SEP成功案例汇总及客户清单.doc

SEP 策略保证系统成功案例策略保证系统成功案例 北京赛门铁克信息技术有限公司北京赛门铁克信息技术有限公司 2019 年年 04 月月 文档信息文档信息 属性内容 文档名称：SEP 策略保证系统成功案例 文档编号： 文档版本： 版本日期： 文档状态： 制作人： 审阅人： 版本变更记录版本变更记录 版本修订日期修订人描述 1.02006-7-18王斌汇总整理 SEP 策略保证系统成功案例 I 目目 录录 第第 1 章章用户一用户一.1 第第 2 章章用户二用户二.3 第第 3 章章成功案例：帮助企业信息安全管理体系顺利通过成功案例：帮助企业信息安全管理体系顺利通过 BS7799 认证认证5 第第 4 章章成功案例：延伸企业网络安全防线，有效保护远程成功案例：延伸企业网络安全防线，有效保护远程/移动用户移动用户12 SEP 策略保证系统成功案例 1 第第 1 章章 用用户户一一 用户名称：用户名称：Hewlett-Packard 简要背景：简要背景： 在 2001 年完成对 Compaq 的合并以后，惠普公司作为全球最大的计 算机制造和服务公司之一，发现它正在管理一个世界上最大的计算机 网络。在合并以后，所有员工使用的计算机超过了 24 万台，并且大部 分计算机是移动的。在这样一个巨大而复杂的企业中，急需一种有效 降低处理事故和病毒所产生的费用同时还能提高员工工作效率的解决 方案。 项目实施时间：项目实施时间： 2003 年 10 月开始部署，在当年年底前部署的终端数已经达到 70,000 台。 到 2004 年 5 月，完成了 24 万台终端的部署。目前部署的终端总数已 经超过 30 万台。 用户规模：用户规模： 目前已超过 30 万台。 客户简要需求：客户简要需求： 保障全公司所有联网终端的网络安全 降低定位、修复受病毒和蠕虫感染终端的成本 防止病毒通过员工家中的计算机感染企业内部网络 阻断、隔离并报告受感染的终端 SEP 策略保证系统成功案例 2 快速定位受感染的终端 实现终端对企业安全策略的依从度 客户已实现功能：客户已实现功能： 中央管理的主机防护墙（网络访问控制） 终端安全状态检查与自动修复 根据网络环境自动切换安全策略 防病毒及第三方安全应用检查与强制 多站点同步与复制，策略集中管理 客户代表联系人：客户代表联系人： SEP 策略保证系统成功案例 3 第第 2 章章 用用户户二二 用户名称：用户名称：Sprint 简要背景：简要背景： Sprint 是美国最大的移动运营商之一，具有分布于全国的营业网络，整 个公司终端数量超过 70,000 台。公司一直受到如何管理分布于全国的 企业网络的困扰。 项目实施时间：项目实施时间： 在一个半月以内完成了所有 75,000 个节点的安装。 用户规模：用户规模： 终端数 75,000 客户简要需求：客户简要需求： 将超过 5000 多个远程办公的员工从专线拨号转移到 VPN 连接以节省 通讯费用，并保证企业网络的安全 控制临时顾问和合作伙伴公司对企业内部网络的访问 通过阻止入侵来维护公司信誉并节省成本 通过强制补丁来防止新病毒和蠕虫的感染 远程强制企业政策和终端安全策略 客户已实现功能：客户已实现功能： 使用 Gateway Enforcer 对 VPN 接入用户进行安全强制 集中管理终端用户的网络访问行为 SEP 策略保证系统成功案例 4 补丁强制检查 根据网络环境自动切换安全策略 入侵检测与预防 客户代表联系人：客户代表联系人： Name：David Barton Tel：913-315-7675. SEP 策略保证系统成功案例 5 第第 3 章章 成成功功案案例例：帮帮助助企企业业信信 息息安安全全管管理理体体系系顺顺利利通通过过BS7799 认认 证证 企业背景企业背景 该用户是上海市科委认定的高新技术企业，发展至今，已成为一家领先的 独立模拟半导体代工厂，主要专注于制造模拟半导体及更多双极型内容的混合 讯号半导体。截止到 2004 年，该用户已拥有能生产 5 英寸、6 英寸、8 英寸芯 片的工厂各一座。 客户需求客户需求 由于最近几年国内IC产业发展迅猛，大量国外设计企业的制造订单都飞往 国内。鉴于IP（知识产权）保护的重要性，国外客户会明确要求芯片代工企业 必须在信息安全管理方面做出保证。很多国际性的投标项目也已经开始要求竞 标者提供ISO17799符合性的资质材料。 为了取得在同行业内的竞争优势，提升其市场地位。