企业信息安全建设过程解决方案

1、企业信息安全建设过程解决方案技术创新 变革未来企业信息安全建设过程IT基础设施运维管理Solving IT Risk and Compliance Challenges2IT基础设施运维管理基础设施安全数据与身份安全风险管理基础设施运维管理的目的是提高IT管理效率，它同样是IT安全的基础，IT管理措施的实施可以提高日后安全解决方案实施的效率（例如: 软件分发，满足日后终端软件部署管理，简化维护），了解需要被保护的资产（通过对资产管理，了解你所需要保护的东西），Symantec向用户提供移动设备、桌面、服务器在内的IT管理解决方案。IT管理套件3IT MANAGEMENT SUITE客户端管理套

2、件服务器管理套件资产管理套件客户端管理套件发现并管理IT资产操作系统镜像及部署软件分发及补丁管理终端应用虚拟化远程管理服务器管理套件发现并管理IT资产操作系统镜像及部署虚拟化环境集成管理软件分发及补丁管理服务器资源监控告警资产管理套件资产管理授权许可合规采购管理合同管理Altiris IT Management Suite 7.1 Overview安全管理远程用户Introducing Cloud-Enabled Management安全地管理用户，不管他们有没有连接企业网络用户不需要连接VPN远程用户时刻保持软件和补丁的更新更精确地体现哪些设备在使用以及设备的状态4By 2015, over

3、 37% of the global workforce will be mobile*IT基础设施运维管理企业信息安全建设过程基础安全Solving IT Risk and Compliance Challenges5基础设施安全数据与身份安全风险管理为解决企业IT中最常见的安全威胁“病毒、垃圾邮件、互联网威胁”，这些威胁是企业最先需要考虑的威胁类别，因为它们直接影响企业的IT效率，影响系统及终端的可用性，所以在这个阶段，企业考虑更多的是实施常见威胁控制，保障业务的可用性，抵御最可能发生的安全事件，Symantec提供在终端、服务器及网关的多种解决方案。基础安全解决方案企业基础架构集中控制可

4、操作信息操作效率赛门铁克防护中心策略管理端到端的可视性流程自动化网关服务器终端高级威胁防护Web访问保护邮件安全防护多平台支持审计合规功能服务器加固锁定终端完整性检查修复网络威胁保护恶意代码防护Symantec Endpoint ProtectionSymantec Message GatewaySymantec Advanced Threat Protection Symantec Data Center SecuritySymantec Protection EnginePower Eraser修复Symantec Endpoint Protection1 个客户端，5层防护70-Day

5、防御精确、复杂的攻击防火墙 & IPS 网络Antivirus文件Insight信誉SONAR 行为Symantec Endpoint Protection 12.1基于虚拟沙箱，监控并隔离有可疑行为的文件细粒度的控制8Extended Protection with Flexibility and VisibilityTightly control applications through advanced whitelisting and blacklisting 系统锁定Monitor and control applications behavior应用程序控制Restrict and

6、 enable access to the hardware that can be used设备控制Ensures endpoints are protected and compliant 主机完整性Integrated add-ons报告和分析Multi-dimensional analysis, robust graphical reporting, and an easy-to-use dashboardSymantec Endpoint Protection 12.1ClientSymantec Protection EngineSymantec Protection Engine

7、 for Cloud Services 7.0提供实时的文件安全保护Applications,Files,etc.存储服务SPE通过 ICAP or SDK 集成任何应用服务邮件附件检测移动应用检测, 文件上传下载检测存储数据定期扫描Symantec Data Center Security 服务器防护解决方案10未授权的服务器访问InternetWeb ServerEmail Server监控或锁定配置文件恶意软件捕获系统中敏感数据，修改系统安全配置监控或锁定应用与进程行为针对应用程序的缓冲区溢出攻击，远程获取系统权限阻止未授权的可执行程序通过后门软件的未授权访问ApplicationSer

8、verDatabaseServerFileServerDomainControllerServer打开了某恶意文件，或访问某恶意链接阻止不适当的服务器访问监控或阻止访问的变更未授权的权限及信息变更监控访问权限的变化全面保护11 审计和告警入侵检测（IDS）入侵防护 (IPS) 网络防护系统控制行为控制监测，合并，转发日志实时监控文件完整性告警/提示 锁定配置文件的设置强制安全策略缩小使用权限限制设备访问虚拟化基础架构层保护关闭后门限制应用的网络访问权限限制数据通信白名单防范零日攻击限制操作系统行为缓冲区溢出保护漏洞保护无代理的恶意软件防护 (AV)DCS:S虚拟化无代理恶意软件防护架构12Sy

9、mantec Data Center Security帮助我们保护每一个服务器基于策略的行为控制广泛的平台及应用支持实时文件完整性监控锁定应用安全防护集成Restrict access to critical system resourcesBusiness critical applications in physical and virtual environmentsOut-of-the-box policies for Windows Environmentsapplication protection integration 13识别APT攻击分析解析攻击过程14攻击者会尝试获取目标

