《symantec安全解决方案》由会员分享,可在线阅读,更多相关《symantec安全解决方案(65页珍藏版)》请在金锄头文库上搜索。
1、Symantec安全解决方案Agenda2安全体系建设设1 1解决方案概览览2 2讨论讨论3 3信息安全风险发展趋势l业务功能越来越多,对 外接口也越来越多,对信 息安全的管理和技术控制 措施提出更高要求。12业务 开放化终端 多样化驱动 利益化攻击 成熟化35l公司内部员工、第三方 人员等,利用其了解的信 息和掌握的权限谋取非法 收入;l利用技术手段获取非法 收益的地下产业链正在不 断扩大;l应用软件的多样化使得相应的漏洞 数量也呈现出超过了操作系统的趋势l应用补丁的速度却远不及操作系统 补丁.l应用补丁受重视程度低,但应用漏 洞逐渐呈现被广泛利用的趋势,并大 量通过客户端感染木马等方式,影
2、响 服务器端。l大量自动化、集成度高的 攻击工具,可通过互联网下 载,攻击成本逐年降低;l 攻击的方法愈加隐蔽,使 得发现和追踪更为困难。l传统计算机领域的安全问 题逐步扩展到多种多样的固 定或者移动终端领域。l特别是终端互联网访问中 无意识的信息泄漏和遭受的 恶意代码攻击等,给金融业 务带来安全隐患。4漏洞 应用化安全建设关注点的变化趋势 传统基于网络的防护虽依然是基础,但关注点逐渐转向对于数据内容、应用 本身、用户身份和行为安全的管理 日益增长的IT资产数量,无论硬件设施还是各类软件,高效安全的管理已成 为大型企业关注的话题 企业多年来的安全投资,是否产生了价值?这使企业开始考虑如何正确了
3、解 和评价企业安全风险,以及衡量安全工作成效的标准,并更加关注安全的监 控和综合性分析的价值 威胁的不断发展变化,使企业认识到安全投入的长期性,同时也更愿意获得 在节约投资、加强主动性防御的安全建设方面的借鉴。以技术平台支撑的合 规管理工作正在越来越受到重视 安全威胁的破坏性越来越大,同时业务的发展对系统和数据的高可靠性要求 不断提高,企业需要根据不断发展变化的安全威胁,在系统和数据的可用性 方面不断优化和改进。5规划的出发点信息为核心的世界5基础架构信息IT治理业务连续性风险管控法规遵从其他IT技术与管理网络管理安全管理系统管理分类分级内容安全归档保存审计取证企业 业务云终端数据中心网络服务
4、器存储高效管理绿色管理泄密防范企业的IT管理者:“我们面对的是一个以信息为核心的世界”存储管理规划的原则整体规划 应对变化安全建设规划要有相对完整和全面的框架,能应对当前安全威胁的变化趋势立足现有 提升能力现有安全建设基础上,完善IT基础架构的安全建设,通过优化和调整挖掘潜力,提 升整体安全保障能力着眼信息 重点防范以安全治理为工作目标,以防范有意、无意的数据泄漏为近期工作重点总体规划目标安全治理为安全治理为 方针方针企业最终保障的是企业业 务,而业务的关键内容之 一就是围绕业务的各类数 据和信息;信息安全为信息安全为 核心核心不可管理本身就是不安全的一 个隐患 支撑IT系统的基础设施和架构
5、要以“可量化管理、可流程化 管理”为目标,全面提升其安 全支撑和保障能力可管理可管理ITIT基础架基础架 构为基础构为基础安全工作的目标是对 信息安全环境的不断 治理和改善。安全治理为安全治理为 方针方针81. 安全治理层(Policy-driven) 包含:安全监控、合规管理、审计管理、IT资产 服务管理等内容 安全治理是安全工作长期的、持续性的工作目标 安全治理的手段依赖于平台化的技术支撑3.基础架构安全 (Managed-Infrastructure) IT系统中传递和承载信息的各类硬、软件设备及系 统 安全建设涵盖了基础架构各方面的专业性、结构性 和可管理性安全方面的各种内容,是安全建
