赛门铁克dcs和趋势ds2产品介绍

DCS标准产品介绍Presenter’s

Name

HerePresenter’s

Title

Here提纲1数据中心安全面临的问题和挑战2赛门铁克DCS产品介绍3赛门铁克DCS系统运行环境4优势亮点5客户列表Copyright

©

2014Symantec

Corporation2针对业务系统的常见攻击风险未授权的服务器访问InternetWebServerEmailServer恶意软件捕获系统中敏感数据，修改系统安全配置针对应用程序的缓冲区溢出攻击，远程获取系统权限通过后门软件的未授权访问pplicationerverASDatabaseServerFileServerDomainControllerServer打开了某恶意文件，或访问某恶意链接未授权的权限及信息变更Copyright

©

2014Symantec

Corporation3安全技术层面的需求业务系统自身问题多数由此产生未打补丁或无法更新补丁误操作系统配置不当零日漏洞有针对性的恶意软件恶意的员工偷来的凭据不受信任的应用程序安全软件无法部署安全软件大量消耗系统资源IT架构转向虚拟化后原有安全防护系统无法适用不安全的虚拟化基础架构组件Copyright

©

2014Symantec

Corporation4安全管理层面的需求国家相关部门的安全要求等级保护、两部委检查、CSOX行业相关安全要求《商业银行信息科技风险管理指引》《商业银行信息科技风险现场检查指南》PCI

DSS安全运维相关要求业务系统配置变更监控业务系统进程、端口管理多品牌系统统一安全管理Copyright

©

2014Symantec

Corporation5数据中心的发展方向主机、网络、存储虚拟化几周2008池化整合按需提供几天

2013模版化自动化几小时未来部署时间Copyright

©

2014Symantec

Corporation61.抽象化软件定义数据中心所有的基础设施资源都将被虚拟化以服务的方式提供(Delivered

as

Service)数据中心完全可通过软件实现自动化的管控2.

资源池化 3.

自动化数据中心面临的新挑战1资源占用2边界模糊3集中管理4虚机逃逸数据、权限高度集中，风险扩散速度快；对安全、审计有更高要求Copyright

©

2014Symantec

Corporation7资源共享，动态分配，传统单机部署防病毒不适合云环境环境复杂，网络边界模糊，安全下沉到主机，传统网络边界防护设备无法满足业务需求虚机到虚机逃逸虚拟到Host主机逃逸安全威胁场景分析互联网内部终端运维终端务欺诈及盗用第三方接入的威胁数据泄密身份欺诈运维管理的安全风险集中化管理，加大越权访问、权限滥用安全策略是否能随虚机同步迁移内部终端的威胁病毒、木马、蠕虫爆发敏感/机密信息泄露第三方服务器的安全风险更大量的Web应用与接口增接入

加了攻击面•

X86化下大量的Linux和Windows，漏洞风险加大•

虚拟化的使用，虚拟主机爆来自互联网的威胁

云数据中心

炸式增长，风险快速蔓延•

病毒、黑客攻击

•

非授权的访问、系统变更•

应用漏洞利用，进行业

•

虚拟化基础设施成为新的风险点67%

的破坏发生在服务器上94%的数据失窃源于错误的服务器权限控制Copyright

©

2014Symantec

Corporation8提纲1数据中心安全面临的问题和挑战2赛门铁克DCS产品介绍3赛门铁克DCS系统运行环境4优势亮点5客户列表Copyright

©

2014Symantec

Corporation9DCS产品家族业务系统安全防护专用生产终端安全防护DCS

V6.0DCS

:ServerDCS

:Server

AdvancedSCSP

ClientCopyright

©

2014Symantec

Corporation10系统主要功能审计和告警入侵检测入侵防护(IPS)网络防护系统控制

监测，合并，转发日志

实时监控文件完整性

告警/提示

锁定配置文件的设置

强制安全策略

缩小使用权限

限制设备访问

vSphere保护

关闭后门

限制应用的网络访问权限

限制数据通信

白名单

防范零日攻击

限制操作系统行为

缓冲区溢出保护

漏洞保护无代理的恶意软件防护(AV)行为控制Copyright

©

2014Symantec

Corporation11DCS:Server虚拟化无代理的恶意软件防护Copyright

©

2014Symantec

Corporation12DCS:S的主要功能可缩放的安全防护集成到Vmware最新NSX技术提供无Agent的病毒防护赛门铁克文件信誉技术降低误报率自动化伸缩满足数据中心增长强化VMware的网络与服务虚拟化安全集成安全策略到统一安全管理平台，可用弹性控制安全部署Copyright

