symantec安全解決方案

1、Symantec安全處理方案第1頁2Agenda安全體系建設(shè)1處理方案概覽2討論3第2頁信息安全風(fēng)險(xiǎn)發(fā)展趨勢業(yè)務(wù)功效越來越多，對(duì)外接口也越來越多，對(duì)信息安全管理和技術(shù)控制辦法提出更高要求。12業(yè)務(wù)開放化終端多樣化驅(qū)動(dòng)利益化攻擊成熟化35企業(yè)內(nèi)部員工、第三方人員等，利用其了解信息和掌握權(quán)限謀取非法收入；利用技術(shù)伎倆獲取非法收益地下產(chǎn)業(yè)鏈正在不停擴(kuò)大；應(yīng)用軟件多樣化使得對(duì)應(yīng)漏洞數(shù)量也展現(xiàn)出超出了操作系統(tǒng)趨勢應(yīng)用補(bǔ)丁速度卻遠(yuǎn)不及操作系統(tǒng)補(bǔ)丁.應(yīng)用補(bǔ)丁受重視程度低，但應(yīng)用漏洞逐步展現(xiàn)被廣泛利用趨勢，并大量經(jīng)過客戶端感染木馬等方式，影響服務(wù)器端。大量自動(dòng)化、集成度高攻擊工具，可經(jīng)過互聯(lián)網(wǎng)下載，攻擊成本逐

2、年降低； 攻擊方法愈加隱蔽，使得發(fā)覺和追蹤更為困難。傳統(tǒng)計(jì)算機(jī)領(lǐng)域安全問題逐步擴(kuò)展到各種多樣固定或者移動(dòng)終端領(lǐng)域。尤其是終端互聯(lián)網(wǎng)訪問中無意識(shí)信息泄漏和遭受惡意代碼攻擊等，給金融業(yè)務(wù)帶來安全隱患。4漏洞應(yīng)用化第3頁安全建設(shè)關(guān)注點(diǎn)改變趨勢傳統(tǒng)基于網(wǎng)絡(luò)防護(hù)雖依然是基礎(chǔ)，但關(guān)注點(diǎn)逐步轉(zhuǎn)向?qū)τ跀?shù)據(jù)內(nèi)容、應(yīng)用本身、用戶身份和行為安全管理日益增加IT資產(chǎn)數(shù)量，不論硬件設(shè)施還是各類軟件，高效安全管理已成為大型企業(yè)關(guān)注話題企業(yè)多年來安全投資，是否產(chǎn)生了價(jià)值？這使企業(yè)開始考慮怎樣正確了解和評(píng)價(jià)企業(yè)安全風(fēng)險(xiǎn)，以及衡量安全工作成效標(biāo)準(zhǔn)，并愈加關(guān)注安全監(jiān)控和綜合性分析價(jià)值威脅不停發(fā)展改變，使企業(yè)認(rèn)識(shí)到安全投入長久性，

3、同時(shí)也更愿意取得在節(jié)約投資、加強(qiáng)主動(dòng)性防御安全建設(shè)方面借鑒。以技術(shù)平臺(tái)支撐合規(guī)管理工作正在越來越受到重視安全威脅破壞性越來越大，同時(shí)業(yè)務(wù)發(fā)展對(duì)系統(tǒng)和數(shù)據(jù)高可靠性要求不停提升，企業(yè)需要依據(jù)不停發(fā)展改變安全威脅，在系統(tǒng)和數(shù)據(jù)可用性方面不停優(yōu)化和改進(jìn)。第4頁5規(guī)劃出發(fā)點(diǎn)信息為關(guān)鍵世界5基礎(chǔ)架構(gòu)信息IT治理業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)管控法規(guī)遵從 其它IT技術(shù)與管理網(wǎng)絡(luò)管理安全管理系統(tǒng)管理分類分級(jí)內(nèi)容安全歸檔保留審計(jì)取證企業(yè)業(yè)務(wù)云終端數(shù)據(jù)中心網(wǎng)絡(luò)服務(wù)器存放高效管理綠色管理泄密防范企業(yè)IT管理者： “我們面正確是一個(gè)以信息為關(guān)鍵世界”存放管理第5頁規(guī)劃標(biāo)準(zhǔn)整體規(guī)劃應(yīng)對(duì)改變安全建設(shè)規(guī)劃要有相對(duì)完整和全方面框架，能應(yīng)對(duì)當(dāng)

