Symantec安全解决方案1

Symantec安全解决方案2023/5/27Symantec安全解决方案[1]Agenda安全体系建设1解决方案概览2讨论3Symantec安全解决方案[1]信息安全风险发展趋势业务功能越来越多，对外接口也越来越多，对信息安全的管理和技术控制措施提出更高要求。12业务开放化终端多样化驱动利益化攻击成熟化35公司内部员工、第三方人员等，利用其了解的信息和掌握的权限谋取非法收入；利用技术手段获取非法收益的地下产业链正在不断扩大；应用软件的多样化使得相应的漏洞数量也呈现出超过了操作系统的趋势应用补丁的速度却远不及操作系统补丁.应用补丁受重视程度低，但应用漏洞逐渐呈现被广泛利用的趋势，并大量通过客户端感染木马等方式，影响服务器端。大量自动化、集成度高的攻击工具，可通过互联网下载，攻击成本逐年降低；攻击的方法愈加隐蔽，使得发现和追踪更为困难。传统计算机领域的安全问题逐步扩展到多种多样的固定或者移动终端领域。特别是终端互联网访问中无意识的信息泄漏和遭受的恶意代码攻击等，给金融业务带来安全隐患。4漏洞应用化Symantec安全解决方案[1]安全建设关注点的变化趋势传统基于网络的防护虽依然是基础，但关注点逐渐转向对于数据内容、应用本身、用户身份和行为安全的管理日益增长的IT资产数量，无论硬件设施还是各类软件，高效安全的管理已成为大型企业关注的话题企业多年来的安全投资，是否产生了价值？这使企业开始考虑如何正确了解和评价企业安全风险，以及衡量安全工作成效的标准，并更加关注安全的监控和综合性分析的价值威胁的不断发展变化，使企业认识到安全投入的长期性，同时也更愿意获得在节约投资、加强主动性防御的安全建设方面的借鉴。以技术平台支撑的合规管理工作正在越来越受到重视安全威胁的破坏性越来越大，同时业务的发展对系统和数据的高可靠性要求不断提高，企业需要根据不断发展变化的安全威胁，在系统和数据的可用性方面不断优化和改进。Symantec安全解决方案[1]

规划的出发点——信息为核心的世界5基础架构信息IT治理业务连续性风险管控法规遵从其他IT技术与管理网络管理安全管理系统管理分类分级内容安全归档保存审计取证企业业务云终端数据中心网络服务器存储高效管理绿色管理泄密防范企业的IT管理者：“我们面对的是一个以信息为核心的世界”存储管理Symantec安全解决方案[1]规划的原则整体规划应对变化安全建设规划要有相对完整和全面的框架，能应对当前安全威胁的变化趋势立足现有提升能力现有安全建设基础上，完善IT基础架构的安全建设，通过优化和调整挖掘潜力，提升整体安全保障能力着眼信息重点防范以安全治理为工作目标，以防范有意、无意的数据泄漏为近期工作重点Symantec安全解决方案[1]总体规划目标安全治理为方针企业最终保障的是企业业务，而业务的关键内容之一就是围绕业务的各类数据和信息；信息安全为核心不可管理本身就是不安全的一个隐患支撑IT系统的基础设施和架构要以“可量化管理、可流程化管理”为目标，全面提升其安全支撑和保障能力可管理IT基础架构为基础安全工作的目标是对信息安全环境的不断治理和改善。安全治理为方针Symantec安全解决方案[1]1.安全治理层（Policy-driven）包含：安全监控、合规管理、审计管理、IT资产服务管理等内容安全治理是安全工作长期的、持续性的工作目标安全治理的手段依赖于平台化的技术支撑基础架构安全(Managed-Infrastructure)IT系统中传递和承载信息的各类硬、软件设备及系统安全建设涵盖了基础架构各方面的专业性、结构性和可管理性安全方面的各种内容，是安全建设的关键和基础信息安全(Information-centric)包含：数据安全、内容安全、IT基础设施所承载的所有数据及内容，是安全工作目标的核心，安全工作的重点开放平台安全工作框架Symantec安全解决方案[1]XX客户的安全治理进度终端安全防护200920102011数据防泄漏安全基础架构安全工作IT资产管理—终端标准化管理安全治理工作IT资产管理—其他器标准化敏感数据加密保护集中安全监控和审计平台建立安全配置合规管理安全策略合规管理IT资产服务流程管理信息安全工作网络准入控制网页访问安全管理统一身份管理（维护帐号）裸机恢复系统和数据加固统一身份管理（业务帐号）Symantec安全解决方案[1]基础架构安全规划要点1.终端安全防护软件：主机防火墙、防入侵、应用程序与外设监控等2.网络准入控制：强制端点安全策略、受控与非受控端点的控制、访客终端控制3.服务器安全：

