SYMTEC整体安全解决方案.ppt

1、赛门铁克整体解决方案,刘冰峰Bingfeng_L,2,关于SYMANTEC,世界第四大软件厂商全球领先的信息安全公司全球最大的存储软件公司超过15,000 名员工43个国家和地区2004财年营业额 45亿美元,3,信息安全性,信息可用性,+,=,信息完整性,业界领先者推动融合,4 2002 Symantec Corporation,All Rights Reserved,Symantec公司介绍,100%的财富500强 公司,选用 Symantec 软件2003年6月，收购Precise，应用性能监控2004年12月，收购KVS，邮件和文件归档2005年7月，与Veritas合并。,信息可用性

2、、信息安全性,市场竞争力,市场占有率,远景,Gartner Enterprise Data Protection Market Scope,2006,5,Presentation Identifier Goes Here,6,信息系统面临挑战,网络,应用,数据库,服务器,存储,访问,复杂性,风险,信息安全、可靠服务质量,客户端,网络安全威胁人为失误设备故障意外事故法规遵从,Presentation Identifier Goes Here,7,议程,Symantec 解决方案,为什么选择Symantec,Presentation Identifier Goes Here,8,信息系统的发展阶段

3、,网络信息安全系统架构,自 然 灾 害 与 系 统 故 障,IT 策 略 与 外 部 法 规,内 部 与 外 部 恶 意 威 胁,可用性保持系统正常运行确保业务迅速恢复,遵 从确保充分有效控制实现自动证据收集,抵御恶意代码侵入保持重要信息流通安 全,Presentation Identifier Goes Here,9,信息系统的发展阶段,网络信息安全系统架构,可用性保持系统正常运行确保业务迅速恢复,遵 从确保充分有效控制实现自动证据收集,抵御恶意代码侵入保持重要信息流通安 全,端点安全标准化SEP 系统安全恢复系统BESR,Presentation Identifier Goes Here,

4、10,多样的设备多样的攻击操作终端的多样性:台式机、移动电脑、手持设备恶意威胁的多样性:病毒,蠕虫,木马、恶意软件,WindowsSmartphone,SymbianDevice,LaptopPC,DesktopPC,Crimeware,SpyWare,Worm,Virus,端点安全：安全的起点,Presentation Identifier Goes Here,11,只有保护是不够的,用户终端安全设置是否符合企业信息安全策略系统漏洞与补丁缺失病毒等终端安全软件缺失病毒定义未更新空密码与默认共享用户终端网络行为是否合法 已感染蠕虫病毒的移动终端内网外联网络滥用：海量下载，游戏，闲聊恶意程序：A

5、RP欺骗,Presentation Identifier Goes Here,12,信息系统常见的安全策略执行问题,无线局域网提高了工作效率，但使得网络暴露在无线电波中；制度无法保证每个客户端上的防护软件始终正常运行、及时更新；补丁程序的及时更新无法保证，即使已知的漏洞也没能堵住；不同终端访问资源难于控制用户透过Internet，即时聊天（MSN、QQ）携带病毒、木马程序直接进网络 其它可能带病毒的电脑随意连入网络,Presentation Identifier Goes Here,13,新的威胁和攻击动机促成了新的保护技术,终端安全威胁演化的进程,好奇,犯罪,1986,2006,防病毒,IP

6、S(主机),IPS(网络),设备控制,应用控制,防间谍软件,物质收益,名声,攻击的动机,威胁的种类,防火墙,Presentation Identifier Goes Here,14,Symantec端点安全解决方案,Presentation Identifier Goes Here,15,15,SEP:“比单纯的防病毒做的更多”,防病毒及防间谍软件,Confidence Online,Symantec 防病毒 10.2,Symantec Client Security 3.1,Symantec WholeSecurity,Symantec Sygate Enterprise Protectio