4、前安全威脅改變趨勢立足現(xiàn)有提升能力現(xiàn)有安全建設(shè)基礎(chǔ)上，完善IT基礎(chǔ)架構(gòu)安全建設(shè)，經(jīng)過優(yōu)化和調(diào)整挖掘潛力，提升整體安全保障能力著眼信息重點(diǎn)防范以安全治理為工作目標(biāo)，以防范有意、無意數(shù)據(jù)泄漏為近期工作重點(diǎn)第6頁總體規(guī)劃目標(biāo)安全治理為方針企業(yè)最終保障是企業(yè)業(yè)務(wù)，而業(yè)務(wù)關(guān)鍵內(nèi)容之一就是圍繞業(yè)務(wù)各類數(shù)據(jù)和信息；信息安全為關(guān)鍵不可管理本身就是不安全一個(gè)隱患支撐IT系統(tǒng)基礎(chǔ)設(shè)施和架構(gòu)要以“可量化管理、可流程化管理”為目標(biāo)，全方面提升其安全支撐和保障能力可管理IT基礎(chǔ)架構(gòu)為基礎(chǔ)安全工作目標(biāo)是對(duì)信息安全環(huán)境不停治理和改進(jìn)。安全治理為方針第7頁81. 安全治理層（Policy-driven）包含：安全監(jiān)控、合規(guī)管

5、理、審計(jì)管理、IT資產(chǎn)服務(wù)管理等內(nèi)容安全治理是安全工作長久、連續(xù)性工作目標(biāo)安全治理伎倆依賴于平臺(tái)化技術(shù)支撐基礎(chǔ)架構(gòu)安全 (Managed-Infrastructure)IT系統(tǒng)中傳遞和承載信息各類硬、軟件設(shè)備及系統(tǒng)安全建設(shè)涵蓋了基礎(chǔ)架構(gòu)各方面專業(yè)性、結(jié)構(gòu)性和可管理性安全方面各種內(nèi)容，是安全建設(shè)關(guān)鍵和基礎(chǔ)信息安全 (Information-centric)包含：數(shù)據(jù)安全、內(nèi)容安全、IT基礎(chǔ)設(shè)施所承載全部數(shù)據(jù)及內(nèi)容，是安全工作目標(biāo)關(guān)鍵，安全工作重點(diǎn)開放平臺(tái)安全工作框架第8頁XX客戶安全治理進(jìn)度終端安全防護(hù)數(shù)據(jù)防泄漏安全基礎(chǔ)架構(gòu)安全工作IT資產(chǎn)管理終端標(biāo)準(zhǔn)化管理安全治理工作IT資產(chǎn)管理其它器標(biāo)準(zhǔn)化敏

6、感數(shù)據(jù)加密保護(hù)集中安全監(jiān)控和審計(jì)平臺(tái)建立安全配置合規(guī)管理安全策略合規(guī)管理IT資產(chǎn)服務(wù)流程管理信息安全工作網(wǎng)絡(luò)準(zhǔn)入控制網(wǎng)頁訪問安全管理統(tǒng)一身份管理（維護(hù)帳號(hào)）裸機(jī)恢復(fù)系統(tǒng)和數(shù)據(jù)加固統(tǒng)一身份管理（業(yè)務(wù)帳號(hào)）第9頁基礎(chǔ)架構(gòu)安全規(guī)劃關(guān)鍵點(diǎn)1. 終端安全防護(hù)軟件： 主機(jī)防火墻、防入侵、應(yīng)用程序與外設(shè)監(jiān)控等2.網(wǎng)絡(luò)準(zhǔn)入控制： 強(qiáng)制端點(diǎn)安全策略、受控與非受控端點(diǎn)控制、訪客終端控制3.服務(wù)器安全： 安全配置基線檢驗(yàn)、關(guān)鍵服務(wù)器入侵防護(hù)4.網(wǎng)絡(luò)安全： 安全域優(yōu)化與局部調(diào)整、邊界訪問控制、網(wǎng)絡(luò)入侵防御等5.資產(chǎn)標(biāo)準(zhǔn)化管理： 補(bǔ)丁自動(dòng)化管理、問題管理、狀態(tài)追蹤等6.統(tǒng)一身份管理： 重點(diǎn)對(duì)維護(hù)帳號(hào)和口令實(shí)施實(shí)名制統(tǒng)一

