Symantec安全解决方案
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 依据管理规范和要求的检查项设置, 并进行安全配置的收集, • 依据技术和管理类安全基线的要求, 以及安全审计的结果,进行合规评估, 提供合规检查报告 • 全球化的威胁信息库支持 • 丰富的关联分析性和事件处理知识 库 • 覆盖广泛的安全事件标准化库 • 持续的事件优化与安全治理推进服 务
2. 制定和完善与IT资产标准化服务 管理配套的制度与流程:
维护与服务
1. 维护作业计划:
• 数据防泄漏监控与泄漏事件响应作 业计划 • 密钥管理与维护作业计划 • 网页安全访问统计分析
2.邮件安全网关
• 垃圾邮件与即时消息安全防范 • 邮件病毒防范
3.网页访问安全网关:
• 防网页挂马、病毒过滤、应用管控、 网页过滤、僵尸网络行为分析
2.服务支持:
• 数据防泄漏监控策略调整与优化 • 网页信誉评级知识库 • 垃圾邮件库
主机防火墙、防入侵、应用程序与外设监控等
维护与服务
1. 分基础设施类型的配套基本 维护作业计划:
• 防病毒日常安全维护计划 • 终端日常安全维护作业计划(服务 器、网络设备、安全设备) • IT系统级测试、演练、运维作业计 划的调整
• • • • • • •
2.网络准入控制:
强制端点安全策略、受控与非受控端点的控制、 访客终端控制
技术
1. 安全事件监控与审计平台:
• 日志、事件的集中收集、存储和综合 分析 • 安全风险的告警、展现、审计 • 依据企业的审计规范与策略,形成安 全审计报告,为合规平台提供支持
维护与服务
1.三大平台的相关维护作业计划:
• 安全维护计划 • 安全监控作业 • IT资产管理流程相关作业计划
2.平台所需的服务支持: 2.合规管理平台:
5
规划的原则
整体规划 应对变化
安全建设规划要有相对完整和全面的框架,能应对当前安全威胁的变化趋势
立足现有 提升能力
现有安全建设基础上,完善IT基础架构的安全建设,通过优化和调整挖掘潜力,提 升整体安全保障能力
着眼信息 重点防范
以安全治理为工作目标,以防范有意、无意的数据泄漏为近期工作重点
总体规划目标
开放平台安全工作框架
1. 安全治理层(Policy-driven)
包含:安全监控、合规管理、审计管理、IT资产 服务管理等内容 安全治理是安全工作长期的、持续性的工作目标 安全治理的手段依赖于平台化的技术支撑
2.
信息安全 (Information-centric)
包含:数据安全、内容安全、 IT基础设施所承载的所有数据及内容,是安全工 作目标的核心,安全工作的重点
4. 数据防泄漏:
• 网络、存储、终端层面的数据内容监 控,实现数据泄漏防护功能
5.数字版权保护:
• 通过数字水印、或加密防拷贝技术对 明确的重要文件实施保护
6. 数据加密
• 针对必要的关键性的数据的加密保护
安全治理规划要点
管理
1. 制定和完善与合规管理配套的 制度与流程:
• • • • 技术类安全基线规范的完善 合规检查工作管理要求 管理类安全基线规范 制定统一的安全审计策略规范
• 资产生命周期管理流程(结合技术平 台的梳理和调整)
3. 制定和完善与安全监控配套的制 度与流程,乃至相关组织:
• 在现有监控体系中,增加安全事件监 控岗位,并给予相应的职责和考核 • 建立ICBC安全事件分级分类规范 • 安全事件的响应与报告管理规范
3.IT资产生命周期管理平台:
• 实现资产管理、远程管理、软件分发 等维护管理功能 • 实现从从‖采购‖→‖安装设置‖ →‖运 营‖→‖淘汰‖四个环节中各阶段的流程管 理
解决方案概览
终端安全标准化
单独的防病毒产品已经无法应对当前威 胁
• 2008年每日新增病毒种类超过4500种,没有任何一家防病毒 产品可以做到100%防护
• 2008年上半年CNCERT发现大陆地区302526个IP地址的主机被植入木马
• 2008年上半年CNCERT发现境内外约有2百多万个IP 地址的主机被植入僵尸程序。
类型3-自主保护终端 黑名单技术:用户可以安装软件,依赖防 病毒软件阻止恶意软件。管理员可以统一 分发软件,可以监控终端进程并指定黑名 单阻断特定进程
Presentation Identifier Goes Here
18
终端管理复杂性的根本原因
• 今天, OS, 应用和用户信息混杂在一起 – 用户设置保存在应用文件、注册表 中
Application D
Application E
Filter Driver
Operating System
优点: 增强稳定性和可靠性. 允许用户虚拟化更多的应用!
