HLJ农信社端点防护和网络准入解决方案建议书.doc

XX省农信社 技术方案书 XX省农信社端点安全防护与网络准入技术方案书供应商：赛门铁克软件（北京）有限公司2009年11月目 录第1章项目综述61.1项目背景61.2总体技术思路及优势7第2章农信社客户端安全管理系统设计说明102.1设计原则102.2管理系统功能组件说明102.3客户端安全管理系统架构设计说明142.3.1三级以上管理架构142.3.2服务器集群与冗余152.3.3管理域的划分162.3.4策略的同步与复制172.3.5客户端漫游182.3.6网络准入控制设备的高可用性192.3.7内嵌式数据库支持20第3章SYMC客户端安全管理系统说明213.1客户端安全管理系统功能列表213.2网络准入控制功能说明333.2.1主要优势333.2.2网络准入控制工作流程343.2.3网络准入控制策略说明353.2.4常见准入控制方法工作原理373.3客户端常见功能说明423.3.1以应用程序为中心的主机防火墙423.3.2主机入侵检测423.3.3系统加固模板423.3.4外设控制423.3.5系统锁定（System Lockdown）433.3.6文件/文件夹访问权限管理433.3.7应用程序管理43第4章农信社客户端安全管理平台整体规划454.1客户端安全管理项目部署示意图454.2隔离VLAN的规划464.3交换机上的准备工作474.4采用渐进式部署的策略说明484.5不同检查结果下的交换机联动策略484.6Lan Enforcer工作原理说明494.7Gateway Enforcer工作原理说明524.8容灾设计534.9服务器数量规划和硬件配置要求554.9.1策略管理服务器554.9.2修复服务器564.9.3SNAC6100硬件564.10IP地址规划及开放端口要求574.11安全管理策略设计584.11.1管理权限策略584.11.2组结构策略594.11.3备份和数据库维护策略594.11.4安全管理策略594.12项目实施内容61第5章技术特点总结65第6章软件服务与培训计划676.1软件技术支持计划676.1.1SYMC技术服务解决方案676.1.2SYMC关键业务客户的专有服务696.1.3SYMC技术服务解决方案功能706.1.4SYMC技术服务解决方案726.2软件培训计划736.2.1SYMC SEP11培训736.2.2SNAC 11培训74第7章国内客户端安全产品用户名单767.1SYMC国内客户端安全产品客户名单767.2SYMC国内防病毒产品金融客户名单81第8章国内金融行业成功案例简介858.1北京农村商业银行终端安全管理858.2中国信达资产管理公司终端信息安全防控体系888.3中国太平洋集团（股份）有限公司94第1章 项目综述1.1 项目背景XX省农信社（以下简称农信社）联网终端呈不断增长的趋势，且目前的终端安全管理状况混乱，安全标准环境不统一，同时根据农信社的数据中心规划，未来OA网的终端能同时访问互联网与生产网，这对农信社的终端安全管理提出了更高的挑战！终端作为接入网络的主要门户，与办公、生产网络的整体安全息息相关。如何有效的规范和管理接入的终端群体，是加快农信社信信息化建设，提高农信社信息安全管理水平的关键。为了保障IT环境的安全，为了给办公、生产终端创造一个理想的工作生存环境，农信社在系统内目前部分终端已经赛门铁克的防病毒软件，但很多其它终端由其是地市和县级的终端并未采取任何终端防护技术手段，需要做进一步的终端防护产品扩容改造。客户端安全管理并非防病毒软件就能解决所有问题，防病毒和和补丁管理的共同弱点是同属于被动型解决方案，它们滞后于病毒和零时点攻击，而且在大型和特大型网络环境下，全网统一杀毒和统一打补丁的能力难以形成。归结原因，就是缺乏一种有效的强制手段，保障接入网络的终端上，其防病毒软件、补丁管理软件不被非法卸载，保障病毒库和补丁能够得到及时升级。另外网络作为病毒传播最青睐的途径，单机感染快速型病毒后所产生的传播流量不亚于一次中小规模的DDOS攻击，一些百兆的网络设备就会出现负载过重，陷于停顿的状态。如果大面积终端感染，即使千兆骨干网络也难堪重负，所以终端安全管理还应该和网络联动起来，配合网关，交换机等网络设备将受病毒感染的终端隔离出去，来实现全方位（holistic）、多层次的安全。金融数据的重要性和敏感性决定了农信社对安全事件只能有非常低的容忍度。要想实现对病毒、黑客、内部违规行为等威胁金融业务的安全事件进行积极的防御，统一的客户端安全管理便迫在眉睫。农信社应该采取更为主动的战略，实现客户端的统一安全管理，消除终端上的各种安全隐患，实现终端从无序到有序的转变，从而夯实安全的每一块基石。本技术建议书根据农信社对客户端安全管理项目的要求，采用Symantec公司（以下简称SYMC）的Symantec Endpoint Protection 11（以下简称SEP）和Symantec Network Access Control 11（以下简称SNAC）来建立客户端安全管理的平台。