SYMANTEC构建全面安全的系统

SYMANTEC构建全面安全的系统议程SYMANTEC公司简介SYMANTEC的安全整体解决方案简述端点安全到网络安全SYMANTEC专业安全服务全球第四大独立软件公司全球第一大安全软件公司全球增长速度最快的大型软件公司在全球有15,000多名员工赛门铁克中国有350多名员工中国研发中心有93名员工“赛门铁克的信息完整性是向安全性和系统管理一体化迈出的大胆的一步…赛门铁克的构想还力图解决令客户头疼的补丁程序管理、法规遵从性以及业务连续性等的问题。”--ChrisChristiansen,IDC赛门铁克公司简要介绍信息安全性主动防护各层基础架构免受安全威胁为新出现的威胁提供早期预警监视系统的遵从性信息可用性+分区、优化、监视和补救系统及存储，确保维持正常运行时间和性能水平一旦出现故障，即可恢复系统和数据结果是您的基础架构更加富有弹性=信息完整性信息安全可用效率更高复杂度减小遵从性增加风险降低业界领先者推动融合赛门铁克:业界领导地位客户机网络/网关应用程序服务器存储器安全洞察力预防和检测数据保护、恢复、存储管理资源实时分配群集复制性能管理优化管理映像/备份补救措施

修补/备份

恢复建立合理的、具有弹性的基础架构赛门铁克的主动安全防护体系保障信息的完整性整合的人员、流程和技术，可以在信息安全和可用性之间形成恰当的平衡

信息安全性：

安全但是您的员工无法获得的信息是毫无用处的。

信息可用性：

您的员工可以获得但是不安全的信息是不可信的。

因此由这些信息得出的所有结果也是不可信的预警防护响应管理发现交付恢复设计更新信息安全性信息可用性SYMANTEC的安全整体解决方案简述

建立主动防御式的网络安全体系网络边界威胁防御措施内网间的网络攻击行为控制内部端点威胁防御严密的安全策略管理建立高可用性的应用系统架构预防软、硬件故障造成的关键应用停机预防突发或人为失误造成的系统瘫痪建立灵活的存储管理系统提高存储利用率SYMANTEC主动防御式安全解决方案发布漏洞特征/发布防护措施和方法针对漏洞的病毒大规模爆发发现漏洞TimeVulnerabilityActivityT1T3

T4被动响应阶段主动应对阶段控制、补救、清除漏洞样本被分析、定义命名T2漏洞知识库和控制策略部署完毕采用主动防范技术有效的防御措施将提供

最优的投资收益面向过程的风险管理终端安全防护重要服务器、应用防护内部网间攻击防护外部网关统一威胁控制层次化的信息安全管理体系建立主动防御信息网络体系安全管理策略

外部网关安全面临的挑战第一道安全屏障威胁与正常访问的区分防止其他网络的非授权用户或非法用户进入有限的TCO，多功能网关安全产品的迫切需求简单的部署方式与集中管理SGS5600防病毒深度包检测防火墙VPN入侵检测入侵防护内容过滤反垃圾邮件

内部网络攻击防护出口的安全控制无法对内网的攻击做控制移动电脑的流行，威胁的爆发点较多不同网段间的安全策略不一，需要进行实时监控，拦截攻击行为对网络蠕虫等传播范围大、攻击力度强的威胁进行防护安全补丁的分发部署总是顾此失彼，内网的安全隐患不容忽视内部网络安全的第一需求是终止安全威胁在网络内快速传播