Symantec Confidential
软件虚拟化如何工作
Read-only sub-layer Operating System Application Layer SVS Filter Driver
Symantec安全解决方案
Agenda
1 2 3
安全体系建设 解决方案概览 讨论
信息安全风险发展趋势
业务功能越来越多,对 外接口也越来越多,对信 息安全的管理和技术控制 措施提出更高要求。
1 5
传统计算机领域的安全问 题逐步扩展到多种多样的固 定或者移动终端领域。
特别是终端互联网访问中 无意识的信息泄漏和遭受的 恶意代码攻击等,给金融业 务带来安全隐患。 2
Data Layers
Network Drives
Readwrite sublayer
reset
Excludes
1、主动的、层次化的终端安全
1 SNAC 网络准入控制,御毒于网络之外
8 当紧急意外事故发生后… • 应急响应 • 专杀工具分发,自动修复
2 外设控制 防止病毒从U盘引入,防止非法外联
3 防火墙 • 阻断进入的对开放端口的攻击 • 阻断病毒向外扩散的途径 • 阻断非法的对外通信– 间谍软件数据泄漏和连接控制站点 的企图
• 统一的操作系统镜像文件,快速部署 • 集中、标准化的配置 • 自动化的补丁管理
要素1: 标准化的操作系统
要素4: 终端全面防护
• 八层纵深安全防御体系
Presentatio百度文库 Identifier Goes Here
20
完全隔离的虚拟层
虚拟化环境 Application A Application B Application C
管理
1. 分基础设施类型的配套制度与 流程的制定与完善:
终端(服务器)安全防护策略规范 互联网接入及安全防护规范 终端(服务器)安全日常维护规范 安全设备(系统)日常维护规范 内网网络准入控制规范 资产标准化安全配置基线及管理规范 业务连续性计划(RTO/RPO的调整)
技术 1. 终端安全防护软件:
―防‖
• 病毒木马等恶意软 件 • 补丁、安全设置
―控‖
• 不可控的软件使用 • 违规的网络使用 • 机密信息泄露
―管‖
• 混乱的操作系统环境 • 资产管理 • 软件管理
Presentation Identifier Goes Here
17
“自由”与“安全”的平衡
类型1-严格受控终端 白名单技术:用户没有权限安装 任何程序(包括病毒);管理员 统一分发软件 类型2-一般受控终端 白名单技术:用户不能任意下载安装程序 (包括病毒),只能安装管理员验证后的 程序。管理员可以统一分发软件
公司内部员工、第三方 人员等,利用其了解的信 息和掌握的权限谋取非法 收入;
业务 开放化
驱动 利益化
利用技术手段获取非法 收益的地下产业链正在不 断扩大;
终端 多样化
4
大量自动化、集成度高的 攻击工具,可通过互联网下 载,攻击成本逐年降低; 攻击的方法愈加隐蔽,使 得发现和追踪更为困难。
3
安全治理工作
集中安全监控和审计平台建立 IT资产服务流程管理
网页访问安全管理
信息安全工作
数据防泄漏安全
敏感数据加密保护
IT资产管理—终端标准化管理 统一身份管理(维护帐号)
IT资产管理—其他器标准化 统一身份管理(业务帐号) 系统和数据加固
基础架构安全工作
裸机恢复 网络准入控制 终端安全防护
基础架构安全规划要点
终端的安全问题是企业安全体系中薄弱环节
• 终端可能导致的安全问题
– 利用终端为跳板攻击内部网络
• 90%的恶意软件都有木马、后门的特性
– 偷取机密信息
• 70%的恶意软件都有偷取信息的行为
– 导致网络瘫痪
• arp欺骗,系统漏洞攻击
• 结论
– 终端问题是整个企业安全建设 的短板
如何解决终端安全管理面临的问题
7.架构冗余和数据冗余:
根据RTO/RPO的变化,对架构和数据冗余作相 应调整
信息安全规划要点
管理
1. 配套制度与流程的制定与完善:
• 逐步形成企业数据分类、分级规范及 相应安全防护策略 • 数据泄密响应处理流程及汇报制度
技术
1. 数据归档与审计:
• Email及文件的归档与快速搜寻 • 文档信息的审计与取证
漏洞 应用化
应用软件的多样化使得相应的漏洞 数量也呈现出超过了操作系统的趋势 应用补丁的速度却远不及操作系统 补丁. 应用补丁受重视程度低,但应用漏 洞逐渐呈现被广泛利用的趋势,并大 量通过客户端感染木马等方式,影响 服务器端。
攻击 成熟化
安全建设关注点的变化趋势
• 传统基于网络的防护虽依然是基础,但关注点逐渐转向对于数据内容、应用 本身、用户身份和行为安全的管理 • 日益增长的IT资产数量,无论硬件设施还是各类软件,高效安全的管理已成 为大型企业关注的话题 • 企业多年来的安全投资,是否产生了价值?这使企业开始考虑如何正确了解 和评价企业安全风险,以及衡量安全工作成效的标准,并更加关注安全的监 控和综合性分析的价值 • 威胁的不断发展变化,使企业认识到安全投入的长期性,同时也更愿意获得 在节约投资、加强主动性防御的安全建设方面的借鉴。以技术平台支撑的合 规管理工作正在越来越受到重视 • 安全威胁的破坏性越来越大,同时业务的发展对系统和数据的高可靠性要求 不断提高,企业需要根据不断发展变化的安全威胁,在系统和数据的可用性 方面不断优化和改进。
安全治理为 安全治理为 方针 方针
– 安全工作的目标是对 信息安全环境的不断 治理和改善。
信息安全为 核心
– 企业最终保障的是企业业 务,而业务的关键内容之 一就是围绕业务的各类数 据和信息;
可管理IT基础架 构为基础
– 不可管理本身就是不安全的一 个隐患 – 支撑IT系统的基础设施和架构 要以“可量化管理、可流程化 管理”为目标,全面提升其安 全支撑和保障能力
OS (common)
标准化的终端安全管理
要素3: 用户数据保护
• 备份关键用户数据、快速恢复数据和系统 • 扫描终端上是否存储机密信息 • 当终端试图泄露这些机密信息时予以阻断
要素2: 受控的应用软件管理
• 禁止用户私自安装任何可执行程序 • 虚拟化的应用程序管理简化软件管理工作 • 通过软件仓库为用户提供经验证的软件 • 监测终端上启动的所有程序
3. 基础架构安全 (Managed-Infrastructure)
IT系统中传递和承载信息的各类硬、软件设备及系 统 安全建设涵盖了基础架构各方面的专业性、结构性 和可管理性安全方面的各种内容,是安全建设的关 键和基础
8
XX客户的安全治理进度
2009 2010 2011
安全配置合规管理
安全策略合规管理
– 由于用户的交互活动,端点配置与 标准化的设定偏差越来越远
Apps (common) Information & Personality (unique)
• 将OS,应用,设置和用户数据分离 – 用户的体验不变 – 针对所有人使用单个操作系统镜像 – 干净的,快速地应用分发 – 严格限制用户安装任何应用程序 – 快速地系统和应用恢复
规划的出发点——信息为核心的世界
企业 业务
IT治理
业务连续性 法规遵从 高效管理 绿色管理 风险管控
信息
分类分级 归档保存 审计取证 内容安全 泄密防范
基础架构
存储管理 安全管理
网络管理
系统管理
其他IT技术与管理
终端
服务器
存储
网络
数据中心
云
企业的IT管理者: “我们面对的是一个以信息为核心的世界”
3.服务器安全:
安全配置基线检查、关键服务器入侵防护
4.网络安全:
安全域优化与局部调整、边界访问控制、网络 入侵防御等
2.服务支持:
• 各类特征库的升级服务支持 • 安全配置策略的调整与优化 • 服务响应级别及支持内容的调整
5.资产标准化管理:
补丁自动化管理、问题管理、状态追踪等
6.统一身份管理:
重点对维护帐号和口令实施实名制的统一认证、 授权、单点登录等管理
2. 制定和完善与IT资产标准化服务 管理配套的制度与流程:
维护与服务
1. 维护作业计划:
• 数据防泄漏监控与泄漏事件响应作 业计划 • 密钥管理与维护作业计划 • 网页安全访问统计分析
