Symantec信息安全整体解决方案-

通过直接连接主机，管理员可以绕过vCenter进 行访问控制和登录
控制和记录通过任何连接方法的访问, 建立问责 制
在多租户的环境下，管理员能够访问其他组织的 虚拟工作区
确保管理员只能访问自己的组织的数据和应用 程序，确保多租户下的安全
平台允许通过默认密码或被破解的admin密码 的访问
防止使用默认的密码，支持多因素身份验证防止 未授权的访问
Key Products
Definition
6 6
SEP/SNAC特色
• 应对当前复杂的安全威胁提供多层次的终端安全保护 • 主动威胁防护防范零日攻击和未知威胁 • 一个客户端一个控制台，更简单，更容易管理，更低成本，更多保护
结果:
网络准入控制 应用程序控制 外设控制 入侵防护
增强了保护、 控制和管理性
检查违规操作 • 用户变动 • 文件变动 • 权限变动 • …
13 13
数据中心服务器安全的3个问题
10+ 种操作系统100+ 台服务器1000+ 次系统变更10000+ 次访问… 服务器是否有安全风险和配置缺陷，符合 数据中心的安全要求吗？
当违规操作或者恶意入侵正在发生，能及 时发现并有效阻止吗？ 损害发生后，能够审计分析出问题并有效 取证吗？
• 合规需求
– 强制分割实例为有限的合规审计范围 – 详细的操作日志 – 配置报告
24
CCS VSM 填充关键平台访问缺口
Virtualization 平台缺口
通过共享一个root账户多个管理员可以匿名登 录主机
CCS VSM 解决方案
使用 root 密码跳转 (签入/签出) 来保障管理员 的独立性
地址仍然尝试登入 •同一源地址多次尝试登入失败
29
服务器日常维护管理的主要因素
监控 和警报
监控和警报
通过集中式事件控制台，更深入地了解服 务器的状态 为启用新策略和标准提供简化的策略创建 过程 支持多种平台操作系统 (Windows,linux,Aix,Esx,Solaris)等 无代理监控，支持网络拓扑结构的发现 实时性能数据和历史数据的查询和分析
通过控制虚拟机创建权防止破坏性的结果
通过禁止未经批准关闭虚拟安全措施保护安全 性
管理员复制敏感数据从一个虚拟机到外部存储
通过对虚拟资源的控制保护敏感数据
管理员可以使用一个泄露的副本替代一个关键 的虚拟机而没有留下轨迹 管理员可以将低信任的虚拟工作负载转成高信 任服务器或虚拟子网,反之亦然
通过创建一个永久的、不可被篡改的操作记录 曝光篡改行为
Altiris服务器运维管理
• 服务器软硬件查询和清单 • 系统部署 • 软件和补丁分发 • 监控和警报
ESM/CCS发现配置缺陷和安全漏洞
配置检查 • 注册表 • 配置文件 漏洞扫描
SCSP实时阻止入侵和违规操作
• 服务器漏洞
• 补丁安装检查 • 网络设备漏洞 • …
• 密码
• …
安全防护 • 零日攻击 • 系统加固 • 非法入侵 • …
识别风险并开发相应的策略
管理控制并解决问题
证明有效性并判定趋势
CCS 套件
• Symantec 使企业能够基于
– 行业标准 – 法律法规 – 公司的策略 去：
– 定义
– 测量/评价 – 报告
信息系统在安全策略及安全最佳实践方面的遵从性
• 可以回答：“企业的遵从状况是怎样的”
支持的安全法规和行业规范
防火墙
降低了成本、复杂度， 减少了风险的暴露
防间谍软件
防病毒
7Leabharlann Baidu
多种方式的网络准入满足企业复杂的网络环境
准入管理 服务器
Microsoft SQL Server 数据库
管理
使用802.1x的交换 机
DHCP 服务器
强制器
Symantec 局域网强制器
Symantec DHCP强制器
Symantec 网关强制器
Symantec Critical System Protection
• 主机保护产品SCSP提供完整的主机入侵防护解决方案。 它提供攻击防护、行为控制和安全事件监控等功能，确 保企业内部多种平台的服务器的完整性和策略依从。
三大功能
安全
- 入侵检测 - 入侵防护 - 防止内部人员 违规 - 主机防火墙
• 移动设备安全解决方案
– 移动设备管理 MDM – 双因素认证系统Verisign
