（安全管理）S终端管理和安全解决方案功能规范书

　Symantec

　 终端管理及安全解决方案

　功能规范书

　赛门铁克软件（北京）有限公司 2020 年 07 月

　文档信息

　文档名称：

　终端管理和安全解决方案功能规范书 文档编号：

　文档版本：

　版本日期：

　文档状态：

　制作人：

　审阅人：

　 版本变更记录

　1.0 2008-4-8 姚臻

　目 录 第 1 章 概述 ........................................................................................................ 1 1.1 先进的威胁防护

　............................................................................................. 1

　1.2 同时对端点和用户进行授权

　.................................................................................... 2

　第 2 章 产品功能介绍 ............................................................................................ 4 2.1

　端点保护系统 S YMANTEC E NDPOINT P ROTECTION

　..................................................................4

　2.1.1 产品简介 .......................................................................................................... 4 2.1.2 产品主要优势 .................................................................................................... 5 2.1.3 主要功能 .......................................................................................................... 6 2.1.4 产品系列

　...................................................................................................... 7

　2.1.5 系统要求 .......................................................................................................... 8 2.2

　终端准入控制 S YMANTEC N ETWORK A CCESS C ONTROL

　11 .............................................. 10 2.2.1 主要优势 ......................................................................................................... 10 2.2.2 主要功能

　.................................................................................................... 11

　2.2.3 全方位的端点防护 .......................................................................................... 12 2.2.4 可在任何网络中部署 ....................................................................................... 12 2.2.5 产品系列 ......................................................................................................... 13 2.2.6 系统要求 ......................................................................................................... 14 2.3

　S YMANTEC

　A LTIRIS （IT 生命周期管理解决方案）

　...................................................... 16 2.3.1

　Altiris 管理架构 —Notifications Server ....................................................... 16

　2.3.2

　Altiris 功能模块

　............................................................................................ 19

　第 3 章 终端安全系统功能说明 .............................................................................. 22 3.1 管理系统功能组件说明

　.......................................................................................... 22

　3.2 系统架构功能设计 ....................................................................................................... 25 3.2.1 两级管理体系 ................................................................................................. 25 3.2.2 二级 VS 两级以上的管理 .............................................................................. 26 3.2.3 策略的同步与复制 .......................................................................................... 27 3.2.4 服务器的负载均衡 ......................................................................................... 28 3.2.5 客户端的漫游 ................................................................................................. 29 3.2.6 容灾与灾备系统 .............................................................................................. 31 3.3 终端安全功能点说明 .................................................................................................... 35 3.3.1 集成的端点防护方法 ...................................................................................... 35 3.3.2 简化端点保护 — 多重技术、一个产品 ......................................................... 36

　3.3.3 降低总拥有成本 ............................................................................................. 38 3.3.4 最全面的端点安全 ......................................................................................... 39 3.3.5 提高端点安全标准 ......................................................................................... 45 3.4 准入控制设计功能点 .................................................................................................... 47 3.4.1

　Symantec

　NAC 评估过程 .................................................................................... 47 3.4.2 赛门铁克端点评估技术：灵活性和全面性 .................................................... 49 3.4.3 永久代理 ........................................................................................................ 50 3.4.4 可分解的代理 .................................................................................................. 51 3.4.5 远程漏洞扫描 ................................................................................................. 52 3.4.6

　Symantec

　Enforcers：用于消除 IT 和业务中断的灵活实施选件 .................... 53 3.4.7

　Gateway Enforcer ............................................................................................ 55 3.4.8

　DHCP

　Enforcer ...................................................................................................... 56

　3.4.9

　LAN Enforcer—802.1x ...................................................................................... 57 3.4.10 网络准入控制行业框架支持 ........................................................................... 58 3.4.11 端到端的端点遵从 ......................................................................................... 59 3.4.12 Peer-to-Peer 的认证（点对点的认证）

　........................................................ 60 3.4.13 SNAC

　On-Demand Agent ............................................................................ 62 3.4.14 访客的网页登录认证 ...................................................................................... 62 3.4.15

　Gateway Enforcer 对 VLAN Trunking 的支持 ........................................... 64 3.4.16

　LAN Enforcer 的 MAC 地址过滤

　........................................................................ 65

　3.4.17

　Appliance

　monitoring

　via

　SNMP Traps ................................................... 66 第 4 章 终端管理产品功能 .................................................................................... 67 4.1 产品组成

　................................................................................................................. 67

　4.1.1 客户端管理套件 .............................................................................................. 67 4.1.2 服务器管理套件 ............................................................................................. 68 4.1.3 服务与资产管理套件 ...................................................................................... 68 第 5 章 SYMANTEC 终端安全防护功能概括与总结 ............................................... 70 5.1 支持集中管理平台能力：

　...................................................................................... 70

　5.2 客户端安全防护能力概括

　....................................................................................... 71

　5.3 产品的更新升级能力要求 ............................................................................................ 72 5.4 安全性要求 ................................................................................................................... 73 第 6 章 终端管理需求 .......................................................................................... 74 6.1 桌面终端资产管理

