【正文】 n 11 易于實(shí)施 和部署。 ? 簡單 單一代理，單一控制臺(tái) — 通過一個(gè)直觀用戶界面和基于 Web 的圖形報(bào)告 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 5－ 將全面的安全技術(shù)集成到單一代理 和集中的管理控制臺(tái)中。以實(shí)時(shí)方式檢測并阻止惡意軟件，包括病毒、蠕蟲、特洛伊木 馬、間諜軟件、廣告軟件和 rootkit。 Symantec Endpoint Protection 11 易于實(shí)施和部署。無論攻擊是由惡意的內(nèi)部人員發(fā)起，還是來自于外部，端點(diǎn)都會(huì)受到充分保護(hù)。它包括即刻可用的主動(dòng)防護(hù)技術(shù)以及管理控制功能；主動(dòng)防護(hù)技術(shù)能夠自動(dòng)分析應(yīng)用程序行為和網(wǎng)絡(luò)通信，以檢測并阻止可疑活動(dòng)，而管理控制功能使您能夠拒絕對(duì)企業(yè)來說被視為 高風(fēng)險(xiǎn)的特定設(shè)備和應(yīng)用程序活動(dòng)。 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 3－ 第 2章 產(chǎn)品功能簡介 端點(diǎn)保護(hù)系統(tǒng) Symantec Endpoint Protection 產(chǎn)品簡介 Symantec Endpoint Protection 11 將 Symantec AntiVirus?與高級(jí)威脅防御功能相結(jié)合，可以為筆記本、臺(tái)式機(jī)和服務(wù)器提供無與倫比的惡意軟件防護(hù)能力。在網(wǎng)吧、賓館房間或者其它更易受到攻擊或感染的不安全地點(diǎn)，遠(yuǎn)程用戶和移動(dòng)用戶使用不遵從筆記本電腦時(shí)會(huì)面臨更高的風(fēng)險(xiǎn)。而且，管理員可以根據(jù)他們的具體需要，輕松禁用或啟用 上述任何技術(shù)。為了提前應(yīng)對(duì)這些隱蔽多變的新 型安全威脅，企業(yè)必須升級(jí)他們的端點(diǎn)防護(hù)措施。多種上述復(fù)雜威脅會(huì)避開傳統(tǒng)的安全解決方案，使企業(yè)容易成為數(shù)據(jù)竊取和操控的受害者、造成關(guān)鍵業(yè)務(wù)服務(wù)中斷并導(dǎo)致公司品牌和聲譽(yù)受損。 該產(chǎn)品將業(yè)界領(lǐng)先的防病毒軟件、反間諜軟件和防火墻與先進(jìn)的主動(dòng)防護(hù)技術(shù)集成到一個(gè)可部署代理中，通過中央管理控制臺(tái)進(jìn)行管理。用戶安裝新軟件、阻止補(bǔ)丁程序更新、禁用防火墻或者進(jìn)行其它更改，導(dǎo)致設(shè)備乃至整個(gè) IT 基礎(chǔ)架構(gòu)面臨著風(fēng)險(xiǎn)。 但是，盡管他們能夠防止不遵從端點(diǎn)連接到企業(yè)網(wǎng)絡(luò)，但部分企業(yè)仍然因?yàn)楦鞣N原因尚未采用網(wǎng)絡(luò)準(zhǔn)入控制解決方案，這些原因包括許多解決方案： 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 2－ ? 無法提供有效實(shí)施和修復(fù) ? 增加端點(diǎn)上必須安裝的管理代理的數(shù)量 ? 導(dǎo)致 IT 基礎(chǔ)架構(gòu)過于復(fù)雜并且中斷次數(shù)太多 ? 缺少滿足企業(yè)獨(dú)特需求的靈活性，如適當(dāng)?shù)貪M足客戶和臨時(shí)工作者的需求 ? 無法與整個(gè)端點(diǎn)安全管理基礎(chǔ)架構(gòu)正確集成 Symantec Network Access Control 使用端到端的解決方案解決了上述所有問題，能夠安全地控制對(duì)企業(yè)網(wǎng)絡(luò)的訪問、實(shí)施端點(diǎn)安全策略以及與現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)架構(gòu)輕松集成。