信息安全 > 端点安全 > 端点安全方案 >

Symantec企业整体安全解决方案

件,直到遵循安全策略后,才放开完全的网络访问权限。 另外SPA 能够根据连接类型和网络处所来调节策略,以确保用户在拥有最大灵活性的同时还具备最健壮的端点保护。连接类型包括无线,以太网,拨号和VPN。网络处所比方说家里,星巴克,酒店,会场还是公司。这样,SEP 以自动化的方式保证不同处所下最安全的策略得以执行,防止移动设备将企业网络暴露给黑客。 1.终端的发现和收集 在每一台客户端安装客户端代理程序agent之后,agent就会按照配置文件中的策略服务器地址主动进行注册,从而可以发现网络中已经安装agent的客户端。对于没有安装agent的客户端,首先可以通过网络准入控制机制阻止其连接到网络中,从而避免由于不安全主机的接入而引入的网络安全风险。其次,配合agent的LAN sensor功能,已经安装客户端的终端能够自动的发现网络中没有安装agent的客户端,并且报告给策略服务器。LAN sensor是通过已经安装agent的终端在网络中监听arp广播的机制从而发现未安装agent的终端机器。管理员可以通过策略服务器的lan sensor log发现网络中尚未安装agent的终端,从而进行下一步的操作。 2.终端资产管理 在终端向策略服务器进行注册的时候,SEP具备资产管理和收集的能力。通过部署在终端上的安全代理实现硬件资产监控、查询、统计功能SPA保护代理将收集计算机的CPU、内存、BIOS版本、网卡等硬件信息,并集中存储在中央策略管理服务器的数据库中,供管理员方便的查看、统计。 对于软件而言,SEP的资产管理同时可以自动收集终端上的网络应用程序列表,包括软件名称、版本号、指纹签名等详细信息。 SEP具备资产统计能力,通过部署在终端上的安全代理实现硬件资产监控、查询、统计功能。SEP安全代理将收集计算机的CPU、内存、BIOS版本等硬件信息,并集中存储在中央策略管理服务器的数据库中,供管理员方便的查看、统计。同时可以统计终端的网络信息,包括IP地址,MAC地址等,也可以收集终端安装的程序列表,使客户对终端的基本情况有一个全面的了解。 3SEP的远程协助功能 SEP可以在服务器端向指定的客户端组发送指定的文字内容,尤其是当完整性检查不通过的各种情况下。SPA保护代理在终端本地提供图形界面,报告各种日志和事件,显示受到的攻击、网络通信信息、应用程序信息等,帮助终端使用者进行本地诊断和维护。同时,管理员可以通过策略管理服务器分析所有终端的事件和日志,调整配置终端安全策略,实现远程诊断和维护。 4.以应用程序为中心的个人防火墙(Personal Firewall Symantec Protection Agent个人防火墙能够按程序或者通讯特征,阻止/容许任何端口和协议进出。SPA不是简单的按这些参数来阻止,它可以将参数以AND/OR的逻辑组合来增强策略的精度和弹性。SPA也能够对特定的协议/物理适配器阻止和应用策略,容许企业指派特定网络中可使用的程序,阻止利用特定协议适配器带来的漏洞。 5.主机入侵预防系统(HIDS Symantec Protection Agent提供基于行为和特征方式的多层保护。Symantec Protection Agent 利用策略驱动和行为检测的方式来屏蔽未知的威胁,利用独特的特征匹配方式来屏蔽已知的攻击,利用主机完整性检查来强制安全策略的贯彻和落实。SPA入侵预防系统深度检查网络封包,对所有进出流量做应用层的分析,可有效识别和实时阻止恶意攻击。SPA默认支持并启用了下列入侵预防功能:    代码注入保护 除了应用程序指纹核对,Symantec保护代理还核对动态连接库的指纹,防止恶意程序注入代码到可信程序来执行攻击    文件共享保护 Symantec保护代理过滤掉所有来自网关的NetBIOS通讯。用户可以在本地子网进行文件共享,而不必担心远程网络中的黑客访问本地文件共享    自适应保护 Symantec保护代理可以根据网络连接类型和通讯方式来创建策略。例如,策略可以要求通过VPN从互联网公共IP接入的系统,文件共享将受限,但是从公司内网接入的,文件共享将容许。自适应策略可以在危险级别更高的时候,启用更严格的策略。例如从家里或者无线区域接入时    端口扫描检测和阻断 SPA能检测端口扫描,记录事件,并且阻止主机系统作出响应。尽管端口扫描本身并不会危及目标系统的安全,但却是入侵企图的前哨。扫描企图和扫描源对安全管理员来说是有价值的信息    特洛伊木马保护 SPA在已知木马能够通讯前,自动终止其进程,防止传播和破坏    基于主机的IPS SPA利用模式匹配来识别已知的攻击,例如,当SPA主机IPS监测到Web通讯中出现字符串"GET /cgi-bin/phf?",就会预警一种CGI程序攻击。每个网络封包都会做特定的字符串模式检查,如果匹配成功,SPA将阻止通讯,防止攻击。SPA自带一个预定义的IPS特征库,它也容许用户创建自定义IPS特征库来检测和阻止新的攻击    拒绝服务攻击检测和保护 Symantec保护代理能识别畸形包,伪地址等常见攻击手段。它可以跨多个包来进行分析,不管端口号和IP协议类型。这正是其他入侵预防系统的弱点。 6.操作系统保护(OS Protection 操作系统保护(OS Protection)不同于传统基于特征码的主机入侵检测系统(HIDS)或传统的防火墙技术,该技术通过对终端计算机上运行的所有应用程序的行为进行控制,能够有效阻止新的安全威胁。通过该技术,管理员可以在中央服务器配置规则,对终端进行以下安全防护设置: 操作系统保护(OS Protection)——基于行为的入侵预防系统 设置不同应用程序对文件、注册表键的访问权限;允许或禁止应用程序的运行、终止指定的应用程序以及是否允许应用程序装载动态连接库。为了减少管理员配置上地复杂性,SEP提供可通过网络下载的操作系统保护模板,管理员可以直接对不同类型的终端应用相应的模板(Desktop、IIS Server、Apache Server、DNS Server、SQL Server、DHCP Server等)而不用自己逐一分析不同终端的特性,管理员还可以在模板的基础上自行修改策略,以满足本企业特定的安全要求。 