【正文】 mantec Endpoint Protection Manager 報(bào)告，并通過它接收其配置策略信息。此時(shí)，總部和兩個(gè)分支機(jī)構(gòu)的的 SEPM 服務(wù)器只要任意一個(gè)向 Symantec Liveupdate 獲取了最新的病毒庫、主動(dòng)威脅防護(hù)、主機(jī) IPS 特征庫后，其他的服務(wù)器勿需上網(wǎng)更新即可獲取同樣最新的病毒庫、主動(dòng)威脅防護(hù)、主機(jī) IPS 特征庫，本地的客戶端也隨后能得到及時(shí)的更新。 SEP 終端安全管理系統(tǒng)所有的數(shù)據(jù)均儲(chǔ)存在后臺(tái)的數(shù)據(jù)庫上，包括客戶端的分組、策略的定義、病毒庫，以及定期產(chǎn)生的日志及報(bào)表等等。 容災(zāi)與災(zāi)備系統(tǒng) 容災(zāi)和災(zāi)備系統(tǒng)的設(shè)計(jì)對(duì)任何一個(gè)系統(tǒng)都是極其重要，尤其是對(duì)一個(gè)覆蓋全網(wǎng)的安全管理系統(tǒng)。隨后當(dāng) SEP11 客戶端試圖連接 SEPM 服務(wù)器時(shí)，這臺(tái)客戶端會(huì)首先向本地 DNS 服務(wù)器發(fā)起解析 域名請(qǐng)求，由 DNS 服務(wù)器隨機(jī)分配 IP 地址給 SEP11 客戶端。 SEP11 可以為每 一個(gè)地區(qū) /組織結(jié)構(gòu) /組的用戶創(chuàng)建不同的服務(wù)器鏈接列表，當(dāng)客戶端接收到最新的服務(wù)器列表策略后，它會(huì)從列表中通過隨機(jī)算法選擇其中之一的服務(wù)器進(jìn)行連接，如果連接不上，會(huì)繼續(xù)通過隨機(jī)算法選擇其余服務(wù)器列別當(dāng)中的一個(gè)進(jìn)行連接，直至連接到某一個(gè)服務(wù)器為止，如下圖所示： 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 21－ 此外， SEP11 還可以定制不同的服務(wù)器優(yōu)先級(jí)，即只有自己的服務(wù)器列表第一優(yōu)先級(jí)中所有的服務(wù)器全部連接不上時(shí)，自動(dòng)尋找優(yōu)先級(jí)為二級(jí)的服務(wù)器列表，如下圖所示： 客戶端的漫游 對(duì)于國家電網(wǎng)這個(gè)大型企業(yè)來說，員工的流動(dòng)性也是非常大。 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 19－ “統(tǒng)一控制 ”體現(xiàn)在通過一個(gè)統(tǒng)一控制臺(tái)管理所有服務(wù)的功能，省中心管理員可通過整體方法來管理端點(diǎn)安全。根據(jù)需要，我們可以實(shí)現(xiàn)二級(jí)以上的管理關(guān)系。 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 16－ 系統(tǒng)管理架構(gòu)設(shè)計(jì) 系統(tǒng)架構(gòu)的設(shè)計(jì)取決與管理方式、終端數(shù)量及分布、網(wǎng)絡(luò)帶寬等條件。幾乎所有有線以太網(wǎng)和無線以太網(wǎng)交換機(jī)制造商都支持 IEEE 準(zhǔn)入控制協(xié)議。包括不依賴特征的主動(dòng)威脅掃描。 策略管理服務(wù)器可以完成以下任務(wù) ： ? 終端分組與權(quán)限 管理； 根據(jù)地理位置、業(yè)務(wù)屬性等條件對(duì)終端進(jìn)行分組管理，對(duì)于不同的組可以制定專門的組管理員，并進(jìn)行權(quán)限控制。 