Symantec SEP终端防护解决方案.docx
- 文档编号:15320961
- 上传时间:2023-07-03
- 格式:DOCX
- 页数:15
- 大小:500.04KB
Symantec SEP终端防护解决方案.docx
《Symantec SEP终端防护解决方案.docx》由会员分享,可在线阅读,更多相关《Symantec SEP终端防护解决方案.docx(15页珍藏版)》请在冰点文库上搜索。
SymantecSEP终端防护解决方案
SymantecSEP终端安全防护
技术解决方案
XXX
第1章产品选型推荐
•桌面安全防护方案,我们推荐采用SymantecEndpointProtection14.
1.1产品简介
•SymantecEndpointProtection将高级威胁防御功能和终端安全管理功能相结合,可以为笔记本、台式机和服务器提供无与伦比的恶意软件防护能力。
它甚至可以防御最复杂的攻击,这些攻击能够躲避传统的安全措施,如rootkit、零日攻击和不断变化的间谍软件。
•SymantecEndpointProtection不仅提供了世界一流、业界领先且基于特征的防病毒和反间谍软件防护。
它还提供了先进的威胁防御能力,能够保护端点免遭目标性攻击以及之前没有发现的未知攻击侵扰。
它包括即刻可用的主动防护技术以及管理控制功能;主动防护技术能够自动分析应用程序行为和网络通信,以检测并阻止可疑活动,而管理控制功能使您能够拒绝对企业来说被视为高风险的特定设备和应用程序活动。
甚至可以根据用户位置阻止特定操作。
•这种多层方法可以显著降低风险,同时能够充分保护企业资产,从而使企业高枕无忧。
它是一款功能全面的产品,只要您需要,即可立即为您提供所需的所有功能。
无论攻击是由恶意的内部人员发起,还是来自于外部,端点都会受到充分保护。
•SymantecEndpointProtection不仅可以增强防护,而且可以通过降低管理开销以及管理多个端点安全性产品引发的成本来降低总拥有成本。
它提供一个代理,通过一个管理控制台即可进行管理。
从而不仅简化了端点安全管理,而且还提供了出色的操作效能,如单个软件更新和策略更新、统一的集中报告及一个授权许可和维护计划。
•SymantecEndpointProtection易于实施和部署。
赛门铁克还提供广泛的咨询、技术培训和支持服务,可以指导企业完成解决方案的迁移、部署和管理,并帮助您实现投资的全部价值。
对于希望外包安全监控和管理的企业来说,赛门铁克还提供托管安全服务,以提供实时安全防护。
•
1.2产品主要优势
1.2.1无可匹敌的安全
•利用远胜防病毒功能的智能安全和分层防护阻止目标性攻击和高级持续性威胁。
利用由数以亿计的传感器组成的世界上最大全球情报网络(GIN)将相关数据提供到SEP主动防护技术。
•独一无二的Insight™技术源自GIN,可通过分析关键文件属性(例如文件下载的频率、文件存在的时长和下载的源位置)来识别文件信誉。
该信息能帮助SEP阻止更多威胁并且抵御最新的变异恶意软件。
•SONAR™技术同样以GIN作为强大后盾,能实时监控应用程序行为并阻止目标性攻击和零时差威胁。
•网络威胁防护对通过网络连接达到用户计算机的传入数据流进行分析,在威胁攻击系统前将其拦截。
•Symantec™EndpointProtection检测和删除的威胁远远超过了同类1中的其他任何解决方案。
•多次荣获DennisLabs真实环境防病毒测试的最高评级AAA
1.2.2引人瞩目的性能
•EndpointProtection中融入的SymantecInsight™技术可精确识别文件信誉,从而仅扫描有风险的文件,与传统解决方案相比,可减少高达70%的扫描工作量。
