Symantec企業整體安全解決方案

Symantec企業整體安全解決方案

Symantec企業整體安全解決方案

市場價：￥ 0.00

價格：￥ 0.00

方案概述

随著(zhe)國内企業參與激烈的國際競争，越來越多的企業已經意識到，信息化是企業可以在激烈的國際競争中生存、發展的必要條件。而随著(zhe)企業應用信息技術的不斷深入，制造業信息化系統（如ERP、CRM、PLM、PDM、OA、BI等）在企業日常的生産和經營管理中發揮瞭(le)越來越重要的作用。而作爲信息化系統的基礎架構，如何通過合理的規劃，分步實施企業信息化安全平台已經成爲整個企業信息化解決方案中的重中之重。

Symantec作爲國際性第一大安全解決方案供應商，擁有财富1000強企業中99%的客戶和豐富的企業信息化安全建設經驗，爲企業提供信息化安全基礎架構建議。某用戶作爲國内/國際知名的行業生産(chǎn)廠家，目前已初步建成相對完善的網絡基礎架構和以ERP系統爲支撐的應用信息化平台，分析某用戶現有的網絡和應用現狀，參(cān)考制造企業在信息化建設特别是網絡信息系統安全建設的成功經驗，我們建議在信息安全建設中，合理規劃、分步實施，最終實現效益最優化。

設計思路

針對某用戶計算機網絡的安全需求以及對該系統現狀初步調(diào)研的基礎(chǔ)上，分析系統面臨的潛在安全威脅和安全風險，構架由安全基礎(chǔ)體系、信息安全體系和安全管理體系三方面組成的安全保障框架，爲某用戶計算機網絡的安全、穩定、可靠運行提供有力的保障。

Symantec IT遵從解決方案

Symantec 在幫(bāng)助您的整個機構簡化和保持遵從方面獨占優勢。Symantec 遵從工具箱有效實現所有IT 活動監視自動化，從而使機構達成對IT 遵從的統一認識，採(cǎi)取前瞻而可靠的IT 控制措施，以及可操控的智能操作。Symantec IT 遵從解決方案包括能夠解決下列市場需求的産品：

■在衆多規定中制定通用的策略和IT 控制（措施），提供單(dān)一、一緻的IT 遵從(cóng)視角，從(cóng)而降低因遵從(cóng)多個規章而導緻的複雜性。

■以最有效、最簡單的方式來執行和管理IT 控制，在整個基礎(chǔ)設施中提高IT 控制的有效性和可靠性，從(cóng)而降低不遵從(cóng)風險。

■集中IT 領域的信息，減少達成遵從(cóng)所需的時間和費用。這将改進決策並(bìng)使您能夠信心十足地向審核員證明組織的狀态。

下圖顯示的是可持續的IT 遵從流程模型，該模型将所有遵從計劃和Symantec 産(chǎn)品連接起來，将IT遵從轉化爲可執行的流程，從定義階段->控制階段->監管階段幫(bāng)助企業利用Symantec 遵從流程模型、工作方法和特定的産(chǎn)品-解決方案建議來達成以下目标：

■針對不斷變(biàn)化的規章，建立並(bìng)保持遵從

■實現自動(dòng)化，以削減保持遵從(cóng)所需的高額費用

■最小化違規(guī)風(fēng)險

某用戶安全體系建設規劃建議

從某用戶企業網絡整體建設角度出發，提供一個具有相當高度、可擴展性強的安全解決方案，在項目建設方面，以“統籌(chóu)規劃，分布實施”爲原則，從可行性和實用性的角度出發，構建完善的網絡整體安全體系。在安全技術體系中本方案根據安全需求，提出由安全基礎(chǔ)體系、信息安全體系和安全管理體系三方面組成的安全保障框架構架安全技術解決方案。

方案設計
- 安全設計目标

針對某用戶計算機網絡的安全需求以及對該系統現狀初步調(diào)研的基礎(chǔ)上，分析系統面臨的潛在安全威脅和安全風險，構架由安全基礎(chǔ)體系、信息安全體系和安全管理體系三方面組成的安全保障框架，爲某用戶計算機網絡的安全、穩定、可靠運行提供有力的保障。

安全設計方法

本方案首先根據某用戶計算機網絡現狀進行威脅分析和風險分析，以分析的結果爲基礎(chǔ)推導出全面的安全需求。安全需求體系是構架安全保障體系的依據，安全保障體系綜合採(cǎi)用人員、技術、管理等方面的措施。

在安全技術體系中本方案根據安全需求，提出由安全基礎(chǔ)體系、信息安全體系和安全管理體系三方面組成的安全保障框架構(gòu)架安全技術解決方案。

安全設計原則

建設計算機網絡系統安全體系是一個複雜的系統工程，它與網絡規模、結構、通信協議、應用業務程序的功能和實現方式密切相關，一個好的安全設計應該結合現有網絡和業務特點(diǎn)並(bìng)充分考慮發展需求。

針對某用戶計算機網絡系統安全建設目标，結合網絡和業務規劃作好系統整體的安全規劃。一方面，總體安全規劃可以全面分析系統存在的安全風險，並(bìng)指導(dǎo)全網安全工程的一次性或分步實施；另一方面，結合安全總體規劃，考慮信息系統發展的需求，能使我們的安全投入會順應系統、網絡和業務的發展，避免投資浪費。

完整性原則

網絡安全建設必需保證整個防禦體系的完整性。一個較好的安全措施往往是多種方法适當綜合的應用結果。單一的安全産品對安全問題的發現處理控制等能力各有優劣，從安全性的角度考慮需要不同安全産品之間的安全互補(bǔ)，通過這種對照、比較，可以提高系統對安全事件響應的準確(què)性和全面性。

經濟性原則

根據保護對象的價值、威脅以及存在的風險，制定保護策略，使得系統的安全和投資達(dá)到均衡，避免低價值對象採(cǎi)用高成本的保護，反之亦然，充分體現“經濟性原則”。

動态性原則

随著(zhe)網絡脆弱性的改變和威脅攻擊技術的發展，使網絡安全變成瞭(le)一個動态的過程，靜止不變的産品根本無法适應網絡安全的需要。所選用的安全産品必須及時地、不斷地改進和完善，及時進行技術和設備的升級換代，隻有這樣才能保證系統的安全性。

專業性原則

攻擊技術和防禦技術是網絡安全的一對矛盾體，兩種技術從不同角度不斷地對系統的安全提出瞭(le)挑戰，隻有掌握瞭(le)這兩種技術才能對系統的安全有全面的認識，才能提供有效的安全技術、産品、服務，這就需要從事安全的公司擁有大量專業技術人才，並(bìng)能長期的進行技術研究、積累，從而全面、系統、深入的爲用戶提供服務。

可管理性原則

由於(yú)某用戶計算機網絡系統的地域覆蓋範圍廣、管理人員水平不一，必須構建一個完善的集中管理體系，充分發(fā)揮安全體系的作用。

标準性原則

遵守國家标準、行業标準以及國際相關的安全标準，是構(gòu)建系統安全的保障和基礎(chǔ)。

可控性原則

系統安全的任何一個環節都應有很好的可控性，他可以有效的保證系統安全在可以控制的範圍，而這一點也是安全的核心。這就要求對安全産品本身的

安全性和産(chǎn)品的可客戶(hù)化。

易用性原則

安全措施要由人來完成，如果措施過於(yú)複雜，對(duì)人的要求過高，一般人員難以勝任，有可能降低系統的安全性。

某用戶主要安全風險分析

随著(zhe)計算機技術的高速發展，某用戶基礎性的網絡建設已經相對成熟。但是在不斷引入新的計算機、網絡和應用技術的同時，也使得某用戶内部的計算機系統日趨龐大複雜，業務形态越來越多，安全形勢也日益嚴重。計算機網絡系統的不完善，哪怕是任何缺陷和不安全因素，都将使企業面臨巨大的風險，可以說，信息系統安全不再單純是技術性的問題，而且直接關系到企業的生存和經營競争的成敗(bài)。

本節(jié)首先分析某用戶(hù)網絡存在的全局性安全問題。

3.1整體業務系統面臨的威脅

目前，某用戶(hù)整個(gè)網絡的安全問題具有以下顯著特征：

1、混合型威脅對業務的影響越來越深刻

混合型威脅整合瞭病毒傳播和黑客攻擊的技術，以多種方式進行傳播和攻擊。混合型威脅不需要人工幹預，能夠自動發現和利用系統漏洞，並(bìng)自動對有系統漏洞的計算機進行傳播和攻擊。同時，混合型威脅傳播速度極快，通常在幾個小時甚至幾分鍾就可以導緻整個網絡癱瘓。攻擊程序的破壞性更強，受感染的系統通常伴随著(zhe)木馬程序種植除瞭破壞被感染的機器，在傳播過程中會形成DDoS攻擊，阻塞網絡。該類威脅既可影響常見的OA系統，也可影響核心的服務器。

2、缺乏統一有效的安全管理及技術保障體制

爲瞭(le)應對越來越複雜的網絡安全環境，某用戶在全省、市配備(bèi)瞭(le)安全管理人員。但各地的安全管理工作也是由相關人員兼職而非專職。人員的非專業化使得在應對緊急安全事件時，往往顯得力不從心，或是過多依賴産品供應商，或是過多依賴系統集成商。同時，在技術保障方面，缺乏對技術人員有效的實戰培訓。

同時(shí)，在安全系統的管理中不可避免的存在以下問題(tí)：

多個安全系統共存

一個完整的安全架構是由很多安全産(chǎn)品組成的，但是這些安全産(chǎn)品可能來自不同的廠家，遵循不同的标準，這就給安全産(chǎn)品之間的協同工作帶來瞭(le)很大的問題。

多點管理多個安全産品

由於(yú)每個安全産(chǎn)品都是一套獨立的系統，一般都是C/S結構的，也會有獨立的管理端，這就造成在安全系統中有多個相互管理的管理客戶端，造成管理人員要識别不同的安全事件必須奔波在多個管理客戶端之間，進行多點管理。

多種安全事件發生點

安全事件不是一個孤立的事件，它實際上是一個連續的過程，如從一個蠕蟲病毒的傳播來看，它必然先經過防火牆進入網絡，然後駐留在某台機器上，再以這台機器爲跳闆向整個網絡傳播。實際上這個過程防火牆、入侵檢測(cè)、防病毒都記錄瞭(le)它傳播整個過程中的一個動作，但是作爲管理人員來說需要看到的是貫穿這個過程的所有動作。

多種複雜的安全報告

所有的安全産(chǎn)品都有自己的日志記錄和報(bào)告系統，耗費管理人員大量的精力。

3、面向互聯網提供業務缺少必要的保護

某用戶(hù)的新業務越來越依賴互聯網。Internet的開放性帶(dài)來很多安全問題，如拒絕服務攻擊、以面向互聯網的業務爲跳闆攻擊内部系統等。

4、業務系統的暴露

衆多業務系統暴露在Internet上，而系統本身存在諸多弱點(diǎn)，如系統默認配置、弱口令、各類服務漏洞、木馬和後(hòu)門程序等可能會成爲最嚴重和數量最多的弱點(diǎn)。

5、内部系統不規範訪問

某用戶建有覆蓋全國的組織結構，在管理上通常以省爲單(dān)位進行管理。理論上各省應該統一Internet的訪問出口，但在實際操作過程中，這一點很難做到。這就引起瞭(le)省級防範措施可能較好，而地市級防範措施較差，安全威脅由防範措施較差的地方引入，進而影響全局的安全防護。

8、安全産品的應用存在很大局限性。

在網絡應用最廣的就是基本防病毒解決方案，而防病毒軟件僅能提供終端設備(bèi)靜态的事後殺毒控制，還遠不能适用企業安全發展的需要。並(bìng)且到目前爲止，某用戶網絡中實現是基本級的終端防病毒解決方案。

安全威脅分析

安全威脅是一種對(duì)系統、組織及其資産(chǎn)構成潛在破壞的可能性因素或者事件。産(chǎn)生安全威脅的主要因素可以分爲人爲因素和環境因素。人爲因素包括有意因素和無意因素。環境因素包括自然界的不可抗力因素和其它物理因素。

威脅可能是對計算機系統直接或間接的攻擊，例如非授權的洩露、篡改、删除等，在機密性、完整性或可用性等方面造成損害。威脅也可能是偶發的、或蓄意的事件。一般來說，威脅總是要利用網絡、系統、應用或數據的弱點(diǎn)才可能成功地對資産(chǎn)造成傷害。

安全威脅包括安全威脅來源和安全威脅種類，因此必須對(duì)威脅來源和種類進(jìn)行分析。

3.2.1安全威脅來源

根據前期風(fēng)險評估結果，確(què)認網絡信息系統的安全威脅來源如下表所示：

威脅來源	威脅來源描述
環(huán)境因素、意外事故或故障	由於(yú)斷電、靜電、灰塵(chén)、潮濕、溫度、鼠蟻蟲害、電磁幹擾、洪災、火災、地震等環境條件和自然災害；意外事故或由於(yú)軟件、硬件、數據、通訊線路方面的故障。
無(wú)惡(è)意内部人員	内部人員由於(yú)缺乏責任心，或者由於(yú)不關心和不專注，或者沒有遵循規章制度和操作流程而導緻故障或被攻擊；内部人員由於(yú)缺乏培訓，專業技能不足,不具備(bèi)崗位技能要求而導緻計算機系統故障或被攻擊。
惡(è)意内部人員(yuán)	不滿的或有預謀的内部人員對計算機系統進行惡意破壞；採(cǎi)用自主的或内外勾結的方式盜(dào)竊機密信息或進行篡改，獲取利益。
第三方	第三方合作夥伴和供應商，包括電(diàn)信、移動、證券、稅務等業務合作夥伴以及軟件開發合作夥伴、系統集成商、服務商和産(chǎn)品供應商；包括第三方惡意的和無惡意的行爲。
外部人員(yuán)攻擊(jī)	外部人員利用計算機系統的脆弱性，對(duì)網絡和系統的機密性、完整性和可用性進行破壞(huài)，以獲取利益或炫耀能力。

3.2.2安全威脅種類

對安全威脅進行分類的方式有多種多樣，針對需要重點考慮的五方面威脅來源，確(què)定本方案中採(cǎi)用下述的安全威脅種類。

威脅種類	威脅描述
軟(ruǎn)硬件故障	由於(yú)設備(bèi)硬件故障、通訊鏈路中斷、系統本身或軟件Bug導緻對業務高效穩定運行的影響。
物理環(huán)境威脅(xié)	斷電、靜電、灰塵(chén)、潮濕、溫度、鼠蟻蟲(chóng)害、電磁幹擾、洪災、火災、地震等環境問題和自然災害。
無(wú)作爲(wèi)或操作失誤	由於(yú)應該執行而沒有執行相應的操作，或無意地執行瞭(le)錯誤的操作，對系統造成影響。
管理不到位	安全管理無法落實，不到位，造成安全管理不規範(fàn)，或者管理混亂，從(cóng)而破壞計算機系統正常有序運行。
惡(è)意代碼(mǎ)和病毒	具有自我複制、自我傳(chuán)播能力，對(duì)計算機系統構成破壞的程序代碼。
越權(quán)或濫(làn)用	通過採(cǎi)用一些措施，超越自己的權限訪問瞭(le)本來無權訪問的資源；或者濫用自己的職權，做出破壞計算機系統的行爲。
黑客攻擊(jī)技術(shù)	利用黑客工具和技術，例如偵察、密碼猜測(cè)攻擊、緩沖(chōng)區溢出攻擊、安裝後門、嗅探、僞造和欺騙、拒絕服務攻擊等手段對計算機系統進行攻擊和入侵。
物理攻擊(jī)	物理接觸(chù)、物理破壞、盜(dào)竊。
洩(xiè)密	機(jī)密洩漏，機(jī)密信息洩漏給(gěi)他人。
篡改	非法修改信息，破壞(huài)信息的完整性。
抵賴(lài)	不承認(rèn)收到的信息和所作的操作和交易。

3.2.3安全威脅的産生

根據上述對(duì)安全威脅來源和安全威脅種類的分類，可用下表列舉(jǔ)所有安全威脅。其中灰色部分爲不存在的威脅。

來(lái)源可能性值威脅(xié)	環(huán)境因素，意外事故或故障	無(wú)惡(è)意内部人員(yuán)	第三方	外部攻擊(jī)	惡(è)意内部人員(yuán)
軟(ruǎn)硬件故障
物理環(huán)境威脅(xié)
無(wú)作爲(wèi)或操作失誤
管理不到位
惡(è)意代碼(mǎ)和病毒
黑客攻擊(jī)技術(shù)
越權(quán)或濫(làn)用
物理攻擊(jī)
洩(xiè)密
篡改
抵賴(lài)

某用戶安全風險分析

針對(duì)上述的威脅分析，某用戶公司網絡安全可能存在下面的風(fēng)險:

單純依靠防病毒實現企業終端安全隔離存在缺陷

目前，某用戶依靠防病毒來實現企業全網絡的終端安全保護，防病毒軟件作爲企業的最大安全體系也是企業唯一依賴安全保障。但是現在，企業網絡面臨的威脅已經由傳統的病毒威脅轉化爲現在的還包括瞭蠕蟲、木馬和惡意代碼等與傳統病毒截然不同的新類型。這些新類型的威脅業界稱之爲混合型威脅。混合型威脅整合瞭病毒傳播和黑客攻擊的技術，以多種方式進行傳播和攻擊。不需要人工幹預，能夠自動發現和利用系統漏洞，並(bìng)自動對有系統漏洞的計算機進行傳播和攻擊。同時，混合型威脅傳播速度極快，通常在幾個小時甚至幾分鍾就可以導緻整個網絡癱瘓。攻擊程序的破壞性更強，受感染的系統通常伴随著(zhe)木馬程序種植除瞭破壞被感染的機器

，在傳(chuán)播過程中會形成DDoS攻擊，阻塞網絡。混合型威脅的典型代表爲——紅色代碼（Code Red），混合型威脅的首要威脅也發展爲間諜軟件和廣告軟件，伴随一般的上網行爲進入網絡内部進行破壞。但是，單單依靠防病毒來實現企業全網絡的終端安全保護是存在安全隐患，混合型威脅可以從數據包反饋的信息上得知該網絡是否存在有漏洞，病毒利用這類漏洞，即可對系統發起攻擊和病毒傳(chuán)播，一旦入侵成功，使其他系統或相關的應用程序感染造成病毒放大作用，那造成的威脅将更大。因此僅僅靠防病毒來實現網絡的安全是非常脆弱的，防病毒在網絡安全的定義層(céng)次上僅僅是網絡安全的第一層(céng)屏障。