altiris Notification Server 是免費(fèi)的 Altiris Notification Server 不需要額外的許可證費(fèi)用，企業(yè)可以自由任意的擴(kuò)展管理架構(gòu) 強(qiáng)大的合作伙伴支持能力 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 12－ Altriris 支持業(yè)界主流的計(jì)算機(jī)廠商，并為他們開發(fā)了專門針對(duì)硬件底層的管理工具，如 IBM 服務(wù)器、 Dell 服務(wù)器和客戶端、 HP 服務(wù)器和客戶端，為客戶提供更深層次的管理工具，這是其他管理軟件很難具有的。 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 10－ 可以按角色和區(qū)域進(jìn)行多級(jí)分布式管理 其角色安全 (Role Base)和區(qū)域安全 (Scope Base)特性滿足大型企業(yè)客戶對(duì)管理的需求 管理多平臺(tái)能力 可以管理 Windows,Linux,Unix,Mac 等多種軟硬件平臺(tái)，而無須采用第三方產(chǎn)品。因此， Symantec Network Access Control 11 以管理員設(shè)置的時(shí)間間隔主動(dòng)監(jiān)視所有端點(diǎn)的遵從狀況。 2. 設(shè)置網(wǎng)絡(luò)訪問權(quán)限。 Symantec Network Access Control 11 可以確保在允許端點(diǎn)連接到企業(yè) LAN、 WAN、 WLAN 或 VPN 之前遵從 IT 策略。不管端點(diǎn)以何種方式與網(wǎng)絡(luò)相連， Symantec Network Access Control 11 都能夠發(fā)現(xiàn)并評(píng)估端點(diǎn)遵從狀態(tài)、設(shè)置適當(dāng)?shù)木W(wǎng)絡(luò)訪問權(quán)限、根據(jù)需要提供補(bǔ)救功能，并持續(xù)監(jiān)視端點(diǎn)以了解遵從狀態(tài)是否發(fā)生了變化。 利用現(xiàn)有安全技術(shù)和 IT 投資 — 可以與其它領(lǐng)先防病毒供應(yīng)商、防火墻、IPS 技術(shù)和網(wǎng)絡(luò)訪問控制基礎(chǔ)架構(gòu)協(xié)作。添加 SymantecNetwork Access Control 11 支持時(shí)，可以簡(jiǎn)化管理、降低系統(tǒng)資源使用率，并且無需其它代理。對(duì)于希望外包安全監(jiān)控和管理的企業(yè)來說，賽門鐵克還提供托管安全服務(wù)，以提供實(shí)時(shí)安全防護(hù)。 這 種多層方法可以顯著降低風(fēng)險(xiǎn)，同時(shí)能夠充分保護(hù)企業(yè)資產(chǎn)，從而使企業(yè)高枕無憂。在任何計(jì)算機(jī)能夠訪問生產(chǎn)網(wǎng)絡(luò)及其資源之前，該計(jì)算機(jī)都必須完全遵從制定的企業(yè)策略，如安全補(bǔ)丁程序、防病毒軟件和病毒定義的正確版本級(jí)別。 其中結(jié)合了五種基本安全技術(shù)，可針對(duì)各種已知威脅和未知威脅主動(dòng)提供最高級(jí)別的防護(hù)，這些威脅包括病毒、蠕蟲、特洛伊木馬、間諜軟件、廣告軟件、 Rootkit 和零日攻擊。 Symantec Endpoint Protection 讓企業(yè)能夠采用更為有效的整體方法 ， 來保護(hù)筆記本電腦、臺(tái)式機(jī)和服務(wù)器等端點(diǎn)。 網(wǎng)絡(luò)準(zhǔn)入控制解決方案使企業(yè)能夠防止此行 為影響企業(yè)的 IT 基礎(chǔ)架構(gòu)。 甚至可以根據(jù)用戶位置阻止特定操作。賽門鐵克還提供廣泛的咨詢、技術(shù)培訓(xùn)和支持服務(wù)，可以指導(dǎo)企業(yè)完成解決方案的遷移、部署和管理，并 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 4－ 幫助您實(shí)現(xiàn)投資的全部?jī)r(jià)值。 能夠在整個(gè)企業(yè)中設(shè)置并實(shí)施安全策略，以保護(hù)您的重要資產(chǎn)。 