Symantec网络安全及管理解决实施方案书V30

广西玉柴端点安全和端点管理方案工程建议书用 户：广西玉柴方案供应商：赛门铁克软件 (Symantec>广州分公司设计工程师：日 期：2008年3月1/43目 录一.工程背景3二.企业整体安全分析 42．1建立集中系统的防病毒体系 42．2加强网络安全防护 52．3加强网络应用程序控制 62．4移动用户安全管理 7.企业网络安全与数据安全解决方案93．1实现目标93．2设计思路93．3终端安全解决方案123.3.1端点安全系统结构123.3.2SEP系统组成与功能143.3.3SEP终端安全解决方案说明183.4.SEP11.0主要优势343.5SEP11.0主要功能35四.端点管理解决方案 374.1．Altiris解决方案374.2．服务器架构方式374.3．ClientManagementSuiteLevel1(客户端管理套件1>38五.工程实施：415．1 服务范围415．2 实施方法和实施计划 415．3 赛门铁克技术服务指南 425．4 投资回报率442/43一.工程背景为了贯彻落实广西玉柴信息化管理标准和管理规范，以及公司自身运行管理的需求，广西玉柴准备在网管中心实施服务器数据安全和终端安全管理工程，以保证公司网络、计算机以及信息资源的安全。b5E2RGbCAP现代企业网络建立在开放的网络环境中。“开放”促进了企业的发展，也给企业带来不得不认真对待的各种“开放后遗症”：漫布在开放网络环境中形形色色的网络威胁随时随地可能造成企业网络的瘫痪；企业员工毫不顾忌使用与工作无关的网络应用，如聊天工具，网络游戏等，给企业管理带来困难，给企业发展造成不利影响；企业移动用户越来越多、越来越频繁地在企业内部网络环境和企业外部网络环境之间切换，造成以企业网络边界防护技术，如防火墙、入侵检测、反病毒和身份认证技术应用为特征的传统企业网络安全防护已经不足以完成全面保护企业网络安全的作用，如何有效地对终端进行管理已经成为一个亟待解决的课题。p1EanqFDPw广西玉柴希望通过该工程的实施建立起一个数据的安全机制和有效的终端计算机防护和控制体系。加强终端计算机本身的防御能力，并且更好的执行公司的信息安全策略和要求，对于公司的信息资产的流向能够合理、有效的进行管理、控制和审计。对终端计算机进行安全控制是信息安全管理工作的基础，只有在全企业范围内实现了对计算机网络接入的控制，企业的信息安全工作才能得到真正的监控和实施，信息系统的基础架构－网络的安全才能从更本上得到保证。 DXDiTa9E3d3/43二.企业整体安全分析下面，针对广西玉柴的的企业网络环境，主要从以下几个方面展开分析。建立客户端防病毒体系，加强防间谍软件的功能加强网络安全防护，加强企业网络应用程序和设备的控制，移动用户安全管理数据的安全性，如 SAP数据库的安全。2．1建立集中系统的防病毒体系近年来，随着信息系统自身的飞速发展和具有黑客攻击特征的新类型病毒的大量出现，广西玉柴原有的网络架构已经不能满足广西玉柴企业的需要。近几年的混合型病毒大规模传播给广西玉柴造成较大的危害，现有的防病毒体系正面临更严峻的安全挑战，主要存在以下几个方面的不足： RTCrpUDGiT缺少防病毒中央控管系统。由于网络节点太多，且分布较散，要管理好整个防病毒系统良好运行必须有一个良好的管理控制系统。能通过自身安全性很高的方式实现远程异地管理远程防病毒软件，监视该软件的运行状况参数<如防病毒软件病毒库、扫描引擎更新日期，系统配置等）。能实现病毒集中报警，准确定位病毒入侵节点，让管理员对病毒入侵节点做适当处理以防危险扩大。控制中心能与其它网络安全系统实现联动，协同管理工作。 5PCzVD7HxA缺少全网病毒代码统一自动更新功能。构建有效病毒防护的关键环节需要保证产品能做到定期升级，网络防病毒软件必须具备主动式、零干预、增量式的自动升级功能，同时具备自动分发功能，能够在单点更新，然后在不需要人为干预的情况下，实现全网所有产品的病毒码更新。jLBHrnAILg尚未建立完善的安全制度和制定安全培训机制。防病毒工作是一项复杂、长期的任务，需要全体人员配合，提高对病毒的警觉和防范意识。防病毒系统需要建立良好的安全规范，以制度严格控制不良行为，另外还得提高全体人员的防范病毒的能力。网络安全应急小组至少配备 2-3人才能4/43很好的处理网络安全运营的所有事件，应急处理技术和人员管理也需要专业应急小组提供技术培训和长时间的跟踪培训。 xHAQX74J0X缺乏完善的防病毒信息支持体系。防病毒厂商长期提供防病毒信息，新病毒预警信息，安全培训等专业的支持，以提高整个网络使用人员的防病毒素质。 LDAYtRyKfE5. 不能全方位防护。网络中关键部位缺少防护，防病毒产品不能全方位部署，在 Internet出口等进出网络的关键部位没有部署相关的防病毒模块，也没有制定相关的防护措施，来自 Internet的病毒可以毫无阻碍地进入广西玉柴企业网络；在电子邮件网关上，目前很多病毒通过邮件上压缩的附件方式进入内联网，而广西玉柴在邮件网关上目前也没有部署相关防病毒插件。 Zzz6ZB2Ltk根据广西玉柴的安全现状，我们可以把网络大致分为三个安全等级。Internet区域安全等级最低，是病毒产生及传播的地方；客户端工作区安全等级较高，主要由桌面用户和移动办公用户构成，是病毒感染的主要目标，也是病毒进入企业网络的主要载体； dvzfvkwMI1核心服务器区安全等级最高，这里有企业的关键服务器，是安全防护体系最终保护的目标。2．2加强网络安全防护企业网络是无数设备构成的有机体。为了从根本上做到企业网络的安全防护，克服传统网络边界安全防护技术只能从网络边界对来自外部的安全威胁进行防护的弊端，必须得从安全防护的源头进行防护，才能保证整个企业网络的安全。根据目前广西玉柴的安全现状，我们分析下来，有这几个方面特点： rqyn14ZNXIa>薄弱的传统病毒、蠕虫防护手段企业在充分地利用网络进行业务处理时，首先必须考虑为企业网络配备一套完整，有效的病毒、蠕虫防范机制。但是目前，开放网络面临的病毒、蠕虫威胁具有传播速度快、范围广、破坏性大、种类多、变化快等特点，再先进的防病毒软件、入侵检测技术也不能独立有效的完成安全防护，特别是对新类型新变种的防护技术总要相对落后于新病毒新蠕虫的入侵。 EmxvxOtOco病毒、蠕虫很容易通过各种途径侵入企业的内部网络，除了利用企业网络安全防护措施的漏洞外，最大的威胁却是来自于网络用户的各种危险的应用：不安装杀毒软件；安装杀毒软件但未能及时升级；网络用户在安装完自己的办公桌面系统后未进行各种有效防护措施就连接到危险的网络环境中，特别是Internet；移动用户计算机位于不明网络环境中，不采取任何措施又连回企业网络；桌面用户在终端使用各种数据介质、软件介质等等都可能将病毒、蠕虫在不知不觉中带入到企业网络中，给企业信息基础设施，企业业务带来无法估量的损失。 SixE2yXPq5b>PC安全策略配置薄弱5/43当前，企业网络PC应采用增强一些操作系统安全配置，例如密码策略、帐号策略、本地策略、软件策略、服务策略、外设策略、审核策略、屏保策略、匿名访问限制、建立拨号连接限制等等。这些安全配置的正确应用对于各种软件系统自身的安全防护的增强具有重要作用，但在实际的企业网络环境中，这些安全配置却被忽视或无法统一大规模部署，导致软件系统的安全配置“软肋”暴露给整个外部。因此，需要对企业网络中 PC系统的安全配置进行有效的升级来杜绝上述不必要的安全隐患。 6ewMyirQFLc>软件补丁缺失隐患企业网络由数量庞大、种类繁多的软件系统组成，每一个软件系统都有不可避免的潜在的或已知的软件漏洞，无论哪一部分的漏洞被病毒或黑客利用，都会给企业带来危害。