©

2014Symantec

Corporation13DCS:S虚拟化无代理恶意软件防护架构Copyright

©

2014Symantec

Corporation14DCS:S实现与NSX

&

Service

Composer的集成ServicesNSX

Service

Composer

unifies

and

integrates

service

insertion

&consumption

across

NSX

native

and

3rd

party

servicesCopyright

©

2014Symantec

Corporation15DCS:S与Vmware集成的配置流程DCSManagerVMwareNSXNetworking

&SecurityVMVMEndpoint

Service112345导入并且注册安全SVA虚拟机发布新赛门铁克防病毒策略部署SVA安全虚拟机到集群生成一个新安全策略（Vcenter)应用新安全策略到服务器组标记网络和系统的安全威胁6SYMCSVACopyright

©

2014Symantec

Corporation16DCS:S实现恶意软件防护自动化的工作流程VMwareInfrastructure3rd

PartySecuritySystemSymantecAgentless“DCS”

注册事件/响应*Vmware重新分配GVM

X到病毒感染区域*Vmware回复GVM

X到正常组中*赛门铁克无代理防病毒(SVA)安全服务检测到用户虚拟机有病毒onGVM

X

via通过AV

Detect

Only策略，并且被指派病毒检测组*赛门铁克安全管理器设置标书在该虚拟机上*赛门铁克SVA响应安全策略,删除该虚拟机上的病毒，并且将Tag设置成为清除用户的虚拟机开始尝试执行病毒用户的虚拟机本指派到普通组带有病毒检测策略Security

Policy-

AV

Detect

Onlyi=Security

Group-

Normal0Copyright

©

2014Symantec

Corporation17DCS:Server

Advanced深度的系统安全防护Copyright

©

2014Symantec

CorporationDCS:SA的主要功能介绍19检测告警网络保护系统控制攻击防护监控日志安全事件加固并转发日志用于归档及报告智能的事件快速发现与响应基于应用限制网络连接使用限制由内向外和由外向你的网络流关闭恶意软件后门(阻断端口)锁定系统配置文件和相关设置增强系统安全策略用户权限降级阻止移动介质接入限制应用程序及操作系统行为阻止系统缓存区溢出及线程注入攻击零日攻击入侵保护应用及进程控制Real-Time

Visibility.

Maximum

Control.入侵检测系统

(IDS)入侵防护系统(IPS)Copyright

©

2014Symantec

Corporation行为控制与传统保护的对比20传统方法:恶意软件黑名单恶意软件签名

3千万以及高速增长的数量DLoader.AMHZW

\

Exploit_Gen.HOW

\Hacktool.KDY

\

INF/AutoRun.HK

\JS/BomOrkut.A

\JS/Exploit.GX

\

JS/FakeCodec.B

\JS/Iframe.BZ

\

JS/Redirector.AH

\KillAV.MPK

\

LNK/CplLnk.K

….行为控制:沙盒/白名单通过应用程序和操作系统来定义策略进行行为控制基于签名的技术只能阻止已知威胁被动防护无法阻止零日攻击要求更多层面的安全防护措施配合基于策略的技术能够阻止未知威胁主动防护能够有效抵御零日攻击保护应用免受其它攻击Copyright

©

2014Symantec

Corporation沙盒技术是阻止零日攻击的最有效的方法Copyright

©

2014

S2y1mantec

C根据基本的安全原则：最小权限访问控制有效地抵御恶意软件（已知和未知）建立安全模型控制潜在的资源使用适用于所有的环境和应用极大地提高了安全性用户应用程序核心的操作系统服务DCS:SA客户端文件管道注册表(Win

only)内存(缓冲区溢出)网络控制 系统调用设备行为控制代理内核模式下的驱动Windows,

Solaris,

LinuxHTTPSWeb,

DB,Mail,等应用.SDCS:SA管理服务器端Copyright

©

2014Symantec

CorporationDCS:SA支持沙盒零信任机制保护服务器安全Copyright

©

2014Symantec

Corporation22为一个或者多个程序（进程）创建“沙盒”，预定义最小权限控制，或者可接受的资源访问行为，阻断所有已知和位置的安全威胁。文件注册表网络设备读写数据文件只读配置文件信息需要用到的端口和设备…RSHShellBrowserMailWeb…crondRPCLPD

