Symantec 加密与认证方案介绍
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Or
ClientEnabled
24
Thank You
VIP Member A · · First Factor Validation Username to Credential ID Mapping First Level Support
Application
VIP Member B · First Factor Validation Username to Credential ID Mapping First Level Support
16
应用场景 ——Enterprise Deployment
企业内部需要部署轻量级代理服务 VIP Enterprise Gateway
• 桥接企业应用与VIP服务
• 实现第一个因素的认证 • 通过VIP验证一次性口令 • 验证访问自服务平台的用户
17
通过VIP进行VPN认证工作流程
1.首先,用户提供登录所需的用户名、密码以及一次性口令; 2.VPN将用户凭据信息提交至VIP网关; 3.VIP网关通过LDAP验证用户名与密码,完成第一次认证; 4.若用户密码正确,VIP网关连接云端验证一次性口令; 5.VIP网关完成回复VPN的验证请求。
Presentation Identifier Goes Here
5
PGP 邮件加密保护解决方案
Presentation Identifier Goes Here
6
邮件加密需求:电子邮件面临的四种新威胁
伪冒
电子邮件至收件人中间经过许多 点, 但你无法控制路径。 电子邮件内容是以明文在传送。
指纹、虹膜 行为
13
提供完整的强认证解决方案
14
基于云端的强认证解决方案
用户使用 VIP凭据 企业/互联网应用 Symantec 托管 实时认证服务
Consumer Portal, Business Partner Extranet
Corporate Network
15
VIP 网络概况及服务能力扩展
PGP®Support Package for BlackBerry®
点对点邮件加密,保护邮件储存及传送
8
邮件加密方案二: Gateway Email网关邮件加密
有风险的 邮件
有风险的 邮件
In Motion 有风险的 邮件
Recipients’ Mail Server 有风险的 邮件
Recipients’ Systems 有风险的 邮件
Application
Existing User Database
Existing User Database
·
·
·
Login using existing username and password, then security code End-User with VIP Credential
Login using existing username and password, then security code
增强 Web 认证
Authenticate to web apps via a browser
文档签名 Digitally signed documents including Adobe PDF
基础架构认证,无线接入 Transparent WIFI access or EAP capable wired switch access
+
Other Initiatives
• Mobile Device Management • Multi-use Smart Cards (HSPD 12/PIV)
21
Symantec 可管理的公钥基础架构(MPKI)
降低成本减少复杂性
建立自有的 (In-house) PKI Symantec 可管理的 PKI 服务
非授权使用者 (约雇员工, 离职员工)
授权使用者 (正职员工)
非授权使用者 (偷窃者)
4
PGP磁盘加密如何帮助用户?
自动加密全盘,确保公司机密数据不被第三方获取 • 在笔记本丢失后,无论是非法第三方还是专业数据恢复公司,都 无法访问笔记本内的数据 透明使用,不影响最终用户使用习惯 • 开机输一次密码,即可登录系统,开始工作。 • 往U盘拷贝,打印,发邮件,共享文件都与之前使用方法一样 U盘加密,防止U盘向外泄露数据 • 若启用U盘保护,向U盘拷贝的所有文档都自动加密,只有公司电 脑才能访问。
暴露在四种威胁环境
内容被修改或假冒。 收信者无法确认寄信者。
窃聴
修改
否认
邮件加密方案一:Desktop Email 端到端邮件加密
Client Systems 有风险的 邮件
PGP®Desktop Email
Corporate Mail Server 有风险的 邮件
In Motion 有风险的 邮件
– 与原有操作系统PKI兼容,允许Microsoft自动注册证书与 Symantec MPKI相互操作。
Hybrid
23
Symantec MPKI 增强的用户体验
• 无客户端可以应用在更多的环境中,特别对于组织外用户、 合作伙伴等,支持各类浏览器的注册登入。
Clientless
• PKI客户端提供简单透明的用户使用体验,客户端可以自动配 置应用使用证书,或自动完成证书的续约。
Symantec 加密与认证解决方案
Nick Niu 牛玉孝 Nick_Niu@ 产品销售经理
PGP/VIP/ MPKI/ MSS
PGP 磁盘加密保护解决方案
Presentation Identifier Goes Here
2
磁盘加密保护需求:终端设备丢失及硬盘被摘走的风险
Recipients’ Mail Server 有风险的 邮件
Recipients’ Systems 有风险的 邮件
PGP®Desktop Email
PGP®Desktop Email
Internet
PGP®Desktop Email
PGP®Support Package for BlackBerry®
vs.
