《Symantec赛门铁克终端管理方案介绍.ppt》由会员分享,可在线阅读,更多相关《Symantec赛门铁克终端管理方案介绍.ppt(43页珍藏版)》请在三一文库上搜索。
1、赛门铁克终端管理方案,Your name,议 程,终端管理的现状和威胁引入的途径分析 赛门铁克终端安全管理方案 赛门铁克终端安全管理方案的特点,接入身份认证的方法论,身份认证是安全的基础 授权与控制的基础 身份认证的方法 密码 证书 一次性口令 生物鉴别 身份认证的位置和方式,Mac地址绑定的管理问题: 每天2-3个变更申请 临时的第三方维护人员接入,身份认证不能解决的问题,用户终端安全设置是否符合企业信息安全策略 系统漏洞与补丁缺失 病毒等终端安全软件缺失 空密码 用户终端网络行为是否合法 蠕虫病毒扩散 内网外联 网络滥用:海量下载,游戏,闲聊 恶意程序:Arp欺骗,管理员最担心的终端安全问
2、题,蠕虫病毒爆发导致的拒绝服务,1,2,3,4,5,邮件服务器瘫痪 网络设备阻塞,如何强制分发 如何及时分发 盗版系统的兼容性,移动终端 外来人员接入 内网外联 VPN接入 一机多用,聊天 海量下载 扫描工具 黑客工具 Arp欺骗,防病毒软件不安装 防病毒软件卸载 病毒定义不更新 其他终端防护软件 的使用效果,病毒核心交换机24小时流量采样图,内部网络连续两周出现间歇性瘫痪的症状,平均每天瘫痪4次左右,持续时间不等,最长可达几个小时。 症状较轻时,网络尚可联通,但网速异常慢,让人无法忍受。 症状较重时,则网络彻底瘫痪,子网之间均不可达,且同一子网内丢包率很高。,移动终端(临时接入维护终端)引入
3、的安全威胁,网络/无线连接 旅馆/ 餐厅/ 机场/家,黑客,网关,邮件服务器,文件服务器,收发Email 下载音乐、软件 浏览新闻,移动终端,浏览器,非法外连打开安全的天窗,服务器,工作站,工作站,工作站,互联网,Internet接入网络,USB移动存储设备传播病毒,服务器,工作站,工作站,工作站,互联网,Internet 接入网络,终端安全管理的目标和期望,终端用户的 安全期望和目标,阻断恶意代码 蠕虫 病毒 特洛伊木马 间谍软件 网络钓鱼 提升工作效率 广告软件 垃圾邮件,合法用户的接入认证 访问适当的网络资源 使用适当的应用程序 使用适当的计算机资源 文件 注册表 进程 网络适配器 外设
4、 ,已知的安全威胁 未知的安全威胁,目标一: 应对终端安全威胁,目标二: 安全策略遵从/强制,IT法规遵从,议 程,终端管理的现状和威胁引入的途径分析 赛门铁克终端安全管理方案 赛门铁克终端安全管理方案的特点,Symantec终端安全解决方案,层次化的恶意软件防护,入侵防护: 基于漏洞的入侵阻断 (SCS) 阻断RPC缓冲区溢出漏洞 阻断利用Web浏览器漏洞的攻击(间谍软件最常用的安装方式),防火墙 (SCS) 阻断进入的对开放端口的攻击 阻断病毒向外扩散的途径 阻断非法的对外通信 间谍软件数据泄漏和连接控制站点的企图,实时防护和阻断 (SAV) 自动识别并清除蠕虫病毒 自动防护已知恶意软件(
5、特别室间谍软件)的安装 如果恶意软件已经安装,在其运行时检测并阻断,抑制未知的恶意软件 (SAVWhole Security) Bloodhunt启发式病毒扫描 根据恶意软件的行为特征发现和抑制其操作 邮件蠕虫拦截 间谍软件键盘记录、屏幕拦截、数据泄漏行为打分,根本:系统加固 关键补丁 强口令 关闭危险服务和默认共享 匿名访问限制,技术层面,从管理口号到终端准入控制,管理层面,自愈(remediation),自驭(restrict and quarantine),自御(protection),Symantec的方法 Network Access Control,终端策略一致性遵循与控制,定义安
6、全策略 发现网络中不符合安全规范的终端 Installed Agent Loadable Agent 网络审计 强制网络准入控制 LAN, DHCP, Gateway Enforcer Self-Enforcement On-Demand Enforcement 和主流安全架构整合 (CNAC, MSNAP, TNC) Universal Enforcement API 修复不符合规范的端点 连续监控,网络准入控制工作流程,Lan Enforcer,Gateway Enforcer,DHCP Enforcer,Sygate Policy Server,Sygate On-Demand,Self
