Symantec終端管理和安全解決方案技術(shù)規(guī)范書

Symantec.

Symantec終端治理及安全解決方案

技術(shù)規(guī)范書

賽門鐵克軟件（北京）有限公旬

2020年05月

文檔信息

屬性內(nèi)容

文檔名稱終端治理和安全解決方案技術(shù)規(guī)范書

文檔編號

文檔版本

版本日期

文檔狀態(tài)

制作人:

批閱人:

版本變更記錄

版本修訂日期修訂人描述

1.02008-4-8姚臻

桌面終端標(biāo)準(zhǔn)化治理系統(tǒng)技術(shù)規(guī)范Symantec?

目錄

第1章概述1

第2章產(chǎn)品功能簡介3

2.1端點(diǎn)保護(hù)系統(tǒng)SYMANTECENDPOINTPROTECTION3

2.1.1產(chǎn)品簡介3

2.1.2產(chǎn)品主要優(yōu)勢4

2.1.3主要功能5

2.2終端準(zhǔn)入控制SYMANTECNETWORKACCESSCONTROL116

2.2.1主要優(yōu)勢7

2.2.2主要功能7

2.3SYMANTECALTIRIS（IT生命周期管懂得決方案）8

2.3.1Altiris治理架構(gòu)一NotificationsServer9

2.3.2解決方案的主要市場、技術(shù)定位12

2.3.3解決方案的專利技術(shù)和優(yōu)勢12

2.3.4廠商的完整IT運(yùn)維產(chǎn)品線,產(chǎn)品在該產(chǎn)品線中的位置,與其他產(chǎn)品的關(guān)系……12

第3章終端安全系統(tǒng)體系結(jié)構(gòu)13

3.1治理系統(tǒng)功能組件說明13

3.2系統(tǒng)治理架構(gòu)設(shè)計(jì)16

3.2.1兩級治理體系16

3.2.2二級VS兩級以上的治理17

3.2.3策略的同步與復(fù)制18

3.2.4服務(wù)器的負(fù)載均衡20

桌面終端標(biāo)準(zhǔn)化治理系統(tǒng)技術(shù)規(guī)范Symantec?

3.2.5客戶端的漫游27

3.2.6容災(zāi)與災(zāi)備系統(tǒng)24

3.3準(zhǔn)入控制設(shè)計(jì)28

3.3.1SymantecNetworkAccessControl架構(gòu)28

3.3.2賽門鐵克端點(diǎn)評估技術(shù):靈活性和全面性30

3.3.3永久代理32

3.3.4可分解的代理33

3.3.5遠(yuǎn)程漏洞掃描34

3.3.6SymantecEnforcers：用于排除IT和業(yè)務(wù)中斷的靈活實(shí)施選件35

3.3.7GatewayEnforcer37

3.3.8DHCPEnforcer38

3.3.9LANEnforcer_802.lx39

3.3.10網(wǎng)絡(luò)準(zhǔn)入控制行業(yè)框架支持40

3.3.11端到端的端點(diǎn)遵從41

3.4安全治理策略架構(gòu)42

3.4.1域及治理員分級42

3.4.2治理權(quán)限策略45

3.4.3組織結(jié)構(gòu)設(shè)計(jì)45

3.4.4安全策略47

3.5賽門鐵克策略治理：全面、集成的端點(diǎn)安全治理49

3.5.1一個(gè)治理控制臺50

3.5.2統(tǒng)一代理51

桌面終端標(biāo)準(zhǔn)化治理系統(tǒng)技術(shù)規(guī)范Symantec?

3.5.3排除網(wǎng)絡(luò)準(zhǔn)入控制障礙51

3.6服務(wù)器的硬件配置需求51

第4章終端治理系統(tǒng)體系結(jié)構(gòu)53

4.1治理架構(gòu)53

4.2架構(gòu)闡述57

4.2.1架構(gòu)比較57

422多級治理58

4.2.3Altiris治理服務(wù)器59

4.3治理模式60

4.4治理職能60

4.4.1治理架構(gòu)歸屬60

4.4.2策略制定歸屬61

4.4.3監(jiān)控職能歸屬62

4.5治理權(quán)限62

第5章終端治理技術(shù)標(biāo)準(zhǔn)規(guī)范65

5.1ITILOT基礎(chǔ)架構(gòu)庫）65

5.2遵循的IT業(yè)界標(biāo)準(zhǔn)一166

5.3遵循的IT業(yè)界標(biāo)準(zhǔn)—267

5.4遵循的IT業(yè)界標(biāo)準(zhǔn)—368

III

桌面終端標(biāo)準(zhǔn)化治理系統(tǒng)技術(shù)規(guī)范Symantec?

第1章概述

企業(yè)目前面臨著利用端點(diǎn)設(shè)備中的漏洞，更為隱藏、目標(biāo)性更強(qiáng)、旨在獲取

經(jīng)濟(jì)利益的威逼。多種上述復(fù)雜威逼會躲開傳統(tǒng)的安全解決方案，使企業(yè)容易成

為數(shù)據(jù)竊取和操控的受害者、造成關(guān)鍵業(yè)務(wù)服務(wù)中斷并導(dǎo)致公司品牌和聲譽(yù)受

損。為了提前應(yīng)對這些隱藏多變的新型安全威逼，企業(yè)必須升級他們的端點(diǎn)防護(hù)

