SymantecSEP終端安全與準入控制概述(55張)課件

1、SymantecSEP終端安全與準入控制第1頁，共56頁。Symantec SEP解決方案終端安全管理問題和解決之道Symantec優(yōu)勢和案例分析 競爭對比Agenda 2/22/2019第2頁，共56頁。企業(yè)終端管理的典型問題終端網(wǎng)絡接入帶來的問題第三方人員的電腦接入VPN遠程接入的安全風險存在安全隱患的終端網(wǎng)絡訪問終端自身安全防護問題單一的防病毒不能防范最新的安全威脅如何防范蠕蟲病毒和攻擊事件？如何限制終端應用程序的使用？泄密、非法撥號外聯(lián)終端安全管理問題如何實現(xiàn)企業(yè)的安全策略？如何進行有效管理？ 2/22/2019第3頁，共56頁。網(wǎng)絡保護的發(fā)展過去，現(xiàn)在，下一步InternetE-Ne

2、tInternetE-NetE-NetE-NetE-NetNetwork AccessControlManagedUnmanagedUnmanageableQuarantineGuestInternetPerimeterNetworksInternet-BasedMulti-Perimeter NetsAdmission ControlledCompliance NetworksProduction 2/22/2019第4頁，共56頁。端點保護的發(fā)展過去，現(xiàn)在，下一步Host ProtectionAVHost ProtectionNetwork ProtectionPFWRemediation

3、ALSBufferOverflowIPSHost ProtectionAVSpywareNetwork ProtectionPFWRemediationALSBufferOverflowIPSInfo ProtectionVirtualizedEncryptionDRMNACOSBehaviorPhishingProtectDevices Protect Devices,Apps & NetworksCompliance & Protectionfor Device, Apps, Net, Info, etc.Universal Compliance FrameworkPolicy Enfor

4、ceAVSpywarePolicy EnforcePharming 2/22/2019第5頁，共56頁?！癢ith Sygate, all Prudential Financials workers are guaranteed to be in a trusted state before gaining network access.” Ken Tyminski, CISO, Prudential Financial網(wǎng)絡準入控制+終端安全保護集中安全策略管理“SYGATE 的解決方案確保了我們所有的終端在被允許接入公司網(wǎng)絡之前都是安全的，可信的。”Symantec Sygate 方案解決之

5、道 2/22/2019第6頁，共56頁。發(fā)現(xiàn) 提供防護的第一步是知道所有網(wǎng)絡端點的安全狀態(tài)遵守 安全管理系統(tǒng)必須能夠覆蓋所有網(wǎng)絡端點，才能要求用戶不間斷地遵守安全規(guī)范強制 只有遵守規(guī)范的端點才給予網(wǎng)絡接入的權限，且這種強制對用戶是透明的 修復 全自動化的安全完整性修復以提高安全管理的效率和安全系統(tǒng)的投資回報率 實現(xiàn)用戶對安全政策不間斷的遵守自動化的安全管理流程 2/22/2019第7頁，共56頁。締造全新的動態(tài)安全管理架構網(wǎng)絡安全持續(xù)改進 2/22/2019第8頁，共56頁。Symantec SEP解決方案終端安全管理問題和解決之道Symantec優(yōu)勢和案例分析 競爭對比Agenda 2/22

6、/2019第9頁，共56頁。Sygate Enterprise Protection 解決方案構成網(wǎng)絡準入控制SNACSygate Network Access Control 主機完整性和修復Host Integrity& Remediation終端安全防護ProtectionFirewallHIPSOS ProtectionAdaptive Policy處所切換 2/22/2019第10頁，共56頁。Sygate Enterprise Solution（SEP）體系架構Sygate策略管理服務器SPMSygate強制服務器LAN EnforcerGateway EnforcerDHCP E

7、nforcerOn-Demand EnforcerSygate 安全代理Sygate保護代理SPASygate強制代理SEA 2/22/2019第11頁，共56頁。OS Protection (File, Registry, Process Control)System Lockdown (Application Control)Buffer Overflow ProtectionPeripheral Device ControlFWHIPSAdaptivePoliciesOSProtectionNAC/NAPDHCP/LAN/Gateway/APIAuto-Location Switchin