3
议程
2
终端安全管理解决方案
Symantec终端安全管理解决方案
5
Symantec重新定义终端安全
Solution
Symantec 终端安全＝
终端防护Endpoint Protection
防病毒Antivirus 防间谍软件Antispyware 桌面防火墙Desktop firewall 入侵防护Intrusion Prevention (Host & Network) 设备和应用控制Device & Application Control
通过防止信任等级的混合缓解安全和合规风险
26
Symantec Security Information Manager
Symantec™ Security Information Manager (SSIM) 是安全信息 和事件管理的的统一平台,他能帮助用户:
– 统一收集并分类整个企业的安全日志 – 识别并解决重大安全事件
-Windows - UNIX - Linux - Netware - VMS - AS/400
Database - Web
详尽的一 致性报告
Servers
应用平台
通过报表持续地自动审计企业的IT风险状况
37
将主机安全审计融入日常运维
• 新系统上线
– 制定上线安全评估流程和方法 – 通过策略遵从检查,确保上线系统安全 – 输出上线检查报告,作为外审依据
Symantec 执行代理
+ Symantec Enterprise Protection Agent (Self-Enforcement 方法)
端 点
IT 生命周期管理
过渡和 迁移 远程 帮助和故障排除
客户端 查询和 清单
监控 和跟踪
Client Management Suite
映像制作、 部署和 配置
• 数据中心安全解决方案
– – – – – 合规检查和安全配置管理CCS 关键服务器保护和审计SCSP 安全事件管理SSIM/SOC 服务器运维管理套件 Altirs SMS 虚拟机安全审计管理 VSM
• 信息数据安全解决方案
– 防泄密DLP – 邮件安全网关SMG – 邮件归档EV
– Web安全网关SWG
评估策略的实现
安全策略
(Technical Controls and Standards)
Standards • ISO 17799 • HIPAA • GLBA … Controls • Passwords • Permissions • Services • Files …
基于策略基准对 系统设定和配置 进行详尽的检查
• 日常监控
– 设置调度任务,定期完成策略检查; – 对比检查结果,发现违规变更; – 输出定期检查报告,作为外审依据
• 系统变更
– 跟踪系统变更,对比变更前后差别,保证变更内容合规 – 提供变更建议(加载补丁),作为变更依据 – 输出变更检查报告,作为外审依据
• 故障处理
– 了解系统配置情况,为故障处理提供帮助 – 对比故障处理前后差别 – 输出故障处理报告,作为外审依据
事故
采集 支持200多种产品 ，包括SNMP、 Syslog、ODBC以 及通用接口等方式
归并、过滤、存储 大量运维经验对事件 进行EMR分类归并
关联分析 利用运维经验, 提供关联方法, 和关联规则库 以及技术参数
呈现和处理 提供更新的知识 库提供处理意见
28
案例：国内某银行安全日志统一管理系统
业务安全 •外部攻击
当前或者曾经的管理员可以使用后台账户不被 发现的访问平台
控制和记录每个管理员账户的访问，防止重大安 全漏洞
25
CCS VSM填充关键平台访问缺口
Virtualization 平台缺口
一个系统管理员可以关闭任何虚拟应用
CCS VSM 解决方案
通过控制资源管理范围 保护业务连续性
管理员可以创建未经批准的虚拟机，这些可能是 误操作但对合规会产生影响 管理员可以禁用安全措施如虚拟防火墙和防病 毒
Symantec信息安全整体解决方案
张振中 系统工程师
1
议程
1 2 3 4 5 安全整体解决方案介绍 终端安全管理解决方案 数据中心安全解决方案 信息数据安全解决方案 移动设备安全解决方案
2
Symantec信息安全整体解决方案
