X设计院终端安全管理总体项目实施建议书
上有更新版本的安全策略,则安全代理将自动下载最新的安全策略,然后在用户的计算机上更新安全策略。安全策略升级失败时,会自动生成安全日志。 2.2.6.6
移动用户的自适应防护
为了适应企业员工经常在企业内网、分支机构、家庭、路途及其它各种公共场所如展览会所等网络办公环境中不断转换的实际情况,保障移动设备在离开企业内网较完备的安全防护仍然符合企业网络安全策略,避免终端处于企业外部时访问企业内网资源给企业网络安全带来灾难,同时避免给终端用户的实际业务应用带来不必要的麻烦,让终端用户乐于遵守企业既定的网络安全策略,保障企业安全防护策略在移动终端的有效执行,Symantec Enterprise Protection 11.0提供了自适应防护安全保障机制。
SEP安全防护引擎能够根据用户计算机所处网络环境(用户所处的环境:办公室、家中、差旅途中、展示会等;用户使用的网络连接方式:以太网、拨号网络、VPN、无线网络等)的变化自动调整安全策略,以适应不同网络环境下的不同级别的风险。例如:当用户在参加展示会时使用会场提供的无线网络接入到Internet并连接公司的VPN服务器进入企业内部网络时,系统自动侦测到所处的网络环境并自动应用企业为这种环境所规定的安全策略;而当用户结束展示会回到公司内部时,系统自动应用适应公司内部网络环境的安全策略。 2.2.6.7
统一、有效的安全策略管理
统一、有效的安全策略管理是Symantec Enterprise Protection 11.0从企业安全管理角度提供的增强企业网络安全的解决方案。在Symantec Enterprise Protection 11.0中为了克服企业网络管理中存在的问题,如整个企业范围内安全策略不统一、企业任何安全管理策略的实施不得不牵涉到几乎整个员工队伍混乱状态、企业安全策略由于种种原因而无法真正的落实、企业对某一突发安全事件的响应无法满足企业紧急事件响应的时效要求等,将企业网络安全管理技术与企业网络端点防护技术有效结合,针对企业网络管理中各种现实的、紧迫的问题进行总体设计,引入多种独特的安全管理技术,实现满足企业网络安全管理要求的全面解决方案。
? 可扩展的多服务器架构
策略管理服务器内建多站点同步功能。企业可以在不同的分支机构内同时安装策略管理服务器并使服务器之间同步数据。该功能使得Symantec Enterprise Protection 11.0能够方便的扩展以适应不同规模企业的需要。同时对于那些分布式的企业,也能够为分布于不同地点的客户端统一的制定和维护安全策略并使得终端用户在企业内部网络中漫游时使用统一的安全策略。 ? 支持现有用户与群组结构
策略管理服务器能够从NT域控制器,活动目录服务器,LDAP服务器中导入用户列表并能够和这些服务器定期同步更新用户列表。通过该功能,管理员可以方便的沿用企业现有的用户分组管理方式。 ? 中央管理的日志与报告系统
-16-
X设计院终端安全管理总体项目实施建议书
安全代理会定期将客户端的日志发送到管理服务器。管理员可以直接从管理服务器的控制台查看所有安全代理客户端的日志,实时监控网络的安全状态。管理员还能够使用管理服务器针对客户端的日志生成图形化的报表来统计和分析企业网络的安全状况。SEP策略管理服务器还支持第三方的专业日志分析软件,可以将本系统的日志自动发送到专用的日志服务器中进行进一步的分析。 ? 基于组的策略生成及继承系统
策略管理服务器可以对不同的用户进行分组,并对不同的组制定不同的安全策略。通过系统内置的继承体系,不同的子组能够从同一父组中继承相同的安全策略,从而提高策略制定的便利性。策略管理服务器还能够针对计算机和当前登录用户来制定安全策略,按计算机制定的策略为特定的计算机维护了一组固定的安全策略,而按登录用户制定的策略为不同的登录账户维护了独立于特定机器的可以在企业内部网络中漫游的安全策略。 ? 支持企业级的统一安全部署
为了实现对大型企业网络的统一安全策略管理,特别是那些拥有众多分支机构的企业网络,Symantec Enterprise Protection 11.0通过数据库复制技术,支持不同企业子网之间的策略复制,保证企业范围统一的安全防护策略以及企业级安全管理的稳定、高效。
通过Symantec Enterprise Protection 11.0提供的灵活的用户分组和策略设置功能,管理员可以有效管理企业内网不同用户身份的网络访问策略。管理员可以按照不同部门的不同网络应用需求配置相应规则,使得不同部门的用户只能在内网访问与其业务相关的应用和服务器,阻止所有的越权访问行为。具体配置情况如下表所示:
Email Marketing Comsumer Human Financial Private Human App/Srv Resource Application Service Resource OA File Application Application Application Servere server Group Teller Guest Service Branch Manager √ √ √ √ √ √ √ √ Human √ Resource Financial IT √ √ √ √ √ √ √ √ √ √ √ √ -17-
X设计院终端安全管理总体项目实施建议书
第3章 产品配置清单及新增服务器要求
3.1 产品配置清单
在本项目中,推荐的产品配置清单如下所示: 产品名称 数量 部署位置 部署在桌面终端 部署在服务器端 Symantec Enterprise 300 workstations Protection 11.0 Symantec NAC 11.0 300 workstations 3.2 软硬件需求
3.2.1 终端安全管理系统共需新增8台服务器(其中包括2套SQL Server
软件)
1.SEP SEP Policy Manager(2台) 硬件需求
? Pentium 4 3.2GHz 或更高 ? 4G RAM (或更高)
? 100 GB 可用硬盘空间,支持RAID
? 一张10/100M/1000M自适应以太网卡(安装有TCP/IP 协议) 软件需求
? Windows 2000 Server, Advanced Server 或 Data Center (SP1 或更高,推荐SP4), Windows 2003 Server
? Windows 2003 Server (SP1 或更高)
? Internet Information Services 5.0/6.0 (安装有Web服务) ? Microsoft SQL 2000 client (可选) 2.SQL Server数据库 (1台) 硬件需求
? Pentium 4 3.2GHz 或更高
-18-
X设计院终端安全管理总体项目实施建议书
? 4G RAM (或更高)
? 100 GB 可用硬盘空间,支持RAID
? 一张10/100M/1000M自适应以太网卡(安装有TCP/IP 协议) 软件需求
? Microsoft SQL Server 2000 + SP3或更高
? Windows 2000 Server, Advanced Server 或 Data Center (SP1 或更高,推荐SP4) ,Windows 2003 Server
3.SEP Gateway Enforcer(2台) 硬件需求
? Pentium 4 3.2GHz 或更高 ? 2G RAM (或更高)
? 80 GB 可用硬盘空间,支持RAID ? 两张10/100/1000M自适应以太网卡 操作系统
? RedHat Enterprise Linux 3 Original or Update 4 4.SEP Lan Enforcer(2台) 硬件需求
? Pentium 4 3.2GHz 或更高 ? 2G RAM (或更高)
? 80 GB 可用硬盘空间,支持RAID ? 一张10/100/1000M自适应以太网卡 操作系统
? RedHat Enterprise Linux 3 Original or Update 4
-19-