该用户将建立符合国 际标准的信息安全管理体系（ISMS） ，并通过该领域的BS7799权威认证作为 2004年的工作重点。用户希望在提高自身业务安全管理水平的同时，也赢得更 多的企业信誉和客户信心。 BS7799 实施难点实施难点 SEP 策略保证系统成功案例 6 除了纪律以外，有没有技术手段可以保障安全策略的贯彻和落实？除了纪律以外，有没有技术手段可以保障安全策略的贯彻和落实？ BS7799给出了一个全面而完整的信息安全管理框架。它定义了安全管理的十个 主要领域，又细分为36个控制目标，127个控制点。从这十个领域的侧重点来看， BS7799很好的体现出“三分靠技术、七分靠管理”的原则。遵循BS7799标准，用 户很容易梳理出针对常见安全目标的策略，标准、流程、指南等，但是如何将 这些纸面上的东西落实于行动？如何跨越安全策略制定和执行之间的鸿沟呢？ 这是长期困扰用户BS7799建制小组的一个问题。 选择什么样的产品，才能使选择什么样的产品，才能使 BS7799 更具有可实施性？更具有可实施性？ BS7799虽然提供了指导性框架，但距离实际操作仍然留下许多空白。总体来说， BS7799更多体现的是一种目标要求，并没有提及实施的细节，这是作为通行标 准必然的局限。对用户来说，要真正将BS7799 的要求和指导落到实处，必须 补充必要的可实施内容，在这方面，具体到安全产品，又该如何选择呢？ Sygate 在在 BS7799 实践中的具体帮助实践中的具体帮助 SYGATE 安全策略保证系统最初在用户生产网（FEB 网）导入，用来解决生产 网和办公网之间隔离和互访这一老大难问题。当用户 BS7799 建制小组在考察 了 SYGATE 方案在生产网的应用情况后，整个小组为之一振。长期缠绕在脑中 的部分问题立刻就有了答案。建制小组决定在全厂部署 Sygate 方案来保证 BS7799 中多个控制点的确实可行。 首先 Sygate 独特的强制防护模型可从多个层面为策略的贯彻执行保驾护航。当 SEP 策略保证系统成功案例 7 安全事件发生或者违规行为出现时，Sygate 强制机制就会自动介入。就好像在 企业内部增设了一个检察院，它担负着企业安全法规的监督职能，很好地促进 了用户安全管理的 BS7799 符合性。 其次，SYGATE 方案作为一个终端安全管理的平台，覆盖了 BS7799 中众多的 控制点，从技术操作层面很好的满足了用户 BS7799 体系建设方面的需求。 SYGATE 产品覆盖的 BS7799 控制点现列表如下： 控制目控制目 标标 控制措施控制措施说明说明 资产分类与控制资产分类与控制 5.2 信息分类 目标：保证信息资产得到适当级别目标：保证信息资产得到适当级别 的保护。的保护。 应该对信息分类，指明其需要、优先顺序 和保护级别 物理与环境安全物理与环境安全 7.3 常规控制 措施 7.3.1 桌面与屏幕 管理策略 目标：防止信息或信息处理设施受目标：防止信息或信息处理设施受 损或被盗。损或被盗。 应防止将信息和信息处理设备暴露给未经 授权的人，或被未经授权的人修改或偷窃， 并应采取控制措施，将损失或损害最小化。 通信与操作管理通信与操作管理 8.3 防止恶意8.3.1恶意软件目标：保护软件和信息的完整性。目标：保护软件和信息的完整性。 SEP 策略保证系统成功案例 8 软件的控制措施防范措施可以防止和检测到恶意软件的入 侵，因此不可缺少。软件和信息处理设施 易受恶意软件的攻击，比如计算机病毒、 网络蠕虫、特洛伊木马（另请参见 10.5.4）和逻辑炸弹。应提醒用户警觉未 授权软件或恶意软件的危险，并且管理员 应适当地引入特殊的控制手段检测或防范 这些软件的侵袭。尤其是，采取防范措施 检查和预防个人计算机上的计算机病毒是 必不可少的。 8.5 网络管理8.5.1网络控制 措施 目标：保证网络信息安全，保护支目标：保证网络信息安全，保护支 持性的体系结构。持性的体系结构。 可能跨越组织边界的网络安全管理需要特 别的关注。而且可能还需要其它补充控制 措施来保护通过公共网络传送的敏感数据。 a 8.7 信息和软 件交换 8.7.4电子邮件 安全 目标：防止组织间交换信息时信息目标：防止组织间交换信息时信息 受损、修改或滥用。受损、修改或滥用。 应考虑与电子数据交换、电子商务和电子 邮件有关的业务和安全以及对控制措施的 要求。 访问控制访问控制 9.1 访问控制9.1.1访问控制目标：控制对信息的访问。应该根目标：控制对信息的访问。