SymantecSEP终端安全与准入控制PartnerTraining

SymantecSEP终端安全与准入控制SymantecSEP解决方案终端安全管理问题和解决之道Symantec优势和案例分析竞争对比Agenda–1/7/2024企业终端管理的典型问题终端网络接入带来的问题第三方人员的电脑接入VPN远程接入的安全风险存在安全隐患的终端网络访问终端自身安全防护问题单一的防病毒不能防范最新的安全威胁如何防范蠕虫病毒和攻击事件？如何限制终端应用程序的使用？泄密、非法拨号外联终端安全管理问题如何实现企业的安全策略？如何进行有效管理？–1/7/2024网络保护的发展－过去，现在，下一步InternetE-NetInternetE-NetE-NetE-NetE-NetNetworkAccess

ControlManagedUnmanagedUnmanageableQuarantineGuestInternetPerimeterNetworksInternet-BasedMulti-PerimeterNetsAdmissionControlledComplianceNetworksProduction–1/7/2024端点保护的发展－过去，现在，下一步HostProtectionAVHostProtectionNetworkProtectionPFWRemediationALSBuffer

OverflowIPSHostProtectionAVSpywareNetworkProtectionPFWRemediationALSBuffer

OverflowIPSInfoProtectionVirtualizedEncryptionDRMNACOS

BehaviorPhishingProtect

DevicesProtectDevices,Apps&NetworksCompliance&Protection

forDevice,Apps,Net,Info,etc.UniversalComplianceFrameworkPolicyEnforceAVSpywarePolicyEnforcePharming–1/7/2024“WithSygate,allPrudentialFinancial’sworkersareguaranteedtobeinatrustedstatebeforegainingnetworkaccess.”

KenTyminski,CISO,PrudentialFinancial网络准入控制+终端安全保护＋集中安全策略管理“SYGATE的解决方案确保了我们所有的终端在被允许接入公司网络之前都是安全的，可信的。”SymantecSygate方案解决之道–1/7/2024发现

–提供防护的第一步是知道所有网络端点的安全状态遵守

–安全管理系统必须能够覆盖所有网络端点，才能要求用户不间断地遵守安全规范强制–只有遵守规范的端点才给予网络接入的权限，且这种强制对用户是透明的修复–全自动化的安全完整性修复以提高安全管理的效率和安全系统的投资回报率实现用户对安全政策不间断的遵守自动化的安全管理流程–1/7/2024缔造全新的动态安全管理架构网络安全持续改进–1/7/2024SymantecSEP解决方案终端安全管理问题和解决之道Symantec优势和案例分析竞争对比Agenda–1/7/2024SygateEnterpriseProtection解决方案构成网络准入控制SNACSygateNetworkAccessControl主机完整性和修复HostIntegrity&Remediation终端安全防护ProtectionFirewallHIPSOSProtectionAdaptivePolicy处所切换–1/7/2024SygateEnterpriseSolution（SEP）体系架构Sygate策略管理服务器SPMSygate强制服务器LANEnforcerGatewayEnforcerDHCPEnforcerOn-DemandEnforcerSygate安全代理Sygate保护代理SPASygate强制代理SEA–1/7/2024OSProtection(File,Registry,ProcessControl)SystemLockdown(ApplicationControl)BufferOverflowProtectionPeripheralDeviceControlFWHIPSAdaptivePoliciesOSProtectionNAC/NAPDHCP/LAN/Gateway/APIAuto-LocationSwitchingDesktopFirewallSignature-basedIPSEnforcementHostIntegrityHI&RemediationAdaptivePoliciesNAC/NAPDHCP/LAN/Gateway/APIAuto-LocationSwitchingEnforcementHostIntegrityHI&RemediationSygateEnforcementAgentSygateProtectionAgentSEAvsSPA–1/7/2024SEP企业级的管理功能可扩展的多服务器架构容错性、集群、影子数据库策略及日志复制策略分发(推/拉)可配置的优先级/负载均衡策略管理可继承的多层组管理能按计算机或用户管理（NT域，活动目录、LDAP）可重用的策略对象活目录用户及组同步功能集中的日志与报表事件转发(Syslog,SIMs)每日或每周通过E-mailed发送报告–1/7/2024WhatisNAC

