《安全解决方案》由会员分享,可在线阅读,更多相关《安全解决方案(65页珍藏版)》请在金锄头文库上搜索。
1、Symantec安全解决方案,2,Agenda,信息安全风险发展趋势,业务功能越来越多,对外接口也越来越多,对信息安全的管理和技术控制措施提出更高要求。,业务 开放化,终端 多样化,驱动 利益化,攻击 成熟化,公司内部员工、第三方人员等,利用其了解的信息和掌握的权限谋取非法收入;利用技术手段获取非法收益的地下产业链正在不断扩大;,应用软件的多样化使得相应的漏洞数量也呈现出超过了操作系统的趋势应用补丁的速度却远不及操作系统补丁.应用补丁受重视程度低,但应用漏洞逐渐呈现被广泛利用的趋势,并大量通过客户端感染木马等方式,影响服务器端。,大量自动化、集成度高的攻击工具,可通过互联网下载,攻击成本逐年降
2、低;攻击的方法愈加隐蔽,使得发现和追踪更为困难。,传统计算机领域的安全问题逐步扩展到多种多样的固定或者移动终端领域。特别是终端互联网访问中无意识的信息泄漏和遭受的恶意代码攻击等,给金融业务带来安全隐患。,安全建设关注点的变化趋势,传统基于网络的防护虽依然是基础,但关注点逐渐转向对于数据内容、应用本身、用户身份和行为安全的管理日益增长的IT资产数量,无论硬件设施还是各类软件,高效安全的管理已成为大型企业关注的话题企业多年来的安全投资,是否产生了价值?这使企业开始考虑如何正确了解和评价企业安全风险,以及衡量安全工作成效的标准,并更加关注安全的监控和综合性分析的价值威胁的不断发展变化,使企业认识到安
3、全投入的长期性,同时也更愿意获得在节约投资、加强主动性防御的安全建设方面的借鉴。以技术平台支撑的合规管理工作正在越来越受到重视安全威胁的破坏性越来越大,同时业务的发展对系统和数据的高可靠性要求不断提高,企业需要根据不断发展变化的安全威胁,在系统和数据的可用性方面不断优化和改进。,5,规划的出发点信息为核心的世界,5,基础架构,信息,IT治理,业务连续性,风险管控,法规遵从,其他IT技术与管理,安全管理,分类分级,内容安全,归档保存,审计取证,企业业务,云,终端,数据中心,网络,服务器,存储,高效管理,绿色管理,泄密防范,企业的IT管理者:“我们面对的是一个以信息为核心的世界”,存储管理,规划的
4、原则,整体规划应对变化,安全建设规划要有相对完整和全面的框架,能应对当前安全威胁的变化趋势,立足现有提升能力,现有安全建设基础上,完善IT基础架构的安全建设,通过优化和调整挖掘潜力,提升整体安全保障能力,着眼信息重点防范,以安全治理为工作目标,以防范有意、无意的数据泄漏为近期工作重点,总体规划目标,安全治理为方针,企业最终保障的是企业业务,而业务的关键内容之一就是围绕业务的各类数据和信息;,信息安全为核心,不可管理本身就是不安全的一个隐患 支撑IT系统的基础设施和架构要以“可量化管理、可流程化管理”为目标,全面提升其安全支撑和保障能力,可管理IT基础架构为基础,安全工作的目标是对信息安全环境的
5、不断治理和改善。,安全治理为方针,8,1. 安全治理层(Policy-driven) 包含:安全监控、合规管理、审计管理、IT资产服务管理等内容安全治理是安全工作长期的、持续性的工作目标安全治理的手段依赖于平台化的技术支撑,基础架构安全 (Managed-Infrastructure)IT系统中传递和承载信息的各类硬、软件设备及系统安全建设涵盖了基础架构各方面的专业性、结构性和可管理性安全方面的各种内容,是安全建设的关键和基础,信息安全 (Information-centric)包含:数据安全、内容安全、 IT基础设施所承载的所有数据及内容,是安全工作目标的核心,安全工作的重点,开放平台安全工
6、作框架,XX客户的安全治理进度,基础架构安全规划要点,信息安全规划要点,安全治理规划要点,解决方案概览,终端安全标准化,单独的防病毒产品已经无法应对当前威胁,2008年每日新增病毒种类超过4500种,没有任何一家防病毒产品可以做到100%防护 2008年上半年CNCERT发现大陆地区302526个IP地址的主机被植入木马 2008年上半年CNCERT发现境内外约有2百多万个IP 地址的主机被植入僵尸程序。,终端的安全问题是企业安全体系中薄弱环节,终端可能导致的安全问题 利用终端为跳板攻击内部网络 90%的恶意软件都有木马、后门的特性 偷取机密信息 70%的恶意软件都有偷取信息的行为 导致网络瘫
7、痪 arp欺骗,系统漏洞攻击 结论 终端问题是整个企业安全建设 的短板,如何解决终端安全管理面临的问题,Presentation Identifier Goes Here,17,“自由”与“安全”的平衡,Presentation Identifier Goes Here,18,安全性与可管理性,用户自由度,类型1严格受控终端 白名单技术:用户没有权限安装任何程序(包括病毒);管理员统一分发软件,类型2一般受控终端 白名单技术:用户不能任意下载安装程序(包括病毒),只能安装管理员验证后的程序。管理员可以统一分发软件,类型3自主保护终端 黑名单技术:用户可以安装软件,依赖防病毒软件阻止恶意软件。管
8、理员可以统一分发软件,可以监控终端进程并指定黑名单阻断特定进程,Apps (common),OS (common),Information & Personality (unique),终端管理复杂性的根本原因,今天, OS, 应用和用户信息混杂在一起 用户设置保存在应用文件、注册表中 由于用户的交互活动,端点配置与标准化的设定偏差越来越远 将OS,应用,设置和用户数据分离 用户的体验不变 针对所有人使用单个操作系统镜像 干净的,快速地应用分发 严格限制用户安装任何应用程序 快速地系统和应用恢复,标准化的终端安全管理,Presentation Identifier Goes Here,20,终