　.................................................................................................. 74

　6.2 软件分发 ...................................................................................................................... 75 6.3 补丁管理 ...................................................................................................................... 75 第 7 章 网络准入控制设备技术要求 ......................................................................... 77

　第 1 章 概述 1.1 先 进 的 威 胁 防 护 Symantec Endpoint Protection 将 Symantec AntiVirus™与高级威胁防御功能相结 合，可以为笔记本、台式机和服务器提供无与伦比的恶意软件防护能力。它甚至可以防御 最复杂的攻击，这些攻击能够躲避传统的安全措施，如 rootkit、零日攻击和不断变化的 间谍软件。

　Symantec Endpoint Protection 不仅提供了世界一流、业界领先且基于特征的防病毒 和反间谍软件防护。它还提供了先进的威胁防御能力，能够保护端点免遭目标性攻击以及 之前没有发现的未知攻击侵扰。它包括即刻可用的主动防护技术以及管理控制功能；主动 防护技术能够自动分析应用程序行为和网络通信，以检测并阻止可疑活动，而管理控制功 能使您能够拒绝对企业来说被视为高风险的特定设备和应用程序活动。您甚至可以根据用 户位置阻止特定操作。

　这种多层方法可以显著降低风险，同时能够充分保护您的企业资产，从而使您高枕无 忧。它是一款功能全面的产品，只要您需要，即可立即为您提供所需的所有功能。无论攻 击是由恶意的内部人员发起，还是来自于外部，端点都会受到充分保护。

　Symantec Endpoint Protection 不仅可以增强防护，而且可以通过降低管理开销以及 管理多个端点安全性产品引发的成本来降低总拥有成本。它提供一个代理，通过 一个管理控制台即可进行管理。从而不仅简化了端点安全管理，而且还提供了出色的 操作效能，如单个软件更新和策略更新、统一的集中报告及一个授权许可和维护计划。

　Symantec Endpoint Protection 易于实施和部署。赛门铁克还提供广泛的咨询、技术 培训和支持服务，可以指导企业完成解决方案的迁移、部署和管理，并帮助您实现投资的 全部价值。对于希望外包安全监控和管理的企业来说，赛门铁克还提供托管安全服务，以 提供实时安全防护。

　 图：统一的端点防护方法 Symantec Network Access Control 是全面的端到端网络访问控制解决方案，通过与现 有网络基础架构相集成，使企业能够安全有效地控制对企业网络的访问。不管端点以何种 方式与网络相连， Symantec Network Access Control 都能够发现并评估端点遵从状态、 设置适当的网络访问权限、根据需要提供补救功能，并持续监视端点以了解遵从状态是否 发生了变化。从而可以营造这样的网络环境：企业可以在此环境中大大减少安全事故，同 时提高企业 IT 安全策略的遵从级别。

　Symantec Network Access Control 使企业可以按照目标经济有效地部署和管理网络 访问控制。

　1.2 同 时 对 端 点 和 用 户 进 行 授 权 在当今的计算环境中，企业和网络管理员面临着严峻的挑战，即为不断扩大的用户群 提供访问企业资源的权限。其中包括现场和远程员工，以及访客、承包商和其他临时工作 人员。现在，维护网络环境完整性的任务面临着前所未有的挑战。如今无法再接受对网络 提供未经检查的访问。随着访问企业系统的端点数量和类型激增，企业必须能够在连接到 资源以前验证端点的健康状况，而且在端点连接到资源之后，要对端点进行持续验证。

　Symantec Network Access Control 可以确保在允许端点连接到企业 LAN 、 WAN 、 WLAN 或

　VPN 之前遵从 IT 策略。

　 第 2 章 产品功能介绍 2.1

　端 点 保 护 系 统

　S y m a n t e c

　 E n d p o i n t

　 P r o t e c t i o n

　2.1.1 产 品 简 介

　Symantec Endpoint Protection 11 将 Symantec AntiVirus™与高级威胁防御功能相 结合，可以为笔记本、台式机和服务器提供无与伦比的恶意软件防护能力。它甚至可以防 御最复杂的攻击，这些攻击能够躲避传统的安全措施，如 rootkit、零日攻击和不断变化 的间谍软件。

　Symantec Endpoint Protection 11 不仅提供了世界一流、业界领先且基于特征的防病 毒和反间谍软件防护。它还提供了先进的威胁防御能力，能够保护端点免遭目标性攻击以 及之前没有发现的未知攻击侵扰。它包括即刻可用的主动防护技术以及管理控制功能；主 动防护技术能够自动分析应用程序行为和网络通信，以检测并阻止可疑活动，而管理控制 功能使您能够拒绝对企业来说被视为高风险的特定设备和应用程序活动。甚至可以根据用 户位置阻止特定操作。