7、n 5.1,SEP,Presentation Identifier Goes Here,16,16,客户端内存占用21M,21MB,62MB,129MB,Presentation Identifier Goes Here,17,信息系统的发展阶段,网络信息安全系统架构,可用性保持系统正常运行确保业务迅速恢复,遵 从确保充分有效控制实现自动证据收集,抵御恶意代码侵入保持重要信息流通安 全,端点安全标准化SEP 系统安全恢复系统BESR,Presentation Identifier Goes Here,18,信息系统的发展阶段,网络信息安全系统架构,可用性保持系统正常运行确保业务迅速恢复,遵 从

8、确保充分有效控制实现自动证据收集,抵御恶意代码侵入保持重要信息流通安 全,端点安全标准化SEP系统安全恢复系统BESR,Presentation Identifier Goes Here,19,传统的手动方式系统恢复,维修或购买新产品,重新安装操作系统,重新安装设备驱动,重新安装应用,重新设置,进行日志修改,测试,投入运行,可能需要花几天/几星期时间,Presentation Identifier Goes Here,20,现在只需要几分钟！,新型自动系统恢复,21,Backup Exec System Recovery 2010,快速、可靠的恢复甚至可以恢复到不同的硬件和虚拟环境灵活的异地保

9、护和增强的恢复功能与市场领先的技术进行创新的多产品相集成,Windows 系统全面恢复领域的金牌标准,22,NAS/SAN Device,I/SCSI,SATA,ATA,USB/Firewire,Flash Memory,CD/DVD,Backup Exec System Recovery:工作方式,23,恢复点保存,服务器2,SCSIPCI单处理器,SATAPCIx双处理器,服务器 1,恢复到不同硬件上 如何运行,24,30,灵活的异地保护(offsite copy),增强了灾难恢复能力最多选择两个异地存储目标异地存储目标包括 USB、网络位置，甚至 FTP,受保护的系统,NAS/SAN,U

10、SB,一级目标位置,FTP 服务器,25,31,智能的可移动介质支持,Backup Exec System Recovery 2010 可以识别可移动介质，在这方面独一无二无论驱动器盘符是否变化，均可成功完成作业,星期一,星期二,Presentation Identifier Goes Here,26,Backup Exec System Recovery 7.0,在几分钟内恢复整个Windows系统，而不是几小时或几天恢复服务器、台式机和笔记本系统恢复到不同的硬件或虚拟环境中支持Microsoft Vista和X64系统增强的Exchange、虚拟环境和数据恢复功能恢复单个Exchange消

11、息、文件夹和邮箱 支持VMware ESX服务器和Microsoft虚拟服务器通过Google Desktop或Backup Exec Retrieve实现终端用户文件恢复新型集中管理提供简单、一目了然的集中管理提供新的报告功能从小公司环境扩展到较大的Windows环境现在作为Backup Exec For Windows Servers的一个选件提供在几分钟内恢复Windows系统新精简版本更实惠的价格,Presentation Identifier Goes Here,27,信息系统的发展阶段,网络信息安全系统架构,可用性保持系统正常运行确保业务迅速恢复,抵御恶意代码侵入保持重要信息流通安

12、 全,端点策略遵从SNACIT生命周期管理标准化Altiris,遵 从确保充分有效控制实现自动证据收集,Presentation Identifier Goes Here,28,终端策略遵从无法落实,Presentation Identifier Goes Here,29,29,终端防护Endpoint Protection,终端遵从Endpoint Compliance,Solution,Symantec重新定义终端安全,Symantec 终端安全,KeyProducts,Symantec Endpoint Protection 11.0,Definition,Endpoint Protec

13、tion proactively protects laptops,desktops and servers from known and unknown malware such as viruses,worms,Trojans,spyware,adware and rootkits by combining these capabilities:防病毒Antivirus防间谍软件Antispyware桌面防火墙Desktop firewall入侵防护Intrusion Prevention(Host&Network)设备和应用控制Device&Application Control,End