8、gDesktop FirewallSignature-based IPSEnforcementHost IntegrityHI & RemediationAdaptivePoliciesNAC/NAPDHCP/LAN/Gateway/APIAuto-Location SwitchingEnforcementHost IntegrityHI & RemediationSygate Enforcement AgentSygate Protection AgentSEA vs SPA 2/22/2019第12頁，共56頁。SEP企業(yè)級的管理功能可擴展的多服務器架構容錯性、集群、影子數(shù)據(jù)庫 策略及日志

9、復制策略分發(fā) (推/拉)可配置的優(yōu)先級/負載均衡策略管理可繼承的多層組管理能按計算機或用戶管理（NT域，活動目錄、LDAP）可重用的策略對象活目錄用戶及組同步功能集中的日志與報表事件轉發(fā) (Syslog, SIMs)每日或每周通過E-mailed發(fā)送報告 2/22/2019第13頁，共56頁。What is NACNetwork Admission/Access Control ( NAC )核心思想 屏蔽一切不安全的設備和人員接入網(wǎng)絡，或者規(guī)范用戶接入網(wǎng)絡的行為，從而鏟除網(wǎng)絡威脅的源頭，避免事后處理的高額成本 2/22/2019第14頁，共56頁。NAC可以解決的問題 惡意代碼的泛濫導致網(wǎng)絡

10、的擁堵和癱瘓訪客和移動用戶的私自接入內部未授權的訪問和網(wǎng)絡濫用未授權的卸載和篡改問題為終端標準化提供技術保障新的安全建設保障機制，替代費時、費力的周期性安全審計 安全自動化，降低安全成本在NAC架構中保護已有的安全投資利益 2/22/2019第15頁，共56頁。Symantec Sygate NAC的流程定義安全策略發(fā)現(xiàn)網(wǎng)絡中不符合安全規(guī)范的終端Installed AgentLoadable Agent強制網(wǎng)絡準入控制LAN, DHCP, Gateway Enforcer Self-EnforcementOn-Demand Enforcement和主流安全架構整合 (CNAC, MSNAP,

11、TNC)Universal Enforcement API修復不符合規(guī)范的端點連續(xù)監(jiān)控PolicyDiscoverEnforceMonitorRemediateProtectProtectProtectProtect 2/22/2019第16頁，共56頁。策略決策點策略管理 接入設備已管理的 臺式機未管理的已管理的移動用戶策略強制點遠程接入SSL & IPsec認證服務 - RADIUS局域網(wǎng)交換機 & 無線全面的Symantec SNAC架構Sygate 管理服務器(分布式, 高彈性, 與目錄技術集成)LAN Enforcer無法管理的端點 - PFWIP地址服務 - DHCP透明網(wǎng)關Gig

12、-ECisco NACGateway EnforcerSelf EnforcerDHCP EnforcerOn-Demand EnforcerPDA 2/22/2019第17頁，共56頁。接入強制802.1x802.1X交換機 + SYGATE身份認證+安全檢查 2/22/2019第18頁，共56頁。Sygate Secure EnterpriseSygate On-DemandSygate Magellan CorrelatorSygate Discovery EngineSygate Network Access Control工作原理TravelingExecutiveHotelPart

13、nerKioskPrinterWorkstationGuestATMRemediationRadiusApplicationsSygate EnforcerSygate Management SystemSSL VPNIPSEC VPNWirelessFirewall802.1x SwitchPasswordTokenUser NameStatusEAP Patch UpdatedService Pack UpdatedPersonal Firewall OnAnti-Virus UpdatedAnti-Virus OnStatusHost Integrity RuleXCompliantNo

