Symentec 2010 @BJ

1. 服务器安全防护的意义与价值
Symantec Protection Suite Enterprise Edition for Servers
雷冲
Protection Suite Enterprise Edition for Servers 1

2. 内容提要
• 服务器安全防护的挑战
• 服务器安全防护的需求
• 赛门铁克服务器安全防护方案
• 总结
Protection Suite Enterprise Edition for Servers Symantec Vision 2010 2

3. 服务器安全防护的挑战
Protection Suite Enterprise Edition for Servers Symantec Vision 2010 3

4. 针对服务器的攻击
W32.Dozer cyber-attacks
目标: 美国与韩国政府，金融机构，新闻网站
攻击模式: Re-used MyDoom 蠕虫
影响: 破坏服务器数据，以及限制重启
Albert Gonzalez & two Russian attackers
目标: 信用卡公司与零售企业
攻击模式: SQL 注入与后门
影响: 1亿3千万信用卡号被盗
Conficker
目标: 收集个人信息，和下载安装附加的恶意程序
攻击模式: 利用windows 漏洞
影响: 大范围影响欧洲各个政府机构的网络通讯
Trojan Hydraq
目标: 科技公司
攻击模式: IE 漏洞
影响: 源代码等科技资料的窃取
4
Protection Suite Enterprise Edition for Servers Symantec Vision 2010 4

5. 常见的服务器安全威胁
• 非授权访问与入侵
• 拒绝服务攻击
• 非授权配置变更
• 数据丢失与窃取
• 跳板攻击或入侵
SOURCE: NIST Guide to General Server Security (July 2008)
Protection Suite Enterprise Edition for Servers Symantec Vision 2010 5

6. 常见的服务器攻击方式 非授权访问
应用漏洞分析/入侵
用户/账号权限变更 数据库服务器
文件服务器
Domain
恶意代码植入与数
据收割 邮件服务器 Controller Server
Web 服务器
Entry as email
attachment or file link
应用服务器
Internet 系统后门与非授权访问
Protection Suite Enterprise Edition for Servers Symantec Vision 2010 6

7. 服务器安全防护的需求
Protection Suite Enterprise Edition for Servers Symantec Vision 2010 7

8. 服务器环境中需要关注的安全点
合规 防护 监控 修复
Confiig App “x” Admin Data
Policy Policy Policy Policy
Aligning to Business Threat Landscape Server Operations Response Times
Initiatives
•合规要求，内控要求 •频率增加，复杂度
及审计 提高 •性能影响 •及时响应
•企业策略要求，管理 •业务影响时间增加，
要求 安全管理开销提高 • 管理开销 • 集中报表/报告
Protection Suite Enterprise Edition for Servers Symantec Vision 2010 8

9. 简化服务器安全的需求
符合性要求 防护要求 监控要求 修复要求
• 基于策略的资产
分组管理
• 预制合规策略模
板
• 自动化，客户化
策略定制
• 实时评估
• 时间日志与报告/
报表
Protection Suite Enterprise Edition for Servers Symantec Vision 2010 9

10. 简化服务器安全的需求
符合性要求 防护要求 监控要求 修复要求
• 基于策略的资产 • 有效适应各种攻击
分组管理 • 广泛的操作系统以
• 预制合规策略模 及虚拟系统环境的
板 支持
• 对已知和未知的威
• 自动化，客户化 胁控制
策略定制
• 系统配置的锁定与
• 实时评估 控制
• 时间日志与报告/ • 系统控制与应用行
报表 为控制
Protection Suite Enterprise Edition for Servers Symantec Vision 2010 10

11. 简化服务器安全的需求
防护要求
符合性要求 监控要求 修复要求
• 基于策略的资产 • 有效适应各种攻击 • 实施监控与报警
分组管理 • 广泛的操作系统以 • 基于行为特征的
• 预制合规策略模 及虚拟系统环境的 监控与分析
板 支持
• 集中监控
• 对已知和未知的威
• 自动化，客户化 胁控制
策略定制 • 灵活的报告，报
• 系统配置的锁定与 表和查询能力
• 实时评估 控制
• 时间日志与报告/ • 系统控制与应用行
报表 为控制
Protection Suite Enterprise Edition for Servers Symantec Vision 2010 11

12. 简化服务器安全的需求
防护要求
符合性要求 监控要求 修复要求
• 基于策略的资产 • 有效适应各种攻击 • 实施监控与报警 • 恶意代码移除
分组管理 • 广泛的操作系统以 • 基于行为特征的 • 自动相应
• 预制合规策略模 及虚拟系统环境的 监控与分析
板 支持 • 修复策略强制部
• 集中监控 署
• 对已知和未知的威
• 自动化，客户化 胁控制
策略定制 • 灵活的报告，报
表和查询能力 • 全球威胁预警关
• 系统配置的锁定与
• 实时评估 联分析
控制
• 时间日志与报告/ • 系统控制与应用行 • 流程调度
报表 为控制
Protection Suite Enterprise Edition for Servers Symantec Vision 2010 12