•由于减少了系统影响,硬件可运行得更快、更久。
•通过对连接数和带宽进行灵活控制,降低了网络负载。
•在所有同类产品的描速度最快,系统性能影响最小。
1.2.3更加智能的管理
•具有粒度策略控制的跨物理和虚拟平台单个管理控制台。
•通过跨PC、Mac、Linux和虚拟机的单个管理控制台,在一个高性能代理之中提供智能安全技术和策略锁定功能。
•提供粒度策略控制,可根据用户及其位置灵活地自定义策略。
•支持PC和Mac的远程部署和客户端管理,从而更轻松地确保远程端点为最新状态。
•通过在一个易于使用的管理面板中融入多维度分析和强大的图形报告,对传统报告加以扩展。
•“组更新提供程序”支持在客户端之间发送更新以及在远程位置进行更多有效更新,从而减少网络开销并缩短更新所需时间。
1.2.4虚拟化优化
•Symantec™EndpointProtection在保护高密度虚拟环境的同时,可保持优于无代理解决方案的性能级别,并提供端到端的安全可见性。
•VMwarevShield集成:
允许更高的虚拟机密度并减少I/O和CPU使用率。
•VirtualImageException:
可将标准虚拟机映像中的文件加入到白名单中,从而优化扫描。
•资源分级:
将扫描和更新安排随机化,防止资源使用量骤增。
•SharedInsight™Cache:
只需扫描文件一次,即可在客户端之间共享扫描的内容,避免重复进行文件扫描,从而减少带宽和延迟。
•虚拟客户端标记:
自动检测和报告客户端是否在虚拟环境中运行,从而更轻松地为虚拟机设置不同的策略。
•脱机映像扫描 :
查找脱机虚拟机映像中的威胁。
•虚拟化扫描调速:
检测磁盘负载并降低扫描速度,从而防止使用量骤增。
1.3主要功能
1.3.1终端安全防护功能
Symantec™EndpointProtection14版本,针对终端的防间谍和恶意软件,入侵防护,提供以下5层防护技术:
1)网络:
赛门铁克的网络威胁防护包含Vantage技术,可对通过网络连接传送的入站数据进行分析,在威胁攻击系统前将其阻止。
同时还包含基于规则的防火墙以及浏览器保护功能,可抵御网络攻击。
2)文件:
基于签名的防病毒功能可发现并根除系统上的恶意软件,从而抵御病毒、蠕虫、特洛伊木马、间谍软件、僵尸程序、广告软件和Rootkit等。
3)信誉:
赛门铁克独有的Insight™关联了用户、文件和网站之间存在的数百亿种关系,可快速检测变异威胁。
通过分析关键文件属性,Insight™可以精确识别文件是否安全并为每个文件指定一个信誉分数,从而在减少高达70%的扫描工作量的同时,有效抵御目标性攻击。
4)行为:
SONAR™利用人工智能来提供零时差防护。
该防护可监控将近1400种文件行为并且实时确定文件风险,从而有效阻止最新和未知威胁。
5)修复:
PowerEraser™主动扫描被感染的端点,从而定位高级持续性威胁并删除很难清除的恶意软件。
远程支持使管理员可以触发PowerEraser扫描并通过Symantec™EndpointProtection管理控制台远程修复被感染的项目。
•
1.3.2扩展的策略控制功能
除了核心防护技术外,Symantec™EndpointProtection14还提供粒度策略控制,包括:
1)系统锁定:
通过仅允许运行列入白名单的应用程序(已知为安全)或阻止运行列入黑名单的应用程序(已知为不安全),增强对业务关键系统的保护。
2)应用程序和设备控制:
通过监控应用程序行为以及控制文件访问权限、注册表访问权限、允许运行的进程和可以写入信息的设备,防护内部和外部安全漏洞。
3)主机完整性检查和策略强制实施:
允许用户在其端点上运行脚本以验证和报告合规性;隔离位置和点到点强制实施功能可锁定并隔离不合规或被感染的系统。
4)位置感测:
自动检测系统所连接的位置,例如酒店、热点、无线网络或VPN,同时调整安全性以提供适合环境的最佳防护。
第2章赛门铁克方案的主要特点
∙充分与已有SEP体系集成,利用SEP成熟的信息收集能力和策略执行能力;
∙彻底打通网络、端点、邮件防护技术的沟通渠道,为企业带来真正的安全可视化和防护功能全覆盖;
∙单一平台、单一界面,一键执行。
管理员可以一键查询各个安全控制点的事件信息,回溯入侵过程,一键屏蔽恶意软件在网络、端点、邮件上的传播,控制威胁的快速扩散。
∙积极发挥Symantec云端资源和全球智能监控网络数据,为用户提供准实时安全分析能力和全面的相关威胁背景信息;
∙新型安全威胁的特点:
敌暗我明,有备而来,无孔不入,长久持续。
赛门铁克方案的优势:
可视,智慧,融合,简单。
第3章SEP系统体系结构设计
3.1SEP系统功能组件说明
•SEP系统包括两部分组件:
1.策略管理服务器SEPM
策略服务器实现所有安全策略、准入控制规则的管理、设定和监控,是整个终端安全标准化管理的核心。
通过使用控制台管理员可以创建和管理各种策略、将策略分配给代理、查看日志并运行端点安全活动报告。
通过图形报告、集中日志记录和阈值警报等功能提供全面的端点可见性。
统一控制台简化了端点安全管理,提供集中软件更新、策略更新、报告等功能。
策略管理服务器可以完成以下任务:
●终端分组与权限管理;
根据地理位置、业务属性等条件对终端进行分组管理,对于不同的组可以制定专门的组管理员,并进行权限控制。
●策略管理与发布;
策略包括自动防护策略、手动扫描的策略、手动扫描的策略、病毒、木马防护策略、恶意脚本防护策略、电子邮件防护策略(包括outlook、lotus以及internet邮件)、广告软件防护策略、前瞻性威胁防护策略、防火墙策略、入侵防护策略、硬件保护策略、软件保护策略、升级策略、主机完整性策略等。
●安全内容更新下发:
安全内容更新包括病毒定义、防火墙规则、入侵防护定义、主动威胁防护规则等。
●日志收集和报表呈现:
可以生成日报/周报/月报,报告种类包括:
风险报表(以服务器组、父服务器、客户端组、计算机、IP、用户名为条件识别感染源、当前环境下高风险列表、按类型划分的安全风险)、计算机状态报表(内容定义分发、产品版本列表、未接受管理客户端列表)、扫描状态报表、审计报表、软件和硬件控制报表、网络威胁防护报表、系统报表、安全遵从性报表。
●强制服务器管理和策略下发:
对于交换机强制服务器和网关强制设备进行统一的管理和策略定义。
●终端代理安装包的维护和升级;
2.终端代理
SEP系统需要在所有的终端上部署安全代理软件,安全代理是整个企业网络安全策略的执行者,它安装在网络中的每一台终端计算机上,实现SEP的全部安全防护功能。
3.2SEP系统管理架构设计
•SEP系统架构的设计取决与管理方式、终端数量及分布、网络带宽等条件。
3.2.1单独站点架构
•通过一台管理服务器管理所有的客户端。
这是最简单也是最常用的部署架构。
3.2.2复制站点架构
•适用于采用“统一控制,二级管理”架构,这样的架构与行政管理模式相匹配——益于提高管理效率,同时又能体现“统一规划,分级集中管理”的思想,让各分支机构分担总部的运行维护负担。
终端接入控制平台按照两级架构设计,总公司-分公司架构如下图:
或者同一站点多台SEPM做HA,如下图:
在总部设立全省范围的终端接入控制平台中心,制定并下发统一的全网管理策略。
这些策略主要以策略模版库的形式提供。
这些策略通过同步与复制的机制,在一二级服务器间保持一致。