措施。

SymantecEndpointProtection讓企業(yè)能夠采用更為有效的整體方法，來保

護(hù)筆記本電腦、臺式機(jī)和服務(wù)器等端點(diǎn)。其中結(jié)合了五種基本安全技術(shù)，可針對

各種已知威逼和未知威逼主動提供最高級別的防護(hù)，這些威逼包括病毒、蠕蟲、特

洛伊木馬、間諜軟件、廣告軟件、Rootkit和零日攻擊。該產(chǎn)品將業(yè)界領(lǐng)先的防病

毒軟件、反間諜軟件和防火墻與先進(jìn)的主動防護(hù)技術(shù)集成到一個(gè)可部署代理中，

通過中央治理控制臺進(jìn)行治理。而且，治理員可以根據(jù)他們的具體需要，輕松禁

用或啟用上述任何技術(shù)。

同時(shí)，IT治理員會竭盡全力確保按照公司策略配置新部署的臺式機(jī)和筆記

本電腦，公司策略包括所有適用的安全更新、批準(zhǔn)的應(yīng)用程序設(shè)置、防病毒軟件、

防火墻設(shè)置以及其它配置設(shè)置。遺憾的是，這些運(yùn)算機(jī)一投入使用，治理員通常

就無法控制這些端點(diǎn)的配置。用戶安裝新軟件、阻止補(bǔ)丁程序更新、禁用防火墻

或者進(jìn)行其它更換，導(dǎo)致設(shè)備乃至整個(gè)IT基礎(chǔ)架構(gòu)面臨著風(fēng)險(xiǎn)。在網(wǎng)吧、賓館

房間或者其它更易受到攻擊或感染的不安全地點(diǎn)，遠(yuǎn)程用戶和移動用戶使用不遵

從筆記本電腦時(shí)會面臨更高的風(fēng)險(xiǎn)。

網(wǎng)絡(luò)準(zhǔn)入控制解決方案使企業(yè)能夠防止此行為影響企業(yè)的IT基礎(chǔ)架構(gòu)。在

任何運(yùn)算機(jī)能夠拜訪生產(chǎn)網(wǎng)絡(luò)及其資源之前，該運(yùn)算機(jī)都必須完全遵從制定的企

業(yè)策略，如安全補(bǔ)丁程序、防病毒軟件和病毒定義的正確版本級別。

但是，盡管他們能夠防止不遵從端點(diǎn)連接到企業(yè)網(wǎng)絡(luò)，但部分企業(yè)仍舊因?yàn)?/p>

各種原因尚未采用網(wǎng)絡(luò)準(zhǔn)入控制解決方案，這些原因包括許多解決方案：

-1-

桌面終端標(biāo)準(zhǔn)化治理系統(tǒng)技術(shù)規(guī)范，Symantec”

＞無法提供有效實(shí)施和修復(fù)

＞增加端點(diǎn)上必須安裝的治理代理的數(shù)量

＞導(dǎo)致IT基礎(chǔ)架構(gòu)過于復(fù)雜并且中斷次數(shù)太多

＞缺少滿足企業(yè)特殊需求的靈活性，如適當(dāng)?shù)貪M足客戶和暫時(shí)工作者的需求

＞無法與整個(gè)端點(diǎn)安全治理基礎(chǔ)架構(gòu)正確集成

SymantecNetworkAccessControl使用端到端的解決方案解決了上述所

有問題，能夠安全地控制對企業(yè)網(wǎng)絡(luò)的拜訪.、實(shí)施端點(diǎn)安全策略以及與現(xiàn)有網(wǎng)絡(luò)

基礎(chǔ)架構(gòu)輕松集成。

桌面終端標(biāo)準(zhǔn)化治理系統(tǒng)技術(shù)規(guī)范Symantec?

第2章產(chǎn)品功能簡介

2.1端點(diǎn)保護(hù)系統(tǒng)SymantecEndpointProtection

2.1.1產(chǎn)品簡介

SymantecEndpointProtection11將SymantecAntiVirus?1與高級威逼防備功

能相結(jié)合，可以為筆記本、臺式機(jī)和服務(wù)器提供無與倫比的惡意軟件防護(hù)能力。

它甚至可以防備最復(fù)雜的攻擊，這些攻擊能夠逃避傳統(tǒng)的安全措施，如rootkit.

零日攻擊和不斷變化的間諜軟件。

SymantecEndpointProtection11不僅提供了世界一流、業(yè)界領(lǐng)先且基于特點(diǎn)

的防病毒和反間諜軟件防護(hù)。它還提供了先進(jìn)的威逼防備能力，能夠保護(hù)端點(diǎn)免

遭目標(biāo)性攻擊以及之前沒有發(fā)覺的未知攻擊侵?jǐn)_。它包括即刻可用的主動防護(hù)技

術(shù)以及治理控制功能；主動防護(hù)技術(shù)能夠自動分析應(yīng)用程序行為和網(wǎng)絡(luò)通信，以

檢測并阻止可疑活動，而治理控制功能使您能夠拒絕對企業(yè)來說被視為高風(fēng)險(xiǎn)的

特定設(shè)備和應(yīng)用程序活動。甚至可以根據(jù)用戶位置阻止特定操作。

這種多層方法可以顯著降低風(fēng)險(xiǎn)，同時(shí)能夠充分保護(hù)企業(yè)資產(chǎn)，從而使企業(yè)

