《赛门铁克终端管理方案cddi.pptx》由会员分享,可在线阅读,更多相关《赛门铁克终端管理方案cddi.pptx(42页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、赛门铁克终端管理方案张 晨 CISSP CISA赛门铁克系统工程师2 2 2005 Symantec Corporation,All Rights Reserved 安全解决方案议 程终端管理的现状和威胁引入的途径分析赛门铁克终端安全管理方案赛门铁克终端安全管理方案的特点3 3 2005 Symantec Corporation,All Rights Reserved 安全解决方案接入身份认证的方法论身份认证是安全的基础 授权与控制的基础身份认证的方法 密码 证书 一次性口令 生物鉴别身份认证的位置和方式Mac 地址绑定的管理问题:每天2-3 个变更申请 临时的第三方维护人员接入4 4 200
2、5 Symantec Corporation,All Rights Reserved 安全解决方案身份认证不能解决的问题用户终端安全设置是否符合企业信息安全策略 系统漏洞与补丁缺失 病毒等终端安全软件缺失 空密码用户终端网络行为是否合法 蠕虫病毒扩散 内网外联 网络滥用:海量下载,游戏,闲聊 恶意程序:ARP 欺骗周期性安全审计保障成果的方式低效5 5 2005 Symantec Corporation,All Rights Reserved 安全解决方案管理员最担心的终端安全问题蠕虫病毒爆发导致的拒绝服务移动终端与非法接入安全防护软件管理失效补丁分发问题 用户网络滥用123 4 5邮件服务器
3、瘫痪网络设备阻塞如何强制分发如何及时分发盗版系统的兼容性移动终端外来人员接入内网外联VPN 接入一机多用聊天海量下载扫描工具黑客工具Arp 欺骗防病毒软件不安装防病毒软件卸载病毒定义不更新其他终端防护软件的使用效果6 6 2005 Symantec Corporation,All Rights Reserved 安全解决方案病毒核心交换机24 小时流量采样图内部网络连续两周出现间歇性瘫痪的症状,平均每天瘫痪4次左右,持续时间不等,最长可达几个小时。症状较轻时,网络尚可联通,但网速异常慢,让人无法忍受。症状较重时,则网络彻底瘫痪,子网之间均不可达,且同一子网内丢包率很高。7 7 2005 Sym
4、antec Corporation,All Rights Reserved 安全解决方案移动终端(临时接入维护终端)引入的安全威胁VPN移动终端网络/无线连接旅馆/餐厅/机场/家黑客网关邮件服务器文件服务器收发Email下载音乐、软件浏览新闻移动终端浏览器8 8 2005 Symantec Corporation,All Rights Reserved 安全解决方案非法外连打开安全的天窗服务器工作站工作站工作站互联网Internet 接入网络9 9 2005 Symantec Corporation,All Rights Reserved 安全解决方案USB 移动存储设备传播病毒服务器工作站工
5、作站工作站互联网Internet 接入网络10 10 2005 Symantec Corporation,All Rights Reserved 安全解决方案终端安全管理的目标和期望企业终端安全策略IT管理员对终端的安全期望和目标终端用户的安全期望和目标阻断恶意代码 蠕虫 病毒 特洛伊木马 间谍软件 网络钓鱼 提升工作效率 广告软件 垃圾邮件合法用户的接入认证访问适当的网络资源使用适当的应用程序使用适当的计算机资源 文件 注册表 进程 网络适配器 外设 已知的安全威胁未知的安全威胁目标一:目标一:应对终端安全威胁 应对终端安全威胁目标二:目标二:安全策略遵从 安全策略遵从/强制 强制IT法规遵
6、从11 11 2005 Symantec Corporation,All Rights Reserved 安全解决方案议 程终端管理的现状和威胁引入的途径分析赛门铁克终端安全管理方案赛门铁克终端安全管理方案的特点12 12 2005 Symantec Corporation,All Rights Reserved 安全解决方案Symantec 终端安全解决方案目标二:安全策略遵从/强制(合法用户,合规操作)目标一:应对终端安全威胁(已知和未知安全威胁)终端安全管理目标13 13 2005 Symantec Corporation,All Rights Reserved 安全解决方案层次化的恶意
7、软件防护入侵防护:基于漏洞的入侵阻断(SCS)阻断RPC 缓冲区溢出漏洞 阻断利用Web 浏览器漏洞的攻击(间谍软件最常用的安装方式)防火墙(SCS)阻断进入的对开放端口的攻击 阻断病毒向外扩散的途径 阻断非法的对外通信 间谍软件数据泄漏和连接控制站点的企图实时防护和阻断(SAV)自动识别并清除蠕虫病毒自动防护已知恶意软件(特别室间谍软件)的安装 如果恶意软件已经安装,在其运行时检测并阻断抑制未知的恶意软件(SAV WholeSecurity)Bloodhunt 启发式病毒扫描根据恶意软件的行为特征发现和抑制其操作 邮件蠕虫拦截 间谍软件键盘记录、屏幕拦截、数据泄漏行为打分根本:系统加固 关键
8、补丁 强口令 关闭危险服务和默认共享 匿名访问限制技术层面14 14 2005 Symantec Corporation,All Rights Reserved 安全解决方案从管理口号到终端准入控制管理层面传统的管理方式红头文件/通告Mail、电话通知安全管理规章制度罚款、通报批评身份认证安全认证准许接入终端接入失败修复周期检查拒绝或隔离自愈(remediation)自驭(restrict and quarantine)自御(protection)Symantec的方法NetworkAccessControl策略制定策略执行15 15 2005 Symantec Corporation,All
