Symantec終端管理和安全解決方案技術(shù)規(guī)范書

Symantec終端管理及安全解決方案技術(shù)規(guī)范書賽門鐵克軟件（北京）有限公司DATE\@"yyyy年MM月"\l2008年04月文檔信息屬性內(nèi)容文檔名稱：終端管理和安全解決方案技術(shù)規(guī)范書文檔編號：文檔版本：版本日期：文檔狀態(tài)：制作人：審閱人：版本變更記錄版本修訂日期修訂人描述1.02008-4-8姚臻目錄第1章 概述 1第2章 產(chǎn)品功能簡介 32.1 端點(diǎn)保護(hù)系統(tǒng)SymantecEndpointProtection 32.1.1 產(chǎn)品簡介 32.1.2 產(chǎn)品主要優(yōu)勢 42.1.3 主要功能 52.2 終端準(zhǔn)入控制SymantecNetworkAccessControl11 62.2.1 主要優(yōu)勢 72.2.2 主要功能 72.3 SymantecAltiris（IT生命周期管理解決方案） 82.3.1 Altiris管理架構(gòu)—NotificationsServer 92.3.2 解決方案的主要市場、技術(shù)定位 122.3.3 解決方案的專利技術(shù)和優(yōu)勢 122.3.4 廠商的完整IT運(yùn)維產(chǎn)品線，產(chǎn)品在該產(chǎn)品線中的位置，與其他產(chǎn)品的關(guān)系 12第3章 終端安全系統(tǒng)體系結(jié)構(gòu) 133.1 管理系統(tǒng)功能組件說明 133.2 系統(tǒng)管理架構(gòu)設(shè)計 163.2.1 兩級管理體系 163.2.2 二級VS兩級以上的管理 173.2.3 策略的同步與復(fù)制 183.2.4 服務(wù)器的負(fù)載均衡 203.2.5 客戶端的漫游 213.2.6 容災(zāi)與災(zāi)備系統(tǒng) 243.3 準(zhǔn)入控制設(shè)計 283.3.1 SymantecNetworkAccessControl架構(gòu) 283.3.2 賽門鐵克端點(diǎn)評估技術(shù)：靈活性和全面性 303.3.3 永久代理 323.3.4 可分解的代理 333.3.5 遠(yuǎn)程漏洞掃描 343.3.6 SymantecEnforcers：用于消除IT和業(yè)務(wù)中斷的靈活實施選件 353.3.7 GatewayEnforcer 373.3.8 DHCPEnforcer 383.3.9 LANEnforcer—802.1x 393.3.10 網(wǎng)絡(luò)準(zhǔn)入控制行業(yè)框架支持 403.3.11 端到端的端點(diǎn)遵從 413.4 安全管理策略架構(gòu) 423.4.1 域及管理員分級 423.4.2 管理權(quán)限策略 453.4.3 組織結(jié)構(gòu)設(shè)計 453.4.4 安全策略 473.5 賽門鐵克策略管理：全面、集成的端點(diǎn)安全管理 493.5.1 一個管理控制臺 503.5.2 統(tǒng)一代理 513.5.3 消除網(wǎng)絡(luò)準(zhǔn)入控制障礙 513.6 服務(wù)器的硬件配置需求 51第4章 終端管理系統(tǒng)體系結(jié)構(gòu) 534.1 管理架構(gòu) 534.2 架構(gòu)闡述 574.2.1 架構(gòu)比較 574.2.2 多級管理 584.2.3 Altiris管理服務(wù)器 594.3 管理模式 604.4 管理職能 604.4.1 管理架構(gòu)歸屬 604.4.2 策略制定歸屬 614.4.3 監(jiān)控職能歸屬 624.5 管理權(quán)限 62第5章 終端管理技術(shù)標(biāo)準(zhǔn)規(guī)范 655.1 ITIL(IT基礎(chǔ)架構(gòu)庫) 655.2 遵循的IT業(yè)界標(biāo)準(zhǔn)--1 665.3 遵循的IT業(yè)界標(biāo)準(zhǔn)--2 675.4 遵循的IT業(yè)界標(biāo)準(zhǔn)--3 68概述企業(yè)目前面臨著利用端點(diǎn)設(shè)備中的漏洞，更為隱蔽、目標(biāo)性更強(qiáng)、旨在獲取經(jīng)濟(jì)利益的威脅。多種上述復(fù)雜威脅會避開傳統(tǒng)的安全解決方案，使企業(yè)容易成為數(shù)據(jù)竊取和操控的受害者、造成關(guān)鍵業(yè)務(wù)服務(wù)中斷并導(dǎo)致公司品牌和聲譽(yù)受損。為了提前應(yīng)對這些隱蔽多變的新型安全威脅，企業(yè)必須升級他們的端點(diǎn)防護(hù)措施。SymantecEndpointProtection讓企業(yè)能夠采用更為有效的整體方法，來保護(hù)筆記本電腦、臺式機(jī)和服務(wù)器等端點(diǎn)。R該產(chǎn)品將業(yè)界領(lǐng)先的防病毒軟件、反間諜軟件和防火墻與先進(jìn)的主動防護(hù)技術(shù)集成到一個可部署代理中，通過中央管理控制臺進(jìn)行管理。而且，管理員可以根據(jù)他們的具體需要，輕松禁用或啟用上述任何技術(shù)。同時，IT管理員會竭盡全力確保按照公司策略配置新部署的臺式機(jī)和筆記本電腦，公司策略包括所有適用的安全更新、批準(zhǔn)的應(yīng)用程序設(shè)置、防病毒軟件、防火墻設(shè)置以及其它配置設(shè)置。遺憾的是，這些計算機(jī)一投入使用，管理員通常就無法控制這些端點(diǎn)的配置。用戶安裝新軟件、阻止補(bǔ)丁程序更新、禁用防火墻或者進(jìn)行其它更改，導(dǎo)致設(shè)備乃至整個IT基礎(chǔ)架構(gòu)面臨著風(fēng)險。在網(wǎng)吧、賓館房間或者其它更易受到攻擊或感染的不安全地點(diǎn)，遠(yuǎn)程用戶和移動用戶使用不遵從筆記本電腦時會面臨更高的風(fēng)險。網(wǎng)絡(luò)準(zhǔn)入控制解決方案使企業(yè)能夠防止此行為影響企業(yè)的IT基礎(chǔ)架構(gòu)。在任何計算機(jī)能夠訪問生產(chǎn)網(wǎng)絡(luò)及其資源之前，該計算機(jī)都必須完全遵從制定的企業(yè)策略，如安全補(bǔ)丁程序、防病毒軟件和病毒定義的正確版本級別。但是，盡管他們能夠防止不遵從端點(diǎn)連接到企業(yè)網(wǎng)絡(luò)，但部分企業(yè)仍然因為各種原因尚未采用網(wǎng)絡(luò)準(zhǔn)入控制解決方案，這些原因包括許多解決方案：SymantecNetworkAccessControl使用端到端的解決方案解決了上述所有問題，能夠安全地控制對企業(yè)網(wǎng)絡(luò)的訪問、實施端點(diǎn)安全策略以及與現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)架構(gòu)輕松集成。產(chǎn)品功能簡介端點(diǎn)保護(hù)系統(tǒng)SymantecEndpointProtection產(chǎn)品簡介SymantecEndpointProtection11將SymantecAntiVirus?與高級威脅防御功能相結(jié)合，可以為筆記本、臺式機(jī)和服務(wù)器提供無與倫比的惡意軟件防護(hù)能力。它甚至可以防御最復(fù)雜的攻擊，這些攻擊能夠躲避傳統(tǒng)的安全措施，如rootkit、零日攻擊和不斷變化的間諜軟件。SymantecEndpointProtection11不僅提供了世界一流、業(yè)界領(lǐng)先且基于特征的防病毒和反間諜軟件防護(hù)。它還提供了先進(jìn)的威脅防御能力，能夠保護(hù)端點(diǎn)免遭目標(biāo)性攻擊以及之前沒有發(fā)現(xiàn)的未知攻擊侵?jǐn)_。它包括即刻可用的主動防護(hù)技術(shù)以及管理控制功能；主動防護(hù)技術(shù)能夠自動分析應(yīng)用程序行為和網(wǎng)絡(luò)通信，以檢測并阻止可疑活動，而管理控制功能使您能夠拒絕對企業(yè)來說被視為高風(fēng)險的特定設(shè)備和應(yīng)用程序活動。甚至可以根據(jù)用戶位置阻止特定操作。這種多層方法可以顯著降低風(fēng)險，同時能夠充分保護(hù)企業(yè)資產(chǎn)，從而使企業(yè)高枕無憂。它是一款功能全面的產(chǎn)品，只要您需要，即可立即為您提供所需的所有功能。無論攻擊是由惡意的內(nèi)部人員發(fā)起，還是來自于外部，端點(diǎn)都會受到充分保護(hù)。SymantecEndpointProtection11不僅可以增強(qiáng)防護(hù)，而且可以通過降低管理開銷以及管理多個端點(diǎn)安全性產(chǎn)品引發(fā)的成本來降低總擁有成本。它提供一個代理，通過一個管理控制臺即可進(jìn)行管理。從而不僅簡化了端點(diǎn)安全管理，而且還提供了出色的操作效能，如單個軟件更新和策略更新、統(tǒng)一的集中報告及一個授權(quán)許可和維護(hù)計劃。SymantecEndpointProtection11易于實施和部署。賽門鐵克還提供廣泛的咨詢、技術(shù)培訓(xùn)和支持服務(wù)，可以指導(dǎo)企業(yè)完成解決方案的遷移、部署和管理，并幫助您實現(xiàn)投資的全部價值。對于希望外包安全監(jiān)控和管理的企業(yè)來說，賽門鐵克還提供托管安全服務(wù)，以提供實時安全防護(hù)。產(chǎn)品主要優(yōu)勢安全全面的防護(hù)—集成一流的技術(shù)，可以在安全威脅滲透到網(wǎng)絡(luò)之前將其阻止，即便是由最狡猾的未知新攻擊者發(fā)起的攻擊也不例外。以實時方式檢測并阻止惡意軟件，包括病毒、蠕蟲、特洛伊木馬、間諜軟件、廣告軟件和rootkit。