7、認(rèn)證、授權(quán)、單點(diǎn)登錄等管理7.架構(gòu)冗余和數(shù)據(jù)冗余： 依據(jù)RTO/RPO改變，對(duì)架構(gòu)和數(shù)據(jù)冗余作對(duì)應(yīng)調(diào)整 管理技術(shù)維護(hù)與服務(wù)分基礎(chǔ)設(shè)施類型配套制度與流程制訂與完善：終端（服務(wù)器）安全防護(hù)策略規(guī)范 互聯(lián)網(wǎng)接入及安全防護(hù)規(guī)范終端（服務(wù)器）安全日常維護(hù)規(guī)范安全設(shè)備（系統(tǒng)）日常維護(hù)規(guī)范內(nèi)網(wǎng)網(wǎng)絡(luò)準(zhǔn)入控制規(guī)范資產(chǎn)標(biāo)準(zhǔn)化安全配置基線及管理規(guī)范業(yè)務(wù)連續(xù)性計(jì)劃（RTO/RPO調(diào)整）分基礎(chǔ)設(shè)施類型配套基本維護(hù)作業(yè)計(jì)劃： 防病毒日常安全維護(hù)計(jì)劃終端日常安全維護(hù)作業(yè)計(jì)劃（服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備）IT系統(tǒng)級(jí)測試、演練、運(yùn)維作業(yè)計(jì)劃調(diào)整2.服務(wù)支持：各類特征庫升級(jí)服務(wù)支持安全配置策略調(diào)整與優(yōu)化服務(wù)響應(yīng)級(jí)別及支持內(nèi)容調(diào)整

8、 第10頁信息安全規(guī)劃關(guān)鍵點(diǎn)數(shù)據(jù)歸檔與審計(jì)：Email及文件歸檔與快速搜尋文檔信息審計(jì)與取證2.郵件安全網(wǎng)關(guān)垃圾郵件與即時(shí)消息安全防范郵件病毒防范3.網(wǎng)頁訪問安全網(wǎng)關(guān)：防網(wǎng)頁掛馬、病毒過濾、應(yīng)用管控、網(wǎng)頁過濾、僵尸網(wǎng)絡(luò)行為分析4. 數(shù)據(jù)防泄漏： 網(wǎng)絡(luò)、存放、終端層面數(shù)據(jù)內(nèi)容監(jiān)控，實(shí)現(xiàn)數(shù)據(jù)泄漏防護(hù)功效5.數(shù)字版權(quán)保護(hù)： 經(jīng)過數(shù)字水印、或加密防拷貝技術(shù)對(duì)明確主要文件實(shí)施保護(hù)6. 數(shù)據(jù)加密 針對(duì)必要關(guān)鍵性數(shù)據(jù)加密保護(hù) 管理技術(shù)維護(hù)與服務(wù)配套制度與流程制訂與完善：逐步形成企業(yè)數(shù)據(jù)分類、分級(jí)規(guī)范及對(duì)應(yīng)安全防護(hù)策略數(shù)據(jù)泄密響應(yīng)處理流程及匯報(bào)制度維護(hù)作業(yè)計(jì)劃：數(shù)據(jù)防泄漏監(jiān)控與泄漏事件響應(yīng)作業(yè)計(jì)劃密鑰管理與維