9、 Rights Reserved 安全解决方案终端策略一致性遵循与控制1.定义安全策略2.发现网络中不符合安全规范的终端 InstalledAgent LoadableAgent 网络审计3.强制网络准入控制 LAN,DHCP,GatewayEnforcer Self-Enforcement On-DemandEnforcement 和主流安全架构整合(CNAC,MSNAP,TNC)UniversalEnforcementAPI4.修复不符合规范的端点5.连续监控Policy与安全管理的周期高度吻合16 16 2005 Symantec Corporation,All Rights Reser
10、ved 安全解决方案网络准入控制工作流程EndpointAttachesToNetworkConfigurationIsDeterminedStep1ComplianceOfConfigurationAgainstPolicyIsCheckedStep2TakeActionBasedOnOutcomeOfPolicyCheckStep3 PatchQuarantineVirtualDesktopMonitorEndpointToEnsureOngoingComplianceStep417 17 2005 Symantec Corporation,All Rights Reserved 安全解决
11、方案Lan EnforcerGateway EnforcerDHCP EnforcerSygate Policy ServerSygate On-DemandSelf EnforcementCNAC,MS NAP,TNCUniversal APIAntiVirus Host FirewallService PackSygateEnforcementAgent反间谍软件 主机入侵防御Hotfix 自定义 违规的程序 NetworkSecurity SUM(HostIntegrity)策 略 执 行 策 略 强 制 策略制定1.定义安全策略18 18 2005 Symantec Corporati
12、on,All Rights Reserved 安全解决方案发现网络中不符合安全规范的终端SPA 代理 预先安装 主机完整性检查 终端管理、保护、加固LAN Sensor 安全代理的内置功能 在一个子网内有效 发现未安装安全代理的计算机提供了企业安全的全局视图SYGATE On-Demand 客户端 通过Web 下载即时安装 主机完整性检查 创建虚拟桌面 安全保护和受控访问2.发现终端19 19 2005 Symantec Corporation,All Rights Reserved 安全解决方案强制方式一:端点自强制(self-enforcement)当主机安全状态异常时控制终端计算机的网络
13、访问策略策略:办公室办公室允许访问企业网络允许访问企业网络策略策略:安全状态异常安全状态异常只能访问修复服务器只能访问修复服务器3.准入控制20 20 2005 Symantec Corporation,All Rights Reserved 安全解决方案强制方式二:802.1x 局域网交换机强制(LANEnforcement)大部分局域网安全解决方案 NAC 状态,或NAC+用户身份验证基于标准协议 几乎所有的厂商都支持(Cisco、Nortel、Alcatel、Foundry、Aruba、Extreme、HPProcurve、AireSpace(Cisco)、Enterasys、Huawe
14、i-3com)Ethernet802.1x NACWired UserLE 检查用户登录信息系统通过EAP协议传送NAC及用户身份数据RADIUS serverSygate LAN EnforcerSygate Policy ServerSwitch forwards to Lan Enforcer隔离网络区隔离区补丁服务器LanEnforcer 将终端连接到企业网络或隔离网络3.准入控制21 21 2005 Symantec Corporation,All Rights Reserved 安全解决方案访客VLAN工作VLAN隔离VLAN未安装安全代理,被交 未安装安全代理,被交换机放入访客
15、换机放入访客VLAN VLAN安装安全代理,完整性检 安装安全代理,完整性检查成功,进入工作 查成功,进入工作VLAN VLAN安装安全代理,完整性检 安装安全代理,完整性检查失败,进入隔离 查失败,进入隔离VLAN VLAN?Lan Enforcer支持几乎所有主流交换机3.准入控制强制方式二:802.1x 局域网交换机强制(LANEnforcement)22 22 2005 Symantec Corporation,All Rights Reserved 安全解决方案VPN 服务器策略管理服务器安装了安全代理的远程PCSYGATE 强制服务器没有安装安全代理的远程PC强制方式三:网关强制(
16、GatewayEnforcement)局域网PC3.准入控制23 23 2005 Symantec Corporation,All Rights Reserved 安全解决方案强制方式四:DHCP 强制接入(DHCPEnforcement)Mobile Users,WirelessEthernetSwitchWired UserDHCP RequestUnknown system-send route filtersProbe for agent and policy statusTrigger remediation on failure10.1.1.100Route 10.2.2.2 bl