高枕無憂。它是一款功能全面的產(chǎn)品，只要您需要，即可立刻為您提供所需的所

有功能。無論攻擊是由惡意的內(nèi)部人員發(fā)起，還是來自于外部，端點(diǎn)都會受到充

分保護(hù)。

SymantecEndpointProtection11不僅可以增強(qiáng)防護(hù)，而且可以通過降低治理

開銷以及治理多個(gè)端點(diǎn)安全性產(chǎn)品引發(fā)的成本來降低總擁有成本。它提供一個(gè)代

理，通過一個(gè)治理控制臺即可進(jìn)行治理。從而不僅簡化了端點(diǎn)安全治理，而且還

提供了杰出的操作效能，如單個(gè)軟件更新和策略更新、統(tǒng)一的集中報(bào)告及一個(gè)授

權(quán)許可和保護(hù)計(jì)劃。

SymantecEndpointProtection11易于實(shí)施和部署。賽門鐵克還提供廣泛的咨

詢、技術(shù)培訓(xùn)和支持服務(wù)，可以指導(dǎo)企業(yè)完成解決方案的遷移、部署和治理，并

桌面終端標(biāo)準(zhǔn)化治理系統(tǒng)技術(shù)規(guī)范,Symantec”

幫助您實(shí)現(xiàn)投資的全部價(jià)值。對于期望外包安全監(jiān)控和治理的企業(yè)來說，賽門鐵

克還提供托管安全服務(wù)，以提供實(shí)時(shí)安全防護(hù)。

單個(gè)代理和

結(jié)果

單個(gè)控制臺

增強(qiáng)的防護(hù)、

控制和

可管理性

降低成本、

復(fù)雜性和

風(fēng)險(xiǎn)暴露幾率

2.1.2產(chǎn)品主要優(yōu)勢

□安全

全面的防護(hù)一集成一流的技術(shù)，可以在安全威逼滲透到網(wǎng)絡(luò)之前將其阻

止，即便是由最狡猾的未知新攻擊者發(fā)起的攻擊也不例外。以實(shí)時(shí)方式檢測并阻

止惡意軟件，包括病毒、蠕蟲、特洛伊木馬、間諜軟件、廣告軟件和rootkit。

主動防護(hù)一全新的主動威逼掃描使用特殊的賽門鐵克技術(shù)為未知應(yīng)用程

序的良好行為和不良行為評分，從而無需創(chuàng)建基于規(guī)則的配置即可增強(qiáng)檢測能力

并減少誤報(bào)。

業(yè)界最佳的威逼趨勢情報(bào)一賽門鐵克的防護(hù)機(jī)制使用業(yè)界領(lǐng)先的賽門鐵

克全球情報(bào)網(wǎng)絡(luò)，可以提供有關(guān)整個(gè)互聯(lián)網(wǎng)威逼趨勢的全面視圖。借助此情報(bào)可

以采取相應(yīng)的防護(hù)措施，并且可以幫助您防備不斷變化的攻擊，從而使您高枕無

憂。

□簡單

單一代理，單一控制臺一通過一個(gè)直觀用戶界面和基于Web的圖形報(bào)告

桌面終端標(biāo)準(zhǔn)化治理系統(tǒng)技術(shù)規(guī)范，Symantec”

將全面的安全技術(shù)集成到單一代理和集中的治理控制臺中。能夠在整個(gè)企業(yè)中設(shè)

置并實(shí)施安全策略，以保護(hù)您的重要資產(chǎn)。添加SymantecNetworkAccessControl

11支持時(shí)，可以簡化治理、降低系統(tǒng)資源使用率，并且無需其它代理。通過購

買許可證可以在代理和治理控制臺上自動啟用SymantecNetworkAccessControl

11功能。

易于部署一由于它只需要一個(gè)代理和治理控制臺，并且可以利用企業(yè)現(xiàn)有

的安全和IT投資進(jìn)行操作，因此，SymantecEndpointProtection11易于實(shí)施和

部署。對于期望外包安全監(jiān)控和治理的企業(yè)，賽門鐵克提供托管安全服務(wù)，以提

供實(shí)時(shí)安全防護(hù)。

降低擁有成本-SymantecEndpointProtection11通過降低治理開銷以及治

理多個(gè)端點(diǎn)安全產(chǎn)品引發(fā)的成本，提供了較低的總體擁有成本。這種保證端點(diǎn)安

全的統(tǒng)一方法不僅簡化了治理，而且還提供了杰出的操作效能，如單個(gè)軟件更新

和策略更新、統(tǒng)一的集中報(bào)告及一個(gè)授權(quán)許可和保護(hù)計(jì)劃。

□無縫

易于安裝、配置和治理一SymantecEndpointProtection),1使您可以輕松啟

用、禁用和配置所需的技術(shù)，以適應(yīng)您的環(huán)境。

SymantecNetworkAccessControl11就緒一每個(gè)端點(diǎn)都會進(jìn)入"Symantec

NetworkAccessControl11就緒”狀態(tài)，從而無需部署其它網(wǎng)絡(luò)拜訪控制端點(diǎn)代

理軟件。

利用現(xiàn)有安全技術(shù)和IT投資一可以與其它領(lǐng)先防病毒供應(yīng)商、防火墻、

IPS技術(shù)和網(wǎng)絡(luò)拜訪控制基礎(chǔ)架構(gòu)協(xié)作。還可以與領(lǐng)先的軟件部署工具、補(bǔ)丁治

理工具和安全信息治理工具協(xié)作。

2.1.3主要功能

防病毒和反間諜軟件一提供了無可匹敵的一流惡意軟件防護(hù)能力，包括市

場領(lǐng)先的防病毒防護(hù)、增強(qiáng)的間諜軟件防護(hù)、新rootkit防護(hù)、減少內(nèi)存使用率

和全新的動態(tài)性能調(diào)整，以保持用戶的工作效率。

桌面終端標(biāo)準(zhǔn)化治理系統(tǒng)技術(shù)規(guī)范，Symantec”

