Symantec 年会内部稿件_4-SEP 方案设计

SEP 方案设计
张东英系统工程师
1.

终端日益成为企业信息安全建设的短板
? 终端的特点－难于管理
– – – – 数量众多配置不一用户水平参差不齐重视和投入程度不够
? 终端是攻击目标和跳板
– 层出不穷的病毒 – ARP木马盗窃机密用户信息 – 后门、间谍、广告和流氓软件
? 终端是安全威胁的源头
– 僵尸代理导致DDOS – ARP木马导致网络中断 – 蠕虫导致服务器瘫痪 2.

用户在终端安全管理方面遇到的挑战
新一代的安全威胁
移动终端与非法接入
安全防护软件管理失效
用户网络滥用
终端安全加固
蠕虫病毒导致服务器瘫痪、网络设备阻塞 Misleading Drive-by-downloads Online Gaming Trojans 零日攻击防范
移动终端
? 外来人员接入卸载杀毒软件 ? 非法外联病毒定义不更新 ? VPN接入其他终端防护软件 ? 的使用失效一机多用 ?
防病毒软件不安装
聊天海量下载扫描工具黑客工具 Arp欺骗
?弱口令问题 ?程序黑白名单 ?补丁强制分发 ?关闭危险服务 3.
3
Presentation Identifier Goes Here

深入分析终端面临的安全挑战以及应对措施
威胁
移动终端、非法接入、外设管理、外联管理、行为监控零日攻击、恶意软件、特洛伊木马、应用程序注入
保护对象
行为
保护技术
策略符合性检查和自动修复
赛门铁克解决方案
赛门铁克网络准入控制
SNAC 11.0
统一端点安全管理 SEPM
应用软件
主机IPS
Slurping、IP 窃取、恶意软件缓冲溢出攻击、程序注入、按键记录恶意软件、Rootkits、零日漏洞蠕虫、探寻和攻击
I/O 设备内存/程序
外设控制
防反堆栈溢出
赛门铁克端点保护
SEP 11.0
操作系统
O/S 保护网络IPS 客户防火墙
网络连接
病毒、特洛伊木马、恶意软件和间谍软件
数据和文件系统
反间谍软件防病毒赛门铁克防病毒 SAV
Presentation Identifier Goes Here
4.
4

什么是SEP 11.0和SNAC 11.0
? 主动的、层次化的终端安全
– 多达8层的立体防御体系 – 尤其是采用了多种主动的安全技术，帮助客户从容应对各种安全威胁。
? 可管理的、可改善的终端安全
– 以安全策略为核心，可以灵活的定义细粒度的安全策略 – 以NAC为强制手段，可以用技术的手段保证安全策略的落实 – 实现了终端安全策略的遵从性
? 自动化的、标准化的终端安全
– 自动防御已知和未知的威胁， – 包括实现“连接之际，安全之时”的梦想 – 自动修复，无需人工干预 5.
5