10、企业中的多个可能的受害者的信息，并分析他们经常使用的互联网公开资源High-value UsersCopyright 2015 Symantec CorporationAPT攻击分析解析攻击过程通过各方面信息的收集，攻击者会尝试与每一个可能的受害者联系，利用社会攻击及钓鱼攻击欺骗让受害者访问并下载恶意代码High-value Users用户下载访问恶意的邮件附件或者点击某一个恶意的连接，随后恶意代码将在系统中开放后门并对其进行远程控制。识别渗透Copyright 2015 Symantec Corporation15识别渗透APT攻击分析解析攻击过程16High-value UsersMalw

11、areServer用户下载访问恶意的邮件附件或者点击某一个恶意的连接，随后恶意代码将在系统中开放后门并对其进行远程控制。Copyright 2015 Symantec CorporationAPT攻击分析解析攻击过程17识别恶意代码生成的后门会通过命令与控制通道与攻击者联系，攻击者并以此盗取用户访问企业服务器所使用的用户名及密码渗透High-value Users凭据采集FilerDomainControllerLDAPDirectoryDatabaseC&CServerMalwareServer“What should I do now?”“Gather logins and passwor

12、ds”Copyright 2015 Symantec CorporationAPT攻击分析解析攻击过程18识别通过盗取的用户企业凭据信息，攻击者可以逐步绘制出网络拓扑结构并识别到关键资产的服务器。渗透High-value Users凭据采集FilerDomainControllerLDAPDirectoryDatabase发现C&CServerMalwareServerCopyright 2015 Symantec CorporationDropServerAPT攻击分析解析攻击过程19识别攻击者拷贝所需的数据至一个临时的企业内部中转服务器，并借由此将数据导出至企业外部攻击者所控制的服务器。渗

13、透High-value Users凭据采集FilerDomainControllerLDAPDirectoryDatabase发现数据盗取StagingServerC&CServerMalwareServerCopyright 2015 Symantec CorporationSymantec Advanced Threat Protection 防御APT攻击Cynic判断为恶意3ATP:N标记可疑并发送至Cynic21员工下载文件5管理员查看详细的分析内容7管理员在受感染终端上完成修复工作ATPNetworkATPEndpointATPEmailCynicTMSynapseTMPortal

14、6管理员可同时在网络、终端与邮件阻止相同的文件4高优先级事件!Symantec Messaging Gateway邮件安全网关防范垃圾邮件和恶意代码屡获殊荣的防垃圾和防病毒病毒技术IP&URL 信誉技术全球智能情报网络抵御定向攻击文档保护下一代防垃圾邮件技术自定义规则抵御定向攻击阻止数据泄漏DLP 集成网络和内容加密高级内容过滤21Understanding Email SecurityIT基础设施运维管理企业信息安全建设过程数据与身份安全Solving IT Risk and Compliance Challenges22基础设施安全数据与身份安全风险管理保护企业的核心数据及其交付方式，数据

15、与应用的安全是企业在考虑安全核心价值时的方向，IT初期基础架构建设更多关注在数据的可用性方面，在这个阶段企业会关注数据的完整性（是否被破坏），机密性（是否只被必要的人了解），同时身份的保护做为机密性的安全基础。Symantec提供在内容感知防泄密、数据加密、身份认证方面的多种解决方案。身份识别如何增强数据安全保护策略?如何防止泄密?信息保护内容感知Symantec 身份与信息保护解决方案框架23敏感数据在哪里?他们怎样被使用?谁有权限访问这些数据?终端DLP网络 DLP存储 DLP文件加密端点加密邮件加密Information & Identity Protection Overview用户认

16、证 SAM 行为信誉 双因素 PKI企业信息安全建设过程风险管理Solving IT Risk and Compliance Challenges24IT基础设施运维管理基础设施安全数据与身份安全风险管理这个阶段信息安全目标不再是直接保护资产或数据，而是分析现有的安全制度策略是否被执行，发现安全风险并根据优先级处置。找到业务与IT风险的联系，利用已有的系统日志进行威胁分析，了解安全态势变化。对安全过程指标进行度量，不以结果考核为导向。Symantec提供风险管理、事件管理、策略管理方案。Symantec CCS 解决方案框架Solving IT Risk and Compliance Chal

17、lenges25Environment相关主管部门安全 / 审计IT 操作业务/管理ASSETSCONTROLSEVIDENCEASSETSCONTROLSEVIDENCEPlanDefine business risk objectivesCreate policies for multiple mandatesMap to controls and de-duplicateReportAssessIdentify deviations from technical standardsDiscover critical vulnerabilitiesEvaluate procedural c

18、ontrolsCombine data from 3rd party sourcesRemediateRisk-based prioritizationClosed loop tracking of deficienciesIntegration with ticketing systems计划报告评估修复标准管理SM漏洞管理VM问卷评估AMSymantec数据集成第三方数据集成报告分析动态仪表板IT服务台集成工单系统集成工作流策略管理PM风险管理RM标准、法规、框架Integration with Symantec Cyber Security as a Service准备Readiness

