遵从和审计
- 系统事件监控 - 文件监控 - 权限控制 - 行为控制
配置管理
- 配置锁定 - 系统锁定 - 应用配置监控
22
SCSP防护能力
• 缓存溢出保护 • 操作系统加固 • 注册表保护 • 文件系统保护 • 定制攻击防护策略 • 主机防火墙功能 • 移动设备控制
• 交互式程序控制
• 超级用户/管理员权限控制 • 操作系统审计日志的监控和响应
14
事前
事中
事后
主机安全建议流程
事先评估
法规 配置 漏洞
事中控制
合规性检查 安全性防护
事后审计
查询报告 关联分析 SOX PCI-DSS ISO27001 BASEL … 密码 访问 文件 脚本 … RPC 补丁 服务 端口 … 系统监控 文件监控 权限控制 … 零日攻击 违规操作 入侵防护 … 收集记录
– 做为整个企业的安全事件总控中心
– 满足在安全监控和日志存贮方面的审计和合规需求
安全管理运维的关键： 事件(Events)事故(Incident)的鉴别流程
事件 /日志 标准化 与100多家安全厂 商的长期合作 全球威胁联动 全球探测网络, 提供 联动实时威胁联动 优先级划分 提供资产信息\威 胁信息\漏洞信息 的关联分析, 进行 优先级划分
通过直接连接主机，管理员可以绕过vCenter进 行访问控制和登录
控制和记录通过任何连接方法的访问, 建立问责 制
在多租户的环境下，管理员能够访问其他组织的 虚拟工作区
确保管理员只能访问自己的组织的数据和应用 程序，确保多租户下的安全
平台允许通过默认密码或被破解的admin密码 的访问
防止使用默认的密码，支持多因素身份验证防止 未授权的访问
Symantec Endpoint Protection 11.0
＋
终端遵从Endpoint Compliance
对终端接入网络进行安全控制 持续的终端完整性检查 集中的终端遵充策略管理 自动修复 基于主机的访问控制策略强制 监控和报告 系统配置检查、修复和强制
Symantec Network Access Control 11.0
Key Products
Definition
6 6
SEP/SNAC特色
• 应对当前复杂的安全威胁提供多层次的终端安全保护 • 主动威胁防护防范零日攻击和未知威胁 • 一个客户端一个控制台，更简单，更容易管理，更低成本，更多保护
结果:
网络准入控制 应用程序控制 外设控制 入侵防护
增强了保护、 控制和管理性
通过控制虚拟机创建权防止破坏性的结果
通过禁止未经批准关闭虚拟安全措施保护安全 性
管理员复制敏感数据从一个虚拟机到外部存储
通过对虚拟资源的控制保护敏感数据
管理员可以使用一个泄露的副本替代一个关键 的虚拟机而没有留下轨迹 管理员可以将低信任的虚拟工作负载转成高信 任服务器或虚拟子网,反之亦然
通过创建一个永久的、不可被篡改的操作记录 曝光篡改行为
Symantec Critical System Protection
• 主机保护产品SCSP提供完整的主机入侵防护解决方案。 它提供攻击防护、行为控制和安全事件监控等功能，确 保企业内部多种平台的服务器的完整性和策略依从。
三大功能
安全
- 入侵检测 - 入侵防护 - 防止内部人员 违规 - 主机防火墙
Altiris服务器运维管理
• 服务器软硬件查询和清单 • 系统部署 • 软件和补丁分发 • 监控和警报
ESM/CCS发现配置缺陷和安全漏洞
配置检查 • 注册表 • 配置文件 漏洞扫描
SCSP实时阻止入侵和违规操作
• 服务器漏洞
• 补丁安装检查 • 网络设备漏洞 • …
• 密码
• …
安全防护 • 零日攻击 • 系统加固 • 非法入侵 • …
当前或者曾经的管理员可以使用后台账户不被 发现的访问平台
控制和记录每个管理员账户的访问，防止重大安 全漏洞
25
CCS VSM填充关键平台访问缺口
Virtualization 平台缺口
一个系统管理员可以关闭任何虚拟应用
CCS VSM 解决方案
通过控制资源管理范围 保护业务连续性
管理员可以创建未经批准的虚拟机，这些可能是 误操作但对合规会产生影响 管理员可以禁用安全措施如虚拟防火墙和防病 毒
10
议程
3
数据中心安全解决方案
赛门铁克法规遵从重点产品简介
数据中心安全管理
Control Compliance Suite 安全遵从套件 Symantec Critical System Protection(SCSP) 安全加固 Symantec Security Information Manager(SSIM) 统一安全主控台 Altiris Server Management Suite 服务器运维管理
