Symantec终端管理和安全解决方案技术规范书

Symantec.

Symantec终端治理及安全解决方案

技术规范书

赛门铁克软件（北京）有限公旬

2020年05月

文档信息

属性内容

文档名称终端治理和安全解决方案技术规范书

文档编号

文档版本

版本日期

文档状态

制作人:

批阅人:

版本变更记录

版本修订日期修订人描述

1.02008-4-8姚臻

桌面终端标准化治理系统技术规范Symantec™

目录

第1章概述1

第2章产品功能简介3

2.1端点保护系统SYMANTECENDPOINTPROTECTION3

2.1.1产品简介3

2.1.2产品主要优势4

2.1.3主要功能5

2.2终端准入控制SYMANTECNETWORKACCESSCONTROL116

2.2.1主要优势7

2.2.2主要功能7

2.3SYMANTECALTIRIS（IT生命周期管懂得决方案）8

2.3.1Altiris治理架构一NotificationsServer9

2.3.2解决方案的主要市场、技术定位12

2.3.3解决方案的专利技术和优势12

2.3.4厂商的完整IT运维产品线,产品在该产品线中的位置,与其他产品的关系……12

第3章终端安全系统体系结构13

3.1治理系统功能组件说明13

3.2系统治理架构设计16

3.2.1两级治理体系16

3.2.2二级VS两级以上的治理17

3.2.3策略的同步与复制18

3.2.4服务器的负载均衡20

桌面终端标准化治理系统技术规范Symantec™

3.2.5客户端的漫游27

3.2.6容灾与灾备系统24

3.3准入控制设计28

3.3.1SymantecNetworkAccessControl架构28

3.3.2赛门铁克端点评估技术:灵活性和全面性30

3.3.3永久代理32

3.3.4可分解的代理33

3.3.5远程漏洞扫描34

3.3.6SymantecEnforcers：用于排除IT和业务中断的灵活实施选件35

3.3.7GatewayEnforcer37

3.3.8DHCPEnforcer38

3.3.9LANEnforcer_802.lx39

3.3.10网络准入控制行业框架支持40

3.3.11端到端的端点遵从41

3.4安全治理策略架构42

3.4.1域及治理员分级42

3.4.2治理权限策略45

3.4.3组织结构设计45

3.4.4安全策略47

3.5赛门铁克策略治理：全面、集成的端点安全治理49

3.5.1一个治理控制台50

3.5.2统一代理51

桌面终端标准化治理系统技术规范Symantec™

3.5.3排除网络准入控制障碍51

3.6服务器的硬件配置需求51

第4章终端治理系统体系结构53

4.1治理架构53

4.2架构阐述57

4.2.1架构比较57

422多级治理58

4.2.3Altiris治理服务器59

4.3治理模式60

4.4治理职能60

4.4.1治理架构归属60

4.4.2策略制定归属61

4.4.3监控职能归属62

4.5治理权限62

第5章终端治理技术标准规范65

5.1ITILOT基础架构库）65

5.2遵循的IT业界标准一166

5.3遵循的IT业界标准—267

5.4遵循的IT业界标准—368

III

桌面终端标准化治理系统技术规范Symantec™

第1章概述

企业目前面临着利用端点设备中的漏洞，更为隐藏、目标性更强、旨在获取

经济利益的威逼。多种上述复杂威逼会躲开传统的安全解决方案，使企业容易成

为数据窃取和操控的受害者、造成关键业务服务中断并导致公司品牌和声誉受

损。为了提前应对这些隐藏多变的新型安全威逼，企业必须升级他们的端点防护

措施。

SymantecEndpointProtection让企业能够采用更为有效的整体方法，来保