14、n-Compliant802.1x EnforcementPatch UpdatedService Pack UpdatedPersonal Firewall OnAnti-Virus UpdatedAnti-Virus OnStatusHost Integrity RulePasswordTokenUser NameStatusEAP Patch UpdatedService Pack UpdatedPersonal Firewall OnAnti-Virus UpdatedAnti-Virus OnStatusHost Integrity RulePatch UpdatedService

15、Pack UpdatedPersonal Firewall OnAnti-Virus UpdatedAnti-Virus OnStatusHost Integrity RulePatch UpdatedService Pack UpdatedPersonal Firewall OnAnti-Virus UpdatedAnti-Virus OnStatusHost Integrity RulePatch UpdatedService Pack UpdatedPersonal Firewall OnAnti-Virus UpdatedAnti-Virus OnStatusHost Integrit

16、y RuleXPatch UpdatedService Pack UpdatedPersonal Firewall OnAnti-Virus UpdatedAnti-Virus OnStatusHost Integrity RuleGuest EnforcementGateway/API EnforcementCompliantNon-Compliant 2/22/2019第19頁，共56頁。Symantec全面的SNAC解決方案 2/22/2019第20頁，共56頁。Symantec SNAC 完整性檢查的內容Lan EnforcerGateway EnforcerDHCP Enforcer

17、Sygate Policy ServerSygate On-DemandSelf EnforcementCNAC, MS NAP, TNCUniversal APIAntiVirus Host FirewallService PackSygateEnforcementAgent反間諜軟件 主機入侵防御Hotfix 自定義 核準的程序 Network Security SUM（Host Integrity）策 略 執(zhí) 行策 略 強 制策略制定 2/22/2019第21頁，共56頁。主機完整性 ：主機系統(tǒng)所采用的安全措施的完整性自動化修復動態(tài)提示綠色通道自動連接到服務器下載最新的版本、特征庫和補丁

18、全面修復安裝缺失的安全應用更新安全軟件特征庫檢查并安裝系統(tǒng)關鍵安全補丁檢查并修復系統(tǒng)安全設置安全策略自動化修復 2/22/2019第22頁，共56頁。企業(yè)NAC的需求 (Symantec Value)普遍的端點覆蓋可管理的筆記本，臺式機，服務器未管理的訪客，合同工，家庭電腦中央的，可擴展的, 靈活的策略管理分布式的服務器, 冗余, 數(shù)據(jù)庫復制, AD集成通用強制(W)LAN, IPSec VPN, SSL VPN, Web Portal, 分支機構WAN和現(xiàn)有及新興標準整合802.1x, DHCP, Cisco NAC, Microsoft NAP, TCGs TNC自動化的修復進程無需用戶干

19、預容易部署學習模式和發(fā)現(xiàn)工具Symantec是當今唯一發(fā)布了企業(yè)級適用的NAC方案的公司。 2/22/2019第23頁，共56頁。RootkitsAccount CreationAuto StartCode ExecutionFile IntegritySQL InjectionPrivilege EscalationBuffer OverflowsShatter AttacksDoSWormsData TheftSpywareCPU & KernelFile RegistryApplicationsNetworkDeviceMemorySystem LockdownFile AccessRe

20、gistry ControlAnti-HijackingProcess ExecutionApplication BehaviorBlock DLL LoadingMemory FirewallNX EmulationDevice ControlFile Read/Write/ExeFirewallIPSNetworkMemoryCPU & KernelFile RegistryApplicationsDeviceSygate保護代理的保護能力 2/22/2019第24頁，共56頁?；趹贸绦虻姆阑饓腿肭址雷oOS Protection /HIPS(控制應用程序的行為和訪問，例如對文件、注冊

21、表、外設、網(wǎng)絡的訪問等）System Lockdown（指紋鑒別的程序白名單，鎖定哪些程序可以在操作系統(tǒng)上運行）Device Manager （防止設備被加載, 例如，USB drives)內存防火墻Buffer Overflow ProtectionAdaptive Policy處所切換主機完整性SPA客戶端Sygate客戶端 2/22/2019第25頁，共56頁。Windows平臺安全代理以應用程序為中心的主機防火墻得到ICSA和公安部認證的全狀態(tài)檢測防火墻基于規(guī)則的安全引擎（整合用戶、網(wǎng)絡應用程序以及網(wǎng)絡信息）基于應用程序的主機入侵預防系統(tǒng)結合對應用程序的控制來識別和阻斷網(wǎng)絡入侵更優(yōu)的性

