【正文】 下圖即為 Gateway Enforcer（網(wǎng)關(guān)強(qiáng)制）的示意圖。某些解決方案需要同時(shí)部署端點(diǎn)代理和升級(jí)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)。 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 35－ Symantec Enforcers：用于消除 IT 和業(yè)務(wù)中斷的靈活實(shí)施選件 每個(gè)企業(yè)的網(wǎng)絡(luò)環(huán)境都具有獨(dú)特的長(zhǎng)期發(fā)展模式，因此，不存在可以有效控制對(duì)所有網(wǎng)絡(luò)點(diǎn)的訪問的單一實(shí)施方法。這可以用于當(dāng)前不受管理員管理的非企業(yè)設(shè)備或系統(tǒng)。永久代理還提供最深入、最準(zhǔn)確、最可靠的系 統(tǒng)遵從信息，同時(shí)為評(píng)估選件提供最靈活的補(bǔ)救和修復(fù)功能。通過與現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)架構(gòu)相集成，同時(shí)使用智能代理軟件，網(wǎng)絡(luò)管理員可以確保按照最低 IT 策略要求對(duì)連接到網(wǎng)絡(luò)的新設(shè)備進(jìn)行評(píng)估。至于日志，管理員設(shè)置為單向復(fù)制，即兩個(gè)分支機(jī)構(gòu)的SEPM 服務(wù)器只向總部復(fù)制，總部的日志并不向分支機(jī)構(gòu)的數(shù)據(jù)庫(kù)上復(fù)制，以節(jié)省有限的廣域網(wǎng)網(wǎng)絡(luò)帶寬。 SEP11 充分考慮到了用戶的需求并提供了 多種方法供管理員選擇。如果員工在離開其所在 地出差到其他分支機(jī)構(gòu)時(shí)，如果 SEP11 客戶端仍然去連接其原有的服務(wù)器，在網(wǎng)絡(luò)帶寬允許的情況下是不會(huì)有太大問題是；但是如果分支結(jié)構(gòu)較小， 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 22－ 又或者網(wǎng)絡(luò)連接情況不甚理想時(shí)，和服務(wù)器的連接這個(gè)問題就必須慎重考慮，否則，或者客戶端無(wú)法連接其管理其的服務(wù)器，或者占用大量廣域網(wǎng)的網(wǎng)絡(luò)帶寬，給業(yè)務(wù)系統(tǒng)使用網(wǎng)絡(luò)帶來(lái)不必要的影響。例如，國(guó)家電網(wǎng)在總部實(shí)現(xiàn)一級(jí)管理平臺(tái)，在各省中心實(shí)現(xiàn)二級(jí)管理平臺(tái)，在一個(gè)大的地市實(shí)現(xiàn)三級(jí)管理架構(gòu)，如下圖所示： 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 18－ 理論上 SEP11 的管理架構(gòu)層次是無(wú)限多，但是在實(shí)際部署中，我們推薦國(guó)家電網(wǎng)的 SEP 架構(gòu)設(shè)計(jì)控制在三層以下。 LAN Enforcer 使用該鏈接級(jí)協(xié)議評(píng)估端點(diǎn)遵從 性，提供自動(dòng)問題修復(fù)并允許遵從系統(tǒng)進(jìn)入企業(yè)網(wǎng)絡(luò)。 ? 策略管理與發(fā)布； 策略包括自動(dòng)防護(hù)策略、 手動(dòng)掃描的策略 、 手動(dòng)掃描的策略 、 病毒、木馬防護(hù)策略 、 惡意腳本防護(hù)策略 、 電子郵件防護(hù)策略 （包括 outlook、 lotus以及 inter 郵件）、 廣告軟件防護(hù)策略 、前瞻性威脅防護(hù)策略、防火墻策略、入侵防護(hù)策略、硬件保護(hù)策略、軟件保護(hù)策略、升級(jí)策略、主機(jī)完整性策略等 ? 安全內(nèi)容更新下發(fā) 安全內(nèi)容更新包括病毒定義、防火墻規(guī)則、入侵防護(hù)定義、主動(dòng)威脅防護(hù)規(guī)則等 ? 