主動防護(hù)—全新的主動威脅掃描使用獨(dú)特的賽門鐵克技術(shù)為未知應(yīng)用程序的良好行為和不良行為評分，從而無需創(chuàng)建基于規(guī)則的配置即可增強(qiáng)檢測能力并減少誤報。業(yè)界最佳的威脅趨勢情報—賽門鐵克的防護(hù)機(jī)制使用業(yè)界領(lǐng)先的賽門鐵克全球情報網(wǎng)絡(luò)，可以提供有關(guān)整個互聯(lián)網(wǎng)威脅趨勢的全面視圖。借助此情報可以采取相應(yīng)的防護(hù)措施，并且可以幫助您防御不斷變化的攻擊，從而使您高枕無憂。簡單單一代理，單一控制臺—通過一個直觀用戶界面和基于Web的圖形報告將全面的安全技術(shù)集成到單一代理和集中的管理控制臺中。能夠在整個企業(yè)中設(shè)置并實施安全策略，以保護(hù)您的重要資產(chǎn)。添加SymantecNetworkAccessControl11支持時，可以簡化管理、降低系統(tǒng)資源使用率，并且無需其它代理。通過購買許可證可以在代理和管理控制臺上自動啟用SymantecNetworkAccessControl11功能。易于部署—由于它只需要一個代理和管理控制臺，并且可以利用企業(yè)現(xiàn)有的安全和IT投資進(jìn)行操作，因此，SymantecEndpointProtection11易于實施和部署。對于希望外包安全監(jiān)控和管理的企業(yè)，賽門鐵克提供托管安全服務(wù)，以提供實時安全防護(hù)。降低擁有成本—SymantecEndpointProtection11通過降低管理開銷以及管理多個端點(diǎn)安全產(chǎn)品引發(fā)的成本，提供了較低的總體擁有成本。這種保障端點(diǎn)安全的統(tǒng)一方法不僅簡化了管理，而且還提供了出色的操作效能，如單個軟件更新和策略更新、統(tǒng)一的集中報告及一個授權(quán)許可和維護(hù)計劃。無縫易于安裝、配置和管理—SymantecEndpointProtection11使您可以輕松啟用、禁用和配置所需的技術(shù)，以適應(yīng)您的環(huán)境。SymantecNetworkAccessControl11就緒—每個端點(diǎn)都會進(jìn)入“SymantecNetworkAccessControl11就緒”狀態(tài)，從而無需部署其它網(wǎng)絡(luò)訪問控制端點(diǎn)代理軟件。利用現(xiàn)有安全技術(shù)和IT投資—可以與其它領(lǐng)先防病毒供應(yīng)商、防火墻、IPS技術(shù)和網(wǎng)絡(luò)訪問控制基礎(chǔ)架構(gòu)協(xié)作。還可以與領(lǐng)先的軟件部署工具、補(bǔ)丁管理工具和安全信息管理工具協(xié)作。主要功能防病毒和反間諜軟件—提供了無可匹敵的一流惡意軟件防護(hù)能力，包括市場領(lǐng)先的防病毒防護(hù)、增強(qiáng)的間諜軟件防護(hù)、新rootkit防護(hù)、減少內(nèi)存使用率和全新的動態(tài)性能調(diào)整，以保持用戶的工作效率。網(wǎng)絡(luò)威脅防護(hù)—提供基于規(guī)則的防火墻引擎和一般漏洞利用禁止功能(GEB)，該功能可以在惡意軟件進(jìn)入系統(tǒng)前將其阻止在外。主動威脅防護(hù)—針對不可見的威脅（即零日威脅）提供防護(hù)。包括不依賴特征的主動威脅掃描。單個代理和單個管理控制臺—在一個代理上提供防病毒、反間諜軟件、桌面防火墻、IPS、設(shè)備控制和網(wǎng)絡(luò)訪問控制（需要購買賽門鐵克網(wǎng)絡(luò)訪問控制許可證）—通過單個管理控制臺即可進(jìn)行全面管理。終端準(zhǔn)入控制SymantecNetworkAccessControl11SymantecNetworkAccessControl11是全面的端到端網(wǎng)絡(luò)訪問控制解決方案，通過與現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)架構(gòu)相集成，使企業(yè)能夠安全有效地控制對企業(yè)網(wǎng)絡(luò)的訪問。不管端點(diǎn)以何種方式與網(wǎng)絡(luò)相連，SymantecNetworkAccessControl11都能夠發(fā)現(xiàn)并評估端點(diǎn)遵從狀態(tài)、設(shè)置適當(dāng)?shù)木W(wǎng)絡(luò)訪問權(quán)限、根據(jù)需要提供補(bǔ)救功能，并持續(xù)監(jiān)視端點(diǎn)以了解遵從狀態(tài)是否發(fā)生了變化。從而可以營造這樣的網(wǎng)絡(luò)環(huán)境：企業(yè)可以在此環(huán)境中大大減少安全事故，同時提高企業(yè)IT安全策略的遵從級別。SymantecNetworkAccessControl11使企業(yè)可以按照目標(biāo)經(jīng)濟(jì)有效地部署和管理網(wǎng)絡(luò)訪問控制。同時對端點(diǎn)和用戶進(jìn)行授權(quán)在當(dāng)今的計算環(huán)境中，企業(yè)和網(wǎng)絡(luò)管理員面臨著嚴(yán)峻的挑戰(zhàn)，即為不斷擴(kuò)大的用戶群提供訪問企業(yè)資源的權(quán)限。其中包括現(xiàn)場和遠(yuǎn)程員工，以及訪客、承包商和其他臨時工作人員?，F(xiàn)在，維護(hù)網(wǎng)絡(luò)環(huán)境完整性的任務(wù)面臨著前所未有的挑戰(zhàn)。如今無法再接受對網(wǎng)絡(luò)提供未經(jīng)檢查的訪問。隨著訪問企業(yè)系統(tǒng)的端點(diǎn)數(shù)量和類型激增，企業(yè)必須能夠在連接到資源以前驗證端點(diǎn)的健康狀況，而且在端點(diǎn)連接到資源之后，要對端點(diǎn)進(jìn)行持續(xù)驗證。SymantecNetworkAccessControl11可以確保在允許端點(diǎn)連接到企業(yè)LAN、WAN、WLAN或VPN之前遵從IT策略。主要優(yōu)勢部署SymantecNetworkAccessControl11的企業(yè)可以切身體驗到眾多優(yōu)勢。其中包括：減少惡意代碼（如病毒、蠕蟲、間諜軟件和其它形式的犯罪軟件）的傳播通過對訪問企業(yè)網(wǎng)絡(luò)的不受管理的端點(diǎn)和受管理的端點(diǎn)加強(qiáng)控制，降低風(fēng)險為最終用戶提供更高的網(wǎng)絡(luò)可用性，并減少服務(wù)中斷的情況通過實時端點(diǎn)遵從數(shù)據(jù)獲得可驗證的企業(yè)遵從信息企業(yè)級集中管理架構(gòu)將總擁有成本降至最低驗證對防病毒軟件和客戶端防火墻這樣的端點(diǎn)安全產(chǎn)品投資是否得當(dāng)主要功能網(wǎng)絡(luò)訪問控制流程網(wǎng)絡(luò)訪問控制是一個流程，涉及對所有類型的端點(diǎn)和網(wǎng)絡(luò)進(jìn)行管理。此流程從連接到網(wǎng)絡(luò)之前開始，在整個連接過程中持續(xù)進(jìn)行。與所有企業(yè)流程一樣，策略可以作為評估和操作的基礎(chǔ)。網(wǎng)絡(luò)訪問控制流程包括以下四個步驟：1.發(fā)現(xiàn)和評估端點(diǎn)。此步驟在端點(diǎn)連接到網(wǎng)絡(luò)訪問資源之前執(zhí)行。通過與現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)架構(gòu)相集成，同時使用智能代理軟件，網(wǎng)絡(luò)管理員可以確保按照最低IT策略要求對連接到網(wǎng)絡(luò)的新設(shè)備進(jìn)行評估。2.設(shè)置網(wǎng)絡(luò)訪問權(quán)限。只有對系統(tǒng)進(jìn)行評估并確認(rèn)其遵從IT策略后，才準(zhǔn)予該系統(tǒng)進(jìn)行全面的網(wǎng)絡(luò)訪問。對于不遵從IT策略或不滿足企業(yè)最低安全要求的系統(tǒng)，將對其進(jìn)行隔離，限制或拒絕其對網(wǎng)絡(luò)進(jìn)行訪問。3.對不遵從的端點(diǎn)采取補(bǔ)救措施。對不遵從的端點(diǎn)自動采取補(bǔ)救措施使管理員能夠?qū)⑦@些端點(diǎn)快速變?yōu)樽駨臓顟B(tài)，隨后再改變網(wǎng)絡(luò)訪問權(quán)限。管理員可以將補(bǔ)救過程完全自動化，這樣會使該過程對最終用戶完全透明；也可以將信息提供給用戶，以便進(jìn)行手動補(bǔ)救。4.主動監(jiān)視遵從狀況。必須時刻遵從策略。因此，SymantecNetworkAccessControl11以管理員設(shè)置的時間間隔主動監(jiān)視所有端點(diǎn)的遵從狀況。如果在某一時刻端點(diǎn)的遵從狀態(tài)發(fā)生了變化，那么該端點(diǎn)的網(wǎng)絡(luò)訪問權(quán)限也會隨之變化。SymantecAltiris（IT生命周期管理解決方案）AltirisIT生命周期管理解決方案具有多重系統(tǒng)管理功能，企業(yè)能隨著新的要求或新的系統(tǒng)管理需求部署新的功能，隨著企業(yè)的發(fā)展而不斷擴(kuò)充。每個解決方案以模塊化的方式集中安裝在Altiris服務(wù)器上，通過安裝在客戶端的Agent（代理）的交互式來實現(xiàn)所有功能。Altiris管理架構(gòu)—NotificationsServerNotificationServer是altiris所有模塊化解決方案的基礎(chǔ)架構(gòu)，所有模塊都基于此。其可擴(kuò)充管理架構(gòu)--ExtensibleManagementArchitecture?(EMA?)