網(wǎng)絡(luò)威逼防護(hù)一提供基于規(guī)則的防火墻引擎和一樣漏洞利用禁止功能

（GEB）,該功能可以在惡意軟件進(jìn)入系統(tǒng)前將其阻止在外。

主動威逼防護(hù)一針對不可見的威逼（即零日威逼）提供防護(hù)。包括不依靠

特點(diǎn)的主動威逼掃描。

單個(gè)代理和單個(gè)治理控制臺一在一個(gè)代理上提供防病毒、反間諜軟件、桌

面防火墻、IPS、設(shè)備控制和網(wǎng)絡(luò)拜訪控制（需要購買賽門鐵克網(wǎng)絡(luò)拜訪控制許

可證）一通過單個(gè)治理控制臺即可進(jìn)行全面治理。

2.2終端準(zhǔn)入控制SymantecNetworkAccess

Control11

SymantecNetworkAccessControl11是全面的端到端網(wǎng)絡(luò)拜訪控制解決方

案，通過與現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)架構(gòu)相集成，使企業(yè)能夠安全有效地控制對企業(yè)網(wǎng)絡(luò)的

拜訪。不管端點(diǎn)以何種方式與網(wǎng)絡(luò)相連，SymantecNetworkAccessControl11都

能夠發(fā)覺并評估端點(diǎn)遵從狀態(tài)、設(shè)置適當(dāng)?shù)木W(wǎng)絡(luò)拜訪權(quán)限、根據(jù)需要提供補(bǔ)救功

能，并連續(xù)監(jiān)視端點(diǎn)以了解遵從狀態(tài)是否發(fā)生了變化。從而可以營造這樣的網(wǎng)絡(luò)

環(huán)境：企業(yè)可以在此環(huán)境中大大減少安全事故，同時(shí)提高企業(yè)IT安全策略的遵

從級別。

SymantecNetworkAccessControl11使企業(yè)可以按照目標(biāo)經(jīng)濟(jì)有效地部署和

治理網(wǎng)絡(luò)拜訪控制。同時(shí)對端點(diǎn)和用戶進(jìn)行授權(quán)在當(dāng)今的運(yùn)算環(huán)境中，企業(yè)和網(wǎng)

絡(luò)治理員面臨著嚴(yán)肅的挑戰(zhàn)，即為不斷擴(kuò)大的用戶群提供拜訪企業(yè)資源的權(quán)限。

其中包括現(xiàn)場和遠(yuǎn)程員工，以及訪客、承包商和其他暫時(shí)工作人員。現(xiàn)在，保護(hù)

網(wǎng)絡(luò)環(huán)境完整性的任務(wù)面臨著前所未有的挑戰(zhàn)。如今無法再接受對網(wǎng)絡(luò)提供未經(jīng)

檢查的拜訪。隨著拜訪企業(yè)系統(tǒng)的端點(diǎn)數(shù)量和類型激增，企業(yè)必須能夠在連接到

資源以前驗(yàn)證端點(diǎn)的健康狀況，而且在端點(diǎn)連接到資源之后，要對端點(diǎn)進(jìn)行連續(xù)

驗(yàn)證。SymantecNetworkAccessControl11可以確保在答應(yīng)端點(diǎn)連接到企業(yè)

LAN、WAN、WLAN或VPN之前遵從IT策略。

桌面終端標(biāo)準(zhǔn)化治理系統(tǒng)技術(shù)規(guī)范Symantec?

2.2.1主要優(yōu)勢

部署SymantecNetworkAccessControl11的企業(yè)可以切身

體驗(yàn)到眾多優(yōu)勢。其中包括：

,減少惡意代碼（如病毒、蠕蟲、間諜軟件和其它形式的犯罪

軟件）的傳播

/通過對拜訪企業(yè)網(wǎng)絡(luò)的不受治理的端點(diǎn)和受治理的端點(diǎn)加

強(qiáng)控制，降低風(fēng)險(xiǎn)

/為最終用戶提供更高的網(wǎng)絡(luò)可用性，并減少服務(wù)中斷的情形

/通過實(shí)時(shí)端點(diǎn)遵從數(shù)據(jù)獲得可驗(yàn)證的企業(yè)遵從信息

/企業(yè)級集中治理架構(gòu)將總擁有成本降至最低

/驗(yàn)證對防病毒軟件和客戶端防火墻這樣的端點(diǎn)安全產(chǎn)品投

資是否得當(dāng)

222主要功能

SymantecNetworkAccessControl流程

網(wǎng)絡(luò)拜訪控制流程

桌面終端標(biāo)準(zhǔn)化治理系統(tǒng)技術(shù)規(guī)范，Symantec”

網(wǎng)絡(luò)拜訪控制是一個(gè)流程，涉及對所有類型的端點(diǎn)和網(wǎng)絡(luò)進(jìn)行治理。此流程

從連接到網(wǎng)絡(luò)之前開始，在整個(gè)連接過程中連續(xù)進(jìn)行。與所有企業(yè)流程一樣，策

略可以作為評估和操作的基礎(chǔ)。

網(wǎng)絡(luò)拜訪控制流程包括以下四個(gè)步驟：

1.發(fā)覺和評估端點(diǎn)。此步驟在端點(diǎn)連接到網(wǎng)絡(luò)拜訪資源之前執(zhí)行。通過與

現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)架構(gòu)相集成，同時(shí)使用智能代理軟件，網(wǎng)絡(luò)治理員可以確保按照最