9、護(hù)作業(yè)計(jì)劃網(wǎng)頁安全訪問統(tǒng)計(jì)分析2.服務(wù)支持：數(shù)據(jù)防泄漏監(jiān)控策略調(diào)整與優(yōu)化網(wǎng)頁信譽(yù)評(píng)級(jí)知識(shí)庫垃圾郵件庫 第11頁安全治理規(guī)劃關(guān)鍵點(diǎn)安全事件監(jiān)控與審計(jì)平臺(tái)：日志、事件集中搜集、存放和綜合分析安全風(fēng)險(xiǎn)告警、展現(xiàn)、審計(jì) 依據(jù)企業(yè)審計(jì)規(guī)范與策略，形成安全審計(jì)匯報(bào)，為合規(guī)平臺(tái)提供支持2.合規(guī)管理平臺(tái)：依據(jù)管理規(guī)范和要求檢驗(yàn)項(xiàng)設(shè)置，并進(jìn)行安全配置搜集，依據(jù)技術(shù)和管理類安全基線要求，以及安全審計(jì)結(jié)果，進(jìn)行合規(guī)評(píng)定，提供合規(guī)檢驗(yàn)匯報(bào)3.IT資產(chǎn)生命周期管理平臺(tái)：實(shí)現(xiàn)資產(chǎn)管理、遠(yuǎn)程管理、軟件分發(fā)等維護(hù)管理功效實(shí)現(xiàn)從從”采購”安裝設(shè)置” ”運(yùn)行”淘汰”四個(gè)步驟中各階段流程管理 管理技術(shù)維護(hù)與服務(wù)制訂和完善與合規(guī)管理

10、配套制度與流程：技術(shù)類安全基線規(guī)范完善合規(guī)檢驗(yàn)工作管理要求管理類安全基線規(guī)范制訂統(tǒng)一安全審計(jì)策略規(guī)范2. 制訂和完善與IT資產(chǎn)標(biāo)準(zhǔn)化服務(wù)管理配套制度與流程：資產(chǎn)生命周期管理流程（結(jié)合技術(shù)平臺(tái)梳理和調(diào)整）3. 制訂和完善與安全監(jiān)控配套制度與流程，乃至相關(guān)組織：在現(xiàn)有監(jiān)控體系中，增加安全事件監(jiān)控崗位，并給予對(duì)應(yīng)職責(zé)和考評(píng)建立ICBC安全事件分級(jí)分類規(guī)范安全事件響應(yīng)與匯報(bào)管理規(guī)范1.三大平臺(tái)相關(guān)維護(hù)作業(yè)計(jì)劃： 安全維護(hù)計(jì)劃安全監(jiān)控作業(yè)IT資產(chǎn)管理流程相關(guān)作業(yè)計(jì)劃2.平臺(tái)所需服務(wù)支持：全球化威脅信息庫支持豐富關(guān)聯(lián)分析性和事件處理知識(shí)庫覆蓋廣泛安全事件標(biāo)準(zhǔn)化庫連續(xù)事件優(yōu)化與安全治理推進(jìn)服務(wù) 第12頁處理

11、方案概覽第13頁終端安全標(biāo)準(zhǔn)化第14頁單獨(dú)防病毒產(chǎn)品已經(jīng)無法應(yīng)對(duì)當(dāng)前威脅每日新增病毒種類超出4500種，沒有任何一家防病毒產(chǎn)品能夠做到100%防護(hù)上六個(gè)月CNCERT發(fā)覺大陸地域302526個(gè)IP地址主機(jī)被植入木馬上六個(gè)月CNCERT發(fā)覺境內(nèi)外約有2百多萬個(gè)IP 地址主機(jī)被植入僵尸程序。第15頁終端安全問題是企業(yè)安全體系中微弱步驟終端可能造成安全問題利用終端為跳板攻擊內(nèi)部網(wǎng)絡(luò)90%惡意軟件都有木馬、后門特征偷取機(jī)密信息70%惡意軟件都有偷取信息行為造成網(wǎng)絡(luò)癱瘓arp坑騙，系統(tǒng)漏洞攻擊結(jié)論終端問題是整個(gè)企業(yè)安全建設(shè)短板第16頁怎樣處理終端安全管理面臨問題17Presentation Identi

12、fier Goes Here第17頁“自由”與“安全”平衡安全性與可管理性用戶自由度類型1嚴(yán)格受控終端白名單技術(shù)：用戶沒有權(quán)限安裝任何程序（包含病毒）；管理員統(tǒng)一分發(fā)軟件類型2普通受控終端白名單技術(shù)：用戶不能任意下載安裝程序（包含病毒），只能安裝管理員驗(yàn)證后程序。管理員能夠統(tǒng)一分發(fā)軟件類型3自主保護(hù)終端黑名單技術(shù)：用戶能夠安裝軟件，依賴防病毒軟件阻止惡意軟件。管理員能夠統(tǒng)一分發(fā)軟件，能夠監(jiān)控終端進(jìn)程并指定黑名單阻斷特定進(jìn)程18Presentation Identifier Goes Here第18頁Apps(common)OS(common)Information &Personality(u