為客戶提供了一個統(tǒng)一集中又具充分?jǐn)U展能力的管理平臺。通過NotificationServer，altriris具備管理復(fù)雜網(wǎng)絡(luò)環(huán)境的能力無論是LAN還是WAN。其功能特性如下：完全為BS結(jié)構(gòu)，Web方式管理，統(tǒng)一集中的控制臺Altiris基于Windows.Net技術(shù)，采用SQLServer數(shù)據(jù)庫，符合主流的發(fā)展趨勢?？梢园唇巧蛥^(qū)域進(jìn)行多級分布式管理其角色安全(RoleBase)和區(qū)域安全(ScopeBase)特性滿足大型企業(yè)客戶對管理的需求管理多平臺能力可以管理Windows,Linux,Unix,Mac等多種軟硬件平臺，而無須采用第三方產(chǎn)品。強(qiáng)大的與第三方產(chǎn)品集成能力企業(yè)資源共享是企業(yè)IT總體規(guī)劃的重要內(nèi)容，altiris通過其連接器解決方案(ConnectorSolution)提供了多種連接器(Connector)—AD，HPOpenView,IBMDirector,SMS,RemedyHelpdesk，Oracle甚至SAP。通過ODBC,OLEDB,altiris還可以與財務(wù)軟件、HR軟件進(jìn)行資源數(shù)據(jù)共享。強(qiáng)大的Web報表功能Altiris不但提供了數(shù)百個已經(jīng)預(yù)定義的Web報表，還可以讓企業(yè)自定義符合企業(yè)需求的報表。PackageServer(分布式服務(wù)器)PackageServer功能使得altiris可以應(yīng)用于任何一種企業(yè)架構(gòu)，無論復(fù)雜還是簡單。并且與AD集成。同時PackageServer不需要額外付費(fèi)，對于有復(fù)雜結(jié)構(gòu)WAN環(huán)境企業(yè)可以節(jié)約很大一筆費(fèi)用。通過工業(yè)標(biāo)準(zhǔn)的SNMP,可以管理基于SNMP設(shè)備Altiris不但可以管理PC等設(shè)備，還可以管理網(wǎng)絡(luò)設(shè)備基于策略的管理Altiris基于策略的管理可以大大減少重復(fù)性的管理工作環(huán)節(jié)，自動化操作能力是IT管理的重要特征。altirisNotificationServer是免費(fèi)的AltirisNotificationServer不需要額外的許可證費(fèi)用，企業(yè)可以自由任意的擴(kuò)展管理架構(gòu)強(qiáng)大的合作伙伴支持能力Altriris支持業(yè)界主流的計算機(jī)廠商，并為他們開發(fā)了專門針對硬件底層的管理工具，如IBM服務(wù)器、Dell服務(wù)器和客戶端、HP服務(wù)器和客戶端，為客戶提供更深層次的管理工具，這是其他管理軟件很難具有的。綜上所述，altiris管理架構(gòu)在廣度和深度上都是極具優(yōu)勢。解決方案的主要市場、技術(shù)定位Altiris解決方式適合于擁有幾千臺、數(shù)萬臺甚至數(shù)十萬臺計算機(jī)的各種規(guī)模的企業(yè)組織，這些企業(yè)組織須要有效降低IT管理成本和提高IT管理效率，以求得良好的投資回報率，促進(jìn)企業(yè)業(yè)務(wù)發(fā)展與擴(kuò)大Altiris解決方案在商業(yè)組織、政府機(jī)構(gòu)、教育等幾乎所有領(lǐng)域都擁有眾多成功案例。解決方案的專利技術(shù)和優(yōu)勢Altiris公司擁有眾多專利技術(shù)：recovery/deployment/wise廠商的完整IT運(yùn)維產(chǎn)品線，產(chǎn)品在該產(chǎn)品線中的位置，與其他產(chǎn)品的關(guān)系A(chǔ)ltiris擁有客戶端管理、服務(wù)器管理、資產(chǎn)管理、安全管理完整的管理工具集，在同類產(chǎn)品中擁有最完整的產(chǎn)品構(gòu)成，在技術(shù)功能處于領(lǐng)先者地位。終端安全系統(tǒng)體系結(jié)構(gòu)管理系統(tǒng)功能組件說明終端安全管理系統(tǒng)包括三部分組件：策略管理服務(wù)器策略服務(wù)器實現(xiàn)所有安全策略、準(zhǔn)入控制規(guī)則的管理、設(shè)定和監(jiān)控，是整個終端安全標(biāo)準(zhǔn)化管理的核心。通過使用控制臺管理員可以創(chuàng)建和管理各種策略、將策略分配給代理、查看日志并運(yùn)行端點(diǎn)安全活動報告。通過圖形報告、集中日志記錄和閾值警報等功能提供全面的端點(diǎn)可見性。統(tǒng)一控制臺簡化了端點(diǎn)安全管理，提供集中軟件更新、策略更新、報告等功能。策略管理服務(wù)器可以完成以下任務(wù)：終端分組與權(quán)限管理；根據(jù)地理位置、業(yè)務(wù)屬性等條件對終端進(jìn)行分組管理，對于不同的組可以制定專門的組管理員，并進(jìn)行權(quán)限控制。策略管理與發(fā)布；策略包括自動防護(hù)策略、手動掃描的策略、手動掃描的策略、病毒、木馬防護(hù)策略、惡意腳本防護(hù)策略、電子郵件防護(hù)策略（包括outlook、lotus以及internet郵件）、廣告軟件防護(hù)策略、前瞻性威脅防護(hù)策略、防火墻策略、入侵防護(hù)策略、硬件保護(hù)策略、軟件保護(hù)策略、升級策略、主機(jī)完整性策略等安全內(nèi)容更新下發(fā)安全內(nèi)容更新包括病毒定義、防火墻規(guī)則、入侵防護(hù)定義、主動威脅防護(hù)規(guī)則等日志收集和報表呈現(xiàn)可以生成日報/周報/月報，報告種類包括：風(fēng)險報表（以服務(wù)器組、父服務(wù)器、客戶端組、計算機(jī)、IP、用戶名為條件識別感染源、當(dāng)前環(huán)境下高風(fēng)險列表、按類型劃分的安全風(fēng)險）、計算機(jī)狀態(tài)報表（內(nèi)容定義分發(fā)、產(chǎn)品版本列表、未接受管理客戶端列表）、掃描狀態(tài)報表、審計報表、軟件和硬件控制報表、網(wǎng)絡(luò)威脅防護(hù)報表、系統(tǒng)報表、安全遵從性報表。強(qiáng)制服務(wù)器管理和策略下發(fā)對于交換機(jī)強(qiáng)制服務(wù)器和網(wǎng)關(guān)強(qiáng)制設(shè)備進(jìn)行統(tǒng)一的管理和策略定義。終端代理安裝包的維護(hù)和升級；終端代理（包括終端保護(hù)代理和準(zhǔn)入控制代理）終端安全管理系統(tǒng)需要在所有的終端上部署安全代理軟件，安全代理是整個企業(yè)網(wǎng)絡(luò)安全策略的執(zhí)行者，它安裝在網(wǎng)絡(luò)中的每一臺終端計算機(jī)上。安全代理實現(xiàn)端點(diǎn)保護(hù)和準(zhǔn)入控制功能。端點(diǎn)保護(hù)功能包括：防病毒和反間諜軟件—提供病毒防護(hù)、間諜軟件防護(hù)、rootkit防護(hù)。網(wǎng)絡(luò)威脅防護(hù)—提供基于規(guī)則的防火墻引擎和一般漏洞利用禁止功能(GEB)，該功能可以在惡意軟件進(jìn)入系統(tǒng)前將其阻止在外。主動威脅防護(hù)—針對不可見的威脅（即零日威脅）提供防護(hù)。包括不依賴特征的主動威脅掃描。端點(diǎn)準(zhǔn)入控制功能包括：主機(jī)完整性檢查和自動修復(fù)：檢查終端計算機(jī)上防火墻、防病毒軟件、反間諜軟件、補(bǔ)丁程序、ServicePack或其他必需應(yīng)用程序是否符合要求，具體內(nèi)容可以是對防病毒程序的安裝，windows補(bǔ)丁安裝，客戶端啟用強(qiáng)口令策略，關(guān)閉有威脅的服務(wù)與端口。因為主機(jī)完整性檢查支持對終端的注冊表檢查與設(shè)置，進(jìn)程管理，文件檢查，下載與啟動程序等，所以可通過設(shè)置自定義的策略來滿足幾乎所有對客戶端的安全策略與管理要求。強(qiáng)制：當(dāng)終端的安全設(shè)置不能滿足企業(yè)基準(zhǔn)安全策略的需求，可以限制終端的網(wǎng)絡(luò)訪問，如只能訪問修復(fù)服務(wù)器進(jìn)行自動修復(fù)操作。以上兩部分功能由一個代理軟件完成，接受策略管理服務(wù)器的統(tǒng)一管理。強(qiáng)制認(rèn)證服務(wù)器對于那些未安裝終端代理的終端或者私自卸載代理軟件的終端，必需通過網(wǎng)絡(luò)強(qiáng)制的方式進(jìn)行控制。這需要部署相關(guān)的強(qiáng)制服務(wù)器（LANEnforcer）。賽門鐵克LANEnforcer802.1X是帶外802.1XRADIUS代理解決方案，它與支持802.1X標(biāo)準(zhǔn)的所有主要交換供應(yīng)商協(xié)同工作。幾乎所有有線以太網(wǎng)和無線以太網(wǎng)交換機(jī)制造商都支持IEEE802.1x準(zhǔn)入控制協(xié)議。LANEnforcer使用該鏈接級協(xié)議評估端點(diǎn)遵從性，提供自動問題修復(fù)并允許遵從系統(tǒng)進(jìn)入企業(yè)網(wǎng)絡(luò)。在實施期間，端點(diǎn)上的賽門鐵克代理使用802.1x將遵從信息傳送到網(wǎng)絡(luò)交換機(jī)上，然后將此信息中繼到LANEnforcer。如果端點(diǎn)不遵從策略，LANEnforcer會將其放入隔離網(wǎng)絡(luò)，在此對其進(jìn)行修復(fù)，而不會影響任何遵從端點(diǎn)。SymantecNetworkAccessControl11補(bǔ)救端點(diǎn)并將其轉(zhuǎn)換到遵從狀態(tài)后，802.1x協(xié)議將試圖對用戶重新進(jìn)行身份驗證，并為其授予網(wǎng)絡(luò)訪問權(quán)限。