NetworkAdmission/AccessControl(NAC)核心思想－屏蔽一切不安全的设备和人员接入网络，或者规范用户接入网络的行为，从而铲除网络威胁的源头，避免事后处理的高额成本–1/7/2024NAC可以解决的问题恶意代码的泛滥导致网络的拥堵和瘫痪访客和移动用户的私自接入内部未授权的访问和网络滥用未授权的卸载和篡改问题为终端标准化提供技术保障新的安全建设保障机制，替代费时、费力的周期性安全审计安全自动化，降低安全成本在NAC架构中保护已有的安全投资利益–1/7/2024SymantecSygateNAC的流程定义安全策略发现网络中不符合安全规范的终端InstalledAgentLoadableAgent强制网络准入控制LAN,DHCP,GatewayEnforcerSelf-EnforcementOn-DemandEnforcement和主流安全架构整合(CNAC,MSNAP,TNC)UniversalEnforcementAPI修复不符合规范的端点连续监控PolicyDiscoverEnforceMonitorRemediateProtectProtectProtectProtect–1/7/2024策略决策点策略管理接入设备已管理的

台式机未管理的已管理的移动用户策略强制点远程接入

SSL&IPsec认证服务

-RADIUS局域网交换机

&无线全面的SymantecSNAC架构Sygate管理服务器

(分布式,高弹性,与目录技术集成)LANEnforcer无法管理的端点

-PFWIP地址服务-DHCP透明网关

Gig-ECiscoNACGatewayEnforcerSelfEnforcerDHCPEnforcerOn-DemandEnforcerPDA–1/7/2024接入强制－802.1x802.1X交换机+SYGATE身份认证+安全检查–1/7/2024SygateSecureEnterpriseSygateOn-DemandSygateMagellanCorrelatorSygateDiscoveryEngineSygateNetworkAccessControl工作原理

TravelingExecutiveHotelPartnerKioskPrinterWorkstationGuestATMRemediationRadiusApplicationsSygateEnforcerSygateManagementSystemSSLVPNIPSECVPNWirelessFirewall802.1xSwitchPasswordTokenUserNameStatusEAP

PatchUpdatedServicePackUpdatedPersonalFirewallOnAnti-VirusUpdatedAnti-VirusOnStatusHostIntegrityRuleXCompliantNon-Compliant802.1xEnforcementPatchUpdatedServicePackUpdatedPersonalFirewallOnAnti-VirusUpdatedAnti-VirusOnStatusHostIntegrityRulePasswordTokenUserNameStatusEAP

PatchUpdatedServicePackUpdatedPersonalFirewallOnAnti-VirusUpdatedAnti-VirusOnStatusHostIntegrityRulePatchUpdatedServicePackUpdatedPersonalFirewallOnAnti-VirusUpdatedAnti-VirusOnStatusHostIntegrityRulePatchUpdatedServicePackUpdatedPersonalFirewallOnAnti-VirusUpdatedAnti-VirusOnStatusHostIntegrityRulePatchUpdatedServicePackUpdatedPersonalFirewallOnAnti-VirusUpdatedAnti-VirusOnStatusHostIntegrityRuleXPatchUpdatedServicePackUpdatedPersonalFirewallOnAnti-VirusUpdatedAnti-VirusOnStatusHostIntegrityRuleGuestEnforcementGateway/APIEnforcementCompliantNon-Compliant–1/7/2024Symantec全面的SNAC解决方案–1/7/2024SymantecSNAC完整性检查的内容LanEnforcerGatewayEnforcerDHCPEnforcerSygatePolicyServerSygateOn-DemandSelfEnforcementCNAC,MSNAP,TNCUniversalAPIAntiVirusHostFirewallServicePackSygateEnforcementAgent反间谍软件主机入侵防御Hotfix自定义…核准的程序NetworkSecurity＝SUM（HostIntegrity）策略执行策略强制策略制定–1/7/2024主机完整性：主机系统所采用的安全措施的完整性自动化修复动态提示绿色通道自动连接到服务器下载最新的版本、特征库和补丁全面修复安装缺失的安全应用更新安全软件特征库检查并安装系统关键安全补丁检查并修复系统安全设置……安全策略自动化修复–1/7/2024企业NAC的需求(SymantecValue)普遍的端点覆盖可管理的笔记本，台式机，服务器未管理的访客，合同工，家庭电脑中央的，可扩展的,灵活的策略管理分布式的服务器,冗余,数据库复制,AD集成通用强制(W)LAN,IPSecVPN,SSLVPN,WebPortal,分支机构WAN和现有及新兴标准整合802.1x,DHCP,CiscoNAC,MicrosoftNAP,TCG’sTNC自动化的修复进程无需用户干预容易部署学习模式和发现工具Symantec是当今唯一发布了企业级适用的NAC方案的公司。–1/7/2024RootkitsAccountCreationAutoStartCodeExecutionFileIntegritySQLInjectionPrivilege