2.邮件安全网关
• 垃圾邮件与即时消息安全防范 • 邮件病毒防范
3.网页访问安全网关:
• 防网页挂马、病毒过滤、应用管控、 网页过滤、僵尸网络行为分析
2.服务支持:
• 数据防泄漏监控策略调整与优化 • 网页信誉评级知识库 • 垃圾邮件库
主机防火墙、防入侵、应用程序与外设监控等
维护与服务
1. 分基础设施类型的配套基本 维护作业计划:
• 防病毒日常安全维护计划 • 终端日常安全维护作业计划(服务 器、网络设备、安全设备) • IT系统级测试、演练、运维作业计 划的调整
• • • • • • •
2.网络准入控制:
强制端点安全策略、受控与非受控端点的控制、 访客终端控制
技术
1. 安全事件监控与审计平台:
• 日志、事件的集中收集、存储和综合 分析 • 安全风险的告警、展现、审计 • 依据企业的审计规范与策略,形成安 全审计报告,为合规平台提供支持
维护与服务
1.三大平台的相关维护作业计划:
• 安全维护计划 • 安全监控作业 • IT资产管理流程相关作业计划
2.平台所需的服务支持: 2.合规管理平台:
5
规划的原则
整体规划 应对变化
安全建设规划要有相对完整和全面的框架,能应对当前安全威胁的变化趋势
立足现有 提升能力
现有安全建设基础上,完善IT基础架构的安全建设,通过优化和调整挖掘潜力,提 升整体安全保障能力
着眼信息 重点防范
以安全治理为工作目标,以防范有意、无意的数据泄漏为近期工作重点
总体规划目标
开放平台安全工作框架
1. 安全治理层(Policy-driven)
包含:安全监控、合规管理、审计管理、IT资产 服务管理等内容 安全治理是安全工作长期的、持续性的工作目标 安全治理的手段依赖于平台化的技术支撑
2.
信息安全 (Information-centric)
包含:数据安全、内容安全、 IT基础设施所承载的所有数据及内容,是安全工 作目标的核心,安全工作的重点
4. 数据防泄漏:
• 网络、存储、终端层面的数据内容监 控,实现数据泄漏防护功能
5.数字版权保护:
• 通过数字水印、或加密防拷贝技术对 明确的重要文件实施保护
6. 数据加密
• 针对必要的关键性的数据的加密保护
安全治理规划要点
管理
1. 制定和完善与合规管理配套的 制度与流程:
• • • • 技术类安全基线规范的完善 合规检查工作管理要求 管理类安全基线规范 制定统一的安全审计策略规范
• 资产生命周期管理流程(结合技术平 台的梳理和调整)
3. 制定和完善与安全监控配套的制 度与流程,乃至相关组织:
• 在现有监控体系中,增加安全事件监 控岗位,并给予相应的职责和考核 • 建立ICBC安全事件分级分类规范 • 安全事件的响应与报告管理规范
3.IT资产生命周期管理平台:
• 实现资产管理、远程管理、软件分发 等维护管理功能 • 实现从从‖采购‖→‖安装设置‖ →‖运 营‖→‖淘汰‖四个环节中各阶段的流程管 理
解决方案概览
终端安全标准化
单独的防病毒产品已经无法应对当前威 胁
• 2008年每日新增病毒种类超过4500种,没有任何一家防病毒 产品可以做到100%防护
• 2008年上半年CNCERT发现大陆地区302526个IP地址的主机被植入木马
• 2008年上半年CNCERT发现境内外约有2百多万个IP 地址的主机被植入僵尸程序。
类型3-自主保护终端 黑名单技术:用户可以安装软件,依赖防 病毒软件阻止恶意软件。管理员可以统一 分发软件,可以监控终端进程并指定黑名 单阻断特定进程
Presentation Identifier Goes Here
18
终端管理复杂性的根本原因
• 今天, OS, 应用和用户信息混杂在一起 – 用户设置保存在应用文件、注册表 中
Application D
Application E
Filter Driver
Operating System
优点: 增强稳定性和可靠性. 允许用户虚拟化更多的应用!