二级管理平台上策略的变更也都会同步回一级控制平台,在一级管理平台上可以预览任何一个二级甚至三级服务器上的策略应用情况。
复制就是不同地点或站点间的服务器系统通过特别拷贝来共享数据的过程。
终端接入控制平台的策略同步复制在逻辑上和微软域策略的同步复制类似,它并非简单的数据库间复制关系,它内部包含有周全的防止策略冲突的处理。
通过策略复制与同步,不同地点的用户都工作在本地的副本之上,然后同步他们之间的变更。
在终端接入控制平台上,策略复制还可以将一个管理服务器上的变更同步到另一个数据库上,实现冗余备份。
通过策略复制,终端接入控制平台能够支持多级管理,以及无限的终端数量扩展能力,从而满足XX汽车X终端节点规模不断扩大的需求。
•“统一控制”体现在通过一个统一控制台管理所有服务的功能,总部管理员可通过整体方法来管理端点安全。
•
“分级管理”主要体现在地市管理平台根据省中心的权限设置也可以自主在管辖范围内进行管理策略的扩展和定制。
实现方式如下:
•在对不同地市用户用户进行分组,并对不同的地市组制定不同的安全策略。
通过系统内置的继承体系,不同的子组能够从同一父组中继承相同的安全策略,从而提高策略制定的便利性。
•同时,可以为各地市管理员分配适当的权限,如是否允许地市管理员修改继承的策略,限制其只可以查看本地市的报告,仅能管理本地市州的客户端等细致的权限。
如下图所示:
•
3.3病毒定义升级
3.3.1SEP系统初建后第一次升级方案
•SEP系统在建设完成后第一次升级占用带宽较大,一般需要升级100M到300M左右的软件更新和病毒定义升级,如果在广域链路上进行并发更新容易造成链路拥塞,在这种情况下可考虑采用以下办法予以避免:
●根据实施时间,针对XX汽车定制软件安装包,包含当前最新的病毒定义;或者防病毒服务器安装完成后立即手动升级其病毒定义库;
●原则上不允许客户端进行手动的防病毒定义升级。
3.3.2正常运维状态下的升级方案
•防病毒系统经过初次升级进入到日常运维状态,后期的防病毒定义更新包一般很小(150Kbytes~200Kbytes不等),在运维状态下自动化的病毒定义更新是非常必要的。
•在运维状态下自动化的病毒定义更新是非常必要的,建议在XX汽车网络内采用分支站点服务器升级的结构,即
●首先升级XX汽车总部SEPM服务器的病毒定义、扫描引擎、特征库(漏洞特征库和攻击特征库)和安全规则(防火墙策略)。
通过Internet到Symantec官方更新服务器升级最新的病毒定义码和扫描引擎。
●各分支SEPM服务器分别到中心的网络防病毒服务器同步病毒定义、扫描引擎、特征库和安全规则。
●正常情况下升级周期为每天一次,时间设定为凌晨,避免升级流量对广域网络带宽的影响;当有突发的病毒事件或严重级别的病毒威胁,可实时升级病毒定义并下发。
•采用这种升级方式,一方面可以确保XX汽车整个网络内的病毒定义码和扫描引擎的更新基本保持同步。
另一方面,由于整个网络的病毒定义码和扫描引擎的更新、升级自动完成,就可以避免由于人为因素造成网络中某些机器或某个网络因为没有及时更新最新的病毒定义码和扫描引擎而失去最强的防病毒能力,同时也避免了各下属单位自行到Internet升级而带来的不便和安全隐患。
3.3.3Symantec病毒定义升级频率
•缺省情况下,Symantec每日在官方网站上发布可供防病毒系统自动更新的病毒定义码(正常状态下每日三次更新;对于高危险性病毒爆发的情况,每日会更新多次)。
3.4网络带宽影响
•服务器与客户端之间策略通信流量,取决于管理员配置的操作系统保护策略的复杂程度,一个正常的策略文件在20K—80K之间变化,加密压缩后实际传输大校在5K—10K左右。
