Symantec企业整体安全解决方案
- 方案概述
随着国内企业参与激烈的国际竞争,越来越多的企业已经意识到,信息化是企业可以在激烈的国际竞争中生存、发展的必要条件。而随着企业应用信息技术的不断深入,制造业信息化系统(如ERP、CRM、PLM、PDM、OA、BI等)在企业日常的生产和经营管理中发挥了越来越重要的作用。而作为信息化系统的基础架构,如何通过合理的规划,分步实施企业信息化安全平台已经成为整个企业信息化解决方案中的重中之重。
Symantec作为国际性第一大安全解决方案供应商,拥有财富1000强企业中99%的客户和丰富的企业信息化安全建设经验,为企业提供信息化安全基础架构建议。某用户作为国内/国际知名的行业生产厂家,目前已初步建成相对完善的网络基础架构和以ERP系统为支撑的应用信息化平台,分析某用户现有的网络和应用现状,参考制造企业在信息化建设特别是网络信息系统安全建设的成功经验,我们建议在信息安全建设中,合理规划、分步实施,最终实现效益最优化。
- 设计思路
针对某用户计算机网络的安全需求以及对该系统现状初步调研的基础上,分析系统面临的潜在安全威胁和安全风险,构架由安全基础体系、信息安全体系和安全管理体系三方面组成的安全保障框架,为某用户计算机网络的安全、稳定、可靠运行提供有力的保障。
- Symantec IT遵从解决方案
Symantec 在帮助您的整个机构简化和保持遵从方面独占优势。Symantec 遵从工具箱有效实现所有IT 活动监视自动化,从而使机构达成对IT 遵从的统一认识,采取前瞻而可靠的IT 控制措施,以及可操控的智能操作。Symantec IT 遵从解决方案包括能够解决下列市场需求的产品:
■在众多规定中制定通用的策略和IT 控制(措施),提供单一、一致的IT 遵从视角,从而降低因遵从多个规章而导致的复杂性。
■以最有效、最简单的方式来执行和管理IT 控制,在整个基础设施中提高IT 控制的有效性和可靠性,从而降低不遵从风险。
■集中IT 领域的信息,减少达成遵从所需的时间和费用。这将改进决策并使您能够信心十足地向审核员证明组织的状态。
下图显示的是可持续的IT 遵从流程模型,该模型将所有遵从计划和Symantec 产品连接起来,将IT遵从转化为可执行的流程,从定义阶段->控制阶段->监管阶段帮助企业利用Symantec 遵从流程模型、工作方法和特定的产品-解决方案建议来达成以下目标:
■针对不断变化的规章,建立并保持遵从
■实现自动化,以削减保持遵从所需的高额费用
■最小化违规风险
- 某用户安全体系建设规划建议
从某用户企业网络整体建设角度出发,提供一个具有相当高度、可扩展性强的安全解决方案,在项目建设方面,以“统筹规划,分布实施”为原则,从可行性和实用性的角度出发,构建完善的网络整体安全体系。在安全技术体系中本方案根据安全需求,提出由安全基础体系、信息安全体系和安全管理体系三方面组成的安全保障框架构架安全技术解决方案。
-
方案设计
- 安全设计目标
针对某用户计算机网络的安全需求以及对该系统现状初步调研的基础上,分析系统面临的潜在安全威胁和安全风险,构架由安全基础体系、信息安全体系和安全管理体系三方面组成的安全保障框架,为某用户计算机网络的安全、稳定、可靠运行提供有力的保障。
- 安全设计方法
本方案首先根据某用户计算机网络现状进行威胁分析和风险分析,以分析的结果为基础推导出全面的安全需求。安全需求体系是构架安全保障体系的依据,安全保障体系综合采用人员、技术、管理等方面的措施。
在安全技术体系中本方案根据安全需求,提出由安全基础体系、信息安全体系和安全管理体系三方面组成的安全保障框架构架安全技术解决方案。
- 安全设计原则
建设计算机网络系统安全体系是一个复杂的系统工程,它与网络规模、结构、通信协议、应用业务程序的功能和实现方式密切相关,一个好的安全设计应该结合现有网络和业务特点并充分考虑发展需求。
针对某用户计算机网络系统安全建设目标,结合网络和业务规划作好系统整体的安全规划。一方面,总体安全规划可以全面分析系统存在的安全风险,并指导全网安全工程的一次性或分步实施;另一方面,结合安全总体规划,考虑信息系统发展的需求,能使我们的安全投入会顺应系统、网络和业务的发展,避免投资浪费。
- 完整性原则
网络安全建设必需保证整个防御体系的完整性。一个较好的安全措施往往是多种方法适当综合的应用结果。单一的安全产品对安全问题的发现处理控制等能力各有优劣,从安全性的角度考虑需要不同安全产品之间的安全互补,通过这种对照、比较,可以提高系统对安全事件响应的准确性和全面性。
- 经济性原则
根据保护对象的价值、威胁以及存在的风险,制定保护策略,使得系统的安全和投资达到均衡,避免低价值对象采用高成本的保护,反之亦然,充分体现“经济性原则”。
- 动态性原则
随着网络脆弱性的改变和威胁攻击技术的发展,使网络安全变成了一个动态的过程,静止不变的产品根本无法适应网络安全的需要。所选用的安全产品必须及时地、不断地改进和完善,及时进行技术和设备的升级换代,只有这样才能保证系统的安全性。
- 专业性原则
攻击技术和防御技术是网络安全的一对矛盾体,两种技术从不同角度不断地对系统的安全提出了挑战,只有掌握了这两种技术才能对系统的安全有全面的认识,才能提供有效的安全技术、产品、服务,这就需要从事安全的公司拥有大量专业技术人才,并能长期的进行技术研究、积累,从而全面、系统、深入的为用户提供服务。
- 可管理性原则
由于某用户计算机网络系统的地域覆盖范围广、管理人员水平不一,必须构建一个完善的集中管理体系,充分发挥安全体系的作用。
- 标准性原则
遵守国家标准、行业标准以及国际相关的安全标准,是构建系统安全的保障和基础。
- 可控性原则
系统安全的任何一个环节都应有很好的可控性,他可以有效的保证系统安全在可以控制的范围,而这一点也是安全的核心。这就要求对安全产品本身的
安全性和产品的可客户化。
- 易用性原则
安全措施要由人来完成,如果措施过于复杂,对人的要求过高,一般人员难以胜任,有可能降低系统的安全性。
- 某用户主要安全风险分析
随着计算机技术的高速发展,某用户基础性的网络建设已经相对成熟。但是在不断引入新的计算机、网络和应用技术的同时,也使得某用户内部的计算机系统日趋庞大复杂,业务形态越来越多,安全形势也日益严重。计算机网络系统的不完善,哪怕是任何缺陷和不安全因素,都将使企业面临巨大的风险,可以说,信息系统安全不再单纯是技术性的问题,而且直接关系到企业的生存和经营竞争的成败。
本节首先分析某用户网络存在的全局性安全问题。
3.1整体业务系统面临的威胁
目前,某用户整个网络的安全问题具有以下显著特征:
1、混合型威胁对业务的影响越来越深刻
混合型威胁整合了病毒传播和黑客攻击的技术,以多种方式进行传播和攻击。混合型威胁不需要人工干预,能够自动发现和利用系统漏洞,并自动对有系统漏洞的计算机进行传播和攻击。同时,混合型威胁传播速度极快,通常在几个小时甚至几分钟就可以导致整个网络瘫痪。攻击程序的破坏性更强,受感染的系统通常伴随着木马程序种植除了破坏被感染的机器,在传播过程中会形成DDoS攻击,阻塞网络。该类威胁既可影响常见的OA系统,也可影响核心的服务器。
2、缺乏统一有效的安全管理及技术保障体制
为了应对越来越复杂的网络安全环境,某用户在全省、市配备了安全管理人员。但各地的安全管理工作也是由相关人员兼职而非专职。人员的非专业化使得在应对紧急安全事件时,往往显得力不从心,或是过多依赖产品供应商,或是过多依赖系统集成商。同时,在技术保障方面,缺乏对技术人员有效的实战培训。
同时,在安全系统的管理中不可避免的存在以下问题:
- 多个安全系统共存
一个完整的安全架构是由很多安全产品组成的,但是这些安全产品可能来自不同的厂家,遵循不同的标准,这就给安全产品之间的协同工作带来了很大的问题。
- 多点管理多个安全产品
由于每个安全产品都是一套独立的系统,一般都是C/S结构的,也会有独立的管理端,这就造成在安全系统中有多个相互管理的管理客户端,造成管理人员要识别不同的安全事件必须奔波在多个管理客户端之间,进行多点管理。
- 多种安全事件发生点
安全事件不是一个孤立的事件,它实际上是一个连续的过程,如从一个蠕虫病毒的传播来看,它必然先经过防火墙进入网络,然后驻留在某台机器上,再以这台机器为跳板向整个网络传播。实际上这个过程防火墙、入侵检测、防病毒都记录了它传播整个过程中的一个动作,但是作为管理人员来说需要看到的是贯穿这个过程的所有动作。
- 多种复杂的安全报告
所有的安全产品都有自己的日志记录和报告系统,耗费管理人员大量的精力。
3、面向互联网提供业务缺少必要的保护
某用户的新业务越来越依赖互联网。Internet的开放性带来很多安全问题,如拒绝服务攻击、以面向互联网的业务为跳板攻击内部系统等。
4、业务系统的暴露
众多业务系统暴露在Internet上,而系统本身存在诸多弱点,如系统默认配置、弱口令、各类服务漏洞、木马和后门程序等可能会成为最严重和数量最多的弱点。
5、内部系统不规范访问
某用户建有覆盖全国的组织结构,在管理上通常以省为单位进行管理。理论上各省应该统一Internet的访问出口,但在实际操作过程中,这一点很难做到。这就引起了省级防范措施可能较好,而地市级防范措施较差,安全威胁由防范措施较差的地方引入,进而影响全局的安全防护。
8、安全产品的应用存在很大局限性。
在网络应用最广的就是基本防病毒解决方案,而防病毒软件仅能提供终端设备静态的事后杀毒控制,还远不能适用企业安全发展的需要。并且到目前为止,某用户网络中实现是基本级的终端防病毒解决方案。
- 安全威胁分析
安全威胁是一种对系统、组织及其资产构成潜在破坏的可能性因素或者事件。产生安全威胁的主要因素可以分为人为因素和环境因素。人为因素包括有意因素和无意因素。环境因素包括自然界的不可抗力因素和其它物理因素。
威胁可能是对计算机系统直接或间接的攻击,例如非授权的泄露、篡改、删除等,在机密性、完整性或可用性等方面造成损害。威胁也可能是偶发的、或蓄意的事件。一般来说,威胁总是要利用网络、系统、应用或数据的弱点才可能成功地对资产造成伤害。
安全威胁包括安全威胁来源和安全威胁种类,因此必须对威胁来源和种类进行分析。
3.2.1安全威胁来源
根据前期风险评估结果,确认网络信息系统的安全威胁来源如下表所示:
|
威胁来源 |
威胁来源描述 |
|
环境因素、意外事故或故障 |
由于断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境条件和自然灾害;意外事故或由于软件、硬件、数据、通讯线路方面的故障。 |
|
无恶意内部人员 |
内部人员由于缺乏责任心,或者由于不关心和不专注,或者没有遵循规章制度和操作流程而导致故障或被攻击;内部人员由于缺乏培训,专业技能不足,不具备岗位技能要求而导致计算机系统故障或被攻击。 |
|
恶意内部人员 |
不满的或有预谋的内部人员对计算机系统进行恶意破坏;采用自主的或内外勾结的方式盗窃机密信息或进行篡改,获取利益。 |
|
第三方 |
第三方合作伙伴和供应商,包括电信、移动、证券、税务等业务合作伙伴以及软件开发合作伙伴、系统集成商、服务商和产品供应商;包括第三方恶意的和无恶意的行为。 |
|
外部人员攻击 |
外部人员利用计算机系统的脆弱性,对网络和系统的机密性、完整性和可用性进行破坏,以获取利益或炫耀能力。 |
3.2.2安全威胁种类
对安全威胁进行分类的方式有多种多样,针对需要重点考虑的五方面威胁来源,确定本方案中采用下述的安全威胁种类。
|
威胁种类 |
威胁描述 |
|
软硬件故障 |
由于设备硬件故障、通讯链路中断、系统本身或软件Bug导致对业务高效稳定运行的影响。 |
|
物理环境威胁 |
断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境问题和自然灾害。 |
|
无作为或操作失误 |
由于应该执行而没有执行相应的操作,或无意地执行了错误的操作,对系统造成影响。 |
|
管理不到位 |
安全管理无法落实,不到位,造成安全管理不规范,或者管理混乱,从而破坏计算机系统正常有序运行。 |
|
恶意代码和病毒 |
具有自我复制、自我传播能力,对计算机系统构成破坏的程序代码。 |
|
越权或滥用 |
通过采用一些措施,超越自己的权限访问了本来无权访问的资源;或者滥用自己的职权,做出破坏计算机系统的行为。 |
|
黑客攻击技术 |
利用黑客工具和技术,例如侦察、密码猜测攻击、缓冲区溢出攻击、安装后门、嗅探、伪造和欺骗、拒绝服务攻击等手段对计算机系统进行攻击和入侵。 |
|
物理攻击 |
物理接触、物理破坏、盗窃。 |
|
泄密 |
机密泄漏,机密信息泄漏给他人。 |
|
篡改 |
非法修改信息,破坏信息的完整性。 |
|
抵赖 |
不承认收到的信息和所作的操作和交易。 |
3.2.3安全威胁的产生
根据上述对安全威胁来源和安全威胁种类的分类,可用下表列举所有安全威胁。其中灰色部分为不存在的威胁。
|
来源 可能性值 威胁 |
环境因素,意外事故或故障 |
无恶意 内部人员 |
第三方 |
外部攻击 |
恶意内部人员 |
|
软硬件故障 |
|
|
|
|
|
|
物理环境威胁 |
|
|
|
|
|
|
无作为或操作失误 |
|
|
|
|
|
|
管理不到位 |
|
|
|
|
|
|
恶意代码和病毒 |
|
|
|
|
|
|
黑客攻击技术 |
|
|
|
|
|
|
越权或滥用 |
|
|
|
|
|
|
物理攻击 |
|
|
|
|
|
|
泄密 |
|
|
|
|
|
|
篡改 |
|
|
|
|
|
|
抵赖 |
|
|
|
|
|
- 某用户安全风险分析
针对上述的威胁分析,某用户公司网络安全可能存在下面的风险:
- 单纯依靠防病毒实现企业终端安全隔离存在缺陷
目前,某用户依靠防病毒来实现企业全网络的终端安全保护,防病毒软件作为企业的最大安全体系也是企业唯一依赖安全保障。但是现在,企业网络面临的威胁已经由传统的病毒威胁转化为现在的还包括了蠕虫、木马和恶意代码等与传统病毒截然不同的新类型。这些新类型的威胁业界称之为混合型威胁。混合型威胁整合了病毒传播和黑客攻击的技术,以多种方式进行传播和攻击。不需要人工干预,能够自动发现和利用系统漏洞,并自动对有系统漏洞的计算机进行传播和攻击。同时,混合型威胁传播速度极快,通常在几个小时甚至几分钟就可以导致整个网络瘫痪。攻击程序的破坏性更强,受感染的系统通常伴随着木马程序种植除了破坏被感染的机器
,在传播过程中会形成DDoS攻击,阻塞网络。混合型威胁的典型代表为——红色代码(Code Red),混合型威胁的首要威胁也发展为间谍软件和广告软件,伴随一般的上网行为进入网络内部进行破坏。但是,单单依靠防病毒来实现企业全网络的终端安全保护是存在安全隐患,混合型威胁可以从数据包反馈的信息上得知该网络是否存在有漏洞,病毒利用这类漏洞,即可对系统发起攻击和病毒传播,一旦入侵成功,使其他系统或相关的应用程序感染造成病毒放大作用,那造成的威胁将更大。因此仅仅靠防病毒来实现网络的安全是非常脆弱的,防病毒在网络安全的定义层次上仅仅是网络安全的第一层屏障。
- 现有网络缺乏主动安全防御系统
现有安全系统中无论是防火墙、还是防病毒都是被动安全防御系统,即只有产生了攻击或病毒时,它们才能被动的发挥作用,而且随着攻击手段的更新、病毒产生原理的变化,它们也要随之更新(可能是策略更新、也有可能是产品更新),也就是说“解决问题”基本是滞后“发生问题”,而且容易造成投资浪费。因此从根本上解决网络的安全问题,只有建立主动安全防御系统,提高网络系统本身的抗攻击性,这才是最有效的安全。
