Symantec企业级信息安全解决方案(20070403)

互联世界，满怀信心——Symantec企业级信息安全解决方案王斌CISSP/CISA2007.4企业间互动协作新方式消费者享受数字时代生活互联世界的新机遇全球即时通讯用户达3.93亿2005年即时通讯威胁增长1,693%新机遇带来新风险75%的企业期望通过电子商务实现效率大幅提高53%的消费者拒绝在线提供个人信息63%的企业认为每5年便会由于违规或重要信息泄露而受到冲击潜在威胁将导致信誉受损、盈收降低、客户和合作伙伴流失、甚至失去股东信任来源:IMlogic威胁中心报告,2006年1月;Radicati集团,2006年9月;IDC,2005年.互动与沟通类型普遍互联互动信息基础架构消费者和企业需要信心可用性保持系统正常运行确保业务迅速恢复优化系统资源确保正确配置性能赛门铁克战略：提供软件和服务来保护和优化基础设施，信息及交易互动遵从确保充分有效控制实现自动证据收集抵御恶意代码侵入保持重要信息流通安全IT基础设施信息自然灾害与系统故障IT策略与外部法规应用响应时间内部与外部恶意威胁企业级信息安全防护模型SecurityDashboard安全基础架构手机便携电脑台式电脑文件服务器应用服务器邮件服务器数据库服务器信息安全PolicyManagementEvent&LogManagementInformationManagementVulnerabilityManagement安全管理i!安全基础架构安全基础架构防护手机便携电脑台式电脑文件服务器应用服务器邮件服务器数据库服务器•针对恶意行为提供实时防护–客户端安全和审计–服务器安全和审计防止侵入行为防火墙SAVvsSCS集中式的管理功能配置管理和Lockdown内容/签名分布对所有网络节点的分层管理采用基于MMC的snap-in额外功能在现有的基础架构中，增加了防火墙策略及IPS签名功能使用现有的管理框架,但是增加了主动保护和对额外组件的配置功能Symantec系统中心防病毒保护文件系统优于被动反应方案,防止已知的及某些未知的威胁首先防止进入系统主动的保护方案，防止已知及未知威胁防病毒Symantec系统中心SymantecAntiVirusSymantecClientSecuritySNAC确保终端安全接入网络确定接入网络的端点配置Step1遵从性检查Step2✗基于策略检查结果强制Step3PatchQuarantineVirtualDesktop持续监视遵从性Step4端点保护下一站——整合安全NetworkAccessControlProactiveThreatProtectionNetworkThreatProtectionAntivirus&AntispywareFirewall&IPSAntivirus&AntispywareAntivirus&AntispywareSymantecClientSecurity3.1SymantecAntivirus10.1ConfidenceOnlineSymantecWholeSecurityNetworkAccessControlDeviceControlFirewallSymantecSygateEnterpriseProtection5.1Release11.0客户端的延伸——智能手机安全解决方案•Platformssupportedtoday:•MobileSecurityComponents:–AntiVirus,Firewall(Symbian),andLiveUpdateWireless•EnterpriseManagement–SSCPlug-inforWindowsMobileDevices–Leverage3rdpartymobiledevicemanagementsystems•ProvideinstallationandconfigurationfilesforOTAdeployment•ProvideexportablelogfileforadministratorstoretrieveOTA服务器的全面保护——SCSP•EliminatesTheBroadestRangeOfMaliciousServerThreats•RunsOnTheBroadestRangeOfOperatingSystemsFileServerEmailServerApplicationServerLoosePrivilegesSystemDevicesBufferOverflowBackDoor101010110101011010101DatabaseServerSymantecSCSP解决方案简介主机程序...DNSRPCPrintSpooler...邮件系统Web数据库操作系统服务应用程序...邮件客户端办公软件浏览器SCSP在每个程序或服务定制一个外壳(BCD),限定其访问行为文件注册表网络设备读/写数据文件只读的配置信息调用指定的端口及设备BehaviorControlDescriptions(BCDs)限定每个应用程序允许访问的资源及其访问权限信息安全信息安全安全基础架构手机便携电脑台式电脑文件服务器应用服务器邮件服务器数据库服务器企业信息的存在形式•数据库中的结构化信息•电子邮件与文件服务器中的非结构化信息–源代码、员工和客户记录等文件服务器信息处理服务器数据库服务器数据库系统中的信息风险•2005年总共报告130种数据破坏类型–5700万个记录受到感染信息处理服务器数据库服务器文件服务器数据库系统的信息风险•保持所有SQL活动的跟踪–数据库服务器零开销MessagingServerDatabaseServerFileServerSELECTCredit_Card,FROMCustomersSQL审计AuditPolicies•探测来自内部或外部潜在的威胁–欺骗策略和历史交易信息DatabaseServerSELECTCredit_Card,FROMCustomers