Symantec终端管理和安全解决方案功能规范书

1、.：.；Symantec终端管理及平安处理方案功能规范书赛门铁克软件北京 DATE yyyy年MM月 l * MERGEFORMAT 2021年04月文档信息属性内容文档称号：终端管理和平安处理方案功能规范书文档编号：文档版本：版本日期：文档形状：审阅人：版本变卦记录版本修订日期修订人描画1.02021-4-8姚臻桌面终端规范化管理系统功能规范 PAGE IV目 录 TOC o 1-3 h z u HYPERLINK l _Toc195543723 第1章概述 PAGEREF _Toc195543723 h 1 HYPERLINK l _Toc195543724 1.1先进的要挟防护 PAGE

2、REF _Toc195543724 h 1 HYPERLINK l _Toc195543725 1.2同时对端点和用户进展授权 PAGEREF _Toc195543725 h 2 HYPERLINK l _Toc195543726 第2章产品功能引见 PAGEREF _Toc195543726 h 4 HYPERLINK l _Toc195543727 2.1端点维护系统Symantec Endpoint Protection PAGEREF _Toc195543727 h 4 HYPERLINK l _Toc195543728 2.1.1产品简介 PAGEREF _Toc195543728

3、h 4 HYPERLINK l _Toc195543729 2.1.2产品主要优势 PAGEREF _Toc195543729 h 5 HYPERLINK l _Toc195543730 2.1.3主要功能 PAGEREF _Toc195543730 h 6 HYPERLINK l _Toc195543731 2.1.4产品系列 PAGEREF _Toc195543731 h 7 HYPERLINK l _Toc195543732 2.1.5系统要求 PAGEREF _Toc195543732 h 8 HYPERLINK l _Toc195543733 2.2终端准入控制Symantec Ne

4、twork Access Control 11 PAGEREF _Toc195543733 h 10 HYPERLINK l _Toc195543734 2.2.1主要优势 PAGEREF _Toc195543734 h 10 HYPERLINK l _Toc195543735 2.2.2主要功能 PAGEREF _Toc195543735 h 11 HYPERLINK l _Toc195543736 2.2.3全方位的端点防护 PAGEREF _Toc195543736 h 12 HYPERLINK l _Toc195543737 2.2.4可在任何网络中部署 PAGEREF _Toc195

5、543737 h 12 HYPERLINK l _Toc195543738 2.2.5产品系列 PAGEREF _Toc195543738 h 13 HYPERLINK l _Toc195543739 2.2.6系统要求 PAGEREF _Toc195543739 h 14 HYPERLINK l _Toc195543740 2.3Symantec AltirisIT生命周期管理处理方案 PAGEREF _Toc195543740 h 16 HYPERLINK l _Toc195543741 2.3.1Altiris管理架构Notifications Server PAGEREF _Toc19

6、5543741 h 16 HYPERLINK l _Toc195543742 2.3.2Altiris 功能模块 PAGEREF _Toc195543742 h 19 HYPERLINK l _Toc195543743 第3章终端平安系统功能阐明 PAGEREF _Toc195543743 h 22 HYPERLINK l _Toc195543744 3.1管理系统功能组件阐明 PAGEREF _Toc195543744 h 22 HYPERLINK l _Toc195543745 3.2系统架构功能设计 PAGEREF _Toc195543745 h 25 HYPERLINK l _Toc1

7、95543746 3.2.1两级管理体系 PAGEREF _Toc195543746 h 25 HYPERLINK l _Toc195543747 3.2.2二级 VS 两级以上的管理 PAGEREF _Toc195543747 h 26 HYPERLINK l _Toc195543748 3.2.3战略的同步与复制 PAGEREF _Toc195543748 h 27 HYPERLINK l _Toc195543749 3.2.4效力器的负载平衡 PAGEREF _Toc195543749 h 28 HYPERLINK l _Toc195543750 3.2.5客户端的遨游 PAGEREF

8、_Toc195543750 h 29 HYPERLINK l _Toc195543751 3.2.6容灾与灾备系统 PAGEREF _Toc195543751 h 31 HYPERLINK l _Toc195543752 3.3终端平安功能点阐明 PAGEREF _Toc195543752 h 35 HYPERLINK l _Toc195543753 3.3.1集成的端点防护方法 PAGEREF _Toc195543753 h 35 HYPERLINK l _Toc195543754 3.3.2简化端点维护 多重技术、一个产品 PAGEREF _Toc195543754 h 36 HYPERL

9、INK l _Toc195543755 3.3.3降低总拥有本钱 PAGEREF _Toc195543755 h 38 HYPERLINK l _Toc195543756 3.3.4最全面的端点平安 PAGEREF _Toc195543756 h 39 HYPERLINK l _Toc195543757 3.3.5提高端点平安规范 PAGEREF _Toc195543757 h 45 HYPERLINK l _Toc195543758 3.4准入控制设计功能点 PAGEREF _Toc195543758 h 47 HYPERLINK l _Toc195543759 3.4.1Symantec