Printer核心操作系统进程交互式程序细粒度的资源限制虚拟机里的程序应用和服务程序…大多数的程序只需要访问有限的系统资源和访问权限就可以实现正常的功能但是绝大多数程序可以访问的资源和权限远远超过其必需，导致攻击者可以轻易地利用漏洞，获取非法的权限访问(如非法获得Host主机的访问权限）SDCS:SA的行为控制功能可防范针对服务器的攻击行为控制不恰当的用户操作行为阻止非授权进程恶意程序阻止缓冲区溢出或线程注入攻击不可信任的应用不在白名单的应用程序将被阻止修改操作系统Copyright

©

2014Symantec

CorporationCopyright

©2014

S2y3mantec

CDCS:SA用白名单策略锁定关键业务系统直观的防护策略配置向导，减少配置的创建时间和复杂性在配置策略时可使用应用发现功能内置赛门铁克的

Insight应用信誉库使用文件哈希规则实现细粒度的应用控制进程继承自动关联识别Copyright

©

2014Symantec

CorporationCopyright

©2014

S2y4mantec

CDCS:SA可以控制用户权限和系统资源4.允许信任的用户或应用有选择性的改变2.禁止非授权访问和特权3.配置策略允许指定用户或应用做改变1.

SDCS:SA定义策略限制所有用户和进程访问关键业务Copyright

©

2014Symantec

CorporationCopyright

©2014

S2y5mantec

CDCS:SA为关键业务服务器提供网络保护基于IP和端口允许或禁止网络访问可以根据应用程序，用户和许多其他的选项控制访问连接远远低于传统的深度包检测技术的系统开销Copyright

©

2014Symantec

CorporationCopyright

©2014

S2y6mantec

CDCS:SA基于主机的网络防护防止危害恶意程序阻止蠕虫传播据FTP核心数到网外网络保护信用卡源代码非授权系统Copyright

©

2014Symantec

CorporationCopyright

©2014

S2y7mantec

C通过防护策略阻止和记录访问连接DCS:SA支持实时分析服务器上的蛛丝马迹Symantec

IPScreates

a“shell”around

eachprogram

&service

thatdefinesacceptablebehavior如何工作…Email

ClientOfficeBrowser…MailWebDatabaseDNARPCPrintSpooler…sCore

OS

ApplicatioService n

ServicesInteractivePrograms文件创建、修改、删除文件设置创建、修改、删除设置系统操作主机操作系统系统、应用和安全日志系统日志&Text

Logs1.1.

2.2.

3.3.Symantec收集器收

集事件，

并且同IDS签名库（或自定义签

名）进行

比较一旦满足策略，产生动作记录事件到本地的SCSP日志发送到管理控制台Copyright

©

2014Symantec

Corporation28DCS:SA支持系统资源实时变化监测Copyright

©

2014Symantec

Corporation29SDCS:

SA提供连续（实时）文件完整性监视(RTFIM)无扫描，不需要操作系统审计捕捉服务器/文件/用户名称，时间戳，改变类型，更改的内容，程序的修改使用SHA-256散列SDCS：服务器高级提供连续（实时）文件完整性监视（RTFIM）DCS:SA实时监测配置文件变化文件和注册表的变化检测安全配置的变化组管理的变化活动目录的变化共享配置的变化域信任的变化用户/组帐户的修改细粒度的系统活动恶意软件/间谍软件检测USB设备的活动监控ESXi主机配置和vmx文件Copyright

©

2014Symantec

Corporation30DCS:SA实时监控系统安全事件系统/应用的日志监测登录/登出监测成功,失败,周末，特权用户,异常访问方式,暴力破解尝试系统/服务监测服务/程序/驱动器故障，过程跟踪（特权访问，不寻常的用法）C2对象级别的日志监控Web日志监控应用程序日志监控数据库日志应用服务器日志（如ESXi）安全工具（如日志AV）Unix外壳与sudo的日志vSphere的日志Copyright

