信息安全 > 端点安全 > 端点安全方案 >

Symantec企业整体安全解决方案

自身安全、接入企业网络安全。 Symantec Endpoint Protection是一个软件包,由三个基本组件构成: 1. Symantec Policy Manager: 安装在一个或多个企业服务器上,围绕一个中央数据库来配置,Symantec策略管理服务器扮演一个军队司令的角色-帮助创建安全策略,规划部署计划,指导士兵(客户端)如何保护网络 2. Symantec Protection Agent: 安装在企业的工作站、服务器(Windows平台)和笔记本上,SPA提供了可配制的高级防火墙和入侵检测预防能力。它能检测和识别已知的木马,端口扫描和其他常见攻击。作为响应,它能选择性的启用或阻止不同网络设备,端口和组件的使用。SPA还负责按照Symantec策略管理服务器所设定的规则对终端的安全状态进行审核,并将检查结果报告给Symantec Universal Enforcement组件,做为是否允许终端接入企业网络的标准。 3. Symantec Universal Enforcement: (通过四个可选组件: Symantec Gateway Enforcer,Symantec Lan Enforcer, Endpoint Enforcement或供VPN整合的Universal Enforcement API)在授予端点接入网络的权限前,确保端点遵循企业策略。Symantec Universal Enforcement组件隔离违背安全策略的设备,直至自动修复机制生效后再恢复其网络访问的权限。 我们可以从以下的示意图中来了解SYMANTEC ENDPOINT PROTECTION的各个组成部分在企业网络中的分布:  

5.1.3Symantec Policy Manager的功能

Symantec Policy Manager是控制SPA和Enforcer的中心。管理员在此定义和分发安全、强制策略,收集日志,维护企业网络的完整性。 1策略升级和分发 Symantec Policy Manager可以容许企业向端点分发下列项目: •安全策略/防火墙策略 •入侵预防特征库 •Symantec Protection Agent升级包 •杀毒软件和病毒特征库 •补丁和软件升级 •VPN客户端软件和配置文件 •自定义通知 以上项目是通过SEP心跳协议和主机完整性修复的能力来分发的。客户端利用心跳协议来和管理服务器通讯。每当心跳发生时: •SPA向管理服务器发送一个请求,按组和用户分类来检查安全策略更新。如果有了新策略,SPA请求管理服务器发送新策略。如果当前策略已经为最新,则不发送新策略。 •向策略管理服务器更新客户端日志。日志内容由管理员在策略/设置选项卡内设定 •SPA与管理服务器核实自己版本是否正确,如果不是则开始自动升级进程 •管理服务器向SPA发送最新的IDS特征库版本号。然后SPA与自己的IDS版本号比较,如果特征库已过时,则向管理服务器发送获取新特征库的请求,如果是当前版本则不请求。 • 在进行软件分发操作的时候,SPA每次连接网络都会通过客户端的agent程序验证是否存在此软件或者程序。在客户端没有安装需要分发的软件和程序的时候,客户端agent会根据预选配置好的动作从对应的服务器中自动下载需要的文件,然后自动进行安装,从而达到自动分发软件的动作。可以分发的软件包括程序包、系统补丁、防病毒软件、防病毒定义等等。 2设置Symantec Protection Agent用户控制模式 SPA可以三种模式之一工作: •客户端控制模式 •服务器控制模式 •高级用户模式 不同的模式下,终端用户控制安全策略的级别也不同。系统管理员可以在服务器上随时改变控制模式,具体如下: 当SPA工作在客户端控制模式下,终端用户对设备的安全设置有着很大的控制权限。客户端控制模式通常对工程和软件测试人员开放。连接到企业网的家用计算机通常也授予客户端控制模式。如果笔记本用户既可以在内部也可以在外部上网,SPA就可以设成与管理服务器断线时进入客户端控制模式,和服务器连线时转换成服务器控制模式。 服务器控制模式下,SPA从管理服务器获得规则和安全策略。因为终端用户无法改变安全设置,设备和网络在服务器控制模式下要比客户端控制模式下更安全。SEP也提供了一种混合控制模式叫做高级用户模式,该模式特别之处在于终端用户和管理员都可以设定设备的安全策略。为了避免终端用户和管理员的策略冲突,管理员可以预先决定哪些规则和设置由服务器控制,那些由客户端控制。  

5.1.4Symantec Protection Agent的功能

SPA设计为消除恶意或是无意的入侵和滥用。SPA向SPM管理服务器汇报状况,并接受安全指令。按照SPM管理服务器端设置,SPA可以做到对大多数普通用户完全不可见,对高级用户显示完全界面或者是下放部分管理控制控制。以上差异和SPA运行时的控制模式相关,或者是和SPA的网络位置相关。(SEP为用户提供了3种客户端管理模式:服务器控制模式,客户端控制模式,策略可仲裁的高级用户模式) 系统管理员在SPM管理服务器上设定安全策略。SPA一连上SPM管理服务器就会接收那些安全策略并且执行。如果策略在后期变更,它们将自动分发到SPA上。SPA还会跟踪试图违反安全策略的行为,并将安全事件日志传送给SPM管理服务器。 安装有SPA的设备一启动,保护就会生效。因为策略在本地保留,设备不必在启动时连接中央管理服务器下载策略。另外,当设备连接到企业网络时,它的SPA会向SPM管理服务器验证。如果设备没有SPM,它将不被任何运行Symantec SEP 的网络容许。 SPA的入侵预防能力能够保护主机远离蠕虫,病毒和木马的“零时点”攻击。它可以洞悉每个应用程序的网络通讯,并搜索其中的异常。SPA 入侵预防功能监视每个应用程序使用的文件,检查操作系统和程序的安全以及补丁级别,在未授权的流量发生时,可以在操作系统的最底层阻止流量。 主机完整性强制包括在系统每次连接企业网络时检查其是否遵循策略,根据检查结果容许或拒绝其访问,并自动修复不达标的主机系统。主机完整性参数包括可执程序,例如杀毒软件,主机防火墙,主机入侵检测系统等; 也包括数据文件,例如病毒特征库,主机防火墙策略,IDS特征库,MD5校验和,文件版本,注册表键,补丁,操作系统,系统配置等。当SPA 检查到主机上的安全程序被关闭,程序过期,或者某个补丁缺失,SPA能够启用通用强制来隔离主机。SPA可以自动运行程序,下载所需更新文件,安装缺失补丁和软