13、nique)終端管理復(fù)雜性根本原因今天, OS, 應(yīng)用和用戶信息混雜在一起用戶設(shè)置保留在應(yīng)用文件、注冊(cè)表中因?yàn)橛脩艚换セ顒?dòng)，端點(diǎn)配置與標(biāo)準(zhǔn)化設(shè)定偏差越來越遠(yuǎn)將OS，應(yīng)用，設(shè)置和用戶數(shù)據(jù)分離用戶體驗(yàn)不變針對(duì)全部些人使用單個(gè)操作系統(tǒng)鏡像潔凈，快速地應(yīng)用分發(fā)嚴(yán)格限制用戶安裝任何應(yīng)用程序快速地系統(tǒng)和應(yīng)用恢復(fù)第19頁標(biāo)準(zhǔn)化終端安全管理終端防御體系操作系統(tǒng)應(yīng)用程序用戶數(shù)據(jù)20Presentation Identifier Goes Here第20頁完全隔離虛擬層Operating SystemFilter DriverApplication AApplication BApplication CAppli

14、cation DApplication E優(yōu)點(diǎn): 增強(qiáng)穩(wěn)定性和可靠性.允許用戶虛擬化更多應(yīng)用!虛擬化環(huán)境Symantec Confidential第21頁軟件虛擬化怎樣工作Application LayerRead-only sub-layerRead-write sub-layerOperating SystemSVS Filter DriverresetExcludesNetwork DrivesData Layers第22頁234網(wǎng)絡(luò)和主機(jī) 入侵防護(hù): 阻斷RPC緩沖區(qū)溢出漏洞 阻斷利用Web瀏覽器漏洞攻擊（間諜軟件最慣用安裝方式）3 防火墻 阻斷進(jìn)入對(duì)開放端口攻擊 阻斷病毒向外擴(kuò)散路徑

15、 阻斷非法對(duì)外通信 間諜軟件數(shù)據(jù)泄漏和連接控制站點(diǎn)企圖6 實(shí)時(shí)防護(hù)和阻斷 (SAV)自動(dòng)識(shí)別并去除蠕蟲病毒自動(dòng)防護(hù)已知惡意軟件（尤其是間諜軟件）安裝 假如惡意軟件已經(jīng)安裝，在其運(yùn)行時(shí)檢測并阻斷5 抑制未知惡意軟件 (主動(dòng)防御技術(shù)) 啟發(fā)式病毒掃描依據(jù)惡意軟件行為特征發(fā)覺和抑制其操作 郵件蠕蟲攔截 間諜軟件鍵盤統(tǒng)計(jì)、屏幕攔截、數(shù)據(jù)泄漏行為打分7 系統(tǒng)加固，強(qiáng)身健體 關(guān)鍵補(bǔ)丁 強(qiáng)口令 關(guān)閉危險(xiǎn)服務(wù)和默認(rèn)共享 匿名訪問限制1 SNAC網(wǎng)絡(luò)準(zhǔn)入控制，御毒于網(wǎng)絡(luò)之外2 外設(shè)控制預(yù)防病毒從U盤引入，預(yù)防非法外聯(lián)8 當(dāng)緊急意外事故發(fā)生后 應(yīng)急響應(yīng) 專殺工具分發(fā)，自動(dòng)修復(fù)1、主動(dòng)、層次化終端安全第23頁實(shí)施S

16、ymantec終端安全管了解決方案:可以量化安全性和可管理性目標(biāo)類別實(shí)施前實(shí)施后技術(shù)伎倆提升終端安全水平生產(chǎn)類終端安全事件N次病毒事件/每年0次病毒事件/每年應(yīng)用程序白名單辦公終端（普通控制）N次病毒事件/每年0次病毒事件/每年應(yīng)用程序白名單辦公終端（不控制）N次病毒事件/每年病毒事件降低（基于實(shí)際情況）防病毒軟件等防護(hù)技術(shù)注：病毒事件統(tǒng)計(jì)應(yīng)該包含已匯報(bào)病毒事件和隱匿未知事件。對(duì)于未知事件，因?yàn)楣芾韱T和用戶不可知，對(duì)于企業(yè)安全威脅更大簡化終端管理工作布署新應(yīng)用程序平均N分鐘/每臺(tái)（未考慮地理位置，人員協(xié)調(diào)等原因）同時(shí)布署全部終端軟件虛擬化與軟件管理應(yīng)用程序故障修復(fù)平均1小時(shí)/每臺(tái)（未考慮地理位