- 系统本身存在的安全漏洞可能为各种攻击提供方便
在某用户网络系统中存在大量的应用,运行在多种操作系统。在计算机的应用中风险是随着网络应用的增加而增加的,目前大多数应用都会增加各种交互式访问服务,由于这些服务需要和其他的服务交互使用,因此在软件的接口部分就容易存在隐患。这些漏洞在一些自主开发的软件中是很容易产生的,而且也很不容易避免。
在网络内部的主机上的安全非常重要一旦被攻击可能会造成连锁反应,因此需要最高级别的安全防护。在计算机的安全领域里存在着这么一条规则,主机上的漏洞数量和主机上打开的服务数量成正比。当应用服务器上打开了一些服务以后,如果一个入侵者可以访问到这台主机,则可以利用主机上存在的服务打开缺口来对服务器进行访问。例如:入侵者可以通过WEB服务器的提交页面或其他有访问权限的主机构造一个非正常的应用请求,当服务器对此类数据作出响应的时候就会产生溢出,这样入侵者就能够获得服务器的控制权
- 缺乏安全事件收集等统一的安全运营管理
高效的企业安全系统管理需要进行无间断的监控其运行情况,才能及时发现问题,使网络系统持续地安全运行。某用户缺少对事件与策略数据的集中管理,也缺少安全生命周期工具来识别威胁、定义策略、实施变更和监控保证企业网络正常安全运行。
- 安全管理薄弱,没有建立健全的安全组织
为使网络系统能够安全运行,必须建立健全的安全组织,配备人员进行日常安全运行维护,制定安全管理规章制度。
-
某用户内网安全建设规划部署
- 某用户网络中心规划部署
4.1.1产品网络部署拓扑结构
|
序号 |
部署方式 |
部署组件 |
实现功能简单说明 |
|
1 |
新增 |
Altiris Server |
Symantec桌面与资产管理服务器,实现对终端PC的资产收集/补丁分发/应用进程管理/远程控制等功能,详见《5.2桌面资产管理系统》 |
|
2 |
新增 |
SEP-11.0 Server |
Symantec整合Sygate、Veritas、Whole Security等厂商安全技术,具有防病毒/防恶意软件/防火墙/网络入侵防御/主机行为控制/恶意软件主动防御/网络准入控制等功能的全面终端安全管理产品,详见《5.1终端策略强制与内网安全管理》 |
|
3 |
新增 |
SMS-8360 |
Symantec防病毒与防垃圾邮件硬件,具有部署简便、防治准确率高、管理简便等优势,详见《5.3邮件系统安全管理》 |
|
4 |
直接安装 |
SMS for Domino |
直接安装在OA的Domino服务器上的群件防病毒产品 |
|
5 |
直接安装 |
SEP 11.0 Client |
Symantec整合Sygate、Veritas、Whole Security等厂商安全技术,具有防病毒/防恶意软件/防火墙/网络入侵防御/主机行为控制/恶意软件主动防御/网络准入控制等功能的全面终端安全管理产品,详见《5.1终端策略强制与内网安全管理》 |
|
直接安装 |
Altiris 6.5 Agent |
Symantec桌面与资产管理服务器,实现对终端PC的资产收集/补丁分发/应用进程管理/远程控制等功能,详见《5.2桌面资产管理系统》 |
4.1.2产品详细配置清单
|
序号 |
产品名称 |
用户数 |
产品部署 |
|
1 |
Symantec Endpoint Protection 11.0全面的终端安全防护 |
按服务器和工作站数量计算 |
Symantec Endpoint Protection 11.0 |
|
2 |
桌面资产管理 Symantec Altiris Client Server Suite-1 |
按工作站数量计算 |
Symantec Altiris Client Server Suite-1 |
|
3 |
邮件系统防病毒软件 |
按OA系统Domino服务器个数计算 |
Symantec SMS for Domino 5.1 |
|
防病毒和垃圾邮件安全网关 |
按用户邮箱数量计算软件许可+ SMS8300硬件价格 |
Symantec SMS Appliance – |
Symantec SMS Appliance – 8360
- 某用户信合大厦规划部署
4.2.1产品网络部署拓扑结构
|
序号 |
部署方式 |
部署组件 |
实现功能简单说明 |
|
1 |
新增 |
Altiris Server作为网络中心二级服务器 |
Symantec桌面与资产管理服务器,实现对终端PC的资产收集/补丁分发/应用进程管理/远程控制等功能,详见《5.2桌面资产管理系统》 |
|
2 |
新增 |
SEP-11.0 Server作为网络中心二级服务器 |
Symantec整合Sygate、Veritas、Whole Security等厂商安全技术,具有防病毒/防恶意软件/防火墙/网络入侵防御/主机行为控制/恶意软件主动防御/网络准入控制等功能的全面终端安全管理产品,详见《5.1终端策略强制与内网安全管理》 |
|
3 |
新增 |
SNAC-6100 LanEnforcer |
Symantec端点准入控制(硬件),配合交换机802.1X准入认证,实现全面的端点准ron接入控制与策略遵从性管理,详见《5.1终端策略强制与内网安全管理》 |
|
5 |
直接安装 |
SEP 11.0 Client |
Symantec整合Sygate、Veritas、Whole Security等厂商安全技术,具有防病毒/防恶意软件/防火墙/网络入侵防御/主机行为控制/恶意软件主动防御/网络准入控制等功能的全面终端安全管理产品,详见《5.1终端策略强制与内网安全管理》 |
|
直接安装 |
Altiris 6.5 Agent |
Symantec桌面与资产管理服务器,实现对终端PC的资产收集/补丁分发/应用进程管理/远程控制等功能,详见《5.2桌面资产管理系统》 |
4.2.2产品详细配置清单
|
序号 |
产品名称 |
用户数 |
产品部署 |
|
1 |
Symantec Endpoint Protection 11.0全面的终端安全防护 |
按服务器和工作站数量计算 |
Symantec Endpoint Protection 11.0 |
|
Symantec Network Access Control 11.0端点准入与策略遵从 |
Symantec Network Access Control 11.0 |
||
|
2 |
Symantec SNAC 6100 Appliance |
按台数计算 |
Symantec SNAC 6100 Appliance |
|
3 |
桌面资产管理 Symantec Altiris Client Server Suite-1 |
按工作站数量计算 |
Symantec Altiris Client Server Suite-1 |
-
某用户内网安全建设方案
- 终端策略强制与内网安全
安全技术,如边界防火墙,杀毒,入侵检测和验证等,都是针对开放式网络中的个别问题而开发的解决方案。在部署了这些技术以后,企业发现他们的障碍在于安全策略和实践之间的鸿沟。鸿沟的存在是因为安全技术无法强制落实。也就是说技术可以被黑客或终端用户关闭或者禁用,而终端用户和安全小组却无从知晓。近来大型企业中发生的绝大多数重大安全事件都应归咎于此。今天企业需要有能力了解终端网络通讯的行为,评估相应的风险,轻松配置安全策略来减少风险,并且在整个网络中强制贯彻这个策略。由蠕虫和病毒引起的破坏已经清晰地证明了当前防护措施的不完备。Symantec Endpoint Protection提供了一个全面的方案帮助企业强制安全策略的遵守,并且将违规者以及潜在的脆弱系统转移到隔离环境中,剥夺或者仅授予它们有限的网络访问权限。
将端点安全状况信息和网络准入控制结合在一起,Symantec能够显著地提高企业网络计算架构的安全。Symantec Endpoint Protection通过保证企业所属的每个端点在安全上不做任何妥协,阻止不安全和未授权的行为,在企业网络中排除未授权的设备,从而保护企业网络的安全完整性。Symantec On Demand 通过确认设备的安全策略,创建加密的虚拟桌面环境,在会话结束后清除所有传输过去的数据,将对机密数据的保护延展到非企业所属的设备之上。
5.1.1Symantec Endpoint Protection 11.0方案概述
Symantec Endpoint Protection (Symantec SEP)是一个全面的网络完整性方案,它确保每个终端在接入网络前是符合企业安全策略的。SEP还提供了分层的入侵保护和强制手段:
• 使用以应用程序为中心的防火墙来阻止蠕虫,木马和黑客,防止其利用漏洞,非法访问敏感信息或者发起攻击
• 分析流入流出的通讯中有无恶意行为,并且阻止入侵(HIPD)
• 每当用户连接网络时,确认企业管理终端是否符合企业策略,根据检查结果授予或者拒绝其接入权限
• 当访问来自于家庭,宾馆和无线区域时,对加密的通讯进行强制
• 自动下载和安装任何缺失的病毒特征库,防火墙策略,入侵检测特征库,软件补丁和安全工具,将企业端点修复到可信状态。
5.1.2Symantec Endpoint Protection 11.0系统组成
Symantec Endpoint Protection引入了全新的系统架构,将整个内网安全防护策略划分为逻辑上的三个组成部分:
1)内网边界安全防护
此部分架构实现对来自企业网络外部的安全威胁进行安全防护。
2)内网安全威胁防护
此部分架构实现对来自企业网络内部的安全威胁进行防护。
3)外网移动用户安全接入防护
此部分架构用于保证企业内部移动用户所处网络环境的变换,以及当移动用户处于外网安全防护薄弱网络环境中
自身安全、接入企业网络安全。
Symantec Endpoint Protection是一个软件包,由三个基本组件构成:
1. Symantec Policy Manager: 安装在一个或多个企业服务器上,围绕一个中央数据库来配置,Symantec策略管理服务器扮演一个军队司令的角色-帮助创建安全策略,规划部署计划,指导士兵(客户端)如何保护网络
2. Symantec Protection Agent: 安装在企业的工作站、服务器(Windows平台)和笔记本上,SPA提供了可配制的高级防火墙和入侵检测预防能力。它能检测和识别已知的木马,端口扫描和其他常见攻击。作为响应,它能选择性的启用或阻止不同网络设备,端口和组件的使用。SPA还负责按照Symantec策略管理服务器所设定的规则对终端的安全状态进行审核,并将检查结果报告给Symantec Universal Enforcement组件,做为是否允许终端接入企业网络的标准。
3. Symantec Universal Enforcement: (通过四个可选组件: Symantec Gateway Enforcer,Symantec Lan Enforcer, Endpoint Enforcement或供VPN整合的Universal Enforcement API)在授予端点接入网络的权限前,确保端点遵循企业策略。Symantec Universal Enforcement组件隔离违背安全策略的设备,直至自动修复机制生效后再恢复其网络访问的权限。
我们可以从以下的示意图中来了解SYMANTEC ENDPOINT PROTECTION的各个组成部分在企业网络中的分布:
5.1.3Symantec Policy Manager的功能
Symantec Policy Manager是控制SPA和Enforcer的中心。管理员在此定义和分发安全、强制策略,收集日志,维护企业网络的完整性。
1.策略升级和分发
Symantec Policy Manager可以容许企业向端点分发下列项目:
•安全策略/防火墙策略
•入侵预防特征库
•Symantec Protection Agent升级包
•杀毒软件和病毒特征库
•补丁和软件升级
•VPN客户端软件和配置文件
•自定义通知
以上项目是通过SEP心跳协议和主机完整性修复的能力来分发的。客户端利用心跳协议来和管理服务器通讯。每当心跳发生时:
•SPA向管理服务器发送一个请求,按组和用户分类来检查安全策略更新。如果有了新策略,SPA请求管理服务器发送新策略。如果当前策略已经为最新,则不发送新策略。
•向策略管理服务器更新客户端日志。日志内容由管理员在策略/设置选项卡内设定
•SPA与管理服务器核实自己版本是否正确,如果不是则开始自动升级进程
•管理服务器向SPA发送最新的IDS特征库版本号。然后SPA与自己的IDS版本号比较,如果特征库已过时,则向管理服务器发送获取新特征库的请求,如果是当前版本则不请求。
• 在进行软件分发操作的时候,SPA每次连接网络都会通过客户端的agent程序验证是否存在此软件或者程序。在客户端没有安装需要分发的软件和程序的时候,客户端agent会根据预选配置好的动作从对应的服务器中自动下载需要的文件,然后自动进行安装,从而达到自动分发软件的动作。可以分发的软件包括程序包、系统补丁、防病毒软件、防病毒定义等等。
2.设置Symantec Protection Agent用户控制模式
SPA可以三种模式之一工作:
•客户端控制模式
•服务器控制模式
•高级用户模式
不同的模式下,终端用户控制安全策略的级别也不同。系统管理员可以在服务器上随时改变控制模式,具体如下:
当SPA工作在客户端控制模式下,终端用户对设备的安全设置有着很大的控制权限。客户端控制模式通常对工程和软件测试人员开放。连接到企业网的家用计算机通常也授予客户端控制模式。如果笔记本用户既可以在内部也可以在外部上网,SPA就可以设成与管理服务器断线时进入客户端控制模式,和服务器连线时转换成服务器控制模式。
服务器控制模式下,SPA从管理服务器获得规则和安全策略。因为终端用户无法改变安全设置,设备和网络在服务器控制模式下要比客户端控制模式下更安全。SEP也提供了一种混合控制模式叫做高级用户模式,该模式特别之处在于终端用户和管理员都可以设定设备的安全策略。为了避免终端用户和管理员的策略冲突,管理员可以预先决定哪些规则和设置由服务器控制,那些由客户端控制。
5.1.4Symantec Protection Agent的功能
SPA设计为消除恶意或是无意的入侵和滥用。SPA向SPM管理服务器汇报状况,并接受安全指令。按照SPM管理服务器端设置,SPA可以做到对大多数普通用户完全不可见,对高级用户显示完全界面或者是下放部分管理控制控制。以上差异和SPA运行时的控制模式相关,或者是和SPA的网络位置相关。(SEP为用户提供了3种客户端管理模式:服务器控制模式,客户端控制模式,策略可仲裁的高级用户模式)
系统管理员在SPM管理服务器上设定安全策略。SPA一连上SPM管理服务器就会接收那些安全策略并且执行。如果策略在后期变更,它们将自动分发到SPA上。SPA还会跟踪试图违反安全策略的行为,并将安全事件日志传送给SPM管理服务器。
安装有SPA的设备一启动,保护就会生效。因为策略在本地保留,设备不必在启动时连接中央管理服务器下载策略。另外,当设备连接到企业网络时,它的SPA会向SPM管理服务器验证。如果设备没有SPM,它将不被任何运行Symantec SEP 的网络容许。
SPA的入侵预防能力能够保护主机远离蠕虫,病毒和木马的“零时点”攻击。它可以洞悉每个应用程序的网络通讯,并搜索其中的异常。SPA 入侵预防功能监视每个应用程序使用的文件,检查操作系统和程序的安全以及补丁级别,在未授权的流量发生时,可以在操作系统的最底层阻止流量。
