【文章內(nèi)容簡介】 緒”狀態(tài)，從而無需部署其它網(wǎng)絡(luò)訪問控制端點(diǎn)代理軟件。 利用現(xiàn)有安全技術(shù)和 IT 投資 — 可以與其它領(lǐng)先防病毒供應(yīng)商、防火墻、IPS 技術(shù)和網(wǎng)絡(luò)訪問控制基礎(chǔ)架構(gòu)協(xié)作。還可以與領(lǐng)先的軟件部署工具、補(bǔ)丁管理工具和安全信息管理工具協(xié)作。 主要功能 防病毒和反間諜軟件 — 提供了無可匹敵的一流惡意軟件防護(hù)能力，包括市場領(lǐng)先的防病 毒防護(hù)、增強(qiáng)的間諜軟件防護(hù)、新 rootkit 防護(hù)、減少內(nèi)存使用率和全新的動(dòng)態(tài)性能調(diào)整，以保持用戶的工作效率。 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 6－ 網(wǎng)絡(luò)威脅防護(hù) — 提供基于規(guī)則的防火墻引擎和一般漏洞利用禁止功能 (GEB)，該功能可以在惡意軟件進(jìn)入系統(tǒng)前將其阻止在外。 主動(dòng)威脅防護(hù) — 針對不可見的威脅（即零日威脅）提供防護(hù)。包括不依賴特征的主動(dòng)威脅掃描。 單個(gè)代理和單個(gè)管理控制臺 — 在一個(gè)代理上提供防病毒、反間諜軟件、桌面防火墻、 IPS、設(shè)備控制和網(wǎng)絡(luò)訪問控制（需要購買賽門鐵克網(wǎng)絡(luò)訪問控制許可證） — 通過單個(gè)管理控制臺即可進(jìn)行全面管理 。 終端準(zhǔn)入控制 Symantec Network Access Control 11 Symantec Network Access Control 11 是全面的端到端網(wǎng)絡(luò)訪問控制解決方案，通過與現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)架構(gòu)相集成，使企業(yè)能夠安全有效地控制對企業(yè)網(wǎng)絡(luò)的訪問。不管端點(diǎn)以何種方式與網(wǎng)絡(luò)相連， Symantec Network Access Control 11 都能夠發(fā)現(xiàn)并評估端點(diǎn)遵從狀態(tài)、設(shè)置適當(dāng)?shù)木W(wǎng)絡(luò)訪問權(quán)限、根據(jù)需要提供補(bǔ)救功能，并持續(xù)監(jiān)視端點(diǎn)以了解遵從狀態(tài)是否發(fā)生了變化。從而可以營造這樣的網(wǎng)絡(luò)環(huán)境：企業(yè) 可以在此環(huán)境中大大減少安全事故，同時(shí)提高企業(yè) IT 安全策略的遵從級別。 Symantec Network Access Control 11 使企業(yè)可以按照目標(biāo)經(jīng)濟(jì)有效地部署和管理網(wǎng)絡(luò)訪問控制。同時(shí)對端點(diǎn)和用戶進(jìn)行授權(quán)在當(dāng)今的計(jì)算環(huán)境中，企業(yè)和網(wǎng)絡(luò)管理員面臨著嚴(yán)峻的挑戰(zhàn)，即為不斷擴(kuò)大的用戶群提供訪問企業(yè)資源的權(quán)限。其中包括現(xiàn)場和遠(yuǎn)程員工，以及訪客、承包商和其他臨時(shí)工作人員?，F(xiàn)在，維護(hù)網(wǎng)絡(luò)環(huán)境完整性的任務(wù)面臨著前所未有的挑戰(zhàn)。如今無法再接受對網(wǎng)絡(luò)提供未經(jīng)檢查的訪問。隨著訪問企業(yè)系統(tǒng)的端點(diǎn)數(shù)量和類型激增，企業(yè)必 須能夠在連接到資源以前驗(yàn)證端點(diǎn)的健康狀況，而且在端點(diǎn)連接到資源之后，要對端點(diǎn)進(jìn)行持續(xù)驗(yàn)證。 