护笔记本电脑、台式机和服务器等端点。其中结合了五种基本安全技术，可针对

各种已知威逼和未知威逼主动提供最高级别的防护，这些威逼包括病毒、蠕虫、特

洛伊木马、间谍软件、广告软件、Rootkit和零日攻击。该产品将业界领先的防病

毒软件、反间谍软件和防火墙与先进的主动防护技术集成到一个可部署代理中，

通过中央治理控制台进行治理。而且，治理员可以根据他们的具体需要，轻松禁

用或启用上述任何技术。

同时，IT治理员会竭尽全力确保按照公司策略配置新部署的台式机和笔记

本电脑，公司策略包括所有适用的安全更新、批准的应用程序设置、防病毒软件、

防火墙设置以及其它配置设置。遗憾的是，这些运算机一投入使用，治理员通常

就无法控制这些端点的配置。用户安装新软件、阻止补丁程序更新、禁用防火墙

或者进行其它更换，导致设备乃至整个IT基础架构面临着风险。在网吧、宾馆

房间或者其它更易受到攻击或感染的不安全地点，远程用户和移动用户使用不遵

从笔记本电脑时会面临更高的风险。

网络准入控制解决方案使企业能够防止此行为影响企业的IT基础架构。在

任何运算机能够拜访生产网络及其资源之前，该运算机都必须完全遵从制定的企

业策略，如安全补丁程序、防病毒软件和病毒定义的正确版本级别。

但是，尽管他们能够防止不遵从端点连接到企业网络，但部分企业仍旧因为

各种原因尚未采用网络准入控制解决方案，这些原因包括许多解决方案：

-1-

桌面终端标准化治理系统技术规范，Symantec”

＞无法提供有效实施和修复

＞增加端点上必须安装的治理代理的数量

＞导致IT基础架构过于复杂并且中断次数太多

＞缺少满足企业特殊需求的灵活性，如适当地满足客户和暂时工作者的需求

＞无法与整个端点安全治理基础架构正确集成

SymantecNetworkAccessControl使用端到端的解决方案解决了上述所

有问题，能够安全地控制对企业网络的拜访.、实施端点安全策略以及与现有网络

基础架构轻松集成。

桌面终端标准化治理系统技术规范Symantec™

第2章产品功能简介

2.1端点保护系统SymantecEndpointProtection

2.1.1产品简介

SymantecEndpointProtection11将SymantecAntiVirus™1与高级威逼防备功

能相结合，可以为笔记本、台式机和服务器提供无与伦比的恶意软件防护能力。

它甚至可以防备最复杂的攻击，这些攻击能够逃避传统的安全措施，如rootkit.

零日攻击和不断变化的间谍软件。

SymantecEndpointProtection11不仅提供了世界一流、业界领先且基于特点

的防病毒和反间谍软件防护。它还提供了先进的威逼防备能力，能够保护端点免

遭目标性攻击以及之前没有发觉的未知攻击侵扰。它包括即刻可用的主动防护技

术以及治理控制功能；主动防护技术能够自动分析应用程序行为和网络通信，以

检测并阻止可疑活动，而治理控制功能使您能够拒绝对企业来说被视为高风险的

特定设备和应用程序活动。甚至可以根据用户位置阻止特定操作。

这种多层方法可以显著降低风险，同时能够充分保护企业资产，从而使企业

高枕无忧。它是一款功能全面的产品，只要您需要，即可立刻为您提供所需的所

有功能。无论攻击是由恶意的内部人员发起，还是来自于外部，端点都会受到充

分保护。

SymantecEndpointProtection11不仅可以增强防护，而且可以通过降低治理

开销以及治理多个端点安全性产品引发的成本来降低总拥有成本。它提供一个代

理，通过一个治理控制台即可进行治理。从而不仅简化了端点安全治理，而且还

提供了杰出的操作效能，如单个软件更新和策略更新、统一的集中报告及一个授

权许可和保护计划。

SymantecEndpointProtection11易于实施和部署。赛门铁克还提供广泛的咨

询、技术培训和支持服务，可以指导企业完成解决方案的迁移、部署和治理，并

桌面终端标准化治理系统技术规范,Symantec”