10、NAC评价过程 PAGEREF _Toc195543759 h 47 HYPERLINK l _Toc195543760 3.4.2赛门铁克端点评价技术：灵敏性和全面性 PAGEREF _Toc195543760 h 49 HYPERLINK l _Toc195543761 3.4.3永久代理 PAGEREF _Toc195543761 h 50 HYPERLINK l _Toc195543762 3.4.4可分解的代理 PAGEREF _Toc195543762 h 51 HYPERLINK l _Toc195543763 3.4.5远程破绽扫描 PAGEREF _Toc195543763

11、h 52 HYPERLINK l _Toc195543764 3.4.6Symantec Enforcers：用于消除 IT 和业务中断的灵敏实施选件 PAGEREF _Toc195543764 h 53 HYPERLINK l _Toc195543765 3.4.7Gateway Enforcer PAGEREF _Toc195543765 h 55 HYPERLINK l _Toc195543766 3.4.8DHCP Enforcer PAGEREF _Toc195543766 h 56 HYPERLINK l _Toc195543767 3.4.9LAN Enforcer802.1x

12、PAGEREF _Toc195543767 h 57 HYPERLINK l _Toc195543768 3.4.10网络准入控制行业框架支持 PAGEREF _Toc195543768 h 58 HYPERLINK l _Toc195543769 3.4.11端到端的端点服从 PAGEREF _Toc195543769 h 59 HYPERLINK l _Toc195543770 3.4.12Peer-to-Peer 的认证点对点的认证 PAGEREF _Toc195543770 h 60 HYPERLINK l _Toc195543771 3.4.13SNAC On-Demand Agen

13、t PAGEREF _Toc195543771 h 62 HYPERLINK l _Toc195543772 3.4.14访客的网页登录认证 PAGEREF _Toc195543772 h 62 HYPERLINK l _Toc195543773 3.4.15Gateway Enforcer对VLAN Trunking的支持 PAGEREF _Toc195543773 h 64 HYPERLINK l _Toc195543774 3.4.16LAN Enforcer的MAC地址过滤 PAGEREF _Toc195543774 h 65 HYPERLINK l _Toc195543775 3.4

14、.17Appliance monitoring via SNMP Traps PAGEREF _Toc195543775 h 66 HYPERLINK l _Toc195543776 第4章终端管理产品功能 PAGEREF _Toc195543776 h 67 HYPERLINK l _Toc195543777 4.1产品组成 PAGEREF _Toc195543777 h 67 HYPERLINK l _Toc195543778 4.1.1客户端管理套件 PAGEREF _Toc195543778 h 67 HYPERLINK l _Toc195543779 4.1.2效力器管理套件 PAG

15、EREF _Toc195543779 h 68 HYPERLINK l _Toc195543780 4.1.3效力与资产管理套件 PAGEREF _Toc195543780 h 68 HYPERLINK l _Toc195543781 第5章Symantec终端平安防护功能概括与总结 PAGEREF _Toc195543781 h 70 HYPERLINK l _Toc195543782 5.1支持集中管理平台才干： PAGEREF _Toc195543782 h 70 HYPERLINK l _Toc195543783 5.2客户端平安防护才干概括 PAGEREF _Toc195543783

16、 h 71 HYPERLINK l _Toc195543784 5.3产品的更新晋级才干要求 PAGEREF _Toc195543784 h 72 HYPERLINK l _Toc195543785 5.4平安性要求 PAGEREF _Toc195543785 h 73 HYPERLINK l _Toc195543786 第6章终端管理需求 PAGEREF _Toc195543786 h 74 HYPERLINK l _Toc195543787 6.1桌面终端资产管理 PAGEREF _Toc195543787 h 74 HYPERLINK l _Toc195543788 6.2软件分发 PA

17、GEREF _Toc195543788 h 75 HYPERLINK l _Toc195543789 6.3补丁管理 PAGEREF _Toc195543789 h 75 HYPERLINK l _Toc195543790 第7章网络准入控制设备技术要求 PAGEREF _Toc195543790 h 77 PAGE 81 概述先进的要挟防护Symantec Endpoint Protection 将 Symantec AntiVirus与高级要挟防御功能相结合，可以为笔记本、台式机和效力器提供无与伦比的恶意软件防护才干。它甚至可以防御最复杂的攻击，这些攻击可以躲避传统的平安措施，如 root

18、kit、零日攻击和不断变化的间谍软件。Symantec Endpoint Protection不仅提供了世界一流、业界领先且基于特征的防病毒和反间谍软件防护。它还提供了先进的要挟防御才干，可以维护端点免遭目的性攻击以及之前没有发现的未知攻击侵扰。它包括即刻可用的自动防护技术以及管理控制功能；自动防护技术可以自动分析运用程序行为和网络通讯，以检测并阻止可疑活动，而管理控制功能使您可以回绝对企业来说被视为高风险的特定设备和运用程序活动。您甚至可以根据用户位置阻止特定操作。这种多层方法可以显著降低风险，同时可以充分维护您的企业资产，从而使您高枕无忧。它是一款功能全面的产品，只需您需求，即可立刻为您提