Symantec Network Access Control 11 可以確保在允許端點(diǎn)連接到企業(yè) LAN、 WAN、 WLAN 或 VPN 之前遵從 IT 策略。 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 7－ 主要優(yōu)勢 部署 Symantec Network Access Control 11 的企業(yè)可以切身 體驗(yàn)到眾多優(yōu)勢。其中包括： ? 減少惡意代碼（如病毒、蠕蟲、間諜軟件和其它形式的犯罪軟件）的傳播 ? 通過對訪問企業(yè)網(wǎng)絡(luò)的不受管理的端點(diǎn)和受管理的端點(diǎn)加強(qiáng)控制，降低風(fēng)險(xiǎn) ? 為 最終用戶提供更高的網(wǎng)絡(luò)可用性，并減少服務(wù)中斷的情況 ? 通過實(shí)時(shí)端點(diǎn)遵從數(shù)據(jù)獲得可驗(yàn)證的企業(yè)遵從信息 ? 企業(yè)級集中管理架構(gòu)將總擁有成本降至最低 ? 驗(yàn)證對防病毒軟件和客戶端防火墻這樣的端點(diǎn)安全產(chǎn)品投資是否得當(dāng) 主要功能 網(wǎng)絡(luò)訪問控制流程 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 8－ 網(wǎng)絡(luò)訪問控制是一個(gè)流程，涉及對所有類型的端點(diǎn)和網(wǎng)絡(luò)進(jìn)行管理。此流程從連接到網(wǎng)絡(luò)之前開始，在整個(gè)連接過程中持續(xù)進(jìn)行。與所有企業(yè)流程一樣，策略可以作為評估和操作的基礎(chǔ)。 網(wǎng)絡(luò)訪問控制流程包括以下四個(gè)步驟： 1. 發(fā)現(xiàn)和評估端點(diǎn)。此步驟在端點(diǎn)連接到網(wǎng)絡(luò)訪問資源之前執(zhí)行。通過與現(xiàn)有網(wǎng)絡(luò) 基礎(chǔ)架構(gòu)相集成，同時(shí)使用智能代理軟件，網(wǎng)絡(luò)管理員可以確保按照最低 IT 策略要求對連接到網(wǎng)絡(luò)的新設(shè)備進(jìn)行評估。 2. 設(shè)置網(wǎng)絡(luò)訪問權(quán)限。只有對系統(tǒng)進(jìn)行評估并確認(rèn)其遵從 IT 策略后，才準(zhǔn)予該系統(tǒng)進(jìn)行全面的網(wǎng)絡(luò)訪問。對于不遵從 IT 策略或不滿足企業(yè)最低安全要求的系統(tǒng)，將對其進(jìn)行隔離，限制或拒絕其對網(wǎng)絡(luò)進(jìn)行訪問。 3. 對不遵從的端點(diǎn)采取補(bǔ)救措施。對不遵從的端點(diǎn)自動(dòng)采取補(bǔ)救措施使管理員能夠?qū)⑦@些端點(diǎn)快速變?yōu)樽駨臓顟B(tài)，隨后再改變網(wǎng)絡(luò)訪問權(quán)限。管理員可以將補(bǔ)救過程完全自動(dòng)化，這樣會(huì)使該過程對最終用戶完全透明；也可 以將信息提供給用戶，以便進(jìn)行手動(dòng)補(bǔ)救。 4. 主動(dòng)監(jiān)視遵從狀況。必須時(shí)刻遵從策略。因此， Symantec Network Access Control 11 以管理員設(shè)置的時(shí)間間隔主動(dòng)監(jiān)視所有端點(diǎn)的遵從狀況。如果在某一時(shí)刻端點(diǎn)的遵從狀態(tài)發(fā)生了變化，那么該端點(diǎn)的網(wǎng)絡(luò)訪問權(quán)限也會(huì)隨之變化。 