17、置原因）平均N小時(shí)/每臺(tái)（考慮地理位置原因）平均1分鐘/每臺(tái)軟件虛擬化安裝配置新計(jì)算機(jī)2小時(shí)/每臺(tái)平均30分鐘/每100臺(tái)異構(gòu)環(huán)境系統(tǒng)布署重新安裝配置計(jì)算機(jī)（不用保留用戶應(yīng)用設(shè)置和數(shù)據(jù)）平均2小時(shí)/每臺(tái)平均30分鐘/每臺(tái)異構(gòu)環(huán)境系統(tǒng)布署重新安裝配置計(jì)算機(jī)（保留用戶應(yīng)用設(shè)置和數(shù)據(jù)）考慮保留用戶應(yīng)用設(shè)置和數(shù)據(jù)：平均4-8小時(shí)/每臺(tái)平均30分鐘/每臺(tái)（恢復(fù)到前一天完整狀態(tài)）一鍵式備份恢復(fù)憑據(jù)1小時(shí)/每臺(tái)（恢復(fù)基本應(yīng)用設(shè)置和數(shù)據(jù)）系統(tǒng)布署和應(yīng)用遷移補(bǔ)丁管理WSUS：無法統(tǒng)計(jì)當(dāng)前企業(yè)補(bǔ)丁安裝情況有匯報(bào)終端漏洞情況和補(bǔ)丁安裝情況補(bǔ)丁管理其它系統(tǒng)故障非網(wǎng)絡(luò)故障平均1小時(shí)/每臺(tái)（未考慮地理位置原因）平均N小時(shí)

18、/每臺(tái)（考慮地理位置原因）平均1小時(shí)/每臺(tái)遠(yuǎn)程控制模塊第24頁服務(wù)器安全體系第25頁服務(wù)器挑戰(zhàn) 各種平臺(tái)、各種威脅External ThreatsFileServerWebServerMail ServerUser / Admin 賬號(hào)攻擊Application 漏洞后門攻擊系統(tǒng)漏洞授權(quán)用戶漏洞審計(jì)篡改配置更改用戶權(quán)限擴(kuò)大Database ServerLegacy ServerPrint ServerApplicationServerInternal ThreatsPoint OfSales Terminals26SCSP Product Overview第26頁漏洞:系統(tǒng)生產(chǎn)漏洞補(bǔ)丁時(shí)間Ja

19、n-Jun Jul-Dec Ave. Time-to-Patch in days27SCSP Product Overview第27頁包過濾設(shè)備（網(wǎng)絡(luò)IPS）震蕩波沖擊波Welchia對(duì)于沒有公布漏洞未知威脅已公布漏洞未知威脅被威脅感染感染網(wǎng)絡(luò)防護(hù)技術(shù)不足以抵抗攻擊惡意內(nèi)部攻擊者標(biāo)準(zhǔn)安全處理方案能夠保護(hù)已知攻擊和保護(hù)已知漏洞，不過會(huì)放過：新威脅新漏洞內(nèi)部攻擊者Network Firewall企業(yè)邊界數(shù)據(jù)中心邊界28SCSP Product Overview第28頁在每個(gè)定義了行為規(guī)范程序、守護(hù)進(jìn)程/服務(wù)外圍創(chuàng)建一個(gè)“shell” How it WorksFilesRegistryNetwork

20、DevicesRead/Write 數(shù)據(jù)文件Read Only配置信息選擇端口和設(shè)備使用方法攻擊阻斷 (HIPS) 層Email ClientOfficeBrowserMailWebcrondRPC LPD Printer關(guān)鍵系統(tǒng)守護(hù)進(jìn)程應(yīng)用守護(hù)進(jìn)程交互式程序正常資源訪問主機(jī)程序29SCSP Product Overview第29頁企業(yè)服務(wù)器基礎(chǔ)架構(gòu)保護(hù)場景舉例File Server企業(yè)網(wǎng)絡(luò)Email ServersWeb ServerDatabase Server有意錯(cuò)誤配置或者留下后門有怨言員工/內(nèi)部攻擊者有目黑客攻擊漏洞、工具黑客外部攻擊者釣魚者ApplicationServer普通員工

