Check Point企业信息安全解决方案

1、Check Point企业信息安全解决方案议程123产品及方案介绍客户面临常见的安全挑战背景介绍4Security Checkup将内部网和公众访问网（如Internet）分开的方法，它实际上是一种隔离技术。允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。 防范电脑蠕虫或是木马程序的快速蔓延客户面临常见的安全挑战-不安全访问光大证券多款软件被捆绑木马病毒冲击波，震荡波，熊猫烧香防范电脑文件及软件被破坏客户面临常见的安全挑战-病毒感染进入支付金额这一流程，携程只要求输入身份证号、持卡人姓名、信用卡卡号、信用卡卡背面上三位CVV

2、安全码，交易就宣告成功，根本无需输入信用卡密码。乌云漏洞平台描述，携程将用于处理用户支付的服务接口开启了调试功能，使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。同时因为保存支付日志的服务器未做校严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意骇客读取。持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等重要用户信息均被泄露。这一事件使得携程招致巨大的用户信任危机，其官方微博也遭受大量用户指责。据携程表示，漏洞是由于该公司技术开发人员排查系统疑问时未及时删除临时日志而产生的，目前，这些信息已被全部删除。客户面临常见的安全挑战-漏洞导致恶意入侵截止2

3、015年12月底，P2P网贷行业累计平台数量达到了3858家。 2016年1月6日，知名互联网金融门户网贷天下发布公告，称其遭遇黑客攻击导致网站无法打开2015年4月，某电商精心准备了2个月的一次促销活动前夜，受到了DDOS攻击，其采用的某品牌FW被1G流量攻击瘫痪，导致1个小时无一单交易成交，经济损失巨大。电商临时租用运营商数据清洗服务，但同时又担心交易数据通过第三方时会造成数据泄露。 2015年6月，北京某地铁运营公司遭到DDOS攻击。客户面临常见的安全挑战-分布式拒绝服务攻击最早的僵尸网络出现在1993年，在IRC聊天网络中出现。1999年后IRC协议的僵尸程序大规模出现。曾有一个新西兰

4、19岁的黑客控制了全球150万台计算机，中国唐山的黑客也控制了6万台中国的计算机对某音乐网站进行分布式拒绝服务（DDoS）攻击，造成该网站不论将服务器转移到台湾还是美国都无法正常提供服务，损失上百万元人民币。2015年4月，国内某行业垄断软件厂商发现公司内网出现肉鸡，每日凌晨1点开始在网络里猜服务器登录口令。一旦口令被破解，有可能造成源代码的泄露，从而丧失行业的垄断地位。僵尸程序Bot是一种恶意程序，它会通过自动扫描、垃圾邮件等方式感染Internet上的主机；而这些被加入僵尸网络的主机称之为僵尸（Zombies)，它在自己被侵入的同时，也被用来做为攻击、入侵他人的工具。感染后果：发送垃圾邮件

5、，DDOS，搭建钓鱼网站，挖bit币，窃取账户密码信息客户面临常见的安全挑战-恶意程序控制2010年的GoogleAurora(极光)攻击是一个十分著名的APT攻击。Google的一名雇员点击即时消息中的一条恶意链接（Web、邮件、文件共享等可能携带的恶意代码），引发了一系列事件导致这个搜索引擎巨人的网络被渗入数月，并且造成各种系统的数据被窃取。2013年3月20日，韩国多家大型银行及数家媒体遭受APT攻击。搜索有效数据，开发攻击软件，控制第一台计算机后继续渗透，利用DNS协议成功窃取数据。攻击者发送恶意软件电子邮件给一个组织内部的收件人。一旦收件人打开附件，攻击代码就会在本地磁盘上加密文件和

6、映射网络磁盘。如果你不乖乖地交赎金，恶意软件就会删除加密密钥，从而使你无法访问自己的数据。基于事后签名机制的传统产品如IPS、IDS、杀毒软件等，在面对APT攻击时几乎失效。客户面临常见的安全挑战-零日攻击内部员工有意无意的浏览含有恶意代码的页面BBS、博客非法言论传播“公安部82号令”的相关规定，加强对内部用户网络行为的“审计”网络病毒、黑客工具占用大量带宽个别员工的应用，如P2P下载、在线视频流等导致视频会议，VOIP，ERP，CRM等无法分配到足够的网络资源客户面临常见的安全挑战-非法言论，资源滥用小米科技的800万条数据泄露索尼影业的内部网络连续遭遇黑客入侵,容量超过100GB的数据被