因此在企业网络中每一个服务器系统，包括数据库系统、应用系统，每一台用户的操作系统安全补丁、软件升级管理成为企业必须考虑的安全问题。 kavU42VRUsd>PC安全完整性无法保障随着企业网络安全防护措施的健全，如何保障企业网络安全状况的完整性，特别是企业网络终端用户平台的安全状况的完整性，就成为企业网络安全的重要组成部分：企业现有的安全投资 <如：防病毒软件、各种补丁程序、安全配置及系统管理软件的客户端执行情况等）是否处于正常运行状态，病毒特征库有没有及时更新，终端员工是否私自卸载这些企业要求必须使用的安全软件。 y6v3ALoS89e>PC面临的网络威胁防护现阶段黒客攻击技术细分下来共有八类，分别为入侵系统类攻击、缓冲区溢出攻击、欺骗类攻击、拒绝服务攻击、对防火墙的攻击、病毒攻击、伪装程序 /木马程序攻击、后门攻击。对于采取各种传统安全防护措施的企业内网来说，都没有万无一失的把握，对于从企业内网走出到安全防护薄弱的外网环境的移动用户来说，安全保障就会严重恶化，当移动用户连接回到企业内网，就会将各种网络入侵带入企业网络。如何才能使用一种即对企业内网用户，又对企业外网用户，特别是移动用户都同样安全可靠的安全防护呢？ M2ub6vSTnP2．3加强网络应用程序控制传统的网络安全防护技术无法对内网用户的网络接入行为、网络应用行为进行严格管理，因而必须从企业内部网络用户的角度出发对企业网络安全防护建设进行扩展和增强，并同时解决网络办公条件下员工任意使用与工作无关的网络应用，提高工作效率。 0YujCfmUCw网络应用程序控制主要集中体现在这几个方面。网络闲聊控制利用QQ，MSN，ICQ这类即时通讯工具来传播病毒，已经成为新的病毒流行趋势，例如从今年病毒的发作情况来看，已经有将近100种QQ类型的病毒出现；大量用户沉迷于网络聊天、谈情说爱，即使工作时间也无法自拔； eUts8ZQVRd私起服务控制6/43用户私自架设各种网络服务，例如：架设代理服务器，非法共享用户上网，绕过现有企业网络监管措施；架设BBS论坛，发表不利于企业文化的言论，更严重的会给企业主管招致法律上的麻烦；sQsAEJkW5T海量下载控制使用BitTorrent，网络蚂蚁等工具疯狂下载电影，游戏，软件等大型文件，无节制的吞噬企业带宽，使得如IP电话，视频会议之类的关键服务得不到带宽保证； GMsIasNXkAd) 非法网络扫描使用 Sniffer等网络嗅探工具来窃听重要服务器的用户名，密码等机密信息；使用 SuperScan等扫描工具，恶意采集用户名，弱口令，共享，服务端口等网络信息； TIrRGchYzg网络游戏如CS，传奇，帝国时代，星际争霸，联众等网络游戏：用户在工作时间联网游戏，严重影响工作效率。2．4移动用户安全管理移动用户、远程用户计算机游离于企业网络边界安全防护之外，企业现有的网络边界安全防护技术根本不能保护这些用户的网络应用安全，此外，相当一部分的移动用户、远程用户缺乏最基本的的安全防护意识也会给企业带来巨大的网络安全隐患。广西玉柴拥有庞大的员工队伍，其中移动用户和远程用户又占了很高的比例，对广西玉柴来说，这一部分用户的网络安全防护在整个网络安全防护中占有重要地位。7EqZcWLZNX移动用户安全风险主要体现在以下几个方面：a>客户端安全的脆弱性VPN通道建立后通常就直接进入了企业的内部网络。 VPN虽然保证了加密隧道传输的内容是安全的，连接也是正确的，但这并不意味着 VPN客户端计算机一定是安全的。实际上 VPN客户端游离于企业周边防火墙的保护之外，经常暴露在宾馆，网吧，咖啡厅等公共网络之中，它们所面临的安全风险最大，也是企业安全防御体系中最脆弱的一环。黑客会选择 VPN客户端作为攻击的主要目标。通过窃取 VPN用户密码，或者直接以VPN客户端为跳板，借助VPN通道来窃取企业内网中存储的公司预算、战略计划以及工程工程等核心内容，甚至破坏网络业务从而给企业生产带来灾难性的损失。所以企业需要对远距离工作的安全性予以高度的重视， 明白 VPN应用固然可以给员工提高工作效率，并减少开销，但同时也为黑客、竞争对手以及商业间谍提供了无数进入公司网络核心的机会。 lzq7IGf02Eb>远程访问用户身份认证的脆弱性对远程接入访问用户的身份认证关乎整个企业网络资源或资产的安全。 VPN服务器使用传统的用户名和口令方式来认证。简单的用户名、口令认证方式已根本不具备相应的安全级别。简单的口令选择方式、随意的口令存放，公司内部的口令窥探、网上的口令暴力破解、口令认证会话的监听等等，使单纯7/43依靠口令方式获得的安全性大打折扣。 zvpgeqJ1hkc>远程访问用户的访问权限控制风险由于远程访问用户的身份复杂，有分支机构，移动员工，也可能有合作伙伴和供应商。这些不同性质的用户行为是不可预知的。对于远程访问的用户，针对其工作性质、职责的不同，应该对其能够访问的公司内部网络资源、数据信息做出权限控制，对访问时间，访问手段进行严格限制，以免因信息泄密，或因恶意攻击而引发的信息毁损对企业造成重大的损失。 NrpoJac3v1d>远程访问用户的应用程序控制风险无法控制远程用户使用的网络应用程序。远程用户很可能有意或无意的使用了一些带有严重安全漏洞的网络应用程序，从而给黑客以可乘之机。 1nowfTG4KId>移动用户接入环境变化安全隐患随着企业网络应用的普及和发展，当前越来越多的企业员工会经常在企业内网、家庭、各种公共场所如展览会所、酒店等等环境转换。这些不断变化的环境安全风险变化极大，移动用户为了保障自身安全，可能需要随着环境的变化不断重新设置移动设备的安全等级<比如无线访问权限）以满足不同环境的需求，但对于绝大多数移动用户来说做到这一点是不现实的。由此，移动终端办公环境的变化给用户、给企业网络带来安全隐患。 fjnFLDa5Zo8/43三.企业网络安全与数据安全解决方案3.1实现目标通过赛门铁克国际领先的网络病毒防护产品和丰富的广西玉柴网络网络设计经验，为广西玉柴网络系统提供一个技术领先、稳定可靠的全方位、多层次网络安全和数据防护的立体防御体系，有效抵御各种病毒和混合威胁的攻击。提高广西玉柴数据安全和端点安全，病毒防御水平。 tfnNhnE6e53.2设计思路长期以来，应对混合型威胁<混合型病毒）的传统做法是，一旦混合型病毒爆发，尽快捕获样本，再尽快写出病毒特征，并尽快去部署该病毒特征，然后寄希望于它能够迅速清除病毒并阻截该威胁的蔓延。这种方式曾一度相当有效，但近年来――特别是近两年多次影响的冲击波、Slammer、Netsky等病毒，已经体现这种基于特征的被动式病毒响应方式效果不佳了。这一方面因为病毒的快速发展，另一方面更因为传统防病毒技术采取被动跟踪的方式来进行病毒防护。HbmVN777sL主动式反应的企业防病毒系统主要体现在以下几个方面：企业防病毒系统中全面采用主动式反应技术相对于被动式病毒响应技术而言，主动式反应技术可在最新的混合型病毒没有出现之前就形成防御墙，静侯威胁的到来而能避免威胁带来的损失。 V7l4jRB8Hs智能型防病毒系统架构，提高全网协同防护和作战能力通过为广西玉柴设计智能的病毒防护架构，优化全系统内病毒事件的全面监控，及早发现，及时通报，快速处理等环节，缩短响应时间，有效降低病毒可能造成的损失。智能型防病毒系统架构主要表现在：83lcPA59W9具备在任何地点、任何时间对全网进行统一管理、统一监控的能力9/43具备全网病毒事件收集、分析、报告和响应能力具备客户端、服务器系统补丁分发管理能力具备突发病毒事件的快速响应能力。具备大规模扩展和新技术兼容能力 <如能在防病毒系统中兼容入侵检测系统）通过为广西玉柴构建主动式反应的防病毒系统，可使广西玉柴从容面对不断恶化的网络环境，避免混合型威胁的侵扰。mZkklkzaaP随着网络技术的发展，远程和移动办公技术被现代企业广泛采用。