EscalationBufferOverflowsShatterAttacksDoSWormsDataTheftSpywareCPU&KernelFileRegistryApplicationsNetworkDeviceMemorySystemLockdownFileAccessRegistryControlAnti-HijackingProcessExecutionApplicationBehaviorBlockDLLLoadingMemoryFirewallNXEmulationDevice

ControlFileRead/Write/ExeFirewallIPSNetworkMemoryCPU&KernelFileRegistryApplicationsDeviceSygate保护代理的保护能力–1/7/2024基于应用程序的防火墙和入侵防护OSProtection/HIPS(控制应用程序的行为和访问，例如对文件、注册表、外设、网络的访问等）SystemLockdown（指纹鉴别的程序白名单，锁定哪些程序可以在操作系统上运行）DeviceManager（防止设备被加载,例如，USBdrives)内存防火墙BufferOverflowProtectionAdaptivePolicy处所切换主机完整性SPA客户端Sygate客户端–1/7/2024Windows平台安全代理以应用程序为中心的主机防火墙得到ICSA和公安部认证的全状态检测防火墙基于规则的安全引擎（整合用户、网络应用程序以及网络信息）基于应用程序的主机入侵预防系统结合对应用程序的控制来识别和阻断网络入侵更优的性能，更少的虚假报警帮助审计，快速定位攻击源基于应用程序的防火墙和入侵防护–1/7/2024系统级OSpretection应用程序行为分析进程管理文件访问控制注册表访问控制强大的DLL管理SystemLockdown内存防火墙设备级保护功能OSProtection功能–1/7/2024OSProtection:外设控制根据设备类型(WindowsClassID)进行设备禁用支持所有常用接口USB,Infrared,Bluetooth,Serial,Parallel,FireWire,SCSI,PCMCIA可以进行可移动设备的read/write/execute权限功能BlockallUSBdevicesexceptUSBmouseandkeyboard(e.g.,thumbdrives)案例–1/7/2024Stack-basedBufferOverflow（栈溢出利用）Heap-basedBufferOverflow（堆溢出利用）FormatString（格式化串漏洞利用）Codeinjection（代码注入）IntegerOverflow（整数溢出）Memorycorruption,etcMemoryFirewallforWindowsServicesMemoryFirewallforIISMemoryFirewallforSQLServerMemoryFirewallforExchangeMMC-basedConsoleMemoryFirewallforLinuxServicesMemoryFirewallforApacheMemoryFirewallforOracleMemoryFirewallforotherLinuxAppsMemoryFirewallManagementFrameworkBrowser-basedConsoleEventandManagementAPI’sSygateMemoryFirewall（内存防火墙）对抗–1/7/2024自适应性的端点保护一个终端多种用途、终端具有多个网卡、不同类型的接入终端、或者漫游终端在不同的网络中进行切换时：管理策略的适应性针对不同的网络环境，网络连接方式有多套策略可自动或手动在多套策略中切换，以应对不同的风险等级自适应性的安全策略角色/设备网络位置连接方式策略笔记本用户公司内网以太网禁止使用游戏，即时聊天工具,可以进行文件共享笔记本用户家里的宽带以太网/电话拨号可以使用游戏,即时聊天工具,禁止文件共享笔记本用户在家里通过VPN进入公司内网VPN适配器只能使用IE,Lotusnotes软件访问内网指定的应用服务器和邮件服务器自适应策略举例–1/7/2024SymantecSEP解决方案终端安全管理问题和解决之道Symantec优势和案例分析竞争对比Agenda–1/7/2024SymantecSygate方案优势通过提供战略信息安全防护的流程，为用户缔造一个全新的安全管理架构全面实现强制的、不间断的防护自动化的流程对用户透明整合现有安全投资全面的覆盖大幅度提高安全性的同时减少IT运维成本最小化网络瘫痪和业务中断的时间减少安全管理和维护的成本保护数据安全和强制安全规范（BS7799/ISO17799）–1/7/2024SygateEnterpriseProtection终端保护网络准入控制终端修复终端管理主机防火墙主机入侵防御系统安全检查自适应策略网络程序管理文件访问控制外设管理网络适配器管理系统加固、修复软件分发关键补丁强制安全问题通告边界准入与隔离局域网准入与隔离DHCPIP获取准入Web应用准入控制内存防火墙操作系统保护本地隔离系统锁定SYGATE提供端点的全程、纵深防护体系–1/7/2024领导地位端点安全市场的领导厂商GartnerandMetaAcclaim3个领域的技术领导者端点安全网络访问控制(NetworkAccessControl)OnDemandAnti-Spyware+Firewall