19、供所需的一切功能。无论攻击是由恶意的内部人员发起，还是于外部，端点都会遭到充分维护。Symantec Endpoint Protection不仅可以加强防护，而且可以经过降低管理开销以及管理多个端点平安性产品引发的本钱来降低总拥有本钱。它提供一个代理，经过一个管理控制台即可进展管理。从而不仅简化了端点平安管理，而且还提供了出色的操作效能，如单个软件更新和战略更新、一致的集中报告及一个授权答应和维护方案。 Symantec Endpoint Protection易于实施和部署。赛门铁克还提供广泛的咨询、技术培训和支持效力，可以指点企业完成处理方案的迁移、部署和管理，并协助 您实现投资的全部价值。

20、对于希望外包平安监控和管理的企业来说，赛门铁克还提供托管平安效力，以提供实时平安防护。 图：一致的端点防护方法Symantec Network Access Control是全面的端到端网络访问控制处理方案，经过与现有网络根底架构相集成，使企业可以平安有效地控制对企业网络的访问。不论端点以何种方式与网络相连， Symantec Network Access Control都可以发现并评价端点服从形状、设置适当的网络访问权限、根据需求提供补救功能，并继续监视端点以了解服从形状能否发生了变化。从而可以营造这样的网络环境：企业可以在此环境中大大减少平安事故，同时提高企业 IT平安战略的服从级别。 S

21、ymantec Network Access Control使企业可以按照目的经济有效地部署和管理网络访问控制。同时对端点和用户进展授权在当今的计算环境中，企业和网络管理员面临着严峻的挑战，即为不断扩展的用户群提供访问企业资源的权限。其中包括现场和远程员工，以及访客、承包商和其他暂时任务人员。如今，维护网络环境完好性的义务面临着前所未有的挑战。如今无法再接受对网络提供未经检查的访问。随着访问企业系统的端点数量和类型激增，企业必需可以在衔接到资源以前验证端点的安康情况，而且在端点衔接到资源之后，要对端点进展继续验证。 Symantec Network Access Control可以确保在允许端

22、点衔接到企业 LAN、WAN、WLAN或 VPN之前服从 IT战略。产品功能引见端点维护系统Symantec Endpoint Protection产品简介Symantec Endpoint Protection 11将 Symantec AntiVirus与高级要挟防御功能相结合，可以为笔记本、台式机和效力器提供无与伦比的恶意软件防护才干。它甚至可以防御最复杂的攻击，这些攻击可以躲避传统的平安措施，如 rootkit、零日攻击和不断变化的间谍软件。Symantec Endpoint Protection 11不仅提供了世界一流、业界领先且基于特征的防病毒和反间谍软件防护。它还提供了先进的要挟

23、防御才干，可以维护端点免遭目的性攻击以及之前没有发现的未知攻击侵扰。它包括即刻可用的自动防护技术以及管理控制功能；自动防护技术可以自动分析运用程序行为和网络通讯，以检测并阻止可疑活动，而管理控制功能使您可以回绝对企业来说被视为高风险的特定设备和运用程序活动。甚至可以根据用户位置阻止特定操作。这种多层方法可以显著降低风险，同时可以充分维护企业资产，从而使企业高枕无忧。它是一款功能全面的产品，只需您需求，即可立刻为您提供所需的一切功能。无论攻击是由恶意的内部人员发起，还是于外部，端点都会遭到充分维护。Symantec Endpoint Protection 11不仅可以加强防护，而且可以经过降低管

24、理开销以及管理多个端点平安性产品引发的本钱来降低总拥有本钱。它提供一个代理，经过一个管理控制台即可进展管理。从而不仅简化了端点平安管理，而且还提供了出色的操作效能，如单个软件更新和战略更新、一致的集中报告及一个授权答应和维护方案。Symantec Endpoint Protection 11易于实施和部署。赛门铁克还提供广泛的咨询、技术培训和支持效力，可以指点企业完成处理方案的迁移、部署和管理，并协助 您实现投资的全部价值。对于希望外包平安监控和管理的企业来说，赛门铁克还提供托管平安效力，以提供实时平安防护。产品主要优势平安全面的防护 集成一流的技术，可以在平安要挟浸透到网络之前将其阻止，即使