主机完整性强制包括在系统每次连接企业网络时检查其是否遵循策略,根据检查结果容许或拒绝其访问,并自动修复不达标的主机系统。主机完整性参数包括可执程序,例如杀毒软件,主机防火墙,主机入侵检测系统等; 也包括数据文件,例如病毒特征库,主机防火墙策略,IDS特征库,MD5校验和,文件版本,注册表键,补丁,操作系统,系统配置等。当SPA 检查到主机上的安全程序被关闭,程序过期,或者某个补丁缺失,SPA能够启用通用强制来隔离主机。SPA可以自动运行程序,下载所需更新文件,安装缺失补丁和软
系统锁定(System Lockdown)
通过系统锁定,管理为终端设定了允许运行应用程序的白名单,只有管理员明确指定的应用程序才能够在终端上运行,白名单不但指定了应用程序的文件名,还包括程序的校验码,任何试图伪装成受信应用的企图都会被SPA阻止。
通用缓冲区溢出保护(Universal Buffer Overflow Protection)
SPA可以监测系统服务及应用程序是否发生了缓冲区溢出,当溢出发生时,SPA可以记录安全事件或终止进程的运行,避免危害发生。
外设控制(Peripheral Device Control)
SEP允许管理员设置外设控制策略,设置不同用户的外设访问权,SEP默认就可以管理输入设备HID、USB、软驱和1394等类型的设备,系统还允许管理员添加其它类型的设备。
7.自适应保护(Adaptive Protection)
自适应保护可将动态策略和个人用户、处所(如:家里,办公室,或宾馆)、连接方式(如:以太网,VPN,或者无线网)关联起来。SPA自动调整自定义好的策略来应对不同环境下的风险,以确保分布型和移动型企业的业务连续性以及相适宜的安全行为。
8.自动修复(Automatic Remediation)
自动修复在端点连接到Symantec SEP所保护的网络时开始工作。SPA首先确认主机是否遵守端点的安全策略,如果不遵循,SPA能够隔离主机,同时自动初始化修复工作。SPA确保不达标的主机不能获得生产网络的访问权限直到必要的修复动作完成,端点安全达标为止。在检查出没有达标以后,典型的修复包含下列事件:命令行运行命令,下载执行/插入文件,重新检查,最后授予达标端点访问网络的权限。
5.1.5SEP的网络准入控制技术(SNAC)
SEP 通用强制(SNAC)保证端点在接入网络前是符合企业安全策略的。这些策略包括内建对知名反病毒软件,个人防火墙,反间谍软件,操作系统和系统补丁检查。也包括一个高级工具箱,用于创建定制检查,检查可以针对系统上发现的文件,正在运行的应用,注册表设置,文件日期和校验和,以及其它类似条件。自适应策略允许强制不同策略,这取决于用户使用的网络连接类型,例如:用户使用IPSEC VPN 连接,由于他们裸露于公网,因此需要一个更高级别的准入检查。
例如,一个组织可以配置策略,让所有的Windows 2000 系统安装Service Pack 4,所有的Windows XP 系统安装Service Pack 2,全部的系统运行赛门铁克反病毒软件并保持最新的病毒库更新。或除了启用以上全部检查外,再附加检查其它定制的安全应用,和IT部门定制的注册表健值等。
一旦策略创建,所有安全策略在网络连接时将受到Complicance On Contact(连接之际安全之时)的强制。Compliance on Contact 在公司网络上的每一连接点进行策略符合性检查。包括在用户经过IPSec VPN 、SSL VPN 、有线以太网络和无线网络连接到公司网络时,执行整套的NAC 安全基线检查。
Symantec提供了4种通用强制的方式:
1.Symantec Gateway Enforcer :Symantec Gateway NAC
Symantec Gateway Enforcer用以认证通过企业网络接入点(如VPN,无线接入点,RAS拨号服务器)访问企业内部网络的终端。Symantec Gateway Enforcer从Symantec Policy Manager获得强制策略和SPA认证信息。当Symantec Protection Agent接入企业网络时,依照公司安全策略,Symantec Gateway Enforcer启动一个认证会话,对Symantec保护代理的真实性,防火墙、入侵检测、反病毒和其他安全软件的当前状态,以及Symantec保护代理上的安全策略、特征库和病毒定义进行彻底的核查。一旦发现客户端主机不能通过这些检查,认证强制网关将截断客户端对企业内部网络的访问,或指引端点去访问网络中的隔离/升级站点。
2.Symantec LAN Enforcer :Sygate 802.1x-Based NAC for LAN and Wireless
Symantec-Sygate 于2004 年六月发布最早的基于局域网的NAC技术。该技术增强利用了IEEE 的802.1x准入控制协议,几乎所有有线和无线以太交换机制造商都支持该协议。Symantec使用这个链路级协议评估端点是否符合安全策略要求,提供自动问题修复,并允许达标的系统进入公司网络。
802.1x 是一个认证协议,在用户访问计算机网络之前,需要提供有效的凭证来增加安全。802.1x 较通常的Windows PC 登录更为安全,因为网络端口—不仅仅PC本身,在认证之前是被锁住无法访问的。用户提供登录凭证,例如用户名和密码,交换机传递这些凭证到验证服务器。通常,验证服务器是一个RADIUS 服务器。如果凭证正确,RADIUS 服务器将发送一个认证消息到交换机或接入点,授权该用户对网络的访问,并配置该用户连接的服务属性。
在LAN强制策略过程中,端点上的SPA使用802.1x协议传递策略符合性信息到网络交换机,网络交换机再中继到一个Symantec的LAN强制服务器。这个LAN 强制服务器作为一个RADIUS 代理服务器,验证策略符合性信息并可选择咨询RADIUS 服务器验证用户名和密码或者多因素认证。
如果系统不符合企业安全策略要求,LAN强制服务器将该系统放入到隔离区,在该区域中该系统会得到修复,同时又不影响那些符合要求的系统。一旦SPA完成自动修复,802.1x协议将重新验证用户。由于系统已经达标,将被授予访问企业网络权限。
3.Symantec DHCP Enforcer :Symantec DHCP-Based NAC
基于802.1x的NAC提供最大化安全。然而,它需要接入层交换架构支持802.1X协议。即使交换机支持802.1 协议,开启它仍需要仔细计划。Symantec基于DHCP 的NAC方案可以解决这些问题,在现存网络环境下不需要升级任何硬件或软件。
Symantec的DHCP NAC被内嵌(in-line)部署在DHCP 服务器和网络之间。如果用户没有运行一个SPA或用户当前NAC策略符合性是未知的,该用户将被分配一个“不可路由的”或“隔离的”IP地址。这些地址不能随意访问网络,只有受限的权限。这有两种方式实现。或者这些客户端被分配一个不同IP网段的特殊IP地址,在路由器上通过访问控制列表控制这些特殊IP地址可以访问的网络,或者客户端被分配正常网段的IP地址
件,直到遵循安全策略后,才放开完全的网络访问权限。
另外SPA 能够根据连接类型和网络处所来调节策略,以确保用户在拥有最大灵活性的同时还具备最健壮的端点保护。连接类型包括无线,以太网,拨号和VPN。网络处所比方说家里,星巴克,酒店,会场还是公司。这样,SEP 以自动化的方式保证不同处所下最安全的策略得以执行,防止移动设备将企业网络暴露给黑客。
1.终端的发现和收集
在每一台客户端安装客户端代理程序agent之后,agent就会按照配置文件中的策略服务器地址主动进行注册,从而可以发现网络中已经安装agent的客户端。对于没有安装agent的客户端,首先可以通过网络准入控制机制阻止其连接到网络中,从而避免由于不安全主机的接入而引入的网络安全风险。其次,配合agent的LAN sensor功能,已经安装客户端的终端能够自动的发现网络中没有安装agent的客户端,并且报告给策略服务器。LAN sensor是通过已经安装agent的终端在网络中监听arp广播的机制从而发现未安装agent的终端机器。管理员可以通过策略服务器的lan sensor log发现网络中尚未安装agent的终端,从而进行下一步的操作。
2.终端资产管理
在终端向策略服务器进行注册的时候,SEP具备资产管理和收集的能力。通过部署在终端上的安全代理实现硬件资产监控、查询、统计功能SPA保护代理将收集计算机的CPU、内存、BIOS版本、网卡等硬件信息,并集中存储在中央策略管理服务器的数据库中,供管理员方便的查看、统计。
对于软件而言,SEP的资产管理同时可以自动收集终端上的网络应用程序列表,包括软件名称、版本号、指纹签名等详细信息。
SEP具备资产统计能力,通过部署在终端上的安全代理实现硬件资产监控、查询、统计功能。SEP安全代理将收集计算机的CPU、内存、BIOS版本等硬件信息,并集中存储在中央策略管理服务器的数据库中,供管理员方便的查看、统计。同时可以统计终端的网络信息,包括IP地址,MAC地址等,也可以收集终端安装的程序列表,使客户对终端的基本情况有一个全面的了解。
3.SEP的远程协助功能
SEP可以在服务器端向指定的客户端组发送指定的文字内容,尤其是当完整性检查不通过的各种情况下。SPA保护代理在终端本地提供图形界面,报告各种日志和事件,显示受到的攻击、网络通信信息、应用程序信息等,帮助终端使用者进行本地诊断和维护。同时,管理员可以通过策略管理服务器分析所有终端的事件和日志,调整配置终端安全策略,实现远程诊断和维护。
4.以应用程序为中心的个人防火墙(Personal Firewall)
Symantec Protection Agent个人防火墙能够按程序或者通讯特征,阻止/容许任何端口和协议进出。SPA不是简单的按这些参数来阻止,它可以将参数以AND/OR的逻辑组合来增强策略的精度和弹性。SPA也能够对特定的协议/物理适配器阻止和应用策略,容许企业指派特定网络中可使用的程序,阻止利用特定协议适配器带来的漏洞。
5.主机入侵预防系统(HIDS)
Symantec Protection Agent提供基于行为和特征方式的多层保护。Symantec Protection Agent 利用策略驱动和行为检测的方式来屏蔽未知的威胁,利用独特的特征匹配方式来屏蔽已知的攻击,利用主机完整性检查来强制安全策略的贯彻和落实。SPA入侵预防系统深度检查网络封包,对所有进出流量做应用层的分析,可有效识别和实时阻止恶意攻击。SPA默认支持并启用了下列入侵预防功能:
代码注入保护
除了应用程序指纹核对,Symantec保护代理还核对动态连接库的指纹,防止恶意程序注入代码到可信程序来执行攻击
文件共享保护
Symantec保护代理过滤掉所有来自网关的NetBIOS通讯。用户可以在本地子网进行文件共享,而不必担心远程网络中的黑客访问本地文件共享
自适应保护
Symantec保护代理可以根据网络连接类型和通讯方式来创建策略。例如,策略可以要求通过VPN从互联网公共IP接入的系统,文件共享将受限,但是从公司内网接入的,文件共享将容许。自适应策略可以在危险级别更高的时候,启用更严格的策略。例如从家里或者无线区域接入时
端口扫描检测和阻断
SPA能检测端口扫描,记录事件,并且阻止主机系统作出响应。尽管端口扫描本身并不会危及目标系统的安全,但却是入侵企图的前哨。扫描企图和扫描源对安全管理员来说是有价值的信息
特洛伊木马保护
SPA在已知木马能够通讯前,自动终止其进程,防止传播和破坏
基于主机的IPS
SPA利用模式匹配来识别已知的攻击,例如,当SPA主机IPS监测到Web通讯中出现字符串"GET /cgi-bin/phf?",就会预警一种CGI程序攻击。每个网络封包都会做特定的字符串模式检查,如果匹配成功,SPA将阻止通讯,防止攻击。SPA自带一个预定义的IPS特征库,它也容许用户创建自定义IPS特征库来检测和阻止新的攻击
拒绝服务攻击检测和保护
Symantec保护代理能识别畸形包,伪地址等常见攻击手段。它可以跨多个包来进行分析,不管端口号和IP协议类型。这正是其他入侵预防系统的弱点。
6.操作系统保护(OS Protection)
操作系统保护(OS Protection)不同于传统基于特征码的主机入侵检测系统(HIDS)或传统的防火墙技术,该技术通过对终端计算机上运行的所有应用程序的行为进行控制,能够有效阻止新的安全威胁。通过该技术,管理员可以在中央服务器配置规则,对终端进行以下安全防护设置:
操作系统保护(OS Protection)——基于行为的入侵预防系统
设置不同应用程序对文件、注册表键的访问权限;允许或禁止应用程序的运行、终止指定的应用程序以及是否允许应用程序装载动态连接库。为了减少管理员配置上地复杂性,SEP提供可通过网络下载的操作系统保护模板,管理员可以直接对不同类型的终端应用相应的模板(Desktop、IIS Server、Apache Server、DNS Server、SQL Server、DHCP Server等)而不用自己逐一分析不同终端的特性,管理员还可以在模板的基础上自行修改策略,以满足本企业特定的安全要求。
,但是设定了特殊的静态路由,仅容许访问所需的服务器,并没有到整个网络的缺省路由。
一旦客户端有了一个IP地址,DHCP 强制服务器将和客户端上SPA通讯,确定客户端的策略是否及时更新,是否符合企业安全策略的要求。如果不符合,该SPA将触发所需的修复动作,使该系统与企业安全策略相一致。一旦符合要求,该客户端将发起一个DHCP 释放和更新。一旦DHCP 强制服务器接收到一个更新的请求,它将联系SPA,确定客户端已经达标。系统将被授予一个正常生产网络的DHCP 租约,给予全部的网络访问权限。
因为DHCP NAC作为一个透明(in-line)的DHCP 代理服务器,可以与现存的任何DHCP基础架构兼容。部署这种NAC方法涉及在DHCP 服务器前放置DHCP 强制服务器,决定一种隔离IP 地址策略,在DHCP 服务器上改变某些设置。
没有安装SPA的系统可以有两种方式授予访问权限。第一种方式是,对于一个非Windows 系统可以免除此NAC过程。第二种方式是,可以设置一个基于MAC 地址的免查表。这个MAC地址列表可以接受通配符,可以容许整个一类系统免受检查,例如IP电话使用它们组织唯一标识符。
DHCP NAC Packet Flow
4.Symantec On-Demand NAC
SSL VPNs 的引进产生了另外一个面向WEB 的NAC组件的需求。为了满足这个需求,Symantec开发了SymantecOn-Demand 代理(SODA)。SODA 包括一个随需的,透过Java发放的NAC组件,该组件可以评估一个系统的安全策略状态,无需预先安装常驻式的SPA。SSL VPN 网关可以通过它们的WEB验证界面发放此代理,确保系统符合策略要求后,才被允许访问受该网关控制的公司资源。Juniper,Array Networks,Netilla 和Aventail 这些SSL VPN厂商在它们产品中均包括了基于SODA的NAC支持。
5.Endpoint Enforcement (Symantec Protection Agent):