安全配置基线检查、关键服务器入侵防护4.网络安全：安全域优化与局部调整、边界访问控制、网络入侵防御等5.资产标准化管理：补丁自动化管理、问题管理、状态追踪等6.统一身份管理：重点对维护帐号和口令实施实名制的统一认证、授权、单点登录等管理7.架构冗余和数据冗余：

根据RTO/RPO的变化，对架构和数据冗余作相应调整

管理技术维护与服务分基础设施类型的配套制度与流程的制定与完善：终端（服务器）安全防护策略规范互联网接入及安全防护规范终端（服务器）安全日常维护规范安全设备（系统）日常维护规范内网网络准入控制规范资产标准化安全配置基线及管理规范业务连续性计划（RTO/RPO的调整）分基础设施类型的配套基本维护作业计划：防病毒日常安全维护计划终端日常安全维护作业计划（服务器、网络设备、安全设备）IT系统级测试、演练、运维作业计划的调整2.服务支持：各类特征库的升级服务支持安全配置策略的调整与优化服务响应级别及支持内容的调整

Symantec安全解决方案[1]信息安全规划要点数据归档与审计：Email及文件的归档与快速搜寻文档信息的审计与取证2.邮件安全网关垃圾邮件与即时消息安全防范邮件病毒防范3.网页访问安全网关：防网页挂马、病毒过滤、应用管控、网页过滤、僵尸网络行为分析4.数据防泄漏：网络、存储、终端层面的数据内容监控，实现数据泄漏防护功能5.数字版权保护：通过数字水印、或加密防拷贝技术对明确的重要文件实施保护6.数据加密针对必要的关键性的数据的加密保护

管理技术维护与服务配套制度与流程的制定与完善：逐步形成企业数据分类、分级规范及相应安全防护策略数据泄密响应处理流程及汇报制度维护作业计划：数据防泄漏监控与泄漏事件响应作业计划密钥管理与维护作业计划网页安全访问统计分析2.服务支持：数据防泄漏监控策略调整与优化网页信誉评级知识库垃圾邮件库

Symantec安全解决方案[1]安全治理规划要点安全事件监控与审计平台：日志、事件的集中收集、存储和综合分析安全风险的告警、展现、审计依据企业的审计规范与策略，形成安全审计报告，为合规平台提供支持2.合规管理平台：依据管理规范和要求的检查项设置，并进行安全配置的收集，依据技术和管理类安全基线的要求，以及安全审计的结果，进行合规评估，提供合规检查报告3.IT资产生命周期管理平台：实现资产管理、远程管理、软件分发等维护管理功能实现从从”采购”→”安装设置”→”运营”→”淘汰”四个环节中各阶段的流程管理

管理技术维护与服务制定和完善与合规管理配套的制度与流程：技术类安全基线规范的完善合规检查工作管理要求管理类安全基线规范制定统一的安全审计策略规范2.制定和完善与IT资产标准化服务管理配套的制度与流程：资产生命周期管理流程（结合技术平台的梳理和调整）3.制定和完善与安全监控配套的制度与流程，乃至相关组织：在现有监控体系中，增加安全事件监控岗位，并给予相应的职责和考核建立ICBC安全事件分级分类规范安全事件的响应与报告管理规范1.三大平台的相关维护作业计划：安全维护计划安全监控作业IT资产管理流程相关作业计划2.平台所需的服务支持：全球化的威胁信息库支持丰富的关联分析性和事件处理知识库覆盖广泛的安全事件标准化库持续的事件优化与安全治理推进服务