25、是由最狡猾的未知新攻击者发起的攻击也不例外。以实时方式检测并阻止恶意软件，包括病毒、蠕虫、特洛伊木马、间谍软件、广告软件和rootkit。自动防护 全新的自动要挟扫描运用独特的赛门铁克技术为未知运用程序的良好行为和不良行为评分，从而无需创建基于规那么的配置即可加强检测才干并减少误报。业界最正确的要挟趋势情报 赛门铁克的防护机制运用业界领先的赛门铁克全球情报网络，可以提供有关整个互联网要挟趋势的全面视图。借助此情报可以采取相应的防护措施，并且可以协助 您防御不断变化的攻击，从而使您高枕无忧。简单单一代理，单一控制台 经过一个直观用户界面和基于 Web 的图形报告将全面的平安技术集成到单一代理和集

26、中的管理控制台中。可以在整个企业中设置并实施平安战略，以维护您的重要资产。添加 SymantecNetwork Access Control 11 支持时，可以简化管理、降低系统资源运用率，并且无需其它代理。经过购买答应证可以在代理和管理控制台上自动启用 Symantec Network Access Control 11 功能。易于部署 由于它只需求一个代理和管理控制台，并且可以利用企业现有的平安和 IT 投资进展操作，因此，Symantec Endpoint Protection 11易于实施和部署。对于希望外包平安监控和管理的企业，赛门铁克提供托管平安效力，以提供实时平安防护。降低拥有本

27、钱 Symantec Endpoint Protection 11经过降低管理开销以及管理多个端点平安产品引发的本钱，提供了较低的总体拥有本钱。这种保证端点平安的一致方法不仅简化了管理，而且还提供了出色的操作效能，如单个软件更新和战略更新、一致的集中报告及一个授权答应和维护方案。无缝易于安装、配置和管理 Symantec Endpoint Protection11使您可以轻松启用、禁用和配置所需的技术，以顺应您的环境。Symantec Network Access Control 11就绪 每个端点都会进入“Symantec Network Access Control 11就绪形状，从而无需

28、部署其它网络访问控制端点代理软件。利用现有平安技术和 IT 投资 可以与其它领先防病毒供应商、防火墙、IPS 技术和网络访问控制根底架构协作。还可以与领先的软件部署工具、补丁管理工具和平安信息管理工具协作。主要功能防病毒和反间谍软件 提供了无可匹敌的一流恶意软件防护才干，包括市场领先的防病毒防护、加强的间谍软件防护、新 rootkit 防护、减少内存运用率和全新的动态性能调整，以坚持用户的任务效率。网络要挟防护 提供基于规那么的防火墙引擎和普通破绽利用制止功能 (GEB)，该功能可以在恶意软件进入系统前将其阻止在外。自动要挟防护 针对不可见的要挟即零日要挟提供防护。包括不依赖特征的自动要挟扫描

29、。单个代理和单个管理控制台 在一个代理上提供防病毒、反间谍软件、桌面防火墙、IPS、设备控制和网络访问控制需求购买赛门铁克网络访问控制答应证 经过单个管理控制台即可进展全面管理。产品系列系统要求终端准入控制Symantec Network Access Control 11Symantec Network Access Control 11是全面的端到端网络访问控制处理方案，经过与现有网络根底架构相集成，使企业可以平安有效地控制对企业网络的访问。不论端点以何种方式与网络相连，Symantec Network Access Control 11都可以发现并评价端点服从形状、设置适当的网络访问权限

30、、根据需求提供补救功能，并继续监视端点以了解服从形状能否发生了变化。从而可以营造这样的网络环境：企业可以在此环境中大大减少平安事故，同时提高企业 IT 平安战略的服从级别。Symantec Network Access Control 11使企业可以按照目的经济有效地部署和管理网络访问控制。同时对端点和用户进展授权在当今的计算环境中，企业和网络管理员面临着严峻的挑战，即为不断扩展的用户群提供访问企业资源的权限。其中包括现场和远程员工，以及访客、承包商和其他暂时任务人员。如今，维护网络环境完好性的义务面临着前所未有的挑战。如今无法再接受对网络提供未经检查的访问。随着访问企业系统的端点数量和类型激

31、增，企业必需可以在衔接到资源以前验证端点的安康情况，而且在端点衔接到资源之后，要对端点进展继续验证。Symantec Network Access Control 11可以确保在允许端点衔接到企业 LAN、WAN、WLAN 或 VPN 之前服从 IT战略。主要优势部署 Symantec Network Access Control 11的企业可以切身体验到众多优势。其中包括：减少恶意代码如病毒、蠕虫、间谍软件和其它方式的犯罪软件的传播经过对访问企业网络的不受管理的端点和受管理的端点加强控制，降低风险为最终用户提供更高的网络可用性，并减少效力中断的情况经过实时端点服从数据获得可验证的企业服从信息

32、企业级集中管理架构将总拥有本钱降至最低验证对防病毒软件和客户端防火墙这样的端点平安产品投资能否得当主要功能网络访问控制流程网络访问控制是一个流程，涉及对一切类型的端点和网络进展管理。此流程从衔接到网络之前开场，在整个衔接过程中继续进展。与一切企业流程一样，战略可以作为评价和操作的根底。网络访问控制流程包括以下四个步骤：1. 发现和评价端点。此步骤在端点衔接到网络访问资源之前执行。经过与现有网络根底架构相集成，同时运用智能代理软件，网络管理员可以确保按照最低 IT 战略要求对衔接到网络的新设备进展评价。2. 设置网络访问权限。只需对系统进展评价并确认其服从 IT 战略后，才准予该系统进展全面的网