　这种多层方法可以显著降低风险，同时能够充分保护企业资产，从而使企业高枕无忧。

　它是一款功能全面的产品，只要您需要，即可立即为您提供所需的所有功能。无论攻击是 由恶意的内部人员发起，还是来自于外部，端点都会受到充分保护。

　Symantec Endpoint Protection 11 不仅可以增强防护，而且可以通过降低管理开销以 及管理多个端点安全性产品引发的成本来降低总拥有成本。它提供一个代理，通过一个管 理控制台即可进行管理。从而不仅简化了端点安全管理，而且还提供了出色的操作效能， 如单个软件更新和策略更新、统一的集中报告及一个授权许可和维护计划。

　Symantec Endpoint Protection 11 易于实施和部署。赛门铁克还提供广泛的咨询、技 术培训和支持服务，可以指导企业完成解决方案的迁移、部署和管理，并帮助您实现投资 的全部价值。对于希望外包安全监控和管理的企业来说，赛门铁克还提供托管安全服务， 以提供实时安全防护。

　 2.1.2 产 品 主 要 优 势

　安全

　全面的防护 — 集成一流的技术，可以在安全威胁渗透到网络之前将其阻止，即便是 由最狡猾的未知新攻击者发起的攻击也不例外。以实时方式检测并阻止恶意软件，包括病 毒、蠕虫、特洛伊木马、间谍软件、广告软件和 rootkit。

　主动防护 — 全新的主动威胁扫描使用独特的赛门铁克技术为未知应用程序的良好行 为和不良行为评分，从而无需创建基于规则的配置即可增强检测能力并减少误报。

　业界最佳的威胁趋势情报 — 赛门铁克的防护机制使用业界领先的赛门铁克全球情报 网络，可以提供有关整个互联网威胁趋势的全面视图。借助此情报可以采取相应的防护措 施，并且可以帮助您防御不断变化的攻击，从而使您高枕无忧。

　简单

　单一代理，单一控制台 — 通过一个直观用户界面和基于 Web 的图形报告将全面的 安全技术集成到单一代理和集中的管理控制台中。能够在整个企业中设置并实施安全策略， 以保护您的重要资产。添加 SymantecNetwork Access Control 11 支持时，可以简化管理、 降低系统资源使用率，并且无需其它代理。通过购买许可证可以在代理和管理控制台上自 动启用 Symantec

　Network

　Access

　Control

　11 功能。

　易于部署 — 由于它只需要一个代理和管理控制台，并且可以利用企业现有的安全和 IT 投资进行操作，因此，Symantec Endpoint Protection 11 易于实施和部署。对于希望 外包安全监控和管理的企业，赛门铁克提供托管安全服务，以提供实时安全防护。

　降低拥有成本 — Symantec Endpoint Protection 11 通过降低管理开销以及管理多 个端点安全产品引发的成本，提供了较低的总体拥有成本。这种保障端点安全的统一方法 不仅简化了管理，而且还提供了出色的操作效能，如单个软件更新和策略更新、统一的集 中报告及一个授权许可和维护计划。

　无缝

　易于安装、配置和管理 — Symantec Endpoint Protection11 使您可以轻松启用、禁 用和配置所需的技术，以适应您的环境。

　Symantec Network Access Control 11 就 绪 — 每 个 端 点 都 会 进 入 “ Symantec

　Network

　Access

　Control

　11 就绪”状态，从而无需部署其它网络访问控制端点代理软件。

　利用现有安全技术和 IT 投资 — 可以与其它领先防病毒供应商、防火墙、IPS 技术 和网络访问控制基础架构协作。还可以与领先的软件部署工具、补丁管理工具和安全信息 管理工具协作。

　2.1.3 主 要 功 能

　防病毒和反间谍软件 — 提供了无可匹敌的一流恶意软件防护能力，包括市场领先的 防病毒防护、增强的间谍软件防护、新 rootkit 防护、减少内存使用率和全新的动态性能 调整，以保持用户的工作效率。

　网络威胁防护 — 提供基于规则的防火墙引擎和一般漏洞利用禁止功能 (GEB)，该功 能可以在恶意软件进入系统前将其阻止在外。

　主动威胁防护 — 针对不可见的威胁（即零日威胁）提供防护。包括不依赖特征的主 动威胁扫描。

　单个代理和单个管理控制台 —

　在一个代理上提供防病毒、反间谍软件、桌面防火墙、 IPS、设备控制和网络访问控制（需要购买赛门铁克网络访问控制许可证）—

　 通过单个管

　理控制台即可进行全面管理。

　2.1.4 产 品 系 列

　2.1.5 系 统 要 求

　 2.2

　终 端 准 入 控 制

　S y m a n t e c

　 N e t w o r k

　 A cc e ss

　 C o n t r o l

　 11

　Symantec Network Access Control 11 是全面的端到端网络访问控制解决方案，通过 与现有网络基础架构相集成，使企业能够安全有效地控制对企业网络的访问。不管端点以 何种方式与网络相连，Symantec Network Access Control 11 都能够发现并评估端点遵从 状态、设置适当的网络访问权限、根据需要提供补救功能，并持续监视端点以了解遵从状 态是否发生了变化。从而可以营造这样的网络环境：企业可以在此环境中大大减少安全事 故，同时提高企业 IT