現有網絡缺乏主動安全防禦系統

現有安全系統中無論是防火牆、還是防病毒都是被動安全防禦系統，即隻有産生瞭(le)攻擊或病毒時，它們才能被動的發揮作用，而且随著(zhe)攻擊手段的更新、病毒産生原理的變化，它們也要随之更新（可能是策略更新、也有可能是産品更新），也就是說“解決問題”基本是滞後“發生問題”，而且容易造成投資浪費。因此從根本上解決網絡的安全問題，隻有建立主動安全防禦系統，提高網絡系統本身的抗攻擊性，這才是最有效的安全。

系統本身存在的安全漏洞可能爲各種攻擊提供方便

在某用戶網絡系統中存在大量的應用，運行在多種操作系統。在計算機的應用中風險是随著(zhe)網絡應用的增加而增加的，目前大多數應用都會增加各種交互式訪問服務，由於(yú)這些服務需要和其他的服務交互使用，因此在軟件的接口部分就容易存在隐患。這些漏洞在一些自主開發的軟件中是很容易産生的，而且也很不容易避免。

在網絡内部的主機上的安全非常重要一旦被攻擊可能會造成連鎖反應，因此需要最高級别的安全防護。在計算機的安全領域裏存在著(zhe)這麽一條規則，主機上的漏洞數量和主機上打開的服務數量成正比。當應用服務器上打開瞭(le)一些服務以後，如果一個入侵者可以訪問到這台主機，則可以利用主機上存在的服務打開缺口來對服務器進行訪問。例如：入侵者可以通過WEB服務器的提交頁面或其他有訪問權限的主機構造一個非正常的應用請求，當服務器對此類數據作出響應的時候就會産生溢出，這樣入侵者就能夠獲得服務器的控制權

缺乏安全事件收集等統一的安全運營管理

高效的企業安全系統管理需要進行無間斷(duàn)的監控其運行情況，才能及時發現問題，使網絡系統持續地安全運行。某用戶缺少對事件與策略數據的集中管理，也缺少安全生命周期工具來識别威脅、定義策略、實施變(biàn)更和監控保證企業網絡正常安全運行。

安全管理薄弱，沒有建立健全的安全組織

爲使網絡系統能夠(gòu)安全運行，必須建立健全的安全組織，配備(bèi)人員進行日常安全運行維護，制定安全管理規章制度。

某用戶内網安全建設規劃部署
- 某用戶網絡中心規劃部署

4.1.1産品網絡部署拓撲結構

序号	部署方式	部署組件	實現功能簡單說明
1	新增	Altiris Server	Symantec桌面與資産(chǎn)管理服務器，實現對終端PC的資産(chǎn)收集/補(bǔ)丁分發/應用進程管理/遠程控制等功能，詳見《5.2桌面資産(chǎn)管理系統》
2	新增	SEP-11.0 Server	Symantec整合Sygate、Veritas、Whole Security等廠(chǎng)商安全技術，具有防病毒/防惡意軟件/防火牆/網絡入侵防禦/主機行爲控制/惡意軟件主動防禦/網絡準入控制等功能的全面終端安全管理産(chǎn)品，詳見《5.1終端策略強制與内網安全管理》
3	新增	SMS-8360	Symantec防病毒與防垃圾郵件硬件，具有部署簡(jiǎn)便、防治準確(què)率高、管理簡(jiǎn)便等優勢，詳見《5.3郵件系統安全管理》
4	直接安裝(zhuāng)	SMS for Domino	直接安裝在OA的Domino服務(wù)器上的群件防病毒産(chǎn)品
5	直接安裝(zhuāng)	SEP 11.0 Client	Symantec整合Sygate、Veritas、Whole Security等廠(chǎng)商安全技術，具有防病毒/防惡意軟件/防火牆/網絡入侵防禦/主機行爲控制/惡意軟件主動防禦/網絡準入控制等功能的全面終端安全管理産(chǎn)品，詳見《5.1終端策略強制與内網安全管理》
5	直接安裝(zhuāng)	Altiris 6.5 Agent	Symantec桌面與資産(chǎn)管理服務器，實現對終端PC的資産(chǎn)收集/補(bǔ)丁分發/應用進程管理/遠程控制等功能，詳見《5.2桌面資産(chǎn)管理系統》

4.1.2産品詳細配置清單

序号	産(chǎn)品名稱(chēng)	用戶(hù)數(shù)	産品部署
1	Symantec Endpoint Protection 11.0全面的終(zhōng)端安全防護(hù)	按服務器和工作站數(shù)量計(jì)算	Symantec Endpoint Protection 11.0
2	桌面資(zī)産(chǎn)管理 Symantec Altiris Client Server Suite-1	按工作站數(shù)量計(jì)算	Symantec Altiris Client Server Suite-1
3	郵件系統(tǒng)防病毒軟(ruǎn)件	按OA系統Domino服務器個(gè)數計(jì)算	Symantec SMS for Domino 5.1
3	防病毒和垃圾郵件安全網(wǎng)關(guān)	按用戶(hù)郵箱數量計(jì)算軟件許可+ SMS8300硬件價格	Symantec SMS Appliance –

Symantec SMS Appliance – 8360

某用戶信合大廈規劃部署

4.2.1産品網絡部署拓撲結構

序号	部署方式	部署組件	實現功能簡單說明
1	新增	Altiris Server作爲網絡(luò)中心二級(jí)服務器	Symantec桌面與資産(chǎn)管理服務器，實現對終端PC的資産(chǎn)收集/補(bǔ)丁分發/應用進程管理/遠程控制等功能，詳見《5.2桌面資産(chǎn)管理系統》
2	新增	SEP-11.0 Server作爲網絡(luò)中心二級(jí)服務器	Symantec整合Sygate、Veritas、Whole Security等廠(chǎng)商安全技術，具有防病毒/防惡意軟件/防火牆/網絡入侵防禦/主機行爲控制/惡意軟件主動防禦/網絡準入控制等功能的全面終端安全管理産(chǎn)品，詳見《5.1終端策略強制與内網安全管理》
3	新增	SNAC-6100 LanEnforcer	Symantec端點(diǎn)準入控制（硬件），配合交換機802.1X準入認證，實現全面的端點(diǎn)準ron接入控制與策略遵從(cóng)性管理，詳見《5.1終端策略強制與内網安全管理》
5	直接安裝(zhuāng)	SEP 11.0 Client	Symantec整合Sygate、Veritas、Whole Security等廠(chǎng)商安全技術，具有防病毒/防惡意軟件/防火牆/網絡入侵防禦/主機行爲控制/惡意軟件主動防禦/網絡準入控制等功能的全面終端安全管理産(chǎn)品，詳見《5.1終端策略強制與内網安全管理》
5	直接安裝(zhuāng)	Altiris 6.5 Agent	Symantec桌面與資産(chǎn)管理服務器，實現對終端PC的資産(chǎn)收集/補(bǔ)丁分發/應用進程管理/遠程控制等功能，詳見《5.2桌面資産(chǎn)管理系統》

4.2.2産品詳細配置清單

序号	産(chǎn)品名稱(chēng)	用戶(hù)數(shù)	産品部署
1	Symantec Endpoint Protection 11.0全面的終(zhōng)端安全防護(hù)	按服務器和工作站數(shù)量計(jì)算	Symantec Endpoint Protection 11.0
1	Symantec Network Access Control 11.0端點(diǎn)準入與策略遵從(cóng)	按服務器和工作站數(shù)量計(jì)算	Symantec Network Access Control 11.0
2	Symantec SNAC 6100 Appliance	按台數(shù)計(jì)算	Symantec SNAC 6100 Appliance
3	桌面資(zī)産(chǎn)管理 Symantec Altiris Client Server Suite-1	按工作站數(shù)量計(jì)算	Symantec Altiris Client Server Suite-1

某用戶内網安全建設方案
- 終端策略強制與内網安全

安全技術，如邊界防火牆，殺毒，入侵檢測和驗證等，都是針對開放式網絡中的個别問題而開發的解決方案。在部署瞭(le)這些技術以後，企業發現他們的障礙在於安全策略和實踐之間的鴻溝。鴻溝的存在是因爲安全技術無法強制落實。也就是說技術可以被黑客或終端用戶關閉或者禁用，而終端用戶和安全小組卻無從知曉。近來大型企業中發生的絕大多數重大安全事件都應歸咎於此。今天企業需要有能力瞭(le)解終端網絡通訊的行爲，評估相應的風險，輕松配置安全策略來減少風險，並(bìng)且在整個網絡中強制貫徹這個策略。由蠕蟲和病毒引起的破壞已經清晰地證明瞭(le)當前防護措施的不完備。Symantec Endpoint Protection提供瞭(le)一個全面的方案幫助企業強制安全策略的遵守，並(bìng)且将違規者以及潛在的脆弱系統轉移到隔離環境中，剝奪或者僅授予它們有限的網絡訪問權限。

将端點安全狀況信息和網絡準入控制結合在一起，Symantec能夠顯著地提高企業網絡計算架構的安全。Symantec Endpoint Protection通過保證企業所屬的每個端點在安全上不做任何妥協，阻止不安全和未授權的行爲，在企業網絡中排除未授權的設備(bèi)，從而保護企業網絡的安全完整性。Symantec On Demand 通過確(què)認設備(bèi)的安全策略，創建加密的虛拟桌面環境，在會話結束後清除所有傳輸過去的數據，将對機密數據的保護延展到非企業所屬的設備(bèi)之上。

5.1.1Symantec Endpoint Protection 11.0方案概述

Symantec Endpoint Protection (Symantec SEP)是一個全面的網絡完整性方案，它確(què)保每個終端在接入網絡前是符合企業安全策略的。SEP還提供瞭(le)分層的入侵保護和強制手段：

• 使用以應用程序爲中心的防火牆來阻止蠕蟲(chóng)，木馬和黑客，防止其利用漏洞，非法訪問敏感信息或者發(fā)起攻擊

• 分析流入流出的通訊中有無惡(è)意行爲，並(bìng)且阻止入侵（HIPD）

• 每當(dāng)用戶連接網絡時，確(què)認企業管理終端是否符合企業策略，根據檢查結果授予或者拒絕其接入權限

• 當訪問來自於(yú)家庭，賓(bīn)館和無線區域時，對加密的通訊進行強制

• 自動下載和安裝任何缺失的病毒特征庫，防火牆策略，入侵檢測(cè)特征庫，軟件補(bǔ)丁和安全工具，将企業端點修複到可信狀态。

5.1.2Symantec Endpoint Protection 11.0系統組成

Symantec Endpoint Protection引入瞭(le)全新的系統架構，将整個(gè)内網安全防護策略劃分爲邏輯上的三個(gè)組成部分：

1）内網邊(biān)界安全防護(hù)

此部分架構(gòu)實現對(duì)來自企業網絡外部的安全威脅進行安全防護。

2）内網(wǎng)安全威脅防護(hù)

此部分架構(gòu)實現對(duì)來自企業網絡内部的安全威脅進行防護。

3）外網移動(dòng)用戶安全接入防護(hù)

此部分架構用於保證企業内部移動用戶所處網絡環境的變換，以及當移動用戶處於外網安全防護薄弱網絡環境中

自身安全、接入企業網(wǎng)絡(luò)安全。

Symantec Endpoint Protection是一個軟件包，由三個基本組件構成:

1. Symantec Policy Manager: 安裝在一個或多個企業服務器上，圍繞一個中央數據庫來配置，Symantec策略管理服務器扮演一個軍隊司令的角色-幫(bāng)助創(chuàng)建安全策略，規劃部署計劃，指導士兵（客戶端）如何保護網絡

2. Symantec Protection Agent: 安裝在企業的工作站、服務器（Windows平台）和筆記本上，SPA提供瞭(le)可配制的高級防火牆和入侵檢測預防能力。它能檢測和識别已知的木馬，端口掃描和其他常見攻擊。作爲響應，它能選擇性的啓用或阻止不同網絡設備，端口和組件的使用。SPA還負責按照Symantec策略管理服務器所設定的規則對終端的安全狀态進行審核，並(bìng)将檢查結果報告給Symantec Universal Enforcement組件，做爲是否允許終端接入企業網絡的标準。

3. Symantec Universal Enforcement: (通過四個可選組件: Symantec Gateway Enforcer，Symantec Lan Enforcer, Endpoint Enforcement或供VPN整合的Universal Enforcement API)在授予端點接入網絡的權限前，確(què)保端點遵循企業策略。Symantec Universal Enforcement組件隔離違背安全策略的設備(bèi)，直至自動修複機制生效後再恢複其網絡訪問的權限。

我們可以從(cóng)以下的示意圖中來瞭(le)解SYMANTEC ENDPOINT PROTECTION的各個組成部分在企業網絡中的分布：

5.1.3Symantec Policy Manager的功能

Symantec Policy Manager是控制SPA和Enforcer的中心。管理員在此定義和分發(fā)安全、強制策略，收集日志，維護(hù)企業網絡的完整性。

1．策略升級和分發

Symantec Policy Manager可以容許企業向端點(diǎn)分發(fā)下列項目：

•安全策略/防火牆(qiáng)策略

•入侵預(yù)防特征庫(kù)

•Symantec Protection Agent升級(jí)包

•殺毒軟(ruǎn)件和病毒特征庫(kù)

•補(bǔ)丁和軟件升級(jí)

•VPN客戶(hù)端軟(ruǎn)件和配置文件

•自定義(yì)通知

以上項目是通過SEP心跳協議和主機完整性修複的能力來分發(fā)的。客戶端利用心跳協議來和管理服務器通訊。每當(dāng)心跳發(fā)生時：

•SPA向管理服務器發送一個請求，按組和用戶分類來檢查安全策略更新。如果有瞭(le)新策略，SPA請求管理服務器發送新策略。如果當(dāng)前策略已經爲最新，則不發送新策略。

•向策略管理服務器更新客戶(hù)端日志。日志内容由管理員在策略/設(shè)置選項卡内設(shè)定

•SPA與管理服務器核實自己版本是否正確(què)，如果不是則開始自動(dòng)升級進程

•管理服務器向SPA發(fā)送最新的IDS特征庫版本号。然後SPA與自己的IDS版本号比較，如果特征庫已過時，則向管理服務器發(fā)送獲取新特征庫的請求，如果是當(dāng)前版本則不請求。

• 在進行軟件分發操作的時候，SPA每次連接網絡都會通過客戶端的agent程序驗證是否存在此軟件或者程序。在客戶端沒有安裝需要分發的軟件和程序的時候，客戶端agent會根據預選配置好的動作從(cóng)對應的服務器中自動下載需要的文件，然後自動進行安裝，從(cóng)而達到自動分發軟件的動作。可以分發的軟件包括程序包、系統補(bǔ)丁、防病毒軟件、防病毒定義等等。

2．設置Symantec Protection Agent用戶控制模式

SPA可以三種(zhǒng)模式之一工作：

•客戶(hù)端控制模式

•服務(wù)器控制模式

•高級(jí)用戶(hù)模式

不同的模式下，終端用戶(hù)控制安全策略的級别也不同。系統管理員可以在服務器上随時改變(biàn)控制模式，具體如下：

當SPA工作在客戶端控制模式下，終端用戶對設備(bèi)的安全設置有著(zhe)很大的控制權限。客戶端控制模式通常對工程和軟件測試人員開放。連接到企業網的家用計算機通常也授予客戶端控制模式。如果筆記本用戶既可以在内部也可以在外部上網，SPA就可以設成與管理服務器斷線時進入客戶端控制模式，和服務器連線時轉換成服務器控制模式。

服務器控制模式下，SPA從管理服務器獲得規則和安全策略。因爲終端用戶無法改變安全設置，設備和網絡在服務器控制模式下要比客戶端控制模式下更安全。SEP也提供瞭(le)一種混合控制模式叫做高級用戶模式，該模式特别之處在於(yú)終端用戶和管理員都可以設定設備的安全策略。爲瞭(le)避免終端用戶和管理員的策略沖突，管理員可以預先決定哪些規則和設置由服務器控制，那些由客戶端控制。

5.1.4Symantec Protection Agent的功能

SPA設計爲消除惡意或是無意的入侵和濫用。SPA向SPM管理服務器彙報狀況，並(bìng)接受安全指令。按照SPM管理服務器端設置，SPA可以做到對大多數普通用戶完全不可見，對高級用戶顯示完全界面或者是下放部分管理控制控制。以上差異和SPA運行時的控制模式相關，或者是和SPA的網絡位置相關。（SEP爲用戶提供瞭(le)3種客戶端管理模式：服務器控制模式，客戶端控制模式，策略可仲裁的高級用戶模式）

系統管理員在SPM管理服務器上設定安全策略。SPA一連上SPM管理服務器就會接收那些安全策略並(bìng)且執行。如果策略在後期變(biàn)更，它們将自動分發到SPA上。SPA還會跟蹤試圖違反安全策略的行爲，並(bìng)将安全事件日志傳送給SPM管理服務器。

安裝有SPA的設備(bèi)一啓動，保護就會生效。因爲策略在本地保留，設備(bèi)不必在啓動時連接中央管理服務器下載策略。另外，當(dāng)設備(bèi)連接到企業網絡時，它的SPA會向SPM管理服務器驗證。如果設備(bèi)沒有SPM，它将不被任何運行Symantec SEP 的網絡容許。

SPA的入侵預防能力能夠保護主機遠離蠕蟲，病毒和木馬的“零時點”攻擊。它可以洞悉每個應用程序的網絡通訊，並(bìng)搜索其中的異常。SPA 入侵預防功能監視每個應用程序使用的文件，檢查操作系統和程序的安全以及補(bǔ)丁級别，在未授權的流量發生時，可以在操作系統的最底層阻止流量。

主機完整性強制包括在系統每次連接企業網絡時檢查其是否遵循策略，根據檢查結果容許或拒絕其訪問，並自動修複不達标的主機系統。主機完整性參數包括可執程序，例如殺毒軟件，主機防火牆，主機入侵檢測系統等; 也包括數據文件，例如病毒特征庫，主機防火牆策略，IDS特征庫，MD5校驗和，文件版本，注冊表鍵，補丁，操作系統，系統配置等。當SPA 檢查到主機上的安全程序被關閉，程序過期，或者某個補丁缺失，SPA能夠啓用通用強制來隔離主機。SPA可以自動運行程序，下載所需更新文件，安裝缺失補丁和軟