PKI Software Trust &Train IT Personnel Servers Your PKI Administrator Firewalls Trust & Train Operational Personnel Secure Facility
Databases
Accreditations
Cloud-based Validation Service
User
VPN Concentrator
(VIP网关可以选择内外 认证的先后顺序,也可 以将PIN吗存储在云端)
VIP Enterprise Gateway
Corporate Directory
Internal Resource
18
实现单点登录,跨平台,跨应用
• 完全采用云端的基础架构,更为简单快速的部署。 • 用户大多数企业的混合部署方案,云端加企业内部组件PKI Enterprise Gateway
Cloud
Or
– 深度集成企业目录,一旦证书生产,自动分发至企业目录,同时 简化证书注册与续约,实现应用基于用户组的证书策略等。
– PKI Enterprise Gateway作为本地RA,用户加入企业域信息将自 动作为证书的元数据信息在目录中填充。
Symantec™ Validation & ID Protection
• 不存在单点风险,云 端系统通过全球负载 均衡实现认证站点的 高可用,使用双独立 站点(AA模式),站 点内使用服务器冗余。 • 云端认证平台可水平 扩展吞吐量,当前可 完成每秒1000次的认 证,同时具备低延时, OTP验证响应时间小 于250ms
PGP邮件加密如何帮助用户?
加密邮件,防止第三方窃听 • 邮件加密后,非法人员窃听获得后,无法破译或打开
透明使用,方便最终用户
• 最终用户不需要做任何改变,邮件自动使用收件人的密钥进行加密 • 收件人收到后自动解密,双击即可阅读邮件 部署简单(两种方案可以选择) • Gateway Mail 网关邮件加密部署在网关处,客户端不需要做任何 改动 • Desktop Mail桌面邮件加密部署在客户端,与磁盘加密为同一个程 序,不需要额外部署
– 应用程序自动配置,PKI客户端自动完成应用程序使用证书的安装工作, 浏览器(IE and Firefox)、VPN (Juniper, Cisco, Checkpoint)、使用 S/MIME或PGP的邮件 (Microsoft Outlook, Mozilla Thunderbird)、 Adobe Acrobat文件签名... – 证书生命周期的自动管理,PKI客户端自动维护证书的生命周期,例如证 书超期,PKI客户端可自动完成续约更新过程。 – 用户体验一致性,由于不同浏览器对证书的管理存放有限制,禁止第三方 应用访问,使用PKI客户端可以在无需更多操作的情况下跨应用使用。
自建的PKI产生的成本与复杂性 降低原本的优势
更快的部署时间 降低总体拥有成本 • 没有基础设施投资 • 易于管理和使用 最大化的高效运营 • 高可用性(HA)和高容量 • 2和认可的政策
22
Symantec MPKI 部署选择
• 采用一个公认的可信平台存储及管理部分凭据将简
化系统的复杂性,同时大幅提升安全能力。
12
解决方案 : 访问凭据强认证
集合两个或两个以上认证因素
Something You Know Something You Have Something You Are
用户名、密码 交易记录
一次性口令卡、数字证 书、智能卡
PGP® Desktop Email
Internet
PGP Universal™Gateway Email + PGP Universal™Server
PGP Universal™ Web Messenger
PGP®PDF Messenger
PGP Universal™ Gateway Email 保护 所有的通讯
Presentation Identifier Goes Here
10
VIP 双因素认证解决方案
Presentation Identifier Goes Here
11
• 密码可能遭到暴力破解或盗取
• 确保认证安全的关键是采用强认证的凭据与保障凭
据的存储安全,同时关心用户的易用性
• 采用单点登录的环境下更需要强认证手段。
·
Master Credential Database
Security Code Validation Credential State per VIP Member Second Level Support Validate Security Code
· ·
Validate Security Code
遵从法规
47% 的企业数据遗留 在移动电脑中
43% 的员工遗失的U 盘/移动硬盘中存放 了公司重要数据
遭窃或遗失
丢失移动硬盘
移除硬盘
3
磁盘加密方案
在遗失或遭窃时保护数据
将硬盘或外接存储加密, 如果没有金钥则无法解开
硬盘加密
OS无法启动 无法存取硬盘 无法存取档案
外接设备加密
非授权使用者 (偷窃者)
• 由于认证数据在云端,个人用户可以重用他们的令牌在企业内部认证.
19
客户端PKI证书认证解决方案
Presentation Identifier Goes Here
20
客户端PKI证书认证需求
安全的远程访问,VPN
Strong authentication to networks via VPN 邮件安全 Digitally signed, encrypted email communications