　安全策略的遵从级别。

　Symantec Network Access Control 11 使企业可以按照目标经济有效地部署和管理网 络访问控制。同时对端点和用户进行授权在当今的计算环境中，企业和网络管理员面临着 严峻的挑战，即为不断扩大的用户群提供访问企业资源的权限。其中包括现场和远程员工， 以及访客、承包商和其他临时工作人员。现在，维护网络环境完整性的任务面临着前所未 有的挑战。如今无法再接受对网络提供未经检查的访问。随着访问企业系统的端点数量和 类型激增，企业必须能够在连接到资源以前验证端点的健康状况，而且在端点连接到资源 之后，要对端点进行持续验证。Symantec Network Access Control 11 可以确保在允许端 点连接到企业 LAN 、 WAN 、 WLAN 或 VPN 之前遵从 IT 策略。

　2.2.1 主 要 优 势

　部署 Symantec Network Access Control 11 的企业可以切身

　体验到众多优势。其中包括：

　减少恶意代码（如病毒、蠕虫、间谍软件和其它形式的犯罪软件）的传

　播

　通过对访问企业网络的不受管理的端点和受管理的端点加强控制，降低 风险

　为最终用户提供更高的网络可用性，并减少服务中断的情况

　 通过实时端点遵从数据获得可验证的企业遵从信息

　 企业级集中管理架构将总拥有成本降至最低

　 验证对防病毒软件和客户端防火墙这样的端点安全产品投资是否得当

　2.2.2 主 要 功 能

　 网络访问控制流程 网络访问控制是一个流程，涉及对所有类型的端点和网络进行管理。此流程从连接到 网络之前开始，在整个连接过程中持续进行。与所有企业流程一样，策略可以作为评估和 操作的基础。

　网络访问控制流程包括以下四个步骤：

　1. 发现和评估端点。此步骤在端点连接到网络访问资源之前执行。通过与现有网络基 础架构相集成，同时使用智能代理软件，网络管理员可以确保按照最低 IT 策略要求对连 接到网络的新设备进行评估。

　2. 设置网络访问权限。只有对系统进行评估并确认其遵从 IT 策略后，才准予该系统 进行全面的网络访问。对于不遵从 IT 策略或不满足企业最低安全要求的系统，将对其进 行隔离，限制或拒绝其对网络进行访问。

　3. 对不遵从的端点采取补救措施。对不遵从的端点自动采取补救措施使管理员能够将 这些端点快速变为遵从状态，随后再改变网络访问权限。管理员可以将补救过程完全自动 化，这样会使该过程对最终用户完全透明；也可以将信息提供给用户，以便进行手动补救。

　4. 主 动 监 视 遵 从 状 况 。

　必 须 时 刻 遵 从 策 略 。

　因 此 ， Symantec Network Access

　Control 11 以管理员设置的时间间隔主动监视所有端点的遵从状况。如果在某一时刻端点 的遵从状态发生了变化，那么该端点的网络访问权限也会随之变化。

　2.2.3 全 方 位 的 端 点 防 护 网络由新企业系统、早期企业系统、承包商系统、访客系统、公共服务站、业务合作 伙伴以及其它无数未知系统组成。对于其中大部分端点，管理员施加的控制少之又少，甚 至不予以控制， 但又必须确保网络的安全性和可用性。

　Symantec Network Access

　Control 使企业能够将网络访问控制过程应用于受控或不受控的系统、旧系统或新系统以及

　未知或已知的系统。

　2.2.4 可 在 任 何 网 络 中 部 署

　典型的企业用户通过多种访问方法连接到网络；因此，管理员必须拥有足够的灵活性， 可以在不考虑连接类型的情况下一致应用评估和连接控制。作为当今市场上最成熟的网络 访问控制解决方案之一， Symantec Network Access Control 使网络管理员能够通过对网 络基础架构的现有投资主动实施遵从，而不需要升级网络设备。