LANEnforcer可以參與現(xiàn)有AAA身份管理架構(gòu)以便對用戶和端點(diǎn)進(jìn)行身份驗證，對于只要求進(jìn)行端點(diǎn)遵從驗證的環(huán)境，也可以充當(dāng)獨(dú)立的RADIUS解決方案（也稱為透明模式）。在透明模式下，管理員只需將交換機(jī)配置為使用LANEnforcer作為RADIUS服務(wù)器，就能讓設(shè)備根據(jù)遵從所定義策略的情況對端點(diǎn)進(jìn)行身份驗證。在透明模式下運(yùn)行LANEnforcer無需額外基礎(chǔ)架構(gòu)，并且是一種實施基于VLAN交換的安全網(wǎng)絡(luò)準(zhǔn)入控制解決方案的簡單方法。系統(tǒng)管理架構(gòu)設(shè)計系統(tǒng)架構(gòu)的設(shè)計取決與管理方式、終端數(shù)量及分布、網(wǎng)絡(luò)帶寬等條件。推薦終端安全管理平臺采用“統(tǒng)一控制，二級管理”架構(gòu)，這樣的架構(gòu)與現(xiàn)有行政管理模式相匹配——益于提高管理效率，同時又能體現(xiàn)“統(tǒng)一規(guī)劃，分級集中管理”的思想，讓各地市分擔(dān)省公司的運(yùn)行維護(hù)負(fù)擔(dān)。兩級管理體系終端接入控制平臺按照兩級架構(gòu)設(shè)計，總部—省公司如下圖：在總部設(shè)立全國范圍的終端接入控制平臺中心，制定并下發(fā)統(tǒng)一的全網(wǎng)管理策略。這些策略主要以策略模版庫的形式提供。這些策略通過同步與復(fù)制的機(jī)制，在一二級服務(wù)器間保持一致。二級管理平臺上策略的變更也都會同步回一級控制平臺，在一級管理平臺上可以預(yù)覽任何一個二級甚至三級服務(wù)器上的策略應(yīng)用情況。二級VS兩級以上的管理在4.2.1節(jié)中，我們設(shè)計的是一個二級管理體系。通過復(fù)制關(guān)系實現(xiàn)上下級之間的策略同步。根據(jù)需要，我們可以實現(xiàn)二級以上的管理關(guān)系。例如，國家電網(wǎng)在總部實現(xiàn)一級管理平臺，在各省中心實現(xiàn)二級管理平臺，在一個大的地市實現(xiàn)三級管理架構(gòu)，如下圖所示：理論上SEP11的管理架構(gòu)層次是無限多，但是在實際部署中，我們推薦國家電網(wǎng)的SEP架構(gòu)設(shè)計控制在三層以下。其一可以減少管理上的復(fù)雜度，包括架構(gòu)的設(shè)計，人員的調(diào)配設(shè)置，權(quán)限的分級下發(fā)設(shè)計；另外也避免了更多的硬件成本支出。策略的同步與復(fù)制復(fù)制就是不同地點(diǎn)或站點(diǎn)間的服務(wù)器系統(tǒng)通過特別拷貝來共享數(shù)據(jù)的過程。終端接入控制平臺的策略同步復(fù)制在邏輯上和微軟域策略的同步復(fù)制類似，它并非簡單的數(shù)據(jù)庫間復(fù)制關(guān)系，它內(nèi)部包含有周全的防止策略沖突的處理。通過策略復(fù)制與同步，不同地點(diǎn)的用戶都工作在本地的副本之上，然后同步他們之間的變更。在終端接入控制平臺上，策略復(fù)制還可以將一個管理服務(wù)器上的變更同步到另一個數(shù)據(jù)庫上，實現(xiàn)冗余備份。通過策略復(fù)制，終端接入控制平臺能夠支持多級管理，以及無限的終端數(shù)量擴(kuò)展能力，從而滿足國家電網(wǎng)終端節(jié)點(diǎn)規(guī)模不斷擴(kuò)大的需求?！敖y(tǒng)一控制”體現(xiàn)在通過一個統(tǒng)一控制臺管理所有服務(wù)的功能，省中心管理員可通過整體方法來管理端點(diǎn)安全?！胺旨壒芾怼敝饕w現(xiàn)在地市管理平臺根據(jù)省中心的權(quán)限設(shè)置也可以自主在管轄范圍內(nèi)進(jìn)行管理策略的擴(kuò)展和定制。實現(xiàn)方式如下：在對不同地市用戶用戶進(jìn)行分組，并對不同的地市組制定不同的安全策略。通過系統(tǒng)內(nèi)置的繼承體系，不同的子組能夠從同一父組中繼承相同的安全策略，從而提高策略制定的便利性。同時，可以為各地市管理員分配適當(dāng)?shù)臋?quán)限，如是否允許地市管理員修改繼承的策略，限制其只可以查看本地市的報告，僅能管理本地市州的客戶端等細(xì)致的權(quán)限。如下圖所示：服務(wù)器的負(fù)載均衡SEP11/SNAC11可以自行實現(xiàn)負(fù)載均衡和災(zāi)難恢復(fù)設(shè)置，無需再另行添置相關(guān)軟硬件設(shè)置。SEP11的負(fù)載均衡建立在現(xiàn)有體系結(jié)構(gòu)之上，它提供了一種廉價有效的方法擴(kuò)展服務(wù)器帶寬和增加吞吐量，加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理能力，提高網(wǎng)絡(luò)的靈活性和可用性。它主要完成以下任務(wù)：解決網(wǎng)絡(luò)擁塞問題，服務(wù)就近提供，實現(xiàn)地理位置無關(guān)性；為用戶提供更好的訪問質(zhì)量；提高服務(wù)器響應(yīng)速度；提高服務(wù)器及其他資源的利用效率；避免了網(wǎng)絡(luò)關(guān)鍵部位出現(xiàn)單點(diǎn)失效。SEP11可以為每一個地區(qū)/組織結(jié)構(gòu)/組的用戶創(chuàng)建不同的服務(wù)器鏈接列表，當(dāng)客戶端接收到最新的服務(wù)器列表策略后，它會從列表中通過隨機(jī)算法選擇其中之一的服務(wù)器進(jìn)行連接，如果連接不上，會繼續(xù)通過隨機(jī)算法選擇其余服務(wù)器列別當(dāng)中的一個進(jìn)行連接，直至連接到某一個服務(wù)器為止，如下圖所示：此外，SEP11還可以定制不同的服務(wù)器優(yōu)先級，即只有自己的服務(wù)器列表第一優(yōu)先級中所有的服務(wù)器全部連接不上時，自動尋找優(yōu)先級為二級的服務(wù)器列表，如下圖所示：客戶端的漫游對于國家電網(wǎng)這個大型企業(yè)來說，員工的流動性也是非常大。如果員工在離開其所在地出差到其他分支機(jī)構(gòu)時，如果SEP11客戶端仍然去連接其原有的服務(wù)器，在網(wǎng)絡(luò)帶寬允許的情況下是不會有太大問題是；但是如果分支結(jié)構(gòu)較小，又或者網(wǎng)絡(luò)連接情況不甚理想時，和服務(wù)器的連接這個問題就必須慎重考慮，否則，或者客戶端無法連接其管理其的服務(wù)器，或者占用大量廣域網(wǎng)的網(wǎng)絡(luò)帶寬，給業(yè)務(wù)系統(tǒng)使用網(wǎng)絡(luò)帶來不必要的影響。SEP11充分考慮到了大型企業(yè)的員工在出差漫游到外地時的系統(tǒng)設(shè)置，方便客戶端就近連接到本地的服務(wù)器組，不但大大提高了連接速度，也避免和業(yè)務(wù)系統(tǒng)搶占寶貴的廣域網(wǎng)帶寬。方法之一是采用DNS的漫游；方法二是自動處所切換功能。像國家電網(wǎng)這樣的大型企業(yè)不但在全國都有自己的分支機(jī)構(gòu)，網(wǎng)絡(luò)建設(shè)更是走在其他全國的前列。全國建設(shè)了自己的獨(dú)立的Intranet，此外，各個大區(qū)也建立了自己的DNS服務(wù)器和DHCP服務(wù)器，客戶端可以就近解析網(wǎng)絡(luò)域名。SEP11系統(tǒng)在建立之初，可以在全國范圍內(nèi)使用統(tǒng)一的域名，例如，隨后在各地市的DNS服務(wù)器上綁定域名和對應(yīng)的本地的SEPM服務(wù)器IP地址，例如，總部和北京地區(qū)是共用同一臺DNS服務(wù)器，同時總部和北京地區(qū)的SEPM服務(wù)器有三臺（4.2.4節(jié)介紹的負(fù)載均衡），IP地址分別是、、，管理員可以在本地的DNS服務(wù)器上設(shè)置對應(yīng)的IP地址就是、、。當(dāng)用戶電腦啟動后會首先接受本地DHCP服務(wù)器分配的IP地址、網(wǎng)關(guān)以及本地的DNS服務(wù)器IP地址。隨后當(dāng)SEP11客戶端試圖連接SEPM服務(wù)器時，這臺客戶端會首先向本地DNS服務(wù)器發(fā)起解析域名請求，由DNS服務(wù)器隨機(jī)分配IP地址給SEP11客戶端。這樣，不論用戶是否是總部的用戶，只要終端上的DNS服務(wù)器指向的是本地SEPM服務(wù)器，就能順利的實現(xiàn)客戶端的漫游。同樣道理，各地市的DNS服務(wù)器也分別將這個域名解析到本地的SEPM服務(wù)器的IP地址。當(dāng)總部或其它地市的電腦漫游到本地市時，就能通過本地市的DNS服務(wù)器順利連接到本地的SEPM服務(wù)器。方法二是采用SEP終端安全管理系統(tǒng)的自動處所切換功能。強(qiáng)大的SEP11終端安全管理系統(tǒng)能根據(jù)管理員的實際需要，在以下條件中任意選擇一個或者多個；條件可以是“和”，也可以是“或”，組成一個判斷用戶當(dāng)前所處環(huán)境的判斷。條件包括以下：IP范圍（包括單個IP地址、子網(wǎng)地址、IP地址段、IP地址范圍等）DNS服務(wù)器IP地址DHCP服務(wù)器IP地址客戶端可以解析主機(jī)名客戶端可以連接到管理服務(wù)器（可以連，或者是無法連接）網(wǎng)絡(luò)連接類型（包括■任何網(wǎng)絡(luò)■撥號網(wǎng)絡(luò)■以太網(wǎng)■無線CheckPointVPN-1CiscoVPNMicrosoftPPTPVPNJuniperNetScreenVPNNortelContivityVPNSafeNetSoftRemoteVPNAventailSSLVPNJuniperSSLVPN）注冊表鍵值例如，管理員指定，當(dāng)用戶拿到了——50的地址，同時通過以太網(wǎng)連接，DNS服務(wù)器的IP地址是10.1.254，則認(rèn)為其漫游到了總部地址。