系統鎖定（System Lockdown）

通過系統鎖定，管理爲終端設定瞭(le)允許運行應用程序的白名單，隻有管理員明確(què)指定的應用程序才能夠在終端上運行，白名單不但指定瞭(le)應用程序的文件名，還包括程序的校驗碼，任何試圖僞裝成受信應用的企圖都會被SPA阻止。

 通用緩沖區溢出保護（Universal Buffer Overflow Protection）

SPA可以監測(cè)系統服務及應用程序是否發生瞭(le)緩沖區溢出，當溢出發生時，SPA可以記錄安全事件或終止進程的運行，避免危害發生。

 外設控制（Peripheral Device Control）

SEP允許管理員設置外設控制策略，設置不同用戶的外設訪(fǎng)問權，SEP默認就可以管理輸入設備(bèi)HID、USB、軟驅和1394等類型的設備(bèi)，系統還允許管理員添加其它類型的設備(bèi)。

7．自适應保護（Adaptive Protection）

自适應保護可将動态策略和個人用戶、處所（如：家裏，辦(bàn)公室，或賓館）、連接方式（如：以太網，VPN，或者無線網）關聯起來。SPA自動調整自定義好的策略來應對不同環境下的風險，以確(què)保分布型和移動型企業的業務連續性以及相适宜的安全行爲。

8．自動修複（Automatic Remediation）

自動修複在端點連接到Symantec SEP所保護的網絡時開始工作。SPA首先確(què)認主機是否遵守端點的安全策略，如果不遵循，SPA能夠隔離主機，同時自動初始化修複工作。SPA確(què)保不達标的主機不能獲得生産(chǎn)網絡的訪問權限直到必要的修複動作完成，端點安全達标爲止。在檢查出沒有達标以後，典型的修複包含下列事件：命令行運行命令，下載執行/插入文件，重新檢查，最後授予達标端點訪問網絡的權限。

5.1.5SEP的網絡準入控制技術（SNAC）

SEP 通用強制（SNAC）保證端點在接入網絡前是符合企業安全策略的。這些策略包括内建對知名反病毒軟件，個人防火牆，反間諜軟件，操作系統和系統補(bǔ)丁檢查。也包括一個高級工具箱，用於(yú)創建定制檢查，檢查可以針對系統上發現的文件，正在運行的應用，注冊表設置，文件日期和校驗和，以及其它類似條件。自适應策略允許強制不同策略，這取決於(yú)用戶使用的網絡連接類型，例如：用戶使用IPSEC VPN 連接，由於(yú)他們裸露於(yú)公網，因此需要一個更高級别的準入檢查。

例如，一個組織可以配置策略，讓所有的Windows 2000 系統安裝Service Pack 4，所有的Windows XP 系統安裝Service Pack 2，全部的系統運行賽門鐵克反病毒軟件並(bìng)保持最新的病毒庫更新。或除瞭(le)啓用以上全部檢查外，再附加檢查其它定制的安全應用，和IT部門定制的注冊表健值等。

一旦策略創(chuàng)建，所有安全策略在網絡連接時将受到Complicance On Contact（連接之際安全之時）的強制。Compliance on Contact 在公司網絡上的每一連接點(diǎn)進行策略符合性檢查。包括在用戶經過IPSec VPN 、SSL VPN 、有線以太網絡和無線網絡連接到公司網絡時，執行整套的NAC 安全基線檢查。

Symantec提供瞭4種通用強制的方式：

1．Symantec Gateway Enforcer ：Symantec Gateway NAC

Symantec Gateway Enforcer用以認證通過企業網絡接入點（如VPN，無線接入點，RAS撥(bō)号服務器）訪問企業内部網絡的終端。Symantec Gateway Enforcer從Symantec Policy Manager獲得強制策略和SPA認證信息。當Symantec Protection Agent接入企業網絡時，依照公司安全策略，Symantec Gateway Enforcer啓動一個認證會話，對Symantec保護代理的真實性，防火牆、入侵檢測(cè)、反病毒和其他安全軟件的當前狀态，以及Symantec保護代理上的安全策略、特征庫和病毒定義進行徹底的核查。一旦發現客戶端主機不能通過這些檢查，認證強制網關将截斷客戶端對企業内部網絡的訪問，或指引端點去訪問網絡中的隔離/升級站點。

2．Symantec LAN Enforcer ：Sygate 802.1x-Based NAC for LAN and Wireless

Symantec-Sygate 於2004 年六月發布最早的基於局域網的NAC技術。該技術增強利用瞭(le)IEEE 的802.1x準入控制協議，幾乎所有有線和無線以太交換機制造商都支持該協議。Symantec使用這個鏈路級協議評估端點是否符合安全策略要求，提供自動問題修複，並(bìng)允許達标的系統進入公司網絡。

802.1x 是一個認證協議，在用戶訪問計算機網絡之前，需要提供有效的憑證來增加安全。802.1x 較通常的Windows PC 登錄更爲安全，因爲網絡端口—不僅僅PC本身，在認證之前是被鎖住無法訪問的。用戶提供登錄憑證，例如用戶名和密碼，交換機傳遞這些憑證到驗證服務器。通常，驗證服務器是一個RADIUS 服務器。如果憑證正確(què)，RADIUS 服務器将發送一個認證消息到交換機或接入點，授權該用戶對網絡的訪問，並(bìng)配置該用戶連接的服務屬性。

在LAN強制策略過程中，端點上的SPA使用802.1x協議傳(chuán)遞策略符合性信息到網絡交換機，網絡交換機再中繼到一個Symantec的LAN強制服務器。這個LAN 強制服務器作爲一個RADIUS 代理服務器，驗證策略符合性信息並(bìng)可選擇咨詢RADIUS 服務器驗證用戶名和密碼或者多因素認證。

如果系統不符合企業安全策略要求，LAN強制服務器将該系統放入到隔離區，在該區域中該系統會得到修複，同時又不影響那些符合要求的系統。一旦SPA完成自動修複，802.1x協議将重新驗證用戶。由於(yú)系統已經達(dá)标，将被授予訪問企業網絡權限。

3．Symantec DHCP Enforcer ：Symantec DHCP-Based NAC

基於(yú)802.1x的NAC提供最大化安全。然而，它需要接入層(céng)交換架構支持802.1X協議。即使交換機支持802.1 協議，開啓它仍需要仔細計劃。Symantec基於(yú)DHCP 的NAC方案可以解決這些問題，在現存網絡環境下不需要升級任何硬件或軟件。

Symantec的DHCP NAC被内嵌（in-line）部署在DHCP 服務器和網絡之間。如果用戶沒有運行一個SPA或用戶當(dāng)前NAC策略符合性是未知的，該用戶将被分配一個“不可路由的”或“隔離的”IP地址。這些地址不能随意訪(fǎng)問網絡，隻有受限的權限。這有兩種方式實現。或者這些客戶端被分配一個不同IP網段的特殊IP地址，在路由器上通過訪(fǎng)問控制列表控制這些特殊IP地址可以訪(fǎng)問的網絡，或者客戶端被分配正常網段的IP地址

件，直到遵循安全策略後(hòu)，才放開完全的網絡訪(fǎng)問權限。

另外SPA 能夠根據連接類型和網絡處所來調節策略，以確(què)保用戶在擁有最大靈活性的同時還具備(bèi)最健壯的端點保護。連接類型包括無線，以太網，撥号和VPN。網絡處所比方說家裏，星巴克，酒店，會場還是公司。這樣，SEP 以自動化的方式保證不同處所下最安全的策略得以執行，防止移動設備(bèi)将企業網絡暴露給黑客。

1．終端的發現和收集

在每一台客戶端安裝客戶端代理程序agent之後，agent就會按照配置文件中的策略服務器地址主動進行注冊，從而可以發現網絡中已經安裝agent的客戶端。對於(yú)沒有安裝agent的客戶端，首先可以通過網絡準入控制機制阻止其連接到網絡中，從而避免由於(yú)不安全主機的接入而引入的網絡安全風險。其次，配合agent的LAN sensor功能，已經安裝客戶端的終端能夠自動的發現網絡中沒有安裝agent的客戶端，並(bìng)且報告給策略服務器。LAN sensor是通過已經安裝agent的終端在網絡中監聽arp廣播的機制從而發現未安裝agent的終端機器。管理員可以通過策略服務器的lan sensor log發現網絡中尚未安裝agent的終端，從而進行下一步的操作。

2．終端資産管理

在終端向策略服務器進行注冊的時候，SEP具備(bèi)資産管理和收集的能力。通過部署在終端上的安全代理實現硬件資産監控、查詢、統計功能SPA保護代理将收集計算機的CPU、内存、BIOS版本、網卡等硬件信息，並(bìng)集中存儲在中央策略管理服務器的數據庫中，供管理員方便的查看、統計。

對於(yú)軟件而言，SEP的資産(chǎn)管理同時可以自動收集終端上的網絡應用程序列表，包括軟件名稱、版本号、指紋簽名等詳細信息。

SEP具備資産統計能力，通過部署在終端上的安全代理實現硬件資産監控、查詢、統計功能。SEP安全代理将收集計算機的CPU、内存、BIOS版本等硬件信息，並(bìng)集中存儲在中央策略管理服務器的數據庫中，供管理員方便的查看、統計。同時可以統計終端的網絡信息，包括IP地址，MAC地址等，也可以收集終端安裝的程序列表，使客戶對終端的基本情況有一個全面的瞭(le)解。

3．SEP的遠程協助功能

SEP可以在服務器端向指定的客戶端組發送指定的文字内容，尤其是當完整性檢查不通過的各種情況下。SPA保護代理在終端本地提供圖形界面，報(bào)告各種日志和事件，顯示受到的攻擊、網絡通信信息、應用程序信息等，幫(bāng)助終端使用者進行本地診斷和維護。同時，管理員可以通過策略管理服務器分析所有終端的事件和日志，調整配置終端安全策略，實現遠程診斷和維護。

4．以應用程序爲中心的個人防火牆（Personal Firewall）

Symantec Protection Agent個人防火牆能夠按程序或者通訊特征，阻止/容許任何端口和協議進出。SPA不是簡單的按這些參(cān)數來阻止，它可以将參(cān)數以AND/OR的邏輯組合來增強策略的精度和彈性。SPA也能夠對特定的協議/物理适配器阻止和應用策略，容許企業指派特定網絡中可使用的程序，阻止利用特定協議适配器帶(dài)來的漏洞。

5．主機入侵預防系統（HIDS）

Symantec Protection Agent提供基於行爲和特征方式的多層保護。Symantec Protection Agent 利用策略驅動和行爲檢測的方式來屏蔽未知的威脅，利用獨特的特征匹配方式來屏蔽已知的攻擊，利用主機完整性檢查來強制安全策略的貫徹和落實。SPA入侵預防系統深度檢查網絡封包，對所有進出流量做應用層的分析，可有效識别和實時阻止惡意攻擊。SPA默認支持並(bìng)啓用瞭(le)下列入侵預防功能：

 代碼注入保護

除瞭(le)應用程序指紋核對，Symantec保護代理還核對動(dòng)态連接庫的指紋，防止惡意程序注入代碼到可信程序來執行攻擊

 文件共享保護

Symantec保護代理過濾掉所有來自網關的NetBIOS通訊。用戶可以在本地子網進行文件共享，而不必擔(dān)心遠程網絡中的黑客訪(fǎng)問本地文件共享

 自适應保護

Symantec保護代理可以根據網絡連接類型和通訊方式來創(chuàng)建策略。例如，策略可以要求通過VPN從(cóng)互聯網公共IP接入的系統，文件共享将受限，但是從(cóng)公司内網接入的，文件共享将容許。自适應策略可以在危險級别更高的時候，啓用更嚴格的策略。例如從(cóng)家裏或者無線區域接入時

 端口掃描檢測和阻斷

SPA能檢測(cè)端口掃描，記錄事件，並(bìng)且阻止主機系統作出響應。盡管端口掃描本身並(bìng)不會危及目标系統的安全，但卻是入侵企圖的前哨。掃描企圖和掃描源對安全管理員來說是有價值的信息

 特洛伊木馬保護

SPA在已知木馬能夠通訊前，自動(dòng)終止其進程，防止傳(chuán)播和破壞

 基於主機的IPS

SPA利用模式匹配來識别已知的攻擊，例如，當SPA主機IPS監測(cè)到Web通訊中出現字符串"GET /cgi-bin/phf?"，就會預警一種CGI程序攻擊。每個網絡封包都會做特定的字符串模式檢查，如果匹配成功，SPA将阻止通訊，防止攻擊。SPA自帶一個預定義的IPS特征庫，它也容許用戶創(chuàng)建自定義IPS特征庫來檢測(cè)和阻止新的攻擊

 拒絕服務攻擊檢測和保護

Symantec保護代理能識别畸形包，僞地址等常見攻擊手段。它可以跨多個(gè)包來進行分析，不管端口号和IP協議類型。這正是其他入侵預防系統的弱點(diǎn)。

6．操作系統保護（OS Protection）

操作系統保護（OS Protection）不同於(yú)傳統基於(yú)特征碼的主機入侵檢測(cè)系統（HIDS）或傳統的防火牆技術，該技術通過對終端計算機上運行的所有應用程序的行爲進行控制，能夠有效阻止新的安全威脅。通過該技術，管理員可以在中央服務器配置規則，對終端進行以下安全防護設置：

操作系統保護（OS Protection）——基於行爲的入侵預防系統

設置不同應用程序對文件、注冊表鍵的訪問權限；允許或禁止應用程序的運行、終止指定的應用程序以及是否允許應用程序裝載動态連接庫。爲瞭減少管理員配置上地複雜性，SEP提供可通過網絡下載的操作系統保護模闆，管理員可以直接對不同類型的終端應用相應的模闆（Desktop、IIS Server、Apache Server、DNS Server、SQL Server、DHCP Server等）而不用自己逐一分析不同終端的特性，管理員還可以在模闆的基礎上自行修改策略，以滿足本企業特定的安全要求。

，但是設定瞭(le)特殊的靜态路由，僅容許訪問所需的服務器，並(bìng)沒有到整個網絡的缺省路由。

一旦客戶端有瞭(le)一個IP地址，DHCP 強制服務器将和客戶端上SPA通訊，確(què)定客戶端的策略是否及時更新，是否符合企業安全策略的要求。如果不符合，該SPA将觸發所需的修複動作，使該系統與企業安全策略相一緻。一旦符合要求，該客戶端将發起一個DHCP 釋放和更新。一旦DHCP 強制服務器接收到一個更新的請求，它将聯系SPA，確(què)定客戶端已經達标。系統将被授予一個正常生産網絡的DHCP 租約，給予全部的網絡訪問權限。

因爲DHCP NAC作爲一個透明（in-line）的DHCP 代理服務器，可以與現存的任何DHCP基礎(chǔ)架構兼容。部署這種NAC方法涉及在DHCP 服務器前放置DHCP 強制服務器，決定一種隔離IP 地址策略，在DHCP 服務器上改變(biàn)某些設置。

沒有安裝SPA的系統可以有兩種方式授予訪問權限。第一種方式是，對於(yú)一個非Windows 系統可以免除此NAC過程。第二種方式是，可以設置一個基於(yú)MAC 地址的免查表。這個MAC地址列表可以接受通配符，可以容許整個一類系統免受檢查，例如IP電(diàn)話使用它們組織唯一标識符。

DHCP NAC Packet Flow

4．Symantec On-Demand NAC

SSL VPNs 的引進産生瞭(le)另外一個面向WEB 的NAC組件的需求。爲瞭(le)滿足這個需求，Symantec開發瞭(le)SymantecOn-Demand 代理（SODA）。SODA 包括一個随需的，透過Java發放的NAC組件，該組件可以評估一個系統的安全策略狀态，無需預先安裝常駐式的SPA。SSL VPN 網關可以通過它們的WEB驗證界面發放此代理，確保系統符合策略要求後，才被允許訪問受該網關控制的公司資源。Juniper，Array Networks，Netilla 和Aventail 這些SSL VPN廠商在它們産品中均包括瞭(le)基於(yú)SODA的NAC支持。

5．Endpoint Enforcement (Symantec Protection Agent)：

此時，Symantec Protection Agent以設置好的間隔自動檢查主機完整性，而無需與任何強制服務器打交道。當主機完整性失敗(bài)，Symantec Protection Agent将切換當前應用的防火牆策略，阻止普通的網絡訪問，重定向主機到一個隔離的處所，並(bìng)啓動相應的修複工作。

Symantec NAC方法回顧：

NAC 方法	Symantec-Sygate 産品開始支持時間	需要的最小版本版本
Gateway Enforcement	2001年6月	SSE 2.0
API Enforcement	2001年12月	SSE 3.0
Self-Enforcement	2003年8月	SSE 3.5
802.1x (W)LAN Enforcement	2004年7月	SSE 4.0
Cisco NAC v1	2005年6月	SNAC 5.0, SEP 5.0
DHCP	2005年6月	SNAC 5.0, SEP 5.0

5.1.6SEP終端安全解決方案說明

我們建議使用Symantec Endpoint Protection來解決内網用戶、移動(dòng)用戶，分支機構(gòu)，合作夥伴和供應商在企業Intranet及Internet上面臨的種種網絡安全威脅，Symantec Endpoint Protection在以下各方面具有業界領先的安全防護解決方案：

企業網絡面臨的病毒，蠕蟲威脅防護
系統軟件、應用軟件的補丁自動管理
系統軟件自動化安全配置
終端用戶網絡準入控制
企業各種網絡用戶的網絡接入安全防護，如VPN、遠程撥号、無線AP、以太網接入等等的安全防護
網絡入侵防範
企業各種重要的信息資源的安全保護
終端用戶計算機各種安全防護軟件的完整性防護
移動終端的環境自适應防護
統一、有效的安全策略管理