此时,Symantec Protection Agent以设置好的间隔自动检查主机完整性,而无需与任何强制服务器打交道。当主机完整性失败,Symantec Protection Agent将切换当前应用的防火墙策略,阻止普通的网络访问,重定向主机到一个隔离的处所,并启动相应的修复工作。
Symantec NAC方法回顾:
|
NAC 方法 |
Symantec-Sygate 产品开始支持时间 |
需要的最小版本版本 |
|
Gateway Enforcement |
2001年6月 |
SSE 2.0 |
|
API Enforcement |
2001年12月 |
SSE 3.0 |
|
Self-Enforcement |
2003年8月 |
SSE 3.5 |
|
802.1x (W)LAN Enforcement |
2004年7月 |
SSE 4.0 |
|
Cisco NAC v1 |
2005年6月 |
SNAC 5.0, SEP 5.0 |
|
DHCP |
2005年6月 |
SNAC 5.0, SEP 5.0 |
5.1.6SEP终端安全解决方案说明
我们建议使用Symantec Endpoint Protection来解决内网用户、移动用户,分支机构,合作伙伴和供应商在企业Intranet及Internet上面临的种种网络安全威胁,Symantec Endpoint Protection在以下各方面具有业界领先的安全防护解决方案:
- 企业网络面临的病毒,蠕虫威胁防护
- 系统软件、应用软件的补丁自动管理
- 系统软件自动化安全配置
- 终端用户网络准入控制
- 企业各种网络用户的网络接入安全防护,如VPN、远程拨号、无线AP、以太网接入等等的安全防护
- 网络入侵防范
- 企业各种重要的信息资源的安全保护
- 终端用户计算机各种安全防护软件的完整性防护
- 移动终端的环境自适应防护
- 统一、有效的安全策略管理
1. 终端安全解决方案设计原则
解决方案的设计应坚持使企业网络安全防护具有先进性、实用性、可靠性、兼容性、可扩充性和灵活性原则。
1)先进性
保证所采用的产品和技术属世界主流产品,在网络安全领域占有较大的用户市场,在该领域处于领导地位。
2)实用性和可靠性
网络安全系统的性能指标能够满足相当长时间内全网综合系统发展所需的存储量和处理能力的要求。该系统应切实满足业务的需要,系统性能可靠,易于维护并且网络及系统各方面指标切合实际需要,系统配置设计充分满足需要。
3)兼容性和互操作性
具有良好的兼容性,所采用技术和产品可以支持兼容符合国际标准和工业标准的相关接口,可以与其它主流安全产品进行很好的融合,实现不同厂商安全产品的互相作用,从安全防护上做到1+1>2安全防护性能,既保证企业以往安全投资的有效性和大量缩减企业安全投资,又能使企业网络的安全防护能力上升到一个新的高度。
4)可扩充和灵活性
该系统须具有良好的扩充能力,可以根据不断增长的业务发展需要很容易地进行系统作用范围扩充,在扩充网络防护范围时做到对企业非安全管理人员的透明,保证系统灵活有效的实施。
2.多层次的病毒、蠕虫防护
病毒、蠕虫破坏一类的网络安全事件一直以来在网络安全领域就没有一个根本的解决办法,其中的原因是多方面的,有人为的原因,如不安装防杀病毒软件,病毒库未及时升级等等,也有技术上的原因,杀毒软件,入侵防范系统等安全技术对新类型、新变异的病毒、蠕虫的防护往往要落后一步,危害无法避免。使用SEP,我们可以控制病毒、蠕虫的危害程度,只要我们针对不同的原因采取有针对性的切实有效的防护办法,就会使病毒、蠕虫对企业的危害较少到最低限度。
仅靠单一、简单的防护技术是难以防护病毒、蠕虫的威胁的。因此,在Symantec Endpoint Protection系统中,对当前肆虐于开放网络环境中的大量病毒、蠕虫威胁,实现了多层次的安全防护策略,归结起来是:事前预防、事中隔离、事后修复和AV联动。
Symantec Endpoint Protection中
支持的事前预防策略包括如下几个方面:
首先,通过主机安全完整性策略定义强制保证SPA中的基于主机的入侵检测防范模块的运行以及其特征库的即时更新,从而能够有效的保证对当前已知特征的病毒、蠕虫入侵的防护。
其次,Symantec Endpoint Protection通过主机完整性策略定义强制保证企业在终端设备上部署的第三方防杀病毒软件处于执行状态且其病毒特征库的及时更新,防止终端用户的关闭,异常退出或特征库的不完整。
第三,对于那些不符合企业安全策略中的主机完整性定义的设备,例如象上面描述的主机病毒、蠕虫防护完整性定义,将首先被隔离到企业某一特定的隔离区,在其中被自动的安装、升级、安全检查,以达到企业主机完整性定义要求,之后被允许访问正常的企业业务网络资源。
第四,在Symantec Endpoint Protection中,所有的安全策略,包括上面的病毒、蠕虫防护策略都是管理员通过中央集中的安全策略管理控制台实施的,对于普通用户是透明的,既较少了终端用户的麻烦,又提高了整体安全管理的质量。
Symantec Endpoint Protection中支持的事中隔离策略说明如下:
当病毒、蠕虫事件在企业网络内部发生情况下,Symantec Endpoint Protection能够实现对病毒、蠕虫的有效隔离,安全管理员可以通过Symantec Endpoint Protection中提供的“网络程序自学习”功能,及时发现病毒、蠕虫的运行情况,从而有针对性的制定病毒、蠕虫隔离策略,通过SPA提供的以应用程序为中心的全状态主机防火墙功能对病毒、蠕虫的网络访问进行阻断,保证病毒、蠕虫不能继续向企业网络内部扩散,杜绝病毒、蠕虫对企业整体业务运行的影响。
Symantec Endpoint Protection中提供的事后定位、修复策略说明如下:
一旦企业内部网络病毒、蠕虫事件被“事中隔离策略”控制在一定的范围内之后,系统安全管理员马上即可着手病毒、蠕虫的清除工作,包括如下几个方面:
首先,清除病毒、蠕虫需要知道病毒蠕虫的位置,即定位。通过前面提到的“网络程序自学习”功能记录的病毒、蠕虫位置信息,可以轻松的定位病毒、蠕虫的感染源。
定位之后,即有重点、有针对性的清除感染源,采取的策略可以是寻找到有效的病毒、蠕虫清理工具,通过Symantec Endpoint Protection提供的“软件辅助分发”功能下发到感染源并执行;定制杀毒软件病毒库升级策略,及时升级病毒特征库有效清理网络端点病毒、蠕虫;如果有系统补丁可以阻止病毒、蠕虫的传播,也可以对终端进行补丁升级,避免重复感染;Symantec Endpoint Protection还为安全管理员提供了主机入侵检测防范模块(HIPS)特征库的定制编辑器及相关语法,可以自定义入侵检测规则,实现对病毒、蠕虫传播行为的及时发现和有效阻断。
Symantec Endpoint Protection防病毒联动说明如下:
防病毒联动功能贯穿在Symantec Endpoint Protection病毒、蠕虫事先预防、事中隔离、定位修复的整个过程中,通过Symantec Endpoint Protection主机安全完整性策略中定义主机防杀病毒软件运行状态、病毒特征库升级定义,实现终端用户第三方防杀病毒安全策略的有效执行。SEP可以和Symantec领先的企业级防病毒系统Symantec AntiVirus有效整合,检测SAV引擎的运行状态、病毒特征库的更新状态;在SAV异常时,自动修复SAV。Symantec Endpoint Protection同时全面支持业界其它知名防杀病毒软件,也可以自定义规则来支持所有第三方防杀病毒软件。
3.终端用户透明、自动化的补丁管理,安全配置
为了弥补和纠正运行在企业网络终端设备的系统软件、应用软件的安全漏洞,使整个企业网络安全不至由于个别软件系统的漏洞而受到危害,必需在企业的安全管理策略中加强对补丁升级、系统安全配置的管理。Symantec Endpoint Protection提供了有效的补丁及系统安全配置管理功能。
企业网络安全管理员通过Symantec Policy Manager集中管理企业网络终端设备的软件系统的补丁升级、系统配置策略,可以定义终端补丁下载,补丁升级策略以及增强终端系统安全配置策略并下发给运行于各终端设备上的SPA,SPA执行这些策略,保证终端系统补丁升级、安全配置的完备有效,整个管理过程都是自动完成的,对终端用户来说完全透明,减少了终端用户的麻烦和企业网络的安全风险,提高企业网络整体的补丁升级、安全配置管理效率和效用,使企业网络的补丁及安全配置管理策略得到有效的落实。
Symantec Endpoint Protection为了确保企业补丁升级、安全配置管理的有效落实,除了对终端用户透明和自动化安全管理特色外,同时通过主机完整性策略保证机制实现补丁升级及安全配置管理的强制执行。通过补丁升级及安全配置的强制策略保证任何连接到企业网络的终端的补丁升级及安全配置符合企业的安全管理策略。
4.全面的网络准入控制
为了解决传统的外网用户接入企业网络给企业网络带来的安全隐患,以及企业网络安全管理人员无法控制内部员工网络行为给企业网络带来的安全问题,在Symantec Endpoint Protection内网安全解决方案中,有效的解决了企业员工从企业内网、外网以各种网络接入方式接入企业网络的准入控制问题。通过全面的网络准入控制,企业可以强制每一台接入企业网络的终端都符合企业安全策略的要求,从而保证企业网络的安全稳定运行。
边界准入控制
为了保证通过Internet接入企业网络的外网用户符合企业安全策略,同时为了保证企业外网安全防护薄弱情况下的终端安全,在每台外网终端上都安装并运行SPA,在企业网络入口处部署Symantec Gateway Enforcer,网络安全管理员通过Symantec Policy Manager为外网用户制定与其网络位置(Location)相应的访问控制策略、入侵预防策略、主机安全完整性策略。当外网用户接入企业网络时,网络入口处的Symantec Gateway Enforcer检查客户端的安全状态是否符合企业整体安全策略,对于符合的外网访问则放行,不符合企业安全策略的外网访问区分不同的情况:当访问设备没有安装SPA的将被拒绝访问,对于安装了SPA但当前安全策略不是最新的将被放行到企业网络相应的隔离区进行安全性修复,当访问设备符合企业安全策略则被放行进入企业网络进行正常的业务活动。
接入层准入控
理服务器并使服务器之间同步数据。该功能使得Symantec Endpoint Protection能够方便的扩展以适应不同规模企业的需要。同时对于那些分布式的企业,也能够为分布于不同地点的客户端统一的制定和维护安全策略并使得终端用户在企业内部网络中漫游时使用统一的安全策略。
支持现有用户与群组结构
策略管理服务器能够从NT域控制器,活动目录服务器,LDAP服务器中导入用户列表并能够和这些服务器定期同步更新用户列表。通过该功能,管理员可以方便的沿用企业现有的用户分组管理方式。
中央管理的日志与报告系统
Symantec 保护代理会定期将客户端的日志发送到管理服务器。管理员可以直接从管理服务器的控制台查看所有Symantec 保护代理客户端的日志,实时监控网络的安全状态。管理员还能够使用管理服务器针对客户端的日志生成图形化的报表来统计和分析企业网络的安全状况。Symantec策略管理服务器还支持第三方的专业日志分析软件,可以将本系统的日志自动发送到专用的日志服务器中进行进一步的分析。
基于组的策略生成及继承系统
策略管理服务器可以对不同的用户进行分组,并对不同的组制定不同的安全策略。通过系统内置的继承体系,不同的子组能够从同一父组中继承相同的安全策略,从而提高策略制定的便利性。策略管理服务器还能够针对计算机和当前登录用户来制定安全策略,按计算机制定的策略为特定的计算机维护了一组固定的安全策略,而按登录用户制定的策略为不同的登录账户维护了独立于特定机器的可以在企业内部网络中漫游的安全策略。
支持企业级的统一安全部署
为了实现对大型企业网络的统一安全策略管理,特别是那些拥有众多分支机构的企业网络,Symantec Endpoint Protection通过数据库复制技术,支持不同企业子网之间的策略复制,保证企业范围统一的安全防护策略以及企业级安全管理的稳定、高效。
通过Symantec Endpoint Protection提供的灵活的用户分组和策略设置功能,管理员可以有效管理企业内网不同用户身份的网络访问策略。管理员可以按照不同部门的不同网络应用需求配置相应规则,使得不同部门的用户只能在内网访问与其业务相关的应用和服务器,阻止所有的越权访问行为。
9.产品扩展能力
1)分布式部署的策略复制
默认情况下,一般一台策略服务器技术上不存在管理终端数量的限制。根据世纪的使用需求,一台策略服务器通过管理3000台终端为合适。超过3000台的终端能够通过扩展策略服务器的数量来实现管理功能。对于不只一个物理站点或者需要扩展站点的企业,例如有分支机构,用专用通讯链路来连接太昂贵,SEP支持数据复制。复制就是不同地点或站点间的数据库通过特别拷贝来共享数据的过程。这样不同地点的用户可以都工作在本地的副本之上,然后同步他们之间的变更。在SEP环境内,数据库复制可以将一个管理服务器上的变更同步到另一个数据库上,实现冗余备份。通过这种方式,SEP能够支持极大的终端数量扩展能力,从而满足企业不断扩大规模的需求。
2)扩展的事件日志转发能力
通过事件日志转发Symantec SEP能够将SEP日志转换成其他软件的格式。这个服务可以用来做日志的聚合和集中。系统管理员可以选择对哪些客户端、管理服务器和强制服务器日志进行转发,并存储在文本文件内供第三方程序使用。SEP 事件日志可以和其他程序和设备的日志一起(例如杀毒,路由,IDS)递交给安全信息管理系统。常见系统格式如netForensics,eSecurity,syslog,Symantec都能支持。
Symantec Universal Enforcement API
SEP还通过扩展提供统一的强制API接口。当用户通过IPSEC VPN连入网络,Symantec API 被使用与安装在远端系统的Symantec保护代理通信,判断该系统是否与安全策略一致。为了使该种方式工作,IPSEC VPN 网关必须支持Symantec的通用强制API。为了确保Symantec API 的兼容性,Symantec与绝大多数VPN 厂商一起工作,包括Cisco,Nortel,Juniper,Aventail,AEP,Array Networks 。对于不支持Symantec API 的VPN 网关,Symantec的透明(in-line)网关强制服务器可以被插入在VPN网关后边,执行本功能。
项目
产品模块
模块说明
1
Managed Security Agent(IPS + PFW)
(M模块)
M是基本模块,必须购买
1. 中央管理功能
2. 防火墙功能
1) 阻挡常规网络攻击(例如,端口扫描检测和阻断)
2) 应用程序管理(例如,应用程序黑、白名单)
3) 网络访问控制列表(例如受信站点、受限制站点)
1) 端口控制
4) 适配器管理(例如,禁止使用拨号)
5) 内外网隔离
6) 离机断网
3. 入侵预防系统
1) 阻止网络型病毒与蠕虫的入侵
2) 代码注入保护,核对应用程序和动态链接库指纹
3) 文件共享保护,阻止远程网络中的黑客访问本地文件共享
4) 特洛伊木马保护
5) 拒绝服务攻击保护
6) 自定义规则对通讯流量进行审
..........................