低IT策略要求對連接到網(wǎng)絡(luò)的新設(shè)備進(jìn)行評估。

2.設(shè)置網(wǎng)絡(luò)拜訪權(quán)限。只有對系統(tǒng)進(jìn)行評估并確認(rèn)其遵從IT策略后，才

準(zhǔn)予該系統(tǒng)進(jìn)行全面的網(wǎng)絡(luò)拜訪。對于不遵從IT策略或不滿足企業(yè)最低安全要

求的系統(tǒng)，將對其進(jìn)行隔離，限制或拒絕其對網(wǎng)絡(luò)進(jìn)行拜訪。

3.對不遵從的端點(diǎn)采取補(bǔ)救措施。對不遵從的端點(diǎn)自動采取補(bǔ)救措施使治

理員能夠?qū)⑦@些端點(diǎn)快速變?yōu)樽駨臓顟B(tài)，隨后再改變網(wǎng)絡(luò)拜訪權(quán)限。治理員可以

將補(bǔ)救過程完全自動化，這樣會使該過程對最終用戶完全透亮；也可以將信息提

供給用戶，以便進(jìn)行手動補(bǔ)救。

4.主動監(jiān)視遵從狀況。必須時(shí)刻遵從策略。因此，SymantecNetworkAccess

Control11以治理員設(shè)置的時(shí)間間隔主動監(jiān)視所有端點(diǎn)的遵從狀況。如果在某一

時(shí)刻端點(diǎn)的遵從狀態(tài)發(fā)生了變化，那么該端點(diǎn)的網(wǎng)絡(luò)拜訪權(quán)限也會隨之變化。

2.3SymantecAltiris（IT■生命周期管懂得決方案）

AltirisIT生命周期管懂得決方案具有多重系統(tǒng)治理功能，企業(yè)能隨著新

的要求或新的系統(tǒng)治理需求部署新的功能，隨著企業(yè)的發(fā)展而不斷擴(kuò)充。每個(gè)解

決方案以模塊化的方式集中安裝在Altiris服務(wù)器上，通過安裝在客戶端的

Agent（代理）的交互式來實(shí)現(xiàn)所有功能。

桌面終端標(biāo)準(zhǔn)化治理系統(tǒng)技術(shù)規(guī)范，Symantec?

ActiveDirectory

HPOpenView

MicrosoftSMS

RemedyHelpDesk

口WebReports

Connectors

SNMPWebConsole

Solutions

Email.Pager.InventorySolution

OtherActionDeploymentSolution

NotificationPoliciesPatchManagement

SoftwareDelivery

RecoverySolution

HPClientManager

AssetControl

口ContractManagement

AlertManagerTCOManagement

HelpdeskSolution

1三

AltirisServerAltirisAltiris

DatabaseWindowsAltiris

InventorySolutionn3

妻Recovery

DeploymentSolutionPackage

ServerDeploymentServer

PatchManagementServer*

SoftwareDelivery

AltirisAgentWindowsandLinux*

Windows,Linux,UNIX,

Macintosh.Palm,PocketPC

2.3.1Altiris治理架構(gòu)一NotificationsServer

NotificationServer是altiris所有模塊化解決方案的基礎(chǔ)架構(gòu)，所有模

塊都基于此。

其可擴(kuò)充治理架構(gòu)——ExtensibleManagementArchitecture?(EMA?)為客

戶提供了一個(gè)統(tǒng)一集中又具充分?jǐn)U展能力的治理平臺。通過Notification

Server,altriris具備治理復(fù)雜網(wǎng)絡(luò)環(huán)境的能力--無論是LAN還是WAN。

其功能特性如下：

1、完全為BS結(jié)構(gòu)，Web方式治理，統(tǒng)一集中的控制臺

Altiris基于Windows.Net技術(shù)，采用SQLServer數(shù)據(jù)庫，符合主流的發(fā)

展趨勢。

桌面終端標(biāo)準(zhǔn)化治理系統(tǒng)技術(shù)規(guī)范Symantec?

2、可以按角色和區(qū)域進(jìn)行多級分布式治理

其角色安全(RoleBase)和區(qū)域安全(ScopeBase)特性滿足大型企業(yè)客戶對治

理的需求

3、治理多平臺能力

可以治理Windows,Linux,Unix,Mac等多種軟硬件平臺，而無須采用第三方產(chǎn)

品。

4、強(qiáng)大的與第三方產(chǎn)品集成能力

企業(yè)資源共享是企業(yè)IT總體規(guī)劃的重要內(nèi)容，altiris通過其連接器解決方

案(ConnectorSolution)提供了多種連接器(Connector)—AD,HP

OpenView,IBMDirector,SMS,RemedyHelpdesk,Oracle甚至SAP。

通過ODBC,OLEDB,altiris還可以與財(cái)務(wù)軟件、HR軟件進(jìn)行資源數(shù)據(jù)共享。

5、強(qiáng)大的Web報(bào)表功能

Altiris不但提供了數(shù)百個(gè)已經(jīng)預(yù)定義的Web報(bào)表,還可以讓企業(yè)自定義符合

企業(yè)需求的報(bào)表。

6、PackageServer(分布式服務(wù)器)

-10-

桌面終端標(biāo)準(zhǔn)化治理系統(tǒng)技術(shù)規(guī)范Symantec?