6、设的关 键和基础2.信息安全 (Information-centric)包含:数据安全、内容安全、 IT基础设施所承载的所有数据及内容,是安全工 作目标的核心,安全工作的重点开放平台安全工作框架XX客户的安全治理进度终端安全防护200920102011数据防泄漏安全基础架构安全工作IT资产管理终端标准化管理安全治理工作IT资产管理其他器标准化敏感数据加密保护集中安全监控和审计平台建立安全配置合规管理安全策略合规管理IT资产服务流程管理信息安全工作网络准入控制网页访问安全管理统一身份管理(维护帐号)裸机恢复系统和数据加固统一身份管理(业务帐号)基础架构安全规划要点1. 终端安全防护软件:主机防火
7、墙、防入侵、应用程序与外设监控等2.网络准入控制:强制端点安全策略、受控与非受控端点的控制、访客终端控制3.服务器安全:安全配置基线检查、关键服务器入侵防护4.网络安全:安全域优化与局部调整、边界访问控制、网络入侵防御等5.资产标准化管理:补丁自动化管理、问题管理、状态追踪等6.统一身份管理:重点对维护帐号和口令实施实名制的统一认证、授权、单点登录等管理7.架构冗余和数据冗余:根据RTO/RPO的变化,对架构和数据冗余作相应调整管理技术维护与服务1.分基础设施类型的配套制度与 流程的制定与完善: 终端(服务器)安全防护策略规范 互联网接入及安全防护规范 终端(服务器)安全日常维护规范 安全设备
8、(系统)日常维护规范 内网网络准入控制规范 资产标准化安全配置基线及管理规范 业务连续性计划(RTO/RPO的调整)1. 分基础设施类型的配套基本 维护作业计划: 防病毒日常安全维护计划终端日常安全维护作业计划(服务 器、网络设备、安全设备) IT系统级测试、演练、运维作业计划的调整2.服务支持:各类特征库的升级服务支持 安全配置策略的调整与优化 服务响应级别及支持内容的调整信息安全规划要点1. 数据归档与审计: Email及文件的归档与快速搜寻文档信息的审计与取证2.邮件安全网关垃圾邮件与即时消息安全防范 邮件病毒防范3.网页访问安全网关:防网页挂马、病毒过滤、应用管控、 网页过滤、僵尸网络
9、行为分析4. 数据防泄漏: 网络、存储、终端层面的数据内容监控,实现数据泄漏防护功能5.数字版权保护: 通过数字水印、或加密防拷贝技术对明确的重要文件实施保护6. 数据加密 针对必要的关键性的数据的加密保护管理技术维护与服务1. 配套制度与流程的制定与完善: 逐步形成企业数据分类、分级规范及 相应安全防护策略 数据泄密响应处理流程及汇报制度1. 维护作业计划: 数据防泄漏监控与泄漏事件响应作 业计划 密钥管理与维护作业计划 网页安全访问统计分析2.服务支持:数据防泄漏监控策略调整与优化 网页信誉评级知识库 垃圾邮件库安全治理规划要点1. 安全事件监控与审计平台: 日志、事件的集中收集、存储和综
10、合分 析 安全风险的告警、展现、审计 依据企业的审计规范与策略,形成安全审计报告,为合规平台提供支持2.合规管理平台:依据管理规范和要求的检查项设置,并 进行安全配置的收集, 依据技术和管理类安全基线的要求,以 及安全审计的结果,进行合规评估,提 供合规检查报告3.IT资产生命周期管理平台:实现资产管理、远程管理、软件分发等 维护管理功能 实现从从”采购”安装设置” ”运营 ”淘汰”四个环节中各阶段的流程管理管理技术维护与服务1. 制定和完善与合规管理配套的 制度与流程: 技术类安全基线规范的完善 合规检查工作管理要求 管理类安全基线规范 制定统一的安全审计策略规范2. 制定和完善与IT资产标
11、准化服务 管理配套的制度与流程: 资产生命周期管理流程(结合技术平 台的梳理和调整)3. 制定和完善与安全监控配套的制 度与流程,乃至相关组织: 在现有监控体系中,增加安全事件监 控岗位,并给予相应的职责和考核 建立ICBC安全事件分级分类规范 安全事件的响应与报告管理规范1.三大平台的相关维护作业计划 : 安全维护计划安全监控作业 IT资产管理流程相关作业计划2.平台所需的服务支持:全球化的威胁信息库支持 丰富的关联分析性和事件处理知识 库 覆盖广泛的安全事件标准化库 持续的事件优化与安全治理推进服 务解决方案概览终端安全标准化单独的防病毒产品已经无法应对当前威胁 2008年每日新增病毒种类