33、络访问。对于不服从 IT 战略或不满足企业最低平安要求的系统，将对其进展隔离，限制或回绝其对网络进展访问。3. 对不服从的端点采取补救措施。对不服从的端点自动采取补救措施使管理员可以将这些端点快速变为服从形状，随后再改动网络访问权限。管理员可以将补救过程完全自动化，这样会使该过程对最终用户完全透明；也可以将信息提供应用户，以便进展手动补救。4. 自动监视服从情况。必需时辰服从战略。因此，Symantec Network Access Control 11以管理员设置的时间间隔自动监视一切端点的服从情况。假设在某一时辰端点的服从形状发生了变化，那么该端点的网络访问权限也会随之变化。全方位的端点防

34、护网络由新企业系统、早期企业系统、承包商系统、访客系统、公共效力站、业务协作同伴以及其它无数未知系统组成。对于其中大部分端点，管理员施加的控制少之又少，甚至不予以控制，但又必需确保网络的平安性和可用性。 Symantec Network Access Control使企业可以将网络访问控制过程运用于受控或不受控的系统、旧系统或新系统以及未知或知的系统。可在任何网络中部署典型的企业用户经过多种访问方法衔接到网络；因此，管理员必需拥有足够的灵敏性，可以在不思索衔接类型的情况下一致运用评价和衔接控制。作为当今市场上最成熟的网络访问控制处理方案之一， Symantec Network Access C

35、ontrol使网络管理员可以经过对网络根底架构的现有投资自动实施服从，而不需求晋级网络设备。不论是运用直接集成到网络中的某个 Symantec Network Access Control Enforcer仅主机实施选件不要求进展网络集成，还是运用集成到 Web运用环境中的可分解代理，企业都可以确保最终用户和端点在接入企业网络时坚持服从。 产品系列系统要求平台支持Symantec Endpoint Protection Manager Microsoft Windows 200332 位和 64 位 Microsoft Windows XP32 位 Microsoft Windows 2000

36、SP3 及更高版本32 位Symantec Endpoint Protection Manager 控制台 Microsoft Vista32 位和 64 位 Microsoft Windows 200332 位和 64 位 Microsoft Windows XP32 位和 64 位 Microsoft Windows 2000SP3 及更高版本32 位Symantec Network Access Control 客户端操作系统： Windows 2000 Professional Windows 2000 Server Windows 2000 Advanced Server Windo

37、ws 2000 Datacenter Server Windows XP Home Edition 或 Windows XP Professional Windows XP Tablet Edition Windows Server 2003 Standard 或 Windows Server2003 Enterprise Mac OS X 10.4 或更高版本Symantec Network Access Control Scanner操作系统： Windows 2000 Server SP4 Windows 2003 Server SP1最低处置器要求：Intel Pentium 4 1.

38、8 GHz至少 1 GB 内存1 GB 可用硬盘空间Internet Explorer 5.5 或更高版本 Windows 2000 ProfessionalSymantec Network Access Control Enforcer 6100 系列根本硬件设备选件网关、局域网和 DHCP缺点开放硬件设备选件网关、局域网和 DHCPSymantec AltirisIT生命周期管理处理方案Altiris IT生命周期管理处理方案具有多重系统管理功能，企业能随着新的要求或新的系统管理需求部署新的功能，随着企业的开展而不断扩展。每个处理方案以模块化的方式集中安装在Altiris效力器上，经过安装

39、在客户端的Agent代理的交互式来实现一切功能。Altiris管理架构Notifications ServerNotification Server是altiris 一切模块化处理方案的根底架构，一切模块都基于此。其可扩展管理架构-Extensible Management Architecture(EMA)为客户提供了一个一致集中又具充分扩展才干的管理平台。经过Notification Server，altriris具备管理复杂网络环境的才干无论是LAN还是WAN。 其功能特性如下：完全为BS 构造，Web 方式管理，一致集中的控制台Altiris 基于Windows .Net技术，采用SQ

40、L Server数据库，符合主流的开展趋势。可以按角色和区域进展多级分布式管理其角色平安(Role Base)和区域平安(Scope Base)特性满足大型企业客户对管理的需求管理多平台才干可以管理Windows,Linux,Unix,Mac等多种软硬件平台，而无须采用第三方产品。强大的与第三方产品集成才干企业资源共享是企业IT总体规划的重要内容，altiris经过其衔接器处理方案(Connector Solution)提供了多种衔接器(Connector)AD，HP OpenView,IBM Director,SMS,Remedy Helpdesk，Oracle甚至SAP。经过ODBC,OL