PackageServer功能使得altiris可以應(yīng)用于任何一種企業(yè)架構(gòu)，無論復(fù)雜

還是簡單。并且與AD集成。

同時(shí)PackageServer不需要額外付費(fèi)，對于有復(fù)雜結(jié)構(gòu)WAN環(huán)境企業(yè)可以節(jié)

省很大一筆費(fèi)用。

7、通過工業(yè)標(biāo)準(zhǔn)的SNMP,可以治理基于SNMP設(shè)備

Altiris不但可以治理PC等設(shè)備，還可以治理網(wǎng)絡(luò)設(shè)備

8、基于策略的治理

Altiris基于策略的治理可以大大減少重復(fù)性的治理工作環(huán)節(jié)，自動化操作能

力是IT治理的重要特點(diǎn)。

9、altirisNotificationServer是免費(fèi)的

AltirisNotificationServer不需要額外的許可證費(fèi)用，企業(yè)可以自由任意

的擴(kuò)展治理架構(gòu)

10、強(qiáng)大的合作伙伴支持能力

桌面終端標(biāo)準(zhǔn)化治理系統(tǒng)技術(shù)規(guī)范，Symantec”

Altriris支持業(yè)界主流的運(yùn)算機(jī)廠商，并為他們開發(fā)了專門針對硬件底層的

治理工具，如IBM服務(wù)器、Dell服務(wù)器和客戶端、HP服務(wù)器和客戶端，為

客戶提供更深層次的治理工具，這是其他治理軟件很難具有的。

綜上所述，altiris治理架構(gòu)在廣度和深度上都是極具優(yōu)勢。

2.3.2解決方案的主要市場、技術(shù)定位

Altiris解決方式適合于擁有幾千臺、數(shù)萬臺甚至數(shù)十萬臺運(yùn)算機(jī)的各種規(guī)

模的企業(yè)組織，這些企業(yè)組織須要有效降低IT治理成本和提高IT治理效率，以

求得良好的投資回報(bào)率，促進(jìn)企業(yè)業(yè)務(wù)發(fā)展與擴(kuò)大

Altiris解決方案在商業(yè)組織、政府機(jī)構(gòu)、教育等幾乎所有領(lǐng)域都擁有眾多

成功案例。

2.3.3解決方案的專利技術(shù)和優(yōu)勢

Altiris公司擁有眾多專利技術(shù)：recovery/deployment/wise

2.3.4廠商的完整IT運(yùn)維產(chǎn)品線，產(chǎn)品在該產(chǎn)品線中的

位置，與其他產(chǎn)品的關(guān)系

Altiris擁有客戶端治理、服務(wù)器治理、資產(chǎn)治理、安全治理完整的治理工具

集，在同類產(chǎn)品中擁有最完整的產(chǎn)品構(gòu)成，在技術(shù)功能處于領(lǐng)先者地位。

桌面終端標(biāo)準(zhǔn)化治理系統(tǒng)技術(shù)規(guī)范Symantec?

第3章終端安全系統(tǒng)體系結(jié)構(gòu)

3.1治理系統(tǒng)功能組件說明

終端安全治理系統(tǒng)包括三部分組件：

□策略治理服務(wù)器

策略服務(wù)器實(shí)現(xiàn)所有安全策略、準(zhǔn)入控制規(guī)則的治理、設(shè)定和監(jiān)控，是整個(gè)

終端安全標(biāo)準(zhǔn)化治理的核心。通過使用控制臺治理員可以創(chuàng)建和治理各種策略、

將策略分配給代理、查看日志并運(yùn)行端點(diǎn)安全活動報(bào)告。通過圖形報(bào)告、集中日

志記錄和閾值警報(bào)等功能提供全面的端點(diǎn)可見性。統(tǒng)一控制臺簡化了端點(diǎn)安全治

理，提供集中軟件更新、策略更新、報(bào)告等功能。

策略治理服務(wù)器可以完成以下任務(wù)：

?終端分組與權(quán)限治理；

根據(jù)地理位置、業(yè)務(wù)屬性等條件對終端進(jìn)行分組治理，對于不同的組可

以制定專門的組治理員，并進(jìn)行權(quán)限控制。

?策略治理與發(fā)布；

策略包括自動防護(hù)策略、手動掃描的策略、手動掃描的策略、病毒、木

馬防護(hù)策略、惡意腳本防護(hù)策略、電子郵件防護(hù)策略（包括outlook、lotus

以及internet郵件）、廣告軟件防護(hù)策略、前瞻性威逼防護(hù)策略、防火墻

策略、入侵防護(hù)策略、硬件保護(hù)策略、軟件保護(hù)策略、升級策略、主機(jī)

完整性策略等

?安全內(nèi)容更新下發(fā)

安全內(nèi)容更新包括病毒定義、防火墻規(guī)則、入侵防護(hù)定義、主動威逼防

護(hù)規(guī)則等

?日志收集和報(bào)表出現(xiàn)

可以生成日報(bào)/周報(bào)/月報(bào)，報(bào)告種類包括：風(fēng)險(xiǎn)報(bào)表（以服務(wù)器組、父服

務(wù)器、客戶端組、運(yùn)算機(jī)、IP、用戶名為條件識別感染源、當(dāng)前環(huán)境下

桌面終端標(biāo)準(zhǔn)化治理系統(tǒng)技術(shù)規(guī)范，Symantec”

高風(fēng)險(xiǎn)列表、按類型劃分的安全風(fēng)險(xiǎn)）、運(yùn)算機(jī)狀態(tài)報(bào)表（內(nèi)容定義分發(fā)、

產(chǎn)品版本列表、未接受治理客戶端列表）、掃描狀態(tài)報(bào)表、審計(jì)報(bào)表、軟

件和硬件控制報(bào)表、網(wǎng)絡(luò)威逼防護(hù)報(bào)表、系統(tǒng)報(bào)表、安全遵從性報(bào)表。

?強(qiáng)降服務(wù)器治理和策略下發(fā)

對于交換機(jī)強(qiáng)降服務(wù)器和網(wǎng)關(guān)強(qiáng)制設(shè)備進(jìn)行統(tǒng)一的治理和策略定義。

?終端代理安裝包的保護(hù)和升級；

□終端代理（包括終端保護(hù)代理和準(zhǔn)入控制代理）

終端安全治理系統(tǒng)需要在所有的終端上部署安全代理軟件，安全代理是整個(gè)