這樣，任何一個客戶端如果滿足上訴條件的組合，即可認(rèn)為其處在總部地區(qū)，隨即分配總部地區(qū)的SEPM服務(wù)器與其連接。容災(zāi)與災(zāi)備系統(tǒng)容災(zāi)和災(zāi)備系統(tǒng)的設(shè)計對任何一個系統(tǒng)都是極其重要，尤其是對一個覆蓋全網(wǎng)的安全管理系統(tǒng)。SEP11充分考慮到了用戶的需求并提供了多種方法供管理員選擇。容災(zāi)系統(tǒng)設(shè)計分為兩部分，一部分是對于SEPM服務(wù)器的容災(zāi)設(shè)計，另外一個是SEPM的后臺數(shù)據(jù)庫服務(wù)器的容災(zāi)設(shè)計。SEPM服務(wù)器的容災(zāi)設(shè)計在4.2.4節(jié)已經(jīng)詳細(xì)描述，即客戶端可以隨機(jī)連接任何一個SEPM服務(wù)器組中的SEPM，任意一個SEPM服務(wù)器宕機(jī)都不會影響客戶端和服務(wù)器的通訊。同時，SEPM服務(wù)器優(yōu)先級的設(shè)置可以保證在極端情況下即使同一個地區(qū)所有的SEPM全部宕機(jī)，此地區(qū)的客戶端也可以連接到其他地區(qū)的SEPM服務(wù)器。如下圖所示：上圖是同一地區(qū)同一優(yōu)先級的SEPM冗余設(shè)計。上圖左部分是優(yōu)先級為1的本地SEPM服務(wù)器群，右邊的是優(yōu)先級為2的異地SEPM服務(wù)器群。在SEPM服務(wù)器實現(xiàn)冗余設(shè)計后，數(shù)據(jù)庫的冗余設(shè)計也需要得到管理員的同樣重視。SEP終端安全管理系統(tǒng)所有的數(shù)據(jù)均儲存在后臺的數(shù)據(jù)庫上，包括客戶端的分組、策略的定義、病毒庫，以及定期產(chǎn)生的日志及報表等等。所以，維護(hù)數(shù)據(jù)庫的冗余以及災(zāi)備系統(tǒng)設(shè)置及就顯得更為重要了數(shù)據(jù)庫的冗余設(shè)計也分為兩種，一種是單站點(diǎn)的設(shè)置，另外一種是對于多站點(diǎn)的設(shè)計。對于單站點(diǎn)來說，重要的是如何保護(hù)其唯一一個數(shù)據(jù)庫。對于這種情況，Symantec公司推薦使用DatabaseCluster來實現(xiàn)數(shù)據(jù)庫的冗余設(shè)計，如VCS或者是MCS，如下圖所示：對多站點(diǎn)來說，情況就會好很多。我們在4.2.1節(jié)談到了多級管理體系，其中就有一個叫做“站點(diǎn)”的概念。站點(diǎn)在SEP11管理系統(tǒng)中指的是一個數(shù)據(jù)庫以及連接它的SEPM服務(wù)器組。管理員可以根據(jù)實際需要，在不同站點(diǎn)的數(shù)據(jù)庫服務(wù)器之間配置需要同步的內(nèi)容，如下圖所示：在上圖中，管理員設(shè)置兩個分支機(jī)構(gòu)的“策略/組信息”完全和總部同步，也就是說總部、站點(diǎn)1、站點(diǎn)2個含有一個完全一樣的“策略/組信息”數(shù)據(jù)庫。同時，管理員設(shè)置兩個分支機(jī)構(gòu)的“內(nèi)容復(fù)制”完全和總部同步。此時，總部和兩個分支機(jī)構(gòu)的的SEPM服務(wù)器只要任意一個向SymantecLiveupdate獲取了最新的病毒庫、主動威脅防護(hù)、主機(jī)IPS特征庫后，其他的服務(wù)器勿需上網(wǎng)更新即可獲取同樣最新的病毒庫、主動威脅防護(hù)、主機(jī)IPS特征庫，本地的客戶端也隨后能得到及時的更新。至于日志，管理員設(shè)置為單向復(fù)制，即兩個分支機(jī)構(gòu)的SEPM服務(wù)器只向總部復(fù)制，總部的日志并不向分支機(jī)構(gòu)的數(shù)據(jù)庫上復(fù)制，以節(jié)省有限的廣域網(wǎng)網(wǎng)絡(luò)帶寬。在任何災(zāi)難發(fā)生時，如果不幸造成了某一個站點(diǎn)的數(shù)據(jù)庫徹底無法恢復(fù)（包括我們下面還要介紹的數(shù)據(jù)庫備份文件也損壞）時，其他兩個完好站點(diǎn)的數(shù)據(jù)庫可以在第一時間將已經(jīng)同步的數(shù)據(jù)庫內(nèi)容完好如初的恢復(fù)到災(zāi)難地區(qū)新建的數(shù)據(jù)庫服務(wù)器上。接下來是備份。我們在本節(jié)前文已經(jīng)闡述SEP11終端安全管理系統(tǒng)的核心數(shù)據(jù)均儲存在數(shù)據(jù)庫中，所以SEPM服務(wù)器本身不需要備份，需要備份的是數(shù)據(jù)庫。數(shù)據(jù)庫的備份分為兩種，其一是SEPM服務(wù)器自己設(shè)置的數(shù)據(jù)庫維護(hù)計劃，如下圖所示：我們可以選擇是否備份日志，也可以設(shè)置保留多少次數(shù)據(jù)庫的備份。在備份周期上可以選擇每小時/每日/每周。其二是采用SQLServer自己的數(shù)據(jù)庫備份維護(hù)計劃，此處不再詳述。準(zhǔn)入控制設(shè)計SymantecNetworkAccessControl架構(gòu)SymantecNetworkAccessControl架構(gòu)包括以下三個主要組件：端點(diǎn)評估技術(shù)評估試圖訪問網(wǎng)絡(luò)的端點(diǎn)的狀態(tài)（檢查它們是否遵從策略）；Enforcers作為允許或拒絕訪問網(wǎng)絡(luò)的門戶；策略管理通過一個中央管理控制臺創(chuàng)建、編輯和管理網(wǎng)絡(luò)準(zhǔn)入控制規(guī)則或策略；如下圖所示：實施評估技術(shù)向從中創(chuàng)建、編輯和管理策略的SymantecEndpointProtectionManager報告，并通過它接收其配置策略信息。如果賽門鐵克實施評估技術(shù)確定該端點(diǎn)不遵從策略，則會告知SymantecEnforcer阻止該端點(diǎn)訪問網(wǎng)絡(luò)。根據(jù)IT管理員設(shè)置的策略（并根據(jù)已部署的實施選件類型），賽門鐵克實施技術(shù)能夠自動將不遵從端點(diǎn)的狀態(tài)改為遵從。通過執(zhí)行補(bǔ)救任務(wù)，如致電當(dāng)?shù)氐难a(bǔ)丁程序經(jīng)理以安裝最新補(bǔ)丁程序，或者利用端點(diǎn)上為其它任務(wù)安裝的其它工具，即可實現(xiàn)這一目的。SymantecNetworkAccessControl會為各類網(wǎng)絡(luò)中的所有類型端點(diǎn)驗證并實施策略遵從。通過將策略作為所有評估和操作的基礎(chǔ)，此驗證和實施流程在端點(diǎn)連接到網(wǎng)絡(luò)之前開始，并且貫穿整個連接過程。下圖顯示了該網(wǎng)絡(luò)準(zhǔn)入控制流程執(zhí)行的步驟。1. 發(fā)現(xiàn)和評估端點(diǎn)。在連接到網(wǎng)絡(luò)時，即訪問資源之前發(fā)現(xiàn)端點(diǎn)。通過與現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)架構(gòu)相集成，同時使用智能代理軟件，網(wǎng)絡(luò)管理員可以確保按照最低IT策略要求對連接到網(wǎng)絡(luò)的新設(shè)備進(jìn)行評估。2. 設(shè)置網(wǎng)絡(luò)訪問權(quán)限。只有對系統(tǒng)進(jìn)行評估并確認(rèn)其遵從IT策略后，才準(zhǔn)予該系統(tǒng)進(jìn)行全面的網(wǎng)絡(luò)訪問。對于不遵從IT策略或不滿足企業(yè)最低安全要求的系統(tǒng)，將對其進(jìn)行隔離，限制或拒絕其對網(wǎng)絡(luò)進(jìn)行訪問。3. 修復(fù)不遵從的端點(diǎn)對不遵從的端點(diǎn)自動采取補(bǔ)救措施使管理員能夠?qū)⑦@些端點(diǎn)快速變?yōu)樽駨臓顟B(tài)，隨后再改變網(wǎng)絡(luò)訪問權(quán)限。管理員可以將補(bǔ)救過程完全自動化，這樣會使該過程對最終用戶完全透明；也可以將信息提供給用戶，以便進(jìn)行手動補(bǔ)救。4. 主動監(jiān)視遵從狀況。必須時刻遵從策略。因此，SymantecNetworkAccessControl以管理員設(shè)置的時間間隔主動監(jiān)視所有端點(diǎn)的遵從狀況。如果在某一時刻端點(diǎn)的遵從狀態(tài)發(fā)生了變化，那么該端點(diǎn)的網(wǎng)絡(luò)訪問權(quán)限也會隨之變化。賽門鐵克端點(diǎn)評估技術(shù)：靈活性和全面性網(wǎng)絡(luò)準(zhǔn)入控制通過驗證與該網(wǎng)絡(luò)相連的端點(diǎn)是否經(jīng)過正確配置來保護(hù)其免遭在線攻擊，從而保護(hù)網(wǎng)絡(luò)免遭惡意代碼以及未知或未授權(quán)端點(diǎn)的攻擊。網(wǎng)絡(luò)準(zhǔn)入控制通常涉及檢查防病毒、反間諜軟件以及安裝的補(bǔ)丁程序。但是在進(jìn)行了初始網(wǎng)絡(luò)準(zhǔn)入控制部署后，大多數(shù)企業(yè)很快就超出了這些典型檢查。不管目標(biāo)是什么，該過程都是首先從評估端點(diǎn)入手。