　不管是使用直接集成到网络中的某个 Symantec

　Network

　Access

　Control

　Enforcer （仅主机实施选件不要求进行网络集成），还是使用集成到 Web 应用环境中的可分解代理， 企业都能够确保最终用户和端点在接入企业网络时保持遵从。

　2.2.5 产 品 系 列

　2.2.6 系 统 要 求

　平台支持 Symantec Endpoint Protection Manager

　Microsoft® Windows® 2003 （ 32 位和 64 位）

　Microsoft Windows XP（32 位）

　Microsoft Windows 2000—SP3 及更高版本（32 位）

　Symantec Endpoint Protection Manager 控制台 Microsoft

　Vista®（32

　位和 64 位）

　Microsoft Windows 2003（32 位和 64 位）

　Microsoft Windows XP（32 位和 64 位）

　Microsoft Windows 2000—SP3 及更高版本（32 位）

　Symantec Network Access Control 客户端 操作系统：

　Windows

　2000

　Professional

　Windows

　2000

　Server

　Windows

　2000

　Advanced Server

　 Windows 2000 Datacenter Server Windows XP Home Edition 或 Windows XP Professional

　Windows XP Tablet Edition Windows Server 2003 Standard 或 Windows Server 2003

　Enterprise Mac OS X 10.4

　或更高版本 Symantec Network Access Control

　 Scanner 操作系统：

　Windows 2000 Server SP4

　Windows 2003 Server SP1 最低处理器要求：Intel® Pentium® 4 1.8 GHz 至少 1

　GB 内存 1 GB 可用硬盘空间 Internet Explorer® 5.5 或更高版本 Windows 2000 Professional

　Symantec Network Access Control Enforcer 6100 系列 基本硬件设备选件（网关、局域网和 DHCP ）

　 故障开放硬件设备选件（网关、局域网和 DHCP ）

　 2.3

　S y m a n t e c

　 A l t i r i s （ I T

　生 命 周 期 管 理 解 决 方 案 ）

　Altiris IT 生命周期管理解决方案具有多重系统管理功能，企业能随着新的要求或新 的系统管理需求部署新的功能，随着企业的发展而不断扩充。每个解决方案以模块化的方 式集中安装在 Altiris 服务器上，通过安装在客户端的 Agent（代理）的交互式来实现所有 功能。

　2.3.1

　A l t i r i s

　管 理 架 构 —

　N o t i f i c a t i o n s

　 S e r v e r

　Notification

　 Server

　是 altiris

　 所有模块化解决方案的基础架构，所有模块都基于此。

　 其可扩充管理架构 -- Extensible Management Architecture™(EMA™) 为客户提供了

　一个统一集中又具充分扩展能力的管理平台。通过 Notification Server，altriris 具备 管理复杂网络环境的能力 --- 无论是 LAN 还是 WAN 。

　其功能特性如下：

　1、 完全为 BS 结构，Web 方式管理，统一集中的控制台 Altiris 基于 Windows .Net 技术，采用 SQL Server 数据库，符合主流的发展趋势。

　2、 可以按角色和区域进行多级分布式管理 其角色安全(Role

　 Base)和区域安全(Scope

　Base)特性满足大型企业客户对管理的需求 3、 管理多平台能力 可以管理 Windows,Linux,Unix,Mac 等多种软硬件平台，而无须采用第三方产品。

　4、 强大的与第三方产品集成能力 企 业 资 源 共 享 是 企 业 IT 总 体 规 划 的 重 要 内 容 ， altiris 通 过 其 连 接 器 解 决 方 案 (Connector Solution)提 供 了 多 种 连 接 器 (Connector)—AD， HP OpenView,IBM Director,SMS,Remedy

　 Helpdesk ， Oracle 甚至 SAP 。

　通过 ODBC,OLE DB,altiris 还可以与财务软件、HR 软件进行资源数据共享。

　5、 强大的 Web 报表功能 Altiris

　不但提供了数百个已经预定义的 Web 报表，还可以让企业自定义符合企业需求 的报表。

　6 、 Package Server ( 分布式服务器 )

　 Package Server 功能使得 altiris 可以应用于任何一种企业架构，无论复杂还是简单。

　并且与 AD 集成。

　同时 Package Server 不需要额外付费，对于有复杂结构 WAN 环境企业可以节约很大一 笔费用。

　7 、 通过工业标准的 SNMP , 可以管理基于 SNMP

　设备 Altiris 不但可以管理 PC 等设备，还可以管理网络设备 8、 基于策略的管理 Altiris

　基于策略的管理可以大大减少重复性的管理工作环节，自动化操作能力是 IT

　管 理的重要特征。

　9 、 altiris Notification Server 是免费的

　Altiris Notification Server 不需要额外的许可证费用，企业可以自由任意的扩展管

　理架构

　 10、 强大的合作伙伴支持能力 Altriris 支持业界主流的计算机厂商，并为他们开发了专门针对硬件底层的管理工具， 如 IBM 服务器、Dell 服务器和客户端、HP 服务器和客户端，为客户提供更深层次的管 理工具，这是其他管理软件很难具有的。

　综上所述，altiris

　管理架构在广度和深度上都是极具优势。

　 2.3.2

　A l t i r i s

　功 能 模 块 Client Management Suite TM 解决方案

　 客户端备份和恢复解决方案

　 > 系统实时管理解决方案 > 虚拟软件解决方案 > 软件打包工具专业版* * 每 1000 个节点包含一个许可

　> 应用管理解决方案 > 应用测量解决方案 > 远程控制解决方案 > 系统部署和迁移解决方案 > 资产清单解决方案

　> 补丁管理解决方案 > 软件分发解决方案

　 Client Management Suite 客户端管理套件

　> 服务器监控解决方案

　 >系统实时管理解决方案 >服务器备份及恢复解决方案

　 > 应用管理解决方案 > 服务器系统部署和迁移解决方案 > 服务器资产管理解决方案 > 补丁管理解决方案 > 软件分发解决方案

　 Server

　Management

　Suite 服务器管理套件

　Service & Asset Management Suite TM 解决方案 > Helpdesk 解决方案 （按每并发用户购买许可）

　> 资产控制解决方案 > 合同管理解决方案 > 连接器解决方案 > TCO 管理解决方案

　（按每并发用户购买许可）

　> 应用测量解决方案 > 资产清单解决方案

　Service & Asset Management Suite 资产管理套件

　 第 3 章 终端安全系统功能说明 3.1 管 理 系 统 功 能 组 件 说 明 终端安全管理系统包括三部分组件：

　策略管理服务器

　策略服务器实现所有安全策略、准入控制规则的管理、设定和监控，是整个终端安全 标准化管理的核心。通过使用控制台管理员可以创建和管理各种策略、将策略分配给代理、 查看日志并运行端点安全活动报告。通过图形报告、集中日志记录和阈值警报等功能提供 全面的端点可见性。统一控制台简化了端点安全管理，提供集中软件更新、策略更新、报 告等功能。