帮助您实现投资的全部价值。对于期望外包安全监控和治理的企业来说，赛门铁

克还提供托管安全服务，以提供实时安全防护。

单个代理和

结果

单个控制台

增强的防护、

控制和

可管理性

降低成本、

复杂性和

风险暴露几率

2.1.2产品主要优势

□安全

全面的防护一集成一流的技术，可以在安全威逼渗透到网络之前将其阻

止，即便是由最狡猾的未知新攻击者发起的攻击也不例外。以实时方式检测并阻

止恶意软件，包括病毒、蠕虫、特洛伊木马、间谍软件、广告软件和rootkit。

主动防护一全新的主动威逼扫描使用特殊的赛门铁克技术为未知应用程

序的良好行为和不良行为评分，从而无需创建基于规则的配置即可增强检测能力

并减少误报。

业界最佳的威逼趋势情报一赛门铁克的防护机制使用业界领先的赛门铁

克全球情报网络，可以提供有关整个互联网威逼趋势的全面视图。借助此情报可

以采取相应的防护措施，并且可以帮助您防备不断变化的攻击，从而使您高枕无

忧。

□简单

单一代理，单一控制台一通过一个直观用户界面和基于Web的图形报告

桌面终端标准化治理系统技术规范，Symantec”

将全面的安全技术集成到单一代理和集中的治理控制台中。能够在整个企业中设

置并实施安全策略，以保护您的重要资产。添加SymantecNetworkAccessControl

11支持时，可以简化治理、降低系统资源使用率，并且无需其它代理。通过购

买许可证可以在代理和治理控制台上自动启用SymantecNetworkAccessControl

11功能。

易于部署一由于它只需要一个代理和治理控制台，并且可以利用企业现有

的安全和IT投资进行操作，因此，SymantecEndpointProtection11易于实施和

部署。对于期望外包安全监控和治理的企业，赛门铁克提供托管安全服务，以提

供实时安全防护。

降低拥有成本-SymantecEndpointProtection11通过降低治理开销以及治

理多个端点安全产品引发的成本，提供了较低的总体拥有成本。这种保证端点安

全的统一方法不仅简化了治理，而且还提供了杰出的操作效能，如单个软件更新

和策略更新、统一的集中报告及一个授权许可和保护计划。

□无缝

易于安装、配置和治理一SymantecEndpointProtection),1使您可以轻松启

用、禁用和配置所需的技术，以适应您的环境。

SymantecNetworkAccessControl11就绪一每个端点都会进入"Symantec

NetworkAccessControl11就绪”状态，从而无需部署其它网络拜访控制端点代

理软件。

利用现有安全技术和IT投资一可以与其它领先防病毒供应商、防火墙、

IPS技术和网络拜访控制基础架构协作。还可以与领先的软件部署工具、补丁治

理工具和安全信息治理工具协作。

2.1.3主要功能

防病毒和反间谍软件一提供了无可匹敌的一流恶意软件防护能力，包括市

场领先的防病毒防护、增强的间谍软件防护、新rootkit防护、减少内存使用率

和全新的动态性能调整，以保持用户的工作效率。

桌面终端标准化治理系统技术规范，Symantec”