17、ahPerform Remediation actionTrigger Release/Renew upon completion Remediation ServerDHCP RequestCompliant-Remove route filters10.1.1.100 DHCP Server DHCP Enforcer3.准入控制24 24 2005 Symantec Corporation,All Rights Reserved 安全解决方案强制方式五:Web 应用准入强制(On-DemandProtection)3.准入控制25 25 2005 Symantec Corporation
18、,All Rights Reserved 安全解决方案SymantecSNAC 的常见强制时间点 交换机接入权限 无线访问权限 动态IP 获取权限(DHCP)互联网上网权限身份识别 安全检查12合法终端 合规终端拒绝请求隔离到漫游区12拒绝请求隔离到修复区权限请求 域名解析权限 Web 应用访问权限 远程接入权限(IPSECVPN/SSLVPN)3.准入控制26 26 2005 Symantec Corporation,All Rights Reserved 安全解决方案主机完整性:主机系统所采用的安全措施的完整性自动化修复 动态提示 绿色通道 自动连接到相关服务器下载最新的版本、特征库和补丁
19、全面修复 安装缺失的安全应用 更新安全软件特征库 检查并安装系统关键安全补丁 检查并修复系统安全设置 安全策略自动化修复4.自动修复27 27 2005 Symantec Corporation,All Rights Reserved 安全解决方案Sygate Secure EnterpriseSygate On-DemandSygate Magellan CorrelatorSygate Discovery EngineSygate 网络准入控制效果演示TravelingExecutiveHotelPartnerKioskPrinterWorkstationGuestATMRemediati
20、onRadiusApplicationsSygateEnforcerSygateManagementSystemSSLVPNIPSECVPNWirelessFirewall802.1xSwitchPasswordTokenUserNameStatus EAPPatchUpdatedServicePackUpdatedPersonalFirewallOnAnti-VirusUpdatedAnti-VirusOnStatus HostIntegrityRuleXCompliant Non-Compliant802.1x EnforcementPatchUpdatedServicePackUpdat
21、edPersonalFirewallOnAnti-VirusUpdatedAnti-VirusOnStatus HostIntegrityRulePasswordTokenUserNameStatus EAPPatchUpdatedServicePackUpdatedPersonalFirewallOnAnti-VirusUpdatedAnti-VirusOnStatus HostIntegrityRulePatchUpdatedServicePackUpdatedPersonalFirewallOnAnti-VirusUpdatedAnti-VirusOnStatus HostIntegri
22、tyRulePatchUpdatedServicePackUpdatedPersonalFirewallOnAnti-VirusUpdatedAnti-VirusOnStatus HostIntegrityRulePatchUpdatedServicePackUpdatedPersonalFirewallOnAnti-VirusUpdatedAnti-VirusOnStatus HostIntegrityRuleXPatchUpdatedServicePackUpdatedPersonalFirewallOnAnti-VirusUpdatedAnti-VirusOnStatus HostInt
23、egrityRuleGuest Enforcement Gateway/API EnforcementCompliantNon-Compliant28 28 2005 Symantec Corporation,All Rights Reserved 安全解决方案Windows 平台安全代理1、以应用程序为中心的主机防火墙 得到ICS A和公安部认证的全状态检测防火墙 基于规则的安全引擎(整合用户、网络应用程序以及网络信息)2、主机入侵防护和系统保护 结合对应用程序的控制来识别和阻断网络入侵 更优的性能,更少的虚假报警 帮助审计,快速定位攻击源 针对程序、文件、注册表、外设、网络适配器的管控3、
24、自适应防护策略 基于网络环境、通信形式 适应不同的业务场景Sygate 独特的端点保护功能:多层面的、自适应性29 29 2005 Symantec Corporation,All Rights Reserved 安全解决方案以应用程序为中心的主机防火墙 基于规则的安全引擎(整合用户、网络应用程序以及网络信息)将应急响应时间缩短到1/10多层面的、自适应性的端点控制威胁控制范围包括 可使用的网络应用程序 可访问的远程主机 使用什么类型的网络接口(网络适配器)在什么时间 使用什么类型的协议(TCP、UDP、ICMP)使用那些端口(本地/远程)一条网络访问规则通常是以上一个或多个参数的组合30 3