21、系統(tǒng)管理員渙散權(quán)限配置錯(cuò)誤配置拷貝被感染文件、數(shù)據(jù)Internet零日攻擊蠕蟲釣魚30SCSP Product Overview第30頁事件檢測(IDS) 層怎樣工作Email ClientOfficeIE BrowserWebMailcrondRPCLPD Printer系統(tǒng)關(guān)鍵進(jìn)程應(yīng)用守護(hù)進(jìn)程交互式程序文件創(chuàng)建/修改/刪除文件設(shè)置創(chuàng)建/修改/刪除設(shè)置System Operations主機(jī)系統(tǒng)系統(tǒng)，應(yīng)用& 安全日志系統(tǒng)和文本日志統(tǒng)計(jì) 采集器搜集日志和規(guī)則集進(jìn)行對(duì)比(customor library)匹配規(guī)則，采取動(dòng)作統(tǒng)計(jì)此次事件發(fā)出告警到控制臺(tái)31SCSP Product Overview第

22、31頁企業(yè)安全策略遵從第32頁安全自評(píng)定 技術(shù)弱點(diǎn)評(píng)定第一階段：漏洞掃描分析第二階段：人工評(píng)定 安全配置檢驗(yàn) 系統(tǒng)管理和維護(hù)正常配置，合理配置，及優(yōu)化配置。 比如系統(tǒng)目錄權(quán)限，帳號(hào)管理策略，文件系統(tǒng)配置，進(jìn)程通信管理等。 安全機(jī)制檢驗(yàn) 安全機(jī)制使用和正常配置，合理配置，及優(yōu)化配置。 比如日志及審計(jì)、備份與恢復(fù)，署名與校驗(yàn)，加密與通信，特殊授權(quán)及 訪問控制等。33Presentation Identifier Goes Here第33頁定義風(fēng)險(xiǎn)檢驗(yàn)策略治理Symantec企業(yè)IT策略遵從工作流程 檢驗(yàn)策略遵從情況匯報(bào)與分析終端服務(wù)器應(yīng)用數(shù)據(jù)人員SOX等級(jí)保護(hù)COSOCOBITISO17799IT

23、ILCC。Internal policiesCISNISTNSA。法規(guī)框架標(biāo)準(zhǔn)定義組織策略檢驗(yàn)度量統(tǒng)計(jì)匯報(bào)IT 控制策略第34頁依據(jù)企業(yè)定制合規(guī)性自動(dòng)檢驗(yàn)35Presentation Identifier Goes Here第35頁36Presentation Identifier Goes Here第36頁規(guī)則映射舉例37Presentation Identifier Goes Here第37頁保護(hù)客戶信息（MISC/WAP/彩鈴/彩信）第38頁39現(xiàn)實(shí)世界中機(jī)密數(shù)據(jù)流失情況39每400封郵件中就有1封包含機(jī)密信息 每50份經(jīng)過網(wǎng)絡(luò)傳輸文件中就有1份包含機(jī)密數(shù)據(jù)50USB盤中包含機(jī)密信息 8

24、0企業(yè)在丟失筆記本電腦后會(huì)發(fā)生泄密事件在美國平均每次數(shù)據(jù)泄密事件造成財(cái)務(wù)損失高達(dá)630萬美金(Ponemon Institute, )數(shù)據(jù)泄漏造成客戶流失百分比正在以每年11%速率上升SOX,HIPPA,PCI以及中國企業(yè)內(nèi)控基本規(guī)范都要求企業(yè)保護(hù)機(jī)密信息信息保護(hù)正日益成為安全管理和風(fēng)險(xiǎn)控制關(guān)鍵內(nèi)容第39頁可用性機(jī)密性完整性數(shù)據(jù)備份、歸檔防病毒、防火墻入侵檢測、加密身份認(rèn)證容災(zāi)、防病毒、防火墻從定義看信息系統(tǒng)安全數(shù)據(jù)40第40頁41以控制為關(guān)鍵安全保護(hù)方法以業(yè)務(wù)系統(tǒng)(System-centric)而非敏感數(shù)據(jù)(Data-centric)為保護(hù)對(duì)象鑒權(quán)(Authentication)、授權(quán)(Au