Symantec安全解决方案[1]

解决方案概览Symantec安全解决方案[1]

终端安全标准化Symantec安全解决方案[1]单独的防病毒产品已经无法应对当前威胁2008年每日新增病毒种类超过4500种，没有任何一家防病毒产品可以做到100%防护2008年上半年CNCERT发现大陆地区302526个IP地址的主机被植入木马2008年上半年CNCERT发现境内外约有2百多万个IP地址的主机被植入僵尸程序。Symantec安全解决方案[1]终端的安全问题是企业安全体系中薄弱环节终端可能导致的安全问题利用终端为跳板攻击内部网络90%的恶意软件都有木马、后门的特性偷取机密信息70%的恶意软件都有偷取信息的行为导致网络瘫痪arp欺骗，系统漏洞攻击结论终端问题是整个企业安全建设

的短板Symantec安全解决方案[1]如何解决终端安全管理面临的问题Symantec安全解决方案[1]“自由”与“安全”的平衡安全性与可管理性用户自由度类型1－严格受控终端白名单技术：用户没有权限安装任何程序（包括病毒）；管理员统一分发软件类型2－一般受控终端白名单技术：用户不能任意下载安装程序（包括病毒），只能安装管理员验证后的程序。管理员可以统一分发软件类型3－自主保护终端黑名单技术：用户可以安装软件，依赖防病毒软件阻止恶意软件。管理员可以统一分发软件，可以监控终端进程并指定黑名单阻断特定进程Symantec安全解决方案[1]Apps(common)OS(common)Information&Personality(unique)终端管理复杂性的根本原因今天,OS,应用和用户信息混杂在一起用户设置保存在应用文件、注册表中由于用户的交互活动，端点配置与标准化的设定偏差越来越远将OS，应用，设置和用户数据分离用户的体验不变针对所有人使用单个操作系统镜像干净的，快速地应用分发严格限制用户安装任何应用程序快速地系统和应用恢复Symantec安全解决方案[1]标准化的终端安全管理终端防御体系操作系统应用程序用户数据Symantec安全解决方案[1]完全隔离的虚拟层OperatingSystemFilterDriverApplicationAApplicationBApplicationCApplicationDApplicationE优点:增强稳定性和可靠性.允许用户虚拟化更多的应用!虚拟化环境Symantec安全解决方案[1]软件虚拟化如何工作ApplicationLayerRead-onlysub-layerRead-writesub-layerOperatingSystemSVSFilterDriverresetExcludesNetworkDrivesDataLayersSymantec安全解决方案[1]234网络和主机入侵防护:阻断RPC缓冲区溢出漏洞阻断利用Web浏览器漏洞的攻击（间谍软件最常用的安装方式）3防火墙阻断进入的对开放端口的攻击阻断病毒向外扩散的途径阻断非法的对外通信–间谍软件数据泄漏和连接控制站点的企图6实时防护和阻断(SAV)自动识别并清除蠕虫病毒自动防护已知恶意软件（特别是间谍软件）的安装如果恶意软件已经安装，在其运行时检测并阻断5抑制未知的恶意软件(主动防御技术)启发式病毒扫描根据恶意软件的行为特征发现和抑制其操作邮件蠕虫拦截间谍软件键盘记录、屏幕拦截、数据泄漏行为打分7系统加固，强身健体关键补丁强口令关闭危险服务和默认共享匿名访问限制1SNAC网络准入控制，御毒于网络之外2外设控制防止病毒从U盘引入，防止非法外联8当紧急意外事故发生后…应急响应专杀工具分发，自动修复1、主动的、层次化的终端安全Symantec安全解决方案[1]实施Symantec终端安全管理解决方案:

可以量化安全性和可管理性目标类别实施前实施后技术手段提升终端安全水平生产类终端安全事件N次病毒事件/每年0次病毒事件/每年应用程序白名单办公终端（一般控制）N次病毒事件/每年0次病毒事件/每年应用程序白名单办公终端（不控制）N次病毒事件/每年病毒事件减少（基于实际情况）防病毒软件等防护技术注：病毒事件统计应当包括已报告病毒事件和隐匿的未知事件。对于未知事件，由于管理员和用户不可知，对于企业安全的威胁更大简化终端管理工作部署新的应用程序平均N分钟/每台（未考虑地理位置，人员协调等因素）同时部署所有终端软件虚拟化与软件管理应用程序故障修复平均1小时/每台（未考虑地理位置因素）

平均N小时/每台（考虑地理位置因素）平均1分钟/每台软件虚拟化安装配置新计算机2小时/每台平均30分钟/每100台异构环境系统部署重新安装配置计算机（不用保留用户应用设置和数据）平均2小时/每台平均30分钟/每台异构环境系统部署重新安装配置计算机（保留用户应用设置和数据）考虑保留用户应用设置和数据：平均4-8小时/每台平均30分钟/每台（恢复到前一天完整状态）一键式备份恢复凭据1小时/每台（恢复基本应用设置和数据）系统部署和应用迁移补丁管理WSUS：无法统计当前企业补丁安装情况有报告终端漏洞情况和补丁安装情况补丁管理其他系统故障－非网络故障平均1小时/每台（未考虑地理位置因素）

平均N小时/每台（考虑地理位置因素）平均1小时/每台远程控制模块Symantec安全解决方案[1]

服务器安全体系Symantec安全解决方案[1]服务器挑战—多种平台、多种威胁ExternalThreatsFileServerWebServerMailServerUser/Admin账号攻击Application漏洞后门攻击系统漏洞授权用户漏洞审计篡改配置更改用户权限扩大DatabaseServerLegacyServerPrintServerApplicationServerInternalThreatsPointOfSales

TerminalsSymantec安全解决方案[1]漏洞:

系统生产漏洞补丁的时间Jan-Jun2007Jul-Dec2006Ave.Time-to-PatchindaysSymantec安全解决方案[1]包过滤设备（网络IPS）震荡波冲击波Welchia对于没有发布漏洞的未知威胁已发布漏洞的未知威胁被威胁感染感染网络防护技术不足以抵御攻击恶意的内部攻击者标准的安全解决方案可以保护已知的攻击和保护已知的漏洞，但是会放过：新威胁新漏洞内部攻击者NetworkFirewall企业边界数据中心边界Symantec安全解决方案[1]在每个定义了行为规范的程序、守护进程/服务外围创建一个“shell”

HowitWorksFilesRegistryNetworkDevicesRead/Write

数据文件ReadOnly

配置信息选择的端口和设备的用法攻击阻断(HIPS)层…EmailClientOfficeBrowserMailWeb…crondRPCLPDPrinter核心系统守护进程应用守护进程交互式程序正常的资源访问主机程序…Symantec安全解决方案[1]企业服务器基础架构保护场景举例FileServer企业网络EmailServersWebServerDatabaseServer故意的错误配置或者留下后门有怨言的员工/内部攻击者有目的黑客攻击漏洞、工具黑客外部攻击者钓鱼者ApplicationServer普通员工系统管理员松散的权限配置错误的配置拷贝被感染的文件、数据Internet零日攻击蠕虫钓鱼Symantec安全解决方案[1]事件检测(IDS)层如何工作…EmailClientOfficeIEBrowserWebMail…crondRPCLPDPrinter系统核心进程应用守护进程交互式程序文件创建/修改/删除文件设置创建/修改/删除设置SystemOperations主机系统系统，应用&安全日志系统和文本日志记录

采集器收集日志和规则集进行对比(customorlibrary)匹配规则，采取动作记录本次事件发出告警到控制台…Symantec安全解决方案[1]