41、E DB,altiris还可以与财务软件、HR软件进展资源数据共享。强大的Web报表功能Altiris不但提供了数百个曾经预定义的Web报表，还可以让企业自定义符合企业需求的报表。Package Server (分布式效力器)Package Server功能使得altiris可以运用于任何一种企业架构，无论复杂还是简单。并且与AD集成。同时Package Server 不需求额外付费，对于有复杂构造WAN环境企业可以节约很大一笔费用。经过工业规范的SNMP,可以管理基于SNMP设备Altiris不但可以管理PC等设备，还可以管理网络设备基于战略的管理Altiris基于战略的管理可以大大减少反复

42、性的管理任务环节，自动化操作才干是IT管理的重要特征。altiris Notification Server是免费的Altiris Notification Server不需求额外的答应证费用，企业可以自在恣意的扩展管理架构强大的协作同伴支持才干Altriris支持业界主流的计算机厂商，并为他们开发了专门针对硬件底层的管理工具，如IBM 效力器、Dell 效力器和客户端、HP效力器和客户端，为客户提供更深层次的管理工具，这是其他管理软件很难具有的。综上所述，altiris管理架构在广度和深度上都是极具优势。Altiris 功能模块Client Management SuiteTM处理方案客户端

43、备份和恢复处理方案 系统实时管理处理方案 虚拟软件处理方案 软件打包工具专业版*每1000个节点包含一个答应 运用管理处理方案 运用丈量处理方案 远程控制处理方案 系统部署和迁移处理方案 资产清单处理方案 补丁管理处理方案 软件分发处理方案 Client Management Suite 客户端管理套件第三级第二级第一级第三级第二级第一级 效力器监控处理方案系统实时管理处理方案效力器备份及恢复处理方案 运用管理处理方案 效力器系统部署和迁移处理方案 效力器资产管理处理方案 补丁管理处理方案 软件分发处理方案 Server Management Suite 效力器管理套件Service & As

44、set Management SuiteTM处理方案第三级第二级第一级 Helpdesk处理方案按每并发用户购买答应 资产控制处理方案 合同管理处理方案 衔接器处理方案 TCO管理处理方案按每并发用户购买答应 运用丈量处理方案 资产清单处理方案 Service & Asset Management Suite 资产管理套件终端平安系统功能阐明管理系统功能组件阐明终端平安管理系统包括三部分组件：战略管理效力器战略效力器实现一切平安战略、准入控制规那么的管理、设定和监控，是整个终端平安规范化管理的中心。经过运用控制台管理员可以创建和管理各种战略、将战略分配给代理、查看日志并运转端点平安活动报告。经

45、过图形报告、集中日志记录和阈值警报等功能提供全面的端点可见性。一致控制台简化了端点平安管理，提供集中软件更新、战略更新、报告等功能。战略管理效力器可以完成以下义务： 终端分组与权限管理；根据地理位置、业务属性等条件对终端进展分组管理，对于不同的组可以制定专门的组管理员，并进展权限控制。战略管理与发布；战略包括自动防护战略、手动扫描的战略、手动扫描的战略、病毒、木马防护战略、恶意脚本防护战略、电子邮件防护战略包括outlook、lotus以及internet邮件、广告软件防护战略、前瞻性要挟防护战略、防火墙战略、入侵防护战略、硬件维护战略、软件维护战略、晋级战略、主机完好性战略等平安内容更新下发

46、平安内容更新包括病毒定义、防火墙规那么、入侵防护定义、自动要挟防护规那么等日志搜集和报表呈现可以生成日报/周报/月报，报告种类包括：风险报表以效力器组、父效力器、客户端组、计算机、IP、用户名为条件识别感染源、当前环境下高风险列表、按类型划分的平安风险、计算机形状报表内容定义分发、产品版本列表、未接受管理客户端列表、扫描形状报表、审计报表、软件和硬件控制报表、网络要挟防护报表、系统报表、平安服从性报表。强迫效力器管理和战略下发对于交换机强迫效力器和网关强迫设备进展一致的管理和战略定义。终端代理安装包的维护和晋级；终端代理包括终端维护代理和准入控制代理终端平安管理系统需求在一切的终端上部署平安代

47、理软件，平安代理是整个企业网络平安战略的执行者，它安装在网络中的每一台终端计算机上。平安代理实现端点维护和准入控制功能。端点维护功能包括：防病毒和反间谍软件 提供病毒防护、间谍软件防护、rootkit 防护。网络要挟防护 提供基于规那么的防火墙引擎和普通破绽利用制止功能 (GEB)，该功能可以在恶意软件进入系统前将其阻止在外。自动要挟防护 针对不可见的要挟即零日要挟提供防护。包括不依赖特征的自动要挟扫描。端点准入控制功能包括：主机完好性检查和自动修复：检查终端计算机上防火墙、防病毒软件、反间谍软件、补丁程序、Service Pack 或其他必需运用程序能否符合要求，详细内容可以是对防病毒程序的