　策略管理服务器可以完成以下任务：

　终端分组与权限管理； 根据地理位置、业务属性等条件对终端进行分组管理，对于不同的组可以制定专门 的组管理员，并进行权限控制。

　策略管理与发布； 策略包括自动防护策略、手动扫描的策略、手动扫描的策略、病毒、木马防护策略、 恶意脚本防护策略、电子邮件防护策略（包括 outlook 、lotus 以及 internet 邮件）、 广告软件防护策略、前瞻性威胁防护策略、防火墙策略、入侵防护策略、硬件保护 策略、软件保护策略、升级策略、主机完整性策略等

　安全内容更新下发 安全内容更新包括病毒定义、防火墙规则、入侵防护定义、主动威胁防护规则等

　日志收集和报表呈现 可以生成日报/周报/月报，报告种类包括：风险报表（以服务器组、父服务器、客 户端组、计算机、IP、用户名为条件识别感染源、当前环境下高风险列表、按类型 划分的安全风险）、计算机状态报表（内容定义分发、产品版本列表、未接受管理 客户端列表）、扫描状态报表、审计报表、软件和硬件控制报表、网络威胁防护报 表、系统报表、安全遵从性报表。

　强制服务器管理和策略下发 对于交换机强制服务器和网关强制设备进行统一的管理和策略定义。

　终端代理安装包的维护和升级；

　 终端代理（包括终端保护代理和准入控制代理）

　终端安全管理系统需要在所有的终端上部署安全代理软件，安全代理是整个企业网络 安全策略的执行者，它安装在网络中的每一台终端计算机上。安全代理实现端点保护和准 入控制功能。

　端点保护功能包括：

　 防病毒和反间谍软件 —

　 提供病毒防护、间谍软件防护、rootkit

　 防护。

　网络威胁防护 —

　 提供基于规则的防火墙引擎和一般漏洞利用禁止功能 (GEB)，该功能可以在恶意软件进入系统前将其阻止在外。

　主动威胁防护 — 针对不可见的威胁（即零日威胁）提供防护。包括不依 赖特征的主动威胁扫描。

　端点准入控制功能包括：

　主机完整性检查和自动修复：检查终端计算机上防火墙、防病毒软件、反 间谍软件、补丁程序、Service Pack 或其他必需应用程序是否符合要求，具体内 容可以是对防病毒程序的安装， windows 补丁安装，客户端启用强口令策略，关闭 有威胁的服务与端口。因为主机完整性检查支持对终端的注册表检查与设置，进程 管理，文件检查，下载与启动程序等，所以可通过设置自定义的策略来满足几乎所 有对客户端的安全策略与管理要求。

　强制：当终端的安全设置不能满足企业基准安全策略的需求，可以限制终 端的网络访问，如只能访问修复服务器进行自动修复操作。

　以上两部分功能由一个代理软件完成，接受策略管理服务器的统一管理。

　强制认证服务器

　对于那些未安装终端代理的终端或者私自卸载代理软件的终端，必需通过网络强制的 方式进行控制。这需要部署相关的强制服务器（ LAN

　Enforcer ）。

　赛门铁克 LAN Enforcer 802.1X 是带外 802.1X RADIUS 代理解决方案，它与支持 802.1X 标准的所有主要交换供应商协同工作。几乎所有有线以太网和无线以太网交换机制 造商都支持 IEEE 802.1x 准入控制协议。LAN Enforcer 使用该链接级协议评估端点遵从 性，提供自动问题修复并允许遵从系统进入企业网络。在实施期间，端点上的赛门铁克代 理使用 802.1x 将遵从信息传送到网络交换机上，然后将此信息中继到 LAN Enforcer。如 果端点不遵从策略，LAN Enforcer 会将其放入隔离网络，在此对其进行修复，而不会影响 任何遵从端点。

　Symantec Network Access Control 11 补救端点并将其转换到遵从状态后， 802.1x

　协议将试图对用户重新进行身份验证，并为其授予网络访问权限。

　LAN Enforcer 可以参与现有 AAA 身份管理架构以便对用户和端点进行身份验证，对 于只要求进行端点遵从验证的环境，也可以充当独立的 RADIUS 解决方案（也称为透明模 式）。在透明模式下，管理员只需将交换机配置为使用 LAN Enforcer 作为 RADIUS 服务 器，就能让设备根据遵从所定义策略的情况对端点进行身份验证。在透明模式下运行 LAN