1. 終端安全解決方案設計原則

解決方案的設計(jì)應堅持使企業網絡安全防護(hù)具有先進性、實用性、可靠性、兼容性、可擴充性和靈活性原則。

1）先進(jìn)性

保證所採(cǎi)用的産品和技術屬世界主流産品，在網絡安全領域占有較大的用戶市場，在該領域處於(yú)領導地位。

2）實(shí)用性和可靠性

網絡安全系統的性能指标能夠滿足相當長時間内全網綜合系統發展所需的存儲量和處理能力的要求。該系統應切實滿足業務的需要，系統性能可靠，易於(yú)維護並(bìng)且網絡及系統各方面指标切合實際需要，系統配置設計充分滿足需要。

3）兼容性和互操作性

具有良好的兼容性，所採(cǎi)用技術和産(chǎn)品可以支持兼容符合國際标準和工業标準的相關接口，可以與其它主流安全産(chǎn)品進行很好的融合，實現不同廠商安全産(chǎn)品的互相作用，從安全防護上做到1＋1>2安全防護性能，既保證企業以往安全投資的有效性和大量縮減企業安全投資，又能使企業網絡的安全防護能力上升到一個新的高度。

4）可擴(kuò)充和靈(líng)活性

該系統須具有良好的擴充能力，可以根據不斷(duàn)增長(zhǎng)的業務發展需要很容易地進行系統作用範圍擴充，在擴充網絡防護範圍時做到對企業非安全管理人員的透明，保證系統靈活有效的實施。

2．多層次的病毒、蠕蟲防護

病毒、蠕蟲破壞一類的網絡安全事件一直以來在網絡安全領域就沒有一個根本的解決辦(bàn)法，其中的原因是多方面的，有人爲的原因，如不安裝防殺病毒軟件，病毒庫未及時升級等等，也有技術上的原因，殺毒軟件，入侵防範系統等安全技術對新類型、新變異的病毒、蠕蟲的防護往往要落後一步，危害無法避免。使用SEP，我們可以控制病毒、蠕蟲的危害程度，隻要我們針對不同的原因採(cǎi)取有針對性的切實有效的防護辦(bàn)法，就會使病毒、蠕蟲對企業的危害較少到最低限度。

僅靠單一、簡單的防護技術是難以防護病毒、蠕蟲的威脅的。因此，在Symantec Endpoint Protection系統中，對當前肆虐於(yú)開放網絡環境中的大量病毒、蠕蟲威脅，實現瞭(le)多層次的安全防護策略，歸結起來是：事前預防、事中隔離、事後修複和AV聯動。

Symantec Endpoint Protection中

支持的事前預防策略包括如下幾個方面：

首先，通過主機安全完整性策略定義強制保證SPA中的基於(yú)主機的入侵檢測(cè)防範模塊的運行以及其特征庫的即時更新，從而能夠有效的保證對當前已知特征的病毒、蠕蟲入侵的防護。

其次，Symantec Endpoint Protection通過主機完整性策略定義強制保證企業在終端設備(bèi)上部署的第三方防殺病毒軟件處於(yú)執行狀态且其病毒特征庫的及時更新，防止終端用戶的關閉，異常退出或特征庫的不完整。

第三，對於(yú)那些不符合企業安全策略中的主機完整性定義的設備(bèi)，例如象上面描述的主機病毒、蠕蟲防護完整性定義，将首先被隔離到企業某一特定的隔離區，在其中被自動的安裝、升級、安全檢查，以達到企業主機完整性定義要求，之後被允許訪問正常的企業業務網絡資源。

第四，在Symantec Endpoint Protection中，所有的安全策略，包括上面的病毒、蠕蟲防護策略都是管理員通過中央集中的安全策略管理控制台實施的，對於(yú)普通用戶是透明的，既較少瞭(le)終端用戶的麻煩，又提高瞭(le)整體安全管理的質量。

Symantec Endpoint Protection中支持的事中隔離策略說明如下：

當病毒、蠕蟲(chóng)事件在企業網絡内部發生情況下，Symantec Endpoint Protection能夠實現對病毒、蠕蟲(chóng)的有效隔離，安全管理員可以通過Symantec Endpoint Protection中提供的“網絡程序自學習”功能，及時發現病毒、蠕蟲(chóng)的運行情況，從(cóng)而有針對性的制定病毒、蠕蟲(chóng)隔離策略，通過SPA提供的以應用程序爲中心的全狀态主機防火牆功能對病毒、蠕蟲(chóng)的網絡訪問進行阻斷，保證病毒、蠕蟲(chóng)不能繼續向企業網絡内部擴散，杜絕病毒、蠕蟲(chóng)對企業整體業務運行的影響。

Symantec Endpoint Protection中提供的事後定位、修複策略說明如下：

一旦企業内部網絡病毒、蠕蟲(chóng)事件被“事中隔離策略”控制在一定的範圍内之後，系統安全管理員馬上即可著(zhe)手病毒、蠕蟲(chóng)的清除工作，包括如下幾個方面：

首先，清除病毒、蠕蟲(chóng)需要知道病毒蠕蟲(chóng)的位置，即定位。通過(guò)前面提到的“網絡程序自學習”功能記錄的病毒、蠕蟲(chóng)位置信息，可以輕松的定位病毒、蠕蟲(chóng)的感染源。

定位之後，即有重點、有針對性的清除感染源，採取的策略可以是尋找到有效的病毒、蠕蟲清理工具，通過Symantec Endpoint Protection提供的“軟件輔助分發”功能下發到感染源並(bìng)執行；定制殺毒軟件病毒庫升級策略，及時升級病毒特征庫有效清理網絡端點病毒、蠕蟲；如果有系統補丁可以阻止病毒、蠕蟲的傳播，也可以對終端進行補丁升級，避免重複感染；Symantec Endpoint Protection還爲安全管理員提供瞭(le)主機入侵檢測防範模塊（HIPS）特征庫的定制編輯器及相關語法，可以自定義入侵檢測規則，實現對病毒、蠕蟲傳播行爲的及時發現和有效阻斷。

Symantec Endpoint Protection防病毒聯動說明如下：

防病毒聯動功能貫穿在Symantec Endpoint Protection病毒、蠕蟲(chóng)事先預防、事中隔離、定位修複的整個過程中，通過Symantec Endpoint Protection主機安全完整性策略中定義主機防殺病毒軟件運行狀态、病毒特征庫升級定義，實現終端用戶第三方防殺病毒安全策略的有效執行。SEP可以和Symantec領先的企業級防病毒系統Symantec AntiVirus有效整合，檢測(cè)SAV引擎的運行狀态、病毒特征庫的更新狀态；在SAV異常時，自動修複SAV。Symantec Endpoint Protection同時全面支持業界其它知名防殺病毒軟件，也可以自定義規則來支持所有第三方防殺病毒軟件。

3．終端用戶透明、自動化的補丁管理，安全配置

爲瞭(le)彌補和糾正運行在企業網絡終端設備的系統軟件、應用軟件的安全漏洞，使整個企業網絡安全不至由於(yú)個别軟件系統的漏洞而受到危害，必需在企業的安全管理策略中加強對補丁升級、系統安全配置的管理。Symantec Endpoint Protection提供瞭(le)有效的補丁及系統安全配置管理功能。

企業網絡安全管理員通過Symantec Policy Manager集中管理企業網絡終端設備的軟件系統的補丁升級、系統配置策略，可以定義終端補丁下載，補丁升級策略以及增強終端系統安全配置策略並(bìng)下發給運行於各終端設備上的SPA，SPA執行這些策略，保證終端系統補丁升級、安全配置的完備有效，整個管理過程都是自動完成的，對終端用戶來說完全透明，減少瞭(le)終端用戶的麻煩和企業網絡的安全風險，提高企業網絡整體的補丁升級、安全配置管理效率和效用，使企業網絡的補丁及安全配置管理策略得到有效的落實。

Symantec Endpoint Protection爲瞭(le)確(què)保企業補丁升級、安全配置管理的有效落實，除瞭(le)對終端用戶透明和自動化安全管理特色外，同時通過主機完整性策略保證機制實現補丁升級及安全配置管理的強制執行。通過補丁升級及安全配置的強制策略保證任何連接到企業網絡的終端的補丁升級及安全配置符合企業的安全管理策略。

4．全面的網絡準入控制

爲瞭(le)解決傳(chuán)統的外網用戶接入企業網絡給企業網絡帶來的安全隐患，以及企業網絡安全管理人員無法控制内部員工網絡行爲給企業網絡帶來的安全問題，在Symantec Endpoint Protection内網安全解決方案中，有效的解決瞭(le)企業員工從企業内網、外網以各種網絡接入方式接入企業網絡的準入控制問題。通過全面的網絡準入控制，企業可以強制每一台接入企業網絡的終端都符合企業安全策略的要求，從而保證企業網絡的安全穩定運行。

邊界準入控制

爲瞭(le)保證通過Internet接入企業網絡的外網用戶符合企業安全策略，同時爲瞭(le)保證企業外網安全防護薄弱情況下的終端安全，在每台外網終端上都安裝並(bìng)運行SPA，在企業網絡入口處部署Symantec Gateway Enforcer，網絡安全管理員通過Symantec Policy Manager爲外網用戶制定與其網絡位置(Location)相應的訪問控制策略、入侵預防策略、主機安全完整性策略。當外網用戶接入企業網絡時，網絡入口處的Symantec Gateway Enforcer檢查客戶端的安全狀态是否符合企業整體安全策略，對於符合的外網訪問則放行，不符合企業安全策略的外網訪問區分不同的情況：當訪問設備沒有安裝SPA的将被拒絕訪問，對於安裝瞭(le)SPA但當前安全策略不是最新的将被放行到企業網絡相應的隔離區進行安全性修複，當訪問設備符合企業安全策略則被放行進入企業網絡進行正常的業務活動。

接入層準入控

理服務器並(bìng)使服務器之間同步數據。該功能使得Symantec Endpoint Protection能夠方便的擴展以适應不同規模企業的需要。同時對於(yú)那些分布式的企業，也能夠爲分布於(yú)不同地點的客戶端統一的制定和維護安全策略並(bìng)使得終端用戶在企業内部網絡中漫遊時使用統一的安全策略。

   支持現有用戶與群組結構

策略管理服務器能夠從(cóng)NT域控制器，活動目錄服務器，LDAP服務器中導入用戶列表並(bìng)能夠和這些服務器定期同步更新用戶列表。通過該功能，管理員可以方便的沿用企業現有的用戶分組管理方式。

   中央管理的日志與報告系統

Symantec 保護代理會定期将客戶端的日志發送到管理服務器。管理員可以直接從(cóng)管理服務器的控制台查看所有Symantec 保護代理客戶端的日志，實時監控網絡的安全狀态。管理員還能夠使用管理服務器針對客戶端的日志生成圖形化的報(bào)表來統計和分析企業網絡的安全狀況。Symantec策略管理服務器還支持第三方的專業日志分析軟件，可以将本系統的日志自動發送到專用的日志服務器中進行進一步的分析。

   基於組的策略生成及繼承系統

策略管理服務器可以對不同的用戶進行分組，並(bìng)對不同的組制定不同的安全策略。通過系統内置的繼承體系，不同的子組能夠從同一父組中繼承相同的安全策略，從而提高策略制定的便利性。策略管理服務器還能夠針對計算機和當前登錄用戶來制定安全策略，按計算機制定的策略爲特定的計算機維護瞭(le)一組固定的安全策略，而按登錄用戶制定的策略爲不同的登錄賬戶維護瞭(le)獨立於特定機器的可以在企業内部網絡中漫遊的安全策略。

   支持企業級的統一安全部署

爲瞭(le)實現對(duì)大型企業網絡的統一安全策略管理，特别是那些擁有衆多分支機構的企業網絡，Symantec Endpoint Protection通過數據庫複制技術，支持不同企業子網之間的策略複制，保證企業範圍統一的安全防護策略以及企業級安全管理的穩定、高效。

通過Symantec Endpoint Protection提供的靈活的用戶分組和策略設置功能，管理員可以有效管理企業内網不同用戶身份的網絡訪(fǎng)問策略。管理員可以按照不同部門的不同網絡應用需求配置相應規則，使得不同部門的用戶隻能在内網訪(fǎng)問與其業務相關(guān)的應用和服務器，阻止所有的越權訪(fǎng)問行爲。

9．産品擴展能力

1）分布式部署的策略複(fù)制

默認情況下，一般一台策略服務器技術上不存在管理終端數量的限制。根據世紀的使用需求，一台策略服務器通過管理3000台終端爲合适。超過3000台的終端能夠通過擴展策略服務器的數量來實現管理功能。對於(yú)不隻一個物理站點或者需要擴展站點的企業，例如有分支機構，用專用通訊鏈路來連接太昂貴，SEP支持數據複制。複制就是不同地點或站點間的數據庫通過特别拷貝(bèi)來共享數據的過程。這樣不同地點的用戶可以都工作在本地的副本之上，然後同步他們之間的變更。在SEP環境内，數據庫複制可以将一個管理服務器上的變更同步到另一個數據庫上，實現冗餘備份。通過這種方式，SEP能夠支持極大的終端數量擴展能力，從而滿足企業不斷擴大規模的需求。

2）擴(kuò)展的事件日志轉發(fā)能力

通過事件日志轉發Symantec SEP能夠将SEP日志轉換成其他軟件的格式。這個服務可以用來做日志的聚合和集中。系統管理員可以選擇對哪些客戶端、管理服務器和強制服務器日志進行轉發，並(bìng)存儲在文本文件内供第三方程序使用。SEP 事件日志可以和其他程序和設備(bèi)的日志一起（例如殺毒，路由，IDS）遞交給安全信息管理系統。常見系統格式如netForensics，eSecurity，syslog，Symantec都能支持。

Symantec Universal Enforcement API

SEP還通過擴展提供統一的強制API接口。當用戶通過IPSEC VPN連入網絡，Symantec API 被使用與安裝在遠端系統的Symantec保護代理通信，判斷該系統是否與安全策略一緻。爲瞭(le)使該種方式工作，IPSEC VPN 網關必須支持Symantec的通用強制API。爲瞭(le)確保Symantec API 的兼容性，Symantec與絕大多數VPN 廠商一起工作，包括Cisco，Nortel，Juniper，Aventail，AEP，Array Networks 。對於(yú)不支持Symantec API 的VPN 網關，Symantec的透明（in-line）網關強制服務器可以被插入在VPN網關後邊，執行本功能。

項(xiàng)目

産(chǎn)品模塊(kuài)

模塊(kuài)說(shuō)明

1

Managed Security Agent（IPS + PFW）

（M模塊(kuài)）

M是基本模塊(kuài)，必須購(gòu)買

1. 中央管理功能

2. 防火牆(qiáng)功能

   1) 阻擋(dǎng)常規網絡攻擊（例如，端口掃描檢測(cè)和阻斷）

   2) 應(yīng)用程序管理（例如，應(yīng)用程序黑、白名單(dān)）

   3) 網絡訪(fǎng)問控制列表（例如受信站點(diǎn)、受限制站點(diǎn)）

   1) 端口控制

   4) 适配器管理（例如，禁止使用撥(bō)号）

   5) 内外網(wǎng)隔離(lí)

   6) 離機(jī)斷(duàn)網

3. 入侵預(yù)防系統(tǒng)

   1) 阻止網絡(luò)型病毒與蠕蟲(chóng)的入侵

   2) 代碼注入保護，核對(duì)應用程序和動(dòng)态鏈接庫指紋

   3) 文件共享保護(hù)，阻止遠程網絡中的黑客訪(fǎng)問本地文件共享

   4) 特洛伊木馬(mǎ)保護(hù)

   5) 拒絕服務攻擊(jī)保護(hù)

   6) 自定義規(guī)則對(duì)通訊流量進行審

..........................

2

Host Integrity + Remediation

（H模塊(kuài)）

1. 軟(ruǎn)件分發(fā)

2. 補(bǔ)丁管理

3. 系統(tǒng)加固

1) 強(qiáng)口令

2) 安全工具檢(jiǎn)查(例如，殺毒，資産(chǎn)管理)

3) 系統(tǒng)文件保護(hù)

4) 關閉(bì)危險服務（例如，遠程注冊(cè)表服務，遠程終端服務）

5) 統(tǒng)一屏保策略

6) 關(guān)閉(bì)默認共享

7) 匿名

制

LAN Enforcer用於(yú)與支持802.1x EAP協議的交換機配合實施，爲企業内網提供高度靈活的内網用戶(hù)接入企業網絡的身份認證、策略強制、VLAN支持。

爲瞭(le)保證企業網絡内部終端的網絡接入時的安全狀态以及網絡應用行爲，需要在接入内網的終端上安裝和運行SPA，當終端接入交換機（支持802.1x協議）時，交換機發起EAP認證，SPA在收到EAP認證質詢時，将當前終端安全狀态以及終端身份向交換機報告，交換機在收到SPA的應答以後，将應答信息以Radius協議發送到Symantec Lan Enforcer，Lan Enforcer按照管理設定的規則檢驗SPA的應答信息，如果終端的身份合法並(bìng)且安全狀态也符合企業安全策略的要求，Lan Enforcer就通知交換機将終端放入正常的工作Vlan，如果終端驗證失敗，Lan Enforcer就按照管理的設定，通知交換機将終端放入隔離Vlan或直接關閉端口。在隔離Vlan的終端，SPA會自動進行終端安全狀态的修複，在修複完成以後，系統自動将終端重新接入正常工作Vlan。

5．全面的入侵防範

現階段黒客攻擊技術細分下來共有八類，分别爲入侵系統類攻擊、緩沖區溢出攻擊、欺騙類攻擊、拒絕服務攻擊、對防火牆的攻擊、病毒攻擊、僞裝程序/木馬程序攻擊、後門攻擊。如此衆多的網絡攻擊行爲，就需要採(cǎi)取全面、多層(céng)次的入侵防範手段，不但要能夠保證企業内網不會受到直接攻擊，也要防止間接的攻擊行爲，保證離開企業内網保護直接連接到Internet的移動終端不會成爲入侵企業網絡的媒介。

Symantec Endpoint Protection将傳統的入侵防範從網絡邊界擴展到瞭(le)企業網絡的終端設備(bèi)，防護範圍從企業網絡邊界擴展到所有的終端之上，将網絡終端安全防護策略從傳統的各自爲戰發展到安全策略集中統一管理的有機防禦體系。

在SPA中爲瞭(le)适應當前網絡威脅與安全防護之間的時間間隔越來越短的安全情勢，在SPA中實現“零時點”（Day-Zero）安全威脅防禦技術，将傳統的基於(yú)攻擊特征碼防護技術與最新的基於(yú)攻擊行爲特征分析防護技術相接合，有效縮短瞭(le)系統對新的網絡威脅的響應時間。