这些新工作方式的采用在为企业带来更高生产效率的同时也对企业的网络安全管理带来了新的挑战：企业如何才能有效的将网络安全防线从企业网络的边缘扩展到远程和移动用户的节点之上？现代企业为保护其远程和移动用户的网络安全，已经采取了防病毒软件，主机防火墙 /入侵检测，数据加密，身份认证等多种安全手段。但是只有当这些安全投资被充分利用 <如安全软件是否运行，病毒特征库 /入侵检测特征库是否及时升级等）时才能有效保护那些游离于企业网络之外的用户的信息安全。 AVktR43bpw企业网络的各种漏洞源自安全策略的制定与具体执行之间的差距。随着网络安全技术的不断发展，企业也能够制定出越来越多的安全策略以抵御开放网络的风险。这些安全策略涉及到应用程序的使用管理、安全措施的执行、对企业资源的远程访问规则、无线网络设备的使用以及其他各种各样的安全问题。 ORjBnOwcEd但是，企业在制定安全策略与具体执行这些策略的能力之间还是存在很大的差距。现存的网络安全技术都只是针对个别的问题，而没有构造出一个能彻底解决企业网络安全问题的平台。当今的企业需要的是这样一套解决方案：首先它能够清楚地了解企业内部的通信行为模式，其次根据这些行为模式制订出相应的安全策略，最后将这套策略强制实施到企业网络的每一个角落。2MiJTy0dTT一个理想的网络数据备份是在软件数据备份的基础上加上硬件级物理容错系统，并且能够自动地跨越整个网络系统平台。因此，网路数据备份实际上包含了整个网络系统的一套备份体系。一个好的数据备份系统应该具备以下一些基本要素： gIiSpiue7A保护性：全面保护企业的数据，在灾难发生时能快速可靠地进行数据恢复。10/43可管理性： 这是备份种一个重要的因素。因为可管理性与备份的可靠性紧密相关。最佳的可管理性就是自动化备份方案。这不仅增加了数据的安全性与可靠性，而且在数据恢复时减少了遗忘十分繁琐的工作步骤，节约了大量的人力和时间。 uEh0U1Yfmh可扩展性： 经常困扰系统管理员的一个问题就是在备份过程中因介质容量不足而更换介质。因为这会降低备份数据的可靠性与完整性。 IAg9qLsgBX因此，建立完善的网络数据备份系统必须考虑以下的内容：计算机网络数据备份的自动化，以减少系统管理员的工作量；使数据备份工作制度化；介质的有效管理，防止读写操作的错误。自动的清洗轮换，提高介质安全性和使用寿命；以备份服务器形成备份中心，对各种平台的应用系统及其他信息数据进行集中的备份，系统管理员可以在任意一台工作站上管理、监督、配置备份系统，实现分布处理，集中管理懂得特点； WwghWvVhPE维护人员可以容易地恢复损坏的整个文件系统和各类数据；备份系统还应考虑网络带宽对备份性能的影响，备份服务器的平台选择及安全性，备份系统容量的适度冗余，备份系统良好的扩展性等因素； asfpsfpi4k我们将在此思想指导下，首先对广西玉柴进行网络和数据库系统的整体架构设计、在此整体架构基础上来实现重要的管理职能，然后在一级单位、二级单位、进行防病毒系统与端点安全防护的快速部署，并从强健企业安全系统的角度考虑，提出一些可对端点进行宏观调控和监测的办法以提高全网安全的防御能力。对重要的数据进行备份以确保数据的安全，可用和可靠性。ooeyYZTjj1网络状态：11/433.3终端安全解决方案3.3.1端点安全系统结构SymantecSEP 是一个软件包，由三个基本组件构成：Symantec 策略管理服务器<SymantecPolicyManager ）Symantec 强 制 服 务 器 <Symantec UniversalEnforcement ）Symantec 安全代理<SymantecProtectionAgent ）Symantec 策略管理服务器<SymantecPolicyManager ）是整个系统的核心，它负责管理企业安全策略的制定，修改和分发，同时管理服务器还管理和维护企业网络中的安全代理客户，使得管理员能够对不同的用户实施不同的安全策略。 BkeGuInkxISymantec 强制服务器<SymantecUniversalEnforcement ）12/43负责认证网络客户端的主机完整性，它将检查网络客户机是否安装和运行了安全代理，安全代理是否正确的执行了企业所制定的安全策略，并根据检查结果决定是否允许客户端访问企业内部网络的资源。在 SNAC 安全策略保证系统中有三个可选组件： Symantec Gateway Enforcer ，Symantec LANEnforcer,SymantecDHCPEnforcer 。这些组件在授予端点接入网络的权限前确保端点遵循企业策略。 Symantec Universal Enforcement 组件隔离违背安全策略的设备，直至自动修复机制生效后再恢复其网络访问的权限。PgdO0sRlMoSymantec 安全代理<SymantecProtectionAgent ）安装在企业的工作站、服务器 <Windows 平台）和笔记本上， SPA提供了可配制的高级防火墙和入侵检测预防能力。负责收集客户端信息、认知用户的网络行为、监控客户机的网络通讯和安全状态并将收集到的信息发送到策略管理服务器以便管理员针对性地制定安全策略。同时 SPA也将自动地从策略管理服务器中下载新的安全策略并在本地执行指定的安全策略。 SPA还负责按照Symantec 策略管理服务器所设定的规则对终端的安全状态进行审核，并将检查结果报告给 Symantec Universal Enforcement 组件，做为是否允许终端接入企业网络的标准。 3cdXwckm15我们可以从以下的示意图中来了解 SEP11.0 安全策略保证系统的各个组成部分在企业网络中的分布：13/43SEP11.0安全策略保证系统分布示意图图例：Symantec安全代理 <SymantecProtectionAgent）Symantec策略管理服务器 <SymantecPolicyManager）Symantec强制服务器<SymantecUniversalEnforcement）3.3.2SEP系统组成与功能a.SymantecSEP11.0EndpointProtection 系统组成SymantecEndpointProtection 引入了全新的系统架构，将整个内网安全防护策略划分为逻辑上的三个组成部分： h8c52WOngM内网边界安全防护此部分架构实现对来自企业网络外部的安全威胁进行安全防护。内网安全威胁防护此部分架构实现对来自企业网络内部的安全威胁进行防护。外网移动用户安全接入防护此部分架构用于保证企业内部移动用户所处网络环境的变换，以及当移动用户处于外网安全防护薄弱网络环境中自身安全、接入企业网络安全。 v4bdyGiousSymantecEndpointProtection 是一个软件包，由三个基本组件构成 :14/431.SymantecPolicyManager: 安装在一个或多个企业服务器上，围绕一个中央数据库来配置，Symantec 策略管理服务器扮演一个军队司令的角色 -帮助创建安全策略，规划部署计划，指导士兵 <客户端）如何保护网络 J0bm4qMpJ92.SymantecProtectionAgent: 安装在企业的工作站、服务器 <Windows 平台）和笔记本上，SPA提供了可配制的高级防火墙和入侵检测预防能力。它能检测和识别已知的木马，端口扫描和其他常见攻击。作为响应，它能选择性的启用或阻止不同网络设备，端口和组件的使用。 SPA还负责按照 Symantec 策略管理服务器所设定的规则对终端的安全状态进行审核，并将检查结果报告给 SymantecUniversalEnforcement 组件，做为是否允许终端接入企业网络的标准。 