symantec终端管理和安全解决方案技术规范书(编辑修改稿)

symantec终端管理和安全解决方案技术规范书(编辑修改稿)内容摘要：

绪”状态，从而无需部署其它网络访问控制端点代理软件。 利用现有安全技术和 IT 投资 — 可以与其它领先防病毒供应商、防火墙、IPS 技术和网络访问控制基础架构协作。 还可以与领先的软件部署工具、补丁管理工具和安全信息管理工具协作。 主要功能 防病毒和反间谍软件 — 提供了无可匹敌的一流恶意软件防护能力，包括市场领先的防病 毒防护、增强的间谍软件防护、新 rootkit 防护、减少内存使用率和全新的动态性能调整，以保持用户的工作效率。 桌面终端标准化管理系统 技术 规范 － 6－ 网络威胁防护 — 提供基于规则的防火墙引擎和一般漏洞利用禁止功能 (GEB)，该功能可以在恶意软件进入系统前将其阻止在外。 主动威胁防护 — 针对不可见的威胁（即零日威胁）提供防护。 包括不依赖特征的主动威胁扫描。 单个代理和单个管理控制台 — 在一个代理上提供防病毒、反间谍软件、桌面防火墙、 IPS、设备控制和网络访问控制（需要购买赛门铁克网络访问控制许可证） — 通过单个管理控制台即可进行全面管理。 终端准入控制 Symantec Network Access Control 11 Symantec Network Access Control 11 是全面的端到端网络访问控制解决方案，通过与现有网络基础架构相集成，使企业能够安全有效地控制对企业网络的访问。 不管端点以何种方式与网络相连， Symantec Network Access Control 11 都能够发现并评估端点遵从状态、设置适当的网络访问权限、根据需要提供补救功能，并持续监视端点以了解遵从状态是否发生了变化。 从而可以营造这样的网络环境：企业 可以在此环境中大大减少安全事故，同时提高企业 IT 安全策略的遵从级别。 Symantec Network Access Control 11 使企业可以按照目标经济有效地部署和管理网络访问控制。 同时对端点和用户进行授权在当今的计算环境中，企业和网络管理员面临着严峻的挑战，即为不断扩大的用户群提供访问企业资源的权限。 其中包括现场和远程员工，以及访客、承包商和其他临时工作人员。 现在，维护网络环境完整性的任务面临着前所未有的挑战。 如今无法再接受对网络提供未经检查的访问。 随着访问企业系统的端点数量和类型激增，企业必 须能够在连接到资源以前验证端点的健康状况，而且在端点连接到资源之后，要对端点进行持续验证。 Symantec Network Access Control 11 可以确保在允许端点连接到企业 LAN、 WAN、 WLAN 或 VPN 之前遵从 IT 策略。 桌面终端标准化管理系统 技术 规范 － 7－ 主要优势 部署 Symantec Network Access Control 11 的企业可以切身 体验到众多优势。 其中包括：  减少恶意代码（如病毒、蠕虫、间谍软件和其它形式的犯罪软件）的传播  通过对访问企业网络的不受管理的端点和受管理的端点加强控制，降低风险  为 最终用户提供更高的网络可用性，并减少服务中断的情况  通过实时端点遵从数据获得可验证的企业遵从信息  企业级集中管理架构将总拥有成本降至最低  验证对防病毒软件和客户端防火墙这样的端点安全产品投资是否得当 主要功能 网络访问控制流程 桌面终端标准化管理系统 技术 规范 － 8－ 网络访问控制是一个流程，涉及对所有类型的端点和网络进行管理。 此流程从连接到网络之前开始，在整个连接过程中持续进行。 与所有企业流程一样，策略可以作为评估和操作的基础。 网络访问控制流程包括以下四个步骤： 1. 发现和评估端点。 此步骤在端点连接到网络访问资源之前执行。 通过与现有网络 基础架构相集成，同时使用智能代理软件，网络管理员可以确保按照最低 IT 策略要求对连接到网络的新设备进行评估。 2. 设置网络访问权限。 只有对系统进行评估并确认其遵从 IT 策略后，才准予该系统进行全面的网络访问。 对于不遵从 IT 策略或不满足企业最低安全要求的系统，将对其进行隔离，限制或拒绝其对网络进行访问。 3. 对不遵从的端点采取补救措施。 