信息安全 > 端点安全 > 端点安全方案 >

Symantec企业整体安全解决方案

          系统锁定(System Lockdown 通过系统锁定,管理为终端设定了允许运行应用程序的白名单,只有管理员明确指定的应用程序才能够在终端上运行,白名单不但指定了应用程序的文件名,还包括程序的校验码,任何试图伪装成受信应用的企图都会被SPA阻止。           通用缓冲区溢出保护(Universal Buffer Overflow Protection SPA可以监测系统服务及应用程序是否发生了缓冲区溢出,当溢出发生时,SPA可以记录安全事件或终止进程的运行,避免危害发生。           外设控制(Peripheral Device Control SEP允许管理员设置外设控制策略,设置不同用户的外设访问权,SEP默认就可以管理输入设备HID、USB、软驱和1394等类型的设备,系统还允许管理员添加其它类型的设备。 7.自适应保护(Adaptive Protection 自适应保护可将动态策略和个人用户、处所(如:家里,办公室,或宾馆)、连接方式(如:以太网,VPN,或者无线网)关联起来。SPA自动调整自定义好的策略来应对不同环境下的风险,以确保分布型和移动型企业的业务连续性以及相适宜的安全行为。 8.自动修复(Automatic Remediation 自动修复在端点连接到Symantec SEP所保护的网络时开始工作。SPA首先确认主机是否遵守端点的安全策略,如果不遵循,SPA能够隔离主机,同时自动初始化修复工作。SPA确保不达标的主机不能获得生产网络的访问权限直到必要的修复动作完成,端点安全达标为止。在检查出没有达标以后,典型的修复包含下列事件:命令行运行命令,下载执行/插入文件,重新检查,最后授予达标端点访问网络的权限。  

5.1.5SEP的网络准入控制技术(SNAC)

SEP 通用强制(SNAC)保证端点在接入网络前是符合企业安全策略的。这些策略包括内建对知名反病毒软件,个人防火墙,反间谍软件,操作系统和系统补丁检查。也包括一个高级工具箱,用于创建定制检查,检查可以针对系统上发现的文件,正在运行的应用,注册表设置,文件日期和校验和,以及其它类似条件。自适应策略允许强制不同策略,这取决于用户使用的网络连接类型,例如:用户使用IPSEC VPN 连接,由于他们裸露于公网,因此需要一个更高级别的准入检查。 例如,一个组织可以配置策略,让所有的Windows 2000 系统安装Service Pack 4,所有的Windows XP 系统安装Service Pack 2,全部的系统运行赛门铁克反病毒软件并保持最新的病毒库更新。或除了启用以上全部检查外,再附加检查其它定制的安全应用,和IT部门定制的注册表健值等。 一旦策略创建,所有安全策略在网络连接时将受到Complicance On Contact(连接之际安全之时)的强制。Compliance on Contact 在公司网络上的每一连接点进行策略符合性检查。包括在用户经过IPSec VPN 、SSL VPN 、有线以太网络和无线网络连接到公司网络时,执行整套的NAC 安全基线检查。   Symantec提供了4种通用强制的方式: 1Symantec Gateway Enforcer Symantec Gateway NAC Symantec Gateway Enforcer用以认证通过企业网络接入点(如VPN,无线接入点,RAS拨号服务器)访问企业内部网络的终端。Symantec Gateway Enforcer从Symantec Policy Manager获得强制策略和SPA认证信息。当Symantec Protection Agent接入企业网络时,依照公司安全策略,Symantec Gateway Enforcer启动一个认证会话,对Symantec保护代理的真实性,防火墙、入侵检测、反病毒和其他安全软件的当前状态,以及Symantec保护代理上的安全策略、特征库和病毒定义进行彻底的核查。一旦发现客户端主机不能通过这些检查,认证强制网关将截断客户端对企业内部网络的访问,或指引端点去访问网络中的隔离/升级站点。 2Symantec LAN Enforcer Sygate 802.1x-Based NAC for LAN and Wireless Symantec-Sygate 于2004 年六月发布最早的基于局域网的NAC技术。该技术增强利用了IEEE 的802.1x准入控制协议,几乎所有有线和无线以太交换机制造商都支持该协议。Symantec使用这个链路级协议评估端点是否符合安全策略要求,提供自动问题修复,并允许达标的系统进入公司网络。 802.1x 是一个认证协议,在用户访问计算机网络之前,需要提供有效的凭证来增加安全。802.1x 较通常的Windows PC 登录更为安全,因为网络端口—不仅仅PC本身,在认证之前是被锁住无法访问的。用户提供登录凭证,例如用户名和密码,交换机传递这些凭证到验证服务器。通常,验证服务器是一个RADIUS 服务器。如果凭证正确,RADIUS 服务器将发送一个认证消息到交换机或接入点,授权该用户对网络的访问,并配置该用户连接的服务属性。 在LAN强制策略过程中,端点上的SPA使用802.1x协议传递策略符合性信息到网络交换机,网络交换机再中继到一个Symantec的LAN强制服务器。这个LAN 强制服务器作为一个RADIUS 代理服务器,验证策略符合性信息并可选择咨询RADIUS 服务器验证用户名和密码或者多因素认证。 如果系统不符合企业安全策略要求,LAN强制服务器将该系统放入到隔离区,在该区域中该系统会得到修复,同时又不影响那些符合要求的系统。一旦SPA完成自动修复,802.1x协议将重新验证用户。由于系统已经达标,将被授予访问企业网络权限。 3Symantec DHCP Enforcer Symantec DHCP-Based NAC 基于802.1x的NAC提供最大化安全。然而,它需要接入层交换架构支持802.1X协议。即使交换机支持802.1 协议,开启它仍需要仔细计划。Symantec基于DHCP 的NAC方案可以解决这些问题,在现存网络环境下不需要升级任何硬件或软件。 Symantec的DHCP NAC被内嵌(in-line)部署在DHCP 服务器和网络之间。如果用户没有运行一个SPA或用户当前NAC策略符合性是未知的,该用户将被分配一个“不可路由的”或“隔离的”IP地址。这些地址不能随意访问网络,只有受限的权限。这有两种方式实现。或者这些客户端被分配一个不同IP网段的特殊IP地址,在路由器上通过访问控制列表控制这些特殊IP地址可以访问的网络,或者客户端被分配正常网段的IP地址