由于連接到網(wǎng)絡(luò)的端點(diǎn)數(shù)量非常之多（例如，“受控端點(diǎn)”或公司采購的端點(diǎn)，以及“不受控端點(diǎn)”或并非由公司采購的端點(diǎn)，如使用家用計算機(jī)的遠(yuǎn)程工作人員、承包商、臨時員工以及可能使用自己筆記本電腦的合作伙伴），SymantecNetworkAccessControl提供三種不同的端點(diǎn)評估技術(shù)來確定端點(diǎn)遵從性：永久代理可分解的代理遠(yuǎn)程漏洞掃描 上圖：端點(diǎn)評估技術(shù)永久代理企業(yè)擁有的系統(tǒng)和其它受控系統(tǒng)使用管理員安裝的代理來確定遵從狀態(tài)。此代理檢查防病毒軟件、反間諜軟件、安裝的補(bǔ)丁程序以及復(fù)雜的系統(tǒng)狀態(tài)特征，如注冊表項、運(yùn)行進(jìn)程和文件屬性。永久代理還提供最深入、最準(zhǔn)確、最可靠的系統(tǒng)遵從信息，同時為評估選件提供最靈活的補(bǔ)救和修復(fù)功能。賽門鐵克認(rèn)為成功網(wǎng)絡(luò)準(zhǔn)入控制的關(guān)鍵同樣從部署基于永久代理的解決方案開始。由于臺式機(jī)操作系統(tǒng)運(yùn)行方式的原因，要行之有效地檢查和糾正某些軟件是否正確安裝和運(yùn)行以及端點(diǎn)計算機(jī)是否已正確配置或處于可接受的狀態(tài)，網(wǎng)絡(luò)準(zhǔn)入控制解決方案都必須能夠檢查端點(diǎn)進(jìn)程表和注冊表，甚至可以修改某些項。實現(xiàn)這一目標(biāo)的最佳方法是在初始部署時使用具有管理員權(quán)限并且已安裝在端點(diǎn)上的代理。完全不基于代理的解決方案不能為管理員提供足夠權(quán)限來充分或精確地檢查端點(diǎn)是否完全遵從。另外，不基于代理的解決方案很可能沒有足夠的權(quán)限來對端點(diǎn)進(jìn)行必要修改，以使其從不遵從狀態(tài)進(jìn)入遵從狀態(tài)。SymantecNetworkAccessControl提供永久代理和管理員安裝的實施代理選件，用于確定端點(diǎn)的遵從狀態(tài)。此代理可以檢查防病毒軟件、反間諜軟件、安裝的補(bǔ)丁程序以及復(fù)雜的系統(tǒng)狀態(tài)特征，包括注冊表項、運(yùn)行的進(jìn)程和文件屬性。該永久代理選件提供確保遵從企業(yè)策略需要的最深入、最準(zhǔn)確和最可靠的系統(tǒng)遵從信息。下圖是永久代理的示意圖：可分解的代理網(wǎng)絡(luò)準(zhǔn)入控制領(lǐng)域的最大挑戰(zhàn)之一在于能否對訪客用戶的網(wǎng)絡(luò)準(zhǔn)入進(jìn)行正確處理。如果沒有為臨時員工和訪客設(shè)置網(wǎng)絡(luò)訪問權(quán)限的自動方法，會嚴(yán)重影響工作效率。如果承包商或臨時員工開始工作，但由于需要手動設(shè)置網(wǎng)絡(luò)訪問而導(dǎo)致數(shù)日或數(shù)周無法訪問網(wǎng)絡(luò)，則會造成時間和成本的浪費(fèi)。同樣，如果自動網(wǎng)絡(luò)準(zhǔn)入控制解決方案不必要地阻止了這些用戶的訪問，也會導(dǎo)致相同后果。有效的網(wǎng)絡(luò)準(zhǔn)入控制解決方案必須具備下列功能和靈活性：驗證新端點(diǎn)或臨時端點(diǎn)不會對網(wǎng)絡(luò)造成威脅，并決定為端點(diǎn)授予的網(wǎng)絡(luò)訪問權(quán)限級別。評估端點(diǎn)的最精確方法是在端點(diǎn)上安裝全職網(wǎng)絡(luò)準(zhǔn)入控制代理，但在不屬于企業(yè)的端點(diǎn)上部署全職代理并不能保證企業(yè)或訪客的最佳利益。為解決該問題，SymantecNetworkAccessControl提供了一個可分解的臨時代理。這可以用于當(dāng)前不受管理員管理的非企業(yè)設(shè)備或系統(tǒng)。這些基于Java?的代理是根據(jù)需要提供的，無需管理員權(quán)限即可評估端點(diǎn)遵從狀況。在會話結(jié)束時，這些代理會將其自身從系統(tǒng)中自動移除。例如，當(dāng)訪客端點(diǎn)嘗試連接到網(wǎng)絡(luò)時，基于網(wǎng)絡(luò)的實施解決方案會識別它不是已知端點(diǎn)設(shè)備，并將其重定向到Web服務(wù)器，它可以在其中下載可分解的即時代理。該代理將根據(jù)管理員為訪客定義的策略，執(zhí)行適當(dāng)?shù)淖駨男詸z查。如果遵從，則會為端點(diǎn)授予訪問生產(chǎn)網(wǎng)絡(luò)的權(quán)限。在網(wǎng)絡(luò)會話結(jié)束時，代理會自動將其從端點(diǎn)移除。除了為臨時端點(diǎn)使用該重定向功能外，還可以將其用于屬于新員工的端點(diǎn)。此時，當(dāng)端點(diǎn)被重定向到Web服務(wù)器以下載代理時，會出現(xiàn)兩個選項，一個用于訪客，一個用于員工。如果用戶選擇員工選項，則基于網(wǎng)絡(luò)的Enforcer可以決定端點(diǎn)是否為屬于企業(yè)的資產(chǎn)。如果該端點(diǎn)為企業(yè)端點(diǎn)之一，則可以部署全職的永久網(wǎng)絡(luò)準(zhǔn)入控制代理而不是可分解代理。通過提供多個選項來驗證遵從端點(diǎn)狀態(tài)和配置的策略，SymantecNetworkAccessControl可以確保試圖訪問企業(yè)網(wǎng)絡(luò)的員工和訪客滿足其最低安全標(biāo)準(zhǔn)和要求。遠(yuǎn)程漏洞掃描企業(yè)不能選擇安裝永久代理時，可以使用另一個補(bǔ)充性的端點(diǎn)評估方法，即利用遠(yuǎn)程漏洞掃描。遠(yuǎn)程漏洞掃描根據(jù)來自SymantecNetworkAccessControlScanner的無證書證明的遠(yuǎn)程漏洞掃描結(jié)果，向SymantecNetworkAccessControl實施基礎(chǔ)架構(gòu)提供遵從信息。遠(yuǎn)程掃描可以將此信息收集功能拓展到當(dāng)前無基于代理的技術(shù)可用的系統(tǒng)。根據(jù)連接到網(wǎng)絡(luò)的端點(diǎn)的不同類型，公司可選擇使用三種端點(diǎn)評估技術(shù)的混合技術(shù)來以獲得全面的防護(hù)。SymantecEnforcers：用于消除IT和業(yè)務(wù)中斷的靈活實施選件每個企業(yè)的網(wǎng)絡(luò)環(huán)境都具有獨(dú)特的長期發(fā)展模式，因此，不存在可以有效控制對所有網(wǎng)絡(luò)點(diǎn)的訪問的單一實施方法。網(wǎng)絡(luò)準(zhǔn)入控制解決方案必須具有足夠的靈活性，這樣才能在不需要增加管理和維護(hù)開銷的前提下，將多種實施方法輕松集成到現(xiàn)有環(huán)境中。SymantecNetworkAccessControl允許企業(yè)針對網(wǎng)絡(luò)的不同部分選擇最合適的實施方法，并不會增加操作復(fù)雜性或成本。賽門鐵克的基于網(wǎng)絡(luò)的實施方法作為硬件設(shè)備交付的組件提供，包括LAN、DHCP和網(wǎng)關(guān)方法，其中DHCP方法可以作為軟件插件而提供。賽門鐵克還提供了一個基于主機(jī)的簡單實施方法，稱為自我實施。該方法使用賽門鐵克桌面防火墻來允許或拒絕訪問。該防火墻已包含為SymantecEndpointProtection產(chǎn)品的一部分。使用自我實施的優(yōu)勢在于它不需要部署基于網(wǎng)絡(luò)的實施組件，即可管理對網(wǎng)絡(luò)的訪問。相反，它使用賽門鐵克桌面防火墻管理對網(wǎng)絡(luò)的訪問，提供最簡單、最快捷的實施部署選項。如果企業(yè)已經(jīng)部署了SymantecEndpointProtection產(chǎn)品，則實施會更加輕松。但是，自我實施選項僅對“受控”端點(diǎn)有效。它不能解決訪客或臨時員工等不受控端點(diǎn)連接到網(wǎng)絡(luò)的問題。SymantecNetworkAccessControl通過可分解代理和遠(yuǎn)程漏洞掃描解決與不受控端點(diǎn)相關(guān)的問題。上圖即是賽門鐵克實施選項的類型許多企業(yè)難以決定是否部署網(wǎng)絡(luò)準(zhǔn)入控制解決方案，因為許多產(chǎn)品的內(nèi)部設(shè)計具有破壞性。通常，他們需要進(jìn)行網(wǎng)絡(luò)基礎(chǔ)架構(gòu)升級和變更，這一過程既費(fèi)時又昂貴。許多解決方案過于復(fù)雜，并且非常難以部署。某些解決方案需要同時部署端點(diǎn)代理和升級網(wǎng)絡(luò)基礎(chǔ)架構(gòu)。在進(jìn)行部署時遇到的代理問題或網(wǎng)絡(luò)實施問題會導(dǎo)致解決方案毫無用處，排查并解決這些問題的難度極大，還可能導(dǎo)致不正確地阻止用戶訪問網(wǎng)絡(luò)。賽門鐵克使用簡單、分階段的方法來部署高效全面的網(wǎng)絡(luò)準(zhǔn)入控制，提供可部署的各種實施選項，從而解決了上述問題。使用賽門鐵克的基于主機(jī)的實施選項可以輕松部署網(wǎng)絡(luò)準(zhǔn)入控制。這種類型的部署不需要更改基礎(chǔ)架構(gòu)，所以部署工作不再那么費(fèi)時。已在使用SymantecEndpointProtection解決方案的企業(yè)已經(jīng)部署了代理，只需啟用網(wǎng)絡(luò)準(zhǔn)入控制即可利用該功能?；谥鳈C(jī)的實施選項是為受控端點(diǎn)實施網(wǎng)絡(luò)準(zhǔn)入控制的最快速、最簡單的方法。