25、thority)、審計(jì)(Account)、訪問控制(Access Control)為主要保護(hù)伎倆以信息載體（數(shù)據(jù)庫或者文件）而非信息內(nèi)容為保護(hù)對(duì)象數(shù)字權(quán)限保護(hù)，即什么樣人能夠訪問什么樣信息加密USB或者整個(gè)硬盤或者文件第41頁424242怎樣保護(hù)我們機(jī)密數(shù)據(jù)？How 我是怎樣預(yù)防數(shù)據(jù)丟失？How 機(jī)密數(shù)據(jù)是怎樣被使用？Where 機(jī)密數(shù)據(jù)存放在那里？第42頁43管理管理發(fā)覺識(shí)別掃描目標(biāo)運(yùn)行掃描以發(fā)覺網(wǎng)絡(luò)及端點(diǎn)上敏感數(shù)據(jù)data啟用或自定義策略模板補(bǔ)救并匯報(bào)風(fēng)險(xiǎn)降低監(jiān)控保護(hù)檢驗(yàn)發(fā)送數(shù)據(jù) 監(jiān)控網(wǎng)絡(luò)與端點(diǎn)事件禁止、刪除或加密隔離或復(fù)制文件通知員工及其經(jīng)理工作原理第43頁18Symantec DLP

26、架構(gòu)安全企業(yè) LANDMZENFORCE PLATFORM中止連接STORAGENETWORK PROTECTDISCOVERENDPOINTENDPOINT PREVENTDISCOVERNETWORKNETWORK PREVENTMONITORSPAN 端口或接點(diǎn)MANAGEMENTPLATFORMMTA 或代理第44頁45“Vontu怎樣杜絕愚蠢”45幾個(gè)泄密場景舉例郵件發(fā)送開放共享USB拷貝第45頁46Vontu Monitor / Prevent ProcessEncryption GatewayEmail ServerVontu EnforceVontu PreventIntern

27、etMTAIncidenteMaileMailNotification第46頁47第47頁48第48頁49Vontu Discover ProcessSCANVontu EnforceVontu Discover / ProtectQuarantine ServerFile ServerPointerProcess ExtractedContentIncident第49頁50第50頁51第51頁52Vontu Endpoint Prevent ProcessVontu EnforceVontu EndpointVontu Endpoint PreventIncidentNotification

28、第52頁53第53頁54第54頁55第55頁安全網(wǎng)關(guān)（禁斷BOT/凈化流量）第56頁57SWG硬件型號(hào)SWG-8450SWG-8490提議網(wǎng)絡(luò)帶寬環(huán)境100Mbps1Gbps設(shè)備高度1u2uInline網(wǎng)口組12專用管理接口YesYes冗余電源NoYes第57頁58SWG主要功效概覽一雙向病毒掃描針對(duì)HTTP、FTP協(xié)議和慣用IM聊天軟件病毒檢測與去除染毒客戶端檢測覆蓋全協(xié)議網(wǎng)絡(luò)特征署名，發(fā)覺染毒客戶端網(wǎng)絡(luò)攻擊行為 Botnet 檢測和阻斷覆蓋全協(xié)議行為模式分析，發(fā)覺未知病毒和BotnetURL 過濾（需額外License）62個(gè)URL類別，超出1億站點(diǎn)應(yīng)用程序控制上百種應(yīng)用程序如P2P、IM、VoIP等支持阻斷、監(jiān)控等控制伎倆第58頁59SWG主要功效概覽二內(nèi)置集中管理和報(bào)表功效每臺(tái)設(shè)備可選擇2種角色之一：Web Gateway和Central Management可集中管理超出100臺(tái)設(shè)備內(nèi)置較豐富報(bào)表功效支持Inline和Monitor兩種布署模式Inline模式支持Bypass切換 支持與Proxy集成支持HTTP、Socks類型Proxy支持AD集成依據(jù)AD OU、Department、User進(jìn)行策略分配對(duì)上網(wǎng)用戶進(jìn)行身份認(rèn)證第59頁安全審計(jì)第60頁主動(dòng)安