基于网络入侵检测方案

SymantecNetworkSecurity7100

SymantecNetwork4.0基于主机的入侵检测方案SymantecIntruderAlertSymantecHostIDS

诱骗型的入侵检测方案SymantecDecoyServer内网IDS/IPS安全方案

Symantec网络安全产品：

SNS7100In-Line(透明)模式下,自动阻截攻击行为

准确的发现和阻断网络入侵(包括零日攻击zero-dayattacks)000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000FirewallprovidesaccesscontrolDenyTrafficAllowTrafficDenySomeAttacksCorporateNetwork防火墙是网络第一道防线防火墙有哪些局限性？不能防止恶意的内部攻击不能防范不通过它的连接不能防备全部的威胁只能防止已知的威胁对利用允许通过的协议的攻击无能为力某些DoS攻击会造成防火墙失效防火墙自身的系统安全风险错误的配置导致的防范失效影响网络性能入侵检测(IDS)Vs入侵防御(IPS)入侵检测是指：“通过对行为、安全日志或审计数据或其他网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图”(参见国标GB/T18336)。IPS的检测功能类似于IDS，但IPS检测到攻击后会采取行动阻止攻击，可以说IPS是基于IDS的、是建立在IDS发展的基础上的新生网络安全产品。

(摘自:公安部计算机信息系统安全产品质量监督检验中心-入侵防御产品安全检验规范)InternetDesktopsWebServersTelecommutersCustomersServersNetworkBranchOfficePartnersHackerIPS的工作模式邮件面临的威胁保护企业免受邮件威胁的侵害保障来自合法组织的重要邮件能够正常发送尽量不增加管理员的管理负担

煽动、攻击性内容法规遵从系统停机威胁关键服务器安全生产力降低资源浪费由于不恰当的过滤带来的误报减少可用带宽浪费邮件服务器的资源，包括CPU、内存和硬盘空间增加了资源的投资病毒和恶意代码垃圾邮件逐步增加的无用数据流量内容控制系统管理员面临的主要挑战BLOC(SymantecBrightmailLogisticsandOperationsCenter)

垃圾邮件分析操作中心自动化创建垃圾邮件过滤器垃圾邮件的研究和查证24x7全天候运作探测网络管理监视有效性与准确率在网络中的部署部署在邮件服务器或现存网关的前面根据垃圾邮件特征库，在垃圾邮件进入邮件服务器之前将其删掉根据策略过滤制定内容的邮件客户端安全的挑战移动电脑最容易被攻击，将病毒带入内网中客户端信息安全问题客户端数量相对庞大，统一管理比较困难各部门对计算机病毒的防治手段和水平参差不齐，无法有效抑制病毒、混合型威胁、恶意代码在网内传播在混合性威胁爆发时无法作出及时响应、缺乏紧急响应流程AntivirusIntrusionPreventionFirewall需要协同防御体系FirewallandIntrusionPrevention威胁例子:Sasser试图利用WINDOWS平台的Lsass漏洞通过相关服务进入系统,并试图建立大量对外连结.流量被IPS检测到并阻断在本机上的衍生体在本机的生成和安装,通知防火墙阻断对该端口流量的传递.

AntivirusandFirewall威胁例子:Blaster端口扫描试图发现机器的弱点.Firewall阻断TCP端口135,通知AV清除在该端口进入的信息.SymantecSystemCenterAntivirus威胁例子:MyDoom被AV引擎检测到邮件发送的行为特征.AV阻止由蠕虫攻击生成的SMTP引擎外发邮件.SymantecClientSecurity挑战－网络端点，安全起点

WhySygate?Sygate的主机防火墙技术04，05年连续两次蝉联该安全目录第一SygateOn-demand技术2005年评出的“网络安全和保密最炫目厂商”该安全目录中7项指标，6项由Sygate发布Sygate主机入侵防御(HIPS)技术SygateUpstheAnteonEnterpriseHIPSSygate网络准入控制技术全球第一个通用网络准入控制系统