　Enforcer 无需额外基础架构，并且是一种实施基于 VLAN 交换的安全网络准入控制解决 方案的简单方法。

　3.2 系 统 架 构 功 能 设 计 3.2.1 两 级 管 理 体 系 终端接入控制平台按照两级架构设计，总部—省公司如下图：

　 在总部设立全国范围的终端接入控制平台中心，制定并下发统一的全网管理策略。这 些策略主要以策略模版库的形式提供。这些策略通过同步与复制的机制，在一二级服务器 间保持一致。二级管理平台上策略的变更也都会同步回一级控制平台，在一级管理平台上 可以预览任何一个二级甚至三级服务器上的策略应用情况。

　3.2.2 二 级 VS 两 级 以 上 的 管 理 在 3.2.1 节中，我们设计的是一个二级管理体系。通过复制关系实现上下级之间的策 略同步。根据需要，我们可以实现二级以上的管理关系。例如，国家电网在总部实现一级 管理平台，在各省中心实现二级管理平台，在一个大的地市实现三级管理架构，如下图所 示：

　 理论上 SEP11 的管理架构层次是无限多，但是在实际部署中，我们推荐国家电网的 SEP

　架构设计控制在三层以下。其一可以减少管理上的复杂度，包括架构的设计，人员的调配 设置，权限的分级下发设计；另外也避免了更多的硬件成本支出。

　3.2.3 策 略 的 同 步 与 复 制 复制就是不同地点或站点间的服务器系统通过特别拷贝来共享数据的过程。终端接入 控制平台的策略同步复制在逻辑上和微软域策略的同步复制类似，它并非简单的数据库间 复制关系，它内部包含有周全的防止策略冲突的处理。通过策略复制与同步，不同地点的 用户都工作在本地的副本之上，然后同步他们之间的变更。在终端接入控制平台上，策略 复制还可以将一个管理服务器上的变更同步到另一个数据库上，实现冗余备份。通过策略 复制，终端接入控制平台能够支持多级管理，以及无限的终端数量扩展能力，从而满足国 家电网终端节点规模不断扩大的需求。

　 3.2.4 服 务 器 的 负 载 均 衡

　SEP11/SNAC11 可以自行实现负载均衡和灾难恢复设置，无需再另行添置相关软硬件设

　置。

　SEP11 的负载均衡建立在现有体系结构之上，它提供了一种廉价有效的方法扩展服务器 带宽和增加吞吐量，加强网络数据处理能力，提高网络的灵活性和可用性。它主要完成以

　下任务：解决网络拥塞问题，服务就近提供，实现地理位置无关性 ；为用户提供更好的访 问质量；提高服务器响应速度；提高服务器及其他资源的利用效率；避免了网络关键部位 出现单点失效。

　SEP11 可以为每一个地区/组织结构/组的用户创建不同的服务器链接列表，当客户端接 收到最新的服务器列表策略后，它会从列表中通过随机算法选择其中之一的服务器进行连 接，如果连接不上，会继续通过随机算法选择其余服务器列别当中的一个进行连接，直至 连接到某一个服务器为止，如下图所示：

　 此外， SEP11 还可以定制不同的服务器优先级，即只有自己的服务器列表第一优先级 中所有的服务器全部连接不上时，自动寻找优先级为二级的服务器列表，如下图所示：

　 3.2.5 客 户 端 的 漫 游 对于国家电网这个大型企业来说，员工的流动性也是非常大。如果员工在离开其所在 地出差到其他分支机构时，如果 SEP11 客户端仍然去连接其原有的服务器，在网络带宽允 许的情况下是不会有太大问题是；但是如果分支结构较小，又或者网络连接情况不甚理想 时，和服务器的连接这个问题就必须慎重考虑，否则，或者客户端无法连接其管理其的服 务器，或者占用大量广域网的网络带宽，给业务系统使用网络带来不必要的影响。

　SEP11 充分考虑到了大型企业的员工在出差漫游到外地时的系统设置，方便客户端就近 连接到本地的服务器组，不但大大提高了连接速度，也避免和业务系统抢占宝贵的广域网 带宽。

　方法之一是采用 DNS 的漫游；方法二是自动处所切换功能。

　像国家电网这样的大型企业不但在全国都有自己的分支机构，网络建设更是走在其他 全国的前列。全国建设了自己的独立的 Intranet，此外，各个大区也建立了自己的 DNS 服 务器和 DHCP 服务器，客户端可以就近解析网络域名。