9、端防御体系,操作系统,应用程序,用户数据,完全隔离的虚拟层,Application A,Symantec Confidential,Application B,Application C,Application D,Application E,优点: 增强稳定性和可靠性. 允许用户虚拟化更多的应用!,虚拟化环境,软件虚拟化如何工作,Application Layer,Read-only sub-layer,Read-write sub-layer,Operating System,SVS Filter Driver,reset,23,4网络和主机 入侵防护:阻断RPC缓冲区溢出漏洞阻断利用We
10、b浏览器漏洞的攻击(间谍软件最常用的安装方式),3 防火墙 阻断进入的对开放端口的攻击阻断病毒向外扩散的途径阻断非法的对外通信 间谍软件数据泄漏和连接控制站点的企图,6 实时防护和阻断 (SAV) 自动识别并清除蠕虫病毒 自动防护已知恶意软件(特别是间谍软件)的安装如果恶意软件已经安装,在其运行时检测并阻断,5 抑制未知的恶意软件 (主动防御技术)启发式病毒扫描 根据恶意软件的行为特征发现和抑制其操作邮件蠕虫拦截间谍软件键盘记录、屏幕拦截、数据泄漏行为打分,7 系统加固,强身健体关键补丁强口令关闭危险服务和默认共享匿名访问限制,1 SNAC 网络准入控制,御毒于网络之外,2 外设控制 防止病毒
11、从U盘引入,防止非法外联,8 当紧急意外事故发生后应急响应专杀工具分发,自动修复,1、主动的、层次化的终端安全,实施Symantec终端安全管理解决方案: 可以量化安全性和可管理性,服务器安全体系,26,服务器挑战 多种平台、多种威胁,External Threats,File Server,Web Server,Mail Server,User / Admin 账号攻击Application 漏洞后门 攻击系统漏洞授权用户 漏洞审计 篡改配置 更改用户权限 扩大,Database Server,Legacy Server,Print Server,Application Server,Int
12、ernal Threats,Point Of Sales Terminals,27,漏洞: 系统生产漏洞补丁的时间,Jan-Jun 2007,Jul-Dec 2006,Ave. Time-to-Patch in days,28,被威胁,感染,感染,网络防护技术不足以抵御攻击,恶意的内部攻击者,标准的安全解决方案可以保护已知的攻击和保护已知的漏洞,但是会放过: 新威胁 新漏洞 内部攻击者,企业边界,数据中心边界,29,Files,Registry,Network,Devices,Read/Write 数据文件,Read Only 配置信息,选择的端口 和设备的用法,攻击阻断 (HIPS) 层,E
13、mail Client,Office,Browser,Mail,Web,crond,RPC,LPD Printer,核心系统守护进程,应用守护 进程,交互式程序,正常的资源访问,主机程序,30,保护场景举例,企业网络,Web Server,Database Server,故意的错误配置或者留下后门,拷贝被感染的文件、数据,Internet,31,事件检测(IDS) 层,如何工作,Email Client,Office,IE Browser,Web,Mail,crond,RPC,LPD Printer,系统核心进程,应用守护进程,交互式程序,System Operations,主机系统,采集器收
14、集 日志和规则 集进行对比 (custom or library),匹配规则,采取动作,记录本次事件,发出告警到控制台,企业安全策略遵从,安全自评估 技术弱点评估,Presentation Identifier Goes Here,33,第一阶段:漏洞扫描分析第二阶段:人工评估 安全配置检查系统管理和维护的正常配置,合理配置,及优化配置。 例如系统目录权限,帐号管理策略,文件系统配置,进程通信管理等。 安全机制检查安全机制的使用和正常配置,合理配置,及优化配置。 例如日志及审计、备份与恢复,签名与校验,加密与通信,特殊授权及 访问控制等。,定义风险检查策略,治理,Symantec公司 IT策略
15、遵从的工作流程,检查策略遵从情况,报告与分析,终端 服务器 应用 数据 人员,SOX 等级保护,COSO COBIT ISO17799 ITIL CC 。,Internal policies CIS NIST NSA 。,法规,框架,标准,定义,组织策略,检查,度量,记录,报告,IT 控制策略,根据企业定制的合规性自动检查,Presentation Identifier Goes Here,35,Presentation Identifier Goes Here,36,规则映射举例,Presentation Identifier Goes Here,37,保护客户信息(MISC/WAP/彩铃/彩信),39,现实世界中的机密数据流失状况,39,每400封邮件中就有1封包含机密信息 每50份通过网络传输的文件中就有1份包含机密数据 50的USB盘中包含机密信息 80的公司在丢失笔记本电脑后会发生泄密事件 在美国平均每次数据泄密事件导致的财务损失高达630万美金(Ponemon Institute, 2007) 数据泄漏导致客户流失的比例正在以每年11%的速率上升 SOX,HIPPA,PCI以及中国的企业内控基本规范都要求企业保护机密信息 信息保护正日益成为安全管理和风险控制的核心内容,