网络威逼防护一提供基于规则的防火墙引擎和一样漏洞利用禁止功能

（GEB）,该功能可以在恶意软件进入系统前将其阻止在外。

主动威逼防护一针对不可见的威逼（即零日威逼）提供防护。包括不依靠

特点的主动威逼扫描。

单个代理和单个治理控制台一在一个代理上提供防病毒、反间谍软件、桌

面防火墙、IPS、设备控制和网络拜访控制（需要购买赛门铁克网络拜访控制许

可证）一通过单个治理控制台即可进行全面治理。

2.2终端准入控制SymantecNetworkAccess

Control11

SymantecNetworkAccessControl11是全面的端到端网络拜访控制解决方

案，通过与现有网络基础架构相集成，使企业能够安全有效地控制对企业网络的

拜访。不管端点以何种方式与网络相连，SymantecNetworkAccessControl11都

能够发觉并评估端点遵从状态、设置适当的网络拜访权限、根据需要提供补救功

能，并连续监视端点以了解遵从状态是否发生了变化。从而可以营造这样的网络

环境：企业可以在此环境中大大减少安全事故，同时提高企业IT安全策略的遵

从级别。

SymantecNetworkAccessControl11使企业可以按照目标经济有效地部署和

治理网络拜访控制。同时对端点和用户进行授权在当今的运算环境中，企业和网

络治理员面临着严肃的挑战，即为不断扩大的用户群提供拜访企业资源的权限。

其中包括现场和远程员工，以及访客、承包商和其他暂时工作人员。现在，保护

网络环境完整性的任务面临着前所未有的挑战。如今无法再接受对网络提供未经

检查的拜访。随着拜访企业系统的端点数量和类型激增，企业必须能够在连接到

资源以前验证端点的健康状况，而且在端点连接到资源之后，要对端点进行连续

验证。SymantecNetworkAccessControl11可以确保在答应端点连接到企业

LAN、WAN、WLAN或VPN之前遵从IT策略。

桌面终端标准化治理系统技术规范Symantec™

2.2.1主要优势

部署SymantecNetworkAccessControl11的企业可以切身

体验到众多优势。其中包括：

,减少恶意代码（如病毒、蠕虫、间谍软件和其它形式的犯罪

软件）的传播

/通过对拜访企业网络的不受治理的端点和受治理的端点加

强控制，降低风险

/为最终用户提供更高的网络可用性，并减少服务中断的情形

/通过实时端点遵从数据获得可验证的企业遵从信息

/企业级集中治理架构将总拥有成本降至最低

/验证对防病毒软件和客户端防火墙这样的端点安全产品投

资是否得当

222主要功能

SymantecNetworkAccessControl流程

网络拜访控制流程

桌面终端标准化治理系统技术规范，Symantec”

