– 统一收集并分类整个企业的安全日志 – 识别并解决重大安全事件 – 做为整个企业的安全事件总控中心 – 满足在安全监控和日志存贮方面的审计和合规需求
27
安全管理运维的关键： 事件(Events)事故(Incident)的鉴别流程
事件 /日志
标准化
与100多家安全厂 商的长期合作
全球威胁联动
全球探测网络, 提供 联动实时威胁联动
Suite
映像制作、 部署和 配置
应用程序 打包和质量保证
补丁程序 管理
软件管理 和虚拟化
9
Altiris CMS 终端管理套件主要功能
远程 协助
智能软件和 补丁程序管理
映像制作和 部署
资产管理
Altiris™ Client Management
Suite 7
Altiris™ Client Management
事中
当违规操作或者恶意入侵正在发生，能及 时发现并有效阻止吗？
事后
损害发生后，能够审计分析出问题并有效 取证吗？
14 14
主机安全建议流程
事先评估
法规
配置
漏洞
SOX PCI-DSS ISO27001 BASEL …
密码 访问 文件 脚本 …
RPC 补丁 服务 端口 …
识别风险并开发相应的策略
事中控制
• 数据中心安全解决方案
– 合规检查和安全配置管理CCS – 关键服务器保护和审计SCSP – 安全事件管理SSIM/SOC – 服务器运维管理套件 Altirs SMS – 虚拟机安全审计管理 VSM
• 信息数据安全解决方案
– 防泄密DLP – 邮件安全网关SMG – 邮件归档EV
3
– Web安全网关SWG
Symantec信息安全整体解决方案
系统工程师
1
议程
1 安全整体解决方案介绍 2 终端安全管理解决方案 3 数据中心安全解决方案 4 信息数据安全解决方案 5 移动设备安全解决方案
2
Symantec信息安全整体解决方案
• 终端安全管理解决方案
– 终端安全保护SEP – 准入控制SNAC – 终端运维管理Altiris CMS
理确保可以作为取证证据
ESM/CCS发现配置缺陷和安全漏洞
配置检查 • 注册表 • 配置文件 • 密码 •…
漏洞扫描
• 服务器漏洞 • 补丁安装检查 • 网络设备漏洞 •…
Altiris服务器运维管理
• 服务器软硬件查询和清单 • 系统部署 • 软件和补丁分发 • 监控和警报
SCSP实时阻止入侵和违规操作
23
Virtualization Security Manager的意义
• 提高你的虚拟环境的安全
– 从外部和内部威胁中确保管理程序的安全 – 在实例之间执行逻辑分离，使之变成独立的资产 – 细粒度的访问控制
• 降低宕机风险
– 管理实例和管理程序的配置设置 – 防止计划外的更改 – 自动化配置评估
•同一帐号多次尝试登入失败 •同一账号同时多点尝试登入 •账号已登入，同一账号通过其他源 地址仍然尝试登入 •同一源地址多次尝试登入失败
29
服务器日常维护管理的主要因素
监控 和警报
软件分发和补丁程序 管理
设置
查询和 清单
监控和警报
通过集中式事件控制台，更深入地了解服 务器的状态
为启用新策略和标准提供简化的策略创建 过程
优先级划分
提供资产信息\威 胁信息\漏洞信息 的关联分析, 进行
优先级划分
事故
采集
支持200多种产品 ，包括SNMP、 Syslog、ODBC以 及通用接口等方式
归并、过滤、存储
大量运维经验对事件 进行EMR分类归并
关联分析
利用运维经验, 提供关联方法, 和关联规则库 以及技术参数
呈现和处理 提供更新的知识
Symantec 网关强制器
Symantec 执行代理
+ Symantec Enterprise Protection Agent (Self-Enforcement 方法)
端 点 8
IT 生命周期管理
远程 帮助和故障排除
过渡和 迁移
客户端 查询和
清单
监控 和跟踪
业务 持续性
Client Management
(Host & Network) 设备和应用控制Device &
Application Control
对终端接入网络进行安全控制
持续的终端完整性检查 集中的终端遵充策略管理 自动修复 基于主机的访问控制策略强制 监控和报告 系统配置检查、修复和强制
Symantec Endpoint Protection 11.0
安全防护 • 零日攻击 • 系统加固 • 非法入侵 •…
检查违规操作 • 用户变动 • 文件变动 • 权限变动 •…