XVauA9grYP3. Symantec Universal Enforcement:( 通过四个可选组件:Symantec GatewayEnforcer，Symantec LanEnforcer, Endpoint Enforcement 或供 VPN整合的 UniversalEnforcement API>在授予端点接入网络的权限前，确保端点遵循企业策略。SymantecUniversal Enforcement 组件隔离违背安全策略的设备，直至自动修复机制生效后再恢复其网络访问的权限。 bR9C6TJscw我们可以从以下的示意图中来了解 SYMANTECENDPOINT PROTECTION 的各个组成部分在企业网络中的分布： pN9LBDdtrd系统功能SEP11.0 安全策略保证系统通过采用全新的系统架构，将以下七大功能整合起来，为企业用户提供全面而有效的网络安全解决方案： DJ8T7nHuGT15/43中央管理个人防火墙SEP11.0 安全策略保证系统为企业所有联网主机提供以应用程序为中心的主机防火墙保护功能。它除了提供传统的主机型防护墙功能 <防止端口扫描、IP/MAC 欺骗、操作系统类型探测、浏览器类型探测、拒绝服务攻击、 IP地址过滤、端口/协议过滤、应用程序过滤等）以外，还可以锁定合法应用程序验证应用程序调用的动态连接库，防止恶意程序通过伪装或代码注入等手段绕过防护墙的检测。当系统探测到远程攻击行为时，可以自动阻断所有来自攻击方的网络通讯，确保主机的安全。 QF81D7bvUA入侵检测预防SEP11.0 安全策略保证系统提供的以应用程序为中心的入侵检测预防系统<IDPS）将传统的主机型入侵检测系统 <IDS）和应用程序信息结合提供超越传统主机型入侵检测系统的检测效率和更低的误报警率。系统还提供入侵检测特征/模式编辑器，管理员可以根据企业的特点和新出现的网络威胁自定义入侵检测规则，快速而灵活的应对不断出现的新的网络攻击行为。 4B7a9QFw9h自适应防护SEP11.0 安全防护引擎能够根据用户计算机所处网络环境 <用户所处的环境：办公室、家中、差旅途中、展示会等；用户使用的网络连接方式：以太网、拨号网络、VPN、无线网络等）的变化自动调整安全策略，以适应不同网络环境下的不同级别的风险。例如：当用户在参加展示会时使用会场提供的无16/43线网络接入到 Internet 并连接公司的 VPN服务器进入企业内部网络时，系统自动侦测到所处的网络环境并自动应用按企业为这种环境所规定的安全策略；而当用户结束展示会回到公司内部时，系统自动应用适应公司内部网络环境的安全策略。ix6iFA8xoX企业安全策略管理SEP11.0 安全策略保证系统为管理员提供了基于 WEB的图形化管理控制台，管理员能够从任何可以访问策略管理服务器的网络节点登录到管理控制台进行企业安全策略的创建和修改工作。任何的策略修改都将自动的分发到所有相关的用户，并在用户的计算机上贯彻落实。同时系统还将收集整个企业网络上的各种信息 <网络应用程序、用户网络行为、安全事件、客户端运行状态等）供管理员监控企业网络的安全状态，并相应调整企业的安全策略。基于SEP11.0 安全策略保证系统高容错能力的多服务器架构，跨国企业可以对整个企业的网络安全策略实施集中式或分布式的管理，从而提供优异的升级、负载均衡以及策略同步备份的能力。 wt6qbkCyDE全面策略强制SEP11.0 安全策略保证系统能够有效保障企业网络用户完全遵守企业的安全策略。企业的安全策略除了用户的网络行为<网络应用程序控制、端口/协议过滤、IP/MAC过滤、网络设备）以外还包括：系统/应用软件补丁应用情况、操作系统配置以及应用程序运行情况<如用户计算机上运行了正确版本的防病软件、个人防火墙以及入侵检测系统并且这些安全软件使用的是最新的特征库）。无论用户使用什么样的网络连接方式<以太网、拨号网络、无线以及VPN），SEP11.0都保证企业的安全策略被用户完全遵守。Kp5zH46zRk企业安全策略能够通过SEP11.0强制服务器在用户接入企业网络时强制执行，<其中GatewayEnforcer用于企业网络外部用户接入企业网络时执行身份认证和强制策略，LANEnforcer在企业内网用户接入企业网络时执行身份认证、强制策略和VLAN转换），也能够在用户计算机本地由SEP11.0安全代理强制执行。Yl4HdOAA6117/43为了实现第三方网络接入设备对 SEP11.0 安全策略保证系统强制策略的兼容，SEP11.0 安全策略保证系统提供了扩展的统一强制编程接口<ExpandedUniversalEnforcementAPI ）。ch4PJx4BlI自动化安全性修复SEP11.0 安全策略保证系统能够自动修复那些因为不符合企业安全策略而被拒绝访问企业网络的端点计算机上安全措施的完整性。企业用户的系统将被恢复到完全符合企业安全策略而不需要用户的交互操作或与 IT支持中心联系，这样就能有效保证员工的工作效率同时控制企业的 IT维护费用。qd3YfhxCzo3.3.3SEP终端安全解决方案说明我们建议使用 Symantec SEP11.0Endpoint Protection 来解决内网用户、移动用户，分支机构，合作伙伴和供应商在企业 Intranet 及Internet 上面临的种种网络安全威胁，SymantecEndpoint Protection 在以下各方面具有业界领先的安全防护解决方案：E836L11DO5企业网络面临的病毒，蠕虫威胁防护系统软件、应用软件的补丁自动管理系统软件自动化安全配置终端用户网络准入控制企业各种网络用户的网络接入安全防护，如 VPN、远程拨号、无线 AP、以太网接入等等的安全防护网络入侵防范企业各种重要的信息资源的安全保护终端用户计算机各种安全防护软件的完整性防护移动终端的环境自适应防护统一、有效的安全策略管理18/43a.终端安全解决方案设计原则解决方案的设计应坚持使企业网络安全防护具有先进性、实用性、可靠性、兼容性、可扩充性和灵活性原则。先进性保证所采用的产品和技术属世界主流产品，在网络安全领域占有较大的用户市场，在该领域处于领导地位。实用性和可靠性网络安全系统的性能指标能够满足相当长时间内全网综合系统发展所需的存储量和处理能力的要求。该系统应切实满足业务的需要，系统性能可靠，易于维护并且网络及系统各方面指标切合实际需要，系统配置设计充分满足需要。 S42ehLvE3M兼容性和互操作性具有良好的兼容性，所采用技术和产品可以支持兼容符合国际标准和工业标准的相关接口，可以与其它主流安全产品进行很好的融合，实现不同厂商安全产品的互相作用，从安全防护上做到1＋1>2安全防护性能，既保证企业以往安全投资的有效性和大量缩减企业安全投资，又能使企业网络的安全防护能力上升到一个新的高度。 501nNvZFis可扩充和灵活性该系统须具有良好的扩充能力，可以根据不断增长的业务发展需要很容易地进行系统作用范围扩充，在扩充网络防护范围时做到对企业非安全管理人员的透明，保证系统灵活有效的实施。jW1viftGw9b.多层次的病毒、蠕虫防护病毒、蠕虫破坏一类的网络安全事件一直以来在网络安全领域就没有一个根本的解决办法，其中的原因是多方面的，有人为的原因，如不安装防杀病毒软件，病毒库未及时升级等等，也有技术上的原因，杀毒软件，入侵防范系统等安全技术对新类型、新变异的病毒、蠕虫的防护往往要落后一步，危害无法避免。使用SEP，我们可以控制病毒、蠕虫的危害程度，只要我们针对不同的原因采取有针对性的切实有效的防护办法，就会使病毒、蠕虫对企业的危害较少到最低限度。 xS0DOYWHLP仅靠单一、简单的防护技术是难以防护病毒、蠕虫的威胁的。