它還提供了先進(jìn)的威脅防御能力，能夠保護(hù)端點(diǎn)免遭目標(biāo)性攻擊以及之前沒有發(fā)現(xiàn)的未知攻擊侵?jǐn)_。它是一款功能全面的產(chǎn)品，只要您需要，即可立即為您提供所需的所有功能。從而不僅簡化了端點(diǎn)安全管理，而且還提供了出色的操作效能，如單個(gè)軟件更新和策略更新、統(tǒng)一的集中 報(bào)告及一個(gè)授權(quán)許可和維護(hù)計(jì)劃。 產(chǎn)品 主要優(yōu)勢 ? 安全 全面的防護(hù) — 集成一流的技術(shù)，可以在安全威脅滲透到網(wǎng)絡(luò)之前將其阻止，即便是由最狡猾的未知新攻擊者發(fā)起的攻擊也不例外。借助此情報(bào)可以采取相應(yīng)的防護(hù)措施，并且可以幫助您防御不斷變化的攻擊，從而使您高枕無憂。通過購買許可證可以在代理和管理控制臺(tái)上自動(dòng)啟用 Symantec Network Access Control 11 功能。這種保障端點(diǎn)安全的統(tǒng)一方法不僅簡化了管理，而且還提供了出色的操作效能，如單個(gè)軟件更新和策略更新、統(tǒng)一的集中報(bào)告及一個(gè)授權(quán)許可和維護(hù)計(jì)劃。還可以與領(lǐng)先的軟件部署工具、補(bǔ)丁管理工具和安全信息管理工具協(xié)作。包括不依賴特征的主動(dòng)威脅掃描。從而可以營造這樣的網(wǎng)絡(luò)環(huán)境：企業(yè) 可以在此環(huán)境中大大減少安全事故，同時(shí)提高企業(yè) IT 安全策略的遵從級(jí)別?，F(xiàn)在，維護(hù)網(wǎng)絡(luò)環(huán)境完整性的任務(wù)面臨著前所未有的挑戰(zhàn)。 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 7－ 主要優(yōu)勢 部署 Symantec Network Access Control 11 的企業(yè)可以切身 體驗(yàn)到眾多優(yōu)勢。 網(wǎng)絡(luò)訪問控制流程包括以下四個(gè)步驟： 1. 發(fā)現(xiàn)和評(píng)估端點(diǎn)。只有對(duì)系統(tǒng)進(jìn)行評(píng)估并確認(rèn)其遵從 IT 策略后，才準(zhǔn)予該系統(tǒng)進(jìn)行全面的網(wǎng)絡(luò)訪問。管理員可以將補(bǔ)救過程完全自動(dòng)化，這樣會(huì)使該過程對(duì)最終用戶完全透明；也可 以將信息提供給用戶，以便進(jìn)行手動(dòng)補(bǔ)救。如果在某一時(shí)刻端點(diǎn)的遵從狀態(tài)發(fā)生了變化，那么該端點(diǎn)的網(wǎng)絡(luò)訪問權(quán)限也會(huì)隨之變化。 其可擴(kuò)充管理架構(gòu) Extensible Management Architecture?(EMA?)為客戶提供了一個(gè)統(tǒng)一集中又具充分?jǐn)U展能力的管理平臺(tái)。 強(qiáng)大的與第三方產(chǎn)品集成能力 企業(yè)資源共享是企業(yè) IT 總體規(guī)劃的重要內(nèi)容， altiris 通過其連接器解決方案 (Connector Solution) 提供了多種連接器 (Connector)— AD ， HP OpenView,IBM Director,SMS,Remedy Helpdesk， Oracle 甚至 SAP。并且與 AD 集成。 綜上所述， altiris 管理架構(gòu)在廣度和深度上都是極具優(yōu)勢。 通過使用控制臺(tái)管理員可以創(chuàng)建和管理各種策略、將策略分配給代理、查看日志并運(yùn)行端點(diǎn)安全活動(dòng)報(bào)告。 ? 策略管理與發(fā)布； 策略包括自動(dòng)防護(hù)策略、 手動(dòng)掃描的策略 、 手動(dòng)掃描的策略 、 病毒、木馬防護(hù)策略 、 惡意腳本防護(hù)策略 、 電子郵件防護(hù)策略 （包括 outlook、 lotus以及 inter 郵件）、 廣告軟件防護(hù)策略 、前瞻性威脅防護(hù)策略、防火墻策略、入侵防護(hù)策略、硬件保護(hù)策略、軟件保護(hù)策略、升級(jí)策略、主機(jī)完整性策略等 ? 