Gartner预测到2006年，30%的连网桌面机将会安装PFWs，到2008年该比率将升到60%，而2010年则高达95%最近荣誉2005年度最佳安全解决方案SCMagazine（计算机安全杂志）963个产品，291家厂商2004安全管理类年度产品大奖InformationSecurity（信息安全杂志）2004年度技术创新大奖ComputerWorld（计算机世界杂志）2004年度用户选择大奖SecureEnterprise（企业信息安全杂志）依据用户反馈意见评选端点－企业安全体系建设的短板移动终端引入的安全威胁VPN移动终端网络/无线连接旅馆/餐厅/机场/家黑客网关邮件服务器文件服务器收发Email下载音乐、软件浏览新闻移动终端浏览器网络入口不断增加管理员最担心的终端安全问题蠕虫病毒爆发导致的拒绝服务移动终端与非法接入安全防护软件管理失效补丁分发问题用户网络滥用12345邮件服务器瘫痪网络设备阻塞如何强制分发如何及时分发盗版系统的兼容性移动终端外来人员接入内网外联VPN接入一机多用聊天海量下载扫描工具黑客工具Arp欺骗防病毒软件不安装防病毒软件卸载病毒定义不更新其他终端防护软件的使用效果方案－双剑合璧，安全无忧

Symantec端点安全解决方案反间谍软件客户防火墙O/S保护防反堆栈溢出主机IPS外设控制防病毒网络IPS策略符合性检查和自动修复保护技术数据和文件系统网络连接操作系统内存/程序应用软件蠕虫、探寻和攻击病毒、特洛伊木马、恶意软件和间谍软件恶意软件、Rootkits、零日漏洞缓冲溢出攻击、程序注入、按键记录零日攻击、恶意软件、特洛伊木马、应用程序注入I/O设备Slurping、IP窃取、恶意软件行为保护对象威胁移动终端、非法接入、外设管理、外联管理、行为监控赛门铁克企业保护SEP赛门铁克防病毒SAV赛门铁克网络准入控制SNAC赛门铁克解决方案统一端点安全管理SPMSNAC：网络准入控制方案主机完整性检查&自动修复、端点强制没有保护功能（不包含主机防火墙、主机IPS、内存防火墙等）没有自我强制功能SEP=NAC+端点保护主机防火墙、主机IPS、主机完整性检查&自动修复、端点强制等；SEP和SNAC共享同样的架构策略管理服务器、强制服务器Sygate安全代理和Sygate强制代理可以在一个架构中共同部署SEPvs.SNAC产品功能SygateEnterpriseProtection终端保护网络准入控制终端修复终端管理主机防火墙主机入侵防御系统安全检查自适应策略网络程序管理文件访问控制外设管理网络适配器管理系统加固、修复软件分发关键补丁强制安全问题通告边界准入与隔离局域网准入与隔离DHCPIP获取准入Web应用准入控制内存防火墙操作系统保护本地隔离系统锁定SymantecSygateEnterpriseProtectionSolution

恶意代码的泛滥网络的拥堵和瘫痪访客、和移动用户的私自接入内部未授权的访问和网络滥用未授权的卸载和篡改问题为终端标准化提供技术保障新的安全建设保障机制，替代费时、费力的周期性安全审计安全自动化，降低安全成本在用户现有架构中保护已有的安全投资利益双重检查确保策略遵从安全检查合规终端12拒绝请求隔离到修复区身份识别12合法终端拒绝请求隔离到漫游区权限请求SNAC-端点策略遵从流程发现

端点连接到网络获取配置步骤1实施

对照策略检查配置是否遵守规定步骤2üü✗补救

根据策略检查结果采取措施步骤3补丁

隔离

虚拟台式电脑监控

监控端点，确保长期的法规遵从步骤4SNAC－从纸面的管理口号到技术上的策略遵从传统的管理方式红头文件/通告Mail、电话通知安全管理规章制度罚款、通报批评身份认证安全认证准许接入终端接入失败修复周期检查拒绝隔离自愈(remediation)自驭(restrictandquarantine)自御(protection)Symantec的方法