7、曝光,其中包括了至少五部尚未发行的电影， 已经有近90万次的网络非法下载量。某大型公司内部HR电脑被控制，将大量公司领导，董事，高管，员工的信息被泄露。客户面临常见的安全挑战-数据泄露多种安全风险综合防御综合防御体系您的企业病毒和蠕虫广告软件和间谍软件DDOSAPTs(蓄谋已久的高可持续性威胁)勒索软件黑客团体政治支持工业间谍下一代APTs攻击（大规模的APT工具）201420102007200419971,300 已知病毒50,000 已知病毒100,000+ 每天10万议程123产品及方案介绍客户面临常见的安全挑战背景介绍4Security CheckupCheck Point NGFW

8、下一代防火墙全面覆盖的安全软刀片架构 Software Blade Architecture全系列产品平台 Check Point ApplianceData CenterNetworkEndpointCloudMobile2200 series4400 series12000 + 13000 series41000 + 61000 seriesSmart-1 series21000 series600 + 1100 seriesFirewallIPSec VPNMobile AccessIdentity AwarenessApplication ControlIPSDLPWeb Securi

9、tyURL FilteringAnti-botThreat EmulationAntivirusAnti-SpamAdvanced Networking and ClusteringVoIPSecurityGateway Virtual EditionFull Disk EncryptionSmart ReporterSmart EventMulti-Domain Security ManagementAdvanced NetworkingMedia EncryptionRemote AccessAnti-MalwareNetwork PolicyEndpoint Policy Logging

10、 and StatusSmart WorkflowMonitoringManagement PortalUser DirectorySmart ProvisioningComplianceVEVSXCheck Point soft blade软件安全刀板FirewallIdentity AwarenessIPsec VPNADN&CMobile AccessIPSApp ControlDLPURL FilteringAntivirusAnti-BotAnti-SpamThreat EmulationThreat Extraction预定制的解决方案NGFWNGTPNGSWGNGDPNGTXTE

11、TXCheck Point Appliance系列硬件3200SPU3551SPU37SPU121SPU121SPU230SPU673SPU811SPU1185SPU2050SPU2900SPU4300SPU405SPU33,000 SPU11,000 SPU37SPU广泛的安全网关平台3800SPU11006002180061000220042004400480021400217001220012400126004600410001350013800硬件安全网关安全网关选型工具帮助您选择做正确地安全设备选型，确保满足安全和性能的平衡！需要的 安全能力:1308 SPU 未来可扩展空间未来安全

12、扩展计划最佳选择 低于 50% SecurityPower最佳区域(推荐)客户当前需求未来扩展空间峰值区域(不推荐) 未来扩展能力额外的安全防护或者网络流量增加的区间硬件设备扩展卡和配件42004400460048001220012400126001350021000ExpansionBase 1xGbE copper 4888810141414Expansion slots111113 3 3 32x1GbE fiber4x1GbE copper4x1GbE copper (FO)4x1GbE fiber4x1GbE fiber (FO)8x1GbE copper12x1GbE copper

13、12x1GbE fiber2x10GbE fiber2x10GbE fiber (FO)4x10GbE fiberHard Drive1+11+1222Power supply1+11+12222Slide RailsIncludedIncludedIncludedIncludedIncludedIncludedMemory Upgrade Check Point TE系列硬件250K emulations/month700 Mbps1M emulations/month2 Gbps2M emulations/month4 Gbps100K emulations/month150 MbpsSa

14、ndBlast 硬件产品线TE100XTE250XTE1000XTE2000XSandBlast ApplianceIncluded BladesAnti BotAnti VirusThreat ExtractionThreat Emulation包含 CPU级别的沙箱检测可用的Threat Prevention PackagesNGTPAnti SpamURL FilteringAnti VirusAnti BotApplication ControlIPSMulti-layered protections against cyber threatsAnti SpamURL Filterin

15、gAnti VirusAnti BotApplication ControlThreat ExtractionIPSThreatCloud Emulation ServiceNGTXCOMPLETE protection against advanced ZERO-DAY threatsThreat ExtractionThreatCloud Emulation ServiceTETXAdd ZERO-DAY cloud protections to an existing NGTP gateway发送文件到SandBlast Cloud可以发送文件到SandBlast 设备 Check Po