安全內(nèi)容更新下發(fā) 安全內(nèi)容更新包括病毒定義、防火墻規(guī)則、入侵防護(hù)定義、主動(dòng)威脅防護(hù)規(guī)則等 ? 日志收 集和報(bào)表呈現(xiàn) 可以生成日報(bào) /周報(bào) /月報(bào) ，報(bào)告種類包括 ：風(fēng)險(xiǎn)報(bào)表（以服務(wù)器組、父服務(wù)器、客戶端組、計(jì)算機(jī)、 IP、用戶名為條件識(shí)別感染源、當(dāng)前環(huán)境下 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 14－ 高風(fēng)險(xiǎn)列表、按類型劃分的安全風(fēng)險(xiǎn)）、計(jì)算機(jī)狀態(tài)報(bào)表（內(nèi)容定義分發(fā)、產(chǎn)品版本列表、未接受管理客戶端列表）、掃描狀態(tài)報(bào)表、審計(jì)報(bào)表、軟件和硬件控制報(bào)表、網(wǎng)絡(luò)威脅防護(hù)報(bào)表、系統(tǒng)報(bào)表、 安全 遵從性報(bào)表。 端點(diǎn)保護(hù)功能包括： ? 防病毒和反間諜軟件 — 提供病毒防護(hù)、間諜軟件防護(hù)、 rootkit 防護(hù)。 端點(diǎn)準(zhǔn)入控制功能包括： ? 主機(jī)完整性檢查和自動(dòng)修復(fù) ：檢查終端計(jì)算機(jī)上防火墻、防病毒軟件、反間諜軟件、補(bǔ)丁程序、 Service Pack 或其他必需應(yīng)用程序是否符合要求，具體內(nèi)容可以是對(duì)防病毒程序的安裝， windows 補(bǔ)丁安裝，客戶端啟用強(qiáng)口令策略，關(guān)閉有威脅的服務(wù)與端口。 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 15－ ? 強(qiáng)制認(rèn)證服務(wù)器 對(duì)于那些未安裝終端代理的終端或者私自卸載代理軟件的終端，必需通過網(wǎng)絡(luò)強(qiáng)制的方式進(jìn)行控制。 LAN Enforcer 使用該鏈接級(jí)協(xié)議評(píng)估端點(diǎn)遵從 性，提供自動(dòng)問題修復(fù)并允許遵從系統(tǒng)進(jìn)入企業(yè)網(wǎng)絡(luò)。 LAN Enforcer 可以參與現(xiàn)有 AAA 身份管 理架構(gòu)以便對(duì)用戶和端點(diǎn)進(jìn)行身份驗(yàn)證，對(duì)于只要求進(jìn)行端點(diǎn)遵從驗(yàn)證的環(huán)境，也可以充當(dāng)獨(dú)立的 RADIUS 解決方案（也稱為透明模式）。推薦終端 安全管理平臺(tái)采用“統(tǒng)一控制，二級(jí)管理”架構(gòu)，這樣的架構(gòu)與現(xiàn)有行政管理模式相匹配 —— 益于提高管理效率，同時(shí)又能體現(xiàn) “統(tǒng)一規(guī)劃，分級(jí)集中管理”的思想，讓各地市分擔(dān)省公司的運(yùn)行維護(hù)負(fù)擔(dān)。二級(jí)管理平臺(tái)上策略的變更也都會(huì)同步回一級(jí)控制平臺(tái)，在一級(jí)管理平臺(tái)上可以預(yù)覽任何一個(gè)二級(jí)甚至 三級(jí)服務(wù)器上的策略應(yīng)用情況。例如，國家電網(wǎng)在總部實(shí)現(xiàn)一級(jí)管理平臺(tái)，在各省中心實(shí)現(xiàn)二級(jí)管理平臺(tái)，在一個(gè)大的地市實(shí)現(xiàn)三級(jí)管理架構(gòu)，如下圖所示： 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 18－ 理論上 SEP11 的管理架構(gòu)層次是無限多，但是在實(shí)際部署中，我們推薦國家電網(wǎng)的 SEP 架構(gòu)設(shè)計(jì)控制在三層以下。