Symantec Altiris（ IT 生命周期管理解決方案） Altiris IT 生命周期管理解決方案具有多重系統(tǒng)管理功能，企業(yè)能隨著新的要求或新的系統(tǒng)管理需求部署新的功能，隨著企業(yè)的發(fā)展而不斷擴(kuò)充。每個(gè)解決方案以模塊化的方 式集中安裝在 Altiris 服務(wù)器上，通過安裝在客戶端的Agent（代理）的交互式來實(shí)現(xiàn)所有功能。 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 9－ Altiris 管理架構(gòu) — Notifications Server Notification Server 是 altiris 所有模塊化解決方案的基礎(chǔ)架構(gòu)，所有模塊都基于此。 其可擴(kuò)充管理架構(gòu) Extensible Management Architecture?(EMA?)為客戶提供了一個(gè)統(tǒng)一集中又具充分?jǐn)U展能力的管理平臺。通過 Notification Server， altriris 具備管理復(fù)雜網(wǎng)絡(luò)環(huán)境的能 力 無論是 LAN 還是 WAN。 其功能特性如下： 完全為 BS 結(jié)構(gòu)， Web 方式管理，統(tǒng)一集中的控制臺 Altiris 基于 Windows .Net 技術(shù)，采用 SQL Server 數(shù)據(jù)庫，符合主流的發(fā)展趨勢。 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 10－ 可以按角色和區(qū)域進(jìn)行多級分布式管理 其角色安全 (Role Base)和區(qū)域安全 (Scope Base)特性滿足大型企業(yè)客戶對管理的需求 管理多平臺能力 可以管理 Windows,Linux,Unix,Mac 等多種軟硬件平臺，而無須采用第三方產(chǎn)品。 強(qiáng)大的與第三方產(chǎn)品集成能力 企業(yè)資源共享是企業(yè) IT 總體規(guī)劃的重要內(nèi)容， altiris 通過其連接器解決方案 (Connector Solution) 提供了多種連接器 (Connector)— AD ， HP OpenView,IBM Director,SMS,Remedy Helpdesk， Oracle 甚至 SAP。 通過 ODBC,OLE DB,altiris 還可以與財(cái)務(wù)軟件、 HR 軟件進(jìn)行資源數(shù)據(jù)共享。 強(qiáng)大的 Web 報(bào)表功能 Altiris 不但提供了數(shù)百個(gè)已經(jīng)預(yù)定義的 Web 報(bào)表，還可以讓企業(yè)自定義符合企業(yè)需求的報(bào)表。 Package Server (分布式服務(wù)器 ) 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 11－ Package Server 功能使得 altiris 可以應(yīng)用于任何一種企業(yè)架構(gòu)，無論復(fù)雜還是簡單。并且與 AD 集成。 同時(shí) Package Server 不需要額外付費(fèi)，對于有復(fù)雜結(jié)構(gòu) WAN 環(huán)境企業(yè)可以節(jié)約很大一筆費(fèi)用。 通過工業(yè)標(biāo)準(zhǔn)的 SNMP,可以管理基于 SNMP 設(shè)備 Altiris 不但可以管理 PC 等設(shè)備，還可以管理網(wǎng)絡(luò)設(shè)備 基于策略的管理 Altiris 基于策略的管理可以大大減少重復(fù)性的管理工作環(huán)節(jié)，自動(dòng)化操作能力是 IT 管理的重要特征。 