因此，在SymantecEndpointProtection系统中，对当前肆虐于开放网络环境中的大量病毒、蠕虫威胁，实现了多层次的安全防护策略，归结起来是：事前预防、事中隔离、事后修复和 AV联动。LOZMkIqI0w19/43附图1. 自动的修复流程图SymantecEndpointProtection中支持的事前预防策略包括如下几个方面：首先，通过主机安全完整性策略定义强制保证 SPA中的基于主机的入侵检测防范模块的运行以及其特征库的即时更新，从而能够有效的保证对当前已知特征的病毒、蠕虫入侵的防护。ZKZUQsUJed其次，SymantecEndpointProtection通过主机完整性策略定义强制保证企业在终端设备上部署的第三方防杀病毒软件处于执行状态且其病毒特征库的及时更新，防止终端用户的关闭，异常退出或特征库的不完整。 dGY2mcoKtT第三，对于那些不符合企业安全策略中的主机完整性定义的设备，例如象上面描述的主机病毒、蠕虫防护完整性定义，将首先被隔离到企业某一特定的隔离区，在其中被自动的安装、升级、安全检查，以达到企业主机完整性定义要求，之后被允许访问正常的企业业务网络资源。 rCYbSWRLIA第四，在SymantecEndpointProtection中，所有的安全策略，包括上面的病毒、蠕虫防护策略都是管理员通过中央集中的安全策略管理控制台实施的，对于普通用户是透明的，既较少了终端用户的麻烦，又提高了整体安全管理的质量。 FyXjoFlMWhSymantecEndpointProtection中支持的事中隔离策略说明如下：当病毒、蠕虫事件在企业网络内部发生情况下， SymantecEndpointProtection能够实现对病毒、蠕虫的有效隔离，安全管理员可以通过 SymantecEndpointProtection中提供的“网络程序自学习”功能，及时发现病毒、蠕虫的运行情况，从而有针对性的制定病毒、蠕虫隔离策略，通过 SPA提供的以应用程序为中心的全状态主机防火墙功能对病毒、蠕虫的网络访问进行阻断，保证病毒、蠕虫不能继续向企业网络内部扩散，杜绝病毒、蠕虫对企业整体业务运行的影响。 TuWrUpPObXSymantecEndpointProtection中提供的事后定位、修复策略说明如20/43下：一旦企业内部网络病毒、蠕虫事件被“事中隔离策略”控制在一定的范围内之后，系统安全管理员马上即可着手病毒、蠕虫的清除工作，包括如下几个方面： 7qWAq9jPqE首先，清除病毒、蠕虫需要知道病毒蠕虫的位置，即定位。通过前面提到的“网络程序自学习”功能记录的病毒、蠕虫位置信息，可以轻松的定位病毒、蠕虫的感染源。llVIWTNQFk定位之后，即有重点、有针对性的清除感染源，采取的策略可以是寻找到有效的病毒、蠕虫清理工具，通过SymantecEndpointProtection提供的“软件辅助分发”功能下发到感染源并执行；定制杀毒软件病毒库升级策略，及时升级病毒特征库有效清理网络端点病毒、蠕虫；如果有系统补丁可以阻止病毒、蠕虫的传播，也可以对终端进行补丁升级，避免重复感染； SymantecEndpointProtection还为安全管理员提供了主机入侵检测防范模块<HIPS）特征库的定制编辑器及相关语法，可以自定义入侵检测规则，实现对病毒、蠕虫传播行为的及时发现和有效阻断。 yhUQsDgRT1SymantecEndpointProtection防病毒联动说明如下：防病毒联动功能贯穿在 SymantecEndpointProtection病毒、蠕虫事先预防、事中隔离、定位修复的整个过程中，通过 SymantecEndpointProtection主机安全完整性策略中定义主机防杀病毒软件运行状态、病毒特征库升级定义，实现终端用户第三方防杀病毒安全策略的有效执行。 SEP可以和 Symantec领先的企业级防病毒系统 SymantecAntiVirus 有效整合，检测 SAV引擎的运行状态、病毒特征库的更新状态；在 SAV异常时，自动修复SAV。SymantecEndpointProtection同时全面支持业界其它知名防杀病毒软件，也可以自定义规则来支持所有第三方防杀病毒软件。 MdUZYnKS8Ic.终端用户透明、自动化的补丁管理，安全配置为了弥补和纠正运行在企业网络终端设备的系统软件、应用软件的安全漏洞，使整个企业网络安全不至由于个别软件系统的漏洞而受到危害，必需在企业的安全管理策略中加强对补丁升级、系统安全配置的管理。SymantecEndpointProtection提供了有效的补丁及系统安全配置管理功能。09T7t6eTno企业网络安全管理员通过SymantecPolicyManager集中管理企业网络终端设备的软件系统的补丁升级、系统配置策略，可以定义终端补丁下载，补丁升级策略以及增强终端系统安全配置策略并下发给运行于各终端设备上的SPA，SPA执行这些策略，保证终端系统补丁升级、安全配置的完备有效，整个管理过程都是自动完成的，对终端用户来说完全透明，减少了终端用户的麻烦和企业网络的安全风险，提高企业网络整体的补丁升级、安全配置管理效率和效用，使企业网络的补丁及安全配置管理策略得到有效的落实。 e5TfZQIUB5SymantecEndpointProtection为了确保企业补丁升级、安全配置管理的有效落实，除了对终端用户透明和自动化安全管理特色外，同时通过主机完整性策略保证机制实现补丁升级及安全配置管理的强制执行。通过补丁升级及安全配置的强制策略保证任何连接到企业网络的终端的补丁升级及安全配置符合企业的安全管理策略。 s1SovAcVQM21/43d.全面的网络准入控制为了解决传统的外网用户接入企业网络给企业网络带来的安全隐患，以及企业网络安全管理人员无法控制内部员工网络行为给企业网络带来的安全问题，在 SymantecEndpointProtection内网安全解决方案中，有效的解决了企业员工从企业内网、外网以各种网络接入方式接入企业网络的准入控制问题。通过全面的网络准入控制，企业可以强制每一台接入企业网络的终端都符合企业安全策略的要求，从而保证企业网络的安全稳定运行。GXRw1kFW5s边界准入控制为了保证通过 Internet接入企业网络的外网用户符合企业安全策略，同时为了保证企业外网安全防护薄弱情况下的终端安全，在每台外网终端上都安装并运行SPA，在企业网络入口处部署SymantecGatewayEnforcer，网络安全管理员通过SymantecPolicyManager为外网用户制定与其网络位置(Location>相应的访问控制策略、入侵预防策略、主机安全完整性策略。当外网用户接入企业网络时，网络入口处的SymantecGatewayEnforcer检查客户端的安全状态是否符合企业整体安全策略，对于符合的外网访问则放行，不符合企业安全策略的外网访问区分不同的情况：当访问设备没有安装SPA的将被拒绝访问，对于安装了SPA但当前安全策略不是最新的将被放行到企业网络相应的隔离区进行安全性修复，当访问设备符合企业安全策略则被放行进入企业网络进行正常的业务活动。UTREx49Xj9附图2. 边界准入控制接入层准入控制LANEnforcer 用于与支持 802.1xEAP协议的交换机配合实施，为企业内网提供高度灵活的内网用户接入企业网络的身份认证、策略强制、 VLAN支持。