14、point Compliance 对终端接入网络进行安全控制持续的终端完整性检查集中的终端遵充策略管理 自动修复基于主机的访问控制策略强制监控和报告系统配置检查、修复和强制,*SNAC-ready,Symantec Network Access Control 11.0,Presentation Identifier Goes Here,30,SNAC的功能概述,屏蔽一切不安全的设备和人员接入网络，规范用户接入网络的行为，从而铲除网络威胁的源头，避免事后处理的高额成本以安全策略为核心，可以灵活的定义细粒度的安全策略以NAC为强制手段，用技术的手段保证安全策略的落实实现策略遵从的终端安全实现可管

15、理可改善的终端安全实现标准化、自动化的终端安全,Presentation Identifier Goes Here,31,SNAC-端点策略遵从流程,Presentation Identifier Goes Here,32,SNAC实现可管理的、可改善的终端安全,持续改进,Presentation Identifier Goes Here,33,Symantec Endpoint Security Manager,SNAC解决方案的组成,端点,强制器,管理,Presentation Identifier Goes Here,34,信息系统的发展阶段,网络信息安全系统架构,可用性保持系统正常运行

16、确保业务迅速恢复,抵御恶意代码侵入保持重要信息流通安 全,端点策略遵从SNAC邮件系统的法规遵从EVIT生命周期管理标准化Altiris,遵 从确保充分有效控制实现自动证据收集,Presentation Identifier Goes Here,35,数据的归档和备份,归档是将过期数据移动走你的原有信息拷贝可以用来发现和查找数据,备份是 将所有数据拷贝或快照你的信息的第二份拷贝用来恢复数据,备份策略无法替代归档策略备份策略和归档策略互为补充可以保证数据在任何时刻的可用性,Presentation Identifier Goes Here,36,Microsoft Exchange/Lotus

17、Domino,如何存储、管理、发现这一信息？,存储 原有数据=更便宜的磁盘 减少复制文件 降低备份时间/成本 集中捕获所有数据 最终用户感觉无变化,归档,策略和内容,管理 分类和标记数据 实行保留策略 自动过期 记录所有操作,发现 电子邮件、附件、文件索引 最终用户搜索 全局搜索 安全的接入控制 查阅和工作流程,Presentation Identifier Goes Here,37,信息系统的发展阶段,网络信息安全系统架构,可用性保持系统正常运行确保业务迅速恢复,抵御恶意代码侵入保持重要信息流通安 全,端点策略遵从SNAC邮件系统的法规遵从EVIT生命周期管理标准化Altiris,遵 从确保

18、充分有效控制实现自动证据收集,Presentation Identifier Goes Here,38,IT 生命周期管理Altiris,部署新系统OS部署网络配置初始系统安装,定义资产硬件资产软件资产固定资产,分发软件应用软件升级病毒包,问题管理远程控制桌面帮助,升级硬件更新操作系统更新应用软件更新PC 个性化迁移,监视/跟踪采购辅助预定策略检测非法软件应用测量软件授权管理,安全管理端口/无线控制管理员密码系统安全漏洞分析扫描、报告，补丁,IT生命周期管理,业务连续性软件自动修复健康状态管理冲突分析备份和恢复,合约管理软件许可证硬件租约服务水准协议,采购,淘汰,安装设置,运作生产,Prese

19、ntation Identifier Goes Here,39,信息系统的发展阶段,网络信息安全系统架构,遵 从确保充分有效控制实现自动证据收集,抵御恶意代码侵入保持重要信息流通安 全,数据备份与恢复Netbackup/BackupExec集群管理和存储管理SF/HA容灾系统DR,可用性保持系统正常运行确保业务迅速恢复,Presentation Identifier Goes Here,40,数据备份是恢复的基本保证,手工操作,备份的不全面、不及时工作量大不一定能恢复不能快速恢复整个系统,应用软件自带的功能,管理问题恢复慢、甚至不能恢复投资成本不能备份操作系统,Presentation Ide

20、ntifier Goes Here,41,需要集中的数据备份管理,专业的备份/与恢复软件基于策略的自动化操作保证周期性地、全面的备份数据从客户端到服务器的保护设备共享，统一管理快速恢复操作系统快速恢复数据,SYMANTEC 是数据备份与恢复的专业厂家NetBackup:异构环境下的数据备份与恢复Backup Exec:Windows环境的解决方案市场占有率46%，遥遥领先占26%的第二位,Presentation Identifier Goes Here,42,赛门铁克:存储市场的领导者,几种备份拓扑结构：,DAS(本机备份)NAS(网络备份)SAN(LAN-Free备份),基本架构,磁带机或