Symantec Endpoint Protection 中的端点安全代理已集成网络准入控制技术，通过导入Symantec Network Access Control 许可证就可以轻松启用该技术。所以，在部署 Symantec Endpoint Protection 后，无需在端点设备上部署其它代理软件即可实施网络准入控制。另外，为了简化管理， Symantec Endpoint Protection 和 Symantec Network Access Control 使用同一管理控制台管理所有功能。SymantecEndpoint Protection11和Symantec NetworkAccess Control 11除了能完全符合项目要求以为，还具备极强的功能扩展能力。作为SYMC在终端产品线最重要的解决方案，公司正致力于将客户端安全管理、服务器保护、网络准入控制、IT生命周期管理等产品都整合到同一个控制台之下。1.2 总体技术思路及优势根据农信社对客户端安全管理项目的要求，作为客户端安全解决方案的领先厂商，我们的总体技术思路如下：简化客户端安全管理 多重技术、一个产品目前农信社的需求中，有的强调检查系统漏洞和弥补漏洞；有的强调网络准入控制；有的强调设备控制和应用监管；有的强调文件审计。从发展趋势来看，安全和管理开始向终端回归。可以预期，随着IT水平的提高，农信社在终端管理上会有着越来越多的管理类，保护类，监控审计类需求。如果在每个端点上分别部署多个安全产品的话，不仅需要很长时间，而且还会增加 IT 复杂性和成本。于是，企业需要为各类不同的端点安全解决方案提供管理、培训和支持。另外，不同技术往往会相互妨碍，或者由于资源消耗较大而对系统性能造成不良影响。为了降低与部署和管理多个解决方案相关的复杂性和成本，SYMC将多种一流的端点安全管理技术整合为一个集成代理，可通过一个统一控制台进行管理。Symantec Endpoint Protection 不仅可以增强防护，而且可以降低多个安全性产品相关的管理开销和成本。不仅如此，该产品还让管理员能够随时间推移灵活地扩展防护解决方案。他们可以从少数几种安全管理技术开始，然后根据需要启用其它技术。以网络准入控制为基石，构筑客户端安全管理的平台网络准入控制具备强制的“色彩”，可以承载和保障农信社各种终端安全管理功能的实现。所以它是构筑客户端安全管理平台的基石，它的成功与否将直接决定整个系统的成败。网络准入控制的核心思想在于屏蔽一切不安全的设备和人员接入网络，或者规范用户接入网络的行为，从而铲除网络威胁的源头，避免事后处理的高额成本。网络准入控制需要创建一个终端接入的可信尺度。对于农信社来说，典型的策略是强制验证操作系统补丁是否更新，反病毒软件是否在运行及病毒库是否更新，端点防火墙软件是否在运行及被适当的配置。管理员也可以进一步执行更多高级策略，检查特定安全软件或特殊安全配置是否存在。一旦策略创建完成，就有了在终端连入网络时可参照的安全基线。它通过提前的“准入扫描”，来确保终端可信状态并授权。基于该基线评估结果，访问控制（Access Control）授予该连接系统相应级别的访问权限。例如，一个达标的系统将会获得全部的网络访问权限。不达标的系统或者被彻底阻止，没有任何的网络访问权限；或者为了减少对网络的威胁（通常也为了修复），将授予该系统某一隔离级别的网络访问权限，并帮助恢复达到安全策略的要求。为了使网络准入控制真正有价值，修复过程必须自动化。换句话说，就是不需要求助技术支持小组，系统自动恢复到符合安全策略的要求。一旦系统经过隔离修复处理，被允许连接入网络，就需要一种监控技术确保这些系统保持达标的状态，不要出现违规的情况。违规的系统必须被隔离，直到它们被修复。第2章 农信社客户端安全管理系统设计说明2.1 设计原则l 在制订客户端安全管理系统功能选型时，应充分利用现有资源，避免多家厂商产品同时介入造成管理上的混乱和功能上的重叠；l 满足目前的管理模式，不需要变更网络拓扑，不需要对当前网络环境进行适应性升级改造；l 支持总分，多级以上的管理模式。保障农信社对各分支机构的终端安全管理建设具有一定的指导能力，但是各分支机构的管理工作可独立开展和进行；l 具备高扩展性：体现在被管终端数量扩展能力和平台功能扩展能力两方面；2.2 管理系统功能组件说明终端安全管理系统包括三部分组件：策略管理服务器策略服务器实现所有安全策略、准入控制规则的管理、设定和监控，是整个终端安全标准化管理的核心。通过使用控制台管理员可以创建和管理各种策略、将策略分配给代理、查看日志并运行端点安全活动报告。通过图形报告、集中日志记录和阈值警报等功能提供全面的端点可见性。统一控制台简化了端点安全管理，提供集中软件更新、策略更新、报告等功能。