8PQN3NDYyP为了保证企业网络内部终端的网络接入时的安全状态以及网络应用行为， 需要在接入内网的终端上安装和运行 SPA，当终端接入交换机 <支持 802.1x协议）时，交换机发起22/43EAP认证，SPA在收到 EAP认证质询时，将当前终端安全状态以及终端身份向交换机报告，交换机在收到 SPA的应答以后，将应答信息以 Radius协议发送到 SymantecLanEnforcer，LanEnforcer按照管理设定的规则检验 SPA的应答信息，如果终端的身份合法并且安全状态也符合企业安全策略的要求， LanEnforcer就通知交换机将终端放入正常的工作Vlan，如果终端验证失败，LanEnforcer就按照管理的设定，通知交换机将终端放入隔离Vlan或直接关闭端口。在隔离Vlan的终端，SPA会自动进行终端安全状态的修复，在修复完成以后，系统自动将终端重新接入正常工作 Vlan。mLPVzx7ZNw下图为LANEnforcer 在企业内网中的典型工作方式：附图3.接入层准入控制流程图e.全面的入侵防范现阶段黒客攻击技术细分下来共有八类，分别为入侵系统类攻击、缓冲区溢出攻击、欺骗类攻击、拒绝服务攻击、对防火墙的攻击、病毒攻击、伪装程序 /木马程序攻击、后门攻击。如此众多的网络攻击行为，就需要采取全面、多层次的入侵防范手段，不但要能够保证企业内网不会受到直接攻击，也要防止间接的攻击行为，保证离开企业内网保护直接连接到Internet的移动终端不会成为入侵企业网络的媒介。 AHP35hB02dSymantecEndpointProtection将传统的入侵防范从网络边界扩展到了企业网络的终端设备，防护范围从企业网络边界扩展到所有的终端之上，将网络终端安全防护策略从传统的23/43各自为战发展到安全策略集中统一管理的有机防御体系。 NDOcB141gT在SPA中为了适应当前网络威胁与安全防护之间的时间间隔越来越短的安全情势，在SPA中实现“零时点”<Day-Zero）安全威胁防御技术，将传统的基于攻击特征码防护技术与最新的基于攻击行为特征分析防护技术相接合，有效缩短了系统对新的网络威胁的响应时间。1zOk7Ly2vASymantecProtectionAgent为终端提供了主机防火墙、主机入侵预防、操作系统保护、缓冲区溢出保护、系统锁定等全面的安全防护机制，确保企业网络每一终端都可以有效应对各种攻击行为。 fuNsDv23Khf.终端设备安全完整性保证主机完整性强制是SymantecEndpointProtection系统的关键组件。信息安全业界已经开发出了多种基于主机的安全产品，以确保企业网络和信息的安全，阻止利用网络连接技术、应用程序和操作系统的弱点和漏洞所发起的攻击。并已充分采用了在个人防火墙、入侵检测、防病毒、文件完整性、文件加密和安全补丁程序等方面的技术进步，来有效地保护企业设备。然而，只有在充分保证这些安全技术的应用状态、更新级别和策略完整性之后，才能享受这些安全技术给企业网络安全带来的益处。如果企业端点设备不能保证主机安全措施完整性，也就不能将该设备看成企业网络受信设备。 tqMB9ew4YXSymantecEndpointProtection允许管理员定义、实施以及恢复主机系统的安全完整性。可定义的主机完整性包括：安全应用是否安装、运行、特征数据是否及时更新以及系统安全设置。通过每当终端在连接到企业网之前检测系统的安全完整性，来强制主机完整性。HmMJFY05dE在安装有Symantec保护代理的计算机上，如果没有安装管理员指定的补丁程序或者操作系统漏洞补丁程序，SPA将按照管理员设置的修复策略自动连接到更新服务器，下载和安装必需的补丁程序或者操作系统漏洞补丁程序。在修复动作完成之前，终端被系统隔离在企业内部网络之外，直到它完成补丁的修复为止。 ViLRaIt6sk客户端也可以检测防病毒应用程序是否过期。例如，如果防病毒应用程序比起系统管理员指定的更旧，则认证强制网关就阻止 Symantec保护代理连接到企业网中，直到将最新版本的防病毒应用程序安装到终端计算机上为止。 9eK0GsX7H1如果客户端没有最新的防火墙规则，则 Symantec保护代理将不能够访问企业网。如果管理服务器上有更新版本的安全策略，则Symantec保护代理将自动下载最新的安全策略，然后在用户的计算机上更新安全策略。安全策略升级失败时，会自动生成安全日志。naK8ccr8VIg.移动用户的自适应防护为了适应企业员工经常在企业内网、分支机构、家庭、路途及其它各种公共场所如展览会所等网络办公环境中不断转换的实际情况，保障移动设备在离开企业内网较完备的安全防护仍然符合企业网络安全策略，避免终端处于企业外部时访问企业内网资源给企业网络安全带来灾难，同时避免给终端用户的实际业务应用带来不必要的麻烦，让终端用户乐24/43于遵守企业既定的网络安全策略，保障企业安全防护策略在移动终端的有效执行，SymantecEndpointProtection提供了自适应防护安全保障机制。B6JgIVV9aoSymantec安全防护引擎能够根据用户计算机所处网络环境<用户所处的环境：办公室、家中、差旅途中、展示会等；用户使用的网络连接方式：以太网、拨号网络、VPN、无线网络等）的变化自动调整安全策略，以适应不同网络环境下的不同级别的风险。例如：当用户在参加展示会时使用会场提供的无线网络接入到Internet并连接公司的VPN服务器进入企业内部网络时，系统自动侦测到所处的网络环境并自动应用企业为这种环境所规定的安全策略；而当用户结束展示会回到公司内部时，系统自动应用适应公司内部网络环境的安全策略。 P2IpeFpap5h.统一、有效的安全策略管理统一、有效的安全策略管理是 SymantecEndpointProtection从企业安全管理角度提供的增强企业网络安全的解决方案。在SymantecEndpointProtection中为了克服企业网络管理中存在的问题，如整个企业范围内安全策略不统一、企业任何安全管理策略的实施不得不牵涉到几乎整个员工队伍混乱状态、企业安全策略由于种种原因而无法真正的落实、企业对某一突发安全事件的响应无法满足企业紧急事件响应的时效要求等，将企业网络安全管理技术与企业网络端点防护技术有效结合，针对企业网络管理中各种现实的、紧迫的问题进行总体设计，引入多种独特的安全管理技术，实现满足企业网络安全管理要求的全面解决方案。3YIxKpScDM可扩展的多服务器架构策略管理服务器内建多站点同步功能。企业可以在不同的分支机构内同时安装策略管理服务器并使服务器之间同步数据。该功能使得SymantecEndpointProtection能够方便的扩展以适应不同规模企业的需要。同时对于那些分布式的企业，也能够为分布于不同地点的客户端统一的制定和维护安全策略并使得终端用户在企业内部网络中漫游时使用统一的安全策略。 gUHFg9mdSs支持现有用户与群组结构策略管理服务器能够从NT域控制器，活动目录服务器，LDAP服务器中导入用户列表并能够和这些服务器定期同步更新用户列表。通过该功能，管理员可以方便的沿用企业现有的用户分组管理方式。uQHOMTQe79中央管理的日志与报告系统Symantec保护代理会定期将客户端的日志发送到管理服务器。管理员可以直接从管理服务器的控制台查看所有Symantec保护代理客户端的日志，实时监控网络的安全状态。管理员还能够使用管理服务器针对客户端的日志生成图形化的报表来统计和分析企业网络的安全状况。Symantec策略管理服务器还支持第三方的专业日志分析软件，可以将本系统的日志自动发送到专用的日志服务器中进行进一步的分析。 IMGWiDkflP基于组的策略生成及继承系统策略管理服务器可以对不同的用户进行分组，并对不同的组制定不同的安全策略。通过系统内置的继承体系，不同的子组能够从同一父组中继承相同的安全策略，从而提高策略制定的便利性。策略管理服务器还能够针对计算机和当前登录用户来制定安全策略，按25/43计算机制定的策略为特定的计算机维护了一组固定的安全策略，而按登录用户制定的策略为不同的登录账户维护了独立于特定机器的可以在企业内部网络中漫游的安全策略。