12、超过4500种,没有任何一家防病毒 产品可以做到100%防护 2008年上半年CNCERT发现大陆地区302526个IP地址的主机被植入木马 2008年上半年CNCERT发现境内外约有2百多万个IP 地址的主机被植入僵尸程序。终端的安全问题是企业安全体系中薄弱环节 终端可能导致的安全问题 利用终端为跳板攻击内部网络 90%的恶意软件都有木马、后门的特性 偷取机密信息 70%的恶意软件都有偷取信息的行为 导致网络瘫痪 arp欺骗,系统漏洞攻击 结论 终端问题是整个企业安全建设 的短板如何解决终端安全管理面临的问题Presentation Identifier Goes Here17“自由”与“安
13、全”的平衡Presentation Identifier Goes Here18类型1严格受控终端 白名单技术:用户没有权限安装 任何程序(包括病毒);管理员 统一分发软件类型2一般受控终端 白名单技术:用户不能任意下载安装程序 (包括病毒),只能安装管理员验证后的 程序。管理员可以统一分发软件类型3自主保护终端 黑名单技术:用户可以安装软件,依赖防 病毒软件阻止恶意软件。管理员可以统一 分发软件,可以监控终端进程并指定黑名 单阻断特定进程Apps (common)OS (common)Information & Personality (unique)终端管理复杂性的根本原因 今天, OS,
14、 应用和用户信息混杂在一起 用户设置保存在应用文件、注册表 中 由于用户的交互活动,端点配置与 标准化的设定偏差越来越远 将OS,应用,设置和用户数据分离 用户的体验不变 针对所有人使用单个操作系统镜像 干净的,快速地应用分发 严格限制用户安装任何应用程序 快速地系统和应用恢复标准化的终端安全管理Presentation Identifier Goes Here20完全隔离的虚拟层Operating SystemFilter DriverApplication ASymantec ConfidentialApplication BApplication CApplication DApplic
15、ation E优点: 增强稳定性和可靠性. 允许用户虚拟化更多的应用!虚拟化环境软件虚拟化如何工作Application LayerRead-only sub-layerRead- write sub- layerOperating SystemSVS Filter DriverresetExcludesNetwork DrivesData Layers234网络和主机 入侵防护: 阻断RPC缓冲区溢出漏洞 阻断利用Web浏览 器漏洞的攻击(间谍软 件最常用的安装方式)3 防火墙 阻断进入的对开放端口的攻击 阻断病毒向外扩散的途径 阻断非法的对外通信 间谍软 件数据泄漏和连接控制站点 的企图6
16、 实时 防护和阻断 (SAV) 自动识别 并清除蠕虫病毒 自动防护已知恶意软件(特别是间谍软 件)的安装 如果恶意软件已经安装,在其运行时检测 并阻断5 抑制未知的恶意软件 (主动防御技术) 启发式病毒扫描 根据恶意软件的行为特征发现 和抑制其操作 邮件蠕虫拦截 间谍软 件键盘记录 、屏幕拦截、数据泄漏行为打分7 系统加固,强身健体 关键补 丁 强口令 关闭危险服务和默认共享 匿名访问 限制1 SNAC 网络准入控制,御毒于网络之外2 外设控制 防止病毒从U盘引入,防止非法外联8 当紧急意外事故发生后 应急响应 专杀 工具分发,自动修复1、主动的、层次化的终端安全实施Symantec终端安全管理解决方案: 可以量化安全性和可管理性目标类别实施前实施后技术手段 提升 终端 安全 水平生产