策略管理服务器可以完成以下任务： l 终端分组与权限管理；l 根据地理位置、业务属性等条件对终端进行分组管理，对于不同的组可以制定专门的组管理员，并进行权限控制；l 策略管理与发布；l 策略包括前瞻性威胁防护策略、防火墙策略、入侵防护策略、硬件保护策略、软件保护策略、升级策略、主机完整性策略等；l 安全内容更新下发；l 安全内容更新包括防火墙规则、入侵防护定义、主动威胁防护规则等；l 日志收集和报表呈现；l 可以生成日报/周报/月报，报告种类包括：风险报表（以服务器组、父服务器、客户端组、计算机、IP、用户名为条件识别感染源、当前环境下高风险列表、按类型划分的安全风险）、计算机状态报表（内容定义分发、产品版本列表、未接受管理客户端列表）、扫描状态报表、审计报表、软件和硬件控制报表、网络威胁防护报表、系统报表、安全遵从性报表。l 强制服务器管理和策略下发；l 对于DHCP 强制服务器、交换机强制服务器和网关强制服务器进行统一的管理和策略定义；l 终端代理安装包的维护和升级；终端代理（单个代理程序包括终端保护和准入控制功能）终端安全管理系统需要在所有的终端上部署安全代理软件，安全代理是整个企业网络安全策略的执行者，它安装在网络中的每一台终端计算机上。安全代理实现端点保护和准入控制功能。端点保护功能包括：l 网络威胁防护 提供基于规则的防火墙引擎和主机入侵防护，该功能可以在恶意软件进入系统前将其阻止在外。l 设备控制功能 让管理员能够拒绝被认为存在高风险的特定设备，使企业能够根据用户位置禁止特定的操作。设备控制技术让管理员能够决定并控制允许哪些设备连接端点。例如，它可以锁定端点，禁止便携硬盘、CD 刻录机、打印机或其它 USB 设备连接到系统，以防止将机密信息从系统复制到其中。禁止设备连接的功能还可以帮助防止端点受来自上述设备以及其它设备的病毒感染。l 应用程序控制技术 让管理员能够按照用户和其它应用程序，控制对特定进程、文件和文件夹的访问。它提供应用程序分析、进程控制、文件/文件夹访问控制、注册表访问控制、模块和 DLL 控制。如果管理员希望限制和审计被认为可疑或存在高风险的某些活动，则可以使用该高级功能。端点准入控制功能包括：l 主机完整性检查和自动修复：检查终端计算机上防火墙、客户端安全管理软件、反间谍软件、补丁程序、Service Pack 或其他必需应用程序是否符合要求，具体内容可以是对客户端安全管理程序的安装，windows补丁安装，客户端启用强口令策略，关闭有威胁的服务与端口。因为主机完整性检查支持对终端的注册表检查与设置，进程管理，文件检查，下载与启动程序等，所以可通过设置自定义的策略来满足几乎所有对客户端的安全策略与管理要求。l 自我强制（Self Enforcement）：当终端的安全设置不能满足企业基准安全策略的需求，终端代理软件可以限制终端的网络访问，如只能访问修复服务器进行自动修复操作。l 端对端强制（Peer to Peer Enforcement）：当终端代理发现远程通讯主机没有安装终端代理软件或者不符合企业基准安全策略的需求，终端代理软件可以限制与远端主机之间的通讯。以上两部分功能由一个代理软件完成，接受策略管理服务器的统一管理。网络准入控制服务器（SNAC 6100 Appliance）一旦主机完整性检查策略创建，所有安全策略在网络连接时将受到Complicance On Contact（连接之际安全之时） 的强制。Compliance on Contact 在公司网络上的每一连接点进行策略符合性检查。包括在用户经过IPSec VPN 、SSL VPN 、有线以太网络和无线网络连接到公司网络时，执行整套的NAC 安全基线检查。SYMC的网络准入控制服务器作为硬件设备交付。硬件设备包括 LAN Enforcer、DHCP Enforcer 和Gateway Enforcer三种工作模式，其中 DHCP Enforcer 模式某些情况下可以作为软件插件而提供。l LAN Enforcer LAN Enforcer是带外 RADIUS解决方案，它与支持 802.1X 标准的所有主流交换机协同工作。LAN Enforcer 可以作为Radius 代理，加入对用户和端点进行身份验证的现有 AAA 身份管理架构中；对于只要求进行端点安全遵从检查的环境，也可以充当独立的 RADIUS 解决方案。LAN Enforcer 可根据连接端点的身份验证结果以及安全检查结果来设置交换机端口访问权限。l Gateway Enforcer Gateway Enforcer 是在网络咽喉处使用的内连式（Inline）强制设备。它根据远程端点的策略遵从情况控制将要通过自己的通信流量。不管咽喉点是位于边界网络连接点上（如WAN 链接或 VPN），还是位于访问关键业务系统的内部网段上，Gateway Enforcer 都可以对身后的资源和修复服务提供有效的访问控制。l DHCP Enforcer 将DHCP Enforcer 以内连（Inline）方式部署在端点和现有 DHCP服务基础架构之间，充当 DHCP 代理。在对策略遵从状况进行验证之前，为强制的所有端点提供限制性的DHCP 租约分配，此时会将一个临时 DHCP 租约分配给端点。