【文章內(nèi)容簡介】 緒”狀態(tài)，從而無需部署其它網(wǎng)絡(luò)訪問控制端點(diǎn)代理軟件。 利用現(xiàn)有安全技術(shù)和 IT 投資 — 可以與其它領(lǐng)先防病毒供應(yīng)商、防火墻、IPS 技術(shù)和網(wǎng)絡(luò)訪問控制基礎(chǔ)架構(gòu)協(xié)作。還可以與領(lǐng)先的軟件部署工具、補(bǔ)丁管理工具和安全信息管理工具協(xié)作。 主要功能 防病毒和反間諜軟件 — 提供了無可匹敵的一流惡意軟件防護(hù)能力，包括市場領(lǐng)先的防病 毒防護(hù)、增強(qiáng)的間諜軟件防護(hù)、新 rootkit 防護(hù)、減少內(nèi)存使用率和全新的動態(tài)性能調(diào)整，以保持用戶的工作效率。 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 6－ 網(wǎng)絡(luò)威脅防護(hù) — 提供基于規(guī)則的防火墻引擎和一般漏洞利用禁止功能 (GEB)，該功能可以在惡意軟件進(jìn)入系統(tǒng)前將其阻止在外。 主動威脅防護(hù) — 針對不可見的威脅（即零日威脅）提供防護(hù)。包括不依賴特征的主動威脅掃描。 單個代理和單個管理控制臺 — 在一個代理上提供防病毒、反間諜軟件、桌面防火墻、 IPS、設(shè)備控制和網(wǎng)絡(luò)訪問控制（需要購買賽門鐵克網(wǎng)絡(luò)訪問控制許可證） — 通過單個管理控制臺即可進(jìn)行全面管理 。 終端準(zhǔn)入控制 Symantec Network Access Control 11 Symantec Network Access Control 11 是全面的端到端網(wǎng)絡(luò)訪問控制解決方案，通過與現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)架構(gòu)相集成，使企業(yè)能夠安全有效地控制對企業(yè)網(wǎng)絡(luò)的訪問。不管端點(diǎn)以何種方式與網(wǎng)絡(luò)相連， Symantec Network Access Control 11 都能夠發(fā)現(xiàn)并評估端點(diǎn)遵從狀態(tài)、設(shè)置適當(dāng)?shù)木W(wǎng)絡(luò)訪問權(quán)限、根據(jù)需要提供補(bǔ)救功能，并持續(xù)監(jiān)視端點(diǎn)以了解遵從狀態(tài)是否發(fā)生了變化。從而可以營造這樣的網(wǎng)絡(luò)環(huán)境：企業(yè) 可以在此環(huán)境中大大減少安全事故，同時(shí)提高企業(yè) IT 安全策略的遵從級別。 Symantec Network Access Control 11 使企業(yè)可以按照目標(biāo)經(jīng)濟(jì)有效地部署和管理網(wǎng)絡(luò)訪問控制。同時(shí)對端點(diǎn)和用戶進(jìn)行授權(quán)在當(dāng)今的計(jì)算環(huán)境中，企業(yè)和網(wǎng)絡(luò)管理員面臨著嚴(yán)峻的挑戰(zhàn)，即為不斷擴(kuò)大的用戶群提供訪問企業(yè)資源的權(quán)限。其中包括現(xiàn)場和遠(yuǎn)程員工，以及訪客、承包商和其他臨時(shí)工作人員?，F(xiàn)在，維護(hù)網(wǎng)絡(luò)環(huán)境完整性的任務(wù)面臨著前所未有的挑戰(zhàn)。如今無法再接受對網(wǎng)絡(luò)提供未經(jīng)檢查的訪問。隨著訪問企業(yè)系統(tǒng)的端點(diǎn)數(shù)量和類型激增，企業(yè)必 須能夠在連接到資源以前驗(yàn)證端點(diǎn)的健康狀況，而且在端點(diǎn)連接到資源之后，要對端點(diǎn)進(jìn)行持續(xù)驗(yàn)證。 Symantec Network Access Control 11 可以確保在允許端點(diǎn)連接到企業(yè) LAN、 WAN、 WLAN 或 VPN 之前遵從 IT 策略。 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 7－ 主要優(yōu)勢 部署 Symantec Network Access Control 11 的企業(yè)可以切身 體驗(yàn)到眾多優(yōu)勢。其中包括： ? 減少惡意代碼（如病毒、蠕蟲、間諜軟件和其它形式的犯罪軟件）的傳播 ? 通過對訪問企業(yè)網(wǎng)絡(luò)的不受管理的端點(diǎn)和受管理的端點(diǎn)加強(qiáng)控制，降低風(fēng)險(xiǎn) ? 為 最終用戶提供更高的網(wǎng)絡(luò)可用性，并減少服務(wù)中斷的情況 ? 