网络拜访控制是一个流程，涉及对所有类型的端点和网络进行治理。此流程

从连接到网络之前开始，在整个连接过程中连续进行。与所有企业流程一样，策

略可以作为评估和操作的基础。

网络拜访控制流程包括以下四个步骤：

1.发觉和评估端点。此步骤在端点连接到网络拜访资源之前执行。通过与

现有网络基础架构相集成，同时使用智能代理软件，网络治理员可以确保按照最

低IT策略要求对连接到网络的新设备进行评估。

2.设置网络拜访权限。只有对系统进行评估并确认其遵从IT策略后，才

准予该系统进行全面的网络拜访。对于不遵从IT策略或不满足企业最低安全要

求的系统，将对其进行隔离，限制或拒绝其对网络进行拜访。

3.对不遵从的端点采取补救措施。对不遵从的端点自动采取补救措施使治

理员能够将这些端点快速变为遵从状态，随后再改变网络拜访权限。治理员可以

将补救过程完全自动化，这样会使该过程对最终用户完全透亮；也可以将信息提

供给用户，以便进行手动补救。

4.主动监视遵从状况。必须时刻遵从策略。因此，SymantecNetworkAccess

Control11以治理员设置的时间间隔主动监视所有端点的遵从状况。如果在某一

时刻端点的遵从状态发生了变化，那么该端点的网络拜访权限也会随之变化。

2.3SymantecAltiris（IT■生命周期管懂得决方案）

AltirisIT生命周期管懂得决方案具有多重系统治理功能，企业能随着新

的要求或新的系统治理需求部署新的功能，随着企业的发展而不断扩充。每个解

决方案以模块化的方式集中安装在Altiris服务器上，通过安装在客户端的

Agent（代理）的交互式来实现所有功能。

桌面终端标准化治理系统技术规范，Symantec™

ActiveDirectory

HPOpenView

MicrosoftSMS

RemedyHelpDesk

口WebReports

Connectors

SNMPWebConsole

Solutions

Email.Pager.InventorySolution

OtherActionDeploymentSolution

NotificationPoliciesPatchManagement

SoftwareDelivery

RecoverySolution

HPClientManager

AssetControl

口ContractManagement

AlertManagerTCOManagement

HelpdeskSolution

1三

AltirisServerAltirisAltiris

DatabaseWindowsAltiris

InventorySolutionn3

妻Recovery

DeploymentSolutionPackage

ServerDeploymentServer

PatchManagementServer*

SoftwareDelivery

AltirisAgentWindowsandLinux*

Windows,Linux,UNIX,

Macintosh.Palm,PocketPC

2.3.1Altiris治理架构一NotificationsServer

NotificationServer是altiris所有模块化解决方案的基础架构，所有模

块都基于此。

其可扩充治理架构——ExtensibleManagementArchitecture™(EMA™)为客

户提供了一个统一集中又具充分扩展能力的治理平台。通过Notification

Server,altriris具备治理复杂网络环境的能力--无论是LAN还是WAN。

其功能特性如下：

1、完全为BS结构，Web方式治理，统一集中的控制台

Altiris基于Windows.Net技术，采用SQLServer数据库，符合主流的发

展趋势。

桌面终端标准化治理系统技术规范Symantec™

2、可以按角色和区域进行多级分布式治理

其角色安全(RoleBase)和区域安全(ScopeBase)特性满足大型企业客户对治

理的需求

3、治理多平台能力

可以治理Windows,Linux,Unix,Mac等多种软硬件平台，而无须采用第三方产

品。

4、强大的与第三方产品集成能力

企业资源共享是企业IT总体规划的重要内容，altiris通过其连接器解决方

案(ConnectorSolution)提供了多种连接器(Connector)—AD,HP

OpenView,IBMDirector,SMS,RemedyHelpdesk,Oracle甚至SAP。

通过ODBC,OLEDB,altiris还可以与财务软件、HR软件进行资源数据共享。

5、强大的Web报表功能

Altiris不但提供了数百个已经预定义的Web报表,还可以让企业自定义符合

企业需求的报表。

6、PackageServer(分布式服务器)

-10-

桌面终端标准化治理系统技术规范Symantec™

PackageServer功能使得altiris可以应用于任何一种企业架构，无论复杂

还是简单。并且与AD集成。

同时PackageServer不需要额外付费，对于有复杂结构WAN环境企业可以节

省很大一笔费用。

7、通过工业标准的SNMP,可以治理基于SNMP设备

Altiris不但可以治理PC等设备，还可以治理网络设备

8、基于策略的治理

Altiris基于策略的治理可以大大减少重复性的治理工作环节，自动化操作能

力是IT治理的重要特点。

9、altirisNotificationServer是免费的

AltirisNotificationServer不需要额外的许可证费用，企业可以自由任意

的扩展治理架构

10、强大的合作伙伴支持能力

桌面终端标准化治理系统技术规范，Symantec”