22、能，更少的虛假報警幫助審計，快速定位攻擊源基于應用程序的防火墻和入侵防護 2/22/2019第26頁，共56頁。系統(tǒng)級OS pretection應用程序行為分析進程管理文件訪問控制注冊表訪問控制強大的DLL管理System Lockdown內存防火墻設備級保護功 能OS Protection 功能 2/22/2019第27頁，共56頁。OS Protection: 外設控制根據(jù)設備類型(Windows Class ID)進行設備禁用 支持所有常用接口USB, Infrared, Bluetooth, Serial, Parallel, FireWire, SCSI, PCMCIA可以進行可移動

23、設備的read/write/execute 權限功能Block all USB devices except USB mouse and keyboard (e.g., thumb drives)案例 2/22/2019第28頁，共56頁。Stack-based Buffer Overflow（棧溢出利用）Heap-based Buffer Overflow（堆溢出利用）Format String（格式化串漏洞利用）Code injection（代碼注入）Integer Overflow（整數(shù)溢出）Memory corruption, etcMemory Firewallfor Windows

24、 ServicesMemory Firewallfor IISMemory Firewallfor SQL ServerMemory Firewallfor ExchangeMMC-based ConsoleMemory Firewallfor Linux ServicesMemory Firewallfor ApacheMemory Firewallfor OracleMemory Firewallfor other Linux AppsMemory Firewall Management FrameworkBrowser-based ConsoleEvent and Management

25、APIsSygate Memory Firewall （內存防火墻）對抗 2/22/2019第29頁，共56頁。自適應性的端點保護一個終端多種用途、終端具有多個網(wǎng)卡、不同類型的接入終端、或者漫游終端在不同的網(wǎng)絡中進行切換時：管理策略的適應性針對不同的網(wǎng)絡環(huán)境，網(wǎng)絡連接方式有多套策略可自動或手動在多套策略中切換，以應對不同的風險等級自適應性的安全策略角色/設備網(wǎng)絡位置連接方式策略筆記本用戶公司內網(wǎng)以太網(wǎng)禁止使用游戲，即時聊天工具,可以進行文件共享筆記本用戶家里的寬帶以太網(wǎng)/電話撥號可以使用游戲,即時聊天工具,禁止文件共享筆記本用戶在家里通過VPN進入公司內網(wǎng)VPN適配器只能使用IE, Lotus

26、 notes軟件訪問內網(wǎng)指定的應用服務器和郵件服務器自適應策略舉例 2/22/2019第30頁，共56頁。Symantec SEP解決方案終端安全管理問題和解決之道Symantec優(yōu)勢和案例分析 競爭對比Agenda 2/22/2019第31頁，共56頁。Symantec Sygate 方案優(yōu)勢通過提供戰(zhàn)略信息安全防護的流程，為用戶締造一個全新的安全管理架構全面實現(xiàn)強制的、不間斷的防護自動化的流程對用戶透明整合現(xiàn)有安全投資全面的覆蓋大幅度提高安全性的同時減少IT運維成本最小化網(wǎng)絡癱瘓和業(yè)務中斷的時間減少安全管理和維護的成本保護數(shù)據(jù)安全和強制安全規(guī)范（ BS7799/ISO17799） 2/22