应该根 SEP 策略保证系统成功案例 9 的业务要求策略据业务要求和安全要求对信息访问与业务据业务要求和安全要求对信息访问与业务 流程加以控制。流程加以控制。 还应该考虑信息传播和授权的策略。 9.2 用户访问 管理 9.2.1用户注册 9.2.2权限管理 目标：防止对信息系统的非法访问。目标：防止对信息系统的非法访问。 应该制定正式程序，控制信息系统访问权 限与服务访问权限的分配。 9.3 用户责任9.3.1口令的使 用 目标：防止非法的用户访问。授权目标：防止非法的用户访问。授权 用户的合作态度对有效地保障安全至关重用户的合作态度对有效地保障安全至关重 要。要。 应该让用户了解进行有效访问控制的责任， 特别是口令使用和用户设备安全的责任。 9.4 网络访问 控制 9.4.1网络服务 的使用策略 9.4.2实施控制 的路径 9.4.3外部连接 的用户身份验证 9.4.4节点验证 9.4.5远程诊断 端口的保护 9.4.6网络划分 目标：保护网络化服务。应该控制目标：保护网络化服务。应该控制 对内外网络服务的访问。对内外网络服务的访问。 必须确保访问网络和网络服务的用户不会 破坏这些网络服务的安全，确保： a)组织网络与其它组织网络或公用网之 间正确连接。 b)用户和设备都具有适当的身份验证机 制。 c)在用户访问信息服务时进行控制。 SEP 策略保证系统成功案例 10 9.4.7网络连接 控制 9.4.8网络路由 控制 9.5 操作系统 访问控制 9.5.1终端自动 识别功能 9.5.7终端超时 9.5.8连接时间 限制 目标：防止非法的计算机访问。目标：防止非法的计算机访问。 应该使用操作系统级别的安全设施限制对 计算机资源的访问。 9.6 应用访问 控制 9.6.1信息访问 限制 目标：防止对信息系统中信息的非目标：防止对信息系统中信息的非 法访问。法访问。 b)防止对任何能够越过系统和应用控制 措施的实用程序和操作系统软件进行非法 访问。 9.7 监控系统 的访问和使用 9.7.1事件日志 记录 目标：检测非法活动。目标：检测非法活动。应该对系统 进行进行监控，检测与访问控制策略不符 的情况，将可以监控的事件记录下来，在 出现安全事故时作为证据使用。 9.8 移动计算 和远程工作 9.8.1移动计算目标：保证在使用移动计算和远程目标：保证在使用移动计算和远程 工作设施时信息的安全性。工作设施时信息的安全性。 要求采用的保护措施应该与具体工作方式 可能产生的风险相一致。移动计算时应该 考虑在无保护的环境中工作的风险并采用 SEP 策略保证系统成功案例 11 适当的保护措施。在远程工作环境下，组 织应该对远程工作场所采用一定的保护措 施，保证为该工作方式进行适当的安排。 业务连续性管理业务连续性管理 11.1业务 连续性管理的 特点 目标：防止业务活动中断，保证重目标：防止业务活动中断，保证重 要业务流程不受重大故障和灾难的影响。要业务流程不受重大故障和灾难的影响。 用户评价用户评价 经过半年多的努力，该用户已经于 2004 年底顺利通过了 BS7799 的认证， 并因而获得了更多的客户订单。该组织一位姓刘的资深 IT 工程师参与了整个项 目的过程，感触颇深，说：“在我们这次以达成 BS7799 认证为目标的企业信 息安全系统建设项目中，sygate 确实起了很大的作用，无论是在主机安全还是 行为控制上都大大提高了我们的管理水平。 ” SEP 策略保证系统成功案例 12 第第 4 章章 成成功功案案例例：延延伸伸企企业业网网 络络安安全全防防线线，有有效效保保护护远远程程 /移移动动用用户户 用户简介用户简介 该用户是中外合资的大型轿车生产和经营企业，国家“八五”计划的重点 建设项目之一。建设规模为年产 30 万辆轿车和 40 万台发动机。目前已形成年 产 15 万辆整车和 20 万台发动机的生产能力。作为一家大型的轿车生产销售企 业，该公司拥有众多的下属企业，分别负责不同零配件的生产；公司在全国各 地都设立了办事处、分公司以及代理商负责产品的市场销售以及推广工作。这 些下属企业和分支机构都需要访问公司总部的网络，获取经营活动所必须的数 据。公司员工也需要经常出差，在差旅途中访问公司内部的数据。如何保护这 些远程用户和移动用户的安全已经成为公司整个网络安全体系的重要环节。 远程、移动办公带来的网络安全和管理挑战远程、移动办公带来的网络安全和管理挑战 远程用户和移动用户的计算机游离于企业核心网络安全边界之外，企业现 有的关守型防火墙不能保护这些用户的安全。