DHCP Enforcer 与 Microsoft DHCP Server 插件的集成可以实现网络访问控制的快速部署，而不需要在网络上部署其它设备。SYMC网络准入控制服务器在网络中的使用方法可以参考下图：2.3 客户端安全管理系统架构设计说明2.3.1 三级以上管理架构农信社内部网络逻辑拓扑为四级树形结构，包括总部，地市，县级，营业网点。客户端安全管理平台应按照四级架构设计，二级管理的模式，即总部地市县级营业网点均部署终端防护产品，省中心和地市分别部署管理控制服务器对终端进行管理，因为考虑到地市、县和营业网点的终端数量较多，以免造成单级管理的负载和多级管理的资源浪费。其总体部署可参见下图：这种三级以上的管理架构，能够帮助农信社加强内部集约化的管理。SYMC客户端安全管理系统不仅有能力覆盖国内大中城市与主要国际金融中心，也能够覆盖农信社下属若干个分散的营业网点。另外，由于农信社省中心与地市、地市与县的网络带宽限制，如果同时几千台客户端向策略服务器进行病毒定义和主机IDS特征更新时将会占用较大带宽，严重影响正常业务系统的访问；如果在每一层架构独立部署策略服务器又会造成成本的增强，赛门铁克SEP11.0独有的GUP（Group Update Provider）技术可以将县级的任一SEP客户端作为病毒定义更新的服务器，不需要访问地市和省中心的服务器进行下载更新，充分保障了带宽的有效利用，不影响业务系统的正常访问。2.3.2 服务器集群与冗余考虑到终端数量的增长，客户端安全管理平台在性能上应该具备良好的扩展性。平台应该具备动态集群的能力。也就是说，当平台的负荷将要出现瓶颈的时候，可以随时增加一台服务器。新增服务器和旧的系统间形成集群关系，它会自动分担原系统上的管理流量。当某一台服务器宕机或者需要离线维护的时候，它的管理工作会自动迁移到其他的管理服务器。为了实现这个目标，系统必须是多层架构，多台管理服务器共享同一个数据库的模式，如下图所示。为了便于规划和管理，控制台上还应该可以指定那些终端划归集群中的那些服务器管理。2.3.3 管理域的划分为了便于客户端的维护与管理，系统必须能够支持管理域的划分，从而实现真正意义上的分级管理。灵活的管理域划分包括“顶级系统域”、“管理域”、“用户组”、“用户”等不同级别的概念，可根据业务逻辑、组织架构灵活制定管理区域，满足复杂结构需求。建议农信社根据组织结构来划分管理域，各级单位拥有各自的管理域。从域管理员的角度来看，管理域之间是互不信任的关系。管理域是管理上的安全边界，在这个边界之内的任何管理对象对于另外一个管理域都是不可见的。这些管理对象包括管理员，组结构，客户端，策略，日志报表等等。一个客户端也只能在指定的管理域内注册，不能非法加入到其他的管理域中。在管理域的下面，还应该具备如下几个功能：l 支持现有用户与群组结构的导入从管理的角度来讲，不会容忍每套产品都独立维护一套用户群组结构。LDAP目录技术将成为各系统集成的一个重要桥梁。用户安全接入控制管理系统应能够从NT域控制器，活动目录服务器，LDAP服务器中导入用户/计算机列表并能够和这些服务器定期同步更新用户/计算机列表。通过该功能，管理员可以方便的延用农信社现有的用户分组管理方式。l 受限域管理员，担当基于组、基于角色的管理在同一个管理域下，也应该存在更小的管理单元，这就是组。组的结构类似于树状，这意味着组的下面可以分化出更多的子组。将一部分（子集）用户管理的权限授予特定的域管理员，这就是基于组的管理。它可以满足不同部门独立管理各自的终端群组、策略和日志报表的要求。l 策略的继承与终结通常来讲，同一个组内的安全风险、安全策略是一致的。策略的继承可以极大的简化域管理员的工作量，策略继承使得管理员能够在任意一级组上设置安全策略并且使这些策略应用到所有的子组。但是总会有例外发生，总是有一些子组用户需要授予特别的策略。在这种情况下，域管理员可以打断该子组和父组间的继承关系，开始新的策略。2.3.4 策略的同步与复制在农信社全网范围内，在一级客户端安全管理平台，制定并下发统一的全网安全策略。这些策略通过同步与复制的机制，在一级和下级服务器间保持一致。下级管理平台上策略的变更也都会同步回一级控制平台，在一级管理平台上可以预览任何一个二级、三级甚至更低级别服务器上的策略应用情况。复制就是不同地点或站点间的服务器系统通过特别拷贝来共享数据的过程。客户端安全管理平台的策略同步复制在逻辑上和微软域策略的同步复制类似，它并非简单的数据库间复制关系，它内部包含有周全的防止策略冲突的处理。通过策略复制与同步，不同地点的用户都工作在本地的副本之上，然后同步他们之间的变更。在客户端安全管理平台上，策略复制还可以将一个管理服务器上的变更同步到另一个数据库上，实现冗余备份。通过策略复制，客户端安全管理平台能够支持多级管理，保障农信社对各分行的终端安全管理建设具有集约化管理的能力。 2.3.5 客户端漫游农信社网络中，员工不可能仅固定在一个处所办公。出差的员工和远程接入的员工会工作于多个不同的地点。 