–1/7/20242005年5月最新的Gartner调研报告

获奖技术Sygate的主机防火墙技术04，05年连续两次蝉联该安全目录第一SygateOn-demand技术2005年评出的“网络安全和保密最炫目厂商”该安全目录中7项指标，6项由Sygate发布市场上第一个On-demand终端安全产品Sygate主机入侵防御(HIPS)技术SygateUpstheAnteonEnterpriseHIPSSygate网络准入控制技术全球第一个通用网络准入控制系统–1/7/2024国内的成功案例中兴通讯30，000个节点，国内最大的用户胜在策略的适应性，可扩展的架构，大用户数支撑华为8，000个节点，国内最苛刻和挑剔的用户胜在产品成熟度高，4轮技术选型全部最高分东风标致雪铁龙汽车有限公司3000个节点，最精于计算的用户胜在投资回报率和整体拥有成本先进半导体1000多点，国内少数几家通过BS7799认证的用户，增加采购次数最多的用户胜在产品功能集成度高，覆盖BS7799标准中的众多控制点，帮助他们通过以认证为目标的企业信息安全系统建设中石化6000点海南移动1000点－胜任省、地、市的多级管理模式–1/7/2024海南移动网络安全接入工程终端管理类型包括办公终端（含省公司、分公司）、营业终端、临时来访者、以及各专业子系统维护终端（包括维护生产终端和厂商维护人员）四类，并可在上述四类的基础上根据实际情况划分子类。办公终端管理营业终端管理临时来访终端管理各专业系统维护终端管理终端管理–1/7/2024海南移动网络安全接入工程终端接入控制客户端行为监控管理和网络程序控制主机防火墙入侵检测防护完整性检查和自动修复关键补丁管理Symantec