©

2014Symantec

Corporation31SCSP

Client专用业务终端安全防护Copyright

©

2014Symantec

CorporationSCSP

Client保障专用业务终端最小权限运行环境系统环境“锁定”策略“统一”管理专用业务终端支持所有专用终端设备和系统集中管理专用终端安全防护策略统一监控专用终端系统日志和安全事件，集中审计和告警锁定系统运行环境和资源开启系统资源保护，防止缓冲区溢出、进程注入、内存注入等攻击锁定应用进程运行环境，严格限制可运行的进程及资源应用环境“锁定”•只允许专用终端的应用进程及其调用的系统进程和资源运行进程间继承关系智能检测识别锁定专用终端的网络环境，严格限制网络通讯只允许专用终端应用与后台特定服务器通讯网络环境“锁定”可以有效控制恶意代码的传播和感染，防护网络攻击可以有效控制恶意代码、非法进程的执行和活动Copyright

©

2014Symantec

Corporation可以有效保护专用终端的补丁缺失，防护入侵和零日攻击可以满足跨平台、跨系统的集中安全管理需求网络环境“锁定”限定应用程序与特有的后台服务器IP地址和端口进行通讯，确保网络环境安全基于IP地址的访问控制基于TCP、UDP端口的访问控制基于进出流量双向访问控制基于程序路径和参数的访问控制基于用户、用户组的访问控制Copyright

©

2014Symantec

Corporation可以有效控制XP恶意代码的传播和感染应用环境“锁定”采用“沙盒”技术，限定特定应用进程，自动识别系统进程和资源调用关系，阻止可信范围之外的其他应用程序运行，确保应用环境安全应用程序运行环境白名单进程继承关系智能识别和控制资源调用关系智能识别和控制可以有效控制XP恶意代码、非法进程的执行和活动基于进程“沙箱”和最小授权的行

为控制模式Copyright

©

2014Symantec

CorporationCopyright

©2014

S3y5mantec

C系统环境“锁定”锁定系统资源和配置，开启系统入侵保护，确保系统核心运行环境安全进程注入保护，防止通过进程注入实现入侵内存注入保护，防止通过缓冲区溢出实现入侵系统资源和配置锁定可以有效保护XP的补丁缺失，防护入侵和零日攻击Copyright

©

2014Symantec

CorporationCopyright

©2014

S3y6mantec

C安全策略“统一”管理多品牌多系统支持，安全集中管理低消耗,免升级CPU1%,内存20M,文件

100M不需要升级病毒定义安全防护策略统一管理不同品牌，不同系统，统一设置和下发安全集中监控和审计集中采集所有安全日志安全审计、分析和告警可以满足跨平台、跨系统的集中安全管理需求Copyright

©

2014Symantec

CorporationCopyright

©2014

S3y7mantec

CSCSP

Client完美适应专用业务终端使用场景基于“沙盒”控制技术，通过签名、发布者、MD5或SHA256哈希值实现应用程序自动识别和锁定可信升级程序功能避免升级ATM应用、系统带来的维护工作基于应用程序

“沙盒”和最小授权的行为控制模式应用程序信息自

动收集，包括程

序名称、发布者、签名、信誉度可通过签名、发布者、MD5或SHA256哈希值添加应用程序应用信息自动收集、权限继承、行为控制、沙盒技术、可信升级通过添加可信任升级应用程序，保证方便应用和系统升级和维护Copyright

©

2014Symantec

CorporationCopyright

©2014

S3y8mantec

C系统初始安装—应用信息自动收集安装完成后无需升级和维护专用业务终端多为独立管理，无法集中自动推送安装，需要每台单独安装SCSP客户端支持静默安装，可使用批处理脚本，实现“一键”安装，快速完成部署••安装完成后SCSP客户端自动注册到Server上，并且会进行本地应用程序信息的采集SCSP采用系统权限、进程、资源和行为的安全防护模式，不需要升级和更新，维护工作量非常小1Copyright

©

2014Symantec

Corporation39锁定策略加载—权限继承、行为控制、沙盒技术策略加载多样、简单、智能SCSP可以通过“继承”来自动决定程序是否可以运行，即进程的权限可以被其调用的子进程或DLL文件继承。因为继承的机制，SCSP做系统锁定是做加法的过程，只需先禁止所有进程执行（默认会把OS核心进程排除掉），然后添加允许的程序即可。•通过应用程序签名、发布者、MD5或SHA256哈希值来添加程序应用锁定；应用被放置在沙盒中，沙盒限制应用运行的所有资源，在应用正常运行中，沙盒不会起任何作用，当应用超出沙盒限定的资源时就会被阻止。2Copyright