这个时候，客户端安全管理策略就不可能一成不变。要想适应客户端漫游的情况，管理平台必须有能力为客户端配置专门的漫游策略，而这些漫游策略能自动感知网络位置所发生的变化。当客户端工作在新的网络环境中时，客户端知道如何启用正确的漫游策略，如何联系本地的管理服务器，从而更新远程服务器上的策略并发回日志。本地的网络准入控制设备，也能正确识别出这是农信社企业内部的客户端，验证其安全合规性并授予相应的网络访问权限。SYMC客户端可以根据如下组合条件判断该启用哪一套漫游策略：l 能根据IP地址，如本地IP地址、网关地址、WINS服务器地址、DNS服务器地址、DHCP服务器地址（是否含特定IP地址、IP地址范围、IP地址子网掩码、MAC地址）自适应切换不同的安全策略；l 能根据 网络连接类型（含拨号上网、以太网卡、无线网络、Checkpoint VPN、Cisco VPN、Microsoft VPN、Netscreen VPN、Nortel VPN、Aventail SSL VPN）自适应切换不同的安全策略；l 能根据是否连接到策略管理服务器自适应切换不同的安全策略；l 能根据 DNS域名解析结果自适应切换不同的安全策略；客户端策略中，以下部分与网络处所相关，可为漫游场景单独设定：l 客户端运行时的控制模式l 客户端的所有端点保护策略和准入检查策略l 客户端所使用的管理服务器列表l 客户端运行时的更新下载模式l 是否需要将客户端上运行的所有程序清单收集并提交给管理服务器l 客户端下载的心跳间隔2.3.6 网络准入控制设备的高可用性网络准入控制设备用来裁决联网终端能否上网。为了预防准入控制机制失效不会导致大面积终端无法上网，不会造成严重的网络停顿，准入控制设备必须具备严格的品质测试和完善的保障机制，以确保服务的高效运行并持续提供高可用性。SNAC6100是预先配置好的硬件，采用了定制和加固的操作系统，并进行了性能优化，运行稳定，便于部署和维护。SNAC 6100可以工作为Lan Enforcer、DHCP Enforcer、Gateway Enforcer三种模式之一。当工作在不同的模式下时，其性能指标考核方式和容错方式各有不同。l 当SNAC 6100工作成Gateway enforcer模式时，它是串接在网络上的，扮演一个透明网关设备。其关键性能指标如下：并发会话数 25,000 吞吐 超过1.7 Gbps延迟 一旦客户端通过验证(即他们通过HI检查，并且Gateway Enforcer放行其流量)延迟时间很低，小于200us.容错 提供FailOpen的直通卡选件。当硬件故障时，可直接旁路，不会导致链路故障。l 当SNAC6100工作成Lan Enforcer模式时，它是旁路连接的，用来管理交换机。其关键性能指标如下：并发会话数 10,000容错 提供Active Active的热备方式。因属关键设备，影响到局域网接入，采购时，需考虑成对的购买，两台6100互为热备l 当SNAC6100工作成DHCP Enforcre模式时，它是串接在DHCP服务器前面的，其关键性能指标如下：并发会话数 50,000容错 提供Active Passive的热备方式。因属关键设备，影响到动态IP的分配，采购时，需考虑成对的购买，两台6100互为热备。2.3.7 内嵌式数据库支持因为农信社终端总体数量庞大。在后期部署时，必须考虑客户端安全管理系统使用商业数据库所派生出的许可证授权费用，这是一笔极其昂贵的额外成本。SYMC客户端安全管理系统内建有Sybase的嵌入式数据库，使用时无需许可证授权。当终端管理数量不多时，完全可以不必购买大型商业数据库。SYMC终端安全管理系统内嵌式数据库优势如下：l 内嵌式的数据库资源占用少，而且是零管理成本。l 内嵌式数据库现在最高可以支持到5000台管理终端l 在终端数量少时，其性能甚至超过MS-SQL 数据库第3章 SYMC客户端安全管理系统说明3.1 客户端安全管理系统功能列表重要功能/特性说明典型应用客户端功能以应用程序为中心的防火墙引擎应用程序为中心的防火墙将应用层的信息和其他传统的防火墙参数(端口、协议、IP、方向、时间)结合起来以更有效的对抗基于应用程序的攻击方式(木马、蠕虫、恶意代码等)1. 基于组的访问控制列表2. 上网类程序控制（代理类、下载类,聊天类,游戏类,炒股类,恶意软件类等）3. 网络程序黑、白名单基于特征库的入侵检测预防引擎基于特征库的入侵检测预防引擎使得管理员能够根据已知恶意通讯的模式来阻断入侵.1. 防范蠕虫2. 基于协议指令的通讯控制基于行为或应用程序的入侵检测预防引擎 基于行为或应用程序的入侵检测预防引擎将应用层的信息和其他更为传统的入侵检测模式结合起来以实时地检测和阻断入侵企图同时减少误报警并提高性能.1.防范未知木马基于网络环境的动态安全策略切换基于网络环境的动态安全策略切换使得企业能够使用合适的安全策略来对抗和用户连接到网络时所处位置(办公室、家中、机场、宾馆、展示会等)相关的风险.1. 保护使用笔记本的移动用户2. 