Symantec加密与认证解决方案NickNiu牛玉孝Nick_Niu@symantec.comPGP/VIP/MPKI/MSS产品销售经理PGP磁盘加密保护解决方案PresentationIdentifierGoesHere2磁盘加密保护需求:终端设备丢失及硬盘被摘走的风险遭窃或遗失丢失移动硬盘遵从法规移除硬盘347%的企业数据遗留在移动电脑中43%的员工遗失的U盘/移动硬盘中存放了公司重要数据磁盘加密方案4硬盘加密非授权使用者(约雇员工,离职员工)授权使用者(正职员工)非授权使用者(偷窃者)非授权使用者(偷窃者)外接设备加密将硬盘或外接存储加密,如果没有金钥则无法解开OS无法启动无法存取硬盘无法存取档案在遗失或遭窃时保护数据PGP磁盘加密如何帮助用户?PresentationIdentifierGoesHere5•在笔记本丢失后,无论是非法第三方还是专业数据恢复公司,都无法访问笔记本内的数据自动加密全盘,确保公司机密数据不被第三方获取•开机输一次密码,即可登录系统,开始工作。•往U盘拷贝,打印,发邮件,共享文件都与之前使用方法一样透明使用,不影响最终用户使用习惯•若启用U盘保护,向U盘拷贝的所有文档都自动加密,只有公司电脑才能访问。U盘加密,防止U盘向外泄露数据PGP邮件加密保护解决方案PresentationIdentifierGoesHere6邮件加密需求:电子邮件面临的四种新威胁电子邮件至收件人中间经过许多点,但你无法控制路径。电子邮件内容是以明文在传送。内容被修改或假冒。收信者无法确认寄信者。窃聴修改否认伪冒暴露在四种威胁环境8有风险的邮件有风险的邮件有风险的邮件InMotionRecipients’SystemsRecipients’MailServer有风险的邮件有风险的邮件ClientSystemsCorporateMailServer邮件加密方案一:DesktopEmail端到端邮件加密Internet点对点邮件加密,保护邮件储存及传送PGP®DesktopEmailPGP®DesktopEmailPGP®SupportPackageforBlackBerry®PGP®DesktopEmailPGP®DesktopEmailPGP®SupportPackageforBlackBerry®有风险的邮件有风险的邮件有风险的邮件有风险的邮件有风险的邮件邮件加密方案二:GatewayEmail网关邮件加密InternetPGPUniversal™GatewayEmail保护所有的通讯PGP®DesktopEmailPGPUniversal™WebMessengerPGP®PDFMessengerPGPUniversal™GatewayEmail+PGPUniversal™ServerRecipients’SystemsRecipients’MailServerInMotionPGP邮件加密如何帮助用户?PresentationIdentifierGoesHere10•邮件加密后,非法人员窃听获得后,无法破译或打开加密邮件,防止第三方窃听•最终用户不需要做任何改变,邮件自动使用收件人的密钥进行加密•收件人收到后自动解密,双击即可阅读邮件透明使用,方便最终用户•GatewayMail网关邮件加密部署在网关处,客户端不需要做任何改动•DesktopMail桌面邮件加密部署在客户端,与磁盘加密为同一个程序,不需要额外部署部署简单(两种方案可以选择)VIP双因素认证解决方案PresentationIdentifierGoesHere11•密码可能遭到暴力破解或盗取•确保认证安全的关键是采用强认证的凭据与保障凭据的存储安全,同时关心用户的易用性•采用单点登录的环境下更需要强认证手段。•采用一个公认的可信平台存储及管理部分凭据将简化系统的复杂性,同时大幅提升安全能力。12解决方案:访问凭据强认证集合两个或两个以上认证因素用户名、密码交易记录一次性口令卡、数字证书、智能卡指纹、虹膜行为SomethingYouKnowSomethingYouHaveSomethingYouAre13提供完整的强认证解决方案14基于云端的强认证解决方案企业/互联网应用ConsumerPortal,BusinessPartnerExtranetCorporateNetworkSymantec托管实时认证服务用户使用VIP凭据15VIP网络概况及服务能力扩展•不存在单点风险,云端系统通过全球负载均衡实现认证站点的高可用,使用双独立站点(AA模式),站点内使用服务器冗余。