日志收 集和報(bào)表呈現(xiàn) 可以生成日?qǐng)?bào) /周報(bào) /月報(bào) ，報(bào)告種類包括 ：風(fēng)險(xiǎn)報(bào)表（以服務(wù)器組、父服務(wù)器、客戶端組、計(jì)算機(jī)、 IP、用戶名為條件識(shí)別感染源、當(dāng)前環(huán)境下 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 14－ 高風(fēng)險(xiǎn)列表、按類型劃分的安全風(fēng)險(xiǎn)）、計(jì)算機(jī)狀態(tài)報(bào)表（內(nèi)容定義分發(fā)、產(chǎn)品版本列表、未接受管理客戶端列表）、掃描狀態(tài)報(bào)表、審計(jì)報(bào)表、軟件和硬件控制報(bào)表、網(wǎng)絡(luò)威脅防護(hù)報(bào)表、系統(tǒng)報(bào)表、 安全 遵從性報(bào)表。 強(qiáng)大的與第三方產(chǎn)品集成能力 企業(yè)資源共享是企業(yè) IT 總體規(guī)劃的重要內(nèi)容， altiris 通過其連接器解決方案 (Connector Solution) 提供了多種連接器 (Connector)— AD ， HP OpenView,IBM Director,SMS,Remedy Helpdesk， Oracle 甚至 SAP。只有對(duì)系統(tǒng)進(jìn)行評(píng)估并確認(rèn)其遵從 IT 策略后，才準(zhǔn)予該系統(tǒng)進(jìn)行全面的網(wǎng)絡(luò)訪問。從而可以營(yíng)造這樣的網(wǎng)絡(luò)環(huán)境：企業(yè) 可以在此環(huán)境中大大減少安全事故，同時(shí)提高企業(yè) IT 安全策略的遵從級(jí)別。通過購(gòu)買許可證可以在代理和管理控制臺(tái)上自動(dòng)啟用 Symantec Network Access Control 11 功能。它是一款功能全面的產(chǎn)品，只要您需要，即可立即為您提供所需的所有功能。 該產(chǎn)品將業(yè)界領(lǐng)先的防病毒軟件、反間諜軟件和防火墻與先進(jìn)的主動(dòng)防護(hù)技術(shù)集成到一個(gè)可部署代理中，通過中央管理控制臺(tái)進(jìn)行管理。在網(wǎng)吧、賓館房間或者其它更易受到攻擊或感染的不安全地點(diǎn)，遠(yuǎn)程用戶和移動(dòng)用戶使用不遵從筆記本電腦時(shí)會(huì)面臨更高的風(fēng)險(xiǎn)。 Symantec Endpoint Protection 11 易于實(shí)施和部署。 ? 無(wú)縫 易于安裝、配置和管理 — Symantec Endpoint Protection11 使您可以輕松啟用、禁用和配置所需的 技術(shù)，以適應(yīng)您的環(huán)境。如今無(wú)法再接受對(duì)網(wǎng)絡(luò)提供未經(jīng)檢查的訪問。 4. 主動(dòng)監(jiān)視遵從狀況。 同時(shí) Package Server 不需要額外付費(fèi)，對(duì)于有復(fù)雜結(jié)構(gòu) WAN 環(huán)境企業(yè)可以節(jié)約很大一筆費(fèi)用。 ? 網(wǎng)絡(luò)威脅防護(hù) — 提供基于規(guī)則的防火墻引擎和一般漏洞利用禁止功能 (GEB)，該功能可以在惡意軟件進(jìn)入系統(tǒng)前將其阻止在外。在透明模式下，管理員只需將交換機(jī)配置為使用 LAN Enforcer 作為 RADIUS 服務(wù)器，就能讓設(shè)備根據(jù)遵從所定義策略的情況對(duì)端點(diǎn)進(jìn)行身份驗(yàn)證。在終端接入控制平臺(tái)上，策略復(fù)制還可以將一個(gè)管理服務(wù)器上的變更同步到另一個(gè)數(shù)據(jù)庫(kù)上，實(shí)現(xiàn)冗余備份。 SEP11系統(tǒng)在建立之初，可以在全國(guó)范圍內(nèi)使用統(tǒng)一的域名，例如 ，隨后在各地市的 DNS 服務(wù)器上綁定域名和對(duì)應(yīng)的本地的 SEPM 服務(wù)器 IP 地址，例如，總部和北京地區(qū)是共用同一臺(tái) DNS 服務(wù)器，同時(shí)總部和北京地區(qū)的 SEPM服務(wù)器有三臺(tái)（ 節(jié)介紹 的負(fù)載均衡）， IP 地址分別是 、 、管理員可以在本地的 DNS 服務(wù)器上設(shè)置 對(duì)應(yīng)的 IP 地址就是 、 、 。 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 25－ 上圖左部分是優(yōu)先級(jí)為 1 的本地 SEPM 服務(wù)器群，右邊的是優(yōu)先級(jí)為 2 的異地 SEPM 服務(wù)器群。