对于移动用户而言，通常是直接 连接到 Internet，问题更加严重，极易受到黑客的攻击，使数据遭到窃取或破坏。 1.确保远程用户的主机安全。现有远程主机的网络安全防护措施薄弱， 当这些主机连接到 Internet 时，极易遭到黑客的攻击，从而导致数据被窃取、 破坏或直接删除，致使远程用户无法正常工作； 2.保障远程用户通过 VPN 连接到企业内部网络时的安全。VPN 能提供 传输信道的安全性,但无法保证远程端点未被黑客植入木马程序,而网络型入侵 SEP 策略保证系统成功案例 13 检测系统无法解读加密封包，VPN 反而成为黑客入侵的最佳途径。远程用户的 安全经验不足，很容易感染木马，蠕虫以及网络病毒，当他们通过 VPN 连接到 企业的内部网络时，极易将这些恶意程序带入内部网络，给企业整个网络的安 全造成破坏。同时黑客也能够使用这些恶意程序窃取用户的 VPN 口令，并直接 连接到公司内部网络进行进一步的数据窃取和破坏活动； 3.无法控制远程用户使用的网络应用程序。远程用户很可能有意或无 意的使用了一些带有严重安全漏洞的网络应用程序，从而给黑客以可乘之机； 4.其它安全投资的功效无法保证，价值无法体现。企业无法保证在其 它网络安全措施上的投资（如防病毒软件、各种补丁程序及系统管理软件的客 户端等）是否处于正常运行状态，病毒特征库有没有及时更新，终端员工是否 私自卸载这些公司要求必须使用的安全软件； 5.无法控制远程用户对内部网络访问的行为。远程用户在访问企业内 网资源时只能使用企业所允许的网络应用程序连接指定的内部服务器。其他任 何应用程序和对其他任何内网主机的访问都必须被禁止，这样才能保证内部服 务器的稳定运行并将敏感数据泄密的可能性减到最小； 6.缺乏有效的手段来追踪和审计发生在远程/移动用户机器上的安全事 件，管理员无法知道远程客户机器的安全状况，也就不能采取有针对性的防护 措施； 7.企业的网络管理员无法控制远程用户对带宽的使用。有限的网络带 宽经常被一些和工作无关的网络应用（如 FTP 下载，流媒体播放等）占用，从 而无法保证员工的工作效率。 用户要实现的目标用户要实现的目标 该用户最终要实现的是对远程/移动用户计算机的网络安全防护，同时保 SEP 策略保证系统成功案例 14 证远程用户的网络安全处于企业的统一监管之下。这包括以下目标： 提供对远程主机的网络安全防护能力，包括：主机型防火墙、 入侵检测与预防、阻止端口扫描、发现并阻止木马程序的运行、自动中 断未授权及非法程序对网络的访问、在访问 Internet 时隐藏自身的操作 系统及浏览器信息。同时在网络安全事件发生时，能够记录日志并发送 到中央服务器以便管理员审核，采取相应对策； 保证只有合法的远程用户（如移动用户、分支机构及代理商） 才能访问企业的内部网络，同时也要保证这些远程用户在进入企业内部 网络之前自身的安全性得到了保障，防止其成为黑客攻击企业内部网络 的跳板； 在所有的远程用户的计算机上落实并强制实施企业的网络安全 策略，将企业网络的安全防护体系扩展到每一个远程主机之上：要求远 程用户使用并及时地更新网络安全应用程序如主机型防火墙，防病毒、 入侵检测工具以及其特征库，加装操作系统补丁等等； 当远程用户通过 VPN 连接到企业内部网络时，控制其使用的网 络应用程序，只有企业安全策略所允许的程序才能在内部网络中使用； 从而有效保证企业内部网络资源的安全和高可用性（HA） 。 在解决问题中遇到的挑战在解决问题中遇到的挑战 SYGATE 要尽可能小地，最好是不改变该用户现有的网络拓朴结构； SYGATE 在实现以上目标的同时，必须保证不影响员工的正常工作，并 尽可能做到对终端用户透明和友好； SYGATE 不能对企业网络造成可察觉的负担，不能影响网络的稳定性； SEP 策略保证系统成功案例 15 SYGATE 必须保证系统实施和维护的简易性； SYGATE 必须保证系统具有高度的可扩充性，为将来把整个企业网络中 所有端点（远程/移动用户、企业内部网络主机）都纳入统一的安全管理 体系做好准备。 SYGATE 的解决方案的解决方案 SYGATE 安全策略保证系统为分布式企业提供了全新的网络安全构架。该 系统使用 SYGATE 安全代理为所有远程用户提供高效的主机防火墙保护和入侵 检测预防能力并收集终端用户的相关数据，检测安全策略的执行情况；使用 SYGATE 认证强制网关来检测远程用户计算机上安全代理的运行情况，验证远 程用户的安全策略执行情况，并将阻止所有未运