Symantec Network Access Control 11 就緒 — 每個(gè)端點(diǎn)都會(huì)進(jìn)入“ Symantec Network Access Control 11 就緒”狀態(tài)，從而無需部署其它網(wǎng)絡(luò)訪問控制端點(diǎn)代理軟件。 終端準(zhǔn)入控制 Symantec Network Access Control 11 Symantec Network Access Control 11 是全面的端到端網(wǎng)絡(luò)訪問控制解決方案，通過與現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)架構(gòu)相集成，使企業(yè)能夠安全有效地控制對(duì)企業(yè)網(wǎng)絡(luò)的訪問。隨著訪問企業(yè)系統(tǒng)的端點(diǎn)數(shù)量和類型激增，企業(yè)必 須能夠在連接到資源以前驗(yàn)證端點(diǎn)的健康狀況，而且在端點(diǎn)連接到資源之后，要對(duì)端點(diǎn)進(jìn)行持續(xù)驗(yàn)證。通過與現(xiàn)有網(wǎng)絡(luò) 基礎(chǔ)架構(gòu)相集成，同時(shí)使用智能代理軟件，網(wǎng)絡(luò)管理員可以確保按照最低 IT 策略要求對(duì)連接到網(wǎng)絡(luò)的新設(shè)備進(jìn)行評(píng)估。必須時(shí)刻遵從策略。 其功能特性如下： 完全為 BS 結(jié)構(gòu)， Web 方式管理，統(tǒng)一集中的控制臺(tái) Altiris 基于 Windows .Net 技術(shù)，采用 SQL Server 數(shù)據(jù)庫，符合主流的發(fā)展趨勢(shì)。 通過工業(yè)標(biāo)準(zhǔn)的 SNMP,可以管理基于 SNMP 設(shè)備 Altiris 不但可以管理 PC 等設(shè)備，還可以管理網(wǎng)絡(luò)設(shè)備 基于策略的管理 Altiris 基于策略的管理可以大大減少重復(fù)性的管理工作環(huán)節(jié)，自動(dòng)化操作能力是 IT 管理的重要特征。統(tǒng)一控制臺(tái)簡(jiǎn)化了端點(diǎn)安全管理，提供集中軟件更新、策略更新、報(bào)告等功能。 ? 主動(dòng)威脅防護(hù) — 針對(duì)不可見的威脅（即零日威脅）提供防護(hù)。 賽門鐵克 LAN Enforcer 是帶外 RADIUS 代理解決方案，它與支持 標(biāo)準(zhǔn)的所有主要交換供應(yīng)商協(xié)同工作。在透明模式下運(yùn)行 LAN Enforcer 無需額外基礎(chǔ)架構(gòu)，并且是一種實(shí)施基于 VLAN 交換的安全網(wǎng)絡(luò)準(zhǔn)入控制解決方案的簡(jiǎn)單方法。通過復(fù)制關(guān)系實(shí)現(xiàn)上下級(jí)之間的策略同步。通過策略復(fù)制，終端接入控制平臺(tái)能夠支持多級(jí)管理，以及無限的終端數(shù)量擴(kuò)展能力，從而滿足國家電網(wǎng)終端節(jié)點(diǎn)規(guī)模不 斷擴(kuò)大的需求。它主要完成以下任務(wù)：解決網(wǎng)絡(luò)擁塞問題，服務(wù)就近提供，實(shí)現(xiàn)地理位置無關(guān)性 ；為用戶提供更好的訪問質(zhì)量；提高服務(wù)器響應(yīng)速度；提高服務(wù)器及其他資源的利用效率；避免了網(wǎng)絡(luò)關(guān)鍵部位出現(xiàn)單點(diǎn)失效。當(dāng)用戶電腦啟動(dòng)后會(huì)首先接受本地 DHCP服務(wù)器分配的 IP 地址、網(wǎng)關(guān)以及本地的 DNS 服務(wù)器 IP 地址。 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 24－ 這樣，任何一個(gè)客戶端如果滿足上訴條件的組合，即可認(rèn)為其處在總部地區(qū)，隨即分配總部地區(qū)的 SEPM 服務(wù)器與其連接。 