Symantec Confidential
软件虚拟化如何工作
Read-only sub-layer Operating System Application Layer SVS Filter Driver
Symantec安全解决方案
Agenda
1 2 3
安全体系建设 解决方案概览 讨论
信息安全风险发展趋势
业务功能越来越多,对 外接口也越来越多,对信 息安全的管理和技术控制 措施提出更高要求。
1 5
传统计算机领域的安全问 题逐步扩展到多种多样的固 定或者移动终端领域。
特别是终端互联网访问中 无意识的信息泄漏和遭受的 恶意代码攻击等,给金融业 务带来安全隐患。 2
Data Layers
Network Drives
Readwrite sublayer
reset
Excludes
1、主动的、层次化的终端安全
1 SNAC 网络准入控制,御毒于网络之外
8 当紧急意外事故发生后… • 应急响应 • 专杀工具分发,自动修复
2 外设控制 防止病毒从U盘引入,防止非法外联
3 防火墙 • 阻断进入的对开放端口的攻击 • 阻断病毒向外扩散的途径 • 阻断非法的对外通信– 间谍软件数据泄漏和连接控制站点 的企图
• 统一的操作系统镜像文件,快速部署 • 集中、标准化的配置 • 自动化的补丁管理
要素1: 标准化的操作系统
要素4: 终端全面防护
• 八层纵深安全防御体系
Presentatio百度文库 Identifier Goes Here
20
完全隔离的虚拟层
虚拟化环境 Application A Application B Application C
管理
1. 分基础设施类型的配套制度与 流程的制定与完善:
终端(服务器)安全防护策略规范 互联网接入及安全防护规范 终端(服务器)安全日常维护规范 安全设备(系统)日常维护规范 内网网络准入控制规范 资产标准化安全配置基线及管理规范 业务连续性计划(RTO/RPO的调整)
技术 1. 终端安全防护软件:
―防‖
• 病毒木马等恶意软 件 • 补丁、安全设置
―控‖
• 不可控的软件使用 • 违规的网络使用 • 机密信息泄露
―管‖
• 混乱的操作系统环境 • 资产管理 • 软件管理
Presentation Identifier Goes Here
17
“自由”与“安全”的平衡
类型1-严格受控终端 白名单技术:用户没有权限安装 任何程序(包括病毒);管理员 统一分发软件 类型2-一般受控终端 白名单技术:用户不能任意下载安装程序 (包括病毒),只能安装管理员验证后的 程序。管理员可以统一分发软件
公司内部员工、第三方 人员等,利用其了解的信 息和掌握的权限谋取非法 收入;
业务 开放化
驱动 利益化
利用技术手段获取非法 收益的地下产业链正在不 断扩大;
终端 多样化
4
大量自动化、集成度高的 攻击工具,可通过互联网下 载,攻击成本逐年降低; 攻击的方法愈加隐蔽,使 得发现和追踪更为困难。
3
安全治理工作
集中安全监控和审计平台建立 IT资产服务流程管理
网页访问安全管理
信息安全工作
数据防泄漏安全
敏感数据加密保护
IT资产管理—终端标准化管理 统一身份管理(维护帐号)
IT资产管理—其他器标准化 统一身份管理(业务帐号) 系统和数据加固
基础架构安全工作
裸机恢复 网络准入控制 终端安全防护
基础架构安全规划要点
终端的安全问题是企业安全体系中薄弱环节
• 终端可能导致的安全问题
– 利用终端为跳板攻击内部网络
• 90%的恶意软件都有木马、后门的特性
– 偷取机密信息
• 70%的恶意软件都有偷取信息的行为
– 导致网络瘫痪
• arp欺骗,系统漏洞攻击
• 结论
– 终端问题是整个企业安全建设 的短板
如何解决终端安全管理面临的问题
7.架构冗余和数据冗余:
根据RTO/RPO的变化,对架构和数据冗余作相 应调整
信息安全规划要点
管理