Symantec Protection Agent爲終端提供瞭(le)主機防火牆、主機入侵預防、操作系統保護、緩沖區溢出保護、系統鎖定等全面的安全防護機制，確(què)保企業網絡每一終端都可以有效應對各種攻擊行爲。

6．終端設備安全完整性保證

主機完整性強制是Symantec Endpoint Protection系統的關鍵組件。信息安全業界已經開發出瞭(le)多種基於主機的安全産品，以確保企業網絡和信息的安全，阻止利用網絡連接技術、應用程序和操作系統的弱點和漏洞所發起的攻擊。並(bìng)已充分採用瞭(le)在個人防火牆、入侵檢測、防病毒、文件完整性、文件加密和安全補丁程序等方面的技術進步，來有效地保護企業設備。然而，隻有在充分保證這些安全技術的應用狀态、更新級别和策略完整性之後，才能享受這些安全技術給企業網絡安全帶來的益處。如果企業端點設備不能保證主機安全措施完整性，也就不能将該設備看成企業網絡受信設備。

Symantec Endpoint Protection允許管理員定義、實施以及恢複主機系統的安全完整性。可定義的主機完整性包括：安全應用是否安裝、運行、特征數據是否及時更新以及系統安全設置。通過每當(dāng)終端在連接到企業網之前檢測(cè)系統的安全完整性，來強制主機完整性。

在安裝有Symantec保護代理的計算機上，如果沒有安裝管理員指定的補(bǔ)丁程序或者操作系統漏洞補(bǔ)丁程序，SPA将按照管理員設置的修複策略自動(dòng)連接到更新服務器，下載和安裝必需的補(bǔ)丁程序或者操作系統漏洞補(bǔ)丁程序。在修複動(dòng)作完成之前，終端被系統隔離在企業内部網絡之外，直到它完成補(bǔ)丁的修複爲止。

客戶端也可以檢測(cè)防病毒應用程序是否過期。例如，如果防病毒應用程序比起系統管理員指定的更舊，則認證強制網關(guān)就阻止Symantec 保護代理連接到企業網中，直到将最新版本的防病毒應用程序安裝到終端計算機上爲止。

如果客戶端沒有最新的防火牆規則，則Symantec 保護代理将不能夠訪問企業網。如果管理服務器上有更新版本的安全策略，則Symantec 保護代理将自動(dòng)下載最新的安全策略，然後在用戶的計算機上更新安全策略。安全策略升級失敗(bài)時，會自動(dòng)生成安全日志。

7．移動用戶的自适應防護

爲瞭(le)适應企業員工經常在企業内網、分支機構、家庭、路途及其它各種公共場所如展覽會所等網絡辦公環境中不斷轉換的實際情況，保障移動設備在離開企業内網較完備的安全防護仍然符合企業網絡安全策略，避免終端處於(yú)企業外部時訪問企業内網資源給企業網絡安全帶來災難，同時避免給終端用戶的實際業務應用帶來不必要的麻煩，讓終端用戶樂於(yú)遵守企業既定的網絡安全策略，保障企業安全防護策略在移動終端的有效執行，Symantec Endpoint Protection提供瞭(le)自适應防護安全保障機制。

Symantec安全防護引擎能夠根據用戶計算機所處網絡環境（用戶所處的環境：辦(bàn)公室、家中、差旅途中、展示會等；用戶使用的網絡連接方式：以太網、撥号網絡、VPN、無線網絡等）的變化自動調整安全策略，以适應不同網絡環境下的不同級别的風險。例如：當用戶在參加展示會時使用會場提供的無線網絡接入到Internet並(bìng)連接公司的VPN服務器進入企業内部網絡時，系統自動偵測到所處的網絡環境並(bìng)自動應用企業爲這種環境所規定的安全策略；而當用戶結束展示會回到公司内部時，系統自動應用适應公司内部網絡環境的安全策略。

8．統一、有效的安全策略管理

統一、有效的安全策略管理是Symantec Endpoint Protection從企業安全管理角度提供的增強企業網絡安全的解決方案。在Symantec Endpoint Protection中爲瞭(le)克服企業網絡管理中存在的問題，如整個企業範圍内安全策略不統一、企業任何安全管理策略的實施不得不牽涉到幾乎整個員工隊伍混亂狀态、企業安全策略由於(yú)種種原因而無法真正的落實、企業對某一突發安全事件的響應無法滿足企業緊急事件響應的時效要求等，将企業網絡安全管理技術與企業網絡端點防護技術有效結合，針對企業網絡管理中各種現實的、緊迫的問題進行總體設計，引入多種獨特的安全管理技術，實現滿足企業網絡安全管理要求的全面解決方案。

 可擴展的多服務器架構

策略管理服務器内建多站點同步功能。企業可以在不同的分支機構内同時安裝策略管

訪(fǎng)問(wèn)限制

8) 禁止修改IP

9) ……

4. 系統(tǒng)修複(fù)

1) 強(qiáng)制運行殺毒軟(ruǎn)件

2) 強制病毒特征庫(kù)升級(jí)

3) 糾(jiū)正錯(cuò)誤的系統配置

4) 自動(dòng)提示用戶（例如，自動(dòng)連接安全站點(diǎn)相關網頁）

5. 移動存儲(chǔ)設備(bèi)的管理（U盤，刻錄機，紅外等）

3

LAN Enforcement(802.1x)

（L模塊(kuài)）

1. 區分來訪(fǎng)終端和自有終端，爲外來人員創(chuàng)建“網絡漫遊區”。

2. 對(duì)接入終端的安全性發起認證，屏蔽不安全的設備(bèi)接入局域網。

3. 将高危設備(bèi)放入隔離(lí)VLAN。

5.1.7SEP終端安全具體解決方案軟、硬件需求

1．SEP + SNAC運行要求（單獨安裝最小配置要求）

Symantec Policy Manager

硬件需求
· Pentium III 900 MHz 或更高
· 512 MB RAM (或更高)
· 500 MB 可用硬盤空間
· 一張10/100M(或更高)以太網卡(安裝有TCP/IP 協議)

軟件需求
· Windows 2000 Server, Advanced Server 或Data Center (SP1 或更高，推薦SP4)
· Windows 2003 Server (SP1 或更高)
· Internet Information Services 5.0/6.0 (安裝有Web服務)
· Microsoft SQL 2000 client (可選)

SQL Server數據庫(如不使用SPM内置數據庫)

硬件需求
· Pentium III 900 MHz 或更高
· 512 MB 内存
· 安裝SQL Server或後有500MB以上硬盤空間

軟件需求
· Microsoft SQL 2000 + SP3或更高

Symantec Gateway Enforcer

硬件需求
· Pentium III 800 MHz 或更高
· 128 MB RAM (推薦256 MB)
· 100 MB 可用硬盤空間
· 兩張10/100M以太網卡(或更高)

操作系統
· RedHat Enterprise Linux 3 Original or Update 4

Symantec Lan Enforcer

硬件需求
· Pentium III 800 MHz 或更高
· 128 MB RAM (推薦256 MB)
· 100 MB 可用硬盤空間
· 一張10/100M以太網卡(或更高)

操作系統
· RedHat Enterprise Linux 3 Original or Update 4 (Kernel 2.4.21-4EL, 2.4.21-27EL)

Symantec DHCP Enforcer

硬件需求
· Pentium III 800 MHz 或更高
· 128 MB RAM (推薦256 MB)
· 100 MB 可用硬盤空間
· 兩張10/100M以太網卡(或更高)

操作系統
· RedHat Enterprise Linux 3 Original or Update 4 (Kernel 2.4.21-4EL, 2.4.21-27EL)

2．SEP + SNAC系統硬件配置建議（3000點估算值）

編(biān)号

建議(yì)配置

3000客戶(hù)端

數(shù)量/用途

Server-1

· Xeon 2.4GHz × 2
· 2GB ECC RAM以上
· 20GB以上可用硬盤空間用於軟件安裝和數據庫
· 一張1Gb以太網卡(使用微軟TCP/IP 協議)

兩(liǎng)台（一主一備(bèi)）

Symantec Policy Manager

Server-2

· Xeon 2GHz × 2
· 1GB ECC RAM
· 20GB以上可用硬盤空間用於軟件安裝和數據庫
· 一張1Gb以太網卡(使用微軟TCP/IP 協議)：Lan Enforcer；兩張1Gb以太網卡：Gateway Enforcer, DHCP Enforcer.

兩(liǎng)台（一主一備(bèi)）

Symantec Enforcer

桌面資産管理系統

Altiris IT生命周期管理解決方案具有多重系統管理功能，企業能随著(zhe)新的要求或新的系統管理需求部署新的功能，随著(zhe)企業的發展而不斷(duàn)擴充。每個解決方案以模塊化的方式集中安裝在Altiris服務器上，通過安裝在客戶端的Agent（代理）的交互來實現所有功能。

Altiris IT生命周期管理解決方案基於(yú)可擴充管理架構--Extensible Management Architecture™(EMA™)，完全通過統一的Web控制台進行所有的管理工作。Altiris服務器還可以實現分布式結構來管理複雜龐大的IT基礎(chǔ)設施。

5.2.1Altiris 客戶端管理套件I

CMS-I是一種非常簡單易用的客戶端管理解決方案，它幫(bāng)助用戶降低PC、筆記本、手持設備(bèi)等的管理維護成本。專爲擁有大量IT設備(bèi)管理者設計的。這個方案幫(bāng)助客戶實現從任何地點對系統和設備(bèi)的管理，包括部署、管理、配置、解決問題等功能。它包括如下解決方案：

Inventory Solution® for Clients 資産模塊
Application Metering Solution 應用測量模塊
Patch Management Solution™for Clients 補丁管理
Deployment Solution™for Clients 部署模塊
Carbon Copy® Solution遠程控制模塊
Software Delivery Solution™for Clients 軟件分發模塊
Application Management Solution 應用軟件管理模塊
PC Transplant 個性化遷移模塊。

5.2.2Altiris 資産管理（硬件和軟件等）具體解決方案及應用、技術實現方法

對於擁有大量客戶端的用戶，如何進行客戶端設備的資産管理，是用戶首先面臨的問題。用戶希望對所有的設備進行及時、準確的統計，並且盡可能準確瞭解所有客戶端設備的硬件配置以及軟件信息，以及時掌握資産的變化。當用戶需要統一升級操作系統或應用系統時，希望能夠提供資産狀況報告，爲升級費用提供科學的

因爲通常是低水平、重複(fù)性工作，IT管理員也感覺到非常疲倦、枯燥。如何高效率、高質量、低成本提供技術支持及幫(bāng)助，是客戶面臨的挑戰。

功能描述

Altiris carbon copy solution解決方案並(bìng)不是一般的遠程控制應用程序，它可以通過Web浏覽器進行遠程控制,而且其強大的管理特性爲企業提供瞭(le)一個遠程管理的工具。IT管理員利用Carbon Copy® 解決方案不用到需要幫助的計算機設備前，就可以爲計算機使用者提供培訓、故障判斷及解決、操作幫助等服務。

Carbon Copy Solution給用戶帶(dài)來的好處(chù):

無需出差爲用戶解決問題，節約差旅費用
提高服務水平和服務響應速度
遠程解決用戶技術支持問題，減少用戶反複撥打技術熱線的數量
可以實現遠程培訓
支持遠程控制、文件傳輸、遠程執行、對話以及遠程重新啓動
通過保證桌面電腦的有效性，從而提高企業生産力
大量降低維護管理工作量，絕大數問題可以遠程解決。
提高IT管理水平：使用瞭altiris解決方案，企業可以節約IT管理費用，並且使IT管理員從日常的軟件安裝、配置管理、系統安裝等繁雜的工作中解脫出來，從而可以将精力放在IT的高級管理方面。

Carbon Copy Solution解決(jué)方案的技術特點(diǎn)

支持低網絡帶(dài)寬(kuān)下的遠程控制

爲瞭(le)有效的管理企業IT環境，你需要通過網絡或從遠程接入計算機。使用Carbon Copy解決方案可以通過廣域網、局域網或互聯網接入到桌面設備(bèi)、服務器、筆記本等。通過建立一個專門的高性能的altiris遠程接入協議，Carbon Copy解決方案對低帶寬下的遠程控制進行瞭(le)最大優化，使得即使是撥号方式或Internet網絡也可以進行遠程控制。

支持通過(guò)Web浏覽器進(jìn)行遠程接入和控制

使用傳統的應用程序，你仍然需要在本地安裝軟件來控制遠程計算機。使用Altiris Carbon Copy 解決方案, 你可以利用Microsoft IE從任何地方、通過任何計算機連接和控制安裝的altiris代理的計算機。隻需簡單的點擊Carbon Copy URL，遠程接入控制台就會立即被下載並(bìng)準備使用。這真是太容易瞭(le)。控制台由於是放在系統緩存裏的，因此在使用後不會保留在計算機中。

與客戶(hù)端部署和配置的無縫(fèng)整合

不再需要分散的各種功能或麻煩的部署過程,因爲altiris agent能夠通過基於(yú)Web的管理控制台來進行管理。通過Carbon Copy解決方案，你可以立即部署代理或通過設置部署工作計劃從而實現在非高峰時間進行部署。代理一旦被安裝，就準備開始接受Carbon Copy連接，並(bìng)且通過安全配置文件保護公司安全性。你可以随時集中設置安全選項和更新代理配置。

全面的安全性

對於(yú)執行遠程控制解決方案來說安全性永遠是最受關注的。Carbon Copy提供瞭(le)安全參數，通過内置的控制台控制接口和遠程會話。通過管理控制台，你可以定義哪個管理員有權限修改代理配置或哪個用戶能夠有權啓動一個遠程控制會話。Carbon Copy 解決方案還能夠提供一個代理的安全配置設定，可以提供多層安全組合，通過連接權限設置限定哪些功能可以在計算機上運行。

集中監(jiān)控和報(bào)告

Carbon Copy 解決方案允許跟蹤和管理整個企業中的遠程接入。所有遠程接入的行爲都被自動登記在代理上並(bìng)報(bào)告給中央服務器。Altiris的pre-defined Web 報(bào)告允許你通過安全代理查看所有遠程接入的行爲和信息。甚至還可以通過拷貝pre-defined Web 報(bào)告建立一個用戶自定義的報(bào)表，而不需要編寫任何程序，通過添加數據、設置過濾參數等就可以生成新的報(bào)表。

Carbon Copy Solution的核心實(shí)現技術(shù)：

Carbon Copy Solution 将遠程控制功能融合進Altiris 基礎(chǔ)結構。這将由Altiris 資源管理器對(duì)遠程計算機提供有效的管理。特别是Carbon Copy 允許您做以下事情：

• 浏覽並(bìng)從一個Web 頁上連接設備(bèi)。

• 運行遠程控制、文件傳(chuán)送、語音聊天、以及遠程打印實(shí)用程序。

• 從(cóng)中心位置管理設備(bèi)的部署和配置。

• 監(jiān)控事件，比如連接狀态、遠程實用程序的使用情況(kuàng)、以及安全警告。

• 産(chǎn)生預定義Web 報(bào)表或創建自定義報(bào)表。

• 接收電(diàn)子郵件或當(dāng)某一情形出現時執行其它通知事件。

連接遠程計(jì)算機(jī)

Carbon Copy Solution 允許您同裝有Carbon Copy Agent 的遠程計算機連接。當(dāng)同遠程的計算機連接時，您可對遠程計算機使用遠程控制、文件傳(chuán)送、遠程剪貼闆、語音聊天、以及遠程打印實用程序。

遠(yuǎn)程控制

遠程控制實用程序使本地計算機對安裝有Carbon Copy Agent 的遠程計算機的全部操作進行控制，包括啓動應用程序或更改系統設置。當(dāng)與一台遠程計算機連接後，出現（默認）一個顯示遠程計算機桌面的遠程控制窗口。在此窗口内，所有鍵盤和鼠标功能都可傳(chuán)到遠程計算機上。

文件傳(chuán)送

文件傳送實用程序在本地計算機或遠程計算機進行複制、同步、創建、以及删除文件或文件夾。文件傳送使用類似於(yú)Windows 資源管理器的分割窗口方法，並(bìng)使用相同的文件選擇和删除技術。文件可拖放到它們新的位置。文件傳送有兩種傳送方法：複制和同步。複制是将所選的文件移動到指定的位置。同步是比較兩個目錄或文件，決定最新的版本，然後僅複制必要的部分以使在兩台計算機中都具有最新的文件。

語(yǔ)音聊天

當運行遠程控制、文件傳(chuán)送、或任何其它實用程序時，語音聊天功能允許Altiris Console 的使用Carbon Copy 進行遠程控制窗口的用戶同遠程計算機的用戶講話。任何連接到中心計算機的Carbon Copy 用戶都可同其他計算機用戶講話。您必須在每台計算機上裝有聲卡、揚聲器、和話筒。如果在計算機上這些設備(bèi)未裝備(bèi)好，則語音聊天功能默認爲文本聊天。文本聊天功能允許本地計算機同遠程計算機交換輸入的消息。文本聊天字段出現在語音聊天窗口的底部。您可将文本聊天消息複制到Windows 剪貼闆，然後粘貼到應用程序裏，或從應用程序複制文本然後再剪貼到文本聊天窗口。

5.2.4Application Metering Solution（應用測量模塊）功能

應用測(cè)量管理和控制軟件的使用情況和授權證書。與IT資産(chǎn)模塊一起使用，顯示軟件安裝在哪裏，哪些軟件真正被使用及其使用頻率，利用該數據您可以收回沒有被使用的軟件授權證書,限制沒有價值

依據，如哪些設備(bèi)需要增加硬盤，哪些設備(bèi)需要增加内存，哪些不需要變化，哪些需要淘汰等等。altiris的資産管理解決方案（Inventory Solution）可以幫(bāng)您解決這些問題。

Inventory Solution給用戶帶(dài)來的好處(chù)：

資産準確統計，清楚瞭解公司資産配置
資産監控，自動、及時反映資産變化
資産評估，爲系統升級提供科學依據，節約升級費用
提高瞭技術支持能力：當客戶端設備的使用者需要技術支持時，不再需要詢問具體的硬件配置和操作系統配置等信息，提高服務響應速度和解決問題的速度。
提高IT管理水平：使用瞭altiris解決方案，企業可以節約IT管理費用，並且使IT管理員從日常的軟件安裝、配置管理、系統安裝等繁雜的工作中解脫出來，從而可以将精力放在IT的高層管理方面。