以500台终端(一个地市的终端通常少于500台)为例,在一次心跳时间(一小时)内发生的实际流量为10K*500=5M,每秒服务器的策略下载流量为5M/(3600s)=1.4Kbyte,需要占用带宽为11.2Kbps。
事实上,策略更新仅在策略发生变化时发起,平时带宽占用可以忽略不计。
•服务器和客户端之间的日志流量,默认设置的客户端日志大小限制为512K,每次上传的日志都是自上一次和服务器通讯后发生过的日志。
一般客户端一天(工作时间)发生的日志量是20条--200条(视网络中安全事件发生的频率而变化),我们以每心跳时间内发生200条日志这个极限来计算。
200条日志压缩后的大小大概在20K左右,每次心跳发生时服务器收到的流量大小为500用户*20K=10M,每秒流量为10M/(3600s)=2.8byte,需要占用带宽为22Kbps,对于现有网络带宽影响很小。
•服务器和客户端的安全内容更新数据量比较大,虽然采用了增量更新技术,每次更新的数据报仍然在200K左右。
对与区县的终端,可以利用管理系统“组更新提供者”方式进行更新,减轻对广域网带宽的影响。
这种方式下,策略服务器上可以设定终端从指定的临近的“组更新提供者”终端上进行病毒定义等安全内容更新下载操作。
即当区县一台终端获得内容更新后,其他的终端无需再到地市二级服务器进行更新,只需要从那台已经更新的终端上下载内容更新即可。
3.5安全管理策略设计
3.5.1管理权限策略
根据XX汽车的实际情况,创建一个域管理员帐号。
总公司除了拥有自己的域管理员帐号以外,还拥有能够管理全局的ADMIN帐号。
系统的常见维护操作,如策略备份与恢复、站点重装等只需要有服务器操作系统管理员帐号即可,不需要全局的ADMIN帐号。
3.5.2组织结构策略
在计算机全局组下,默认只有临时组,另外创建四个新组,分别为特权组、隔离组、维护组、测试组。
这几个组为特殊功能组,做一些策略测试和一些非常态计算机的临时性管理。
还可以增加一些普通用户组,网络中的常态计算机都集中在普通用户组中;分组可以按地域、部门、职能、类型、应用来分组。
应该尽量保持扁平的组结构。
3.5.3备份和数据库维护策略
安排一些策略备份的调度计划。
在服务器软硬件出现故障时,可以快速恢复整个系统。
安排数据库事务日志的维护计划,防止事务日志无限制膨胀,吞噬掉所有硬盘空间,导致系统无法正常工作。
3.5.4安全策略
3.防病毒策略
●防病毒管理服务器的病毒定义码更新时间规划
●防病毒客户端的病毒定义码更新时间规划
●防病毒客户端的实时防护设置,配置病毒检测的类型、操作处理方式、警报方式
●防病毒客户端的日志记录时间设置
●防病毒客户端的隔离区参数设置
●防病毒客户端的篡改选项设置
●防病毒客户端的调度扫描设置,包括扫描的类型和对病毒的处理方式
4.防火墙策略
在该策略库中做了2个策略模版分别为:
隔离区策略、内网限制策略。
在这些策略模版中包括以下几个策略:
●受限的应用程序:
禁用一些与工作无关的应用程序运行。
●恶意程序黑名单:
禁用一些严重的病毒、木马、恶意程序
●禁止拨号和无线网络连接:
防止非法外连
●互联网网址屏蔽策略:
杜绝与公网IP的通讯
5.操作系统防护策略
●设备禁用示例
●USB存储设备只读
●防止USB木马传播
●防止IE加载恶意插件示例
●禁止程序运行示例
●注册表键保护示例
●文件修改审计示例
6.主机完整性策略
●防病毒软件的安装与运行检测规则
●分发防病毒软件示例
●补丁检查策略
●安全加固设置
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Symantec SEP终端防护解决方案 SEP 终端 防护 解决方案