16、int DDOS系列硬件DDOS单独的平台型号DP 506DP 1006DP 2006DP 3006DP 4412DP 8412DP 12412容量0.5Gbps1Gbps2Gbps3Gbps4GBps8Gbps12Gbps最高并发会话数200万400万最高DDoS泛洪攻击保护速率100万数据包/秒1000万数据包/秒延迟60微秒实时签名在不到18秒内检测和阻止攻击DDoS Protector 专用平台DP X412 Family:Up to 12 Gbps throughput 4M concurrent sessions10 Mpps max DDoS flood attack rateD

17、P X06 Family:Up to 2 Gbps throughput 2M concurrent sessions1 Mpps max DDoS flood attack rateNew: String Match Engine (SME)Improved protection from known DDoS attack tools for superior continuity of serviceAccelerated Layer7 signature protection to quickly mitigate advanced attacksSimplified Adaptabl

18、e Application Layer Protections - custom protections made easier DP X420 Family:Up to 40 Gbps throughput 6M concurrent sessions25 Mpps max DDoS flood attack rateCheck Point smart-1管理产品事件管理日志管理安全管理介绍 Check Point Smart-1 硬件产品线持续提升 安全管理的 性能Smart-1 205Smart-1 210Smart-1 225Smart-1 3050Smart-1 3150Manage

19、d gateways5102550150+*Max domains-50200Indexed logs/sec3,0005,00011,00026,00044,000SMART-1 Appliance Line / 集中管理产品线 Smart-1 205Smart-1 210Smart-1 225Smart-1 3050Smart-1 3150Event logs/sec*2804809503,0007,500GB logs/day*3.56.51340100End users*9001,6003,00010,00025,000* With Next Generation Smart Even

20、t* Managing up 5000 Check Point 1100 appliances无可匹敌的安全统一策略管理UsersDevicesApplicationsDataGatewaysMobilePublic CloudPrivate Cloud一个控制台可轻松管理所有软件刀片的策略图形化操作和通用对象降低操作复杂性预制的策略模板策略和管理的简化时间轴呈现安全事件地图方式显示攻击源和威胁潜在攻击和攻击频率突出重要的安全事件Check Point SmartEvent360o 网络安全可视性IPSAntivirusSandBlast Zero-day ProtectionAnti-Bot

21、Sandblast Agent13:4513:4513:4613:4813:50事件关联分析呈现完整的攻击剧情理解完整的感染链减缓攻击和避免再次被感染IPSAntivirusSandBlast Zero-day ProtectionAnti-BotSandblast Agent事件关联分析呈现完整的攻击剧情事件关联时间表“发生了什么, 在什么时间” 有关被感染设备所有数据的调查- 什么时候开始，如何开始？- 造成什么损害？- 补救建议和知识事件关联分析呈现完整的攻击剧情John Smith drop数十亿日志记录的可视性类似Google搜索的调查体验瞬间产生搜索结果(快过SmartView T

22、racker 100倍)适用于大规模用户环境在几周或几月内追踪日志日志调查跨越log文件, 地理位置和管理域Mary Jane yesterday跨越多个日志文件的调查模式主动进行安全调查Mary昨天在哪里工作过？企业局域网:企业无线网：360安全合规状态可视性详细的合规分析Protected For public distribution基于网关深度的安全合规状态报告基于安全功能详细的合规分析合规报告 Pre-defined & Audit-ready开箱即用的审计准备Protected For public distribution实时评估基于主要的规范跨越Check Point所有软件刀

23、片合规遵从实时监视议程123产品及方案介绍客户面临常见的安全挑战背景介绍4Security Checkup网络安全架构设计模型App Control/URL FilteringThreat EmulationAnti-Bot IPS DLPDDOS ProtectionFirewall ID-based PolicyIPSAnti-VirusVPN Sandbox Remote WipeAnti-VirusFWComplianceVPNNSX网络边界数据中心移动用户办公网络DMZ公有云网络边界DMZDDoS 攻击缓解1区域隔离防入侵远端接入安全多层威胁防御邮件安全数据防泄漏2未知威胁防御312

24、3Check PointDDoS 攻击缓解DDos区域隔离防入侵FW/IPS远端接入安全Ipsec+SSLVPN多层威胁防御AV/AB邮件安全Anti-spam数据防泄漏DLP未知威胁防御Sandblast移动用户公有云L3-L7 层访问控制多层威胁防御远端接入安全11Check Point区域隔离防入侵FW/IPS远端接入安全Ipsec+SSLVPN多层威胁防御AV/AB数据中心办公网络数据中心安全分区(VS)可扩展性(性能/接口)1SDDC 架构安全设计虚拟主机微分段和保护2工业控制系统保护(SCADA)3123Check Point数据中心分段VSX可扩展性15K, 23KSDDC安全v