• PCI-DSS
• VISA CISP
• Sarbans Oxley Act(404) • ISO 17799 • SANS Top 20 • CIS Benchmark • HIPAA • GLBA • FISMA • BASEL II Capital Accord Support • 。。。。。。
23
Virtualization Security Manager的意义
• 提高你的虚拟环境的安全
– 从外部和内部威胁中确保管理程序的安全 – 在实例之间执行逻辑分离，使之变成独立的资产 – 细粒度的访问控制
• 降低宕机风险
– 管理实例和管理程序的配置设置 – 防止计划外的更改 – 自动化配置评估
评估策略的实现
安全策略
(Technical Controls and Standards)
Standards • ISO 17799 • HIPAA • GLBA … Controls • Passwords • Permissions • Services • Files …
基于策略基准对 系统设定和配置 进行详尽的检查
防火墙
降低了成本、复杂度， 减少了风险的暴露
防间谍软件
防病毒
7
多种方式的网络准入满足企业复杂的网络环境
准入管理 服务器
Microsoft SQL Server 数据库
管理
使用802.1x的交换 机
DHCP 服务器
强制器
Symantec 局域网强制器
Symantec DHCP强制器
Symantec 网关强制器
地址仍然尝试登入 •同一源地址多次尝试登入失败
29
服务器日常维护管理的主要因素
监控 和警报
监控和警报
通过集中式事件控制台，更深入地了解服 务器的状态 为启用新策略和标准提供简化的策略创建 过程 支持多种平台操作系统 (Windows,linux,Aix,Esx,Solaris)等 无代理监控，支持网络拓扑结构的发现 实时性能数据和历史数据的查询和分析
Symantec 执行代理
+ Symantec Enterprise Protection Agent (Self-Enforcement 方法)
端 点
IT 生命周期管理
过渡和 迁移 远程 帮助和故障排除
客户端 查询和 清单
监控 和跟踪
Client Management Suite
映像制作、 部署和 配置
检查违规操作 • 用户变动 • 文件变动 • 权限变动 • …
13 13
数据中心服务器安全的3个问题
10+ 种操作系统100+ 台服务器1000+ 次系统变更10000+ 次访问… 服务器是否有安全风险和配置缺陷，符合 数据中心的安全要求吗？
当违规操作或者恶意入侵正在发生，能及 时发现并有效阻止吗？ 损害发生后，能够审计分析出问题并有效 取证吗？
•外部扫描探测攻击 •业务端口之外的试图请求连接行为 •DDOS拒绝服务攻击 •SQL注入类攻击 •Smurf Attack攻击 •Trojan端口连接行为 •针对DNS服务器的攻击 •内部服务器对外异常连接请求
•业务审计
•同一帐号多次尝试登入失败 •同一账号同时多点尝试登入 •账号已登入，同一账号通过其他源
• 合规需求
– 强制分割实例为有限的合规审计范围 – 详细的操作日志 – 配置报告
24
CCS VSM 填充关键平台访问缺口
Virtualization 平台缺口
通过共享一个root账户多个管理员可以匿名登 录主机
CCS VSM 解决方案
使用 root 密码跳转 (签入/签出) 来保障管理员 的独立性
• 移动设备安全解决方案
– 移动设备管理 MDM – 双因素认证系统Verisign
3
议程
2
终端安全管理解决方案
Symantec终端安全管理解决方案
5
Symantec重新定义终端安全
Solution
Symantec 终端安全＝
终端防护Endpoint Protection
防病毒Antivirus 防间谍软件Antispyware 桌面防火墙Desktop firewall 入侵防护Intrusion Prevention (Host & Network) 设备和应用控制Device & Application Control
• 数据中心安全解决方案
– – – – – 合规检查和安全配置管理CCS 关键服务器保护和审计SCSP 安全事件管理SSIM/SOC 服务器运维管理套件 Altirs SMS 虚拟机安全审计管理 VSM
• 信息数据安全解决方案
– 防泄密DLP – 邮件安全网关SMG – 邮件归档EV