对不遵从的端点自动采取补救措施使管理员能够将这些端点快速变为遵从状态，随后再改变网络访问权限。 管理员可以将补救过程完全自动化，这样会使该过程对最终用户完全透明；也可 以将信息提供给用户，以便进行手动补救。 4. 主动监视遵从状况。 必须时刻遵从策略。 因此， Symantec Network Access Control 11 以管理员设置的时间间隔主动监视所有端点的遵从状况。 如果在某一时刻端点的遵从状态发生了变化，那么该端点的网络访问权限也会随之变化。 Symantec Altiris（ IT 生命周期管理解决方案） Altiris IT 生命周期管理解决方案具有多重系统管理功能，企业能随着新的要求或新的系统管理需求部署新的功能，随着企业的发展而不断扩充。 每个解决方案以模块化的方 式集中安装在 Altiris 服务器上，通过安装在客户端的Agent（代理）的交互式来实现所有功能。 桌面终端标准化管理系统 技术 规范 － 9－ Altiris 管理架构 — Notifications Server Notification Server 是 altiris 所有模块化解决方案的基础架构，所有模块都基于此。 其可扩充管理架构 Extensible Management Architecture™(EMA™)为客户提供了一个统一集中又具充分扩展能力的管理平台。 通过 Notification Server， altriris 具备管理复杂网络环境的能 力 无论是 LAN 还是 WAN。 其功能特性如下： 完全为 BS 结构， Web 方式管理，统一集中的控制台 Altiris 基于 Windows .Net 技术，采用 SQL Server 数据库，符合主流的发展趋势。 桌面终端标准化管理系统 技术 规范 － 10－ 可以按角色和区域进行多级分布式管理 其角色安全 (Role Base)和区域安全 (Scope Base)特性满足大型企业客户对管理的需求 管理多平台能力 可以管理 Windows,Linux,Unix,Mac 等多种软硬件平台，而无须采用第三方产品。 强大的与第三方产品集成能力 企业资源共享是企业 IT 总体规划的重要内容， altiris 通过其连接器解决方案 (Connector Solution) 提供了多种连接器 (Connector)— AD ， HP OpenView,IBM Director,SMS,Remedy Helpdesk， Oracle 甚至 SAP。 通过 ODBC,OLE DB,altiris 还可以与财务软件、 HR 软件进行资源数据共享。 强大的 Web 报表功能 Altiris 不但提供了数百个已经预定义的 Web 报表，还可以让企业自定义符合企业需求的报表。 Package Server (分布式服务器 ) 桌面终端标准化管理系统 技术 规范 － 11－ Package Server 功能使得 altiris 可以应用于任何一种企业架构，无论复杂还是简单。 并且与 AD 集成。 同时 Package Server 不需要额外付费，对于有复杂结构 WAN 环境企业可以节约很大一笔费用。 通过工业标准的 SNMP,可以管理基于 SNMP 设备 Altiris 不但可以管理 PC 等设备，还可以管理网络设备 基于策略的管理 Altiris 基于策略的管理可以大大减少重复性的管理工作环节，自动化操作能力是 IT 管理的重要特征。 altiris Notification Server 是免费的 Altiris Notification Server 不需要额外的许可证费用，企业可以自由任意的扩展管理架构 强大的合作伙伴支持能力 桌面终端标准化管理系统 技术 规范 － 12－ Altriris 支持业界主流的计算机厂商，并为他们开发了专门针对硬件底层的管理工具，如 IBM 服务器、 Dell 服务器和客户端、 HP 服务器和客户端，为客户提供更深层次的管理工具，这是其他管理软件很难具有的。 综上所述， altiris 管理架构在广度和深度上都是极具优势。 解决方案的主要市场、技术定位 Altiris 解决方式适合于拥有几千台、数万台甚至数十万台计算机的各种规模的 企业组织，这些企业组织须要有效降低 IT 管理成本和提高 IT管理效率，以求得良好的投资回报率，促进企业业务发展与扩大 Altiris 解决方案在商业组织、政府机构、教育等几乎所有领域都拥有众多成功案例。 