13 13
数据中心服务器安全的3个问题
10+ 种操作系统100+ 台服务器1000+ 次系统变更10000+ 次访问…
事前 服务器是否有安全风险和配置缺陷，符合 数据中心的安全要求吗？
管理员可以将低信任的虚拟工作负载转成高信 任服务器或虚拟子网,反之亦然
通过防止信任等级的混合缓解安全和合规风险
26
Symantec Security Information Manager
Symantec™ Security Information Manager (SSIM) 是安全信息 和事件管理的的统一平台,他能帮助用户:
信息系统在安全策略及安全最佳实践方面的遵从性 • 可以回答：“企业的遵从状况是怎样的”
16
支持的安全法规和行业规范
• PCI-DSS • VISA CISP • Sarbans Oxley Act(404) • ISO 17799 • SANS Top 20 • CIS Benchmark • HIPAA • GLBA • FISMA • BASEL II Capital Accord Support • 。。。。。。
议程
2 终端安全管理解决方案
4
Symantec终端安全管理解决方案
5
Symantec重新定义终端安全
Solution
Definition
Symantec 终端安全＝
＋ 终端防护Endpoint Protection
终端遵从Endpoint Compliance
防病毒Antivirus 防间谍软件Antispyware 桌面防火墙Desktop firewall 入侵防护Intrusion Prevention
• 日常监控
– 设置调度任务,定期完成策略检查; – 对比检查结果,发现违规变更; – 输出定期检查报告,作为外审依据
• 系统变更
– 跟踪系统变更,对比变更前后差别,保证变更内容合规 – 提供变更建议(加载补丁),作为变更依据 – 输出变更检查报告,作为外审依据
• 故障处理
– 了解系统配置情况,为故障处理提供帮助 – 对比故障处理前后差别 – 输出故障处理报告,作为外审依据
合规性检查
系统监控 文件监控 权限控制 …
安全性防护
零日攻击 违规操作 入侵防护 …
管理控制并解决问题
事后审计
查询报告 关联分析 收集记录
证明有效性并判定趋势
15
CCS 套件
• Symantec 使企业能够基于
– 行业标准 – 法律法规 – 公司的策略 去： – 定义 – 测量/评价 – 报告
Symantec Network Access Control 11.0
Key Products
6 6
SEP/SNAC特色Fra bibliotek• 应对当前复杂的安全威胁提供多层次的终端安全保护
• 主动威胁防护防范零日攻击和未知威胁
• 一个客户端一个控制台，更简单，更容易管理，更低成本，更多
保护
结果:
网络准入控制
应用程序控制 外设控制
17
评估策略的实现
安全策略
(Technical Controls and Standards)
Standards • ISO 17799 • HIPAA • GLBA … Controls • Passwords • Permissions • Services • Files …
详尽的一 致性报告
20
Symantec Critical System Protection
• 主机保护产品SCSP提供完整的主机入侵防护解决方案。 它提供攻击防护、行为控制和安全事件监控等功能，确 保企业内部多种平台的服务器的完整性和策略依从。
21
三大功能
安全
- 入侵检测 - 入侵防护 - 防止内部人员
违规 - 主机防火墙
基于策略基准对 系统设定和配置 进行详尽的检查
-Windows - UNIX - Linux - Netware - VMS - AS/400
Database - Web
Servers 应用平台
18
通过报表持续地自动审计企业的IT风险状况
19
37
将主机安全审计融入日常运维
• 新系统上线
– 制定上线安全评估流程和方法 – 通过策略遵从检查,确保上线系统安全 – 输出上线检查报告,作为外审依据
当前或者曾经的管理员可以使用后台账户不被 发现的访问平台
控制和记录每个管理员账户的访问，防止重大安 全漏洞
25
CCS VSM填充关键平台访问缺口
Virtualization 平台缺口
一个系统管理员可以关闭任何虚拟应用
CCS VSM 解决方案