企業(yè)可以按照自己的進(jìn)度，實施賽門鐵克提供的其它基于網(wǎng)絡(luò)的實施選項，以補(bǔ)充基于主機(jī)的實施選項?；诰W(wǎng)絡(luò)的Enforcers是一個必需組件，用于控制連接到網(wǎng)絡(luò)的不受控端點(diǎn)。這些附加的基于網(wǎng)絡(luò)的關(guān)鍵實施產(chǎn)品包括：網(wǎng)關(guān)Enforcer—網(wǎng)絡(luò)瓶頸點(diǎn)的內(nèi)嵌實施DHCPEnforcer—對任何基礎(chǔ)架構(gòu)上的局域網(wǎng)和無線網(wǎng)絡(luò)使用基于DHCP的強(qiáng)制方法LANEnforcer—802.1x—對局域網(wǎng)和無線網(wǎng)絡(luò)使用基于標(biāo)準(zhǔn)的帶外方法與網(wǎng)絡(luò)準(zhǔn)入控制代理一樣，SymantecEnforcer產(chǎn)品獨(dú)立于網(wǎng)絡(luò)操作系統(tǒng)，能夠輕松與任何網(wǎng)絡(luò)基礎(chǔ)架構(gòu)集成。這些解決方案獨(dú)立于安全供應(yīng)商，這意味著它們可與其它領(lǐng)先的防病毒軟件、防火墻和主機(jī)入侵防護(hù)解決方案一起使用。由于這些解決方案不依賴于內(nèi)部網(wǎng)絡(luò)或基礎(chǔ)架構(gòu)，所以企業(yè)可以采取分階段方法完成實施，根據(jù)自己的時間表自行決定如何進(jìn)行部署。此外，為了簡化管理和遵從實施工作，與SymantecNetworkAccessControl端點(diǎn)評估技術(shù)一樣，，通過SymantecEndpointProtectionManager集中管理所有Enforcers。GatewayEnforcer賽門鐵克的GatewayEnforcer是在網(wǎng)絡(luò)瓶頸點(diǎn)部署的內(nèi)嵌實施設(shè)備，所以它可以根據(jù)端點(diǎn)遵從制定的企業(yè)策略的情況，控制和阻止遠(yuǎn)程端點(diǎn)的通信流。不管瓶頸點(diǎn)是位于邊界網(wǎng)絡(luò)連接點(diǎn)上（如WAN鏈接或VPN），還是位于訪問關(guān)鍵業(yè)務(wù)系統(tǒng)的內(nèi)部網(wǎng)段上，GatewayEnforcer都可以對資源和補(bǔ)救服務(wù)有效提供可控訪問，使不遵從端點(diǎn)變?yōu)樽駨臓顟B(tài)。GatewayEnforcer的典型部署方案是位于遠(yuǎn)程分支機(jī)構(gòu)與公司總部之間的IPSecVPN、WAN連接之后、無線網(wǎng)絡(luò)和會議室網(wǎng)絡(luò)之上、關(guān)鍵服務(wù)器或小型數(shù)據(jù)中心之前。下圖即為GatewayEnforcer（網(wǎng)關(guān)強(qiáng)制）的示意圖。DHCPEnforcer賽門鐵克的DHCPEnforcer以內(nèi)嵌方式部署在端點(diǎn)和企業(yè)現(xiàn)有的DHCP服務(wù)基礎(chǔ)架構(gòu)之間。如果端點(diǎn)沒有運(yùn)行網(wǎng)絡(luò)準(zhǔn)入控制代理、處于不遵從狀態(tài)或其遵從狀態(tài)未知，則DHCPEnforcer會分配限制性的DHCP租用。分配的這一限制性租用是不可路由或隔離的IP地址，提供降低的網(wǎng)絡(luò)訪問權(quán)限。DHCPEnforcer還可以與端點(diǎn)代理通信以發(fā)起必要的補(bǔ)救操作，使端點(diǎn)遵從策略。遵從策略的端點(diǎn)將啟動DHCP發(fā)布和更新要求。如果DHCPEnforcer接收到更新請求并確定端點(diǎn)處于遵從狀態(tài)，則端點(diǎn)將獲得對正常生產(chǎn)網(wǎng)絡(luò)的DHCP租期，從而使其擁有對網(wǎng)絡(luò)的完全訪問權(quán)限。由于DHCPEnforcer作為內(nèi)嵌DHCP代理工作，所以它與任何現(xiàn)有DHCP基礎(chǔ)架構(gòu)都兼容，并且無需升級軟硬件，就可以在任何現(xiàn)有網(wǎng)絡(luò)環(huán)境中工作。作為DHCPEnforcer設(shè)備的替代產(chǎn)品，賽門鐵克提供可以直接安裝在Microsoft?DHCP服務(wù)器上的DHCPEnforcer插件。MicrosoftDHCP服務(wù)器實施使MicrosoftDHCP服務(wù)器能夠作為實施點(diǎn)。LANEnforcer—802.1x賽門鐵克LANEnforcer802.1X是帶外802.1XRADIUS代理解決方案，它與支持802.1X標(biāo)準(zhǔn)的所有主要交換供應(yīng)商協(xié)同工作。幾乎所有有線以太網(wǎng)和無線以太網(wǎng)交換機(jī)制造商都支持IEEE802.1x準(zhǔn)入控制協(xié)議。LANEnforcer使用該鏈接級協(xié)議評估端點(diǎn)遵從性，提供自動問題修復(fù)并允許遵從系統(tǒng)進(jìn)入企業(yè)網(wǎng)絡(luò)。在實施期間，端點(diǎn)上的賽門鐵克代理使用802.1x將遵從信息傳送到網(wǎng)絡(luò)交換機(jī)上，然后將此信息中繼到LANEnforcer。如果端點(diǎn)不遵從策略，LANEnforcer會將其放入隔離網(wǎng)絡(luò)，在此對其進(jìn)行修復(fù)，而不會影響任何遵從端點(diǎn)。SymantecNetworkAccessControl補(bǔ)救端點(diǎn)并將其轉(zhuǎn)換到遵從狀態(tài)后，802.1x協(xié)議將試圖對用戶重新進(jìn)行身份驗證，并為其授予網(wǎng)絡(luò)訪問權(quán)限。LANEnforcer可以參與現(xiàn)有AAA身份管理架構(gòu)以便對用戶和端點(diǎn)進(jìn)行身份驗證，對于只要求進(jìn)行端點(diǎn)遵從驗證的環(huán)境，也可以充當(dāng)獨(dú)立的RADIUS解決方案（也稱為透明模式）。在透明模式下，管理員只需將交換機(jī)配置為使用LANEnforcer作為RADIUS服務(wù)器，就能讓設(shè)備根據(jù)遵從所定義策略的情況對端點(diǎn)進(jìn)行身份驗證。在透明模式下運(yùn)行LANEnforcer無需額外基礎(chǔ)架構(gòu)，并且是一種實施基于VLAN交換的安全網(wǎng)絡(luò)準(zhǔn)入控制解決方案的簡單方法。下圖即為LAN(802.1x)實施網(wǎng)絡(luò)準(zhǔn)入控制行業(yè)框架支持SymantecNetworkAccessControl當(dāng)前既可獨(dú)立于Cisco?NetworkAdmissionControl運(yùn)行，也可與其一起運(yùn)行。此外，它在不久后將能夠與與其它網(wǎng)絡(luò)準(zhǔn)入控制行業(yè)框架協(xié)同工作，包括NetworkAccessProtection和TrustedComputingGroup的受信任網(wǎng)絡(luò)連接標(biāo)準(zhǔn)。Microsoft和Cisco的技術(shù)是以建立可由多家供應(yīng)商使用的協(xié)議和界面為核心的架構(gòu)框架，可以提供全面的網(wǎng)絡(luò)準(zhǔn)入控制解決方案。TrustedComputingGroup是80多家IT業(yè)內(nèi)公司組成的聯(lián)盟，已經(jīng)制定了TrustedNetworkConnect標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)的目標(biāo)和架構(gòu)與Microsoft和Cisco的標(biāo)準(zhǔn)相似，但其旨在實現(xiàn)在任意類型的網(wǎng)絡(luò)硬件基礎(chǔ)架構(gòu)和任何主機(jī)操作系統(tǒng)上運(yùn)行的目標(biāo)。上述所有不同框架通常需要多家不同供應(yīng)商的軟件或硬件，才能構(gòu)建完整的解決方案，往往會導(dǎo)致復(fù)雜程度顯著提高。不過，SymantecNetworkAccessControl不需要上述任何行業(yè)框架技術(shù)，即可提供端到端的有效、全面的網(wǎng)絡(luò)準(zhǔn)入控制。SymantecNetworkAccessControl將仍然支持、增強(qiáng)并與這些行業(yè)框架一起無縫運(yùn)行，使企業(yè)能夠部署最能滿足其需要的技術(shù)。端到端的端點(diǎn)遵從由于面臨著當(dāng)前的破壞力極強(qiáng)、極其危險的威脅，IT管理員不僅必須防御針對特定公司的有組織攻擊，還要防御利用臺式機(jī)和筆記本電腦作為后門侵入點(diǎn)，以影響這些企業(yè)的業(yè)務(wù)運(yùn)作和重要資源的有目標(biāo)攻擊。要維護(hù)企業(yè)IT基礎(chǔ)架構(gòu)及其端點(diǎn)的完整性，企業(yè)不能再允許未經(jīng)檢查訪問網(wǎng)絡(luò)。隨著訪問網(wǎng)絡(luò)的端點(diǎn)數(shù)量和類型激增，企業(yè)必須能夠在連接到資源以前驗證端點(diǎn)的健康狀況，而且在端點(diǎn)連接到資源之后，要對端點(diǎn)進(jìn)行持續(xù)驗證。SymantecNetworkAccessControl是一款端到端解決方案，能夠安全地控制企業(yè)網(wǎng)絡(luò)的訪問、實施端點(diǎn)安全策略，以及與現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)輕松集成。