企业安全策略遵从Symantec安全解决方案[1]安全自评估–技术弱点评估第一阶段：漏洞扫描分析第二阶段：人工评估·安全配置检查

系统管理和维护的正常配置，合理配置，及优化配置。

例如系统目录权限，帐号管理策略，文件系统配置，进程通信管理等。

·安全机制检查

安全机制的使用和正常配置，合理配置，及优化配置。

例如日志及审计、备份与恢复，签名与校验，加密与通信，特殊授权及

访问控制等。Symantec安全解决方案[1]定义风险检查策略治理Symantec公司

IT策略遵从的工作流程检查策略遵从情况报告与分析终端服务器应用数据人员SOX等级保护COSOCOBITISO17799ITILCC。。。InternalpoliciesCISNISTNSA。。。法规框架标准定义组织策略检查üüüüüü度量记录报告IT控制策略Symantec安全解决方案[1]根据企业定制的合规性自动检查Symantec安全解决方案[1]Symantec安全解决方案[1]规则映射举例Symantec安全解决方案[1]保护客户信息（MISC/WAP/彩铃/彩信）Symantec安全解决方案[1]现实世界中的机密数据流失状况39每400封邮件中就有1封包含机密信息每50份通过网络传输的文件中就有1份包含机密数据50％的USB盘中包含机密信息80％的公司在丢失笔记本电脑后会发生泄密事件在美国平均每次数据泄密事件导致的财务损失高达630万美金(PonemonInstitute,2007)数据泄漏导致客户流失的比例正在以每年11%的速率上升SOX,HIPPA,PCI以及中国的企业内控基本规范都要求企业保护机密信息信息保护正日益成为安全管理和风险控制的核心内容Symantec安全解决方案[1]可用性机密性完整性数据备份、归档……防病毒、防火墙入侵检测、加密身份认证……容灾、防病毒、防火墙……从定义看信息系统安全数据40Symantec安全解决方案[1]以控制为核心的安全保护方法以业务系统(System-centric)而非敏感数据(Data-centric)为保护对象鉴权(Authentication)、授权(Authority)、审计(Account)、访问控制(AccessControl)为主要的保护手段以信息载体（数据库或者文件）而非信息内容为保护对象数字权限保护，即什么样的人可以访问什么样的信息加密USB或者整个硬盘或者文件Symantec安全解决方案[1]4242如何保护我们的机密数据？How我是如何防止数据丢失的？How机密数据是怎样被使用的？Where机密数据存放在那里？Symantec安全解决方案[1]管理管理发现识别扫描目标运行扫描以发现网络及端点上的敏感数据data启用或自定义策略模板补救并报告风险降低监控保护检查发送的数据监控网络与端点事件禁止、删除或加密隔离或复制文件通知员工及其经理工作原理Symantec安全解决方案[1]18SymantecDLP架构安全的企业LANDMZENFORCE

PLATFORM中断连接STORAGENETWORK

PROTECTDISCOVERENDPOINTENDPOINT

PREVENTDISCOVERNETWORKNETWORK

PREVENTMONITORSPAN端口或接点MANAGEMENT

PLATFORMMTA或代理Symantec安全解决方案[1]“Vontu如何杜绝愚蠢”45几种泄密场景举例邮件发送开放共享USB拷贝Symantec安全解决方案[1]VontuMonitor/PreventProcessEncryptionGatewayEmailServerVontuEnforceVontuPreventInternetMTAIncidenteMaileMailNotificationSymantec安全解决方案[1]Symantec安全解决方案[1]Symantec安全解决方案[1]VontuDiscoverProcessSCANVontuEnforceVontuDiscover/ProtectQuarantineServerFileServerPointerProcessExtractedContentIncidentSymantec安全解决方案[1]Symantec安全解决方案[1]Symantec安全解决方案[1]VontuEndpointPreventProcessVontuEnforceVontuEndpointVontuEndpointPreventIncidentNotificationSymantec安全解决方案[1]Symantec安全解决方案[1]Symantec安全解决方案[1]Symantec安全解决方案[1]安全网关（禁断BOT/净化流量）Symantec安全解决方案[1]SWG硬件型号SWG-8450SWG-8490建议网络带宽环境100Mbps1Gbps设备高度1u2uInline网口组12专用管理接口YesYes冗余电源NoYesSymantec安全解决方案[1]SWG