48、安装，windows补丁安装，客户端启用强口令战略，封锁有要挟的效力与端口。由于主机完好性检查支持对终端的注册表检查与设置，进程管理，文件检查，下载与启动程序等，所以可经过设置自定义的战略来满足几乎一切对客户端的平安战略与管理要求。强迫：当终端的平安设置不能满足企业基准平安战略的需求，可以限制终端的网络访问，如只能访问修复效力器进展自动修复操作。以上两部分功能由一个代理软件完成，接受战略管理效力器的一致管理。强迫认证效力器对于那些未安装终端代理的终端或者私自卸载代理软件的终端，必需经过网络强迫的方式进展控制。这需求部署相关的强迫效力器LAN Enforcer。赛门铁克 LAN Enforcer

49、 802.1X 是带外 802.1X RADIUS 代理处理方案，它与支持 802.1X 规范的一切主要交换供应商协同任务。几乎一切有线以太网和无线以太网交换机制造商都支持IEEE 802.1x 准入控制协议。LAN Enforcer 运用该链接级协议评价端点服从性，提供自动问题修复并允许服从系统进入企业网络。在实施期间，端点上的赛门铁克代理运用 802.1x 将服从信息传送到网络交换机上，然后将此信息中继到 LAN Enforcer。假设端点不服从战略，LAN Enforcer 会将其放入隔离网络，在此对其进展修复，而不会影响任何服从端点。Symantec Network Access Co

50、ntrol 11补救端点并将其转换到服从形状后，802.1x 协议将试图对用户重新进展身份验证，并为其授予网络访问权限。LAN Enforcer 可以参与现有 AAA 身份管理架构以便对用户和端点进展身份验证，对于只需求进展端点服从验证的环境，也可以充任独立的 RADIUS 处理方案也称为透明方式。在透明方式下，管理员只需将交换机配置为运用 LAN Enforcer 作为 RADIUS 效力器，就能让设备根据服从所定义战略的情况对端点进展身份验证。在透明方式下运转 LAN Enforcer 无需额外根底架构，并且是一种实施基于 VLAN 交换的平安网络准入控制处理方案的简一方法。系统架构功能设

51、计两级管理体系终端接入控制平台按照两级架构设计，总部省公司如以下图：在总部设立全国范围的终端接入控制平台中心，制定并下发一致的全网管理战略。这些战略主要以战略模版库的方式提供。这些战略经过同步与复制的机制，在一二级效力器间坚持一致。二级管理平台上战略的变卦也都会同步回一级控制平台，在一级管理平台上可以预览任何一个二级甚至三级效力器上的战略运用情况。二级 VS 两级以上的管理在3.2.1节中，我们设计的是一个二级管理体系。经过复制关系实现上下级之间的战略同步。根据需求，我们可以实现二级以上的管理关系。例如，国家电网在总部实现一级管理平台，在各省中心实现二级管理平台，在一个大的地市实现三级管理架构

52、，如以下图所示：实际上SEP11的管理架构层次是无限多，但是在实践部署中，我们引荐国家电网的SEP架构设计控制在三层以下。其一可以减少管理上的复杂度，包括架构的设计，人员的调配设置，权限的分级下发设计；另外也防止了更多的硬件本钱支出。战略的同步与复制复制就是不同地点或站点间的效力器系统经过特别拷贝来共享数据的过程。终端接入控制平台的战略同步复制在逻辑上和微软域战略的同步复制类似，它并非简单的数据库间复制关系，它内部包含有周全的防止战略冲突的处置。经过战略复制与同步，不同地点的用户都任务在本地的副本之上，然后同步他们之间的变卦。在终端接入控制平台上，战略复制还可以将一个管理效力器上的变卦同步到另

53、一个数据库上，实现冗余备份。经过战略复制，终端接入控制平台可以支持多级管理，以及无限的终端数量扩展才干，从而满足国家电网终端节点规模不断扩展的需求。效力器的负载平衡SEP11/SNAC11可以自行实现负载平衡和灾难恢复设置，无需再另行添置相关软硬件设置。SEP11的负载平衡建立在现有体系构造之上，它提供了一种廉价有效的方法扩展效力器带宽和添加吞吐量，加强网络数据处置才干，提高网络的灵敏性和可用性。它主要完成以下义务：处理网络拥塞问题，效力就近提供，实现地理位置无关性 ；为用户提供更好的访问质量；提高效力器呼应速度；提高效力器及其他资源的利用效率；防止了网络关键部位出现单点失效。SEP11可以为

54、每一个地域/组织构造/组的用户创建不同的效力器链接列表，当客户端接纳到最新的效力器列表战略后，它会从列表中经过随机算法选择其中之一的效力器进展衔接，假设衔接不上，会继续经过随机算法选择其他效力器列别当中的一个进展衔接，直至衔接到某一个效力器为止，如以下图所示：此外， SEP11还可以定制不同的效力器优先级，即只需本人的效力器列表第一优先级中一切的效力器全部衔接不上时，自动寻觅优先级为二级的效力器列表，如以下图所示：客户端的遨游对于国家电网这个大型企业来说，员工的流动性也是非常大。假设员工在分开其所在地出差到其他分支机构时，假设SEP11客户端依然去衔接其原有的效力器，在网络带宽允许的情况下是不