7、 Enforcement,CNAC, MS NAP, TNC,Universal API,Network Security SUM(Host Integrity),策 略 执 行,策 略 强 制,策略制定,1.定义安全策略,发现网络中不符合安全规范的终端,SPA代理 预先安装 主机完整性检查 终端管理、保护、加固,LAN Sensor 安全代理的内置功能 在一个子网内有效 发现未安装安全代理的计算机,提供了企业安全的全局视图,SYGATE On-Demand 客户端 通过Web下载即时安装 主机完整性检查 创建虚拟桌面 安全保护和受控访问,2.发现终端,强制方式一:端点自强制,当主机安全状态异
8、常时控制终端计算机的网络访问,3.准入控制,强制方式二:802.1x 局域网交换机强制,大部分局域网安全解决方案 NAC状态, 或NAC + 用户身份验证 基于标准协议 几乎所有的厂商都支持(Cisco、Nortel、Alcatel、Foundry、Aruba、Extreme、HP Procurve、AireSpace (Cisco)、Enterasys、Huawei-3com),Ethernet 802.1x NAC,Wired User,RADIUS server,Sygate LAN Enforcer,Sygate Policy Server,Lan Enforcer将终端连接到企业网络
9、或隔离网络,3.准入控制,强制方式二: 802.1x 与域结合,未安装安全代理,被交换机放入访客VLAN,安装安全代理,完整性检查成功,进入工作VLAN,安装安全代理,完整性检查失败,进入隔离VLAN,?,Lan Enforcer,支持几乎所有主流交换机,3.准入控制,VPN服务器,策略管理服务器,安装了安全代理的远程PC,SYGATE强制服务器,没有安装安全代理的远程PC,强制方式三:网关强制,局域网PC,3.准入控制,强制方式四:DHCP 强制接入,Mobile Users,Wireless,Ethernet Switch,Wired User,DHCP Request,Unknown s
10、ystem- send route filters,Probe for agent and policy status,Trigger remediation on failure,10.1.1.100 Route 10.2.2.2 blah,Perform Remediation action,Trigger Release/Renew upon completion,Remediation Server,DHCP Request,Compliant- Remove route filters,10.1.1.100,DHCP Server,DHCP Enforcer,3.准入控制,强制方式五
11、:Web应用准入强制,3.准入控制,Symantec SNAC的常见强制时间点,交换机接入权限 无线访问权限 动态IP获取权限(DHCP) 互联网上网权限,域名解析权限 Web应用访问权限 远程接入权限 (IPSEC VPN/SSL VPN),3.准入控制,主机完整性 : 主机系统所采用的安全措施的完整性,自动化修复 动态提示 绿色通道 自动连接到服务器下载最新的版本、特征库和补丁 全面修复 安装缺失的安全应用 更新安全软件特征库 检查并安装系统关键安全补丁 检查并修复系统安全设置 ,安全策略自动化修复,4.自动修复,Sygate 网络准入控制,Traveling Executive,Hote
12、l,Partner,Kiosk,Printer,Workstation,Guest,ATM,Remediation,Radius,Applications,Sygate Enforcer,Sygate Management System,SSL VPN,IPSEC VPN,Wireless,Firewall,802.1x Switch,Compliant,Non-Compliant,802.1x Enforcement,Guest Enforcement,Gateway/API Enforcement,Compliant,Non-Compliant,NAC的平台作用 对终端安全和管理技术的整合