欺骗监测FraudPoliciesSQL审计AuditPolicies数据库系统的信息风险•监测机密信息的泄漏–基于策略MessagingServerDatabaseServerFileServerDataLeakageExtrusionPoliciesFraudDetectionFraudPoliciesSQLAuditTrailAuditPoliciesSymantecDatabaseSecuritySELECTCredit_Card,FROMCustomers数据库系统的信息风险信息处理系统中的信息风险•电子邮件及其它消息系统——下一个关键任务应用–公司所有知识产权的75％都包含在电子邮件中–企业所有诉讼的75％都不同程度涉及电子邮件搜索–公司所有邮件的75%可能是垃圾邮件信息处理服务器数据库服务器文件服务器赛门铁克邮件安全——抵御恶意攻击•垃圾邮件、网络钓鱼、病毒和蠕虫–最高的侦测率(97%+),最低的误报率(0.0001%)–在80个国家安装了12万个侦测器，每5分钟更新一次DatabaseServerFileServer信息处理服务器网络钓鱼欺诈防护垃圾邮件流量整形与垃圾邮件过滤恶意代码防病毒赛门铁克邮件安全赛门铁克邮件安全——确保重要信息流通•信用卡号、员工信息、企业机密–扫描电子邮件消息正文或附件DatabaseServerFileServer信息处理服务器网络钓鱼FraudPrevention垃圾邮件TrafficShaping&SpamFiltering恶意代码Anti-Virus赛门铁克邮件安全IrecentlyleftAcme,andbelieveyourengineeringteamhavestolenyour#1competitorsintellectualproperty.YoumightwanttoletyourlawyersseethisBobIrecentlyleftAcme,andbelieveyourengineeringteamhavestolenyour#1competitorsintellectualproperty.YoumightwanttoletyourlawyersseethisBob赛门铁克邮件安全信用卡号码员工信息病人信息有效的安全管理SecurityDashboard信息安全安全基础架构手机便携电脑台式电脑文件服务器应用服务器邮件服务器数据库服务器PolicyManagementEvent&LogManagementInformationManagementVulnerabilityManagement安全管理i!安全管理：用户面临的挑战•复杂(CIO)–不断变换的信息安全威胁,需要采用新的防护技术进行拦截,但是如何实现跨平台,跨产品的统一集中管理–如何证明企业在安全方面的投入产生了应有的回报•合规/执行企业安全策略(SecurityManager)–缺少全面的报表统计工具–缺少集中日志保存,存贮方案,在突发安全事件时,很难进行事后取证–需要花费大量的人力,物力,完成外部审计•工作效率(IT/安全维护人员)–防火墙/IDS等安全产品的报警过多,没有时间查看–无法区分安全产品的误报缺少安全专业知识,无法进行跨产品的事故分析–不同的产品,不同的界面,不同的报表格式,需要一段时间来熟悉和管理如何有效管理企业现有的多种安全产品,提升产品的使用价值如何证明安全部门尽责执行公司信息系统的安全规定如何能直观的获得企业信息系统当前运行安全情况如何能快速,有效的提交安全产品的周报,月报或季度报告?Symantec安全管理系统的组成SnortDragonNetscreenCiscoIDSTripwire…etc..SymantecSOCTivoli&OpenView防病毒事件收集器防火墙事件收集器IDS事件收集器安全策略管理SymantecESMSymantecTrendMcAfeeSymc.HIDSSymc.NIDSISSDragonSnortSymantecCheckPointCiscoPIXCiscoRouterCiscoSwitch漏洞及风险管理Symantec3rdParty图例:网络设备事件收集器事件中继自动内容升级Symantec“Bridges”and3rdParty“Collectors”SNSSmartAgent’s主动安全预警及知识管理——DeepSightThreat&Vuln.UpdatesOS/数据库事件收集器SolarisHostNetworkSNMPSyslogLinux事件搜集/关联/分析SSIM9600资产CIA风险数据库WindowsMSSQLServerCiscoIDSJuniperNetscreen采用ESM进行基准风险分析查看结果调度策略运行时间定制模块添加模块创建策略采用ESM进行基准风险分析提供详细描述和指导便于更快消除违背策略的系统安全信息的管理——赛门铁克SSIM•事件关联设备9650–满足用户事件规格化,过滤,合并,关联,存贮,监控和管理的要求•事件收集设备9630–可选型号,用于事件的规格化,过滤,合并防火墙,IDS和其它安全产品的事件信息–两种设备都内置了针对CheckPoint,CiscoPIX,JuniperNetScreen,SNORT,UnixSyslog和通用Syslog事件收集器.灵活的选择和简单的部署方式SSIM安全信息管理平台工作流程96509630IntrusionDetection/PreventionSymantecNetworkSecurity(SNS)SymantecHIDSSymantecITASnortSymantecSygateSymantecCriticalSystemProtectionCiscoIDSCiscoSecurityAgentsTippingPointNIPSEnterasysNetworkDragoneEyeRetinaJuniperIDPISSSiteprotectorMcAfeeIntr