不管端點(diǎn)以何種方式與網(wǎng)絡(luò)相連，SymantecNetworkAccessControl都能夠發(fā)現(xiàn)并評估端點(diǎn)遵從狀態(tài)、設(shè)置適當(dāng)?shù)木W(wǎng)絡(luò)訪問權(quán)限、提供自動補(bǔ)救功能，并持續(xù)監(jiān)視端點(diǎn)以了解遵從狀態(tài)是否發(fā)生了變化。從而可以營造這樣的網(wǎng)絡(luò)環(huán)境：企業(yè)在此環(huán)境中可以大大減少安全事故，提高遵從企業(yè)IT安全策略的級別，并確信已正確啟用端點(diǎn)安全機(jī)制。圖SymantecNetworkAccessControl架構(gòu)SymantecNetworkAccessControl采用多種代理評估技術(shù)并包含多個強(qiáng)制實施選件，而且它獨(dú)立于操作系統(tǒng)和網(wǎng)絡(luò)供應(yīng)商，是當(dāng)今市場上最為靈活且可以互操作的網(wǎng)絡(luò)準(zhǔn)入控制解決方案。另外，極高的靈活性和互操作性讓企業(yè)能夠按照他們需要的方式，在需要的時候方便快捷地部署網(wǎng)絡(luò)準(zhǔn)入控制評估與實施選件的組合。安全管理策略架構(gòu)域及管理員分級根據(jù)組織架構(gòu)劃分組，系統(tǒng)管理員全面管理SEPM服務(wù)器，工作量巨大?？梢岳肧EPM服務(wù)器提供的分組權(quán)限的功能，在SEPM服務(wù)器下，可建立國家電網(wǎng)的各子域。SEP11管理體系中的域指的是一組邏輯上需要接受統(tǒng)一管理的一組用戶群體。不同域之間是完全不干涉的。例如總公司與各自獨(dú)立管理的各子公司之間的關(guān)系（非上下級管理關(guān)系）。如下圖所示：在域下建立管理員用戶，可以給予管理員用戶授權(quán)，主要是有四種權(quán)限：監(jiān)控，策略，客戶端管理和服務(wù)器，（服務(wù)器不可用）。不同的用戶可以給其設(shè)置不同的權(quán)限，例如分公司管理人員，只能管理本公司客戶端的策略應(yīng)用和客戶端的維護(hù)。而系統(tǒng)管理員可以管理域用戶，對其權(quán)限設(shè)置。系統(tǒng)管理員可以訪問所有域，而域管理員只能訪問分配給他的工作域。各個域中的所有數(shù)據(jù)相互之間完全隔離，從而可以防止一個域中的管理員查看另一個域中的數(shù)據(jù)。管理員權(quán)限管理在策略管理服務(wù)器共分為三級管理權(quán)限：第一級為系統(tǒng)管理員，第二級為DOMAIN管理員，第三級為組管理員。如下圖所示：系統(tǒng)管理員權(quán)限：可管理多個站點(diǎn)及每個站點(diǎn)所屬的所有域及域所屬的所有的組；可以添加超級管理員、域、組及所有域和組的管理員；還可以對任意的域和組配置策略，可對域管理員、組管理員賦職權(quán)限。域管理員權(quán)限：可管理某個單個的域及此域所屬的所有的組；可以添加此域的域管理員帳戶及此域所屬的所有的組的策略。組管理員權(quán)限：組管理員在SEPM上是沒有定義的，只是為了管理上更清晰更具有層次而提出的一個虛擬管理員。定義組管理員步驟是在某個域中添加域管理員，將此域管理員的權(quán)限設(shè)置為只能管理域中的某個或多個組，而此管理員只能對某個或多個組進(jìn)行策略配置和日志查看等功能，而沒有添加域管理員的權(quán)限。如果將此管理員賦職于管理域中所有的組并且可以添加其他域管理員，那對于這個組管理員而言就已經(jīng)升級為域管理員。管理權(quán)限策略根據(jù)國家電網(wǎng)的實際情況，為每個地市創(chuàng)建一個域管理員帳號。省中心除了擁有自己的域管理員帳號以外，還擁有能夠管理全局的ADMIN帳號。系統(tǒng)的常見維護(hù)操作，如策略備份與恢復(fù)、站點(diǎn)重裝等只需要有服務(wù)器操作系統(tǒng)管理員帳號即可，不需要全局的ADMIN帳號。組織結(jié)構(gòu)設(shè)計在計算機(jī)全局組下，默認(rèn)只有臨時組，一般管理員都需要全新設(shè)計在SEP11管理系統(tǒng)中自己的組織結(jié)構(gòu)。SEP11管理系統(tǒng)中管理架構(gòu)的建立有兩種方式，一種是手動，一種是和活動目錄同步。手動建立管理架構(gòu)比較容易理解。管理員根據(jù)本單位的組織架構(gòu)設(shè)計，完整的建立一個相同的管理體系架構(gòu)。如下圖所示，公司總部下面有總部、歐洲分部等等分支機(jī)構(gòu)，總部下面有分為工程部、銷售部、財務(wù)部等等。組的創(chuàng)建有以下幾個出發(fā)點(diǎn)：地理位置、部門，或者國家電網(wǎng)自己各機(jī)構(gòu)劃分標(biāo)準(zhǔn)。建立組織結(jié)構(gòu)的另外一種方法是和國家電網(wǎng)的活動目錄同步，這樣不但可以節(jié)省大量的時間去創(chuàng)建目錄，更可以在活動目錄的結(jié)構(gòu)變動后將變動及時同步到SEPM管理服務(wù)器中，實現(xiàn)靈活的管理水平。微軟域就是活動目錄的一種，也是被企事業(yè)使用最多的一種活動目錄。如下圖所示：安全策略防病毒策略防病毒管理服務(wù)器的病毒定義碼更新時間規(guī)劃防病毒客戶端的病毒定義碼更新時間規(guī)劃防病毒客戶端的實時防護(hù)設(shè)置，配置病毒檢測的類型、操作處理方式、警報方式防病毒客戶端的日志記錄時間設(shè)置防病毒客戶端的隔離區(qū)參數(shù)設(shè)置防病毒客戶端的篡改選項設(shè)置防病毒客戶端的調(diào)度掃描設(shè)置，包括掃描的類型和對病毒的處理方式防火墻策略在該策略庫中做了2個策略模版分別為：隔離區(qū)策略、內(nèi)網(wǎng)限制策略。在這些策略模版中包括以下幾個策略：受限的應(yīng)用程序：禁用一些與工作無關(guān)的應(yīng)用程序運(yùn)行。惡意程序黑名單：禁用一些嚴(yán)重的病毒、木馬、惡意程序禁止撥號和無線網(wǎng)絡(luò)連接：防止非法外連互聯(lián)網(wǎng)網(wǎng)址屏蔽策略：杜絕與公網(wǎng)IP的通訊操作系統(tǒng)防護(hù)策略設(shè)備禁用示例USB存儲設(shè)備只讀防止USB木馬傳播防止IE加載惡意插件示例禁止程序運(yùn)行示例注冊表鍵保護(hù)示例文件修改審計示例主機(jī)完整性策略防病毒軟件的安裝與運(yùn)行檢測規(guī)則分發(fā)防病毒軟件示例補(bǔ)丁檢查策略分發(fā)補(bǔ)丁示例卸載指定補(bǔ)丁示例安全加固設(shè)置針對SANtop10所列漏洞的檢查及修復(fù)針對IIS漏洞的檢查及修復(fù)針對Internetexplorer漏洞的檢查及修復(fù)其他常見服務(wù)和應(yīng)用的漏洞常見系統(tǒng)設(shè)置弱點(diǎn)禁止匿名訪問禁止空連接統(tǒng)一桌面管理設(shè)置統(tǒng)一墻紙統(tǒng)一屏保IE主頁設(shè)置IE代理設(shè)置IE安全級別設(shè)置Registrytool限制添加刪除程序限制禁止更改IP設(shè)置時間同步設(shè)置，禁止更改系統(tǒng)時間桌面鎖定、默認(rèn)主頁設(shè)定策略賽門鐵克策略管理：全面、集成的端點(diǎn)安全管理在企業(yè)必須應(yīng)對不斷增加的用戶（其中包括現(xiàn)場員工、遠(yuǎn)程員工、短期員工、訪客、承包商以及其他臨時工作者）數(shù)量問題的同時，也在面臨著不斷增多的嘗試進(jìn)入網(wǎng)絡(luò)的各類威脅。安全問題包括病毒、間諜軟件、零日攻擊和未知漏洞利用，它們都想方設(shè)法通過不遵從制定的公司安全策略的端點(diǎn)設(shè)備造成的缺口進(jìn)入企業(yè)網(wǎng)絡(luò)。賽門鐵克相信，真正的端點(diǎn)安全需要將端點(diǎn)防護(hù)技術(shù)與端點(diǎn)遵從技術(shù)無縫集成。賽門鐵克讓企業(yè)能夠采用更為整體化的端點(diǎn)安全方法，通過將SymantecEndpointProtection（端點(diǎn)防護(hù)）與SymantecNetworkAccessControl（端點(diǎn)遵從）緊密集成來應(yīng)對這一威脅。這些產(chǎn)品能夠無縫地互操作，提供全面、統(tǒng)一的多層端點(diǎn)防護(hù)解決方案，使IT管理員能夠在網(wǎng)絡(luò)準(zhǔn)入、最終用戶工作效率與安全性之間成功實現(xiàn)平衡，同時簡化了端點(diǎn)安全管理。圖：端點(diǎn)安全=端點(diǎn)防護(hù)與端點(diǎn)遵從的無縫結(jié)合一個管理控制臺這類整體管理方法的關(guān)鍵是SymantecEndpointProtectionManager提供的集中創(chuàng)建、部署、管理和報告所有端點(diǎn)安全活動的功能。除SymantecEndpointProtection策略外，管理員通過一個管理控制臺可以設(shè)置控制SymantecNetworkAccessControl的集成組件的各方面策略，如賽門鐵克評估技術(shù)和SymantecEnforcers。策略管理器的企業(yè)級集中管理架構(gòu)可以靈活擴(kuò)展，從而適應(yīng)最高要求的環(huán)境，它為所有管理任務(wù)提供更細(xì)致的控制，同時簡化和統(tǒng)一所有端點(diǎn)安全管理工作，降低了總擁有成本。統(tǒng)一代理對于已經(jīng)部署SymantecEndpointProtection產(chǎn)品的企業(yè)，該代理已經(jīng)包含網(wǎng)絡(luò)準(zhǔn)入控制永久代理功能。換句話說，無需部署額外代理即可實施網(wǎng)