2
Host Integrity + Remediation
(H模块)
1. 软件分发
2. 补丁管理
3. 系统加固
1) 强口令
2) 安全工具检查(例如,杀毒,资产管理)
3) 系统文件保护
4) 关闭危险服务(例如,远程注册表服务,远程终端服务)
5) 统一屏保策略
6) 关闭默认共享
7) 匿名
制
LAN Enforcer用于与支持802.1x EAP协议的交换机配合实施,为企业内网提供高度灵活的内网用户接入企业网络的身份认证、策略强制、VLAN支持。
为了保证企业网络内部终端的网络接入时的安全状态以及网络应用行为,需要在接入内网的终端上安装和运行SPA,当终端接入交换机(支持802.1x协议)时,交换机发起EAP认证,SPA在收到EAP认证质询时,将当前终端安全状态以及终端身份向交换机报告,交换机在收到SPA的应答以后,将应答信息以Radius协议发送到Symantec Lan Enforcer,Lan Enforcer按照管理设定的规则检验SPA的应答信息,如果终端的身份合法并且安全状态也符合企业安全策略的要求,Lan Enforcer就通知交换机将终端放入正常的工作Vlan,如果终端验证失败,Lan Enforcer就按照管理的设定,通知交换机将终端放入隔离Vlan或直接关闭端口。在隔离Vlan的终端,SPA会自动进行终端安全状态的修复,在修复完成以后,系统自动将终端重新接入正常工作Vlan。
5.全面的入侵防范
现阶段黒客攻击技术细分下来共有八类,分别为入侵系统类攻击、缓冲区溢出攻击、欺骗类攻击、拒绝服务攻击、对防火墙的攻击、病毒攻击、伪装程序/木马程序攻击、后门攻击。如此众多的网络攻击行为,就需要采取全面、多层次的入侵防范手段,不但要能够保证企业内网不会受到直接攻击,也要防止间接的攻击行为,保证离开企业内网保护直接连接到Internet的移动终端不会成为入侵企业网络的媒介。
Symantec Endpoint Protection将传统的入侵防范从网络边界扩展到了企业网络的终端设备,防护范围从企业网络边界扩展到所有的终端之上,将网络终端安全防护策略从传统的各自为战发展到安全策略集中统一管理的有机防御体系。
在SPA中为了适应当前网络威胁与安全防护之间的时间间隔越来越短的安全情势,在SPA中实现“零时点”(Day-Zero)安全威胁防御技术,将传统的基于攻击特征码防护技术与最新的基于攻击行为特征分析防护技术相接合,有效缩短了系统对新的网络威胁的响应时间。
Symantec Protection Agent为终端提供了主机防火墙、主机入侵预防、操作系统保护、缓冲区溢出保护、系统锁定等全面的安全防护机制,确保企业网络每一终端都可以有效应对各种攻击行为。
6.终端设备安全完整性保证
主机完整性强制是Symantec Endpoint Protection系统的关键组件。信息安全业界已经开发出了多种基于主机的安全产品,以确保企业网络和信息的安全,阻止利用网络连接技术、应用程序和操作系统的弱点和漏洞所发起的攻击。并已充分采用了在个人防火墙、入侵检测、防病毒、文件完整性、文件加密和安全补丁程序等方面的技术进步,来有效地保护企业设备。然而,只有在充分保证这些安全技术的应用状态、更新级别和策略完整性之后,才能享受这些安全技术给企业网络安全带来的益处。如果企业端点设备不能保证主机安全措施完整性,也就不能将该设备看成企业网络受信设备。
Symantec Endpoint Protection允许管理员定义、实施以及恢复主机系统的安全完整性。可定义的主机完整性包括:安全应用是否安装、运行、特征数据是否及时更新以及系统安全设置。通过每当终端在连接到企业网之前检测系统的安全完整性,来强制主机完整性。
在安装有Symantec保护代理的计算机上,如果没有安装管理员指定的补丁程序或者操作系统漏洞补丁程序,SPA将按照管理员设置的修复策略自动连接到更新服务器,下载和安装必需的补丁程序或者操作系统漏洞补丁程序。在修复动作完成之前,终端被系统隔离在企业内部网络之外,直到它完成补丁的修复为止。
客户端也可以检测防病毒应用程序是否过期。例如,如果防病毒应用程序比起系统管理员指定的更旧,则认证强制网关就阻止Symantec 保护代理连接到企业网中,直到将最新版本的防病毒应用程序安装到终端计算机上为止。
如果客户端没有最新的防火墙规则,则Symantec 保护代理将不能够访问企业网。如果管理服务器上有更新版本的安全策略,则Symantec 保护代理将自动下载最新的安全策略,然后在用户的计算机上更新安全策略。安全策略升级失败时,会自动生成安全日志。
7.移动用户的自适应防护
为了适应企业员工经常在企业内网、分支机构、家庭、路途及其它各种公共场所如展览会所等网络办公环境中不断转换的实际情况,保障移动设备在离开企业内网较完备的安全防护仍然符合企业网络安全策略,避免终端处于企业外部时访问企业内网资源给企业网络安全带来灾难,同时避免给终端用户的实际业务应用带来不必要的麻烦,让终端用户乐于遵守企业既定的网络安全策略,保障企业安全防护策略在移动终端的有效执行,Symantec Endpoint Protection提供了自适应防护安全保障机制。
Symantec安全防护引擎能够根据用户计算机所处网络环境(用户所处的环境:办公室、家中、差旅途中、展示会等;用户使用的网络连接方式:以太网、拨号网络、VPN、无线网络等)的变化自动调整安全策略,以适应不同网络环境下的不同级别的风险。例如:当用户在参加展示会时使用会场提供的无线网络接入到Internet并连接公司的VPN服务器进入企业内部网络时,系统自动侦测到所处的网络环境并自动应用企业为这种环境所规定的安全策略;而当用户结束展示会回到公司内部时,系统自动应用适应公司内部网络环境的安全策略。
8.统一、有效的安全策略管理
统一、有效的安全策略管理是Symantec Endpoint Protection从企业安全管理角度提供的增强企业网络安全的解决方案。在Symantec Endpoint Protection中为了克服企业网络管理中存在的问题,如整个企业范围内安全策略不统一、企业任何安全管理策略的实施不得不牵涉到几乎整个员工队伍混乱状态、企业安全策略由于种种原因而无法真正的落实、企业对某一突发安全事件的响应无法满足企业紧急事件响应的时效要求等,将企业网络安全管理技术与企业网络端点防护技术有效结合,针对企业网络管理中各种现实的、紧迫的问题进行总体设计,引入多种独特的安全管理技术,实现满足企业网络安全管理要求的全面解决方案。
可扩展的多服务器架构
策略管理服务器内建多站点同步功能。企业可以在不同的分支机构内同时安装策略管
访问限制
8) 禁止修改IP
9) ……
4. 系统修复
1) 强制运行杀毒软件
2) 强制病毒特征库升级
3) 纠正错误的系统配置
4) 自动提示用户(例如,自动连接安全站点相关网页)
5. 移动存储设备的管理(U盘,刻录机,红外等)
|
3 |
LAN Enforcement(802.1x) (L模块) |
1. 区分来访终端和自有终端,为外来人员创建“网络漫游区”。 2. 对接入终端的安全性发起认证,屏蔽不安全的设备接入局域网。 3. 将高危设备放入隔离VLAN。 |
5.1.7SEP终端安全具体解决方案软、硬件需求
1.SEP + SNAC运行要求(单独安装最小配置要求)
Symantec Policy Manager
硬件需求
· Pentium III 900 MHz 或更高
· 512 MB RAM (或更高)
· 500 MB 可用硬盘空间
· 一张10/100M(或更高)以太网卡(安装有TCP/IP 协议)
软件需求
· Windows 2000 Server, Advanced Server 或Data Center (SP1 或更高,推荐SP4)
· Windows 2003 Server (SP1 或更高)
· Internet Information Services 5.0/6.0 (安装有Web服务)
· Microsoft SQL 2000 client (可选)
SQL Server数据库(如不使用SPM内置数据库)
硬件需求
· Pentium III 900 MHz 或更高
· 512 MB 内存
· 安装SQL Server或后有500MB以上硬盘空间
软件需求
· Microsoft SQL 2000 + SP3或更高
Symantec Gateway Enforcer
硬件需求
· Pentium III 800 MHz 或更高
· 128 MB RAM (推荐256 MB)
· 100 MB 可用硬盘空间
· 两张10/100M以太网卡(或更高)
操作系统
· RedHat Enterprise Linux 3 Original or Update 4
Symantec Lan Enforcer
硬件需求
· Pentium III 800 MHz 或更高
· 128 MB RAM (推荐256 MB)
· 100 MB 可用硬盘空间
· 一张10/100M以太网卡(或更高)
操作系统
· RedHat Enterprise Linux 3 Original or Update 4 (Kernel 2.4.21-4EL, 2.4.21-27EL)
Symantec DHCP Enforcer
硬件需求
· Pentium III 800 MHz 或更高
· 128 MB RAM (推荐256 MB)
· 100 MB 可用硬盘空间
· 两张10/100M以太网卡(或更高)
操作系统
· RedHat Enterprise Linux 3 Original or Update 4 (Kernel 2.4.21-4EL, 2.4.21-27EL)
2.SEP + SNAC系统硬件配置建议(3000点估算值)
|
编号 |
建议配置 3000客户端 |
数量/用途 |
|
Server-1 |
· Xeon 2.4GHz × 2 |
两台(一主一备) Symantec Policy Manager |
|
Server-2 |
· Xeon 2GHz × 2
|
两台(一主一备) Symantec Enforcer
|
- 桌面资产管理系统
Altiris IT生命周期管理解决方案具有多重系统管理功能,企业能随着新的要求或新的系统管理需求部署新的功能,随着企业的发展而不断扩充。每个解决方案以模块化的方式集中安装在Altiris服务器上,通过安装在客户端的Agent(代理)的交互来实现所有功能。
Altiris IT生命周期管理解决方案基于可扩充管理架构--Extensible Management Architecture™(EMA™),完全通过统一的Web控制台进行所有的管理工作。Altiris服务器还可以实现分布式结构来管理复杂庞大的IT基础设施。
5.2.1Altiris 客户端管理套件I
CMS-I是一种非常简单易用的客户端管理解决方案,它帮助用户降低PC、笔记本、手持设备等的管理维护成本。专为拥有大量IT设备管理者设计的。这个方案帮助客户实现从任何地点对系统和设备的管理,包括部署、管理、配置、解决问题等功能。它包括如下解决方案:
- Inventory Solution® for Clients 资产模块
- Application Metering Solution 应用测量模块
- Patch Management Solution™for Clients 补丁管理
- Deployment Solution™for Clients 部署模块
- Carbon Copy® Solution远程控制模块
- Software Delivery Solution™for Clients 软件分发模块
- Application Management Solution 应用软件管理模块
- PC Transplant 个性化迁移模块。
5.2.2Altiris 资产管理(硬件和软件等)具体解决方案及应用、技术实现方法
对于拥有大量客户端的用户,如何进行客户端设备的资产管理,是用户首先面临的问题。用户希望对所有的设备进行及时、准确的统计,并且尽可能准确了解所有客户端设备的硬件配置以及软件信息,以及时掌握资产的变化。当用户需要统一升级操作系统或应用系统时,希望能够提供资产状况报告,为升级费用提供科学的
因为通常是低水平、重复性工作,IT管理员也感觉到非常疲倦、枯燥。如何高效率、高质量、低成本提供技术支持及帮助,是客户面临的挑战。
功能描述
Altiris carbon copy solution解决方案并不是一般的远程控制应用程序,它可以通过Web浏览器进行远程控制,而且其强大的管理特性为企业提供了一个远程管理的工具。IT管理员利用Carbon Copy® 解决方案不用到需要帮助的计算机设备前,就可以为计算机使用者提供培训、故障判断及解决、操作帮助等服务。
Carbon Copy Solution给用户带来的好处:
- 无需出差为用户解决问题,节约差旅费用
- 提高服务水平和服务响应速度
- 远程解决用户技术支持问题,减少用户反复拨打技术热线的数量
- 可以实现远程培训
- 支持远程控制、文件传输、远程执行、对话以及远程重新启动
- 通过保证桌面电脑的有效性,从而提高企业生产力
- 大量降低维护管理工作量,绝大数问题可以远程解决。
- 提高IT管理水平:使用了altiris解决方案,企业可以节约IT管理费用,并且使IT管理员从日常的软件安装、配置管理、系统安装等繁杂的工作中解脱出来,从而可以将精力放在IT的高级管理方面。
Carbon Copy Solution解决方案的技术特点
支持低网络带宽下的远程控制
为了有效的管理企业IT环境,你需要通过网络或从远程接入计算机。使用Carbon Copy解决方案可以通过广域网、局域网或互联网接入到桌面设备、服务器、笔记本等。通过建立一个专门的高性能的altiris远程接入协议,Carbon Copy解决方案对低带宽下的远程控制进行了最大优化,使得即使是拨号方式或Internet网络也可以进行远程控制。
支持通过Web浏览器进行远程接入和控制
使用传统的应用程序,你仍然需要在本地安装软件来控制远程计算机。使用Altiris Carbon Copy 解决方案, 你可以利用Microsoft IE从任何地方、通过任何计算机连接和控制安装的altiris代理的计算机。只需简单的点击Carbon Copy URL,远程接入控制台就会立即被下载并准备使用。这真是太容易了。控制台由于是放在系统缓存里的,因此在使用后不会保留在计算机中。
与客户端部署和配置的无缝整合
不再需要分散的各种功能或麻烦的部署过程,因为altiris agent能够通过基于Web的管理控制台来进行管理。通过Carbon Copy解决方案,你可以立即部署代理或通过设置部署工作计划从而实现在非高峰时间进行部署。代理一旦被安装,就准备开始接受Carbon Copy连接,并且通过安全配置文件保护公司安全性。你可以随时集中设置安全选项和更新代理配置。
全面的安全性
对于执行远程控制解决方案来说安全性永远是最受关注的。Carbon Copy提供了安全参数,通过内置的控制台控制接口和远程会话。通过管理控制台,你可以定义哪个管理员有权限修改代理配置或哪个用户能够有权启动一个远程控制会话。Carbon Copy 解决方案还能够提供一个代理的安全配置设定,可以提供多层安全组合,通过连接权限设置限定哪些功能可以在计算机上运行。
集中监控和报告
Carbon Copy 解决方案允许跟踪和管理整个企业中的远程接入。所有远程接入的行为都被自动登记在代理上并报告给中央服务器。Altiris的pre-defined Web 报告允许你通过安全代理查看所有远程接入的行为和信息。甚至还可以通过拷贝pre-defined Web 报告建立一个用户自定义的报表,而不需要编写任何程序,通过添加数据、设置过滤参数等就可以生成新的报表。
Carbon Copy Solution的核心实现技术:
Carbon Copy Solution 将远程控制功能融合进Altiris 基础结构。这将由Altiris 资源管理器对远程计算机提供有效的管理。特别是Carbon Copy 允许您做以下事情:
• 浏览并从一个Web 页上连接设备。
• 运行远程控制、文件传送、语音聊天、以及远程打印实用程序。
• 从中心位置管理设备的部署和配置。
• 监控事件,比如连接状态、远程实用程序的使用情况、以及安全警告。
• 产生预定义Web 报表或创建自定义报表。
• 接收电子邮件或当某一情形出现时执行其它通知事件。
连接远程计算机
Carbon Copy Solution 允许您同装有Carbon Copy Agent 的远程计算机连接。当同远程的计算机连接时,您可对远程计算机使用远程控制、文件传送、远程剪贴板、语音聊天、以及远程打印实用程序。
远程控制
远程控制实用程序使本地计算机对安装有Carbon Copy Agent 的远程计算机的全部操作进行控制,包括启动应用程序或更改系统设置。当与一台远程计算机连接后,出现(默认)一个显示远程计算机桌面的远程控制窗口。在此窗口内,所有键盘和鼠标功能都可传到远程计算机上。
文件传送
文件传送实用程序在本地计算机或远程计算机进行复制、同步、创建、以及删除文件或文件夹。文件传送使用类似于Windows 资源管理器的分割窗口方法,并使用相同的文件选择和删除技术。文件可拖放到它们新的位置。文件传送有两种传送方法:复制和同步。复制是将所选的文件移动到指定的位置。同步是比较两个目录或文件,决定最新的版本,然后仅复制必要的部分以使在两台计算机中都具有最新的文件。
语音聊天
当运行远程控制、文件传送、或任何其它实用程序时,语音聊天功能允许Altiris Console 的使用Carbon Copy 进行远程控制窗口的用户同远程计算机的用户讲话。任何连接到中心计算机的Carbon Copy 用户都可同其他计算机用户讲话。您必须在每台计算机上装有声卡、扬声器、和话筒。如果在计算机上这些设备未装备好,则语音聊天功能默认为文本聊天。文本聊天功能允许本地计算机同远程计算机交换输入的消息。文本聊天字段出现在语音聊天窗口的底部。您可将文本聊天消息复制到Windows 剪贴板,然后粘贴到应用程序里,或从应用程序复制文本然后再剪贴到文本聊天窗口。
5.2.4Application Metering Solution(应用测量模块)功能
应用测量管理和控制软件的使用情况和授权证书。与IT资产模块一起使用,显示软件安装在哪里,哪些软件真正被使用及其使用频率,利用该数据您可以收回没有被使用的软件授权证书,限制没有价值
依据,如哪些设备需要增加硬盘,哪些设备需要增加内存,哪些不需要变化,哪些需要淘汰等等。altiris的资产管理解决方案(Inventory Solution)可以帮您解决这些问题。
Inventory Solution给用户带来的好处:
- 资产准确统计,清楚了解公司资产配置
- 资产监控,自动、及时反映资产变化
- 资产评估,为系统升级提供科学依据,节约升级费用
- 提高了技术支持能力:当客户端设备的使用者需要技术支持时,不再需要询问具体的硬件配置和操作系统配置等信息,提高服务响应速度和解决问题的速度。
- 提高IT管理水平:使用了altiris解决方案,企业可以节约IT管理费用,并且使IT管理员从日常的软件安装、配置管理、系统安装等繁杂的工作中解脱出来,从而可以将精力放在IT的高层管理方面。
Inventory Solution主要特点:
- 自动信息收集:如硬件信息、安装的软件包、操作系统配置等
- 支持多种设备:桌面设备、笔记本、手持设备和移动设备
- 支持多种系统:如Windows,UNIX, Linux, NetWare,Macintosh,Palm等
- 提高对应用的支持能力并减少支持成本
- 资产评估,为系统升级提供科学依据,节约升级费用:当用户需要统一升级操作系统或应用系统时,希望能够提供资产状况报告,为升级费用提供科学的依据,如哪些设备需要增加硬盘,哪些设备需要增加内存,哪些不需要变化,哪些需要淘汰等等
- 安全是BS结构的,使用方便
- 与altiris的其他方案无缝整合:轻松实现与软件分发管理、补丁包管理、远程控制、系统部署、备份与恢复、Help Desk等产品整合。
- 与第三方产品无缝整合:如Remedy Helpdesk, HP OpenView , MS SMS, Active Directory
Inventory Solution的核心实现技术:
Altiris Inventory Solution 设计用于满足当前各种网络环境的需要。它从任何实际地运行Windows 32 位操作系统的计算机上收集全面的软件和硬件数据。各种部署和数据集合选项确保Inventory Solution 在任何环境下均可工作。为帮助您获得最大投资收益,Inventory Solution 不仅限于简单的数据收集。通过提供基于Web 的管理控制台、针对关键信息发出警报的策略,以及专业质量的Web 报表,Inventory Solution 包括了用于将清单数据转变成有用信息的各种工具。
Inventory Solution 提供Windows 计算机中的全面清单,包括序列号、硬件清单、软件审核清单、虚拟机,以及用户/ 联系人信息(通过Exchange 配置文件)。Inventory Solution 还可以:
• 支持零占用空间配置。
• 在始终保持连接、断续连接和单机(经由软盘)等计算环境下操作。
• 安装以结合Altiris Agent 重复运行。
无论是否使用零占用空间选项,从计算机收集的信息均相同。
注意:Altiris 提供的Inventory Solution 可用于UNIX、Palm、Pocket PC 和Apple Macintosh。
Inventory Solution 可让您获得任何Windows 计算机的清单。Inventory Solution 以零占用空间运行-- 无需在计算机上安装任何程序,也不必通过Altiris Agent 运行。它可以从网络运行,也可以安装在两张软盘上,以便能够盘点不在网络中的计算机。
Inventory Solution 数据包括:
• PC 序列号和BIOS 详细资料
• 综合软件审核
• 磁盘、操作系统和系统配置设置
• 注册表设置
• 全部最终用户信息(通过Microsoft Exchange 配置文件)
• WMI 对象
Inventory Solution 数据可被传送至Notification Server,其方法包括通过在网络共享环境中创建一个文件、使用HTTP 直接传送数据、或将数据提交给Altiris Agent,再由Altiris Agent 传送至服务器。
软件扫描(aexauditpls.exe) -对安装在计算机中的软件执行详细扫描。它使用auditpls.ini 文件来控制应用程序的报告方式。在设置auditpls.ini 文件时,可利用多个强大而灵活的配置选项。
硬件扫描(aexmachinv.exe) -这是Inventory Solution 的硬件扫描代理。它报告硬件数据,如操作系统、登录用户、本地和网络磁盘组、物理内存容量、TCP/IP 配置、CPU 和PCMCIA 设备等。
自定义扫描(aexcustinv.exe) -该代理使用脚本从注册表、WMI 或INI 文件收集数据,以便您自定义报告的数据集。
Exchange 用户数据扫描(aexexchpls.exe) -报告在Microsoft Exchange Directory Service 中发现的有关登录用户的数据。
序列号扫描(aexsnpls.exe) -收集序列号、计算机厂商和型号、BIOS,以及内存模块信息。
清单收集器(aexnsinvcollector.exe) -收集和合并在扫描过程中由各个扫描代理发现的所有数据。扫描数据经合并后发送到Notification Server。清单任务是由Inventory Solution 提供的Software Delivery 任务。这些任务将清单数据从Altiris Agent 报告到Notification Server。
硬件清单-按每日计划运行计算机清单。
重新创建完整清单-按每月计划运行软件审核、序列号和计算机清单,并发送所有清单数据至Notification Server,而不管自上次运行以来清单是否更改。还提供了随机计划选项,这样即可在不同的时间、不同的计算机上运行清单。
重新创建用户清单-按每月计划运行最终用户和交换清单,并发送所有清单数据至Notification Server,而不管自上次运行以来清单是否更改。
软件清单-按每周计划运行软件审核、序列号和计算机清单。
用户清单-按每日计划运行最终用户和交换清单。
Inventory Solution 提供通知策略,即时报告Altiris Agent 的状态。
5.2.3Altiris 远程控制具体解决方案及应用、技术实现方法
用户拥有的计算机数量越来越多,管理维护工作量大,服务水平和响应速度不能令人满意,面临的具体管理问题如下:
办公地点分散,系统管理员进行系统维护时往往需要花大量时间在路程上,不能及时响应服务请求。
因为计算机操作者对业务软件操作不熟练或遇到技术问题,不能电话解决问题,需要上门服务。
技术支持成本居高不下。
技术培训困难,工作量大。
为解决如上问题,用户通常需要聘用大量的IT维护人员,即便如此,在管理和维护上仍然是疲于奔命。而且
的软件的使用,确保环境的标准化,提高资源利用率,减少系统维护难度。
- 为用户测定某软件将来需要授权证书的真实数量
- 部署和配置变得更加容易
- 减少升级系统的硬件需求
- WEB报表,全面获取有用数据
- 对于非法使用某关键应用软件提供及时警报
- 拒绝使用某软件:拒绝企业某些用户使用某软件,不管是联网用户,还是远程用户,甚至不联网用户!