企業(yè)網(wǎng)絡(luò)安全策略的執(zhí)行者，它安裝在網(wǎng)絡(luò)中的每一臺終端運(yùn)算機(jī)上。安全代理

實(shí)現(xiàn)端點(diǎn)保護(hù)和準(zhǔn)入控制功能。

端點(diǎn)保護(hù)功能包括：

?防病毒和反間諜軟件一提供病毒防護(hù)、間諜軟件防護(hù)、rootkit

防護(hù)。

?網(wǎng)絡(luò)威逼防護(hù)一提供基于規(guī)則的防火墻引擎和一樣漏洞利用

禁止功能（GEB）,該功能可以在惡意軟件進(jìn)入系統(tǒng)前將其阻止在外。

?主動威逼防護(hù)一針對不可見的威逼（即零日威逼）提供防護(hù)。

包括不依靠特點(diǎn)的主動威逼掃描。

端點(diǎn)準(zhǔn)入控制功能包括：

?主機(jī)完整性檢查和自動修復(fù)：檢查終端運(yùn)算機(jī)上防火墻、防病毒

軟件、反間諜軟件、補(bǔ)丁程序、ServicePack或其他必需應(yīng)用程序是否符

合要求，具體內(nèi)容可以是對防病毒程序的安裝，windows補(bǔ)丁安裝，客

戶端啟用強(qiáng)口令策略，關(guān)閉有威逼的服務(wù)與端口。因?yàn)橹鳈C(jī)完整性檢查

支持對終端的注冊表檢查與設(shè)置，進(jìn)程治理，文件檢查，下載與啟動程

序等，所以可通過設(shè)置自定義的策略來滿足幾乎所有對客戶端的安全策

略與治理要求。

?強(qiáng)制：當(dāng)終端的安全設(shè)置不能滿足企業(yè)基準(zhǔn)安全策略的需求，可

以限制終端的網(wǎng)絡(luò)拜訪，如只能拜訪修復(fù)服務(wù)器進(jìn)行自動修復(fù)操作。

以上兩部分功能由一個(gè)代理軟件完成，接受策略治理服務(wù)器的統(tǒng)一治理。

-14-

桌面終端標(biāo)準(zhǔn)化治理系統(tǒng)技術(shù)規(guī)范Symantec?

□強(qiáng)制認(rèn)證服務(wù)器

對于那些未安裝終端代理的終端或者私自卸載代理軟件的終端，必需通過網(wǎng)

絡(luò)強(qiáng)制的方式進(jìn)行控制。這需要部署相關(guān)的強(qiáng)降服務(wù)器(LANEnforcer)。

賽門鐵克LANEnforcer802.IX是帶外802.IXRADIUS代懂得決方案，它

與支持802.IX標(biāo)準(zhǔn)的所有主要交換供應(yīng)商協(xié)同工作。幾乎所有有線以太網(wǎng)和無

線以太網(wǎng)交換機(jī)制造商都支持IEEE802.lx準(zhǔn)入控制協(xié)議。LANEnforcer使用

該鏈接級協(xié)議評估端點(diǎn)遵從性，提供自動問題修復(fù)并答應(yīng)遵從系統(tǒng)進(jìn)入企業(yè)網(wǎng)

絡(luò)。在實(shí)施期間，端點(diǎn)上的賽門鐵克代理使用802.lx將遵從信息傳送到網(wǎng)絡(luò)交

換機(jī)上,然后將此信息中繼到LANEnforcero如果端點(diǎn)不遵從策略,LANEnforcer

會將其放入隔離網(wǎng)絡(luò)，在此對其進(jìn)行修復(fù)，而不會影響任何遵從端點(diǎn)。Symantec

NetworkAccessControl11補(bǔ)救端點(diǎn)并將其轉(zhuǎn)換到遵從狀態(tài)后，802.lx協(xié)議將試

圖對用戶重新進(jìn)行身份驗(yàn)證，并為其授予網(wǎng)絡(luò)拜訪權(quán)限。

LANEnforcer可以參與現(xiàn)有AAA身份治理架構(gòu)以便對用戶和端點(diǎn)進(jìn)行身

份驗(yàn)證，對于只要求進(jìn)行端點(diǎn)遵從驗(yàn)證的環(huán)境，也可以充當(dāng)獨(dú)立的RADIUS解

決方案(也稱為透亮模式)。在透亮模式下,治理員只需將交換機(jī)配置為使用LAN

Enforcer作為RADIUS服務(wù)器，就能讓設(shè)備根據(jù)遵從所定義策略的情形對端點(diǎn)

進(jìn)行身份驗(yàn)證。在透亮模式下運(yùn)行LANEnforcer無需額外基礎(chǔ)架構(gòu)，并且是一

種實(shí)施基于VLAN交換的安全網(wǎng)絡(luò)準(zhǔn)入控制解決方案的簡單方法。

桌面終端標(biāo)準(zhǔn)化治理系統(tǒng)技術(shù)規(guī)范Symantec?