客户端漫游策略基于网络适配器的动态策略 (VPN, 拨号, 无线网卡, 以太网卡, )该功能允许Agent动态地采取不同的安全策略以消除和网络连接方式(以太网、拨号、无线网络、VPN)相关的威胁1. 防止非法外连2. 防止一机上两网安全策略本地强制（Self Enforcement）Agent能够以可配置的间隔自动检测客户端安全措施执行的完整性而不需和认证强制服务器通讯。如果系统没有通过主机完整性检测，Agent将自动切换到一套隔离策略以阻断网络通讯然后开始执行完整性恢复操作.1. 主机自我隔离端对端强制（P2P Enforcement）确保端到端的通讯仅能发生在企业自己的和受控的终端之间，并且终端必须符合企业的端点安全策略1. 在不适合部署SNAC6100设备的环境下或SNAC6100无法覆盖的范围内，可以启用P2P Enforcement主机完整性自动修复如果主机完整性不符合安全策略的要求, SEP能够自动执行恢复操作, 这包括: 运行本地命令, 下载并执行/保存文件; 最终使符合安全策略的主机连接到企业网络. 常用的恢修复操作有:开启客户端安全管理软件, 主机防火墙, 主机型入侵检测软件，升级病毒定义, 主机防火墙策略, 主机入侵检测特征库，下载并安装补丁，更改操作系统设置1. 统一桌面管理设置2. 安全加固3. 安全修复4. 病毒库、补丁等常见安全检测经过广泛认证的VPN 解决方案协同工作能力SEP系统通过了Check Point, Nortel, Cisco, Intel, Enterasys, Netscreen, Alcatel，Aventail, SafeNet, Microsoft等主流VPN软硬件供应商的VPN协同工作能力认证. 提供广泛的VPN系统兼容性.全面支持所有Windows平台 (Windows 2000,XP)目前SEP已经能够支持.NET平台，64位操作系统OS Protection对操作系统系统级别的保护功能控制和监视Windows API调用用户PC机。这个功能允许管理员控制用户对客户机的文件、注册表和进程的访问；通过对操作系统提供的保护，管理员可以做到：保护专门的注册表键和键值、保护Windows系统目录、阻止用户更改系统配置文件、防护系统重要目录和文件，如SEP的安装目录、对专门的进程提供专门的防护、控制对DLL的访问;1. USB存储设备只读2. 防止USB木马传播3. 防止IE加载恶意插件4. 禁止程序运行5. 注册表键保护6. 文件修改审计OS Protection对操作系统设备级别的保护功能允许管理员放行或阻断用户对本机上的系统设备的访问。如USB、红外、火线、SCSI、并口、串口等1. 设备管理2. 禁用USB存储设备系统锁定系统锁定能允许管理员控制客户机上可以运行的应用程序。SEP通过创建包含Checksums值和处所的应用程序的数字文件指纹来完成对应用程序的管理。这些应用程序可以是可执行的文件，如.exe文件、.com文件，也可以是.dll文件和.ocx文件。通过使用系统锁定，管理员能锁定任何特洛伊木马程序、间谍程序或者是恶意代码，在这些程序企图运行，或者试图把自己加载在已知的应用程序（如Internet Explorer）之前牢牢地控制住，保证用户的操作系统始终处于一个已知的和可信的状态。1. 服务器保护2. 特殊目录锁定文件访问控制可以完成对指定用户和组的某个文件、某些文件、某个文件夹、某些文件夹的访问控制。管理员能指定这些文件和文件夹的访问权限，只有特定的用户和组才有访问这些专门用户或服务器的指定文件和文件夹，其余用户或PC均无权访问1. 文件访问权限管理服务器管理功能可扩展性: 支持多服务器架构并能在各服务器之间同步安全策略SEP系统的多服务器构架提供了无限的扩展能力、容错能力、性能的最佳化以及整体的策略一致性.基于用户的策略管理使用基于用户的策略使得管理员设置的安全策略一直跟随用户而与用户登录到那一台计算机无关.1. 基于用户身份认证授权基于计算机的策略管理基于计算机的策略不会随登录的用户而改变,任何用户只要登录到同一台计算机Agent都会执行相同的安全策略.1. 基于机器身份认证授权能够和企业的目录服务自动同步SEP策略服务器可以按照可配置的间隔去查询目录服务器并同步SEP策略服务器和目录服务器上的用户列表.LDAPSEP策略服务器能够从LDAP目录服务器中导入用户、计算机、OU架构（含子OU）.域控制器SEP策略服务器能够从NT域控制器中导入用户、计算机、OU架构（含子OU）活动目录SEP策略服务器能够从活动目录服务器中导入用户、计算机、OU架构（含子OU）基于组的策略继承（多级组策略）策略继承使得管理员能够在任意一级组上设置安全策略并且使这些策略应用到所有的子组.基于规则的警告及通知管理员能够配置Agent的策略使其在特定规则被触发时向管理发出报警和通知.基于组的管理权限设置以及详细的日志可以限制管理员只能访问特定组并且只有执行部分操作的权利.所有管理员的活动情况以及所有客户端/服务器之间的通讯都被记录下来.