通過實(shí)時(shí)端點(diǎn)遵從數(shù)據(jù)獲得可驗(yàn)證的企業(yè)遵從信息 ? 企業(yè)級集中管理架構(gòu)將總擁有成本降至最低 ? 驗(yàn)證對防病毒軟件和客戶端防火墻這樣的端點(diǎn)安全產(chǎn)品投資是否得當(dāng) 主要功能 網(wǎng)絡(luò)訪問控制流程 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 8－ 網(wǎng)絡(luò)訪問控制是一個流程，涉及對所有類型的端點(diǎn)和網(wǎng)絡(luò)進(jìn)行管理。此流程從連接到網(wǎng)絡(luò)之前開始，在整個連接過程中持續(xù)進(jìn)行。與所有企業(yè)流程一樣，策略可以作為評估和操作的基礎(chǔ)。 網(wǎng)絡(luò)訪問控制流程包括以下四個步驟： 1. 發(fā)現(xiàn)和評估端點(diǎn)。此步驟在端點(diǎn)連接到網(wǎng)絡(luò)訪問資源之前執(zhí)行。通過與現(xiàn)有網(wǎng)絡(luò) 基礎(chǔ)架構(gòu)相集成，同時(shí)使用智能代理軟件，網(wǎng)絡(luò)管理員可以確保按照最低 IT 策略要求對連接到網(wǎng)絡(luò)的新設(shè)備進(jìn)行評估。 2. 設(shè)置網(wǎng)絡(luò)訪問權(quán)限。只有對系統(tǒng)進(jìn)行評估并確認(rèn)其遵從 IT 策略后，才準(zhǔn)予該系統(tǒng)進(jìn)行全面的網(wǎng)絡(luò)訪問。對于不遵從 IT 策略或不滿足企業(yè)最低安全要求的系統(tǒng)，將對其進(jìn)行隔離，限制或拒絕其對網(wǎng)絡(luò)進(jìn)行訪問。 3. 對不遵從的端點(diǎn)采取補(bǔ)救措施。對不遵從的端點(diǎn)自動采取補(bǔ)救措施使管理員能夠?qū)⑦@些端點(diǎn)快速變?yōu)樽駨臓顟B(tài)，隨后再改變網(wǎng)絡(luò)訪問權(quán)限。管理員可以將補(bǔ)救過程完全自動化，這樣會使該過程對最終用戶完全透明；也可 以將信息提供給用戶，以便進(jìn)行手動補(bǔ)救。 4. 主動監(jiān)視遵從狀況。必須時(shí)刻遵從策略。因此， Symantec Network Access Control 11 以管理員設(shè)置的時(shí)間間隔主動監(jiān)視所有端點(diǎn)的遵從狀況。如果在某一時(shí)刻端點(diǎn)的遵從狀態(tài)發(fā)生了變化，那么該端點(diǎn)的網(wǎng)絡(luò)訪問權(quán)限也會隨之變化。 Symantec Altiris（ IT 生命周期管理解決方案） Altiris IT 生命周期管理解決方案具有多重系統(tǒng)管理功能，企業(yè)能隨著新的要求或新的系統(tǒng)管理需求部署新的功能，隨著企業(yè)的發(fā)展而不斷擴(kuò)充。每個解決方案以模塊化的方 式集中安裝在 Altiris 服務(wù)器上，通過安裝在客戶端的Agent（代理）的交互式來實(shí)現(xiàn)所有功能。 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 9－ Altiris 管理架構(gòu) — Notifications Server Notification Server 是 altiris 所有模塊化解決方案的基礎(chǔ)架構(gòu)，所有模塊都基于此。 其可擴(kuò)充管理架構(gòu) Extensible Management Architecture?(EMA?)為客戶提供了一個統(tǒng)一集中又具充分?jǐn)U展能力的管理平臺。通過 Notification Server， altriris 具備管理復(fù)雜網(wǎng)絡(luò)環(huán)境的能 力 無論是 LAN 還是 WAN。 其功能特性如下： 完全為 BS 結(jié)構(gòu)， Web 方式管理，統(tǒng)一集中的控制臺 Altiris 基于 Windows .Net 技術(shù)，采用 SQL Server 數(shù)據(jù)庫，符合主流的發(fā)展趨勢。 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 10－ 可以按角色和區(qū)域進(jìn)行多級分布式管理 其角色安全 (Role Base)和區(qū)域安全 (Scope Base)特性滿足大型企業(yè)客戶對管理的需求 管理多平臺能力 可以管理 Windows,Linux,Unix,Mac 等多種軟硬件平臺，而無須采用第三方產(chǎn)品。 