Altriris支持业界主流的运算机厂商，并为他们开发了专门针对硬件底层的

治理工具，如IBM服务器、Dell服务器和客户端、HP服务器和客户端，为

客户提供更深层次的治理工具，这是其他治理软件很难具有的。

综上所述，altiris治理架构在广度和深度上都是极具优势。

2.3.2解决方案的主要市场、技术定位

Altiris解决方式适合于拥有几千台、数万台甚至数十万台运算机的各种规

模的企业组织，这些企业组织须要有效降低IT治理成本和提高IT治理效率，以

求得良好的投资回报率，促进企业业务发展与扩大

Altiris解决方案在商业组织、政府机构、教育等几乎所有领域都拥有众多

成功案例。

2.3.3解决方案的专利技术和优势

Altiris公司拥有众多专利技术：recovery/deployment/wise

2.3.4厂商的完整IT运维产品线，产品在该产品线中的

位置，与其他产品的关系

Altiris拥有客户端治理、服务器治理、资产治理、安全治理完整的治理工具

集，在同类产品中拥有最完整的产品构成，在技术功能处于领先者地位。

桌面终端标准化治理系统技术规范Symantec™

第3章终端安全系统体系结构

3.1治理系统功能组件说明

终端安全治理系统包括三部分组件：

□策略治理服务器

策略服务器实现所有安全策略、准入控制规则的治理、设定和监控，是整个

终端安全标准化治理的核心。通过使用控制台治理员可以创建和治理各种策略、

将策略分配给代理、查看日志并运行端点安全活动报告。通过图形报告、集中日

志记录和阈值警报等功能提供全面的端点可见性。统一控制台简化了端点安全治

理，提供集中软件更新、策略更新、报告等功能。

策略治理服务器可以完成以下任务：

•终端分组与权限治理；

根据地理位置、业务属性等条件对终端进行分组治理，对于不同的组可

以制定专门的组治理员，并进行权限控制。

•策略治理与发布；

策略包括自动防护策略、手动扫描的策略、手动扫描的策略、病毒、木

马防护策略、恶意脚本防护策略、电子邮件防护策略（包括outlook、lotus

以及internet邮件）、广告软件防护策略、前瞻性威逼防护策略、防火墙

策略、入侵防护策略、硬件保护策略、软件保护策略、升级策略、主机

完整性策略等

•安全内容更新下发

安全内容更新包括病毒定义、防火墙规则、入侵防护定义、主动威逼防

护规则等

•日志收集和报表出现

可以生成日报/周报/月报，报告种类包括：风险报表（以服务器组、父服

务器、客户端组、运算机、IP、用户名为条件识别感染源、当前环境下

桌面终端标准化治理系统技术规范，Symantec”