基于组的客户端软件自动升级功能对Agent软件(客户端)的升级是通过心跳协议自动完成的.实时的客户端状态监控功能实时监控客户端状态(用户名, 操作系统, 安全策略/配置等)的能力.分组管理的主机完整性检查主机完整性规则可以在不同的组或者处所上定义，极大增强了策略的灵活性。同时SEP策略服务器也提供了一个可以从互联网上下载并且不断更新的主机完整性策略模版供用户参考。客户端/服务器通讯客户端和服务器的通讯是相互认证的。必须保证Agent软件连接到的是一个有效的服务器，同时仅仅是经过认证的Agent软件才可以连接到服务器。客户端/服务器通讯支持推和拉两种模式。SEP策略服务器也可以通过推的方式去发布最新的策略，这对于紧急情况下的策略更新特别有用。支持第三方日志分析系统: 安全信息管理以及网络威胁监控与第三方的管理系统集成向其发送日志进行分析, 生成报表.支持Microsoft SQL Server数据库SEP策略服务器支持使用SQL Server数据库来存放策略和日志数据嵌入式的数据库支持SEP策略服务器可以支持嵌入式服务器，支持小于5000用户以下的企业；增强的数据库功能可以在不同服务器中导入导出策略；提供了新的数据库备份和恢复工具；强大的SEP策略服务器站点复制工具；可以同步所有站点上的日志可管理的域功能SEP策略服务器可创建多个可管理的域。不同域中的数据是相互独立的，不同于管理员不能查看其它域上的数据。此功能对一个有众多子公司或众多地域上分支机构的集团企业非常有用，因为可能你需要分开管理这些机构。准入控制功能主机防火墙强制(Are You There?)系统能够检查连接到企业网络的用户是否在运行Agent软件代理程序.主机防火墙安全策略强制系统能够检查连接到企业网络的用户的主机型防火墙的策略是否和SEP策略服务器所定义的策略一致.强制运行主机型入侵检测系统系统能够检查连接到企业网络的用户是否运行了主机型入侵检测软件.主机型入侵检测系统特征文件升级状态强制系统能够检查连接到企业网络的用户的主机型入侵检测软件特征库和模式文件是否按企业安全策略的规定更新了.强制运行客户端安全管理软件系统能够检查连接到企业网络的用户是否运行了指定的客户端安全管理软件.强制更新客户端安全管理软件病毒特征库系统能够检查连接到企业网络的用户的客户端安全管理软件病毒特征库是否按照企业的安全策略进行了升级.强制运行客户自定义应用程序系统能够检查连接到企业网络的用户是否运行了定制的或第三方的安全软件.1. 检查违规软件，并断网2. 检查特大病毒，并隔离修复强制客户自定义文件更新系统能够检查连接到企业网络的用户计算机上是否存在有定制的或第三方的文件.1. 防止破坏资产管理，远程支持等管理软件的正常运行强制操作系统补丁更新系统能够检查连接到企业网络的用户是否安装了企业安全策略所规定的操作系统补丁强制应用程序补丁更新系统能够检查连接到企业网络的用户是否安装了企业安全策略所规定的应用程序补丁.强制注册表内容符合要求系统能够检查连接到企业网络的用户的系统是否有指定的注册表键值存在.自动恢复客户端的主机完整性系统能够允许那些被认证强制服务器拒绝的用户仅连接到升级服务器以恢复其安全策略的执行 (例如: 在升级完成之前仅允许和客户端安全管理软件升级服务器连接, 升级完成之后就允许用户访问网络的其他部分).1. 隔离修复可定制主机完整性检测的弹出消息可定制的策略强制执行弹出消息, 可以包含指示或关于企业安全策略的信息.操作系统检测并自动放行非Windows平台客户端操作系统检测功能使得强制服务器可以检测客户计算机的操作系统类型, 并可以允许那些非Windows操作系统的客户能够访问企业网络.代理通知对于那些连接到企业网络又没有安装Agent软件的用户, 管理员可以使用Windows弹出消息通知他们需要安装Agent软件.策略强制自学习模式认证强制服务器可以运行在以下模式: 允许所有用户的通讯通过但是记录是否有用户不符合企业的安全策略. 当Agent软件完全部署好之后, 认证强制服务器就可以按照企业的安全策略来允许或阻止用户对企业网络的访问.LAN Enforcer对接入级用户的强制认证功能LAN Enforcer可以和支持802.1X功能的交换机完成对用户的接入认证。当用户没有安装Agent软件或者虽然安装了Agent软件但是安全检查不合格时，LAN Enforcer可以通知交换机将该用户连接的交换机端口关闭，或者通知交换机将该用户的端口VLAN切换到修复通道VLAN，强迫用户完成安全修复后才将用户切换回正常VLAN。1. 交换机强制支持Cisco, Juniper，Check Point, Nortel, Intel, Enterasys, HP, Alcatel, Aventail, SafeNet, Microsoft，华为，中兴等主流软硬件供应商的方案， 支持广泛的网络基础架构。