　SEP11 系统在建立之初，可以在全国 范围内使用统一的域名，例如 sepm.sgcc.com.cn ，随后在各地市的 DNS 服务器上绑定域 名和对应的本地的 SEPM 服务器 IP 地址，例如，总部和北京地区是共用同一台 DNS 服务器， 同时总部和北京地区的 SEPM 服务器有三台（ 4.2.4 节介绍的负载均衡），IP 地址分别是 10.0.1.1、10.0.1.2、10.0.1.3，管理员可以在本地的 DNS 服务器上设置 sepm.sgcc.com.cn 对应的 IP 地址就是 10.0.1.1 、 10.0.1.2 、 10.0.1.3 。当用户电脑启动后会首先接受本地 DHCP 服务器分配的 IP 地址、网关以及本地的 DNS 服务器 IP 地址。随后当 SEP11 客户端试图连 接 SEPM 服务器时，这台客户端会首先向本地 DNS 服务器发起解析 sepm.sgcc.com.cn 域名 请求，由 DNS 服务器随机分配 IP 地址给 SEP11 客户端。这样，不论用户是否是总部的用户， 只要终端上的 DNS

　服务器指向的是本地 SEPM 服务器，就能顺利的实现客户端的漫游。

　同样道理，各地市的 DNS 服务器也分别将 sepm.sgcc.com.cn 这个域名解析到本地的 SEPM 服务器的 IP 地址。当总部或其它地市的电脑漫游到本地市时，就能通过本地市的 DNS

　 服务器顺利连接到本地的 SEPM 服务器。

　方法二是采用 SEP 终端安全管理系统的自动处所切换功能。强大的 SEP11 终端安全管 理系统能根据管理员的实际需要，在以下条件中任意选择一个或者多个；条件可以是“和 ” ， 也可以是“或 ” ，组成一个判断用户当前所处环境的判断。条件包括以下：

　IP

　范围（包括单个 IP 地址、子网地址、IP 地址段、IP 地址范围等）

　DNS 服务器 IP 地址 DHCP 服务器 IP 地址 客户端可以解析主机名 客户端可以连接到管理服务器（可以连，或者是无法连接）

　网络连接类型（包括 ■ 任何网络 ■ 拨号网络 ■ 以太网 ■ 无线 Check Point VPN-1

　Cisco

　VPN

　Microsoft

　PPTP VPN

　Juniper NetScreen VPN

　Nortel Contivity VPN SafeNet SoftRemote VPN

　Aventail SSL VPN Juniper

　SSL VPN ）

　注册表键值 例如，管理员指定，当用户拿到了 10.1.2.1——10.1.2.250 的地址，同时通过以太网 连接，DNS 服务器的 IP 地址是 10.1.254，则认为其漫游到了总部地址。这样，任何一个客 户端如果满足上诉条件的组合，即可认为其处在总部地区，随即分配总部地区的 SEPM 服务 器与其连接。

　3.2.6 容 灾 与 灾 备 系 统

　容灾和灾备系统的设计对任何一个系统都是极其重要，尤其是对一个覆盖全网的安全 管理系统。

　SEP11

　 充分考虑到了用户的需求并提供了多种方法供管理员选择。

　容灾系统设计分为两部分，一部分是对于 SEPM

　服务器的容灾设计，另外一个是 SEPM

　的后台数据库服务器的容灾设计。

　SEPM 服务器的容灾设计在 4.2.4 节已经详细描述，即客户端可以随机连接任何一个 SEPM 服务器组中的 SEPM ，任意一个 SEPM 服务器宕机都不会影响客户端和服务器的通讯。

　同时， SEPM 服务器优先级的设置可以保证在极端情况下即使同一个地区所有的 SEPM 全部宕 机，此地区的客户端也可以连接到其他地区的 SEPM

　服务器。如下图所示：

　上图是同一地区同一优先级的 SEPM 冗余设计。

　上图左部分是优先级为 1 的本地 SEPM 服务器群，右边的是优先级为 2 的异地 SEPM 服 务器群。

　在 SEPM 服务器实现冗余设计后，数据库的冗余设计也需要得到管理员的同样重视。

　SEP

　终端安全管理系统所有的数据均储存在后台的数据库上，包括客户端的分组、策略的定义、 病毒库，以及定期产生的日志及报表等等。所以，维护数据库的冗余以及灾备系统设置及 就显得更为重要了 数据库的冗余设计也分为两种，一种是单站点的设置，另外一种是对于多站点的设计。

　对于单站点来说，重要的是如何保护其唯一一个数据库。

　 对于这种情况，Symantec 公司推荐使用 Database Cluster 来实现数据库的冗余设计， 如 VCS 或者是 MCS ，如下图所示：

　对多站点来说，情况就会好很多。我们在 4.2.1 节谈到了多级管理体系，其中就有一 个叫做“站点 ” 的概念。站点在 SEP11 管理系统中指的是一个数据库以及连接它的 SEPM 服 务器组。管理员可以根据实际需要，在不同站点的数据库服务器之间配置需要同步的内容， 如下图所示：

　 在上图中，管理员设置两个分支机构的“策略 / 组信息 ” 完全和总部同步，也就是说总 部、站点 1 、站点 2

　个含有一个完全一样的 “ 策略 / 组信息 ” 数据库。同时，管理员设置两 个分支机构的“内容复制 ” 完全和总部同步。此时，总部和两个分支机构的的 SEP M

　服务器 只要任意一个向 Symantec Liveupdate 获取了最新的病毒库、主动威胁防...

推荐访问:终端 安全管理 安全解决方案