高风险列表、按类型划分的安全风险）、运算机状态报表（内容定义分发、

产品版本列表、未接受治理客户端列表）、扫描状态报表、审计报表、软

件和硬件控制报表、网络威逼防护报表、系统报表、安全遵从性报表。

•强降服务器治理和策略下发

对于交换机强降服务器和网关强制设备进行统一的治理和策略定义。

•终端代理安装包的保护和升级；

□终端代理（包括终端保护代理和准入控制代理）

终端安全治理系统需要在所有的终端上部署安全代理软件，安全代理是整个

企业网络安全策略的执行者，它安装在网络中的每一台终端运算机上。安全代理

实现端点保护和准入控制功能。

端点保护功能包括：

•防病毒和反间谍软件一提供病毒防护、间谍软件防护、rootkit

防护。

•网络威逼防护一提供基于规则的防火墙引擎和一样漏洞利用

禁止功能（GEB）,该功能可以在恶意软件进入系统前将其阻止在外。

•主动威逼防护一针对不可见的威逼（即零日威逼）提供防护。

包括不依靠特点的主动威逼扫描。

端点准入控制功能包括：

•主机完整性检查和自动修复：检查终端运算机上防火墙、防病毒

软件、反间谍软件、补丁程序、ServicePack或其他必需应用程序是否符

合要求，具体内容可以是对防病毒程序的安装，windows补丁安装，客

户端启用强口令策略，关闭有威逼的服务与端口。因为主机完整性检查

支持对终端的注册表检查与设置，进程治理，文件检查，下载与启动程

序等，所以可通过设置自定义的策略来满足几乎所有对客户端的安全策

略与治理要求。

•强制：当终端的安全设置不能满足企业基准安全策略的需求，可

以限制终端的网络拜访，如只能拜访修复服务器进行自动修复操作。

以上两部分功能由一个代理软件完成，接受策略治理服务器的统一治理。

-14-

桌面终端标准化治理系统技术规范Symantec™

□强制认证服务器

对于那些未安装终端代理的终端或者私自卸载代理软件的终端，必需通过网

络强制的方式进行控制。这需要部署相关的强降服务器(LANEnforcer)。

赛门铁克LANEnforcer802.IX是带外802.IXRADIUS代懂得决方案，它

与支持802.IX标准的所有主要交换供应商协同工作。几乎所有有线以太网和无

线以太网交换机制造商都支持IEEE802.lx准入控制协议。LANEnforcer使用

该链接级协议评估端点遵从性，提供自动问题修复并答应遵从系统进入企业网

络。在实施期间，端点上的赛门铁克代理使用802.lx将遵从信息传送到网络交

换机上,然后将此信息中继到LANEnforcero如果端点不遵从策略,LANEnforcer

会将其放入隔离网络，在此对其进行修复，而不会影响任何遵从端点。Symantec

NetworkAccessControl11补救端点并将其转换到遵从状态后，802.lx协议将试

图对用户重新进行身份验证，并为其授予网络拜访权限。

LANEnforcer可以参与现有AAA身份治理架构以便对用户和端点进行身

份验证，对于只要求进行端点遵从验证的环境，也可以充当独立的RADIUS解

决方案(也称为透亮模式)。在透亮模式下,治理员只需将交换机配置为使用LAN

Enforcer作为RADIUS服务器，就能让设备根据遵从所定义策略的情形对端点

进行身份验证。在透亮模式下运行LANEnforcer无需额外基础架构，并且是一

种实施基于VLAN交换的安全网络准入控制解决方案的简单方法。

桌面终端标准化治理系统技术规范Symantec™

SymantecNetwork

AccessControl

强制代理

本地用户

透明横式主机完整性规则状态

防病毒软件已启用

客户端进行HI通过：0

交换机将数据LANEnforcer

连接，并通过EAP打开交换机上的端口防病毒软件已更新

转发到检查策略并0

发送登录、遵从和失败：

LANEnforcer检查遵从状态HI个人防火墙已启用0

策略数据指定到隔离VLAN

ServicePack已更新0

补丁程序已更新0

3.2系统治理架构设计

系统架构的设计取决与治理方式、终端数量及分布、网络带宽等条件。举荐

终端安全治理平台采用“统一控制，二级治理”架构，这样的架构与现有行政治

理模式相匹配一一益于提高治理效率，同时又能体现“统一规划，分级集中治

理”的思想，让各地市分担省公司的运行保护负担。

3.2.1两级治理体系

终端接入控制平台按照两级架构设计，总部一省公司如下图:

桌面终端标准化治理系统技术规范Symantec™

在总部设立全国范畴的终端接入控制平台中心，制定并下发统一的全网治理

策略。这些策略主要以策略模版库的形式提供。这些策略通过同步与复制的机制，

在一二级服务器间保持一致。二级治理平台上策略的变更也都会同步回一级控制

平台，在一级治理平台上可以预览任何一个二级甚至三级服务器上的策略应用情

形。

3.2.2二级VS两级以上的治理

在421节中，我们设计的是一个二级治理体系。通过复制关系实现上下级

之间的策略同步。根据需要，我们可以实现二级以上的治理关系。例如，国家电

网在总部实现一级治理平台，在各省中心实现二级治理平台，在一个大的地市实

现三级治理架构，如下图所示：

桌面终端标准化治理系统技术规范Symantec™

理论上SEP11的治理架构层次是无限多，但是在实际部署中，我们举荐国

家电网的SEP架构设计控制在三层以下。其一可以减少治理上的复杂度，包括

架构的设计，人员的调配设置，权限的分级下发设计；另外也避免了更多的硬件

成本支出。

3.2.3策略的同步与复制

复制就是不同地点或站点间的服务器系统通过特别拷贝来共享数据的过程。

终端接入控制平台的策略同步复制在逻辑上和微软域策略的同步复制类似，它并

非简单的数据库间复制关系，它内部包含有周全的防止策略冲突的处理。通过策

略复制与同步，不同地点的用户都工作在本地的副本之上，然后同步他们之间的

变更。在终端接入控制平台上，策略复制还可以将一个治理服务器上的变更同步

到另一个数据库上，实现冗余备份。通过策略复制，终端接入控制平台能够支持

多级治理，以及无限的终端数量扩展能力，从而满足国家电网终端节点规模不断

扩大的需求。

桌面终端标准化治理系统技术规范Symantec™

“统一控制”体现在通过一个统一控制台治理所有服务的功能，省中心治理员

可通过整体方法来治理端点安全。

tlDSyaantecEndpointProtectionlanager控制台

卬Symantec™EndpointProtectionManager刷新关于帮助注销

_U一般用户

a闻

^

主页

-

OCbTemporary客户端详细信息安装软件包

h

地市1

r策略继承为开

静一般用户

3F7从父组"地市1"继承策略和设置

监视翳-G台式机

-竭管记本终端

与位理无关的第乘与双冠

」爵领导

熊乘应置

赭II

O一她由2自定义入侵防护关LiveUpdate内存策略陵》

报告朝

一地市3系统侬定美客户端日志设青

力

一她花4脚络应用检库监拄关通信没到

竭常■规设设

一地帮5

力

n一

定于位理的条咕与设理

策略地市64,

朝取下位■的咳■:默认电

一地市7E

-伸走于位出的熊方：添加击哧.

，

一地市8

一新防病毒和防间谍软伴策略蚯》

力

一地市9鱼新防火墙策略任务》

篇

客户端一

省公司e人侵防护策略皿》

务□

却禁止病混传腾

任