Gateway Enforcer对接入级用户的强制认证功能在用户通过IPSec VPN或、SSL VPN甚至是无线AP试图连接到企业内网时，又或者是从企业的一个内部子网试图访问另外一个内部子网时，SEP的网络准入控制系统实时检查这些用户的安全性。只有安全性达标的用户才能访问企业的局域网。同时，用户的访问方式也受到严格管理，非标准访问方式被禁止使用。当对这些访客用户的安全检查不合格时，SEP的网络准入控制系统对这些用户进行隔离操作，同时根据策略配置要求对这些用户作安全修复操作，确认合格后才予以放行。1. 网关强制Gateway Enforcer对访客提供Web 登录的身份验证管理员可以设置Gateway enforcer对未装Agent的主机进行访客身份认证。Gateway enforcer 将引导用户访问一个web登录页面。用户账号可以存放在本地，也可以是AD/LDAP服务器上。如果访客没有正常的登录，Gateway Enforcer 将不予授权。1. 针对访客的管理Gateway Enforcer URL 重定向功能当用户试图通过Gateway Enforcer的认证时，如果Gateway Enforcer检查出用户端没有安装Agent软件或者是用户端的HI检测不合格，会把用户的访问请求重定向到一个企业内部指定的URL。管理员可以配置这个URL为企业的修复服务器网站或者是其他通告的网站。1. 简化客户端部署安装DHCP Enforcer对接入级用户的强制认证功能当非企业员工，或者是企业员工试图通过有线局域网（如以太网），或者是无线网络（802.11a、802.11b、802.11g）连接到局域网并试图自动获取IP地址时，SEP的网络准入控制系统会首先检查这些用户的安全状态，检查合格者分配其一个正常地址范围内的IP地址；不合格的用户分配另外一个修复区域子网的IP地址，用户此时只能去修复服务器执行自己的主机安全修复操作，其余网络访问均受到限制。当修复操作全部完成之后，SEP的网络准入控制系统才将该用户当前的修复区域IP地址释放掉，同时分配给其一个正常范围内的IP地址，用户此时的网络访问请求才被放行。1. DHCP强制远程漏洞扫描企业不能选择安装永久代理时，可以使用另一个补充性的端点评估方法，即利用远程漏洞扫描。远程漏洞扫描根据来自 SNAC Scanner 的远程漏洞扫描结果，向 SNAC 实施基础架构提供遵从信息。1. 针对访客，或无法安装永久性Agent软件的终端可分解的代理SNAC 提供了一个可分解的临时代理。这可以用于当前不受管理员管理的非企业设备或系统。这些基于 Java 的代理是根据需要提供的，无需管理员权限即可评估端点遵从状况。在会话结束时，这些代理会将其自身从系统中自动移除。1. 针对访客，或无法安装永久性Agent软件的终端3.2 网络准入控制功能说明Symantec Network Access Control 是全面的端到端网络访问控制解决方案，通过与现有网络基础架构相集成，使企业能够安全有效地控制对企业网络的访问。不管端点以何种方式与网络相连，SNAC 都能够发现并评估端点遵从状态、设置适当的网络访问权限、根据需要提供补救功能，并持续监视端点以了解遵从状态是否发生了变化。从而可以营造这样的网络环境：企业可以在此环境中大大减少安全事故，同时提高企业 IT 安全策略的遵从级别。SNAC 使企业可以按照目标经济有效地部署和管理网络访问控制。同时对端点和用户进行授权在当今的计算环境中，企业和网络管理员面临着严峻的挑战，即为不断扩大的用户群提供访问企业资源的权限。其中包括现场和远程员工，以及访客、承包商和其他临时工作人员。现在，维护网络环境完整性的任务面临着前所未有的挑战。如今无法再接受对网络提供未经检查的访问。随着访问企业系统的端点数量和类型激增，企业必须能够在连接到资源以前验证端点的健康状况，而且在端点连接到资源之后，要对端点进行持续验证。SNAC 可以确保在允许端点连接到企业 LAN、WAN、WLAN 或 VPN 之前遵从 IT策略。3.2.1 主要优势部署 SNAC 的企业可以切身体验到众多优势。其中包括： 减少恶意代码（如病毒、蠕虫、间谍软件和其它形式的犯罪软件）的传播 通过对访问企业网络的不受管理的端点和受管理的端点加强控制，降低风险 为最终用户提供更高的网络可用性，并减少服务中断的情况 通过实时端点遵从数据获得可验证的企业遵从信息 企业级集中管理架构将总体拥有成本降至最低 保护对客户端安全管理软件和客户端防火墙这样的端点安全产品的投资3.2.2 网络准入控制工作流程网络访问控制流程网络访问控制是一个流程，涉及对所有类型的端点和网络进行管理。此流程从连接到网络之前开始，在整个连接过程中持续进行。与所有企业流程一样，策略可以作为评估和操作的基础。网络访问控制流程包括以下四个步骤：1. 发现和评估端点。此步骤在端点连接到网络访问资源之前执行。通过与现有网络基础架构相集成，同时使用智能代理软件，网络管理员可以确保按照最低 IT 策略要求对连接到网络的新设备进行评估。2. 设置网络访问权限。只有对系统进行评估并确认其遵从 I