Inventory Solution主要特點(diǎn)：

自動信息收集：如硬件信息、安裝的軟件包、操作系統配置等
支持多種設備：桌面設備、筆記本、手持設備和移動設備
支持多種系統：如Windows,UNIX, Linux, NetWare,Macintosh,Palm等
提高對應用的支持能力並減少支持成本
資産評估，爲系統升級提供科學依據，節約升級費用：當用戶需要統一升級操作系統或應用系統時，希望能夠提供資産狀況報告，爲升級費用提供科學的依據，如哪些設備需要增加硬盤，哪些設備需要增加内存，哪些不需要變化，哪些需要淘汰等等
安全是BS結構的，使用方便
與altiris的其他方案無縫整合：輕松實現與軟件分發管理、補丁包管理、遠程控制、系統部署、備份與恢複、Help Desk等産品整合。
與第三方産品無縫整合：如Remedy Helpdesk, HP OpenView , MS SMS, Active Directory

Inventory Solution的核心實(shí)現技術(shù)：

Altiris Inventory Solution 設計用於(yú)滿足當前各種網絡環境的需要。它從任何實際地運行Windows 32 位操作系統的計算機上收集全面的軟件和硬件數據。各種部署和數據集合選項確保Inventory Solution 在任何環境下均可工作。爲幫助您獲得最大投資收益，Inventory Solution 不僅限於(yú)簡單的數據收集。通過提供基於(yú)Web 的管理控制台、針對關鍵信息發出警報的策略，以及專業質量的Web 報表，Inventory Solution 包括瞭(le)用於(yú)将清單數據轉變成有用信息的各種工具。

Inventory Solution 提供Windows 計算機中的全面清單(dān)，包括序列号、硬件清單(dān)、軟件審核清單(dān)、虛拟機，以及用戶/ 聯系人信息（通過(guò)Exchange 配置文件）。Inventory Solution 還可以：

• 支持零占用空間(jiān)配置。

• 在始終保持連接、斷(duàn)續連接和單(dān)機（經由軟盤）等計算環境下操作。

• 安裝以結(jié)合Altiris Agent 重複(fù)運行。

無論是否使用零占用空間選項，從(cóng)計算機(jī)收集的信息均相同。

注意：Altiris 提供的Inventory Solution 可用於(yú)UNIX、Palm、Pocket PC 和Apple Macintosh。

Inventory Solution 可讓您獲得任何Windows 計算機的清單(dān)。Inventory Solution 以零占用空間運行-- 無需在計算機上安裝任何程序，也不必通過Altiris Agent 運行。它可以從(cóng)網絡運行，也可以安裝在兩張軟盤上，以便能夠盤點不在網絡中的計算機。

Inventory Solution 數(shù)據(jù)包括：

• PC 序列号和BIOS 詳(xiáng)細(xì)資料

• 綜合軟(ruǎn)件審(shěn)核

• 磁盤(pán)、操作系統和系統配置設(shè)置

• 注冊(cè)表設(shè)置

• 全部最終用戶(hù)信息（通過(guò)Microsoft Exchange 配置文件）

• WMI 對(duì)象

Inventory Solution 數據可被傳(chuán)送至Notification Server，其方法包括通過在網絡共享環境中創(chuàng)建一個文件、使用HTTP 直接傳(chuán)送數據、或将數據提交給Altiris Agent，再由Altiris Agent 傳(chuán)送至服務器。

軟件掃描(aexauditpls.exe) －對(duì)安裝在計算機中的軟件執行詳細掃描。它使用auditpls.ini 文件來控制應用程序的報(bào)告方式。在設置auditpls.ini 文件時，可利用多個強大而靈活的配置選項。

硬件掃描(aexmachinv.exe) －這是Inventory Solution 的硬件掃描代理。它報(bào)告硬件數據，如操作系統、登錄用戶、本地和網絡磁盤組、物理内存容量、TCP/IP 配置、CPU 和PCMCIA 設備(bèi)等。

自定義掃描(aexcustinv.exe) －該代理使用腳本從注冊(cè)表、WMI 或INI 文件收集數據，以便您自定義報(bào)告的數據集。

Exchange 用戶數據掃描(aexexchpls.exe) －報(bào)告在Microsoft Exchange Directory Service 中發(fā)現的有關登錄用戶的數據。

序列号掃描(aexsnpls.exe) －收集序列号、計算機(jī)廠(chǎng)商和型号、BIOS，以及内存模塊信息。

清單收集器(aexnsinvcollector.exe) －收集和合並(bìng)在掃描過程中由各個掃描代理發現的所有數據。掃描數據經合並(bìng)後發送到Notification Server。清單任務是由Inventory Solution 提供的Software Delivery 任務。這些任務将清單數據從Altiris Agent 報(bào)告到Notification Server。

硬件清單(dān)－按每日計劃(huà)運行計算機清單(dān)。

重新創建完整清單－按每月計劃運行軟件審核、序列号和計算機清單，並(bìng)發送所有清單數據至Notification Server，而不管自上次運行以來清單是否更改。還提供瞭(le)随機計劃選項，這樣即可在不同的時間、不同的計算機上運行清單。

重新創(chuàng)建用戶清單－按每月計劃運行最終用戶和交換清單，並(bìng)發送所有清單數據至Notification Server，而不管自上次運行以來清單是否更改。

軟件清單(dān)－按每周計劃(huà)運行軟件審核、序列号和計算機清單(dān)。

用戶(hù)清單(dān)－按每日計劃運行最終用戶(hù)和交換清單(dān)。

Inventory Solution 提供通知策略，即時(shí)報(bào)告Altiris Agent 的狀态。

5.2.3Altiris 遠程控制具體解決方案及應用、技術實現方法

用戶(hù)擁有的計算機數量越來越多，管理維護(hù)工作量大，服務水平和響應速度不能令人滿意，面臨的具體管理問題如下：

辦(bàn)公地點(diǎn)分散，系統管理員進行系統維護時往往需要花大量時間在路程上，不能及時響應服務請求。

因爲計算機操作者對(duì)業務軟件操作不熟練或遇到技術問題，不能電(diàn)話解決問題，需要上門服務。

技術(shù)支持成本居高不下。

技術(shù)培訓困難(nán)，工作量大。

爲解決如上問題，用戶通常需要聘用大量的IT維護人員，即便如此，在管理和維護上仍然是疲於奔命。而且

的軟件的使用,確(què)保環境的标準化,提高資源利用率,減少系統維護(hù)難度。

爲用戶測定某軟件将來需要授權證書的真實數量
部署和配置變得更加容易
減少升級系統的硬件需求
WEB報表，全面獲取有用數據
對於非法使用某關鍵應用軟件提供及時警報
拒絕使用某軟件：拒絕企業某些用戶使用某軟件，不管是聯網用戶，還是遠程用戶，甚至不聯網用戶！
應用負載數據：跟蹤應用負載數據，如CPU和内存負載情況、軟件的運行時間。
創建基於用戶、組和時間的集合，根據工作時間或者其他時間設置允許禁用使用某軟件的集合；可根據某軟件名稱、廠商、軟件類型、用戶等設置禁用。
軟件使用狀況監控：通過監控某電腦或用戶使用某軟件的時間及其頻率，減少軟件費用，回收使用率低的軟件授權證書。
通過分發腳本,禁止某些功能(如限制修改IP、限制某些端口)

5.2.5Patch Management Solution™for Clients（客戶端補丁管理模塊）功能

當今世界蠕蟲、病毒和特洛伊木馬越來越猖獗，每天都有大量的病毒産生和發作，您的企業是否有相應的應對措施？很大一部分蠕蟲、病毒和特洛伊木馬都是針對微軟的操作系統的漏洞實施攻擊，微軟幾乎每5天就要發布一次安全補(bǔ)丁，您公司的計算機是否可以相應的快速實施安裝？您如何確(què)認您的公司的每一台計算機分别需要哪一些相應的補(bǔ)丁？

當(dāng)您的企業擁有大量的計算機時，爲每一台機器安裝相應的補(bǔ)丁，是一個多麽巨大的挑戰，您有什麽好的解決方案嗎？

當(dāng)您的企業擁有大量的計算機時，即使能夠有工具實現自動安裝補(bǔ)丁程序，但是否面臨安裝補(bǔ)丁程序後應用程序不兼容或系統癱瘓的尴尬?

Altiris Patch Management Solution解決(jué)方案提供針對(duì)上面問題的解決(jué)方案。

補(bǔ)丁包管理方案給用戶帶來的好處(chù)：

提高客戶端設備的安全性和穩定性，減少“宕機”事件：給客戶端及時安裝補丁程序。
提高補丁程序的安裝效率：系統管理員不用到每台計算機上去安裝補丁程序，就能完成遠端計算機的補丁安裝。
以最安全的方式安裝補丁程序。
支持遠程分支機構的補丁管理，節約支持費用：不需要出差進行補丁程序安裝。
提高IT管理水平：使用瞭altiris補丁包管理解決方案，企業可以節約IT管理費用，並且使IT管理員從日常的軟件安裝、配置管理、系統安裝和恢複等繁雜的工作中解脫出來，從而可以将精力放在IT的高級管理方面。

Altiris補(bǔ)丁包管理方案的優勢(shì)

支持局域網和廣域網設備的補丁管理
自動補丁分發
支持基於策略和目标的補丁分發：可以将補丁隻發給指定的用戶群。
補丁可用性測試，減少補丁對應用的影響：一些補丁程序可能會導緻您的系統或者應用程序的不穩定，所以您需要在安裝前進行測試。Altiris補丁管理可以先建立一個小規模的集合或者組，然後進行測試，通過小範圍測試提前發現這些補丁程序可能對系統或者應用程序造成的影響。
萬一因爲安裝補丁程序，使系統癱瘓或應用程序不能正常工作，盡快恢複：
通過和Altiris Recovery Solution的整合能實現系統和應用盡快的恢複。
支持多種操作系統：如Windows 9X,Me,XP,NT,2000,2003,手持設備系統,Mac.等
能夠生成補丁更新和分發的詳細報表
完全是BS結構的，使用方便
與altiris的其他方案無縫整合：輕松實現與資産管理、軟件分發管理、遠程控制、系統部署、備份與恢複、Help Desk等産品整合。
與第三方産品無縫整合：如Remedy Helpdesk, HP OpenView , MS SMS, Active Directory

1.1.1系統部署和升級解決方案（Deployment Solution）

當企業購置新的客戶端時，IT管理人員會面臨大量客戶端的操作系統、應用軟件部署問題，這對於(yú)IT管理人員是一個相當大的工作量，需要花費相當長(zhǎng)的時間。當企業對現有客戶端進行升級時，如果快速地把原有系統的所有信息遷移到新的客戶端？當客戶端的操作系統進行升級時，如何快速地把原來的所有個性化設置進行遷移，保持用戶的使用習慣？

針對(duì)這些問題，Altiris提供瞭(le)非常有針對(duì)性的部署模塊(Deployment Solution)。

deployment solution給用戶帶(dài)來的好處(chù)：

減少新系統和應用的部署時間：當客戶擁有大量的客戶端設備，而且分布在不同的地域，在安裝操作系統和應用時，可以不用到每台計算機上去工作，就能完所有計算機的部署。
節約部署的費用：由於不需要出差到每個分支機構進行安裝和部署，因此可以節約費用。
減少系統和應用的升級和遷移的部署成本和時間：
提高IT管理水平：使用瞭altiris解決方案，可以節約IT管理費用，並且使IT管理員從日常的軟件安裝、配置管理、系統安裝等繁雜的工作中解脫出來，從而可以将精力放在IT的高層管理方面。

deployment solution主要特點(diǎn)：

遷移數據、應用程序和個人設置。您可以使用簡明易用的向導捕獲桌面、網絡和應用程序的設置，從而将準備淘汰的計算機中的數據和設置遷移到新計算機中。使用部署控制台重新對這些個人設置進行遠程部署。
升級和安裝軟件。對台式機、服務器、筆記本電腦和手持設備的系統軟件進行日常管理，升級應用程序，安裝服務程序包，設置打印機驅動程序並根據需要修改系統。部署解決方案可根據商旅人士的需要，将所有移動計算機的升級功能部署到遠程站點，從而爲其提供升級功能。
在大規模的計算機組中部署計算機。在全公司範圍内輕松地部署和配置大量計算機。使用多播功能向新建或已有的計算機類型組内安裝硬盤映像。安裝軟件和個性化設置，以及常用的應用程序、數據和驅動程序。運行配置後的作業或自動腳本以指定唯一的安全ID、配置用戶名，以及使用部署作業設置IP 地址。
對常見幫助台請求的響應。遠程浏覽、診斷和修複系統問題，而無需離開部署控制台。詳細的軟硬件清單，以及遠程控制和對話功能，可以大大簡化常見問題的遠程診斷過程。
災難恢複。通過遠程部署控制台自動備份和恢複配置、個性化設置、注冊表、分區和驅動器，可以減少意外事件帶來的損失。您可以将指定給一台計算機的所有部署作
執行日常客戶系統靜像，自動(dòng)捕獲變(biàn)化數據

利用基於(yú)Web的文件恢複技術，用於(yú)任何時間、任何地點(diǎn)的用戶自助恢複

快速可靠的修複(fù)回滾(gǔn)

迅速恢複(fù)PC及服務(wù)器，保證業務(wù)持續性

支持低帶(dài)寬和較(jiào)差的網絡連接

需要很少甚至不需要用戶(hù)幹(gàn)預

獨(dú)特的壓縮技術隻需要占用最少的帶(dài)寬消耗

自動的備(bèi)份到服務器上而不是磁帶(dài)上

在沒有網絡連接的環境下，備(bèi)份到一個(gè)本地的隐藏分區

可以備(bèi)份操作系統(tǒng)、應用程序、文件等各種資源

支持本地備(bèi)份和集中備(bèi)份兩種方式：如客戶(hù)端系統和應用程序在本地備(bèi)份，重要數據和文件集中備(bèi)份。

支持基於(yú)策略的備(bèi)份，備(bèi)份指定的目标設備(bèi)上的數據

支持備(bèi)份計劃，實現定期、無人值守的自動(dòng)備(bèi)份

2、多重壓(yā)縮(suō)

災難恢複解決方案的文件壓縮功能通過三種方式最小化數據的存儲(chǔ)及傳(chuán)輸。

Redundant file elimination (RFE) ——消滅冗餘文件，對於(yú)在災難恢複庫中已經存在的文件，不再進行重複傳(chuán)輸

Redundant block elimination (RBE) —消滅冗餘數據塊，通過僅傳輸並(bìng)保存與原靜像不同的--即變更數據塊部分，提高備(bèi)份效率。

HLZS data compression ——符合工業标準的無損數(shù)據(jù)壓縮算法。

通過三種方式組合使用，其壓縮比可高達15：1，從(cóng)而最小化網絡負荷，並(bìng)能夠達到單庫即可支持數千用戶的擴展能力。

1.1.6 節點解決方案

Endpoint Solution爲用戶提供一套數據安全的解決方案。它能有效的爲企業提供對(duì)用戶計算機進行U盤、移動(dòng)硬盤、光驅、移動(dòng)計算機進行管理。策略統一在服務器上制定，管理員可以根據用戶的類型不同來定義相應的策略。

U盤、移動硬盤、刻錄機進行管理，管理員可以設置爲可讀寫、讀、禁用，對於(yú)一些特殊的設備(bèi)你可以設備(bèi)排除。管理可以通過區域方式來定義不同的策略，例如：在公司使用一種安全策略、在家裏定義一種安全策略。
- 郵件系統安全管理
OA系統是企業内部完成公文管理、日常辦(bàn)公、個人事務、内部信息、企業文化、專業辦(bàn)公等功能的内部辦(bàn)公網絡。OA系統工作的核心在於(yú)通過電子郵件系統進行信息交換。如果沒有一個好的垃圾郵件防禦系統，大量的垃圾郵件會嚴重影響内部員工的工作效率，大量消耗OA系統承載網絡的帶寬資源，從而影響整個電信運營商的企業内部運作。在選擇一款好的防垃圾郵件産品時，根據用戶實際需要，我們主要對以下标準進行考量：

效力和精確性

對於(yú)反垃圾郵件解決方案最重要的因素就是能夠檢測出所有或幾乎所有的垃圾郵件，理想狀況是能夠100％地阻斷垃圾郵件，但實際情況是不太可能100％阻擋垃圾郵件，因此反垃圾郵件解決方案的效力指的是它到底能夠阻擋多少比例的垃圾郵件，90％？還是94.95％?一般來講，如果能一個反垃圾郵件解決方案夠阻擋94.95以上的垃圾郵件，我們就認爲它是一個有效的解決方案。反垃圾郵件精確性指的其檢測垃圾郵件的準確程度，即是否不會錯誤地把合法的郵件當著(zhe)垃圾郵件阻擋掉。

更新和升級的頻率

正如每天出現大量新的病毒一樣，Internet每天都會出現大量的新的垃圾郵件，因此反垃圾郵件解決方案必須及時、實時地更新其垃圾郵件過濾器或特征，以便能夠(gòu)識别和處(chù)理這些新出現的垃圾郵件。.