解决方案的专利技术和优势 Altiris 公司拥有众多专利技术： recovery /deployment/wise 厂商的完整 IT 运维产品线，产品在该产品线中的位置，与其他产品的关系 Altiris 拥有客户端管理、服务器管理、资产管理、安全管理完整的管理工具集，在同类产品中拥有最完 整的产品构成，在技术功能处于领先者地位。 桌面终端标准化管理系统 技术 规范 － 13－ 第 3章 终端安全系统体系结构 管理系统功能组件说明 终端安全管理系统包括三部分组件：  策略管理服务器 策略服务器实现所有安全策略、准入控制规则的管理、设定和监控，是整个终端安全标准化管理的核心。 通过使用控制台管理员可以创建和管理各种策略、将策略分配给代理、查看日志并运行端点安全活动报告。 通过图形报告、集中日志记录和阈值警报等功能提供全面的端点可见性。 统一控制台简化了端点安全管理，提供集中软件更新、策略更新、报告等功能。 策略管理服务器可以完成以下任务 ：  终端分组与权限 管理； 根据地理位置、业务属性等条件对终端进行分组管理，对于不同的组可以制定专门的组管理员，并进行权限控制。  策略管理与发布； 策略包括自动防护策略、 手动扫描的策略 、 手动扫描的策略 、 病毒、木马防护策略 、 恶意脚本防护策略 、 电子邮件防护策略 （包括 outlook、 lotus以及 inter 邮件）、 广告软件防护策略 、前瞻性威胁防护策略、防火墙策略、入侵防护策略、硬件保护策略、软件保护策略、升级策略、主机完整性策略等  安全内容更新下发 安全内容更新包括病毒定义、防火墙规则、入侵防护定义、主动威胁防护规则等  日志收 集和报表呈现 可以生成日报 /周报 /月报 ，报告种类包括 ：风险报表（以服务器组、父服务器、客户端组、计算机、 IP、用户名为条件识别感染源、当前环境下 桌面终端标准化管理系统 技术 规范 － 14－ 高风险列表、按类型划分的安全风险）、计算机状态报表（内容定义分发、产品版本列表、未接受管理客户端列表）、扫描状态报表、审计报表、软件和硬件控制报表、网络威胁防护报表、系统报表、 安全 遵从性报表。  强制服务器管理和策略下发 对于交换机强制服务器和网关强制设备进行统一的管理和策略定义。  终端代理安装包的维护和升级；  终端代理（包括终端保护代理和准入控制代理） 终端安全管理 系统需要在所有的终端上部署安全代理软件， 安全代理是整个企业网络安全策略的执行者，它安装在网络中的每一台终端计算机上。 安全代理实现端点保护和准入控制功能。 端点保护功能包括：  防病毒和反间谍软件 — 提供病毒防护、间谍软件防护、 rootkit 防护。  网络威胁防护 — 提供基于规则的防火墙引擎和一般漏洞利用禁止功能 (GEB)，该功能可以在恶意软件进入系统前将其阻止在外。  主动威胁防护 — 针对不可见的威胁（即零日威胁）提供防护。 包括不依赖特征的主动威胁扫描。 端点准入控制功能包括：  主机完整性检查和自动修复 ：检查终端计算机上防火墙、防病毒软件、反间谍软件、补丁程序、 Service Pack 或其他必需应用程序是否符合要求，具体内容可以是对防病毒程序的安装， windows 补丁安装，客户端启用强口令策略，关闭有威胁的服务与端口。 因为主机完整性检查支持对终端的注册表检查与设置，进程管理，文件检查，下载与启动程序等，所以可通过设置自定义的策略来满足几乎所有对客户端的安全策略与管理要求。  强制：当终端的安全设置不能满足企业基准安全策略的需求，可以限制终端的网络访问，如只能访问修复服务器进行自动修复操作。 以上两部分功能 由一个代理软件完成，接受策略管理服务器的统一管理。 桌面终端标准化管理系统 技术 规范 － 15－  强制认证服务器 对于那些未安装终端代理的终端或者私自卸载代理软件的终端，必需通过网络强制的方式进行控制。 这需要部署相关的强制服务器（ LAN Enforcer）。 赛门铁克 LAN Enforcer 是带外 RADIUS 代理解决方案，它与支持 标准的所有主要交换供应商协同工作。 几乎所有有线以。