通過策略復(fù)制與同步，不同地點(diǎn)的用戶都工作在本地的副本之上，然后同步他們之間的變更。 “分級(jí)管理”主要體現(xiàn)在地市管理平臺(tái)根據(jù)省中心的權(quán)限設(shè)置也 可以自主在管轄范圍內(nèi)進(jìn)行管理策略的擴(kuò)展和定制。如下圖所示： 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 20－ 服務(wù)器的負(fù)載均衡 SEP11/SNAC11 可以自行實(shí)現(xiàn)負(fù)載均衡和災(zāi)難恢復(fù)設(shè)置，無需再另行添置相關(guān)軟硬件設(shè)置。如果員工在離開其所在 地出差到其他分支機(jī)構(gòu)時(shí)，如果 SEP11 客戶端仍然去連接其原有的服務(wù)器，在網(wǎng)絡(luò)帶寬允許的情況下是不會(huì)有太大問題是；但是如果分支結(jié)構(gòu)較小， 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 22－ 又或者網(wǎng)絡(luò)連接情況不甚理想時(shí)，和服務(wù)器的連接這個(gè)問題就必須慎重考慮，否則，或者客戶端無法連接其管理其的服務(wù)器，或者占用大量廣域網(wǎng)的網(wǎng)絡(luò)帶寬，給業(yè)務(wù)系統(tǒng)使用網(wǎng)絡(luò)帶來不必要的影響。全國建設(shè)了自己的獨(dú)立的 Intra，此外，各個(gè)大區(qū)也建立了自己的 DNS 服務(wù)器和 DHCP 服務(wù)器，客戶端可以就近解析網(wǎng)絡(luò)域名。這樣，不論用 戶是否是總部的用戶，只要終端上的 DNS 服務(wù)器指向的是本地SEPM 服務(wù)器，就能順利的實(shí)現(xiàn)客戶端的漫游。強(qiáng)大的 SEP11終端安全管理系統(tǒng)能根據(jù)管理員的實(shí)際需要，在以下條件中任意選擇一個(gè)或者多個(gè)；條件可以是“和”，也可以是“或”，組成一個(gè)判斷用戶 當(dāng)前所處環(huán)境的判斷。 SEP11 充分考慮到了用戶的需求并提供了 多種方法供管理員選擇。如下圖所示： 上圖是同一地區(qū)同一優(yōu)先級(jí)的 SEPM 冗余設(shè)計(jì)。所以，維護(hù)數(shù)據(jù)庫的冗余以及災(zāi)備系統(tǒng)設(shè)置及就顯得更為重要了 數(shù)據(jù)庫的冗余設(shè)計(jì)也分為兩種，一種是單站點(diǎn)的設(shè)置，另外一種是對(duì)于多站點(diǎn)的設(shè)計(jì)。站點(diǎn)在 SEP11 管理系統(tǒng)中指的是一個(gè)數(shù)據(jù)庫以及連接它的 SEPM 服務(wù)器組。至于日志，管理員設(shè)置為單向復(fù)制，即兩個(gè)分支機(jī)構(gòu)的SEPM 服務(wù)器只向總部復(fù)制，總部的日志并不向分支機(jī)構(gòu)的數(shù)據(jù)庫上復(fù)制，以節(jié)省有限的廣域網(wǎng)網(wǎng)絡(luò)帶寬。 數(shù)據(jù)庫的備份分為兩種，其一是 SEPM 服務(wù)器自己設(shè)置的數(shù)據(jù)庫維護(hù)計(jì)劃，如下圖所示： 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 28－ 我們可以選擇是否備份日志，也可以設(shè)置保留多少次數(shù)據(jù)庫的備份。如果賽門鐵克實(shí)施評(píng)估技術(shù)確定該端點(diǎn)不遵從策略，則會(huì)告知 Symantec Enforcer 阻止該端點(diǎn)訪問網(wǎng)絡(luò)。通過將策略作為所有評(píng)估和操作的基礎(chǔ)，此驗(yàn)證和實(shí)施流程在端點(diǎn)連接到網(wǎng)絡(luò)之前開始，并且貫穿整個(gè)連接過程。