NetworkAccessControl策略

制定策略

执行安全访问控制

NetworkAdmission/AccessControl(NAC)网络准入控制核心思想－屏蔽一切不安全的设备和人员接入企业网络，或者规范终端用户接入网络的行为，从而铲除对网络威胁的源头，避免事后处理的高额成本关键字－自御(protection)、自驭(restrictandquarantine)、自愈(remediation)SymantecSNAC完整性检查的内容LanEnforcerGatewayEnforcerDHCPEnforcerSygatePolicyServerSygateOn-DemandSelfEnforcementCNAC,MSNAP,TNCUniversalAPIAntiVirusHostFirewallServicePackSygateEnforcementAgent反间谍软件主机入侵防御Hotfix自定义…核准的程序NetworkSecurity＝SUM（HostIntegrity）策略执行策略强制策略制定策略决策点策略管理

接入设备已管理的

台式机未管理的已管理的移动用户策略强制点远程接入

SSL&IPsec认证服务

-RADIUS局域网交换机

&无线全面的SymantecSNAC架构Sygate管理服务器

(分布式,高弹性,与目录技术集成)LANEnforcer无法管理的端点

-PFWIP地址服务-DHCP透明网关

Gig-ECiscoNACGatewayEnforcerSelfEnforcerDHCPEnforcerOn-DemandEnforcerPDASygateSecureEnterpriseSygateOn-DemandSygateMagellanCorrelatorSygateDiscoveryEngineSygateNetworkAccessControl

TravelingExecutiveHotelPartnerKioskPrinterWorkstationGuestATMRemediationRadiusApplicationsSygateEnforcerSygateManagementSystemSSLVPNIPSECVPNWirelessFirewall802.1xSwitchPasswordTokenUserNameStatusEAP

PatchUpdatedServicePackUpdatedPersonalFirewallOnAnti-VirusUpdatedAnti-VirusOnStatusHostIntegrityRuleXCompliantNon-Compliant802.1xEnforcementPatchUpdatedServicePackUpdatedPersonalFirewallOnAnti-VirusUpdatedAnti-VirusOnStatusHostIntegrityRulePasswordTokenUserNameStatusEAP

PatchUpdatedServicePackUpdatedPersonalFirewallOnAnti-VirusUpdatedAnti-VirusOnStatusHostIntegrityRulePatchUpdatedServicePackUpdatedPersonalFirewallOnAnti-VirusUpdatedAnti-VirusOnStatusHostIntegrityRulePatchUpdatedServicePackUpdatedPersonalFirewallOnAnti-VirusUpdatedAnti-VirusOnStatusHostIntegrityRulePatchUpdatedServicePackUpdatedPersonalFirewallOnAnti-VirusUpdatedAnti-VirusOnStatusHostIntegrityRuleXPatchUpdatedServicePackUpdatedPersonalFirewallOnAnti-VirusUpdatedAnti-VirusOnStatusHostIntegrityRuleGuestEnforcementGateway/APIEnforcementCompliantNon-Compliant端点安全三级跳－防病毒的例子查杀已进入的病毒Antivirus防止病毒进入系统IPSFirewallAntivirus防止病毒进入网络SNAC价值－连接之际，安全之时

客户互联网“内网”技术支持人员外包项目常驻人员访客合作伙伴台式机用户服务器某大型银行因外来人员随意接入而十分困扰某大型交通企业因为USB移动存储设备传播病毒服务器工作站工作站工作站互联网交通企业网络某省级运营商遭受蠕虫和病毒攻击的案例分析内部网络连续两周出现间歇性瘫痪的症状，平均每天瘫痪4次左右，持续时间不等，最长可达几个小时。症状较轻时，网络尚可联通，但网速异常慢，让人无法忍受。症状较重时，则网络彻底瘫痪，子网之间均不可达，且同一子网内丢包率很高。SEP带给客户的价值LastModified:2004兺06懍14粧10:15湰屃<员工生产效率提高30%>（网络程序管理）<应急响应时间缩短90%、>（FW、IDS）<网络瘫痪几率下降90%