25、0 2005 Symantec Corporation,All Rights Reserved 安全解决方案主机型入侵防护和访问控制OSprotection应用程序行为分析进程管理文件访问控制注册表访问控制强大的DLL 管理SystemLockdown设备管理内存防火墙功 能31 31 2005 Symantec Corporation,All Rights Reserved 安全解决方案自适应性的端点保护一个终端多种用途、终端具有多个网卡、不同类型的接入终端、或者漫游终端在不同的网络中进行切换时:管理策略的适应性 针对不同的网络环境,网络连接方式有多套策略 可自动或手动在多套策略中切换,以应
26、对不同的风险等级自适应性的安全策略角色/设备 网络位置 连接方式 策略笔记本用户 公司内网 以太网 禁止使用游戏,及时聊天工具,可以进行文件共享笔记本用户 家里的宽带 以太网/电话拨号 可以使用游戏,及时聊天工具,禁止文件共享笔记本用户 在家里通过VPN进入公司内网 VPN适配器 只能使用IE,Lotus notes软件访问内网指定的应用服务器和邮件服务器自适应策略举例32 32 2005 Symantec Corporation,All Rights Reserved 安全解决方案Symantec 策略保证系统规范终端网络行为33 33 2005 Symantec Corporation,A
27、ll Rights Reserved 安全解决方案NAC 架构作用 对终端安全和管理技术的整合0-200 Days漏洞被发现14-90 Days攻击发布3 Days to Never补丁可获得补丁被部署Behavioral(HIPS)&White List(Firewall)Blacklist(Anti-Virus&IDS Signatures)PatchesNetwork Access Control漏 洞 生 命 周 期34 34 2005 Symantec Corporation,All Rights Reserved 安全解决方案企业级管理功能可扩展的多服务器架构 策略及日志复制 策略
28、分发(推/拉)可配置的优先级/负载均衡策略管理 可继承的多层组管理 能按计算机或用户管理 可重用的策略对象 活动目录用户及组同步功能集中的日志与报表 事件转发(Syslog,SIMs)每日或每周通过E-mailed发送报告35 35 2005 Symantec Corporation,All Rights Reserved 安全解决方案议 程终端管理的现状和威胁引入的途径分析赛门铁克终端安全管理方案赛门铁克终端安全管理方案的特点36 36 2005 Symantec Corporation,All Rights Reserved 安全解决方案防病毒、补丁个人防火墙、主机入侵预防自适应保护网络准
29、入控制病毒Laptop内部未授权访问有效解决当前终端管理四大威胁内部网络滥用网络程序管理网络访问控制37 37 2005 Symantec Corporation,All Rights Reserved 安全解决方案Symantec 端点安全管理终端保护 网络准入控制 终端修复 终端管理主机防火墙主机入侵防御系统安全检查自适应策略网络程序管理文件访问控制外设管理网络适配器管理系统加固、修复软件分发关键补丁强制安全问题通告边界准入与隔离局域网准入与隔离DHCP IP获取准入Web应用准入控制 内存防火墙操作系统保护本地隔离终端防病毒Symantec 提供端点的全程、纵深端点安全保障体系38 38
30、 2005 Symantec Corporation,All Rights Reserved 安全解决方案从端点策略遵从到IT法规遵从黑客间谍盗窃者桌面反病毒端点保护端点策略遵从IT法规遵从发现&实施 补救定义 报告 控制39 39 2005 Symantec Corporation,All Rights Reserved 安全解决方案Symantec 终端安全解决方案帮助用户:打造主动防御网络,避免事后处理的高额成本将网络管理员从劳动密集型工作中解放出来实现全网统一杀毒将安全紧急事件的响应时间缩短为之前的十分之一仅用了清除一次重大病毒疫的成本就换来了不间断自防御网络“Taking vulne
31、rability out of the network”40 40 2005 Symantec Corporation,All Rights Reserved 安全解决方案终端准入控制的领导者端点安全市场的领导厂商 Gartner and Meta Acclaim3个领域的技术领导者 端点安全 Key Labs评测的优胜者 网络访问控制(Network Access Control)用户选择大奖-Secure Enterprise Magazine(封面文章!)OnDemandAnti-Spyware+Firewall 和Gartner共同发起网络研讨市场上第一个 On-Demand 端点安全产品网络访问控制革新的领导者 Secure Enterprise NAC Bakeoff Winner SC Magazine 2005年最佳新解决方案 Information Security Magazine 年度产品大奖 InfoWorld 第一名公认的领导者 不仅仅是检测终端对安全策略的依从 在出现问题之前 Compliance on ContactTM Product of the Year问题讨论谢 谢5月-2307:08:1707:0807:085月-235月-2307:0807:0807:08:175月-235月-2307:08:172023/5/19 7:08:17