1. 配套制度与流程的制定与完善:
• 逐步形成企业数据分类、分级规范及 相应安全防护策略 • 数据泄密响应处理流程及汇报制度
技术
1. 数据归档与审计:
• Email及文件的归档与快速搜寻 • 文档信息的审计与取证
漏洞 应用化
应用软件的多样化使得相应的漏洞 数量也呈现出超过了操作系统的趋势 应用补丁的速度却远不及操作系统 补丁. 应用补丁受重视程度低,但应用漏 洞逐渐呈现被广泛利用的趋势,并大 量通过客户端感染木马等方式,影响 服务器端。
攻击 成熟化
安全建设关注点的变化趋势
• 传统基于网络的防护虽依然是基础,但关注点逐渐转向对于数据内容、应用 本身、用户身份和行为安全的管理 • 日益增长的IT资产数量,无论硬件设施还是各类软件,高效安全的管理已成 为大型企业关注的话题 • 企业多年来的安全投资,是否产生了价值?这使企业开始考虑如何正确了解 和评价企业安全风险,以及衡量安全工作成效的标准,并更加关注安全的监 控和综合性分析的价值 • 威胁的不断发展变化,使企业认识到安全投入的长期性,同时也更愿意获得 在节约投资、加强主动性防御的安全建设方面的借鉴。以技术平台支撑的合 规管理工作正在越来越受到重视 • 安全威胁的破坏性越来越大,同时业务的发展对系统和数据的高可靠性要求 不断提高,企业需要根据不断发展变化的安全威胁,在系统和数据的可用性 方面不断优化和改进。
安全治理为 安全治理为 方针 方针
– 安全工作的目标是对 信息安全环境的不断 治理和改善。
信息安全为 核心
– 企业最终保障的是企业业 务,而业务的关键内容之 一就是围绕业务的各类数 据和信息;
可管理IT基础架 构为基础
– 不可管理本身就是不安全的一 个隐患 – 支撑IT系统的基础设施和架构 要以“可量化管理、可流程化 管理”为目标,全面提升其安 全支撑和保障能力
OS (common)
标准化的终端安全管理
要素3: 用户数据保护
• 备份关键用户数据、快速恢复数据和系统 • 扫描终端上是否存储机密信息 • 当终端试图泄露这些机密信息时予以阻断
要素2: 受控的应用软件管理
• 禁止用户私自安装任何可执行程序 • 虚拟化的应用程序管理简化软件管理工作 • 通过软件仓库为用户提供经验证的软件 • 监测终端上启动的所有程序
3. 基础架构安全 (Managed-Infrastructure)
IT系统中传递和承载信息的各类硬、软件设备及系 统 安全建设涵盖了基础架构各方面的专业性、结构性 和可管理性安全方面的各种内容,是安全建设的关 键和基础
8
XX客户的安全治理进度
2009 2010 2011
安全配置合规管理
安全策略合规管理
– 由于用户的交互活动,端点配置与 标准化的设定偏差越来越远
Apps (common) Information & Personality (unique)
• 将OS,应用,设置和用户数据分离 – 用户的体验不变 – 针对所有人使用单个操作系统镜像 – 干净的,快速地应用分发 – 严格限制用户安装任何应用程序 – 快速地系统和应用恢复
规划的出发点——信息为核心的世界
企业 业务
IT治理
业务连续性 法规遵从 高效管理 绿色管理 风险管控
信息
分类分级 归档保存 审计取证 内容安全 泄密防范
基础架构
存储管理 安全管理
网络管理
系统管理
其他IT技术与管理
终端
服务器
存储
网络
数据中心
云
企业的IT管理者: “我们面对的是一个以信息为核心的世界”
3.服务器安全:
安全配置基线检查、关键服务器入侵防护
4.网络安全:
安全域优化与局部调整、边界访问控制、网络 入侵防御等
2.服务支持:
• 各类特征库的升级服务支持 • 安全配置策略的调整与优化 • 服务响应级别及支持内容的调整
5.资产标准化管理:
补丁自动化管理、问题管理、状态追踪等
6.统一身份管理:
重点对维护帐号和口令实施实名制的统一认证、 授权、单点登录等管理