13、,0-200 Days,3 Days to Never,Behavioral (HIPS) & White List (Firewall),Blacklist (Anti-Virus & IDS Signatures),Patches,Network Access Control,漏 洞 生 命 周 期,Symantec终端安全管理解决方案,symantec 策略保证系统规范终端网络行为,Windows平台安全代理,以应用程序为中心的主机防火墙 得到ICSA和公安部认证的全状态检测防火墙 基于规则的安全引擎(整合用户、网络应用程序以及网络信息) 主机入侵防护和系统保护 结合对应用程序的控制来识
14、别和阻断网络入侵 更优的性能,更少的虚假报警 帮助审计,快速定位攻击源 针对程序、文件、注册表、外设、网络适配器的管控 自适应防护策略 基于网络环境、通信形式 适应不同的业务场景,多层面的、自适应性的端点保护,以应用程序为中心的主机防火墙 基于规则的安全引擎(整合用户、网络应用程序以及网络信息) 将应急响应时间缩短到1/10,多层面的、自适应性的端点控制,控制范围包括 可使用的网络应用程序 可访问的远程主机 使用什么类型的网络接口(网络适配器) 在什么时间 使用什么类型的协议(TCP、UDP、ICMP) 使用那些端口(本地/远程) 一条网络访问规则通常是以上一个或多个参数的组合,自适应性的端点
15、保护,一个终端多种用途、终端具有多个网卡、不同类型的接入终端、或者漫游终端在不同的网络中进行切换时: 管理策略的适应性 针对不同的网络环境,网络连接方式有多套策略 可自动或手动在多套策略中切换,以应对不同的风险等级,自适应策略举例,主机型入侵防护和访问控制,OS pretection 应用程序行为分析 进程管理 文件访问控制 注册表访问控制 强大的DLL管理 System Lockdown 设备管理 内存防火墙,功 能,企业级管理功能,可扩展的多服务器架构 策略及日志复制 策略分发 (推/拉) 可配置的优先级/负载均衡 策略管理 可继承的多层组管理 能按计算机或用户管理 可重用的策略对象 活动
16、目录用户及组同步功能 集中的日志与报表 事件转发 (Syslog, SIMs) 每日或每周通过E-mailed发送报告,议 程,终端管理的现状和威胁引入的途径分析 赛门铁克终端安全管理方案 赛门铁克终端安全管理方案的特点,防病毒、补丁 个人防火墙、主机入侵预防,自适应保护,网络准入控制,病毒,Laptop,内部未授权访问,有效解决当前终端管理四大威胁,内部网络滥用,网络程序管理 网络访问控制,Symantec端点安全管理,终端保护,网络准入控制,终端修复,终端管理,主机防火墙,主机入侵防御,系统安全检查,自适应策略,网络程序管理,文件访问控制,外设管理,网络适配器管理,系统加固、修复,软件分发
17、,关键补丁强制,安全问题通告,边界准入与隔离,局域网准入与隔离,DHCP IP获取准入,Web应用准入控制,内存防火墙,操作系统保护,本地隔离,终端防病毒,Symantec提供端点的全程、纵深端点安全保障体系,从端点策略遵从到IT法规遵从,黑客 间谍 盗窃者,桌面反病毒,端点保护,端点 策略遵从,IT 法规遵从,发现 & 实施,补救,解决方案属性,具体要求,满足企业级NAC的要求,Symantec 终端安全解决方案帮助用户:,打造主动防御网络,避免事后处理的高额成本 将网络管理员从劳动密集型工作中解放出来 实现全网统一杀毒 将安全紧急事件的响应时间缩短为之前的十分之一 仅用了清除一次重大病毒疫
18、的成本就换来了不间断自防御网络,“Taking vulnerability out of the network”,终端准入控制的领导者,端点安全市场的领导厂商 Gartner and Meta Acclaim 3个领域的技术领导者 端点安全 Key Labs评测的优胜者 网络访问控制(Network Access Control) 用户选择大奖 - Secure Enterprise Magazine (封面文章!) On Demand Anti-Spyware + Firewall 和Gartner共同发起网络研讨 市场上第一个 On-Demand 端点安全产品 网络访问控制革新的领导者 Secure Enterprise NAC Bakeoff Winner SC Magazine 2005年最佳新解决方案 Information Security Magazine 年度产品大奖 InfoWorld 第一名 公认的领导者 不仅仅是检测终端对安全策略的依从 在出现问题之前 Compliance on ContactTM,Product of the Year,Thank You!,