27、/2019第32頁，共56頁。Sygate Enterprise Protection終端保護網(wǎng)絡準入控制終端修復終端管理主機防火墻主機入侵防御系統(tǒng)安全檢查自適應策略網(wǎng)絡程序管理文件訪問控制外設管理網(wǎng)絡適配器管理系統(tǒng)加固、修復軟件分發(fā)關鍵補丁強制安全問題通告邊界準入與隔離局域網(wǎng)準入與隔離DHCP IP獲取準入Web應用準入控制內存防火墻操作系統(tǒng)保護本地隔離系統(tǒng)鎖定SYGATE提供端點的全程、縱深防護體系 2/22/2019第33頁，共56頁。領導地位端點安全市場的領導廠商Gartner and Meta Acclaim3個領域的技術領導者端點安全網(wǎng)絡訪問控制(Network Access Co

28、ntrol)On Demand Anti-Spyware + Firewall 2/22/2019第34頁，共56頁。2005年5月最新的Gartner調研報告 獲獎技術Sygate的主機防火墻技術04，05年連續(xù)兩次蟬聯(lián)該安全目錄第一Sygate On-demand技術2005年評出的“網(wǎng)絡安全和保密最炫目廠商”該安全目錄中7項指標，6項由Sygate發(fā)布市場上第一個On-demand終端安全產(chǎn)品Sygate 主機入侵防御(HIPS)技術Sygate Ups the Ante on Enterprise HIPS Sygate網(wǎng)絡準入控制技術全球第一個通用網(wǎng)絡準入控制系統(tǒng) 2/22/2019

29、第35頁，共56頁。國內的成功案例中興通訊30，000個節(jié)點，國內最大的用戶勝在策略的適應性，可擴展的架構，大用戶數(shù)支撐華為8，000個節(jié)點，國內最苛刻和挑剔的用戶勝在產(chǎn)品成熟度高，4輪技術選型全部最高分東風標致雪鐵龍汽車有限公司3000個節(jié)點，最精于計算的用戶勝在投資回報率和整體擁有成本先進半導體1000多點，國內少數(shù)幾家通過BS7799認證的用戶，增加采購次數(shù)最多的用戶勝在產(chǎn)品功能集成度高，覆蓋BS7799標準中的眾多控制點，幫助他們通過以認證為目標的企業(yè)信息安全系統(tǒng)建設中石化 6000點海南移動 1000點 勝任省、地、市的多級管理模式 2/22/2019第36頁，共56頁。海南移動網(wǎng)絡

30、安全接入工程終端管理類型包括辦公終端（含省公司、分公司）、營業(yè)終端、臨時來訪者、以及各專業(yè)子系統(tǒng)維護終端（包括維護生產(chǎn)終端和廠商維護人員）四類，并可在上述四類的基礎上根據(jù)實際情況劃分子類。 辦公終端管理 營業(yè)終端管理 臨時來訪終端管理 各專業(yè)系統(tǒng)維護終端管理終端管理 2/22/2019第37頁，共56頁。海南移動網(wǎng)絡安全接入工程終端接入控制客戶端行為監(jiān)控管理和網(wǎng)絡程序控制主機防火墻入侵檢測防護完整性檢查和自動修復關鍵補丁管理Symantec Sygate安全策略保證系統(tǒng)用于實現(xiàn)如下功能 2/22/2019第38頁，共56頁。海南移動網(wǎng)絡安全接入工程通過Sygate安全代理能夠自動學習到網(wǎng)絡上運

31、行的應用程序，收集到運行軟件列表里，通過策略服務器設置網(wǎng)絡程序白名單功能，實現(xiàn)自有在名單里的網(wǎng)絡程序可運行，在白名單之外的軟件均不能正常運行訪問網(wǎng)絡。在終端管理策略網(wǎng)關提供全網(wǎng)允許運行網(wǎng)絡程序總表 2/22/2019第39頁，共56頁。海南移動網(wǎng)絡安全接入工程通過Sygate Gateway Enforcer安全接入網(wǎng)關實現(xiàn)該功能，終端接入網(wǎng)絡進行訪問時，必須首先安裝Sygate客戶端，安裝好Sygate客戶端后，還必須接受完整性檢查，安裝了完整性檢查要求的必要的軟件和補丁后，才能夠訪問公司網(wǎng)絡，否則不能通過安全接入網(wǎng)關訪問公司網(wǎng)絡終端接入網(wǎng)絡時,必須實現(xiàn)是否安裝了必需軟件，對不符合要求的，禁