• 终端安全管理解决方案
– – – 终端安全保护SEP 准入控制SNAC 终端运维管理Altiris CMS
– 做为整个企业的安全事件总控中心
– 满足在安全监控和日志存贮方面的审计和合规需求
安全管理运维的关键： 事件(Events)事故(Incident)的鉴别流程
事件 /日志 标准化 与100多家安全厂 商的长期合作 全球威胁联动 全球探测网络, 提供 联动实时威胁联动 优先级划分 提供资产信息\威 胁信息\漏洞信息 的关联分析, 进行 优先级划分
10
议程
3
数据中心安全解决方案
赛门铁克法规遵从重点产品简介
数据中心安全管理
Control Compliance Suite 安全遵从套件 Symantec Critical System Protection(SCSP) 安全加固 Symantec Security Information Manager(SSIM) 统一安全主控台 Altiris Server Management Suite 服务器运维管理
业务 持续性
补丁程序 管理
应用程序 打包和质量保证
软件管理 和虚拟化
9
Altiris CMS 终端管理套件主要功能
结果
远程 协助 智能软件和 补丁程序管理
Altiris™ Client Management Suite 7
映像制作和 部署
资产管理 Altiris™ Client Management Suite
23
Virtualization Security Manager的意义
• 提高你的虚拟环境的安全
– 从外部和内部威胁中确保管理程序的安全 – 在实例之间执行逻辑分离，使之变成独立的资产 – 细粒度的访问控制
• 降低宕机风险
– 管理实例和管理程序的配置设置 – 防止计划外的更改 – 自动化配置评估
Symantec Endpoint Protection 11.0
＋
终端遵从Endpoint Compliance
对终端接入网络进行安全控制 持续的终端完整性检查 集中的终端遵充策略管理 自动修复 基于主机的访问控制策略强制 监控和报告 系统配置检查、修复和强制
Symantec Network Access Control 11.0
•外部扫描探测攻击 •业务端口之外的试图请求连接行为 •DDOS拒绝服务攻击 •SQL注入类攻击 •Smurf Attack攻击 •Trojan端口连接行为 •针对DNS服务器的攻击 •内部服务器对外异常连接请求
•业务审计
•同一帐号多次尝试登入失败 •同一账号同时多点尝试登入 •账号已登入，同一账号通过其他源
遵从和审计
- 系统事件监控 - 文件监控 - 权限控制 - 行为控制
配置管理
- 配置锁定 - 系统锁定 - 应用配置监控
22
SCSP防护能力
• 缓存溢出保护 • 操作系统加固 • 注册表保护 • 文件系统保护 • 定制攻击防护策略 • 主机防火墙功能 • 移动设备控制
• 交互式程序控制
• 超级用户/管理员权限控制 • 操作系统审计日志的监控和响应
Symantec数据中心整体安全管理解决方案
SSIM安全日志收集分析系统
事件收集和存储能力 • 收集100多种操作系统、 防火墙、IDS、路由和交 换设备的日志 • 支持海量日志存储，并进 行加密、压缩、HASH处理 确保可以作为取证证据 强大的关联分析能力 • 跨产品日志关联分析 • 强大的查询报告能力 • 内置各种法规遵从模 版
• PCI-DSS
• VISA CISP
• Sarbans Oxley Act(404) • ISO 17799 • SANS Top 20 • CIS Benchmark • HIPAA • GLBA • FISMA • BASEL II Capital Accord Support • 。。。。。。
14
事前
事中
事后
主机安全建议流程
事先评估
法规 配置 漏洞
事中控制
合规性检查 安全性防护
事后审计
查询报告 关联分析 SOX PCI-DSS ISO27001 BASEL … 密码 访问 文件 脚本 … RPC 补丁 服务 端口 … 系统监控 文件监控 权限控制 … 零日攻击 违规操作 入侵防护 … 收集记录