55、会有太大问题是；但是假设分支构造较小，又或者网络衔接情况不甚理想时，和效力器的衔接这个问题就必需慎重思索，否那么，或者客户端无法衔接其管理其的效力器，或者占用大量广域网的网络带宽，给业务系统运用网络带来不用要的影响。SEP11充分思索到了大型企业的员工在出差遨游到外地时的系统设置，方便客户端就近衔接到本地的效力器组，不但大大提高了衔接速度，也防止和业务系统抢占珍贵的广域网带宽。方法之一是采用DNS的遨游；方法二是自动处所切换功能。像国家电网这样的大型企业不但在全国都有本人的分支机构，网络建立更是走在其他全国的前列。全国建立了本人的独立的Intranet，此外，各个大区也建立了本人的DNS效力器

56、和DHCP效力器，客户端可以就近解析网络域名。SEP11系统在建立之初，可以在全国范围内运用一致的域名，例如 sepm.sgcc ，随后在各地市的DNS效力器上绑定域名和对应的本地的SEPM效力器IP地址，例如，总部和北京地域是共用同一台DNS效力器，同时总部和北京地域的SEPM效力器有三台4.2.4节引见的负载平衡，IP地址分别是、，管理员可以在本地的DNS效力器上设置sepm.sgcc对应的IP地址就是、。当用户电脑启动后会首先接受本地DHCP效力器分配的IP地址、网关以及本地的DNS效力器IP地址。随后当SEP11客户端试图衔接SEPM效力器时，这台客户端会首先向本地DNS效力器发起解析

57、sepm.sgcc域名恳求，由DNS效力器随机分配IP地址给SEP11客户端。这样，不论用户能否是总部的用户，只需终端上的DNS效力器指向的是本地SEPM效力器，就能顺利的实现客户端的遨游。同样道理，各地市的DNS效力器也分别将sepm.sgcc这个域名解析到本地的SEPM效力器的IP地址。当总部或其它地市的电脑遨游到本地市时，就能经过本地市的DNS效力器顺利衔接到本地的SEPM效力器。方法二是采用SEP终端平安管理系统的自动处所切换功能。强大的SEP11终端平安管理系统能根据管理员的实践需求，在以下条件中恣意选择一个或者多个；条件可以是“和，也可以是“或，组成一个判别用户当前所处环境的判别。

58、条件包括以下：IP 范围包括单个IP地址、子网地址、IP地址段、IP地址范围等DNS 效力器IP地址DHCP效力器IP地址客户端可以解析主机名客户端可以衔接到管理效力器可以连，或者是无法衔接网络衔接类型包括 任何网络 拨号网络 以太网 无线Check Point VPN-1Cisco VPNMicrosoft PPTP VPNJuniper NetScreen VPNNortel Contivity VPNSafeNet SoftRemote VPNAventail SSL VPNJuniper SSL VPN注册表键值例如，管理员指定，当用户拿到了50的地址，同时经过以太网衔接，DNS效力器

59、的IP地址是10.1.254，那么以为其遨游到了总部地址。这样，任何一个客户端假设满足上诉条件的组合，即可以为其处在总部地域，随即分配总部地域的SEPM效力器与其衔接。容灾与灾备系统容灾和灾备系统的设计对任何一个系统都是极其重要，尤其是对一个覆盖全网的平安管理系统。SEP11充分思索到了用户的需求并提供了多种方法供管理员选择。容灾系统设计分为两部分，一部分是对于SEPM效力器的容灾设计，另外一个是SEPM的后台数据库效力器的容灾设计。SEPM效力器的容灾设计在4.2.4节曾经详细描画，即客户端可以随机衔接任何一个SEPM效力器组中的SEPM，恣意一个SEPM效力器宕机都不会影响客户端和效力器的

60、通讯。同时，SEPM效力器优先级的设置可以保证在极端情况下即使同一个地域一切的SEPM全部宕机，此地域的客户端也可以衔接到其他地域的SEPM效力器。如以下图所示：上图是同一地域同一优先级的SEPM冗余设计。上图左部分是优先级为1的本地SEPM效力器群，右边的是优先级为2的异地SEPM效力器群。在SEPM效力器实现冗余设计后，数据库的冗余设计也需求得到管理员的同样注重。SEP终端平安管理系统一切的数据均储存在后台的数据库上，包括客户端的分组、战略的定义、病毒库，以及定期产生的日志及报表等等。所以，维护数据库的冗余以及灾备系统设置及就显得更为重要了数据库的冗余设计也分为两种，一种是单站点的设置，另