32、止訪問公司網(wǎng)絡。 2/22/2019第40頁，共56頁。 中興通訊PC安全管理 涉及中興通訊全國各中心、事業(yè)部、分支機構等所有在網(wǎng)個人計算機。適用范圍為公司全體員工，對用戶數(shù)的要求為3萬人。項目一期目標：一個半月完成國內的部署實施；項目二期目標：2005年底前完成海外個片區(qū)中心的部署實施。中興通訊PC安全管理項目的實施范圍 2/22/2019第41頁，共56頁。 訪問控制 對于未通過認證及不符合安全策略的用戶，可以限制其對網(wǎng)絡的訪問。 策略統(tǒng)一制定和管理 可以靈活地制定所有用戶的安全策略，及時地下發(fā)給所有用戶，并強制用戶執(zhí)行。 策略切換 對于移動用戶，根據(jù)其所處環(huán)境的不同和用戶的不同自動啟用相

33、應的策略。 個人防火墻 無論在公司內網(wǎng)或公司外網(wǎng)，軟件能夠自動啟用基本的防火墻功能。需要實現(xiàn)的基本功能和基本要求 中興通訊PC安全管理 2/22/2019第42頁，共56頁。增強移動終端的安全風險對抗能力終端自動化安全加固補丁管理與強制防止蠕蟲、木馬、黑客工具等在網(wǎng)絡內部的傳播、擴散強制如殺毒軟件等安全工具和管理工具的正常運行及更新可輕松跨安全域，跨防火墻部署靈活的管理尺度按需擴展的能力華為端點安全考慮因素:關鍵需求:需求偏重安全防護 2/22/2019第43頁，共56頁。華為關鍵需求Symantec Sygate 方案FW IDS 針對不同的網(wǎng)絡環(huán)境，網(wǎng)絡連接方式有多套策略可自動在多套策略中

34、切換，以應對不同的風險等級在中央管理的主機防火墻上應用網(wǎng)絡程序黑名單如果沒有安裝殺毒軟件，則下載安裝，如果未更新特征庫，則強制更新關鍵需求增強移動終端的安全風險對抗能力防止蠕蟲、木馬、黑客工具等在網(wǎng)絡內部的傳播、擴散強制如殺毒軟件等安全工具和網(wǎng)絡管理工具的正常運行 2/22/2019第44頁，共56頁。華為關鍵需求Symantec Sygate 方案啟用強口令策略 啟用統(tǒng)一屏幕保護策略關閉威脅的服務和端口匿名訪問限制（不容許枚舉共享文件夾，SAM中的用戶信息）禁止修改IP地址，切換信息點禁止一切沒有限制的文件共享禁止用戶安裝新程序啟用系統(tǒng)文件保護禁用注冊表編輯器關鍵需求終端自動化安全加固 2/

35、22/2019第45頁，共56頁。華為關鍵需求Symantec Sygate 方案SYGATE客戶端自動重定向到內部指定SUS服務器升級微軟補丁強制檢查關鍵補丁，如果缺失則Sygate系統(tǒng)自動分發(fā)安裝針對無法安裝補丁的終端可分發(fā)內存補丁可分發(fā)第三方應用程序補丁支持斷點續(xù)傳關鍵需求補丁管理與強制輔助軟件分發(fā) 2/22/2019第46頁，共56頁。給客戶帶來的好處Symantec SYGATE 解決方案幫助華為:打造主動防御網(wǎng)絡，避免事后處理的高額成本將網(wǎng)絡管理員從勞動密集型工作中解放出來實現(xiàn)全網(wǎng)統(tǒng)一殺毒將安全緊急事件的響應時間縮短為之前的十分之一僅用了清除一次重大病毒疫的成本就換來了不間斷自防御