覆蓋全球的能夠識别不同語言的垃圾郵件

是否能夠識别和處(chù)理除英文以外的其他語言的垃圾郵件也非常重要，根據目前的統計和分析，将會有越來越多的垃圾郵件來自非英語國家，因此反垃圾郵件解決方案必需能夠阻擋採(cǎi)用和包含除英語以外的其他語言的垃圾郵件。

管理成本最小化

盡管衆多反垃圾郵件廠商宣稱其産品是即裝即用，使用方便，而實際上他們往往将大量的後續管理維護負擔交給瞭(le)系統管理員和終端用戶來承擔。比如，許多前攝性的過濾器往往在生效前需要系統管理員對其進行大量的學習和訓練，有些解決方案要求系統管理員通過人工維護“白名單”來降低合法郵件誤判率，還有些解決方案在“個性化垃圾郵件管理”的口号下将衆多的維護負擔完全交給瞭(le)終端用戶。系統管理員在評判一個反垃圾郵件解決方案前，需要明確如下問題：我準備花多少時間在防禦和管理垃圾郵件上？如果不能保證将反垃圾郵件解決方案的管理成本最小化，最終系統管理員将被淹沒在這些煩瑣的後續維護工作上，一旦人員開始懈怠或者疲於(yú)奔命，最終将會使得解決方案形同虛設，發揮不瞭(le)應用的防禦作用。

1.2.1Symantec Mail Security 8300

根據(jù)企業的實際(jì)情況，我們建議使用Symantec Mail Security 8300（注：8340,8360,8380，根據(jù)企業實際(jì)郵箱數量而定）作爲防垃圾郵件的解決方案。

基於(yú)以上對企業用戶在防垃圾郵件解決方案中的需求分析，作爲世界排名第一的信息安全解決方案提供商——Symantec公司，提供瞭(le)優秀瞭(le)防垃圾郵件解決方案。Symantec保持有行業最爲全面的反垃圾郵件技術架構，我們的高可适應性過濾技術包含瞭(le)各種強大的啓發式和響應式過濾器，爲企業提供強大的反垃圾郵件防護以及最高的過濾效率。

Symantec反垃圾郵件解決方案專注於(yú)反垃圾郵件領域超過六年，是全球範圍内的行業領導者，擁有2000個以上全球著名企業的成功案例，包括Avaya, eBay, Microsoft, IBM，Motorola，Bell，Lucent, MSN, AT&T, Lycos等。作爲全球市場(chǎng)份額最大的反垃圾郵件解決方案，Symantec反垃圾郵件保護超過3億個郵箱。

Symantec Mail Security 8300 系列設備正是使用瞭(le)Symantec核心的反垃圾郵件技術，可保護您的電子郵件基礎結構、服務和數據免遭各種威脅的攻擊，其中包括基於(yú)來源的和基於(yú)内容的威脅。

Symantec Mail Security 8300設備是Symantec公司使用其世界領先的Brightmail反垃圾郵件技術爲核心所設計的，爲企業提供易於(yú)部署的基於(yú)網關的綜合電子郵件安全解決方案。這些基於(yú)Linux 的強健設備部署在企業的電子郵件或群件服務器之前，可以保護您的組織不受基於(yú)電子郵件的惡意垃圾郵件或病毒的攻擊，同時確(què)保仍然可以通過電子郵件進行有效的協作和通信。通過将電子郵件防火牆、流量優化、反垃圾郵件、防病毒和内容策略一緻性功能整合到單個設備中來提供集成的電子郵件威脅防護，Symantec Ma

業進行保存，從而在出現故障後可以方便地将系統恢複到先前的工作狀态。
完全是BS結構的，使用和管理方便
支持不同硬件驅動部署。
與altiris的其他方案無縫整合：輕松實現與資産管理、補丁包管理、遠程控制、軟件分發、備份與恢複、Help Desk等産品整合。
與第三方産品無縫整合：如Remedy Helpdesk, HP OpenView , MS SMS, Active Directory

1.1.2Software Delivery Solution™for Clients（軟件分發模塊）功能

當您擁有大量客戶端設備(bèi)，並(bìng)且分布在各個區域，每個客戶端設備(bèi)上的軟件安裝和管理通常面臨如下挑戰：

軟(ruǎn)件部署問題(tí)：

當(dāng)初次安裝軟件時，IT人員需要每一台計算機設備(bèi)安裝應用軟件，工作量大；

軟件升級(jí)、維護(hù)問題：

當(dāng)應用軟件需要升級時，IT人員也需要爲每一台計算機進行升級，管理複(fù)雜；

廣(guǎng)域網客戶的軟件安裝和升級，需要出差解決，費(fèi)用高，IT維護成本居高不下；

IT服務不能及時響應，業務部門(mén)不滿(mǎn)意。

altiris的軟件分發(fā)解決方案(Software deliver solution)幫(bāng)助客戶有效解決以上問題。

Software Delivery Solution給用戶帶(dài)來的好處(chù)：

簡化軟件部署管理：altitiris解決方案中，系統管理員可以不用到每台計算機上去工作，就能完成客戶端計算機的軟件安裝。
支持遠程分支機構的軟件部署，軟件部署周期極大縮短：由於不需要出差進行軟件安裝，因此不再需要出差到每個分支機構，從而降低軟件部署時間。
支持遠程軟件分發，軟件升級非常方便
提高IT管理水平：使用瞭altiris軟件分發解決方案，企業可以節約IT管理費用，並且使IT管理員從日常的軟件安裝、配置管理、系統安裝等繁雜的工作中解脫出來，從而可以将精力放在IT的高層管理方面。

Software Delivery Solution主要特點(diǎn)：

支持低帶寬下的軟件分發：altiris的軟件分發解決方案對網絡帶寬的要求很低，用戶完全可以利用電話撥号或Internet實現遠程軟件分發。
支持軟件分發帶寬管理：可以設定軟件分發帶寬，從而在軟件分發過程中不會影響企業的ERP應用和Email的使用。
支持軟件分發的斷點續傳：在網絡斷線時分發中斷，當網絡接通後，不用重新開始。
支持基於策略的軟件分發：可以将軟件隻發給指定的用戶群，不會将軟件分發給不需要的客戶。
可以設定軟件分發計劃：可以設定軟件分發的時間，從而在下班時間或非工作高峰時間進行分發，提高效率。
支持多種操作系統：如Windows 9X,Me,XP,NT,2000,2003,手持設備系統,Mac.等
支持Packager Server方式和智能多發不同的軟件分發方式
強大的軟件分發結果報告：讓系統管理員準確瞭解分發結果
完全是BS結構的，使用和管理方便
與altiris的其他方案無縫整合：輕松實現與資産管理、補丁包管理、遠程控制、系統部署、備份與恢複、Help Desk等産品整合。
與第三方産品無縫整合：如Remedy Helpdesk, HP OpenView , MS SMS, Active Directory

1.1.3Application Management Solution（應用程序管理）功能

收集瞭(le)Microsoft Windows Installer（MSI）安裝産品的相關信息，然後提交到Altiris Notification Server或Microsoft Systems Management Server（SMS）。MSI能協助管理源路徑，收集MSI應用的庫存信息，安排定期應用健康檢查，自動恢複丢失或被更改的文件和/或注冊(cè)表值。

1.1.4PC Transplant（操作系統，應用程序遷移模塊）功能

PC遷移能幫(bāng)助您将用戶環境，例如：user profiles、桌面、應用軟件、用戶的各種類型的文檔打成一個包，放到服務器上。當(dāng)用戶重新安裝系統後或更換計算機時，可将用戶的環境重新遷移到新的系統中。

1.1.5 備份與恢複模塊（Recovery Solution）

由於(yú)用戶擁有的計算機數量越來越多，系統、應用程序管理維護(hù)工作量大；而且最終用戶的計算機上會存放大量的重要數據，需要進行有效的數據保護(hù)。具體問題如下：

由於(yú)誤操作，造成應用程序損壞(huài)或文件被删除。

受病毒感染，造成計算機癱瘓或應用程序損壞(huài)，從(cóng)而影響業務的正常運作。

由於(yú)“黑客”入侵，造成計算機癱瘓或應用程序損壞(huài)。

由於(yú)計算機硬件故障，造成計算機系統不能正常工作，用戶程序和數據不能恢複(fù)。

由於(yú)計算機丢失，用戶程序和數據不能恢複(fù)。

爲解決如上問題，用戶通常需要聘用大量的IT維護人員，即便如此，在管理和維護上仍然是疲於(yú)奔命。而且因爲通常是低水平、重複(fù)性工作，IT管理員也感覺到非常疲倦、枯燥。

Altiris Recovery Solution（備(bèi)份與恢複(fù)解決方案）能夠很好解決上述問題。

Recovery Solution（備(bèi)份與恢複(fù)解決方案）功能描述：

Recovery Solution模塊可以保護您台式機和筆記本的操作系統、應用程序和存儲的數據以及服務器的運行狀态，免於(yú)無心的修改、意外删除和硬件故障而造成的損失，以及病毒入侵的破壞。該産品可以自動的備(bèi)份和存儲您網絡中的桌面電腦或者筆記本，然後以一種高壓縮的數據格式将數據安全的存放在标準的局域網服務器。該過程被稱爲獲取計算機的快照。快照是通過周期的獲取用戶計算機的操作系統、應用程序、配置、用戶數據和優先權來生成的。依靠自動的獲取每天的快照，該模塊可以無縫的無影響的保護您的系統和數據免受用戶誤操作的影響。

Recovery Solution（備(bèi)份與恢複解決方案）給用戶帶來的好處(chù)

大量降低維護管理工作量，絕大數問題使用者可以自行解決。
提高服務水平和服務響應速度
防止因爲病毒感染、黑客入侵、誤操作造成系統癱瘓或應用程序損壞
防止因爲硬件損壞或丢失，造成數據或文件丢失
提高系統、應用程序的可用性、穩定性，保證商業連續性
提高IT管理水平：使用瞭altiris解決方案，企業可以節約IT管理費用，並且使IT管理員從日常的軟件安裝、配置管理、系統安裝等繁雜的工作中解脫出來，從而可以将精力放在IT的高級管理方面。

altiris Recovery Solution特色：

1、自動保護
災難恢複解決方案是一個強有力的問題解決及災難恢複系統平台，採用用戶系統自動靜像技術，最小化用戶宕機風險。

il Security 8300 系列設備實現瞭(le)當前可用的最有效、最準確和易於(yú)部署的電子郵件安全解決方案。

電子郵件威脅的領域正在不斷擴張。如果不對郵件服務器的訪問進行有效的控制，基於(yú)來源的威脅就會損害電子郵件的安全。在許多系統中，幾乎所有電子郵件發件人都可以連接到郵件服務器。在另一些系統中，由於(yú)過分限制對電子郵件服務器的訪問而妨礙瞭(le)一些重要的業務功能。Symantec Mail Security 8300 系列設備中的電子郵件防火牆和流量優化功能可以自動調整細粒度訪問控制，在確保簡化合法發件人訪問的同時，使濫用郵件的發件人由於(yú)很難或根本無法連接到郵件服務器而無法消耗郵件服務器資源。

除瞭(le)基於來源的威脅外，防止惡意内容也是非常必要的。組織需要跟上垃圾郵件和電子郵件攜帶病毒的迅猛增長之勢。雖然現在制訂瞭(le)有關維護适宜工作環境的法律要求，但是在滿足電子郵件策略标準方面，組織還是面臨著(zhe)越來越大的壓力。Symantec Mail Security 8300 系列設備緊密集成瞭(le)三個方面的内容安全防護：反垃圾郵件、防病毒和内容。盡管這些經過公認的、行業領先的技術可以獨立運行，但是當它們作爲綜合電子郵件安全解決方案的一部分運行時會更加有效。例如，由於電子郵件防火牆和流量優化層可減少傳入的電子郵件通信的數量，因此反垃圾郵件和防病毒過濾可以更有效地運行。

這種級别的自動化電子郵件安全防護之所以得以實現是因爲Symantec 的電子郵件過濾技術提供的行業領先的有效性和準確(què)性以及極其靈活的配置功能。這種技術使Symantec 電子郵件産品出色的性能成爲可能：有效性達95% 以上，誤報(bào)率不到百萬分之一。同類技術隻能捕獲不到90% 的垃圾郵件或病毒，也就是說它們的誤報(bào)率較高，不能讓用戶和管理員相信它們可以實現集中的電子郵件策略管理。Symantec Mail Security 8300 系列設備允許您創建任意數量的組策略，以便通過多種方式爲不同的用戶組自定義郵件處理，過濾入站和出站電子郵件以及結合使用過濾條件和操作來滿足您的特定要求。

Symantec一直在不斷創造和評估新的過濾技術。每一種技術都經過嚴格的檢驗以保證不會對Symantec近乎苛刻的垃圾郵件過濾準確(què)性造成影響，Symantec Mail Security 8300系列設備(bèi)目前的準確(què)率可以達到99.9999%，也就是說檢查100萬封郵件，才會錯誤的将1封合法郵件誤判爲垃圾郵件。

同時，Symantec Mail Security 8300 系列的自動化過濾器更新和集成的設備形式避免瞭(le)幾乎所有一直存在的管理負擔。Symantec Mail Security 8300 系列設備的主要特點是它的控制中心，這是一個面向管理員的基於(yú)Web 的管理控制台，它可以提供充分的控制、靈活性和可視性。使用能夠識别LDAP 的電子郵件策略、豐富的郵件處理選項、可通過Web 訪問的隔離區以及過濾自定義工具，管理員可以對組織内不同的組或用戶實施公司或部門針對垃圾郵件和不适當郵件制定的策略。爲瞭(le)進一步洞察攻擊趨勢和攻擊統計信息，還提供瞭(le)多種報告，它們具有非常靈活的調度和發送選項。

Symantec Mail Security 8300 系列設備整合瞭(le)多種高效且有差異的電子郵件威脅防護，同時可降低電子郵件通信的入站流量。這些特征如果與設備固有的易管理和易部署優點相結合，可以幫助減少電子郵件安全的總擁有成本。節省的這些成本可以通過減少的硬件、網絡帶寬和管理員資源成本體現出來。由於(yú)這種功能強大的組合受到Symantec 的支持，因此客戶還可以從行業領先的安全提供商所提供的支持和服務中受益。

高效性和實時性

作爲企業用戶來說，行業特點決定瞭(le)它曆來是遭受垃圾郵件攻擊的重要目标。這就要求我們的防垃圾郵件技術具有優秀的廣度、深度和實時升級。廣度要求防垃圾郵件産品從世界各地收集垃圾郵件樣本，這樣才能防禦垃圾世界各地的垃圾郵件；深度要求我們能夠及時捕獲最新的垃圾郵件發送技術，用於(yú)應對不斷變化的垃圾郵件發送形态。實時升級要求我們及時更新垃圾郵件過濾規則和特征簽名，更新頻率小於(yú)1個小時，從而可以實時的抵禦最新的垃圾郵件，提供××企業全方位、實時的保護等級。

Symantec的BLOC（Brightmail logistics and Operations Centers）中心保證瞭(le)Symantec反垃圾郵件解決方案的高有效性和準確(què)性。作爲全球類似機構中最大的垃圾郵件分析中心，其負責Symantec垃圾郵件過濾器的實時創建、調整和分發。

BLOC由遍布全球三個大洲的幾個中心點所構成，完成覆蓋全球的對垃圾郵件的全天候防禦。它有複雜高效的自動化反垃圾郵件工具，並(bìng)由來自於全球各地的技術專家進行監控，對最新的垃圾郵件及其各種變種進行分析，根據其特點創建過濾器，並(bìng)将其發布到客戶站點上以便實時偵測和過濾掉垃圾郵件。這種自動化工具和技術專家相結合的方式尤其重要，專家會對垃圾郵件的識别偵測和過濾器進行最終確認，使得Symantec反垃圾郵件解決方案能夠最快的跟進垃圾郵件的不斷變化，提供瞭(le)無與倫比的靈活性，並(bìng)最大程度的保證瞭(le)反垃圾郵件解決方案的兩個要素：有效性和準確性。

BLOC所分析的真實的垃圾郵件來源於已經申請專利的Probe Network (偵測網絡)技術架構，偵測網絡具有200萬個以上的誘騙郵件地址和郵件域，吸引垃圾郵件發送者不斷的向偵測網絡發送他們真實的垃圾郵件。加上由用戶提交的垃圾郵件，偵測網絡監視和保護全球超過3億個郵箱。每個月都有幾千萬的真實垃圾郵件發送到偵測網絡，随後這些郵件被送到BLOC，自動化的工具和技術專家将聯合分析這些郵件，並(bìng)開發出有效的過濾器。考慮到中國用戶市場，Symantec更是與國内著名的ISP網易合作，建立瞭(le)國内的Probe Network，專門搜集中文垃圾郵件，爲中國用戶提供瞭(le)優秀的本地化垃圾郵件防護能力。

垃圾郵件反發垃圾郵件之間早已是時間速度方面的戰争，偵測(cè)網絡作爲整個行業最大的捕獲真實垃圾郵件的技術架構，使得Symantec在垃圾郵件發生的第一時間就能進行捕獲和分析，從(cóng)而爲全球範圍内的用戶提供實時全面的郵件防護。

其他衆多反垃圾郵件解決方案往往在其能生效前需要經過三到六個月的學習和培訓，而Symantec的偵測(cè)網絡是實時防護的，其已經經曆瞭(le)六年的垃圾郵件跟蹤和創建相應過濾器的經驗積累，能夠最大限度的爲客戶提供全面專業的垃圾郵件防護。

除此之外，

Symantec反垃圾郵件基礎(chǔ)架構最具競争力的是其專業團隊，他們通過如下專業工作使得Symantec在反垃圾郵件領域一直居於(yú)行業領導地位：

對垃圾郵件流量進行專業分析以分析新的攻擊特征以及相應防禦手段；
分析垃圾郵件發送者經常使用的WEB站點以及群發工具等；
監控垃圾郵件發送者經常使用的論壇和聊天室；
跟蹤不斷進化的垃圾郵件技術手段以保證有效的防禦；

1.2.2SMS8300體系結構概述

Symantec Mail Security 8300 系列設備(bèi)按如下方式處(chù)理郵件。

在網關中，TCP層流量優化檢查郵件的IP 地址，以確定它是否來自已知的垃圾郵件來源或攜帶病毒的電子郵件來源。
傳入的連接通過TCP/IP 到達入站MTA。
在接受連接之前，入站MTA 将郵件的IP 地址發送給電子郵件防火牆以檢查它是否是已知的垃圾郵件來源或攜帶病毒的電子郵件來源。如果不是，入站MTA 将接受該連接並将郵件移動到它的入站隊列。
Filtering Hub 接受郵件的副本以進行過濾。
Filtering Hub 參考LDAP SyncService目錄來擴展郵件的分發列表。
Filtering Engine確定每個收件人的過濾策略。
電子郵件防火牆根據發件人組設置（該設置是管理員通過控制中心配置的）檢查郵件的SMTP From: 字段和IP 地址。此外，還根據最終用戶定義的“禁止的發件人列表”和“允許的發件人列表”檢查郵件。
電子郵件防火牆嘗試使用發件人策略架構(SPF) 驗證郵件。
防病毒和可配置的啓發式過濾器確定郵件是否受感染。
内容策略一緻性過濾器掃描郵件以檢查它是否包含可配置的詞典中定義的受限制的附件類型或單詞。
反垃圾郵件過濾器将郵件元素與BLOC 發布的最新過濾器進行比較，以確定郵件是否是垃圾郵件。此時，系統還會根據最終用戶定義的語言設置檢查郵件。
Transformation Engine 根據過濾結果和可配置的組策略執行相應的操作。