在備份周期上可以選擇每小時(shí) /每日 /每周。管理員可以將補(bǔ)救過程完全自動(dòng)化，這樣會(huì)使該過程對(duì)最終用戶完全透明；也可以將信息提供給用戶，以便進(jìn)行手動(dòng)補(bǔ)救。另外，不基于代理 的解決方案很可能沒有足夠的權(quán)限來(lái)對(duì)端點(diǎn)進(jìn)行必要修改，以使其從不遵從狀態(tài)進(jìn)入遵從狀態(tài)。如果遵從，則會(huì)為端點(diǎn)授予訪問生產(chǎn)網(wǎng)絡(luò)的權(quán)限。該方法使用賽門鐵克桌面防火墻來(lái)允許或拒絕訪問。已在使用 Symantec Endpoint Protection 解決方案的企業(yè)已經(jīng)部署了代 理，只需啟用網(wǎng)絡(luò)準(zhǔn)入控制即可利用該功能。遵從策略的端點(diǎn)將啟動(dòng) DHCP 發(fā)布和更新要求。由于這些解決方案不依賴于內(nèi)部網(wǎng)絡(luò)或基礎(chǔ)架構(gòu)，所以企業(yè)可以采取分階段方法完成實(shí)施，根據(jù)自己的時(shí)間表自行決定如何進(jìn)行部署。它不能解決訪客或臨時(shí)員工等不受控端點(diǎn)連接到網(wǎng)絡(luò)的問題。 通過提供多個(gè)選項(xiàng)來(lái)驗(yàn)證遵從端點(diǎn)狀態(tài)和配置的策略， Symantec Network Access Control 可以確保試圖訪問企業(yè)網(wǎng)絡(luò)的員工和訪客滿足其最低安全標(biāo)準(zhǔn)和要求。如果承包商或臨時(shí)員工開始工作，但由于需要手動(dòng)設(shè)置網(wǎng)絡(luò)訪問而導(dǎo)致數(shù)日或數(shù)周無(wú)法訪問網(wǎng)絡(luò)，則會(huì)造成時(shí)間和成本的浪費(fèi)。網(wǎng)絡(luò)準(zhǔn)入控制通常涉及檢查防病毒、反間諜軟件以及安裝的補(bǔ)丁程序。 Symantec Network Access Control 會(huì)為各類網(wǎng)絡(luò)中的所有類型端點(diǎn)驗(yàn)證并實(shí)施策略遵從。我們?cè)? 節(jié)談到了多級(jí)管理體系，其中就有一個(gè)叫做“站點(diǎn)”的概念。 方法二是采用 SEP 終端安全管理系統(tǒng)的自動(dòng)處所切換功能。 同時(shí)，可以為各地市管理員分配適當(dāng)?shù)臋?quán)限，如是否允許地市管理員修改繼承的策略，限制其只可以查看本地市的報(bào)告，僅能 管理本地市州的客戶端等細(xì)致的權(quán)限。這些策略通過同步與復(fù)制的機(jī)制，在一二級(jí)服務(wù)器間保持一致。 以上兩部分功能 由一個(gè)代理軟件完成，接受策略管理服務(wù)器的統(tǒng)一管理。 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 13－ 第 3章 終端安全系統(tǒng)體系結(jié)構(gòu) 管理系統(tǒng)功能組件說明 終端安全管理系統(tǒng)包括三部分組件： ? 策略管理服務(wù)器 策略服務(wù)器實(shí)現(xiàn)所有安全策略、準(zhǔn)入控制規(guī)則的管理、設(shè)定和監(jiān)控，是整個(gè)終端安全標(biāo)準(zhǔn)化管理的核心。 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 9－ Altiris 管理架構(gòu) — Notifications Server Notification Server 是 altiris 所有模塊化解決方案的基礎(chǔ)架構(gòu)，所有模塊都基于此。與所有企業(yè)流程一樣，策略可以作為評(píng)估和操作的基礎(chǔ)。 主動(dòng)威脅防護(hù) — 針對(duì)不可見的威脅（即零日威脅）提供防護(hù)。 業(yè)界最佳的威脅趨勢(shì)情報(bào) — 賽門鐵克的防護(hù)機(jī)制使用業(yè)界領(lǐng)先的賽門鐵克全球情報(bào)網(wǎng)絡(luò)，可以提供有關(guān)整個(gè)互聯(lián)網(wǎng)威脅趨勢(shì)的全面視圖。 Symantec Endpoint Protection 11 不僅提供了世界一流、業(yè)界領(lǐng)先且基于特征的防病毒和反間諜軟件防護(hù)。 