- 应用负载数据:跟踪应用负载数据,如CPU和内存负载情况、软件的运行时间。
- 创建基于用户、组和时间的集合,根据工作时间或者其他时间设置允许禁用使用某软件的集合;可根据某软件名称、厂商、软件类型、用户等设置禁用。
- 软件使用状况监控:通过监控某电脑或用户使用某软件的时间及其频率,减少软件费用,回收使用率低的软件授权证书。
- 通过分发脚本,禁止某些功能(如限制修改IP、限制某些端口)
5.2.5Patch Management Solution™for Clients(客户端补丁管理模块)功能
当今世界蠕虫、病毒和特洛伊木马越来越猖獗,每天都有大量的病毒产生和发作,您的企业是否有相应的应对措施?很大一部分蠕虫、病毒和特洛伊木马都是针对微软的操作系统的漏洞实施攻击,微软几乎每5天就要发布一次安全补丁,您公司的计算机是否可以相应的快速实施安装?您如何确认您的公司的每一台计算机分别需要哪一些相应的补丁?
当您的企业拥有大量的计算机时,为每一台机器安装相应的补丁,是一个多么巨大的挑战,您有什么好的解决方案吗?
当您的企业拥有大量的计算机时,即使能够有工具实现自动安装补丁程序,但是否面临安装补丁程序后应用程序不兼容或系统瘫痪的尴尬?
Altiris Patch Management Solution解决方案提供针对上面问题的解决方案。
补丁包管理方案给用户带来的好处:
- 提高客户端设备的安全性和稳定性,减少“宕机”事件:给客户端及时安装补丁程序。
- 提高补丁程序的安装效率:系统管理员不用到每台计算机上去安装补丁程序,就能完成远端计算机的补丁安装。
- 以最安全的方式安装补丁程序。
- 支持远程分支机构的补丁管理,节约支持费用:不需要出差进行补丁程序安装。
- 提高IT管理水平:使用了altiris补丁包管理解决方案,企业可以节约IT管理费用,并且使IT管理员从日常的软件安装、配置管理、系统安装和恢复等繁杂的工作中解脱出来,从而可以将精力放在IT的高级管理方面。
Altiris补丁包管理方案的优势
- 支持局域网和广域网设备的补丁管理
- 自动补丁分发
- 支持基于策略和目标的补丁分发:可以将补丁只发给指定的用户群。
- 补丁可用性测试,减少补丁对应用的影响:一些补丁程序可能会导致您的系统或者应用程序的不稳定,所以您需要在安装前进行测试。Altiris补丁管理可以先建立一个小规模的集合或者组,然后进行测试,通过小范围测试提前发现这些补丁程序可能对系统或者应用程序造成的影响。
- 万一因为安装补丁程序,使系统瘫痪或应用程序不能正常工作,尽快恢复:
- 通过和Altiris Recovery Solution的整合能实现系统和应用尽快的恢复。
- 支持多种操作系统:如Windows 9X,Me,XP,NT,2000,2003,手持设备系统,Mac.等
- 能够生成补丁更新和分发的详细报表
- 完全是BS结构的,使用方便
- 与altiris的其他方案无缝整合:轻松实现与资产管理、软件分发管理、远程控制、系统部署、备份与恢复、Help Desk等产品整合。
- 与第三方产品无缝整合:如Remedy Helpdesk, HP OpenView , MS SMS, Active Directory
1.1.1系统部署和升级解决方案(Deployment Solution)
当企业购置新的客户端时,IT管理人员会面临大量客户端的操作系统、应用软件部署问题,这对于IT管理人员是一个相当大的工作量,需要花费相当长的时间。当企业对现有客户端进行升级时,如果快速地把原有系统的所有信息迁移到新的客户端?当客户端的操作系统进行升级时,如何快速地把原来的所有个性化设置进行迁移,保持用户的使用习惯?
针对这些问题,Altiris提供了非常有针对性的部署模块(Deployment Solution)。
deployment solution给用户带来的好处:
- 减少新系统和应用的部署时间:当客户拥有大量的客户端设备,而且分布在不同的地域,在安装操作系统和应用时,可以不用到每台计算机上去工作,就能完所有计算机的部署。
- 节约部署的费用:由于不需要出差到每个分支机构进行安装和部署,因此可以节约费用。
- 减少系统和应用的升级和迁移的部署成本和时间:
- 提高IT管理水平:使用了altiris解决方案,可以节约IT管理费用,并且使IT管理员从日常的软件安装、配置管理、系统安装等繁杂的工作中解脱出来,从而可以将精力放在IT的高层管理方面。
deployment solution主要特点:
- 迁移数据、应用程序和个人设置。您可以使用简明易用的向导捕获桌面、网络和应用程序的设置,从而将准备淘汰的计算机中的数据和设置迁移到新计算机中。使用部署控制台重新对这些个人设置进行远程部署。
- 升级和安装软件。对台式机、服务器、笔记本电脑和手持设备的系统软件进行日常管理,升级应用程序,安装服务程序包,设置打印机驱动程序并根据需要修改系统。部署解决方案可根据商旅人士的需要,将所有移动计算机的升级功能部署到远程站点,从而为其提供升级功能。
- 在大规模的计算机组中部署计算机。在全公司范围内轻松地部署和配置大量计算机。使用多播功能向新建或已有的计算机类型组内安装硬盘映像。安装软件和个性化设置,以及常用的应用程序、数据和驱动程序。运行配置后的作业或自动脚本以指定唯一的安全ID、配置用户名,以及使用部署作业设置IP 地址。
- 对常见帮助台请求的响应。远程浏览、诊断和修复系统问题,而无需离开部署控制台。详细的软硬件清单,以及远程控制和对话功能,可以大大简化常见问题的远程诊断过程。
-
灾难恢复。通过远程部署控制台自动备份和恢复配置、个性化设置、注册表、分区和驱动器,可以减少意外事件带来的损失。您可以将指定给一台计算机的所有部署作
执行日常客户系统静像,自动捕获变化数据
利用基于Web的文件恢复技术,用于任何时间、任何地点的用户自助恢复
快速可靠的修复回滚
迅速恢复PC及服务器,保证业务持续性
支持低带宽和较差的网络连接
需要很少甚至不需要用户干预
独特的压缩技术只需要占用最少的带宽消耗
自动的备份到服务器上而不是磁带上
在没有网络连接的环境下,备份到一个本地的隐藏分区
可以备份操作系统、应用程序、文件等各种资源
支持本地备份和集中备份两种方式:如客户端系统和应用程序在本地备份,重要数据和文件集中备份。
支持基于策略的备份,备份指定的目标设备上的数据
支持备份计划,实现定期、无人值守的自动备份
2、多重压缩
灾难恢复解决方案的文件压缩功能通过三种方式最小化数据的存储及传输。
Redundant file elimination (RFE) ——消灭冗余文件,对于在灾难恢复库中已经存在的文件,不再进行重复传输
Redundant block elimination (RBE) —消灭冗余数据块,通过仅传输并保存与原静像不同的--即变更数据块部分,提高备份效率。
HLZS data compression ——符合工业标准的无损数据压缩算法。
通过三种方式组合使用,其压缩比可高达15:1,从而最小化网络负荷,并能够达到单库即可支持数千用户的扩展能力。
1.1.6 节点解决方案
Endpoint Solution为用户提供一套数据安全的解决方案。它能有效的为企业提供对用户计算机进行U盘、移动硬盘、光驱、移动计算机进行管理。策略统一在服务器上制定,管理员可以根据用户的类型不同来定义相应的策略。
U盘、移动硬盘、刻录机进行管理,管理员可以设置为可读写、读、禁用,对于一些特殊的设备你可以设备排除。管理可以通过区域方式来定义不同的策略,例如:在公司使用一种安全策略、在家里定义一种安全策略。
- 邮件系统安全管理
OA系统是企业内部完成公文管理、日常办公、个人事务、内部信息、企业文化、专业办公等功能的内部办公网络。OA系统工作的核心在于通过电子邮件系统进行信息交换。如果没有一个好的垃圾邮件防御系统,大量的垃圾邮件会严重影响内部员工的工作效率,大量消耗OA系统承载网络的带宽资源,从而影响整个电信运营商的企业内部运作。在选择一款好的防垃圾邮件产品时,根据用户实际需要,我们主要对以下标准进行考量:
效力和精确性
对于反垃圾邮件解决方案最重要的因素就是能够检测出所有或几乎所有的垃圾邮件,理想状况是能够100%地阻断垃圾邮件,但实际情况是不太可能100%阻挡垃圾邮件,因此反垃圾邮件解决方案的效力指的是它到底能够阻挡多少比例的垃圾邮件,90%?还是94.95%?一般来讲,如果能一个反垃圾邮件解决方案够阻挡94.95以上的垃圾邮件,我们就认为它是一个有效的解决方案。反垃圾邮件精确性指的其检测垃圾邮件的准确程度,即是否不会错误地把合法的邮件当着垃圾邮件阻挡掉。
更新和升级的频率
正如每天出现大量新的病毒一样,Internet每天都会出现大量的新的垃圾邮件,因此反垃圾邮件解决方案必须及时、实时地更新其垃圾邮件过滤器或特征,以便能够识别和处理这些新出现的垃圾邮件。.