19、 & Simulation检测MSS响应Incident Response预警DeepSightSymantec Incident Response全球情报网络识别更多的威胁，更快的响应，阻断攻击影响Information ProtectionPreemptive Security AlertsThreat Triggered ActionsGlobal Scope and ScaleWorldwide Coverage24x7 Event LoggingRapid DetectionAttack Activity 240,000 传感器 200+ 国家和地区Malware Intellige

20、nce 1.33亿个终端端、服务器、网关覆盖全球Vulnerabilities 35,000+ 漏洞 11,000 vendors 80,000 技术Spam/Phishing 5M decoy accounts 8B+ email messages/day 1B+ web requests/dayAustin, TXMountain View, CACulver City, CASan Francisco, CATaipei, TaiwanTokyo, JapanDublin, IrelandCalgary, AlbertaChengdu, ChinaChennai, IndiaPune,

21、India27Attack Sensors69M attack sensorsThousands of events per secondSpam/Phishing5M decoy accounts8B+ email messages/day1.4B+ web requests/dayVulnerabilities60,000+ vulnerabilities16,500+ vendors43,000+ productsDeepSight Security Intelligence28Global Intelligence NetworkMalware Activity180M client,

22、 server, gateways monitoredGlobal CoverageBig Data AnalysisIntelligence AnalystsData Fusion WarehouseAnalyticsGlobal Data CollectionAttack Quarantine SystemMalware ProtectionGateways3rd Party AffiliatesGlobal Sensor NetworkPhishing DetectionsDeepSight Security IntelligenceDeepSight Solution:Access t

23、o GIN Data29DeepSightEarly Warning Services PortalDataFeeds5 Global SOCsMSS IS Big Data Analytics Security AnalyticsMSS Advanced Threat Protection30Customer PremiseSymantec SOCLog Collection AgentSecurity AnalystsCustomer PortalDeepSight Global Threat IntelligenceData WarehouseCustomer Premise传输聚合的日

24、志MSSOperationsDeepSightAnalystsGlobal Intelligence NetworkSecurity Response事件响应Cyber Security as a Service Integrated Operations自动日志收集关联分析 Simulation Platform事件响应中发现的威胁指标会被返回给情报团队，加强研究能力5日志分析, 关联用户上下文环境和事件历史1获取威胁情报及与事件相关的威胁活动2全球领先的逆向工程专业知识获取侦测数据3指标调查，加强检测和关联4恶意软件样本用于提高抵御未来的高级威胁7身临其境的仿真平台培训用户6Symante

25、c Incident ResponseDLP成功案例-大型国有商业银行敏感信息保护Copyright 2015 Symantec Corporation32 用户需求客户信息的保护（银行卡号、身份证号、姓名、营业执照号等）担心敏感数据泄漏，将带来不可估量的法律风险和声誉风险避免因业务和审计需要而脱离生产环境在个人办公用机上使用的生产数据的防泄露 解决方案Symantec DLP网络模块：Network Monitor、Network PreventSymantec DLP端点模块：Endpoint Prevent全面掌握业务部门信息风险的情况并按照策略加以控制；发现有缺陷的业务流程加以修正；建

26、立和相关业务部门及员工教育的沟通机制，从而使范围内的大概率泄密事件得到有效控制。 为什么我们会赢在客户发生信息泄密事件后快速跟进，对信息泄漏场景的定位，统一的策略同时下发至网络DLP与终端DLP模块，新的技术优化，基于网络事件IP地址关联AD用户日志，定位实际违规人。数据保护的前提是数据分类，从敏感数据分类需求出发协助用户规划项目目标DLP采用纯软件，多地点部署成本相对较低，支持自定义文件类型，扩展性强，满足特定格式文件需求DLP项目不单单是IT部门的项目，需要多部门参与，最好审计内控部门牵头。DLP成功案例- 某国有大型家电制造集团Copyright 2015 Symantec Corpor

27、ation 用户需求防泄密项目，哪些应该保护？该采取什么保护措施?希望分辨出泄密信息及途径，从而追究法律责任。有机密信息。哪些简单措施可以立即执行 解决方案采用Symantec Data Loss Prevention 实现对该家电制造企业家电部门的所有终端进行数据泄露防护，从网络，终端，存储上监控机密数据使用，流转和审计。帮助企业建立机密文件分类，识别和所在位置可知帮助企业建立所有机密信息泄露途径的机密数据可控，可审帮助企业建立机密数据流转的审批流程，增强数据流转审计和追溯能力 为什么我们会赢SES:CSP成功案例-银行系统ATM机防护Copyright 2015 Symantec Corporation34 用户需求防病毒资源消耗大，需频繁升级病毒库导致ATM系统不稳定或无法服务由于多期的项目采购，ATM品牌多，安全策略差异大，无法集中管理系统需要不断补丁，无法与互联网物理隔绝 解决方案采用了SES:CSP的白名单技术对系统进行锁定除系统正常运行需要的核心程序及业务程序外的所有程序都禁止运行节省维护成本，策略一次下发后无需调整；项目实施完毕后零维护无需系统补丁、病毒库升级，保障了业务连续性解决了ATM机品牌多，无法集中管理的问题 为什么我们会赢