>（准入控制）<运维人力减少20%～30%>（自动化加固、修复）<降低部署企业应用的终端环境复杂度

><保护企业已有的安全投入>（策略强制）优势－赛门铁克，安全首选

引领趋势－从端点防毒到IT策略遵从IT

策略遵从定义管理控制✔端点防病毒SAV病毒端点集成保护黑客间谍窃贼SCS发现和实施✔端点策略遵从补救SEP/SNAC2004－2006连续3年排名第一市场领先的解决方案主动防护当前的威胁自动执行端点法规遵从要求监控和报告用于证明IT控制市场的绝对领导者全面广泛的支持APIIntegration802.1x(W)LAN

NACTestingOn-Demand

NACIntegrationCiscoCiscoJuniperJuniperNortelArrayNetworksCheckpointAlcatelAEP/NetillaAventailFoundryAventailNortelArubaArubaiPassExtremeV-OneHPProcureTrapezeNetworksAireSpace(Cisco)NortelNetworksEnterasys用户的信任－SNAC/SEP成熟、大规模的应用TimeWarnerSygateNAC支持API整合802.1x(W)LANNAC支持On-DemandNAC整合CiscoCiscoJuniperJuniperNortelArrayNetworksCheckpointAlcatelNetillaAventailFoundryAventailNortelArubaArubaiPassExtremeV-OneHPProcurveAireSpace(Cisco)EnterasysHuawei-3com业内的领导地位端点安全市场的领导厂商GartnerandMetaAcclaim3个领域的技术领导者端点安全KeyLabs评测的优胜者网络准入控制(NetworkAccessControl)用户选择大奖-SecureEnterpriseMagazine(封面文章!)OnDemandAnti-Spyware+Firewall和Gartner共同发起网络研讨市场上第一个On-Demand端点安全产品网络访问控制革新的领导者SecureEnterpriseNACBakeoffWinnerSCMagazine–2005年最佳新解决方案InformationSecurityMagazine年度产品大奖InfoWorld–第一名公认的领导者

–不仅仅是检测终端对安全策略的依从在出现问题之前ComplianceonContactTM

ProductoftheYear部分现有客户SYMANTEC提供关键系统的连续运行

关键应用的连续运行问题重要的业务服务器人为失误、病毒导致数据删除服务器或存储故障导致停机或数据丢失软件运行逻辑错误导致数据不准确火灾等自然灾难导致数据中心损毁提高资源使用效率如何保证系统中断后能正确恢复？方案效果支持任何故障后的关键系统恢复快速恢复完整的系统（操作系统/数据）异构环境统一的数据备份与恢复工具SYMANTEC方案提供业界最先进的技术解决用户的问题分散的数据备份（分支机构）提供RPO=0的连续数据保护（CDP)完全自动化的管理手段容灾需求停电、火灾等灾难需要更高层的解决方案什么是容灾？当发生灾难时有另一个IT系统继续支持业务的运行关键应用系统需要容灾容灾的课题RPO/RTO容灾中心选择数据传送技术应用切换方式定期系统测试计划应用服务器应用后备服务器双网络交换机主中心WAN/LAN容灾中心总结

Symantec提供可靠的业务连续性解决方案数据备份与恢复是关键应用系统最基本的数据保护系统，它能够保证任何灾难后整个应用系统的恢复，解除管理者的后顾之忧集群与存储管理系统可以进一步提高系统的高可用性，保证单个磁盘或磁盘阵列坏掉不影响数据的使用，同时能够在服务器硬件故障时快速恢复运行。一般是在数据备份与恢复架构的基础上，对影响业务的关键系统部署集群和存储管理。容灾可以对关键系统实施最高级别的保护，保证任何灾难下都不影响关键应用。SYMANTEC专业安全服务

加拿大卡尔加里4,800多个可管理安全设备

200万密罐电子邮件帐户全球有1.2亿个赛门铁克系统

超过25%的全球电子邮件得到分析全球最大的智能化安全监控网络加州Redwood市加州SantaMonica爱尔兰都柏林维吉尼亚州

NewportNews马萨诸塞州Waltham犹他州Orem和犹他州

AmericanFork台湾