altiris Notification Server 是免費(fèi)的 Altiris Notification Server 不需要額外的許可證費(fèi)用，企業(yè)可以自由任意的擴(kuò)展管理架構(gòu) 強(qiáng)大的合作伙伴支持能力 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 12－ Altriris 支持業(yè)界主流的計(jì)算機(jī)廠商，并為他們開發(fā)了專門針對硬件底層的管理工具，如 IBM 服務(wù)器、 Dell 服務(wù)器和客戶端、 HP 服務(wù)器和客戶端，為客戶提供更深層次的管理工具，這是其他管理軟件很難具有的。 綜上所述， altiris 管理架構(gòu)在廣度和深度上都是極具優(yōu)勢。 解決方案的主要市場、技術(shù)定位 Altiris 解決方式適合于擁有幾千臺、數(shù)萬臺甚至數(shù)十萬臺計(jì)算機(jī)的各種規(guī)模的 企業(yè)組織，這些企業(yè)組織須要有效降低 IT 管理成本和提高 IT管理效率，以求得良好的投資回報(bào)率，促進(jìn)企業(yè)業(yè)務(wù)發(fā)展與擴(kuò)大 Altiris 解決方案在商業(yè)組織、政府機(jī)構(gòu)、教育等幾乎所有領(lǐng)域都擁有眾多成功案例。 解決方案的專利技術(shù)和優(yōu)勢 Altiris 公司擁有眾多專利技術(shù)： recovery /deployment/wise 廠商的完整 IT 運(yùn)維產(chǎn)品線，產(chǎn)品在該產(chǎn)品線中的位置，與其他產(chǎn)品的關(guān)系 Altiris 擁有客戶端管理、服務(wù)器管理、資產(chǎn)管理、安全管理完整的管理工具集，在同類產(chǎn)品中擁有最完 整的產(chǎn)品構(gòu)成，在技術(shù)功能處于領(lǐng)先者地位。 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 13－ 第 3章 終端安全系統(tǒng)體系結(jié)構(gòu) 管理系統(tǒng)功能組件說明 終端安全管理系統(tǒng)包括三部分組件： ? 策略管理服務(wù)器 策略服務(wù)器實(shí)現(xiàn)所有安全策略、準(zhǔn)入控制規(guī)則的管理、設(shè)定和監(jiān)控，是整個(gè)終端安全標(biāo)準(zhǔn)化管理的核心。 通過使用控制臺管理員可以創(chuàng)建和管理各種策略、將策略分配給代理、查看日志并運(yùn)行端點(diǎn)安全活動(dòng)報(bào)告。通過圖形報(bào)告、集中日志記錄和閾值警報(bào)等功能提供全面的端點(diǎn)可見性。統(tǒng)一控制臺簡化了端點(diǎn)安全管理，提供集中軟件更新、策略更新、報(bào)告等功能。 策略管理服務(wù)器可以完成以下任務(wù) ： ? 終端分組與權(quán)限 管理； 根據(jù)地理位置、業(yè)務(wù)屬性等條件對終端進(jìn)行分組管理，對于不同的組可以制定專門的組管理員，并進(jìn)行權(quán)限控制。 ? 策略管理與發(fā)布； 策略包括自動(dòng)防護(hù)策略、 手動(dòng)掃描的策略 、 手動(dòng)掃描的策略 、 病毒、木馬防護(hù)策略 、 惡意腳本防護(hù)策略 、 電子郵件防護(hù)策略 （包括 outlook、 lotus以及 inter 郵件）、 廣告軟件防護(hù)策略 、前瞻性威脅防護(hù)策略、防火墻策略、入侵防護(hù)策略、硬件保護(hù)策略、軟件保護(hù)策略、升級策略、主機(jī)完整性策略等 ? 安全內(nèi)容更新下發(fā) 安全內(nèi)容更新包括病毒定義、防火墻規(guī)則、入侵防護(hù)定義、主動(dòng)威脅防護(hù)規(guī)則等 ? 