強(qiáng)大的與第三方產(chǎn)品集成能力 企業(yè)資源共享是企業(yè) IT 總體規(guī)劃的重要內(nèi)容， altiris 通過其連接器解決方案 (Connector Solution) 提供了多種連接器 (Connector)— AD ， HP OpenView,IBM Director,SMS,Remedy Helpdesk， Oracle 甚至 SAP。 通過 ODBC,OLE DB,altiris 還可以與財(cái)務(wù)軟件、 HR 軟件進(jìn)行資源數(shù)據(jù)共享。 強(qiáng)大的 Web 報(bào)表功能 Altiris 不但提供了數(shù)百個已經(jīng)預(yù)定義的 Web 報(bào)表，還可以讓企業(yè)自定義符合企業(yè)需求的報(bào)表。 Package Server (分布式服務(wù)器 ) 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 11－ Package Server 功能使得 altiris 可以應(yīng)用于任何一種企業(yè)架構(gòu)，無論復(fù)雜還是簡單。并且與 AD 集成。 同時(shí) Package Server 不需要額外付費(fèi)，對于有復(fù)雜結(jié)構(gòu) WAN 環(huán)境企業(yè)可以節(jié)約很大一筆費(fèi)用。 通過工業(yè)標(biāo)準(zhǔn)的 SNMP,可以管理基于 SNMP 設(shè)備 Altiris 不但可以管理 PC 等設(shè)備，還可以管理網(wǎng)絡(luò)設(shè)備 基于策略的管理 Altiris 基于策略的管理可以大大減少重復(fù)性的管理工作環(huán)節(jié)，自動化操作能力是 IT 管理的重要特征。 altiris Notification Server 是免費(fèi)的 Altiris Notification Server 不需要額外的許可證費(fèi)用，企業(yè)可以自由任意的擴(kuò)展管理架構(gòu) 強(qiáng)大的合作伙伴支持能力 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 12－ Altriris 支持業(yè)界主流的計(jì)算機(jī)廠商，并為他們開發(fā)了專門針對硬件底層的管理工具，如 IBM 服務(wù)器、 Dell 服務(wù)器和客戶端、 HP 服務(wù)器和客戶端，為客戶提供更深層次的管理工具，這是其他管理軟件很難具有的。 綜上所述， altiris 管理架構(gòu)在廣度和深度上都是極具優(yōu)勢。 解決方案的主要市場、技術(shù)定位 Altiris 解決方式適合于擁有幾千臺、數(shù)萬臺甚至數(shù)十萬臺計(jì)算機(jī)的各種規(guī)模的 企業(yè)組織，這些企業(yè)組織須要有效降低 IT 管理成本和提高 IT管理效率，以求得良好的投資回報(bào)率，促進(jìn)企業(yè)業(yè)務(wù)發(fā)展與擴(kuò)大 Altiris 解決方案在商業(yè)組織、政府機(jī)構(gòu)、教育等幾乎所有領(lǐng)域都擁有眾多成功案例。 解決方案的專利技術(shù)和優(yōu)勢 Altiris 公司擁有眾多專利技術(shù)： recovery /deployment/wise 廠商的完整 IT 運(yùn)維產(chǎn)品線，產(chǎn)品在該產(chǎn)品線中的位置，與其他產(chǎn)品的關(guān)系 Altiris 擁有客戶端管理、服務(wù)器管理、資產(chǎn)管理、安全管理完整的管理工具集，在同類產(chǎn)品中擁有最完 整的產(chǎn)品構(gòu)成，在技術(shù)功能處于領(lǐng)先者地位。 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 13－ 第 3章 終端安全系統(tǒng)體系結(jié)構(gòu) 管理系統(tǒng)功能組件說明 終端安全管理系統(tǒng)包括三部分組件： ? 策略管理服務(wù)器 策略服務(wù)器實(shí)現(xiàn)所有安全策略、準(zhǔn)入控制規(guī)則的管理、設(shè)定和監(jiān)控，是整個終端安全標(biāo)準(zhǔn)化管理的核心。 通過使用控制臺管理員可以創(chuàng)建和管理各種策略、將策略分配給代理、查看日志并運(yùn)行端點(diǎn)安全活動報(bào)告。通過圖形報(bào)告、集中日志記錄和閾值警報(bào)等功能提供全面的端點(diǎn)可見性。統(tǒng)一控制臺簡化了端點(diǎn)安全管理，提供集中軟件更新、策略更新、報(bào)告等功能。 策略管理服務(wù)器可以完成以下任務(wù) ： ? 