基于主机入侵御防方案.ppt

Symantec? Critical System Protection v5.0基于主机的入侵防御产品(IPS);议程;当前安全趋势;如何阻截已经射出的子弹？;月;留给我们的时间真的不多—箭已发出;典型的攻击步骤;Symantec 集成的IDS/IPS解决方案;Symantec Critical System Protection(SCSP);Why Symantec Critical System Protection?;保护企业中的关键业务主机;主机安全产品的功能覆盖;SCSP的入侵防护功能;主动式预防 – 攻击正在趋向简单化;攻击正在趋向简单化(续.);Symantec CSP Solution Overview;UserApplications;防护能力;SCSP的入侵检测功能;Agent;SCSP入侵检测的工作模式;SCSP策略，默认按操作系统归类 未授权的系统配置更改 未授权的管理权限更改及滥用 失败登录 重要文件未授权访问和更改 注册表的更改（针对Windows平台) ……;日志的转发和合并;SCSP的主要功能和特点;SCSP 5.0 支持的系统平台;Symantec Critical System Protection 5.0 产品框架;SCSP代理程序(Behavior Control Agent)功能;注册表;行为控制描述(BCD) 的组件;行为控制描述 (BCDs):;拦截零日攻击;操作系统加固;预定义的应用程序安全策略，针对交互式程序策略 Microsoft Office Microsoft Outlook Internet Explorer 预定义的应用程序安全策略，针对后台服务 Microsoft Exchange IIS SQL Server as well as Sendmail, Apache, and Postfix 预定义的审计监控策略 ;维持策略依从;维持策略依从—将书面策略付诸行动;减少管理复杂程度;IIS 通常有权使用图示中特定的系统资源 取消这些选项将限制IIS每个功能模块能访问的资源 如果在IIS配置界面上配置,则需要在每台运行IIS的服务器上单独配置. SCSP只需要配置一个策略,应用到每台IIS服务器上;SCSP的功能小结;附注;狙击波病毒特征(W32.zotob.A/B/C/D/E);通过基于主机的IPS产品,保护关键主机不受病毒影响;SCSP Protected System;Windows 2000/XP/2003 Kernel;主机程序