1.2.3SMS8300系列功能介紹

電子郵件防火牆

電子郵件防火牆- 電子郵件防火牆是第一個防護級别，它分析傳入的SMTP 連接並(bìng)在郵件在過濾過程中得到進一步處(chù)理之前啓用優先響應和操作。電子郵件防火牆具有擴展的功能，如下圖所示：

賬号搜集攻擊(DHA) 防護- 檢測並停止賬号攻擊和搜集電子郵件地址的其他攻擊嘗試。賬号搜集攻擊是針對特定域上由詞典生成的收件人地址的大量攻擊活動。DHA 不僅會消耗目标電子郵件服務器上的資源，還會向垃圾郵件發件人提供有價值的有效電子郵件地址列表（以進一步發起垃圾郵件攻擊）。要使用DHA 防護，必須啓用LDAP SyncService。
攻擊優先- 通過檢查從傳入的IP 地址接收的郵件的頻率和質量來檢測可能的垃圾郵件、病毒和賬号搜集攻擊。電子郵件防火牆會跟蹤在給定時間段内，來自給定IP 地址的郵件中有多少被标識爲垃圾郵件或标識爲包含病毒。
管理員定義的禁止的發件人- 替組織識别出禁止的發件人（由IP 地址标識）。可以在DNS 或本地級别标識發件人。來自禁止的發件人的電子郵件可以根據管理員選擇的方法進行處理。
SMTP 連接管理- 電子郵件防火牆可以基於IP 地址與錯誤郵件或無法識别的收件人的頻率之間的相關性執行操作。可以将來自濫用郵件發件人的連接轉移到“處罰箱”，從而使他們在指定的時間段無法發送電子郵件。還可以将電子郵件防火牆配置爲返回Reject SMTP Connection 或Defer SMTP Connection命令以響應不受歡迎的發件人。
集成的發件人信譽判斷服務數據- 電子郵件防火牆可以根據發件人配置文件和來自發件人信譽判斷服務的信譽判斷數據自動禁止或允許SMTP 連接。發件人信譽判斷服務利用瞭Symantec 探查網絡的影響力和可見性以及從過濾統計信息中精選的發件人數據。
發件人驗證- 可以将電子郵件防火牆配置爲使用發件人策略架構(SPF) 對郵件進行驗證，並對驗證失敗的郵件執行多種操作中的任何一種。

TCP 層流量優化

流量優化可設定合法通信來源的優先級，並(bìng)限制發送垃圾郵件的來源，從而減少網絡中的下遊負載。垃圾郵件發件人無法強制郵件進入受保護的網絡，因此他們的垃圾郵件隻能備(bèi)份在他們自己的服務器上。Symantec Mail Security 8300 系列能夠在本地識别攻擊並(bìng)進行流量優化以響應這些攻擊。

大多數同類方法通常都在第7 網絡層（應用程序層，SMTP 協議所在的層）中過濾電子郵件。但是，在SMTP 應用程序到達時，濫用和不适宜的郵件發件人已經消耗瞭(le)郵件服務器和網絡資源。與之相反，Symantec Mail Security 8300 系列設備(bèi)中嵌入的獲得專利的流量優化功能在第3 和第4 網絡層（即網絡級協議層）中運行。它不處理郵件，而是對組成郵件的數據包和那些數據包所經過的網絡路徑進行分析。

反垃圾郵件技術

Symantec Mail Security 8300 系列設備並(bìng)入瞭(le)多層垃圾郵件防護，利用瞭(le)業界領先的技術，並(bìng)由分布在全球的操作中心提供支持。Filtering Engine 利用20 多種不同的過濾技術，這些技術共同作用來最大限度地提高垃圾郵件檢測的效率（有效性達95% 以上），並(bìng)最大限度地減少誤報（每一百萬個郵件中不到一個誤報）。反垃圾郵件功能和技術的範圍包括以下各項：

開放代理發件人- 不斷更新的開放代理服務器列表，這些服務器通常是垃圾郵件的傳播渠道。
可疑垃圾郵件發件人- 從中發出的所有電子郵件幾乎都是垃圾郵件的不斷更新的IP 地址列表。
安全發件人- 從中發出的電子郵件幾乎都不是垃圾郵件的不斷更新的IP 地址列表。
允許/ 拒絕列表- 設置組織範圍的禁止的和允許的發件人列表（也稱爲黑名單和白名單）。來自允許的發件人的電子郵件通常會被發送（除非它包含病毒或蠕蟲），來自禁止的發件人的電子郵件會可以根據您選擇的方式進行處理。
靈活的發件人指定- 通過電子郵件地址/ 發件人名稱、域名或IP 地址指定允許的和禁止的發件人。
文本文件導入- 導入允許的和禁止的發件人列表。
更新的URL 過濾器- 标識和過濾垃圾郵件發件人預置的URL，該URL 通常經過僞裝並且指向垃圾網頁。Symantec Mail Security 8300 系列設備並入瞭優化速度的第四代URL 技術。
更新的啓發式過濾器-

根據垃圾郵件和合法郵件的已知特征來評估傳入郵件的内容的主動過濾技術。包括語言不可知啓發式掃描和語言可知啓發式掃描。
BrightSig2 - 可消除随機化和基於HTML 的過濾躲避方法的簽名技術。
附件簽名- 針對特定的MIME 附件，例如，特定垃圾郵件攻擊中使用的色情圖像。
标頭過濾器- 基於實時攻擊或垃圾郵件中存在的共性或傾向的有針對性、基於正則表達式的嚴格過濾器。
正文散列簽名- 基於郵件正文的簽名技術。
可調整的可疑垃圾郵件阈值- 可以使用站點特定的可疑垃圾郵件定義來進行更嚴格的過濾。
10 分鍾更新- 每隔10 分鍾過濾器都會通過安全HTTPS 從Symantec 網站自動下載到客戶站點。無需管理員幹預。
語言标識- 可以将郵件文本識别爲屬於11 種語言中的某一種。随後，軟件會隻運行适用於該郵件語言的過濾器。管理員可以設置根據語言标識來接受或禁止郵件的策略。最終用戶可以選擇他們希望接收用哪些語言撰寫的郵件。
語言特定的啓發式掃描- 基於11 種非英語語言的垃圾郵件而專門優化的啓發式掃描。受支持的語言包括：中文、荷蘭文、英文、法文、德文、意大利文、日文、韓文、葡萄牙文、俄文和西班牙文。
語言專業技術- 遍布全球的技術人員會對垃圾郵件進行分析並用15 種以上的語言創建目标過濾器。
全球操作中心- 分布在美國、愛爾蘭、澳大利亞和中國台灣的全球垃圾郵件分析和操作中心可以在客戶站點提供全天候的垃圾郵件攻擊和過濾性能監控。
垃圾郵件檢測網絡- 我們的探查網絡是最大的蜜罐網絡（共包含兩百多萬個誘騙電子郵件地址和域）。還包括來自3 億多個電子郵件收件箱的提交内容和統計信息。
漏報的垃圾郵件提交- 最終用戶可以登錄到控制中心（一個基於Web 的界面）将漏報的垃圾郵件提交給Symantec。
全天候誤報解決- Symantec 技術人員會分析並糾正所有可能的誤報。
誤報提交- 使用方便的提交工具，在遇到被錯誤标識的郵件時，Symantec 的用戶社區（多達3 億用戶）可以盡快地通知Symantec。
提交響應- Symantec 根據提交的内容調整過濾器（前提是可以保證改進過濾質量）。

防病毒技術

Symantec Mail Security 8300 系列設備(bèi)通過集成倍受好評的Symantec 防病毒技術來掃描和檢測病毒。病毒防護包括病毒定義自動更新，用於(yú)處理含有病毒的郵件的靈活策略，以及針對群發郵件蠕蟲和生成的關聯電子郵件提供的特定防護。

防病毒功能和技術(shù)的範(fàn)圍包括以下各項：

自動更新- Symantec 會創建病毒特征和定義，並且一旦這些特征和定義可用，就立即在客戶站點中進行更新。
操作選擇- 設置用於處理包含病毒的郵件的策略：清除病毒並發送郵件，正常發送郵件或删除郵件。
群發郵件蠕蟲自動删除- 不僅可以自動删除群發郵件蠕蟲，還可以删除生成的關聯電子郵件，這些郵件的數目可能多達數百封，並且沒有任何用處。
可變的掃描級别- 可調整的啓發式掃描，或寬松或嚴格地标識病毒。
可調整的掃描阈值- 指定最大大小和掃描深度級别，以減少使處理操作負擔過重的Zip 炸彈的威脅。

内容策略一緻性

Symantec Mail Security 8300 包括多項電子郵件内容策略一緻性功能。當與郵件策略功能一起使用時，内容策略一緻性功能使得管理員可以實施公司的電子郵件策略，減少法律責任，並(bìng)確(què)保符合法規要求。内容策略一緻性功能的範圍包括：

附件管理- 管理員可以掃描具有特定屬性（例如，給定的文件擴展名、文件名、MIME 類型、大小等）的附件，並執行特定的操作。例如，您可以隔離所有ZIP 文件，删除圖像文件或過濾掉過大的郵件。
内容策略一緻性詞典過濾器- 使管理員能夠定義或導入預先定義的被禁單詞的詞典。該功能可幫助解決與人力資源(HR) 和法規遵從性有關的問題。
簡單的過濾器創建和編輯- 一個簡單易用的圖形界面，使您能夠通過創建服務器級别的全局過濾器來實施公司的策略。可以快速激活和停用個别過濾器，顯示激活狀态並選擇過濾器運行的順序。
多個條件- 您可以使用16 個不同的郵件參數的多個組合來編寫複雜的規則，並基於内容、标頭、MIME 類型和多個其他條件進行掃描。您可以在内容過濾中創建的條件的數目沒有限制。
多項操作- 對於與内容過濾相匹配的郵件，管理員可以選擇将其删除，轉發到某個電子郵件地址，對其進行修改或執行其他操作。

組策略和過濾策略

Symantec Mail Security 8300 系列設備(bèi)允許您爲個人和組創(chuàng)建目标策略。可以通過LDAP 集成或使用多種标識方法（包括域和電子郵件地址）從自定義列表中定義組。

兩種級别的策略定義使郵件處(chù)理的自定義過程具有瞭(le)最大的靈活性：

組策略- 用戶組或域組。可以定義組策略的成員資格，並選擇它将使用的過濾策略。可以利用LDAP SyncService 提供對企業目錄中的LDAP 組的電子郵件地址解析。可以爲每個組自定義電子郵件處理，並且可以設計組特定的内容策略一緻性過濾器。
過濾策略- 對某些類型的電子郵件採取的操作集。每個過濾策略可以包括要對同一組郵件（例如，垃圾郵件或包含病毒的郵件）執行的多項操作（例如，向郵件中添加标頭和歸檔郵件副本）。可以爲每個過濾策略指定一個名稱。

使策略具有更大靈(líng)活性的其他功能包括：

LDAP 同步- Symantec Mail Security 8300 可以通過它的SyncService 功能從現有目錄存儲執行單向LDAP 同步。受支持的源目錄包括Windows 2000 Active Directory、Windows 2003 Active Directory、Sun Messaging Server 5.1 （以前稱爲iPlanet Messaging Server）和Exchange 5.5。
可調整的可疑垃圾郵件阈值- 您可以配置自己的可疑垃圾郵件定義以進行更嚴格的過濾。然後可以使用策略爲每個組設置單獨的操作，或者爲标識爲可疑垃圾郵件的郵件設置共同的操作。

最終用戶功能

Symantec Mail Security 8300 系列設備(bèi)使最終用戶能夠管理和自定義他們的過濾功能。用戶可以登錄到控制中心的特殊部分並(bìng)選擇适當的設置。可自定義的最終用戶功能包括：

禁止的發件人列表- 用戶可以指定将始終禁止的地址。這些項可補充管理員在組織範圍内定義的

禁止的發件人列表。
允許的發件人列表- 用戶可以指定允許忽略反垃圾郵件過濾的發件人。
語言設置- 用戶可以指定他們希望接收用哪些語言撰寫的郵件，或者他們不想接收用哪些語言撰寫的郵件。用戶可以從11 種受支持的語言中選擇。
提交- 用戶可以将錯過的垃圾郵件或誤報提交給Symantec 進行分析。
基於Web 的最終用戶隔離區- 網絡上的用戶随時可以登錄到他們自己的隔離區並查看他們被隔離的郵件。
隔離區郵件搜索- 用戶可以使用多個條件搜索隔離區中的郵件，這些條件包括：To: 标頭、From: 标頭、郵件正文、Subject: 标頭、Message ID: 标頭和時間範圍。

管理和易管理性

Symantec Mail Security 8300 系列設備(bèi)的特點是自動内容更新以實現全面防護。它們還具有非常豐富的功能和充分的可定制性，使管理員能夠控制和瞭(le)解組織内的電子郵件安全問題。管理功能的範圍包括：

基於Web 的管理- 基於Web 的控制中心使管理員能夠使用Web 浏覽器來查看綜合過濾性能的實時操作盤，並集中管理多個Symantec Mail Security 8300系列設備。
自動過濾器下載和統計信息傳輸- 從客戶站點進行安全HTTPS 輪詢可啓動更新過濾器的下載。該同一過程還會将統計信息從客戶站點傳輸給Symantec，以便Symantec 評估部署的過濾器的性能和有效性。該過程無需管理員幹預，而且在更新過程中過濾器永遠不會停止。
簡單的軟件更新- 隻需一個簡單的單擊過程，即可應用所有安全和軟件更新。
可分配的管理員權限- 創建其他管理員帳戶，授予每個管理員管理Symantec Mail Security 8300 系列的不同組件所需的管理權限級别。您可以分配以下任一或所有管理角色：管理隔離區、管理狀态和日志、管理報告、管理組策略、管理設置、管理控制。
自動電子郵件警報- 可以選擇當出現以下任一情況時向系統管理員發送警報：
- 某件組件不響應或不工作。
- 反垃圾郵件過濾器早於指定的時間。
- 防病毒過濾器早於指定的時間。
- 郵件隊列大於指定的大小。
- 可用的磁盤空間少於指定的數量。
- SSL/TLS 證書即将過期。
- 出現LDAP 同步錯誤。
- 出現LDAP 掃描程序複制錯誤。
- 防病毒許可證已過期。
- 反垃圾郵件許可證已過期。
- 軟件更新許可證已過期。
- 有新的軟件更新可用。
綜合日志- 可以将日志級别設置爲五個級别中的任意一個。可以設置Filter Hub 和Conduit 的日志級别。還可以指定日志數據庫條目的最大大小和保留期限，並将日志保存到文本文件以進一步查看。
綜合狀态視圖- 可以從一個集中的位置查看以下内容：隔離區信息、網絡中已配置的Scanner 設備以及任何關聯的組件。Scanner 和組件的基本狀态（運行或未運行）。
可選命令行接口- 管理員可以選擇使用命令行接口管理某些任務。

提交

由管理員和用戶标識爲錯(cuò)過的垃圾郵件或誤報(bào)會自動發送給Symantec 進行分析。管理員可以接收用戶發送給Symantec 的所有被誤标識的郵件的副本。

安全

支持TLS （傳輸層(céng)安全性，SSL 的後續協議）加密。管理員還可以配置每個Scanner 是否使用TLS 來處(chù)理入站郵件、出站郵件或郵件發送。

隔離區

Symantec Mail Security 8300系列提供瞭(le)一個基於Web的隔離區。使用控制中心，管理員可以登錄並(bìng)查看Symantec 軟件爲其組織中的所有用戶隔離的垃圾郵件。隔離區功能的範圍包括：

電子郵件通知- 隔離區可以向用戶發送定期電子郵件摘要，其中列出新隔離的垃圾郵件，並包括一些鏈接，使用戶可以立即将郵件釋放到他們的收件箱或登錄到他們的個人隔離區。
通過一次單擊釋放隔離的郵件- 垃圾郵件隔離區摘要的收件人可以單擊鏈接來立即釋放或查看捕獲的垃圾郵件，而無需登錄。
别名擴展- 隔離區會自動解析基礎電子郵件地址的所有别名，並将郵件發送到适當的隔離區帳戶。
垃圾郵件清除和大小阈值- 管理員可以設置垃圾郵件的保留期限。他們還可以基於全局或基於每個用戶配置阈值以控制隔離區數據庫的大小和郵件數量限制。
隔離區郵件搜索- 用戶和管理員可以使用多個條件搜索隔離區中的郵件，這些條件包括：To: 标頭、From: 标頭、郵件正文、Subject: 标頭、MessageID: 标頭和時間範圍。
可自定義的通知模闆- 管理員可以自定義發送頻率、郵件内容和内容類型（HTML、文本或兩者）。他們還可以指定摘要是否包括嵌入的視圖郵件並發布郵件鏈接，以便用戶無須登錄即可訪問郵件；還可以選擇是否将摘要發送給分發列表。

報告

Symantec Mail Security 8300 系列包括豐(fēng)富的報(bào)告功能，其中包括：

綜合報告- 查看所有作爲Scanner 運行的Symantec Mail Security 8300 系列設備的綜合過濾性能統計數據。
多個預設報告- 使用50 多個不同類型的預設報告來提供過濾性能和電子郵件攻擊的全面實時報告。
報告導出- 導出報告數據，以便在任何報告或電子表格軟件中使用以供進一步分析。
報告調度- 調度有關電子郵件的生成和發送的報告。

結束語

本方案書是針對目前某用戶企業網絡現狀，結合Symantec公司在信息安全領域的實施經驗，提供的某用戶企業信息安全系統整體建議。主要對某用戶目前網絡現狀、安全體系設計、架構部署相關産(chǎn)品及如何部署、如何管理等方面作瞭(le)說明，對整個工程如何實施提供瞭(le)建議。我們非常期望通過雙方密切的合作，爲某用戶構建一個嚴密的整體安全系統。

上一個： SOPHOS端點安全......

下一個： CYLAN ADS應......

關注我們

烽睿科技版權(quán)所有粵ICP備(bèi)12032896号

友情鏈接