在 SEPM 服務(wù)器實(shí)現(xiàn)冗余設(shè)計(jì)后，數(shù)據(jù)庫的冗余設(shè)計(jì)也需要得到管理員的同樣重視。同時(shí) ，管理員設(shè)置兩個(gè)分支機(jī)構(gòu)的“內(nèi)容復(fù)制”完全和總部同步。 其二 是采用 SQL Server 自己的數(shù)據(jù)庫備份維護(hù)計(jì)劃，此處不再詳述。 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 30－ 1. 發(fā)現(xiàn)和評(píng)估端點(diǎn)。 4. 主動(dòng)監(jiān)視遵從狀況。由于連接到網(wǎng)絡(luò)的端點(diǎn)數(shù)量非常之多（例如，“受控端點(diǎn)”或公司采購的端點(diǎn)，以及“不受控端點(diǎn) ”或并非由公司采購的端點(diǎn)，如使用家用計(jì)算機(jī)的遠(yuǎn)程工作人員、承包商、臨時(shí)員工以及可能使用自己筆記本電腦的合作伙伴）， Symantec Network Access Control 提供三種不同的端點(diǎn)評(píng)估技術(shù)來確定端點(diǎn)遵從性： ? 永久代理 ? 可分解的代理 ? 遠(yuǎn)程漏洞掃描 上圖：端點(diǎn)評(píng)估技術(shù) 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 32－ 永久代理 企業(yè)擁有的系統(tǒng)和其它受控系統(tǒng)使用管理員安裝的代理來確定遵從狀態(tài)。 Symantec Network Access Control 提供永久代理和管理員安裝的實(shí)施代理選件，用于確定端點(diǎn)的遵從狀態(tài)。評(píng)估端點(diǎn)的最精確方法是在端點(diǎn)上安裝全職網(wǎng)絡(luò)準(zhǔn)入控制代理，但在不屬于企業(yè)的端點(diǎn)上部署全職代理并不能保證企 業(yè)或訪客的最佳利益。在網(wǎng)絡(luò)會(huì)話結(jié)束時(shí)，代理會(huì)自動(dòng)將其從端點(diǎn)移除。遠(yuǎn)程掃描可以將此信息收集功能拓展到當(dāng)前無基于代理的技術(shù)可用的系統(tǒng)。該防火墻已包含為 Symantec Endpoint Protection 產(chǎn)品的一部分。通常，他們需要進(jìn)行網(wǎng)絡(luò)基礎(chǔ)架構(gòu)升級(jí)和變更，這一過程既費(fèi)時(shí)又昂貴?；谥鳈C(jī)的實(shí)施選項(xiàng)是 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 37－ 為受控端點(diǎn)實(shí)施網(wǎng)絡(luò)準(zhǔn)入控制的最快速、最簡(jiǎn)單的方法。不管瓶頸點(diǎn)是位于邊界網(wǎng)絡(luò)連接點(diǎn)上（如 WAN 鏈接或 VPN），還是位于訪問關(guān)鍵業(yè)務(wù)系統(tǒng)的內(nèi)部網(wǎng)段上， Gateway Enforcer 都可以對(duì)資源和補(bǔ)救服務(wù)有效提供可控訪問，使不遵從端點(diǎn)變?yōu)樽駨臓顟B(tài)。如果 DHCP Enforcer 接收到更新請(qǐng)求并確定端點(diǎn)處于遵從狀態(tài)，則端點(diǎn)將獲得對(duì)正常生產(chǎn)網(wǎng)絡(luò)的 DHCP 租期，從而使其擁有對(duì)網(wǎng)絡(luò)的完全訪問權(quán)限。如果端點(diǎn)沒有運(yùn)行網(wǎng)絡(luò)準(zhǔn)入控制代理、處于不遵從狀態(tài)或其遵從狀態(tài)未知，則 DHCP Enforcer 會(huì)分配限制性的 DHCP 租用。這些解決方案獨(dú)立于安全供應(yīng)商，這意味著它們可與其它領(lǐng)先的防病毒軟件、防火墻和主機(jī)入侵防護(hù)解決方案一起使用。 賽門鐵克使用簡(jiǎn)單、分階段的方法來部署高效全面的網(wǎng)絡(luò)準(zhǔn)入控制，提供可部署的各種實(shí)施選項(xiàng)，從而解決了上述問題。 