立主动防御式的网络安全体系网络边界威胁防御措施内网间的网络攻击行为控制内部端点威胁防御严密的安全策略管理建立高可用性的应用系统架构预防软、硬件故障造成的关键应用停机预防突发或人为失误造成的系统瘫痪建立灵活的存储管理系统提高存储利用率SYMANTEC主动防御式安全解决方案10发布漏洞特征/发布防护措施和方法针对漏洞的病毒大规模爆发发现漏洞TimeVulnerabilityActivityT1T3T4被动响应阶段主动应对阶段控制、补救、清除漏洞样本被分析、定义命名T2漏洞知识库和控制策略部署完毕采用主动防范技术有效的防御措施将提供最优的投资收益面向过程的风险管理11终端安全防护重要服务器、应用防护内部网间攻击防护外部网关统一威胁控制层次化的信息安全管理体系建立主动防御信息网络体系安全管理策略12外部网关安全面临的挑战第一道安全屏障威胁与正常访问的区分防止其他网络的非授权用户或非法用户进入有限的TCO，多功能网关安全产品的迫切需求简单的部署方式与集中管理13SGS5600防病毒深度包检测防火墙VPN入侵检测入侵防护内容过滤反垃圾邮件14内部网络攻击防护出口的安全控制无法对内网的攻击做控制移动电脑的流行，威胁的爆发点较多不同网段间的安全策略不一，需要进行实时监控，拦截攻击行为对网络蠕虫等传播范围大、攻击力度强的威胁进行防护安全补丁的分发部署总是顾此失彼，内网的安全隐患不容忽视内部网络安全的第一需求是终止安全威胁在网络内快速传播15基于网络入侵检测方案SymantecNetworkSecurity7100SymantecNetwork4.0基于主机的入侵检测方案SymantecIntruderAlertSymantecHostIDS诱骗型的入侵检测方案SymantecDecoyServer内网IDS/IPS安全方案16Symantec网络安全产品：SNS7100In-Line(透明)模式下,自动阻截攻击行为准确的发现和阻断网络入侵(包括零日攻击zero-dayattacks)17000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000FirewallprovidesaccesscontrolDenyTrafficAllowTrafficDenySomeAttacksCorporateNetwork防火墙是网络第一道防线18防火墙有哪些局限性？不能防止恶意的内部攻击不能防范不通过它的连接不能防备全部的威胁只能防止已知的威胁对利用允许通过的协议的攻击无能为力某些DoS攻击会造成防火墙失效防火墙自身的系统安全风险错误的配置导致的防范失效影响网络性能19入侵检测(IDS)Vs入侵防御(IPS)入侵检测是指：“通过对行为、安全日志或审计数据或其他网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图”(参见国标GB/T18336)。IPS的检测功能类似于IDS，但IPS检测到攻击后会采取行动阻止攻击，可以说IPS是基于IDS的、是建立在IDS发展的基础上的新生网络安全产品。(摘自:公安部计算机信息系统安全产品质量监督检验中心-入侵防御产品安全检验规范)20InternetDesktopsWebServersTelecommutersCustomersServersNetworkBranchOfficePartnersHackerIPS的工作模式21邮件面临的威胁1.保护企业免受邮件威胁的侵害2.保障来自合法组织的重要邮件能够正常发送3.尽量不增加管理员的管理负担煽动、攻击性内容法规遵从系统停机威胁关键服务器安全生产力降低资源浪费由于不恰当的过滤带来的误报减少可用带宽浪费邮件服务器的资源，包括CPU、内存和硬盘空间增加了资源的投资病毒和恶意代码垃圾邮件逐步增加的无用数据流量内容控制系统管理员面临的主要挑战22BLOC(SymantecBrightmailLogisticsandOperationsCenter)垃圾邮件分析操作中心自动化创建垃圾邮件过滤器垃圾邮件的研究和查证24x7全天候运作探测网络管理监视有效性与准确率23在网络中的部署部署在邮件服务器或现存网关的前面根据垃圾邮件特征库，在垃圾邮件进入邮件服务器之前将其删掉根据策略过滤制定内容的邮件24客户端安全的挑战移动电脑最容易被攻击，将病毒带入内网中客户端信息安全问题客户端数量相对庞大，统一管理比较困难各部门对计算机病毒的防治手段和水平参差不齐，无法有效抑制病毒、混合型威胁、恶意代码在网内传播在混合性威胁爆发时无法作出及时响应、缺乏紧急响应流程25AntivirusIntrusionPreventionFirewall需要协同防御体系FirewallandIntrusionPrevention威胁例子:Sasser试图利用WINDOWS平台的Lsass漏洞通过相关服务进入系统,并试图建立大量对外连结.