終端分組與權(quán)限 管理； 根據(jù)地理位置、業(yè)務(wù)屬性等條件對終端進(jìn)行分組管理，對于不同的組可以制定專門的組管理員，并進(jìn)行權(quán)限控制。 ? 策略管理與發(fā)布； 策略包括自動防護(hù)策略、 手動掃描的策略 、 手動掃描的策略 、 病毒、木馬防護(hù)策略 、 惡意腳本防護(hù)策略 、 電子郵件防護(hù)策略 （包括 outlook、 lotus以及 inter 郵件）、 廣告軟件防護(hù)策略 、前瞻性威脅防護(hù)策略、防火墻策略、入侵防護(hù)策略、硬件保護(hù)策略、軟件保護(hù)策略、升級策略、主機(jī)完整性策略等 ? 安全內(nèi)容更新下發(fā) 安全內(nèi)容更新包括病毒定義、防火墻規(guī)則、入侵防護(hù)定義、主動威脅防護(hù)規(guī)則等 ? 日志收 集和報(bào)表呈現(xiàn) 可以生成日報(bào) /周報(bào) /月報(bào) ，報(bào)告種類包括 ：風(fēng)險(xiǎn)報(bào)表（以服務(wù)器組、父服務(wù)器、客戶端組、計(jì)算機(jī)、 IP、用戶名為條件識別感染源、當(dāng)前環(huán)境下 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 14－ 高風(fēng)險(xiǎn)列表、按類型劃分的安全風(fēng)險(xiǎn)）、計(jì)算機(jī)狀態(tài)報(bào)表（內(nèi)容定義分發(fā)、產(chǎn)品版本列表、未接受管理客戶端列表）、掃描狀態(tài)報(bào)表、審計(jì)報(bào)表、軟件和硬件控制報(bào)表、網(wǎng)絡(luò)威脅防護(hù)報(bào)表、系統(tǒng)報(bào)表、 安全 遵從性報(bào)表。 ? 強(qiáng)制服務(wù)器管理和策略下發(fā) 對于交換機(jī)強(qiáng)制服務(wù)器和網(wǎng)關(guān)強(qiáng)制設(shè)備進(jìn)行統(tǒng)一的管理和策略定義。 ? 終端代理安裝包的維護(hù)和升級； ? 終端代理（包括終端保護(hù)代理和準(zhǔn)入控制代理） 終端安全管理 系統(tǒng)需要在所有的終端上部署安全代理軟件， 安全代理是整個企業(yè)網(wǎng)絡(luò)安全策略的執(zhí)行者，它安裝在網(wǎng)絡(luò)中的每一臺終端計(jì)算機(jī)上。 安全代理實(shí)現(xiàn)端點(diǎn)保護(hù)和準(zhǔn)入控制功能。 端點(diǎn)保護(hù)功能包括： ? 防病毒和反間諜軟件 — 提供病毒防護(hù)、間諜軟件防護(hù)、 rootkit 防護(hù)。 ? 網(wǎng)絡(luò)威脅防護(hù) — 提供基于規(guī)則的防火墻引擎和一般漏洞利用禁止功能 (GEB)，該功能可以在惡意軟件進(jìn)入系統(tǒng)前將其阻止在外。 ? 主動威脅防護(hù) — 針對不可見的威脅（即零日威脅）提供防護(hù)。包括不依賴特征的主動威脅掃描。 端點(diǎn)準(zhǔn)入控制功能包括： ? 主機(jī)完整性檢查和自動修復(fù) ：檢查終端計(jì)算機(jī)上防火墻、防病毒軟件、反間諜軟件、補(bǔ)丁程序、 Service Pack 或其他必需應(yīng)用程序是否符合要求，具體內(nèi)容可以是對防病毒程序的安裝， windows 補(bǔ)丁安裝，客戶端啟用強(qiáng)口令策略，關(guān)閉有威脅的服務(wù)與端口。因?yàn)橹鳈C(jī)完整性檢查支持對終端的注冊表檢查與設(shè)置，進(jìn)程管理，文件檢查，下載與啟動程序等，所以可通過設(shè)置自定義的策略來滿足幾乎所有對客戶端的安全策略與管理要求。 ? 強(qiáng)制：當(dāng)終端的安全設(shè)置不能滿足企業(yè)基準(zhǔn)安全策略的需求，可以限制終端的網(wǎng)絡(luò)訪問，如只能訪問修復(fù)服務(wù)器進(jìn)行自動修復(fù)操作。 以上兩部分功能 由一個代理軟件完成，接受策略管理服務(wù)器的統(tǒng)一管理。 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 15－ ? 強(qiáng)制認(rèn)證服務(wù)器 對于那些未安裝終端代理的終端或者私自卸載代理軟件的終端，必需通過網(wǎng)絡(luò)強(qiáng)制的方式進(jìn)行控制。這需要部署相關(guān)的強(qiáng)制服務(wù)器（ LAN Enforcer）。 賽門鐵克 LAN Enforcer 是帶外 RADIUS 代理解決方案，它與支持 標(biāo)準(zhǔn)的所有主要交換供應(yīng)商協(xié)同工作。幾乎所有有線以