WHF4OmOgAw支持企业级的统一安全部署为了实现对大型企业网络的统一安全策略管理，特别是那些拥有众多分支机构的企业网络，SymantecEndpointProtection通过数据库复制技术，支持不同企业子网之间的策略复制，保证企业范围统一的安全防护策略以及企业级安全管理的稳定、高效。 aDFdk6hhPd通过SymantecEndpointProtection提供的灵活的用户分组和策略设置功能，管理员可以有效管理企业内网不同用户身份的网络访问策略。管理员可以按照不同部门的不同网络应用需求配置相应规则，使得不同部门的用户只能在内网访问与其业务相关的应用和服务器，阻止所有的越权访问行为。具体配置情况如下表所示： ozElQQLi4TApp/SrvEmailMarketingComsumerHumanFinancialPrivateHumanGroupOAFileserverApplicationResourceApplicationServiceResourceApplicationApplicationServereTeller√Guest√√√ServiceBranch√√√√ManagerHuman√√√ResourceFinancial√√√IT√√√√√√√j.产品扩展能力9.1分布式部署的策略复制默认情况下，一般一台策略服务器技术上不存在管理终端数量的限制。根据世纪的使用需求，一台策略服务器通过管理 3000台终端为合适。超过 3000台的终端能够通过扩展策略服务器的数量来实现管理功能。对于不只一个物理站点或者需要扩展站点的企业，例如有分支机构，用专用通讯链路来连接太昂贵， SEP支持数据复制。复制就是不同地点或站点间的数据库通过特别拷贝来共享数据的过程。这样不同地点的用户可以都工作在本地的副本之上，然后同步他们之间的变更。在 SEP环境内，数据库复制可以将一个管理服务器上的变更同步到另一个数据库上，实现冗余备份。通过这种方式， SEP能够支持极大的终端数量扩展能力，从而满足企业不断扩大规模的需求。 CvDtmAfjiA9.2扩展的事件日志转发能力通过事件日志转发SymantecSEP能够将SEP日志转换成其他软件的格式。这个服务可以用来做日志的聚合和集中。系统管理员可以选择对哪些客户端、管理服务器和强制服务器日志进行转发，并存储在文本文件内供第三方程序使用。SEP事件日志可以和其他程序和设备的日志一起<例如杀毒，路由，IDS）递交给安全信息管理系统。常见系统格式如netForensics，eSecurity，syslog，Symantec都能支持。QrDCRkJkxh26/43SymantecEndpointProtection系统详细功能列表功能/特性说明Symantec公司的安全引擎通过了ICSA的PC防火墙认证标准的认通过ICSA以及公安部认证的PC证.ICSA认证建立了一个保证个人防火墙能够有效保护PC机网络安全的通用标准.Symantec公司作为PC防火墙协会的成员参与了防火墙该标准的开发工作.该安全引擎也通过了中华人民共和国公安部认证并获得了计算机信息系统安全专用产品销售许可.应用程序为中心的防火墙将应用层的信息和其他传统的防火墙参数以应用程序为中心的防火墙引擎(端口、协议、IP、方向、时间>结合起来以更有效的对抗基于应用程序的攻击方式(木马、蠕虫、恶意代码等>基于特征库的入侵检测预防引擎基于特征库的入侵检测预防引擎使得管理员能够根据已知恶意通讯的模式来阻断入侵.基于行为或应用程序的入侵检测基于行为或应用程序的入侵检测预防引擎将应用层的信息和其他更为传统的入侵检测模式管理起来以实时地检测和阻断入侵企图同时预防引擎减少误报警并提高性能.基于网络环境的动态安全策略切基于网络环境的动态安全策略切换使得企业能够使用合适的安全策略来对抗和用户连接到网络时所处位置(办公室、家中、机场、宾换馆、展示会等>相关的风险.基于网络适配器的动态策略该功能允许SPA动态地采取不同的安全策略以消除和网络连接方式(VPN,拨号,无线网卡,以太网(以太网、拨号、无线网络、VPN>相关的威胁卡,>动态入侵规避(ActiveResponse>动态入侵规避功能是指:一旦发现入侵行为SPA能够自动截断和黑客系统的所有通讯擎对抗IP/MAC欺骗防止黑客通过伪装IP/MAC地址的手段来劫持通讯数据对抗系统指纹采集行为防止黑客和WEB站点识别计算机的操作系统和浏览器类型.引全防护代码注入攻击防止恶意程序通过将代码注入到可信应用程序中来绕过防火墙.安防止恶意应用程序使用自己的协议驱动来绕过防火墙对抗使用协议驱动的攻击行为网络应用程序学习功能使得管理员能够了解到用户和计算机的网络网络应用程序学习功能行为并且可以方便地调整用户和计算机的行为使之符合企业安全策略的要求.SymantecSPA能够以可配置的间隔自动检测客户端安全措施执行安全策略本地强制的完整性而不需和认证强制服务器通讯.如果系统没有通过主机完整性检测,SPA将自动切换到一套隔离策略以阻断网络通讯然后开始执行完整性恢复操作.如果主机完整性不符合安全策略的要求,SymantecSEP能够自动执行恢复操作,这包括:运行本地命令,下载并执行/保存文件。最终使符合安全策略的主机连接到企业网络.常用的恢复操作有:主机完整性自动修复开启防病毒软件,主机防火墙,主机型入侵检测软件升级病毒定义,主机防火墙策略,主机入侵检测特征库下载并安装补丁更改操作系统设置详细的日志(从最底层底数据包到应用层>对于安全系统提供强大的细致而全面的日志功能安全事件分析和故障排查能力是十分关键的.SymantecSEP系统以完善的系统日志、通讯日志、数据包日志以及安全日志提供了超过其他系统的日志能力.SymantecSEP系统通过了CheckPoint,Nortel,Cisco,Intel,经过广泛认证的VPN解决方案协Enterasys,Netscreen,Alcatel,Aventail,SafeNet,Microsoft等主流同工作能力VPN软硬件供应商的VPN协同工作能力认证.提供广泛的VPN系统兼容性.27/43功能/特性 说明PCMagazine于2004年2月26日测试了市场领先个人防火墙的资源高性能以及低资源占用 占用情况和性能并得出结论:SymantecSEP以显著的优势超过了竞争对手.SymantecSEP支持所有的Windows平台.和微软公司的合作保证了全面支持所有Windows平台SEP能够支持所有发行的Windows版本.目前SymantecSEP已经能(Windows95,98,NT,2000,ME,XP>够支持.NET平台控制和监视WindowsAPI调用用户PC机。这个功能允许管理员控制用户对客户机的文件、注册表和进程的访问；通过对操作系统提供OSProtection对操作系统系统的保护，管理员可以做到：保护专门的注册表键和键值、保护级别的保护功能Windows系统目录、阻止用户更改系统配置文件、防护系统重要目录和文件，如Symantec的安装目录、对专门的进程提供专门的防护、控制对DLL的访问。OSProtection对操作系统设备允许管理员放行或阻断用户对本机上的系统设备的访问。如USB、红级别的保护功能外、火线、SCSI、并口、串口等内存防火墙系统锁定文件访问控制