流量被IPS检测到并阻断在本机上的衍生体在本机的生成和安装,通知防火墙阻断对该端口流量的传递.AntivirusandFirewall威胁例子:Blaster端口扫描试图发现机器的弱点.Firewall阻断TCP端口135,通知AV清除在该端口进入的信息.SymantecSystemCenterAntivirus威胁例子:MyDoom被AV引擎检测到邮件发送的行为特征.AV阻止由蠕虫攻击生成的SMTP引擎外发邮件.SymantecClientSecurity挑战－网络端点，安全起点27WhySygate?Sygate的主机防火墙技术04，05年连续两次蝉联该安全目录第一SygateOn-demand技术2005年评出的“网络安全和保密最炫目厂商”该安全目录中7项指标，6项由Sygate发布Sygate主机入侵防御(HIPS)技术SygateUpstheAnteonEnterpriseHIPSSygate网络准入控制技术全球第一个通用网络准入控制系统Gartner预测到2006年，30%的连网桌面机将会安装PFWs，到2008年该比率将升到60%，而2010年则高达95%28最近荣誉2005年度最佳安全解决方案SCMagazine（计算机安全杂志）963个产品，291家厂商2004安全管理类年度产品大奖InformationSecurity（信息安全杂志）2004年度技术创新大奖ComputerWorld（计算机世界杂志）2004年度用户选择大奖SecureEnterprise（企业信息安全杂志）依据用户反馈意见评选29端点－企业安全体系建设的短板30移动终端引入的安全威胁VPN移动终端网络/无线连接旅馆/餐厅/机场/家黑客网关邮件服务器文件服务器收发Email下载音乐、软件浏览新闻移动终端浏览器31网络入口不断增加32管理员最担心的终端安全问题蠕虫病毒爆发导致的拒绝服务移动终端与非法接入安全防护软件管理失效补丁分发问题用户网络滥用12345邮件服务器瘫痪网络设备阻塞如何强制分发如何及时分发盗版系统的兼容性移动终端外来人员接入内网外联VPN接入一机多用聊天海量下载扫描工具黑客工具Arp欺骗防病毒软件不安装防病毒软件卸载病毒定义不更新其他终端防护软件的使用效果方案－双剑合璧，安全无忧34Symantec端点安全解决方案反间谍软件客户防火墙O/S保护防反堆栈溢出主机IPS外设控制防病毒网络IPS策略符合性检查和自动修复保护技术数据和文件系统网络连接操作系统内存/程序应用软件蠕虫、探寻和攻击病毒、特洛伊木马、恶意软件和间谍软件恶意软件、Rootkits、零日漏洞缓冲溢出攻击、程序注入、按键记录零日攻击、恶意软件、特洛伊木马、应用程序注入I/O设备Slurping、IP窃取、恶意软件行为保护对象威胁移动终端、非法接入、外设管理、外联管理、行为监控赛门铁克企业保护SEP赛门铁克防病毒SAV赛门铁克网络准入控制SNAC赛门铁克解决方案统一端点安全管理SPM35SNAC：网络准入控制方案主机完整性检查&自动修复、端点强制没有保护功能（不包含主机防火墙、主机IPS、内存防火墙等）没有自我强制功能SEP=NAC+端点保护主机防火墙、主机IPS、主机完整性检查&自动修复、端点强制等；SEP和SNAC共享同样的架构策略管理服务器、强制服务器Sygate安全代理和Sygate强制代理可以在一个架构中共同部署SEPvs.SNAC36产品功能SygateEnterpriseProtection终端保护网络准入控制终端修复终端管理主机防火墙主机入侵防御系统安全检查自适应策略网络程序管理文件访问控制外设管理网络适配器管理系统加固、修复软件分发关键补丁强制安全问题通告边界准入与隔离局域网准入与隔离DHCPIP获取准入Web应用准入控制内存防火墙操作系统保护本地隔离系统锁定37SymantecSygateEnterpriseProtectionSolution恶意代码的泛滥网络的拥堵和瘫痪访客、和移动用户的私自接入内部未授权的访问和网络滥用未授权的卸载和篡改问题为终端标准化提供技术保障新的安全建设保障机制，替代费时、费力的周期性安全审计安全自动化，降低安全成本在用户现有架构中保护已有的安全投资利益38双重检查确保策略遵从安全检查合规终端12拒绝请求隔离到修复区身份识别12合法终端拒绝请求隔离到漫游区权限请求39SNAC-端点策略遵从流程端点连接到网络获取配置步骤1对照策略检查配置是否遵守规定步骤2✗根据策略检查结果采取措施步骤3补丁隔离虚拟台式电脑监控端点，确保长期的法规遵从步骤440SNAC－从纸面的管理口号到技术上的策略遵从传统的管理方式红头文件/通告Mail、电话通知安全管理