•云端认证平台可水平扩展吞吐量,当前可完成每秒1000次的认证,同时具备低延时,OTP验证响应时间小于250ms·FirstFactorValidation·UsernametoCredentialIDMapping·FirstLevelSupportVIPMemberAApplicationExistingUserDatabaseEnd-UserwithVIPCredential·FirstFactorValidation·UsernametoCredentialIDMapping·FirstLevelSupportVIPMemberBApplicationExistingUserDatabaseLoginusingexistingusernameandpassword,thensecuritycodeLoginusingexistingusernameandpassword,thensecuritycodeValidateSecurityCodeValidateSecurityCodeMasterCredentialDatabaseSymantec™Validation&IDProtection·SecurityCodeValidation·CredentialStateperVIPMember·SecondLevelSupport16应用场景——EnterpriseDeployment企业内部需要部署轻量级代理服务VIPEnterpriseGateway•桥接企业应用与VIP服务•实现第一个因素的认证•通过VIP验证一次性口令•验证访问自服务平台的用户171.首先,用户提供登录所需的用户名、密码以及一次性口令;2.VPN将用户凭据信息提交至VIP网关;3.VIP网关通过LDAP验证用户名与密码,完成第一次认证;4.若用户密码正确,VIP网关连接云端验证一次性口令;5.VIP网关完成回复VPN的验证请求。CorporateDirectoryCloud-basedValidationService通过VIP进行VPN认证工作流程VPNConcentratorUserVIPEnterpriseGatewayInternalResource(VIP网关可以选择内外认证的先后顺序,也可以将PIN吗存储在云端)18•由于认证数据在云端,个人用户可以重用他们的令牌在企业内部认证.实现单点登录,跨平台,跨应用19客户端PKI证书认证解决方案PresentationIdentifierGoesHere20客户端PKI证书认证需求基础架构认证,无线接入TransparentWIFIaccessorEAPcapablewiredswitchaccess增强Web认证Authenticatetowebappsviaabrowser文档签名DigitallysigneddocumentsincludingAdobePDF邮件安全Digitallysigned,encryptedemailcommunications安全的远程访问,VPNStrongauthenticationtonetworksviaVPN+OtherInitiatives•MobileDeviceManagement•Multi-useSmartCards(HSPD12/PIV)21Symantec可管理的公钥基础架构(MPKI)22降低成本减少复杂性建立自有的(In-house)PKIServersSecureFacilityDatabasesPKISoftware自建的PKI产生的成本与复杂性降低原本的优势Trust&TrainITPersonnelAccreditations更快的部署时间降低总体拥有成本•没有基础设施投资•易于管理和使用最大化的高效运营•高可用性(HA)和高容量•24×7支持和有约束力的SLA•安全,审计业务•认证和认可的政策Symantec可管理的PKI服务Trust&TrainOperationalPersonnelYourPKIAdministratorFirewallsvs.SymantecMPKI部署选择•完全采用云端的基础架构,更为简单快速的部署。•用户大多数企业的混合部署方案,云端加企业内部组件PKIEnterpriseGateway–深度集成企业目录,一旦证书生产,自动分发至企业目录,同时简化证书注册与续约,实现应用基于用户组的证书策略等。–PKIEnterpriseGateway作为本地RA,用户加入企业域信息将自动作为证书的元数据信息在目录中填充。–与原有操作系统PKI兼容,允许Microsoft自动注册证书与SymantecMPKI相互操作。23CloudHybridOrClient-EnabledClientlessSymantecMPKI增强的用户体验•无客户端可以应用在更多的环境中,特别对于组织外用户、合作伙伴等,支持各类浏览器的注册登入。•PKI客户端提供简单透明的用户使用体验,客户端可以自动配置应用使用证书,或自动完成证书的续约。–应用程序自动配置,PKI客户端自动完成应用程序使用证书的安装工作,浏览器(IEandFirefox)、VPN(Juniper,Cisco,Checkpoint)、使用S/MIME或PGP的邮件(MicrosoftOutlook,MozillaThunderbird)、AdobeAcrobat文件签名...–证书生命周期的自动管理,PKI客户端自动维护证书的生命周期,例如证书超期,PKI客户端可自动完成续约更新过程。–用户体验一致性,由于不同浏览器对证书的管理存放有限制,禁止第三方应用访问,使用PKI客户端可以在无需更多操作的情况下跨应用使用。24OrThankYou