覆盖全球的能够识别不同语言的垃圾邮件
是否能够识别和处理除英文以外的其他语言的垃圾邮件也非常重要,根据目前的统计和分析,将会有越来越多的垃圾邮件来自非英语国家,因此反垃圾邮件解决方案必需能够阻挡采用和包含除英语以外的其他语言的垃圾邮件。
管理成本最小化
尽管众多反垃圾邮件厂商宣称其产品是即装即用,使用方便,而实际上他们往往将大量的后续管理维护负担交给了系统管理员和终端用户来承担。比如,许多前摄性的过滤器往往在生效前需要系统管理员对其进行大量的学习和训练,有些解决方案要求系统管理员通过人工维护“白名单”来降低合法邮件误判率,还有些解决方案在“个性化垃圾邮件管理”的口号下将众多的维护负担完全交给了终端用户。系统管理员在评判一个反垃圾邮件解决方案前,需要明确如下问题:我准备花多少时间在防御和管理垃圾邮件上?如果不能保证将反垃圾邮件解决方案的管理成本最小化,最终系统管理员将被淹没在这些烦琐的后续维护工作上,一旦人员开始懈怠或者疲于奔命,最终将会使得解决方案形同虚设,发挥不了应用的防御作用。
1.2.1Symantec Mail Security 8300
根据企业的实际情况,我们建议使用Symantec Mail Security 8300(注:8340,8360,8380,根据企业实际邮箱数量而定)作为防垃圾邮件的解决方案。
基于以上对企业用户在防垃圾邮件解决方案中的需求分析,作为世界排名第一的信息安全解决方案提供商——Symantec公司,提供了优秀了防垃圾邮件解决方案。Symantec保持有行业最为全面的反垃圾邮件技术架构,我们的高可适应性过滤技术包含了各种强大的启发式和响应式过滤器,为企业提供强大的反垃圾邮件防护以及最高的过滤效率。
Symantec反垃圾邮件解决方案专注于反垃圾邮件领域超过六年,是全球范围内的行业领导者,拥有2000个以上全球著名企业的成功案例,包括Avaya, eBay, Microsoft, IBM,Motorola,Bell,Lucent, MSN, AT&T, Lycos等。作为全球市场份额最大的反垃圾邮件解决方案,Symantec反垃圾邮件保护超过3亿个邮箱。
Symantec Mail Security 8300 系列设备正是使用了Symantec核心的反垃圾邮件技术,可保护您的电子邮件基础结构、服务和数据免遭各种威胁的攻击,其中包括基于来源的和基于内容的威胁。
Symantec Mail Security 8300设备是Symantec公司使用其世界领先的Brightmail反垃圾邮件技术为核心所设计的,为企业提供易于部署的基于网关的综合电子邮件安全解决方案。这些基于Linux 的强健设备部署在企业的电子邮件或群件服务器之前,可以保护您的组织不受基于电子邮件的恶意垃圾邮件或病毒的攻击,同时确保仍然可以通过电子邮件进行有效的协作和通信。通过将电子邮件防火墙、流量优化、反垃圾邮件、防病毒和内容策略一致性功能整合到单个设备中来提供集成的电子邮件威胁防护,Symantec Ma
- 业进行保存,从而在出现故障后可以方便地将系统恢复到先前的工作状态。
- 完全是BS结构的,使用和管理方便
- 支持不同硬件驱动部署。
- 与altiris的其他方案无缝整合:轻松实现与资产管理、补丁包管理、远程控制、软件分发、备份与恢复、Help Desk等产品整合。
- 与第三方产品无缝整合:如Remedy Helpdesk, HP OpenView , MS SMS, Active Directory
1.1.2Software Delivery Solution™for Clients(软件分发模块)功能
当您拥有大量客户端设备,并且分布在各个区域,每个客户端设备上的软件安装和管理通常面临如下挑战:
软件部署问题:
当初次安装软件时,IT人员需要每一台计算机设备安装应用软件,工作量大;
软件升级、维护问题:
当应用软件需要升级时,IT人员也需要为每一台计算机进行升级,管理复杂;
广域网客户的软件安装和升级,需要出差解决,费用高,IT维护成本居高不下;
IT服务不能及时响应,业务部门不满意。
altiris的软件分发解决方案(Software deliver solution)帮助客户有效解决以上问题。
Software Delivery Solution给用户带来的好处:
- 简化软件部署管理:altitiris解决方案中,系统管理员可以不用到每台计算机上去工作,就能完成客户端计算机的软件安装。
- 支持远程分支机构的软件部署,软件部署周期极大缩短:由于不需要出差进行软件安装,因此不再需要出差到每个分支机构,从而降低软件部署时间。
- 支持远程软件分发,软件升级非常方便
- 提高IT管理水平:使用了altiris软件分发解决方案,企业可以节约IT管理费用,并且使IT管理员从日常的软件安装、配置管理、系统安装等繁杂的工作中解脱出来,从而可以将精力放在IT的高层管理方面。
Software Delivery Solution主要特点:
- 支持低带宽下的软件分发:altiris的软件分发解决方案对网络带宽的要求很低,用户完全可以利用电话拨号或Internet实现远程软件分发。
- 支持软件分发带宽管理:可以设定软件分发带宽,从而在软件分发过程中不会影响企业的ERP应用和Email的使用。
- 支持软件分发的断点续传:在网络断线时分发中断,当网络接通后,不用重新开始。
- 支持基于策略的软件分发:可以将软件只发给指定的用户群,不会将软件分发给不需要的客户。
- 可以设定软件分发计划:可以设定软件分发的时间,从而在下班时间或非工作高峰时间进行分发,提高效率。
- 支持多种操作系统:如Windows 9X,Me,XP,NT,2000,2003,手持设备系统,Mac.等
- 支持Packager Server方式和智能多发不同的软件分发方式
- 强大的软件分发结果报告:让系统管理员准确了解分发结果
- 完全是BS结构的,使用和管理方便
- 与altiris的其他方案无缝整合:轻松实现与资产管理、补丁包管理、远程控制、系统部署、备份与恢复、Help Desk等产品整合。
- 与第三方产品无缝整合:如Remedy Helpdesk, HP OpenView , MS SMS, Active Directory
1.1.3Application Management Solution(应用程序管理)功能
收集了Microsoft Windows Installer(MSI)安装产品的相关信息,然后提交到Altiris Notification Server或Microsoft Systems Management Server(SMS)。MSI能协助管理源路径,收集MSI应用的库存信息,安排定期应用健康检查,自动恢复丢失或被更改的文件和/或注册表值。
1.1.4PC Transplant(操作系统,应用程序迁移模块)功能
PC迁移能帮助您将用户环境,例如:user profiles、桌面、应用软件、用户的各种类型的文档打成一个包,放到服务器上。当用户重新安装系统后或更换计算机时,可将用户的环境重新迁移到新的系统中。
1.1.5 备份与恢复模块(Recovery Solution)
由于用户拥有的计算机数量越来越多,系统、应用程序管理维护工作量大;而且最终用户的计算机上会存放大量的重要数据,需要进行有效的数据保护。具体问题如下:
由于误操作,造成应用程序损坏或文件被删除。
受病毒感染,造成计算机瘫痪或应用程序损坏,从而影响业务的正常运作。
由于“黑客”入侵,造成计算机瘫痪或应用程序损坏。
由于计算机硬件故障,造成计算机系统不能正常工作,用户程序和数据不能恢复。
由于计算机丢失,用户程序和数据不能恢复。
为解决如上问题,用户通常需要聘用大量的IT维护人员,即便如此,在管理和维护上仍然是疲于奔命。而且因为通常是低水平、重复性工作,IT管理员也感觉到非常疲倦、枯燥。
Altiris Recovery Solution(备份与恢复解决方案)能够很好解决上述问题。
Recovery Solution(备份与恢复解决方案)功能描述:
Recovery Solution模块可以保护您台式机和笔记本的操作系统、应用程序和存储的数据以及服务器的运行状态,免于无心的修改、意外删除和硬件故障而造成的损失,以及病毒入侵的破坏。该产品可以自动的备份和存储您网络中的桌面电脑或者笔记本,然后以一种高压缩的数据格式将数据安全的存放在标准的局域网服务器。该过程被称为获取计算机的快照。快照是通过周期的获取用户计算机的操作系统、应用程序、配置、用户数据和优先权来生成的。依靠自动的获取每天的快照,该模块可以无缝的无影响的保护您的系统和数据免受用户误操作的影响。
Recovery Solution(备份与恢复解决方案)给用户带来的好处
- 大量降低维护管理工作量,绝大数问题使用者可以自行解决。
- 提高服务水平和服务响应速度
- 防止因为病毒感染、黑客入侵、误操作造成系统瘫痪或应用程序损坏
- 防止因为硬件损坏或丢失,造成数据或文件丢失
- 提高系统、应用程序的可用性、稳定性,保证商业连续性
- 提高IT管理水平:使用了altiris解决方案,企业可以节约IT管理费用,并且使IT管理员从日常的软件安装、配置管理、系统安装等繁杂的工作中解脱出来,从而可以将精力放在IT的高级管理方面。
altiris Recovery Solution特色:
1、自动保护
灾难恢复解决方案是一个强有力的问题解决及灾难恢复系统平台,采用用户系统自动静像技术,最小化用户宕机风险。
il Security 8300 系列设备实现了当前可用的最有效、最准确和易于部署的电子邮件安全解决方案。
电子邮件威胁的领域正在不断扩张。如果不对邮件服务器的访问进行有效的控制,基于来源的威胁就会损害电子邮件的安全。在许多系统中,几乎所有电子邮件发件人都可以连接到邮件服务器。在另一些系统中,由于过分限制对电子邮件服务器的访问而妨碍了一些重要的业务功能。Symantec Mail Security 8300 系列设备中的电子邮件防火墙和流量优化功能可以自动调整细粒度访问控制,在确保简化合法发件人访问的同时,使滥用邮件的发件人由于很难或根本无法连接到邮件服务器而无法消耗邮件服务器资源。
除了基于来源的威胁外,防止恶意内容也是非常必要的。组织需要跟上垃圾邮件和电子邮件携带病毒的迅猛增长之势。虽然现在制订了有关维护适宜工作环境的法律要求,但是在满足电子邮件策略标准方面,组织还是面临着越来越大的压力。Symantec Mail Security 8300 系列设备紧密集成了三个方面的内容安全防护:反垃圾邮件、防病毒和内容。尽管这些经过公认的、行业领先的技术可以独立运行,但是当它们作为综合电子邮件安全解决方案的一部分运行时会更加有效。例如,由于电子邮件防火墙和流量优化层可减少传入的电子邮件通信的数量,因此反垃圾邮件和防病毒过滤可以更有效地运行。
这种级别的自动化电子邮件安全防护之所以得以实现是因为Symantec 的电子邮件过滤技术提供的行业领先的有效性和准确性以及极其灵活的配置功能。这种技术使Symantec 电子邮件产品出色的性能成为可能:有效性达95% 以上,误报率不到百万分之一。同类技术只能捕获不到90% 的垃圾邮件或病毒,也就是说它们的误报率较高,不能让用户和管理员相信它们可以实现集中的电子邮件策略管理。Symantec Mail Security 8300 系列设备允许您创建任意数量的组策略,以便通过多种方式为不同的用户组自定义邮件处理,过滤入站和出站电子邮件以及结合使用过滤条件和操作来满足您的特定要求。
Symantec一直在不断创造和评估新的过滤技术。每一种技术都经过严格的检验以保证不会对Symantec近乎苛刻的垃圾邮件过滤准确性造成影响,Symantec Mail Security 8300系列设备目前的准确率可以达到99.9999%,也就是说检查100万封邮件,才会错误的将1封合法邮件误判为垃圾邮件。
同时,Symantec Mail Security 8300 系列的自动化过滤器更新和集成的设备形式避免了几乎所有一直存在的管理负担。Symantec Mail Security 8300 系列设备的主要特点是它的控制中心,这是一个面向管理员的基于Web 的管理控制台,它可以提供充分的控制、灵活性和可视性。使用能够识别LDAP 的电子邮件策略、丰富的邮件处理选项、可通过Web 访问的隔离区以及过滤自定义工具,管理员可以对组织内不同的组或用户实施公司或部门针对垃圾邮件和不适当邮件制定的策略。为了进一步洞察攻击趋势和攻击统计信息,还提供了多种报告,它们具有非常灵活的调度和发送选项。
Symantec Mail Security 8300 系列设备整合了多种高效且有差异的电子邮件威胁防护,同时可降低电子邮件通信的入站流量。这些特征如果与设备固有的易管理和易部署优点相结合,可以帮助减少电子邮件安全的总拥有成本。节省的这些成本可以通过减少的硬件、网络带宽和管理员资源成本体现出来。由于这种功能强大的组合受到Symantec 的支持,因此客户还可以从行业领先的安全提供商所提供的支持和服务中受益。
高效性和实时性
作为企业用户来说,行业特点决定了它历来是遭受垃圾邮件攻击的重要目标。这就要求我们的防垃圾邮件技术具有优秀的广度、深度和实时升级。广度要求防垃圾邮件产品从世界各地收集垃圾邮件样本,这样才能防御垃圾世界各地的垃圾邮件;深度要求我们能够及时捕获最新的垃圾邮件发送技术,用于应对不断变化的垃圾邮件发送形态。实时升级要求我们及时更新垃圾邮件过滤规则和特征签名,更新频率小于1个小时,从而可以实时的抵御最新的垃圾邮件,提供××企业全方位、实时的保护等级。
Symantec的BLOC(Brightmail logistics and Operations Centers)中心保证了Symantec反垃圾邮件解决方案的高有效性和准确性。作为全球类似机构中最大的垃圾邮件分析中心,其负责Symantec垃圾邮件过滤器的实时创建、调整和分发。
BLOC由遍布全球三个大洲的几个中心点所构成,完成覆盖全球的对垃圾邮件的全天候防御。它有复杂高效的自动化反垃圾邮件工具,并由来自于全球各地的技术专家进行监控,对最新的垃圾邮件及其各种变种进行分析,根据其特点创建过滤器,并将其发布到客户站点上以便实时侦测和过滤掉垃圾邮件。这种自动化工具和技术专家相结合的方式尤其重要,专家会对垃圾邮件的识别侦测和过滤器进行最终确认,使得Symantec反垃圾邮件解决方案能够最快的跟进垃圾邮件的不断变化,提供了无与伦比的灵活性,并最大程度的保证了反垃圾邮件解决方案的两个要素:有效性和准确性。
BLOC所分析的真实的垃圾邮件来源于已经申请专利的Probe Network (侦测网络)技术架构,侦测网络具有200万个以上的诱骗邮件地址和邮件域,吸引垃圾邮件发送者不断的向侦测网络发送他们真实的垃圾邮件。加上由用户提交的垃圾邮件,侦测网络监视和保护全球超过3亿个邮箱。每个月都有几千万的真实垃圾邮件发送到侦测网络,随后这些邮件被送到BLOC,自动化的工具和技术专家将联合分析这些邮件,并开发出有效的过滤器。考虑到中国用户市场,Symantec更是与国内著名的ISP网易合作,建立了国内的Probe Network,专门搜集中文垃圾邮件,为中国用户提供了优秀的本地化垃圾邮件防护能力。
垃圾邮件反发垃圾邮件之间早已是时间速度方面的战争,侦测网络作为整个行业最大的捕获真实垃圾邮件的技术架构,使得Symantec在垃圾邮件发生的第一时间就能进行捕获和分析,从而为全球范围内的用户提供实时全面的邮件防护。
其他众多反垃圾邮件解决方案往往在其能生效前需要经过三到六个月的学习和培训,而Symantec的侦测网络是实时防护的,其已经经历了六年的垃圾邮件跟踪和创建相应过滤器的经验积累,能够最大限度的为客户提供全面专业的垃圾邮件防护。
除此之外,
Symantec反垃圾邮件基础架构最具竞争力的是其专业团队,他们通过如下专业工作使得Symantec在反垃圾邮件领域一直居于行业领导地位:
- 对垃圾邮件流量进行专业分析以分析新的攻击特征以及相应防御手段;
- 分析垃圾邮件发送者经常使用的WEB站点以及群发工具等;
- 监控垃圾邮件发送者经常使用的论坛和聊天室;
- 跟踪不断进化的垃圾邮件技术手段以保证有效的防御;
1.2.2SMS8300体系结构概述
Symantec Mail Security 8300 系列设备按如下方式处理邮件。
- 在网关中,TCP层流量优化检查邮件的IP 地址,以确定它是否来自已知的垃圾邮件来源或携带病毒的电子邮件来源。
- 传入的连接通过TCP/IP 到达入站MTA。
- 在接受连接之前,入站MTA 将邮件的IP 地址发送给电子邮件防火墙以检查它是否是已知的垃圾邮件来源或携带病毒的电子邮件来源。如果不是,入站MTA 将接受该连接并将邮件移动到它的入站队列。
- Filtering Hub 接受邮件的副本以进行过滤。
- Filtering Hub 参考LDAP SyncService目录来扩展邮件的分发列表。
- Filtering Engine确定每个收件人的过滤策略。
- 电子邮件防火墙根据发件人组设置(该设置是管理员通过控制中心配置的)检查邮件的SMTP From: 字段和IP 地址。此外,还根据最终用户定义的“禁止的发件人列表”和“允许的发件人列表”检查邮件。