21、磁带库,本机备份/恢复,优点：备份速度快缺点：不适合多主机环境,网络备份/恢复,磁带库,优点：集中备份，充分利用磁带库资源缺点：占用网络资源要求：可解决网络带宽在备份和恢复时的大量占用,LAN-Free 备份/恢复,主备份服务器,介质服务器,磁带库,FC-to-SCSI Bridge,优点：备份速度快,TCP/IP Network,47,大型服务器(UNIX/NT),中型服务器(UNIX/NT/NetWare),小型服务器/桌面系统(Mostly NT/NetWare),NetBackupEnterprise Server,NetBackupServer,Backup Exec Server,

22、Backup ExecSBS,数据保护产品定位,Backup Exec DLO,48,Backup Exec代理和选件,AgentsOnline Groupware AgentsBackup Exec Agent for Exchange Server(with CAL)Backup Exec Agent for Lotus Domino(with CAL)Backup Exec Agent for Microsoft SharePoint Portal Server(with CAL)Online Database AgentsBackup Exec Agent for Microsoft

23、SQL Server(with CAL)Backup Exec Agent for Oracle Server(with CAL)Backup Exec Agent for SAP R/3 for Oracle(with CAL)Client Access LicensesBackup Exec Remote Agent Client Access License for Windows or NetWare ServersBackup Exec Remote Agent Client Access License for Linux/UNIX Servers Workstation and

24、Client Protection(free!),49,Backup Exec代理和选件（续）,OptionsMedia Server Options Backup Exec Central Admin Server Option Backup Exec Advanced Disk Backup Option Backup Exec Advanced Open File Option(with CAL)Backup Exec Desktop and Laptop Option Backup Exec Open File Option for Remote NetWare Servers Dis

25、aster Recovery Options Backup Exec Intelligent Disaster Recovery OptionStorage Options Backup Exec Library Expansion Option Backup Exec SAN Shared Storage Option,50,集中数据备份解决方案,磁盘阵列,磁带库,ERP服务器,PDM服务器,CRM服务器,OA/邮件服务器,WEB/代理服务器,中间件服务器,LAN,LAN,备份服务器,BE主模块SQL/Oracle/SAP代理IDR模块SSO模块,BE主模块IDR模块SSO模块,SQL/Or

26、acle代理,BE主模块IDR模块SSO模块LEO模块,光纤通道 交换机,ERP服务器,文件服务器,AWS模块,AWS模块,Exchange/Domino代理,备注：SAN备份数据流 LAN 备份数据流,51 2002 Symantec Corporation,All Rights Reserved,NetBackup 简介,描述:为UNIX,Windows,Linux和NetWare环境提供企业级的数据保护优势:为整个企业IT环境提供统一的解决方案集中管理灵活的3层体系结构支持市场上大多数操作系统、数据库和存储硬件（包括磁盘阵列和磁带库）技术先进,1998年 NBU3.2,实现网络备份，采用

27、磁带库2000年，NBU3.5,图形界面全面提升；利用备份磁带容灾的自动化管理流程2002年，NBU4.0,引进LanFree架构，推出SnapBackup技术2003年，NBU4.5,NetBackup进一步推出ServerFree技术2004年，NBU5.0，增加了运维管理 NOM，收购BMR 2005年，NBU5.1,加强了NetBackup的平台支持覆盖、图形界面等，增强了报表能力2006年，NBU6.0,BMR整合到NetBackup架构，引进并完善了DiskStage备份，实现D-D-T；对NBU的核心技术框架进行了重新设计，使得其更适合当时的大规模企业IT架构。2007年，NBU

