Symantec安全管理解决的方案.ppt

赛门铁克安全管理解决方案 用户面临的的问题 赛门铁克安全管理平台SSIM简介 赛门铁克安全管理平台SSIM架构 总结 用户在安全管理方面遇到的挑战: 复杂(CIO) 不断变换的信息安全威胁,需要采用新的防护技术进行拦截,但是如何实现跨平台,跨产品的统一集中管理 如何证明企业在安全方面的投入产生了应有的回报 哪些业务资产在被威胁? 安全信息管理 安全情况 关联 区分优先级 工作流 某国内电信用户 应用/数据大集中 – 所有应用集中在EDC集中管理,专门的安全管理小组 SOX 合规要求 – 不能有效监控用户行为,评估安全风险 同时部署多家安全产品 - Symantec, CheckPoint, Cisco, Microsoft, 安氏… 安全信息的事件量 23台防火墙: 11.7 GB/天 513 GB/月 IDS: 1,600,000 事件/天 48,000,000 事件/月 通常每天 安全事故的统计 防火墙和IDS及其它安全产品日志量为6,600,000 条记录 真正与安全相关的有620 条报警 急需用户解决的严重威胁有２个． 赛门铁克安全管理解决方案 Introducing Symantec Security Information Manager Symantec? Security Information Manager (SSIM) 是安全信息和事件管理的的统一平台,他能帮助用户: 收集并分类安全日志 识别并解决重大安全事件 满足在安全监控和日志存贮方面的审计和合规需求 衡量安全控制的有效性 事件收集-集中保存事件信息 优先级调整和资产管理 紧急安全事件优先级的自动提升或调低,基于: 业务依赖 (CIA values) 相关的策略和法规要求 开放的端口/服务 漏洞状态 通过定制规则,适应用户要求: 灵活的规则编辑工具 可以调整事件触发的阈值 减少误报 不必再为IDS发出目标地址为Unix主机的Windows RPC攻击报警而烦恼. 威胁识别-通过事件关联和事件的规式化 用户行为的监控 用户行为的搜索和查询 : 从不同安全产品(VPN, OS, Firewall, IDS)收集的安全事件中追踪用户行为 事件审计,从历史事件中，发行导常用户行为 针对用户行为的关联和提示: 定制用户表跟踪特定用户的行为 创建特定规则针对特定的用户行为自动触发 工作流管理 通过报警和工作流实现安全事件的响应 SSIM支持email, pager,和 SNMP报警 内建的工单管理也可与第三方的工单管理集成 工单自动指定给特定的用户或工作组 为IT运维人员提供安全事件的解决方案 SSIM内建赛门铁克全球智能监控网络的知识库并在后台自动更新 实现制度化的知识普及 针对特定安全事件的解决方案共享 可定制的报表 完成事后审计搜索 简单快速的日志复查 生成针对审计人员的报告 自定义查询条件和内容 关键报告的自动生成 定制用户登录的仪表板 提供按照时间统计的趋势报表 自动定时生成并分发报告 通过查询向导定制报表 导入用户Logo, 定制页眉/页脚 legends, etc. 生成多页或集成多种报表的报告 支持多种文件格的导出 (CSV, pdf, html, xml) The SIM Wave SSIM 4.5 is a Leader in the Forrester Wave Report Quotes SSIM is much improved this year with 4.5 SSIM is easier to deploy and configure Improved data management capabilities make it easier to perform historical analysis Case Study | Fortune 50 Global Manufacturer Driver: Compliance Compliance teams require proof of a incident response process with a focus on user access control incident management Needed a mechanism to tie together a broad solution of several Symantec products Solution: Global SSIM Deployment 9 Appliance in 6 Locations across US, EMEA and JPAC SSIM turns millions of events into a handful of inc