Symantec終端管理及安全解決方案 技術(shù) 規(guī)范 書 賽門鐵克 軟件（ 北京 ） 有限公司 2020年 08月 文檔 信息 屬性 內(nèi)容 文檔 名稱 ： 終端 管理和安全解決方案 技術(shù) 規(guī)范 書 文檔編號(hào)： 文檔版本： 版本日期： 文檔狀態(tài)： 制作人： 審閱人： 版本變更記錄 版本 修訂日期 修訂人 描述 20xx48 姚臻 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 I 目 錄 第 1 章 概述 ..........................................................................................................................................................1 第 2 章 產(chǎn)品功能簡(jiǎn)介 ........................................................................................................................................3 端點(diǎn)保護(hù)系統(tǒng) SYMANTEC ENDPOINT PROTECTION ........................................................................ 3 產(chǎn)品簡(jiǎn)介 ........................................................................................................................................3 產(chǎn)品主要優(yōu)勢(shì) ...............................................................................................................................4 主要功能 ........................................................................................................................................5 終端準(zhǔn)入控制 SYMANTEC NETWORK ACCESS CONTROL 11.......................................................... 6 主要優(yōu)勢(shì) ........................................................................................................................................7 主要功能 ........................................................................................................................................7 SYMANTEC ALTIRIS（ IT 生命周期管理解決方案） ...................................................................... 8 Altiris 管理架構(gòu) —Notifications Server.........................................................................................9 解決方案的主要市場(chǎng)、技術(shù)定位 ........................................................................................ 12 解決方案的專利技術(shù)和優(yōu)勢(shì) ................................................................................................. 12 廠商的完整 IT 運(yùn)維產(chǎn)品線，產(chǎn)品在該產(chǎn)品線中的位