28、6.5,将NetBackup设计成数据中心保护的平台，实现了强大的磁盘备份技术：SAN客户端；CDP(连续数据保护)；重复数据删除；虚拟带库到物理带库的复制；磁盘备份的SSO2010年，NBU7.0,NetBackup：技术创新赢得市场,53,53,NetBackup 体系结构,Presentation Identifier Goes Here,54,信息系统的发展阶段,网络信息安全系统架构,优化系统资源确保正确配置性 能,遵 从确保充分有效控制实现自动证据收集,抵御恶意代码侵入保持重要信息流通安 全,数据备份与恢复Netbackup/BackupExec集群管理和存储管理SF/HA容灾系统D

29、R,可用性保持系统正常运行确保业务迅速恢复,Presentation Identifier Goes Here,55,关键信息系统要求7X24连续运行,数据备份和恢复保证了故障后的数据可恢复性，但是需要采用更多的技术缩短恢复时间，进一步提高服务质量,集群技术是预防软硬件故障引起停机的基本手段双服务器和双阵列配置当发现应用停止运行时，在另一台备用机上重新启动数据同时写到两个阵列上，任一个阵列故障，不影响应用的运行,VCS,Presentation Identifier Goes Here,56,信息化的投资与管理,需要多少设备投资？存储使用效率怎样？需要多少人管理？还需有培训吗？,Present

30、ation Identifier Goes Here,57,V I R T U A L I Z A T I O N,Symantec提供先进的集群与存储管理技术,SYMANTEC方案提供业界最先进的技术解决用户的问题,SAN交换机,共享存储池,热备机,Presentation Identifier Goes Here,58,Symantec：超越集群、简化管理、降低成本,同一种软件运行于异构平台降低管理复杂性节省培训成本,有效的服务器资源整合一备多、多备多灵活的结构节省服务器资源,有效提高存储利用率、实现数据共享存储虚拟化管理适应应用需求的灵活的存储部署方式自动的存储分配策略不同服务器平台间的

31、数据迁移,Presentation Identifier Goes Here,59,信息系统的发展阶段,网络信息安全系统架构,优化系统资源确保正确配置性 能,遵 从确保充分有效控制实现自动证据收集,抵御恶意代码侵入保持重要信息流通安 全,数据备份与恢复Netbackup/BackupExec集群管理和存储管理SF/HA容灾系统DR,可用性保持系统正常运行确保业务迅速恢复,Presentation Identifier Goes Here,60,容灾解决场地灾难带来的安全问题,什么是容灾？当发生灾难时有另一个IT系统继续支持业务的运行信息系统需要预防灾难带来的停机容灾的课题RPO/RTO容灾中心

32、选择数据传送技术应用切换方式定期系统测试计划,应用服务器,应用后备服务器,双网络交换机,主中心,WAN/LAN,容灾中心,Presentation Identifier Goes Here,61,容灾技术解决场地灾难,数据远程传送技术备份数据恢复RTP/RPO低基于主机的数据复制基于阵列的数据复制（两边的阵列完全一样）,容灾中心,TCP/IP or SAN,基于主机的数据复制,光纤,基于阵列的数据复制,SYMANTEC 提供基于主机的数据复制技术Volume Manager&Volume Replicator,Presentation Identifier Goes Here,62,容灾解决方

33、案（1）,主机房,容灾机房,GAB/LLT over Ethernet,Volume,基于SAN将一对阵列和主机移到容灾机房集群逻辑不需要任何变动不需要增加任何软件此方案使用于任何有相似需求的应用环境,Presentation Identifier Goes Here,63,容灾解决方案（2）,主机房,容灾机房,GAB/LLT over Ethernet,Volume Replicator,基于IP将一对阵列和主机移到容灾机房需要添加VVR在IP上复制数据集群逻辑不需要任何变动此方案适应任何距离的容灾使用于任何相似要求的环境,Presentation Identifier Goes Here,64,网络信息安全系统架构,自 然 灾 害 与 系 统 故 障,IT 策 略 与 外 部 法 规,内 部 与 外 部 恶 意 威 胁,可用性保持系统正常运行确保业务迅速恢复,遵 从确保充分有效控制实现