基于行为的内存防火墙能够检测缓冲区溢出攻击。缓冲区溢出攻击轻者可以引起程序运行失败，甚至导致系统崩溃；严重时可以利用这种漏洞可以执行任意指令，甚至可以取得系统 root 特级权限。Symantec的SEP系统的内存防火墙能实时检测出缓冲区溢出的现象，并及时终止或阻断这种可能造成的攻击行为。系统锁定能允许管理员控制客户机上可以运行的应用程序。SEP通过创建包含Checksums值和处所的应用程序的数字文件指纹来完成对应用程序的管理。这些应用程序可以是可执行的文件，如.exe文件、.com文件，也可以是.dll文件和.ocx文件。通过使用系统锁定，管理员能锁定任何特洛伊木马程序、间谍程序或者是恶意代码，在这些程序企图运行，或者试图把自己加载在已知的应用程序<如InternetExplorer）之前牢牢地控制住，保证用户的操作系统始终处于一个已知的和可信的状态。可以完成对指定用户和组的某个文件、某些文件、某个文件夹、某些文件夹的访问控制。管理员能指定这些文件和文件夹的访问权限，只有特定的用户和组才有访问这些专门用户或服务器的指定文件和文件夹，其余用户或PC均无权访问可扩展性:支持多服务器架构并SymantecSEP系统的多服务器构架提供了无限的扩展能力、容错能在各服务器之间同步安全策略能力、性能的最佳化以及整体的策略一致性.基于用户的策略管理使用基于用户的策略使得管理员设置的安全策略一直跟随用户而与用户登录到那一台计算机无关.基于计算机的策略管理基于计算机的策略不会随登录的用户而改变,任何用户只要登录到同一台计算机SymantecSPA都会执行相同的安全策略.能功根据用户网络环境的不同使用灵用户可控制设置(包括修改策略以及查看日志>可以随着SPA所处的理位置而动态改变.例如:当用户在家里使用网络时可以完全由用户自管活的用户控制功能己控制,当用户连接到企业网络时由服务器来控制.级业SymantecSPM服务器可以按照可配置的间隔去查询目录服务器并企能够和企业的目录服务自动同步同步SymantecSPM服务器和目录服务器上的用户列表.LDAPSymantecSPM服务器能够从LDAP目录服务器中导入用户、计算机、OU架构<含子OU）.NT域控制器SymantecSPM服务器能够从NT域控制器中导入用户、计算机、OU架构<含子OU）活动目录SymantecSPM服务器能够从活动目录服务器中导入用户、计算机、OU架构<含子OU）28/43功能/特性 说明 策略应用到所有的子组 .图形化的规则查看器允许管理员使用单一的图形化的表示方式来查图形化的规则查看器 看所有的策略.这使得管理员能更好的了解每一条单独的规则在整个策略中产生的影响.IDS规则编辑器 IDS规则编辑器使管理员能够定制或创建新的 IDS特征和模式.管理员能够配置 SPA的策略使其在特定规则被触发时向管理发出报基于规则的警告及通知警和通知.基于组的管理权限设置以及详细可以限制管理员只能访问特定组并且只有执行部分操作的权利.所有的日志管理员的活动情况以及所有客户端/服务器之间的通讯都被记录下来.可使用RSASecurID对服务器访可以设置SymantecSPM服务器使用RSASecurID来对试图登录的管理员进行身份认证.RSASecurID是业界领先的双因子认证解决方问进行认证案.基于组的客户端软件自动升级功对SymantecSPA软件(客户端>的升级是通过心跳协议自动完成的.能实时的客户端状态监控功能实时监控客户端状态(用户名,操作系统,安全策略/配置等>的能力.主机完整性规则可以在不同的组或者处所上定义，极大增强了策略分组管理的主机完整性检查的灵活性。同时SPM也提供了一个可以从互联网上下载并且不断更新的主机完整性策略模版供用户参考。客户端和服务器的通讯是相互认证的。必须保证SPA连接到的是一客户端/服务器通讯个有效的服务器，同时仅仅是经过认证的SPA才可以连接到服务器。SPM服务器也可以通过推的方式去发布最新的策略，这对于紧急情况下的策略更新特别有用。支持第三方日志分析系统:安全与第三方的管理系统集成向其发送日志进行分析,生成报表.信息管理以及网络威胁监控SymantecSPM服务器支持SymantecSPM服务器可以安装到Windows平台.Windows平台支持MicrosoftSQLServer数据SymantecSPM服务器支持使用SQLServer数据库来存放策略和日库志数据支持IISWeb服务器SymantecSPM服务器可以使用IISWEB服务器来运行基于WEB的管理控制台以及同SPA之间通讯.支持IplanetWeb 服务器嵌入式的数据库支持增强的数据库功能可管理的域功能

SymantecSPM服务器可以使用IplanetWEB服务器来运行基于WEB的管理控制台以及同SPA之间通讯.SPM服务器可以支持嵌入式服务器，支持小于 5000用户一下的企业；可以在不同服务器中导入导出策略；提供了新的数据库备份和恢复工具；强大的SPM站点复制工具；可以同步所有站点上的日志SymantecSEP服务器可创建多个可管理的域。不同域中的数据是相互独立的，不同于管理员不能查看其它域上的数据。此功能对一个有众多子公司或众多地域上分支机构的集团企业非常有用，因为可能你需要分开管理这些机构。业全略主机防火墙强制(AreYou系统能够检查连接到企业网络的用户是否在运行SymantecSPA.企安策There?>29/43功能/特性说明主机防火墙安全策略强制系统能够检查连接到企业网络的用户的主机型防火墙的策略是否和SymantecSPM服务器所定义的策略一致.只使用单一的代理软件实现主机该系统的代理部分不需要安装多个代理软件就能实现主机防火墙,入防火墙、入侵检测预防、以及策侵检测预防以及策略强制的功能略强制执行强制运行主机型入侵检测系统系统能够检查连接到企业网络的用户是否运行了主机型入侵检测软件.主机型入侵检测系统特征文件升系统能够检查连接到企业网络的用户的主机型入侵检测软件特征库级状态强制和模式文件是否按企业安全策略的规定更新了.强制运行防病毒软件系统能够检查连接到企业网络的用户是否运行了指定的防病毒软件.系统能够检查连接到企业网络的用户的防病毒软件病毒特征库是否强制更新防病毒软件病毒特征库按照企业的安全策略进行了升级 .系统能够检查连接到企业网络的用户是否运行了定制的或第三方的强制运行客户自定义应用程序安全软件.系统能够检查连接到企业网络的用户计算机上是否存在有定制的或强制客户自定义文件更新第三方的文件.系统能够检查连接到企业网络的用户是否安装了企业安全策略所规强制操作系统补丁更新定的操作系统补丁系统能够检查连接到企业网络的用户是否安装了企业安全策略所规强制应用程序补丁更新定的应用程序补丁 .系统能够检查连接到企业网络的用户的系统是否有指定的注册表键强制注册表内容符合要求值存在.从SymantecSPM服务器设置认WEB的管理控制台设置认证强制服务器的策略.系统能够从基于证强制服务器的策略在SymantecSPM服务器上直接系统能够搜集认证强制服务器的日志,并通过基于WEB的管理控制查看强制认证网关日志台查看这些日志.从SymantecSPM服务器上直接WEB的管理控制台修改认证强制服务器的设置.系统能够从基于配置强制认证网关策略系统能够以可设置的间隔检查连接到企业网络的客户端的策略强制实时并持续强制企业的安全策略执行情况.系统能够允许那些被认证强制服务器拒绝的用户仅连接到升级服务自动恢复客户端的主机完整性器以恢复其安全策略的执行(例如:在升级完成之前仅允许和防病毒软件升级服务器连接,升级完成之后就允许用户访问网络的其他部分>.可定制主机完整性检测的弹出消可定制的策略强制执行弹出消息,可以包含指示或关于企业安全策略息的信息.操作系统检测并自动放行非操作系统检测功能使得SymantecEnforcer强制服务器可以检测客户计算机的操作系统类型,并可以允许那些非Windows操作系统的Windows平台客户端客户能够访问企业网络.对于那些连接到企业网络又没有安装 SymantecSPA 的用户,管理员代理通知可以使用Windows弹出消息通知他们需要