通過與現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)架構(gòu)相集成，同時(shí)使用智能代理軟件，網(wǎng)絡(luò)管理員可以確保按照最低 IT 策略要求對(duì)連接到網(wǎng)絡(luò)的新設(shè)備進(jìn)行評(píng)估。 3. 修復(fù)不遵從的端點(diǎn)對(duì)不遵從的端點(diǎn)自動(dòng)采取補(bǔ)救措施使管理員能夠?qū)⑦@些端點(diǎn)快速變?yōu)樽駨臓顟B(tài)，隨后再改變網(wǎng)絡(luò)訪問權(quán)限。因此， Symantec Network Access Control 以管理員設(shè)置的時(shí)間間隔主動(dòng)監(jiān)視所有端點(diǎn)的遵從狀況。但是在進(jìn)行了初始網(wǎng)絡(luò)準(zhǔn)入控制部署后，大多數(shù)企業(yè)很快就超出了這些典型檢查。永久代理還提供最深入、最準(zhǔn)確、最可靠的系 統(tǒng)遵從信息，同時(shí)為評(píng)估選件提供最靈活的補(bǔ)救和修復(fù)功能。完全不基于代理的解決方案不能為管理員提供足夠權(quán)限來充分或精確地檢查端點(diǎn)是否完全遵從。該永久代理選件提供確保遵從企業(yè)策略需要的最深入、最準(zhǔn)確和最可靠的系統(tǒng)遵從信息。同樣，如果自動(dòng)網(wǎng)絡(luò)準(zhǔn)入控制解決方案不必要地阻止了這些用戶的訪問，也會(huì)導(dǎo)致相同后果。這可以用于當(dāng)前不受管理員管理的非企業(yè)設(shè)備或系統(tǒng)。該代理將根據(jù)管理員為訪客定義的策略，執(zhí)行適當(dāng)?shù)淖駨男詸z查 。此時(shí)，當(dāng)端點(diǎn)被重定向到 Web 服務(wù)器以下載代理時(shí)，會(huì)出現(xiàn)兩個(gè)選項(xiàng)，一個(gè)用于訪客，一個(gè)用于員工。 遠(yuǎn)程漏洞掃描 企業(yè)不能選擇安裝永久代理時(shí)，可以使用另一個(gè)補(bǔ)充性的端點(diǎn)評(píng)估方法，即利用遠(yuǎn)程漏洞掃描。 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 35－ Symantec Enforcers：用于消除 IT 和業(yè)務(wù)中斷的靈活實(shí)施選件 每個(gè)企業(yè)的網(wǎng)絡(luò)環(huán)境都具有獨(dú)特的長期發(fā)展模式，因此，不存在可以有效控制對(duì)所有網(wǎng)絡(luò)點(diǎn)的訪問的單一實(shí)施方法。 賽門鐵克還提供了一個(gè)基于主機(jī)的簡單實(shí)施方法，稱為自我實(shí)施。相反，它使用賽門鐵克桌面防火墻管理對(duì)網(wǎng)絡(luò)的訪問，提供最簡單、最快捷的實(shí)施部署選項(xiàng)。 Symantec Network Access Control 通過可分解代理和遠(yuǎn)程漏洞掃描解決與不受控端點(diǎn)相關(guān)的問題。某些解決方案需要同時(shí)部署端點(diǎn)代理和升級(jí)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)。這種類型的部署不需要更改基礎(chǔ)架構(gòu)，所以部署工作不再那么費(fèi)時(shí)?；诰W(wǎng)絡(luò)的 Enforcers 是一個(gè)必需組件，用于控制連接到網(wǎng)絡(luò)的不受控端點(diǎn)。 此外，為了簡化管理和遵從實(shí)施工作，與 Symantec Network Access Control 端點(diǎn)評(píng)估技術(shù)一樣，通 過 Symantec Endpoint Protection Manager 集中管理所有 Enforcers。 下圖即為 Gateway Enforcer（網(wǎng)關(guān)強(qiáng)制）的示意圖。 DHCP Enforcer 還可以與端點(diǎn)代理通信以發(fā)起必要的補(bǔ)救操作，使端點(diǎn)遵從策