13. 赛门铁克服务器安全防护方案
Protection Suite Enterprise Edition for Servers Symantec Vision 2010 13

14. DMZ 区服务器保护
攻击: 应对方案:
•Hosts running unnecessary
services provide attackers
critical access info 系统防火墙
Web Server FTP Server Proxy Server
•Applications left unpatched 系统访问控制
or in default configuration
are vulnerable 监控、审计、报警
• Mis-configured web servers
给予策略的应用控制
外部攻击 Firewall
lead to installation of
malicious software
漏洞消除
Med
Med Med
Low High
Low High Low High
Performance/ Security
Compliance Availability
Protection Suite Enterprise Edition for Servers Symantec Vision 2010 14

15. 文件服务器保护
攻击: 应对方案:
•Infected files on file server can
lead to further infection
外部攻击 •Excessive file & directory access 系统防火墙
rights and open shares expand
entry points 系统访问控制
•Un-patched applications or
监控、审计、报警
services allow remote code
File Server Print Server
execution
给予策略的应用控制
•Unauthorized plug-ins of USB or
removable media allow data 漏洞消除
Regular
Disgruntled Ignorant leaks
Employee/
Employee
Insider Attack
Employee
设备控制
病毒查杀
Med Med Med
Low High Low High Low High
Performance/
Compliance Availability
Security
Protection Suite Enterprise Edition for Servers Symantec Vision 2010 15

16. 域控制服务器保护
攻击: 应对方案:
•User accounts created with
elevated privileges
• User accounts or lockouts 系统防火墙
Host-based Firewall
外部攻击 that are disabled by malware
or hackers 系统访问控制
System Hardening
Admin Access Control
• Modification of account
监控、审计、报警
Monitoring,
settings or clearing of windows Auditing, and Alerting
logs to hide tracks
Domain Server
给予策略的应用控制
Exploit Prevention
• Vulnerable services that could
allow compromise and
infection
Disgruntled
Ignorant
Admin / Insider
Admin
Attack
Med
Med Med
Low High
Low High Low High
Performance/ Security
Compliance Availability
Protection Suite Enterprise Edition for Servers Symantec Vision 2010 16

17. 应用、邮件、数据库服务器保护
攻击: 应对方案:
•SQL Injection Attack
•Vulnerable applications can lead
to remote execution attacks and 系统防火墙
Host-based Firewall
Database Server Application Server
shell access
Mail Server
•Deleting, viewing or changing System Hardening
系统访问控制
Admin Access Control
application configuration files
expose critical data Monitoring,
监控、审计、报警
Auditing, and Alerting
• Applications with default user
accounts or accounts with weak Policy-based
外部攻击
passwords
给予策略的应用控制
Application Control
• Remote access to the outside
漏洞消除
Exploit Prevention
Disgruntled
Ignorant
Admin / Insider
Admin Med Med Med
Attack
Low High Low High Low High
Performance/
Compliance Availability
Security
Protection Suite Enterprise Edition for Servers Symantec Vision 2010 17

18. Symantec 全面保护服务器 √ Unauthorized server
监控与防护访问
access
√attack监控与保护应用与行为
Application Exploit
to gain access
Changes to user
√ 监控与防护访问
privileges/accounts 数据库服务
文件服务器
器
Domain
√ Malware installed to
监控与保护文件系统
capture data 邮件服务器 Controller Server
Web Server
√ Entry as an email
防御非授权防问与操作
attachment or file link
应用服务器
Internet √ Backdoor entry enables
监控与防护访问
unauthorized access
Protection Suite Enterprise Edition for Servers Symantec Vision 2010 18

19. 总结
Protection Suite Enterprise Edition for Servers Symantec Vision 2010 19

20. 最佳的服务器防护技术
Detection +
Antivirus + Protection Antivirus for Linux Process Automation
Prevention
For Linux
Workflow
Symantec Symantec Symantec Symantec
Critical System Endpoint Antivirus for Workflow
Protection Protection for Linux
Servers
Protection Suite Enterprise Edition for Servers Symantec Vision 2010 20

21. 多合一的解决方案
VALUE
跨平台全面防护
高性能确保稳定
低成本集中管理
Protection Suite Enterprise Edition for Servers Symantec Vision 2010 21

22. Symantec Protection Center 同一管理平台，智能化集
中管理
• 单点登录
• 统一视图 Symantec Critical System
Protection
• 综合管理
– 配置
– 报表，报告
– 仪表板
Symantec Protection
Center
Symantec Endpoint
Protection
Protection Suite Enterprise Edition for Servers Symantec Vision 2010 22

23. Thank you!
雷冲
Thunder_lei@symantec.com
85180008-2161
Copyright © 2010 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in
the U.S. and other countries. Other names may be trademarks of their respective owners.
This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied,
are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.
23