©

2014Symantec

Corporation40应用升级和变更—可信升级应用升级不需要任何额外操作•••为了简化维护操作，SCSP还提供了可信升级功能，即将专用业务终端应用程序设置为可信升级，可以通过应用程序名、

应用程序签名、发布者、MD5或SHA256哈希值来添加可信升级；设置可信升级后，专用业务终端程序就可以自行升级，而不会受到锁定的限制，大大降低维护工作。将专用业务终端应用添加到可信升级程序，这样任何的专用业务终端应用升级，系统锁定策略不需要进行任何调整专用业务终端应用可以正常进行升级，升级后依然遵从应用锁定策略通过可信升级策略，有效避免由于专用业务终端应用升级带来的维护工作3Copyright

©

2014Symantec

Corporation41操作系统升级和变更—可信升级系统升级不需要额外操作、重新安装简单通过签名将操作系统添加到可信升级程序，这样任何的操作系统升级，系统锁定策略不需要进行任何调整操作系统可以正常进行升级，升级后依然遵从系统锁定策略••如果是操作系统重新安装，两种维护方式SCSP的客户端重新安装和专用业务终端开发商合作，将SCSP的客户端预装在其操作系统4Copyright

©

2014Symantec

Corporation42DCS系统主要特点高性能、

减少宕机时间价值对物理机和虚拟服务器统一防护极低的管理

和运维成本开销全覆盖，通过强大的行为控制、监测和反恶意软件保护，提供完整的保护跨物理和虚拟服务器零攻击，通过绝佳性能和针对零日攻击的保护，为业务服务器提供了高性能并减少停机时间零维护，在一个简化整合的解决方案里提供丰富的功能，降低了运维管理成本低消耗，不论是在物理还是虚拟服务器上都只需要极小的硬件资源运行系统控制网络防护行为控制审计和告警无代理防病毒(AV)Copyright

©

2014Symantec

Corporation43提纲1数据中心安全面临的问题和挑战2赛门铁克DCS产品介绍3赛门铁克DCS系统运行环境4优势亮点5客户列表Copyright

©

2014Symantec

Corporation44赛门铁克DCS系统框架Copyright

©

2014Symantec

Corporation45客户端软件支持系统列表Copyright

©

2014Symantec

Corporation46PlatformClientEditionServer

EditionPreventionDetectionWindows

7MicrosoftWindows®Windows

Embedded

7Windows

XPWindows

XPeWindows

2012,

2008,

2003,

and

2000Windows

NT

4.0*Support

varies

for

x86,

AMD64,

EM64T

anddifference

service

pack

levelsWindows

2012,

2008,

2003,

and

2000Windows

NT

4.0*Support

varies

for

x86,

AMD64,

EM64T

and

differenceservice

pack

levelsWindows

2000Solaris™Not

ApplicableSolaris

9

and

10*Support

varies

for

SPARC,

x86,

AMD64,

EM64T

&local/global

zonesSolaris

9,

10,

and

11*Support

varies

for

SPARC,

x86,

AMD64,

EM64T

&local/global

zonesLinux™SuSE

LinuxProfessionalSUSE

Linux

Enterprise

Server

9,10,

and

11Red

Hat

Enterprise

Linux

5

and

6CentOS

5

and

6Oracle

Linux

5

and

6*Support

varies

for

x86,

AMD64,

EM64T

&

IA64SUSE

Linux

Enterprise

Server

9,10,

and

11RedHat

Enterprise

Linux,

4,

5,

and

6CentOS

5

and

6Oracle

Linux

5

and

6*Support

varies

for

x86,

AMD64,

EM64T

&

IA64AIX™Not

ApplicableAIX

5L

5.3,

6.1,

and

7.1*Support

for

PowerPC

32-bit

and

64-bitAIX

5L,

6.1,

and

7.1*Support

for

PowerPC

32-bit

and

64-bitHP-UX™Not

ApplicableNot

supportedHP-UX

11i

v1

(11.11)**,

v2

(11.23)**

and

v3

(11.31)**

64bit*Support

varies

for

PARISC

and

Itanium2ESX™Not

ApplicableESX

4.1

HostNote:

For

support

details

pleaserefer

bacESXi

5.0

HostESXi

5.5

Host*monitoring

is

done

remotely

by

the

vSphere

SupportPack.ESX

4.1

Hostk

toPlatform