SymantecNetwork

AccessControl

強(qiáng)制代理

本地用戶

透明橫式主機(jī)完整性規(guī)則狀態(tài)

防病毒軟件已啟用

客戶端進(jìn)行HI通過：0

交換機(jī)將數(shù)據(jù)LANEnforcer

連接，并通過EAP打開交換機(jī)上的端口防病毒軟件已更新

轉(zhuǎn)發(fā)到檢查策略并0

發(fā)送登錄、遵從和失?。?/p>

LANEnforcer檢查遵從狀態(tài)HI個(gè)人防火墻已啟用0

策略數(shù)據(jù)指定到隔離VLAN

ServicePack已更新0

補(bǔ)丁程序已更新0

3.2系統(tǒng)治理架構(gòu)設(shè)計(jì)

系統(tǒng)架構(gòu)的設(shè)計(jì)取決與治理方式、終端數(shù)量及分布、網(wǎng)絡(luò)帶寬等條件。舉薦

終端安全治理平臺采用“統(tǒng)一控制，二級治理”架構(gòu)，這樣的架構(gòu)與現(xiàn)有行政治

理模式相匹配一一益于提高治理效率，同時(shí)又能體現(xiàn)“統(tǒng)一規(guī)劃，分級集中治

理”的思想，讓各地市分擔(dān)省公司的運(yùn)行保護(hù)負(fù)擔(dān)。

3.2.1兩級治理體系

終端接入控制平臺按照兩級架構(gòu)設(shè)計(jì)，總部一省公司如下圖:

桌面終端標(biāo)準(zhǔn)化治理系統(tǒng)技術(shù)規(guī)范Symantec?

在總部設(shè)立全國范疇的終端接入控制平臺中心，制定并下發(fā)統(tǒng)一的全網(wǎng)治理

策略。這些策略主要以策略模版庫的形式提供。這些策略通過同步與復(fù)制的機(jī)制，

在一二級服務(wù)器間保持一致。二級治理平臺上策略的變更也都會同步回一級控制

平臺，在一級治理平臺上可以預(yù)覽任何一個(gè)二級甚至三級服務(wù)器上的策略應(yīng)用情

形。

3.2.2二級VS兩級以上的治理

在421節(jié)中，我們設(shè)計(jì)的是一個(gè)二級治理體系。通過復(fù)制關(guān)系實(shí)現(xiàn)上下級

之間的策略同步。根據(jù)需要，我們可以實(shí)現(xiàn)二級以上的治理關(guān)系。例如，國家電

網(wǎng)在總部實(shí)現(xiàn)一級治理平臺，在各省中心實(shí)現(xiàn)二級治理平臺，在一個(gè)大的地市實(shí)

現(xiàn)三級治理架構(gòu)，如下圖所示：

桌面終端標(biāo)準(zhǔn)化治理系統(tǒng)技術(shù)規(guī)范Symantec?

理論上SEP11的治理架構(gòu)層次是無限多，但是在實(shí)際部署中，我們舉薦國

家電網(wǎng)的SEP架構(gòu)設(shè)計(jì)控制在三層以下。其一可以減少治理上的復(fù)雜度，包括

架構(gòu)的設(shè)計(jì)，人員的調(diào)配設(shè)置，權(quán)限的分級下發(fā)設(shè)計(jì)；另外也避免了更多的硬件

成本支出。

3.2.3策略的同步與復(fù)制

復(fù)制就是不同地點(diǎn)或站點(diǎn)間的服務(wù)器系統(tǒng)通過特別拷貝來共享數(shù)據(jù)的過程。

終端接入控制平臺的策略同步復(fù)制在邏輯上和微軟域策略的同步復(fù)制類似，它并

非簡單的數(shù)據(jù)庫間復(fù)制關(guān)系，它內(nèi)部包含有周全的防止策略沖突的處理。通過策

略復(fù)制與同步，不同地點(diǎn)的用戶都工作在本地的副本之上，然后同步他們之間的

變更。在終端接入控制平臺上，策略復(fù)制還可以將一個(gè)治理服務(wù)器上的變更同步

到另一個(gè)數(shù)據(jù)庫上，實(shí)現(xiàn)冗余備份。通過策略復(fù)制，終端接入控制平臺能夠支持

多級治理，以及無限的終端數(shù)量擴(kuò)展能力，從而滿足國家電網(wǎng)終端節(jié)點(diǎn)規(guī)模不斷

擴(kuò)大的需求。

桌面終端標(biāo)準(zhǔn)化治理系統(tǒng)技術(shù)規(guī)范Symantec?

“統(tǒng)一控制”體現(xiàn)在通過一個(gè)統(tǒng)一控制臺治理所有服務(wù)的功能，省中心治理員

可通過整體方法來治理端點(diǎn)安全。

tlDSyaantecEndpointProtectionlanager控制臺

卬Symantec?EndpointProtectionManager刷新關(guān)于幫助注銷

_U一般用戶

a聞

^

主頁

-

OCbTemporary客戶端詳細(xì)信息安裝軟件包

h

地市1

r策略繼承為開

靜一般用戶

3F7從父組"地市1"繼承策略和設(shè)置

監(jiān)視翳-G臺式機(jī)

-竭管記本終端

與位理無關(guān)的第乘與雙冠

」爵領(lǐng)導(dǎo)

熊乘應(yīng)置

赭II

O一她由2自定義入侵防護(hù)關(guān)LiveUpdate內(nèi)存策略陵》

報(bào)告朝

一地市3系統(tǒng)儂定美客戶端日志設(shè)青

力

一她花4腳絡(luò)應(yīng)用檢庫監(jiān)拄關(guān)通信沒到

竭?！鲆?guī)設(shè)設(shè)

一地幫5

力

n一

定于位理的條咕與設(shè)理

策略地市64,

朝取下位■的咳■:默認(rèn)電

一地市7E

-伸走于位出的熊方：添加擊哧.

，

一地市8

一新防病毒和防間諜軟伴策略蚯》

力

一地市9魚新防火墻策略任務(wù)》

篇

客戶端一

省公司e人侵防護(hù)策略皿》

務(wù)□

卻禁止病混傳騰

任