36、網(wǎng)絡“Taking vulnerability out of the network” 2/22/2019第47頁，共56頁。Symantec SEP解決方案終端安全管理問題和解決之道Symantec優(yōu)勢和案例分析 競爭對比Agenda 2/22/2019第48頁，共56頁。市場競爭中所處的位置主要的競爭對手: 2/22/2019第49頁，共56頁。Competitive Positioning: Cisco NACCNAC: Customers report that deploying CNAC would cost up to$20 Million in Cisco network in

37、frastructure upgradesCSA: Customers report up to 85% trouble ticket rate during pilotsKILLERS弱點不支持其他網(wǎng)絡產(chǎn)商的設備，無法使用在異類網(wǎng)絡環(huán)境中需要大量的路由器、交換機等固件升級或更換，總體擁有成本太高CNAC需要在第四個階段才能實現(xiàn)比較全面的覆蓋，現(xiàn)在僅在第二個階段安全因為依賴一個廠商而降低不能提供全面測試，用戶做決定時需要下賭注需要第三方方案解決客戶端問題，需要額外的客戶端部署，用戶實際期待的是multi-function Agent,而不是multiple single-function ag

38、ent管理缺乏擴展性，策略缺乏適應性Cisco并不為離開CNAC的端點提供持續(xù)的保護CNAC不能提供細粒度自定義規(guī)則。Sygate方案中，不同用戶可以從屬于不同的策略客戶端經(jīng)常打擾和中斷用戶不能中央管理所有的CNAC策略ACS一端咨詢多個posture server，管理煩瑣，管理員需要弄清在何處升級策略，存在多個潛在的失敗點（failure point） 2/22/2019第50頁，共56頁。Competitive Positioning: Huawei-3com EADKILLERS弱點絕大多數(shù)CNAC的弱點，同樣適用于Huawei-3com醉翁之意不在酒, 在于對付技術門檻，完成硬件銷售

39、成熟度低，05年11月進入市場，屬于半成品合作伙伴太少，只有3家客戶群少，僅有20個案例接入點覆蓋率低，受制于Huawei3com的產(chǎn)品線長度架構設計上只能支持到千級的客戶端管理服務器沒有熱備和容錯機制，可能導致大面積終端無法上網(wǎng)不支持級聯(lián)的組結構，策略無法繼承客戶端功能匱乏 2/22/2019第51頁，共56頁。軟件分發(fā)補丁管理資產(chǎn)管理軟件許可監(jiān)管遠程幫助操作系統(tǒng)部署及配置遷移 網(wǎng)絡準入控制網(wǎng)絡程序管理主機防火墻內存防火墻自適應策略系統(tǒng)鎖定Behavioral IPSSignature based IPS外設管理Sygate專著于終端安全管理與防護Landesk偏重終端資產(chǎn)管理Competi

40、tive Positioning: Landesk 2/22/2019第52頁，共56頁。弱點安全才是用戶真正的痛資產(chǎn)管理來實現(xiàn)軟硬件滾動升級在中國還只能是遠景目標，而且決策者不會是IT安全部門Landesk的安全手段單一，主要是打補丁在終端項目中，如果有網(wǎng)絡準入控制，就為它設置了無法逾越的技術壁壘有侵犯終端用戶隱私的功能模塊，容易引起抵觸，部署時阻力大客戶端無自我保護能力，容易被卸載可說服用戶分開立項Competitive Positioning: Landesk Contd 2/22/2019第53頁，共56頁。劣勢成熟度低，用戶網(wǎng)絡成為其試驗田只在電信領域遭遇照虎畫貓，終端安全和策略強制上只實現(xiàn)Sygate的部分功能不支持802.1x認證，無法實現(xiàn)接入層安全認證 客戶端所帶的主機防火墻未經(jīng)受考驗系統(tǒng)擴展能力差，缺少熱備/容錯機制系統(tǒng)內置的負載均衡能力不完善優(yōu)勢利用自己在電信行業(yè)的影響力，多種手段采取卡位戰(zhàn)略有自主知識產(chǎn)權，對用戶需求響應迅捷Competit