1、主动的、层次化的终端安全
1 1 SNAC SNAC 8 … 8 当紧急意外事故发生后当紧急意外事故发生后…
网络准入控制，御毒于网络之外网络准入控制，御毒于网络之外
? ? 应急响应应急响应 ? ? 专杀工具分发，自动修复专杀工具分发，自动修复
3 3 防火墙防火墙
2 2 外设控制外设控制
防止病毒从防止病毒从U U盘引入，防止非法外联盘引入，防止非法外联
? ? 阻断进入的对开放端口的攻击阻断进入的对开放端口的攻击 ? ? 阻断病毒向外扩散的途径阻断病毒向外扩散的途径 ? ? 阻断非法的对外通信阻断非法的对外通信– – 间谍软件数据泄漏和连接控制站间谍软件数据泄漏和连接控制站
点的企图点的企图
7 7 系统加固，强身健体系统加固，强身健体
? ? 关键补丁关键补丁 ? ? 强口令强口令 ? ? 关闭危险服务和默认共享关闭危险服务和默认共享 ? ? 匿名访问限制匿名访问限制
6 6 实时防护和阻断实时防护和阻断 (SAV) (SAV)
? ?自动识别并清除蠕虫病毒自动识别并清除蠕虫病毒 ? ?自动防护已知恶意软件（特别是间谍软件）的安装自动防护已知恶意软件（特别是间谍软件）的安装 ? ? 如果恶意软件已经安装，在其运行时检测并阻断如果恶意软件已经安装，在其运行时检测并阻断
4 4网络和主机网络和主机入侵防护入侵防护::
软件最常用的安装方式）软件最常用的安装方式）
? ? 阻断阻断RPC RPC缓冲区溢出漏洞缓冲区溢出漏洞 ? ? 阻断利用 Web 阻断利用Web浏览器漏洞的攻击（间谍浏览器漏洞的攻击（间谍
5 5 抑制未知的恶意软件抑制未知的恶意软件 ((主动防御技术主动防御技术))
? ? 启发式病毒扫描启发式病毒扫描 ? ?根据恶意软件的行为特征发现和抑制其操作根据恶意软件的行为特征发现和抑制其操作 ? ? 邮件蠕虫拦截邮件蠕虫拦截 ? ? 间谍软件键盘记录、屏幕拦截、数据泄漏行为打分间谍软件键盘记录、屏幕拦截、数据泄漏行为打分
6.
6

2、可管理、可改善的终端安全
网络安全
持续改进
安全策略
7.
7

3、自动化的、标准化的终端安全
Internet Corp Intranet
SEPM Site Gateway Enforcer ` Corporate Sub-Network DHCP Enforcer DHCP Server
`
clients `
802.1x Switch
LAN Enforcer
clients `
` Unknown
` Unknown
Radius Server
8.
8

NAC准入控制的阶段性设计规划
全面的网络准入控制
网络完全锁定
跑
On－Demand 随需安全
网关准入控制
网络局部锁定
端点锁定
安全级别
端点安全自我强制策略 Peer to Peer
走
爬
复杂程度准入：从我们可以管理的终端开始!
9.

SEP 解决方案的组成元素
Symantec Policy Manager
Microsoft SQL Server 数据库
管理
使用802.1x的交换机
DHCP
服务器
强制执行
Symantec LAN Enforcer
Symantec DHCP Enforcer SEP客户端软件
(Self-Enforcement 以及Peer to peer 的认证)
Symantec Gateway Enforcer
10.
Symantec Vision 2007 10
端点

SEP 功能模块设计
防病毒及防间谍软件网络威胁防护
? 检测、拦截和移除 ? 病毒 ? 间谍软件 ? Rootkits ? 其他恶意软件
防病毒及防间谍软件
网络威胁防护
? 检测和拦截外部威胁 ? 进出数据访问控制 ? 位置感知的策略
Symantec 端点安全管理器
主动性威胁防护
网络访问控制
? 强制端点遵守安全策略
? 针对零时差攻击提供保护 ? 基于策略拦截对设备的访问
主动性威胁防护
网络访问控制
? 拦截未授权的端点的访问行为 ? 防护来自远程办公员工带来的危害
SNAC 11.0
11.

SEP部署架构
策略及组的信息
总部
Database
日志、告警信息
SEPM
SEPM
SEPM
分支机构
SEPM
Database
分支机构
SEPM SEPM
Database
SEPM
SEPM
SEPM
12.

总结：Symantec终端安全解决方案的四个要点
单功能产品的松散组合自觉自愿的安全安全防护为核心个性化的、人工的管理
统一的方案集成多种防护技术强制统一的安全策略遵从为核心标准化的、自动化管理
13.

QUESTIONS
张东英
ANSWERS
Dongying_zhang@https://www.360docs.net/doc/e35141703.html,
Copyright ? 2007 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners. This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.
14.

Thank You
Symantec and Symantec Vision are registered trademarks of Symantec in the U.S. and in other countries. The other company names or products mentioned are or may be trademarks of their respective owners.
15.