- 电子邮件防火墙尝试使用发件人策略架构(SPF) 验证邮件。
- 防病毒和可配置的启发式过滤器确定邮件是否受感染。
- 内容策略一致性过滤器扫描邮件以检查它是否包含可配置的词典中定义的受限制的附件类型或单词。
- 反垃圾邮件过滤器将邮件元素与BLOC 发布的最新过滤器进行比较,以确定邮件是否是垃圾邮件。此时,系统还会根据最终用户定义的语言设置检查邮件。
- Transformation Engine 根据过滤结果和可配置的组策略执行相应的操作。
1.2.3SMS8300系列功能介绍
电子邮件防火墙
电子邮件防火墙- 电子邮件防火墙是第一个防护级别,它分析传入的SMTP 连接并在邮件在过滤过程中得到进一步处理之前启用优先响应和操作。电子邮件防火墙具有扩展的功能,如下图所示:
- 账号搜集攻击(DHA) 防护- 检测并停止账号攻击和搜集电子邮件地址的其他攻击尝试。账号搜集攻击是针对特定域上由词典生成的收件人地址的大量攻击活动。DHA 不仅会消耗目标电子邮件服务器上的资源,还会向垃圾邮件发件人提供有价值的有效电子邮件地址列表(以进一步发起垃圾邮件攻击)。要使用DHA 防护,必须启用LDAP SyncService。
- 攻击优先- 通过检查从传入的IP 地址接收的邮件的频率和质量来检测可能的垃圾邮件、病毒和账号搜集攻击。电子邮件防火墙会跟踪在给定时间段内,来自给定IP 地址的邮件中有多少被标识为垃圾邮件或标识为包含病毒。
- 管理员定义的禁止的发件人- 替组织识别出禁止的发件人(由IP 地址标识)。可以在DNS 或本地级别标识发件人。来自禁止的发件人的电子邮件可以根据管理员选择的方法进行处理。
- SMTP 连接管理- 电子邮件防火墙可以基于IP 地址与错误邮件或无法识别的收件人的频率之间的相关性执行操作。可以将来自滥用邮件发件人的连接转移到“处罚箱”,从而使他们在指定的时间段无法发送电子邮件。还可以将电子邮件防火墙配置为返回Reject SMTP Connection 或Defer SMTP Connection命令以响应不受欢迎的发件人。
- 集成的发件人信誉判断服务数据- 电子邮件防火墙可以根据发件人配置文件和来自发件人信誉判断服务的信誉判断数据自动禁止或允许SMTP 连接。发件人信誉判断服务利用了Symantec 探查网络的影响力和可见性以及从过滤统计信息中精选的发件人数据。
- 发件人验证- 可以将电子邮件防火墙配置为使用发件人策略架构(SPF) 对邮件进行验证,并对验证失败的邮件执行多种操作中的任何一种。
TCP 层流量优化
流量优化可设定合法通信来源的优先级,并限制发送垃圾邮件的来源,从而减少网络中的下游负载。垃圾邮件发件人无法强制邮件进入受保护的网络,因此他们的垃圾邮件只能备份在他们自己的服务器上。Symantec Mail Security 8300 系列能够在本地识别攻击并进行流量优化以响应这些攻击。
大多数同类方法通常都在第7 网络层(应用程序层,SMTP 协议所在的层)中过滤电子邮件。但是,在SMTP 应用程序到达时,滥用和不适宜的邮件发件人已经消耗了邮件服务器和网络资源。与之相反,Symantec Mail Security 8300 系列设备中嵌入的获得专利的流量优化功能在第3 和第4 网络层(即网络级协议层)中运行。它不处理邮件,而是对组成邮件的数据包和那些数据包所经过的网络路径进行分析。
反垃圾邮件技术
Symantec Mail Security 8300 系列设备并入了多层垃圾邮件防护,利用了业界领先的技术,并由分布在全球的操作中心提供支持。Filtering Engine 利用20 多种不同的过滤技术,这些技术共同作用来最大限度地提高垃圾邮件检测的效率(有效性达95% 以上),并最大限度地减少误报(每一百万个邮件中不到一个误报)。反垃圾邮件功能和技术的范围包括以下各项:
- 开放代理发件人- 不断更新的开放代理服务器列表,这些服务器通常是垃圾邮件的传播渠道。
- 可疑垃圾邮件发件人- 从中发出的所有电子邮件几乎都是垃圾邮件的不断更新的IP 地址列表。
- 安全发件人- 从中发出的电子邮件几乎都不是垃圾邮件的不断更新的IP 地址列表。
- 允许/ 拒绝列表- 设置组织范围的禁止的和允许的发件人列表(也称为黑名单和白名单)。来自允许的发件人的电子邮件通常会被发送(除非它包含病毒或蠕虫),来自禁止的发件人的电子邮件会可以根据您选择的方式进行处理。
- 灵活的发件人指定- 通过电子邮件地址/ 发件人名称、域名或IP 地址指定允许的和禁止的发件人。
- 文本文件导入- 导入允许的和禁止的发件人列表。
- 更新的URL 过滤器- 标识和过滤垃圾邮件发件人预置的URL,该URL 通常经过伪装并且指向垃圾网页。Symantec Mail Security 8300 系列设备并入了优化速度的第四代URL 技术。
- 更新的启发式过滤器-
- 根据垃圾邮件和合法邮件的已知特征来评估传入邮件的内容的主动过滤技术。包括语言不可知启发式扫描和语言可知启发式扫描。
- BrightSig2 - 可消除随机化和基于HTML 的过滤躲避方法的签名技术。
- 附件签名- 针对特定的MIME 附件,例如,特定垃圾邮件攻击中使用的色情图像。
- 标头过滤器- 基于实时攻击或垃圾邮件中存在的共性或倾向的有针对性、基于正则表达式的严格过滤器。
- 正文散列签名- 基于邮件正文的签名技术。
- 可调整的可疑垃圾邮件阈值- 可以使用站点特定的可疑垃圾邮件定义来进行更严格的过滤。
- 10 分钟更新- 每隔10 分钟过滤器都会通过安全HTTPS 从Symantec 网站自动下载到客户站点。无需管理员干预。
- 语言标识- 可以将邮件文本识别为属于11 种语言中的某一种。随后,软件会只运行适用于该邮件语言的过滤器。管理员可以设置根据语言标识来接受或禁止邮件的策略。最终用户可以选择他们希望接收用哪些语言撰写的邮件。
- 语言特定的启发式扫描- 基于11 种非英语语言的垃圾邮件而专门优化的启发式扫描。受支持的语言包括:中文、荷兰文、英文、法文、德文、意大利文、日文、韩文、葡萄牙文、俄文和西班牙文。
- 语言专业技术- 遍布全球的技术人员会对垃圾邮件进行分析并用15 种以上的语言创建目标过滤器。
- 全球操作中心- 分布在美国、爱尔兰、澳大利亚和中国台湾的全球垃圾邮件分析和操作中心可以在客户站点提供全天候的垃圾邮件攻击和过滤性能监控。
- 垃圾邮件检测网络- 我们的探查网络是最大的蜜罐网络(共包含两百多万个诱骗电子邮件地址和域)。还包括来自3 亿多个电子邮件收件箱的提交内容和统计信息。
- 漏报的垃圾邮件提交- 最终用户可以登录到控制中心(一个基于Web 的界面)将漏报的垃圾邮件提交给Symantec。
- 全天候误报解决- Symantec 技术人员会分析并纠正所有可能的误报。
- 误报提交- 使用方便的提交工具,在遇到被错误标识的邮件时,Symantec 的用户社区(多达3 亿用户)可以尽快地通知Symantec。
- 提交响应- Symantec 根据提交的内容调整过滤器(前提是可以保证改进过滤质量)。
防病毒技术
Symantec Mail Security 8300 系列设备通过集成倍受好评的Symantec 防病毒技术来扫描和检测病毒。病毒防护包括病毒定义自动更新,用于处理含有病毒的邮件的灵活策略,以及针对群发邮件蠕虫和生成的关联电子邮件提供的特定防护。
防病毒功能和技术的范围包括以下各项:
- 自动更新- Symantec 会创建病毒特征和定义,并且一旦这些特征和定义可用,就立即在客户站点中进行更新。
- 操作选择- 设置用于处理包含病毒的邮件的策略:清除病毒并发送邮件,正常发送邮件或删除邮件。
- 群发邮件蠕虫自动删除- 不仅可以自动删除群发邮件蠕虫,还可以删除生成的关联电子邮件,这些邮件的数目可能多达数百封,并且没有任何用处。
- 可变的扫描级别- 可调整的启发式扫描,或宽松或严格地标识病毒。
- 可调整的扫描阈值- 指定最大大小和扫描深度级别,以减少使处理操作负担过重的Zip 炸弹的威胁。
内容策略一致性
Symantec Mail Security 8300 包括多项电子邮件内容策略一致性功能。当与邮件策略功能一起使用时,内容策略一致性功能使得管理员可以实施公司的电子邮件策略,减少法律责任,并确保符合法规要求。内容策略一致性功能的范围包括:
- 附件管理- 管理员可以扫描具有特定属性(例如,给定的文件扩展名、文件名、MIME 类型、大小等)的附件,并执行特定的操作。例如,您可以隔离所有ZIP 文件,删除图像文件或过滤掉过大的邮件。
- 内容策略一致性词典过滤器- 使管理员能够定义或导入预先定义的被禁单词的词典。该功能可帮助解决与人力资源(HR) 和法规遵从性有关的问题。
- 简单的过滤器创建和编辑- 一个简单易用的图形界面,使您能够通过创建服务器级别的全局过滤器来实施公司的策略。可以快速激活和停用个别过滤器,显示激活状态并选择过滤器运行的顺序。
- 多个条件- 您可以使用16 个不同的邮件参数的多个组合来编写复杂的规则,并基于内容、标头、MIME 类型和多个其他条件进行扫描。您可以在内容过滤中创建的条件的数目没有限制。
- 多项操作- 对于与内容过滤相匹配的邮件,管理员可以选择将其删除,转发到某个电子邮件地址,对其进行修改或执行其他操作。
组策略和过滤策略
Symantec Mail Security 8300 系列设备允许您为个人和组创建目标策略。可以通过LDAP 集成或使用多种标识方法(包括域和电子邮件地址)从自定义列表中定义组。
两种级别的策略定义使邮件处理的自定义过程具有了最大的灵活性:
- 组策略- 用户组或域组。可以定义组策略的成员资格,并选择它将使用的过滤策略。可以利用LDAP SyncService 提供对企业目录中的LDAP 组的电子邮件地址解析。可以为每个组自定义电子邮件处理,并且可以设计组特定的内容策略一致性过滤器。
- 过滤策略- 对某些类型的电子邮件采取的操作集。每个过滤策略可以包括要对同一组邮件(例如,垃圾邮件或包含病毒的邮件)执行的多项操作(例如,向邮件中添加标头和归档邮件副本)。可以为每个过滤策略指定一个名称。
使策略具有更大灵活性的其他功能包括:
- LDAP 同步- Symantec Mail Security 8300 可以通过它的SyncService 功能从现有目录存储执行单向LDAP 同步。受支持的源目录包括Windows 2000 Active Directory、Windows 2003 Active Directory、Sun Messaging Server 5.1 (以前称为iPlanet Messaging Server)和Exchange 5.5。
- 可调整的可疑垃圾邮件阈值- 您可以配置自己的可疑垃圾邮件定义以进行更严格的过滤。然后可以使用策略为每个组设置单独的操作,或者为标识为可疑垃圾邮件的邮件设置共同的操作。
最终用户功能
Symantec Mail Security 8300 系列设备使最终用户能够管理和自定义他们的过滤功能。用户可以登录到控制中心的特殊部分并选择适当的设置。可自定义的最终用户功能包括:
- 禁止的发件人列表- 用户可以指定将始终禁止的地址。这些项可补充管理员在组织范围内定义的
- 禁止的发件人列表。
- 允许的发件人列表- 用户可以指定允许忽略反垃圾邮件过滤的发件人。
- 语言设置- 用户可以指定他们希望接收用哪些语言撰写的邮件,或者他们不想接收用哪些语言撰写的邮件。用户可以从11 种受支持的语言中选择。
- 提交- 用户可以将错过的垃圾邮件或误报提交给Symantec 进行分析。
- 基于Web 的最终用户隔离区- 网络上的用户随时可以登录到他们自己的隔离区并查看他们被隔离的邮件。
- 隔离区邮件搜索- 用户可以使用多个条件搜索隔离区中的邮件,这些条件包括:To: 标头、From: 标头、邮件正文、Subject: 标头、Message ID: 标头和时间范围。
管理和易管理性
Symantec Mail Security 8300 系列设备的特点是自动内容更新以实现全面防护。它们还具有非常丰富的功能和充分的可定制性,使管理员能够控制和了解组织内的电子邮件安全问题。管理功能的范围包括:
- 基于Web 的管理- 基于Web 的控制中心使管理员能够使用Web 浏览器来查看综合过滤性能的实时操作盘,并集中管理多个Symantec Mail Security 8300系列设备。
- 自动过滤器下载和统计信息传输- 从客户站点进行安全HTTPS 轮询可启动更新过滤器的下载。该同一过程还会将统计信息从客户站点传输给Symantec,以便Symantec 评估部署的过滤器的性能和有效性。该过程无需管理员干预,而且在更新过程中过滤器永远不会停止。
- 简单的软件更新- 只需一个简单的单击过程,即可应用所有安全和软件更新。
- 可分配的管理员权限- 创建其他管理员帐户,授予每个管理员管理Symantec Mail Security 8300 系列的不同组件所需的管理权限级别。您可以分配以下任一或所有管理角色:管理隔离区、管理状态和日志、管理报告、管理组策略、管理设置、管理控制。
-
自动电子邮件警报- 可以选择当出现以下任一情况时向系统管理员发送警报:
- 某件组件不响应或不工作。
- 反垃圾邮件过滤器早于指定的时间。
- 防病毒过滤器早于指定的时间。
- 邮件队列大于指定的大小。
- 可用的磁盘空间少于指定的数量。
- SSL/TLS 证书即将过期。
- 出现LDAP 同步错误。
- 出现LDAP 扫描程序复制错误。
- 防病毒许可证已过期。
- 反垃圾邮件许可证已过期。
- 软件更新许可证已过期。
- 有新的软件更新可用。
- 综合日志- 可以将日志级别设置为五个级别中的任意一个。可以设置Filter Hub 和Conduit 的日志级别。还可以指定日志数据库条目的最大大小和保留期限,并将日志保存到文本文件以进一步查看。
- 综合状态视图- 可以从一个集中的位置查看以下内容:隔离区信息、网络中已配置的Scanner 设备以及任何关联的组件。Scanner 和组件的基本状态(运行或未运行)。
- 可选命令行接口- 管理员可以选择使用命令行接口管理某些任务。
提交
由管理员和用户标识为错过的垃圾邮件或误报会自动发送给Symantec 进行分析。管理员可以接收用户发送给Symantec 的所有被误标识的邮件的副本。
安全
支持TLS (传输层安全性,SSL 的后续协议)加密。管理员还可以配置每个Scanner 是否使用TLS 来处理入站邮件、出站邮件或邮件发送。
隔离区
Symantec Mail Security 8300系列提供了一个基于Web的隔离区。使用控制中心,管理员可以登录并查看Symantec 软件为其组织中的所有用户隔离的垃圾邮件。隔离区功能的范围包括:
- 电子邮件通知- 隔离区可以向用户发送定期电子邮件摘要,其中列出新隔离的垃圾邮件,并包括一些链接,使用户可以立即将邮件释放到他们的收件箱或登录到他们的个人隔离区。
- 通过一次单击释放隔离的邮件- 垃圾邮件隔离区摘要的收件人可以单击链接来立即释放或查看捕获的垃圾邮件,而无需登录。
- 别名扩展- 隔离区会自动解析基础电子邮件地址的所有别名,并将邮件发送到适当的隔离区帐户。
- 垃圾邮件清除和大小阈值- 管理员可以设置垃圾邮件的保留期限。他们还可以基于全局或基于每个用户配置阈值以控制隔离区数据库的大小和邮件数量限制。
- 隔离区邮件搜索- 用户和管理员可以使用多个条件搜索隔离区中的邮件,这些条件包括:To: 标头、From: 标头、邮件正文、Subject: 标头、MessageID: 标头和时间范围。
- 可自定义的通知模板- 管理员可以自定义发送频率、邮件内容和内容类型(HTML、文本或两者)。他们还可以指定摘要是否包括嵌入的视图邮件并发布邮件链接,以便用户无须登录即可访问邮件;还可以选择是否将摘要发送给分发列表。
报告
Symantec Mail Security 8300 系列包括丰富的报告功能,其中包括:
- 综合报告- 查看所有作为Scanner 运行的Symantec Mail Security 8300 系列设备的综合过滤性能统计数据。
- 多个预设报告- 使用50 多个不同类型的预设报告来提供过滤性能和电子邮件攻击的全面实时报告。
- 报告导出- 导出报告数据,以便在任何报告或电子表格软件中使用以供进一步分析。
- 报告调度- 调度有关电子邮件的生成和发送的报告。
- 结束语
本方案书是针对目前某用户企业网络现状,结合Symantec公司在信息安全领域的实施经验,提供的某用户企业信息安全系统整体建议。主要对某用户目前网络现状、安全体系设计、架构部署相关产品及如何部署、如何管理等方面作了说明,对整个工程如何实施提供了建议。我们非常期望通过双方密切的合作,为某用户构建一个严密的整体安全系统。
地址:广州市番禺区兴业大道327号潮云创意港B栋305房
联系电话:020-38200559
公司网址:www.scticn.com
电子邮件:support@scticn.com
烽睿科技 版权所有 粤ICP备12032896号