Sygate安全策略保证系统用于实现如下功能–1/7/2024海南移动网络安全接入工程通过Sygate安全代理能够自动学习到网络上运行的应用程序，收集到运行软件列表里，通过策略服务器设置网络程序白名单功能，实现自有在名单里的网络程序可运行，在白名单之外的软件均不能正常运行访问网络。在终端管理策略网关提供全网允许运行网络程序总表–1/7/2024海南移动网络安全接入工程通过SygateGatewayEnforcer安全接入网关实现该功能，终端接入网络进行访问时，必须首先安装Sygate客户端，安装好Sygate客户端后，还必须接受完整性检查，安装了完整性检查要求的必要的软件和补丁后，才能够访问公司网络，否则不能通过安全接入网关访问公司网络终端接入网络时,必须实现是否安装了必需软件，对不符合要求的，禁止访问公司网络。–1/7/2024

中兴通讯PC安全管理

涉及中兴通讯全国各中心、事业部、分支机构等所有在网个人计算机。适用范围为公司全体员工，对用户数的要求为3万人。项目一期目标：一个半月完成国内的部署实施；项目二期目标：2005年底前完成海外１３个片区中心的部署实施。中兴通讯PC安全管理项目的实施范围

–1/7/2024访问控制对于未通过认证及不符合安全策略的用户，可以限制其对网络的访问。策略统一制定和管理可以灵活地制定所有用户的安全策略，及时地下发给所有用户，并强制用户执行。策略切换对于移动用户，根据其所处环境的不同和用户的不同自动启用相应的策略。个人防火墙无论在公司内网或公司外网，软件能够自动启用基本的防火墙功能。需要实现的基本功能和基本要求

中兴通讯PC安全管理

–1/7/2024增强移动终端的安全风险对抗能力终端自动化安全加固补丁管理与强制防止蠕虫、木马、黑客工具等在网络内部的传播、扩散强制如杀毒软件等安全工具和管理工具的正常运行及更新可轻松跨安全域，跨防火墙部署灵活的管理尺度按需扩展的能力华为端点安全考虑因素:关键需求:需求偏重安全防护–1/7/2024华为关键需求SymantecSygate方案FW＋IDS针对不同的网络环境，网络连接方式有多套策略可自动在多套策略中切换，以应对不同的风险等级在中央管理的主机防火墙上应用网络程序黑名单如果没有安装杀毒软件，则下载安装，如果未更新特征库，则强制更新关键需求增强移动终端的安全风险对抗能力防止蠕虫、木马、黑客工具等在网络内部的传播、扩散强制如杀毒软件等安全工具和网络管理工具的正常运行–1/7/2024华为关键需求SymantecSygate方案启用强口令策略启用统一屏幕保护策略关闭威胁的服务和端口匿名访问限制（不容许枚举共享文件夹，SAM中的用户信息）禁止修改IP地址，切换信息点禁止一切没有限制的文件共享禁止用户安装新程序启用系统文件保护禁用注册表编辑器关键需求终端自动化安全加固–1/7/2024华为关键需求SymantecSygate方案SYGATE客户端自动重定向到内部指定SUS服务器升级微软补丁强制检查关键补丁，如果缺失则Sygate系统自动分发安装针对无法安装补丁的终端可分发内存补丁可分发第三方应用程序补丁支持断点续传关键需求补丁管理与强制辅助软件分发–1/7/2024给客户带来的好处SymantecSYGATE解决方案帮助华为:打造主动防御网络，避免事后处理的高额成本将网络管理员从劳动密集型工作中解放出来实现全网统一杀毒将安全紧急事件的响应时间缩短为之前的十分之一仅用了清除一次重大病毒疫的成本就换来了不间断自防御网络“Takingvulnerabilityoutofthenetwork”–1/7/2024SymantecSEP解决方案终端安全管理问题和解决之道Symantec优势和案例分析竞争对比Agenda–1/7/2024

市场竞争中所处的位置主要的竞争对手:–1/7/2024

CompetitivePositioning:CiscoNACCNAC:CustomersreportthatdeployingCNACwouldcostupto

$20MillioninCisconetworkinfrastructureupgradesCSA: Customersreportupto85%troubleticketrateduringpilotsKILLERS弱点不支持其他网络产商的设备，无法使用在异类网络环境中需要大量的路由器、交换机等固件升级或更换，总体拥有成本太高CNAC需要在第四个阶段才能