日志收 集和報(bào)表呈現(xiàn) 可以生成日報(bào) /周報(bào) /月報(bào) ，報(bào)告種類包括 ：風(fēng)險(xiǎn)報(bào)表（以服務(wù)器組、父服務(wù)器、客戶端組、計(jì)算機(jī)、 IP、用戶名為條件識別感染源、當(dāng)前環(huán)境下 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 14－ 高風(fēng)險(xiǎn)列表、按類型劃分的安全風(fēng)險(xiǎn)）、計(jì)算機(jī)狀態(tài)報(bào)表（內(nèi)容定義分發(fā)、產(chǎn)品版本列表、未接受管理客戶端列表）、掃描狀態(tài)報(bào)表、審計(jì)報(bào)表、軟件和硬件控制報(bào)表、網(wǎng)絡(luò)威脅防護(hù)報(bào)表、系統(tǒng)報(bào)表、 安全 遵從性報(bào)表。 ? 強(qiáng)制服務(wù)器管理和策略下發(fā) 對于交換機(jī)強(qiáng)制服務(wù)器和網(wǎng)關(guān)強(qiáng)制設(shè)備進(jìn)行統(tǒng)一的管理和策略定義。 ? 終端代理安裝包的維護(hù)和升級； ? 終端代理（包括終端保護(hù)代理和準(zhǔn)入控制代理） 終端安全管理 系統(tǒng)需要在所有的終端上部署安全代理軟件， 安全代理是整個(gè)企業(yè)網(wǎng)絡(luò)安全策略的執(zhí)行者，它安裝在網(wǎng)絡(luò)中的每一臺終端計(jì)算機(jī)上。 安全代理實(shí)現(xiàn)端點(diǎn)保護(hù)和準(zhǔn)入控制功能。 端點(diǎn)保護(hù)功能包括： ? 防病毒和反間諜軟件 — 提供病毒防護(hù)、間諜軟件防護(hù)、 rootkit 防護(hù)。 ? 網(wǎng)絡(luò)威脅防護(hù) — 提供基于規(guī)則的防火墻引擎和一般漏洞利用禁止功能 (GEB)，該功能可以在惡意軟件進(jìn)入系統(tǒng)前將其阻止在外。 ? 主動(dòng)威脅防護(hù) — 針對不可見的威脅（即零日威脅）提供防護(hù)。包括不依賴特征的主動(dòng)威脅掃描。 端點(diǎn)準(zhǔn)入控制功能包括： ? 主機(jī)完整性檢查和自動(dòng)修復(fù) ：檢查終端計(jì)算機(jī)上防火墻、防病毒軟件、反間諜軟件、補(bǔ)丁程序、 Service Pack 或其他必需應(yīng)用程序是否符合要求，具體內(nèi)容可以是對防病毒程序的安裝， windows 補(bǔ)丁安裝，客戶端啟用強(qiáng)口令策略，關(guān)閉有威脅的服務(wù)與端口。因?yàn)橹鳈C(jī)完整性檢查支持對終端的注冊表檢查與設(shè)置，進(jìn)程管理，文件檢查，下載與啟動(dòng)程序等，所以可通過設(shè)置自定義的策略來滿足幾乎所有對客戶端的安全策略與管理要求。 ? 強(qiáng)制：當(dāng)終端的安全設(shè)置不能滿足企業(yè)基準(zhǔn)安全策略的需求，可以限制終端的網(wǎng)絡(luò)訪問，如只能訪問修復(fù)服務(wù)器進(jìn)行自動(dòng)修復(fù)操作。 以上兩部分功能 由一個(gè)代理軟件完成，接受策略管理服務(wù)器的統(tǒng)一管理。 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 15－ ? 強(qiáng)制認(rèn)證服務(wù)器 對于那些未安裝終端代理的終端或者私自卸載代理軟件的終端，必需通過網(wǎng)絡(luò)強(qiáng)制的方式進(jìn)行控制。這需要部署相關(guān)的強(qiáng)制服務(wù)器（ LAN Enforcer）。 賽門鐵克 LAN Enforcer 是帶外 RADIUS 代理解決方案，它與支持 標(biāo)準(zhǔn)的所有主要交換供應(yīng)商協(xié)同工作。幾乎所有有線以