25、Sec微分段和保护vSecSCADA系统保护ICS专业设备数据中心办公网路全磁盘加密和介质加密文档安全恶意软件和僵尸访问控制 (网络, 外设, 应用和URL)客户端VPN11Check Point全磁盘和介质加密FDE/ME文档安全Capsule Docs恶意软件和僵尸AV/AB访问控制FW/App/URL客户端VPNIPSec VPN移动用户公有云检测Android / iOS 越狱检测已知 / 未知恶意程序检测OS和设备层面漏洞利用检测到恶意网络的连接 (MiTM)全面设备风险评估 (关联设备, 应用和网络行为)自适应攻击减缓和矫正安全容器11Check Point检测Android/iO

26、S越狱Capsule检测已知/未知恶意AppCapsule检测OS和设备层面利用Capsule检测到恶意网络的连接 Capsule全面设备风险评估 Capsule自适应攻击减缓和矫正Capsule安全容器CapsuleThreatCloud威胁云平台数据中心整理安全方案Internet接入线路部署Check Point抗拒绝服务攻击；引入Check Point全球威胁云协同防御未知攻击流量；部署下一代防火墙，整合Firewall内网映射和IDS入侵检测技术；Firewall支持IPSec VPN技术，实现虚拟专线接入；整合全球威胁云实时更新IDS检测签名库旁路部署Check Point 防僵尸

27、网络、病毒监控、入侵检测刀片，有效监控生产网可能存在的恶意流量仅基于流量镜像方式，避免影响生产网络建设运维管理区域，部署Firewall实现运维主机的访问限制，避免非授权访问安全设备部署Check Point集中管理设备，集中管理全网Firewall部署Check Point 安全事件分析引擎，实现全网安全事件统一分析报告，安全事件定位及响应区域接入DDOS主干防火墙数据中心（旁路监控）运维管理区办公区型号DP4412CP 13500CP 12400CP 4800CP 12400大包吞吐4Gbps（应用层吞吐，网络层吞吐可达20G）77 Gbps25Gbps11Gbps25Gbps混合IMIX

28、吞吐现实（模拟现实）4Gbps23.6Gbps9.1Gbps5.8Gbps9.1Gpbs并发4,000,000(用户数)28,000,0005,000,0003,300,0005,000,000新建洪水攻击阻截率：10,000,000 时延：60 micro seconds 178,000110,00070,000110,000台数22121本次项目 Check Point 建议部署下一代防火墙，整合基本防火墙功能与高级安全刀片防护功能具体参数如下：共部署6台Check Point防火墙、2台抗DDoS设备以及数据中心级Smart-1 集中管理服务器；高级安全功能：Firewall、IDS/I

29、PS、VPN、防病毒、防僵尸网络、安全事件集中管理；数据中心整理安全方案云数据中心安全最佳实践虚拟机安全方案虚拟防火墙方案综合安全网关方案集中安全管理方案移动安全接入方案终端安全防护方案下一代多层威胁防御检测僵尸感染阻止僵尸破坏 反僵尸您的企业阻止僵尸破坏CHECK POINT 反僵尸软体刀片找出网络里的僵尸命令与控制中心地址通讯识别行为分析感染后的防护Threats Overview!RACHELS LAPTOPHead of HRs laptop 受到攻擊!事件调查One-Click ExplorationEffectiveVisibilityDetailed Forensics攻擊原頭1

30、1攻擊類型時間軸11全面启动 未知 威胁防御积极消除恶意软件传播的手段威胁剥离CPU层面和OS层面反逃逸引擎威胁仿真未知的恶意软件存在于你的网络中77%1027未知的恶意软件每 27分钟未知的恶意软件就会被下载恶意软件处于活动状态77% 的恶意软件在它被察觉之前处于活动状态 长达4周已知的恶意软件每10分钟已知的恶意软件就会被下载Source: Check Point Security Report 2014More than 900 Enterprise Customers conducted a Security Checkup analysis, with an average dura

31、tion of more than 200 hours. In addition events from more than 9000 gateways managed by Check Point Security Services have been analyzed for the report.检测仿真阻止共享根据行为分析发现和阻止新威胁Check Point 威胁仿真可执行文件, PDF以及办公文档识别邮件中的附件和从互联网下载的文件将文件上传至云端或本地的虚拟沙盒检测仿真在沙盒中打开文件并监视异常行为模拟多种操作系统WIN 7, 8, XP & 客户定制异常行为监控:文件系统系统注