但是，自我實(shí)施選項(xiàng)僅對(duì)“受控”端點(diǎn)有效。 Symantec Network Access Control 允許企業(yè)針對(duì)網(wǎng)絡(luò)的不同部分選擇最合適的實(shí)施方法，并不會(huì)增加操作復(fù)雜性或成本。如果該端點(diǎn)為企業(yè)端點(diǎn)之一，則可以部署全職的永久網(wǎng)絡(luò)準(zhǔn)入控制代理而不是可分解代理。在會(huì)話結(jié)束時(shí)， 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 34－ 這些代理會(huì)將其自身從系統(tǒng)中自動(dòng)移除。如果沒有為臨時(shí)員工和訪客設(shè)置網(wǎng)絡(luò)訪問權(quán)限的自動(dòng)方法，會(huì)嚴(yán)重影響工作效率。由于臺(tái)式機(jī)操作系統(tǒng)運(yùn)行方式的原因，要行之有效地檢查和糾正某些軟件是否正確安裝和運(yùn)行以及端點(diǎn)計(jì)算機(jī)是否已正確配置或處于可接受的狀態(tài)，網(wǎng)絡(luò)準(zhǔn)入控制解決方案都必須能夠檢查端點(diǎn)進(jìn)程表和注冊(cè)表，甚至可以修改某些項(xiàng)。 賽門鐵克端點(diǎn)評(píng)估技術(shù)：靈活性和全面性 網(wǎng)絡(luò)準(zhǔn)入控制通過驗(yàn)證與該網(wǎng)絡(luò)相連的端點(diǎn)是否經(jīng)過正確配置來保護(hù)其免 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 31－ 遭在線攻擊，從而保護(hù)網(wǎng)絡(luò)免遭惡意代碼以及未知或未授權(quán)端點(diǎn)的攻擊。只有對(duì)系統(tǒng)進(jìn)行評(píng)估并確認(rèn)其遵從 IT 策略后，才準(zhǔn)予該系 統(tǒng)進(jìn)行全面的網(wǎng)絡(luò)訪問。通過執(zhí)行補(bǔ)救任務(wù)，如致電當(dāng)?shù)氐难a(bǔ)丁程序經(jīng)理以安裝最新補(bǔ)丁程序，或者利用端點(diǎn)上為其它任務(wù)安裝的其它工具，即可實(shí)現(xiàn)這一目的。 接下來是備份。 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 26－ 對(duì)于這種情況， Symantec 公司推薦使用 Database Cluster 來實(shí)現(xiàn)數(shù)據(jù)庫的冗余設(shè)計(jì)，如 VCS 或者是 MCS，如下圖所示： 對(duì)多站點(diǎn)來說，情況就會(huì)好很多。 SEPM 服務(wù)器的容災(zāi)設(shè)計(jì)在 節(jié)已經(jīng)詳細(xì)描述，即客戶端可以隨機(jī)連接任何一個(gè) SEPM 服務(wù)器組中的 SEPM，任意一個(gè) SEPM 服務(wù)器宕機(jī)都不會(huì)影響客戶端和服務(wù)器的通訊。當(dāng)總部或其它地市的電腦漫游到本地市時(shí)，就能通過本地市的 DNS 服務(wù)器順利連接到本地的 SEPM 服務(wù)器。 方法之一是采用 DNS 的漫游；方法二 是自動(dòng)處所切換功能。通過系統(tǒng)內(nèi)置的繼承體系，不同的子組能夠從同一父組中繼承相同的安全策略，從而提高策略制定的便利性。 策略的同步與復(fù)制 復(fù)制就是不同地點(diǎn)或站點(diǎn)間的服務(wù)器系統(tǒng)通過特別拷貝來共享數(shù)據(jù)的過程。 這些策略主要以策略模版庫的形式提供。如果端點(diǎn)不遵從策略， LAN Enforcer 會(huì)將其放入隔離網(wǎng)絡(luò)，在此對(duì)其進(jìn)行修復(fù)，而不會(huì)影響任何遵從端點(diǎn)。 ? 強(qiáng)制：當(dāng)終端的安全設(shè)置不能滿足企業(yè)基準(zhǔn)安全策略的需求，可