32、册表网络连接系统进程阻止Security Gateway一旦发现恶意文件,立即在所有网关上阻止该文件传播特有立即将该文件特征上传至威胁云共享Threat Emulation 特性支持协议HTTPSMTPCIFS FTP 支持的文件类型PDFOffice DocumentsExeJava FlashArchives支持环境Web EmulationWindows XPWindows 7Windows 8 and 64 bit images user customizedJoseph_Nyee.pdf标准CV?威胁仿真报告文件系统活动系统注册表系统进程网络连接异常文件活动指挥和控制站点远程连接篡改

33、系统注册表创建“Naive”进程威胁仿真 工作Check Point 內部测试Check Point:市场上最快沙箱第三方测试222018161412108642CHECK POINTVENDOR ACISCOSOURCEFIREFORTINETFIREEYESource: Miercom APT Industry Assessment 2014分钟31114183OVERALLSECURITY EFFICENCY10090807060504030201009992939785CHECK POINTVENDOR ACISCOSOURCEFIREFORTINETFIREEYESource: Mi

34、ercom APT Industry Assessment 2014%第三方测试避开沙箱检查HACKERSDevelop techniques to evade sandboxing / threat emulation products延误 恶意代码执行在数小时后恶意代码执行在系统 开机或者重启的状态恶意代码侦测而且不执行在 虚拟系统侦测 人类行为Evasion is code that comes together with the malware, but executes first隆重介绍下一代沙箱方案CPU-Level 威胁防御攻击感染步骤经由未修补的零日软件漏洞发起攻击规避CPU

35、/OS层级的安全管控机制启动内建程序并获取恶意软件执行恶意代码软件漏洞漏洞利用SHELLCODE恶意软件传统沙箱的运作软体漏洞漏洞利用SHELLCODE恶意软件传统沙箱侦测恶意代码执行后在OS层的行为如何防止避开沙箱检查恶意程式 侦测沙箱环境沙箱模拟 中央处理器恶意程式侦测模拟处理器恶意程式 侦测人类行为沙箱模拟 人类行為恶意程式侦测模拟人类行为延迟恶意代码执行沙箱把系统 时钟加快恶意程式 自帶时钟先行一步 在漏洞利用阶段识别恶意软件软件漏洞漏洞利用SHELLCODE恶意软件数以千计数以百万计只有极少数规避代码传统的沙箱CPU-Level 威胁防御领先全球的APT防御技术HypervisorC

36、PUCPU-level SandboxWindows XPWindows 7 (32bit)Windows 7 (64bit)Windows Server Mac OS X CentOS 7准确度最高直截了当的侦测，而非基于触发式或统计比对避免Malware规避侦测让恶意软件规避手段无所遁形快速及高效率CPU-level 技术于攻击发起前即能有效识别支持所有OS侦测所有的可能安全地传递文件和维护业务流程始终先行一步用户期望 传统的沙箱延迟响应因此许多沙箱部署在非阻止模式下当文件还在沙箱后台检测时， 允许恶意文件到达用户检查需要时间SANDBLAST 威胁净化立即访问预先式保护，不检测攻击企图的

37、可视性主动预防为用户快一步及时提供干净的文件提供干净的文件BEFOREAFTERMalware activatedMalware removed在检查完毕后可以访问原始文件市场上唯一的CPU-Level沙箱跟文档威胁去除方案竞争对比Check Point SandblastOthers文件模拟环境仿真分析 (Sandbox)YESYES多设备负载分担扩展性能 (Sandbox Pool)YESNO检测 复杂的漏洞利用 企图YESNO弹性应对 沙盒逃逸技术YESNO独立于OS层面的分析YESNO威胁净化 (文件清洗)YESNO快速及灵活方式的部署SANDBLAST 硬件设备Check Point 安全网关设备SANDBLAST云平台硬件TE1000X x 2 台包含功能刀片Threat Emulation + Threat Extraction + Anti Virus + Anti Bot x 1 年集中管理软件管理服务器 + 实时分析系统 x 1套青岛总部总部数据中心部署有两台Exchange邮件服务器DMZ和OA网络使用同一个Internet出口 应用情况Exchange Server/DMZ/OA/其它使用场景Enterprise: 青岛海尔HaierTE1000X两台TE1000X均部署为SPAN模式，旁路监听从Internet到公司内部的HTTP和SMTP流量