SEP-SNAC 方案

X设计院终端安全管理总体项目实施建议书

2.2 设计院终端安全管理解决方案 2.2.1 终端策略强制与内网准入控制安全

安全技术，象边界防火墙，杀毒，入侵检测和验证等，都是针对开放式网络中的个别问题而开发的解决方案。在部署了这些技术以后，企业发现他们的障碍在于安全策略和实践之间的鸿沟。鸿沟的存在是因为安全技术无法强制落实。也就是说技术可以被黑客或终端用户关闭或者禁用，而终端用户和安全小组却无从知晓。近来大型企业中发生的绝大多数重大安全事件都应归咎于此。今天企业需要有能力了解终端网络通讯的行为，评估相应的风险，轻松配置安全策略来减少风险，并且在整个网络中强制贯彻这个策略。由蠕虫和病毒引起的破坏已经清晰地证明了当前防护措施的不完备。Symantec Enterprise Protection 11.0提供了一个全面的方案帮助企业强制安全策略的遵守，并且将违规者以及潜在的脆弱系统转移到隔离环境中，剥夺或者仅授予它们有限的网络访问权限。

将端点安全状况信息和网络准入控制结合在一起，SEP能够显著地提高企业网络计算架构的安全。Symantec Enterprise Protection 11.0通过保证企业所属的每个端点在安全上不做任何妥协，阻止不安全和未授权的行为，在企业网络中排除未授权的设备，从而保护企业网络的安全完整性。SEP On Demand 通过确认设备的安全策略，创建加密的虚拟桌面环境，在会话结束后清除所有传输过去的数据，将对机密数据的保护延展到非企业所属的设备之上。 2.2.2 Symantec Enterprise Protection 11.0概要

Symantec Enterprise Protection 11.0 (Symantec SEP)是一个全面的网络完整性方案，它确保每个终端在接入网络前是符合企业安全策略的。SEP还提供了分层的入侵保护和强制手段：

? 使用以应用程序为中心的防火墙来阻止蠕虫，木马和黑客，防止其利用漏洞，非法访问敏感信息或者发起攻击

? 分析流入流出的通讯中有无恶意行为，并且阻止入侵（HIPD）

? 每当用户连接网络时，确认企业管理终端是否符合企业策略，根据检查结果授予或者拒绝其接入权限

? 当访问来自于家庭，宾馆和无线区域时，对加密的通讯进行强制

? 自动下载和安装任何缺失的病毒特征库，防火墙策略，入侵检测特征库，软件补丁和安全工具，将企业端点修复到可信状态。

2.2.3 Symantec Network Access Control 11.0概要

Symantec Network Access Control 是全面的端到端网络访问控制解决方案，通过与现有网络基础架构相集成，使企业能够安全有效地控制对企业网络的访问。不管端点以何种方式与网络相连，Symantec Network AccessControl 都能够发现并评估端点遵从状态、设置适当的网

－4－

X设计院终端安全管理总体项目实施建议书

络访问权限、根据需要提供补救功能，并持续监视端点以了解遵从状态是否发生了变化。从而可以营造这样的网络环境：企业可以在此环境中大大减少安全事故，同时提高企业 IT 安全策略的遵从级别。Symantec Network Access Control 使企业可以按照目标经济有效地部署和管理网络访问控制。同时对端点和用户进行授权在当今的计算环境中，企业和网络管理员面临着严峻的挑战，即为不断扩大的用户群提供访问企业资源的权限。其中包括现场和远程员工，以及访客、承包商和其他临时工作人员。现在，维护网络环境完整性的任务面临着前所未有的挑战。如今无法再接受对网络提供未经检查的访问。随着访问企业系统的端点数量和类型激增，企业必须能够在连接到资源以前验证端点的健康状况，而且在端点连接到资源之后，要对端点进行持续验证。Symantec Network Access Control 可以确保在允许端点连接到企业 LAN、WAN、WLAN 或 VPN 之前遵从 IT策略。

部署 Symantec Network Access Control 的企业可以切身体验到众多优势。其中包括：? 减少恶意代码（如病毒、蠕虫、间谍软件和其它形式的犯罪软件）的传播

? 通过对访问企业网络的不受管理的端点和受管理的端点加强控制，降低风险 ? 为最终用户提供更高的网络可用性，并减少服务中断的情况? 通过实时端点遵从数据获得可验证的企业遵从信息? 企业级集中管理架构将总拥有成本降至最低? 验证对防病毒软件和客户端防火墙这样的端点安全产品投资是否得当? 与 Symantec? AntiVirus? Advanced Endpoint Protection无缝集成

2.2.4 设计院SEP终端安全管理解决方案

（1）所有终端集中管理，消除个人使用的随意性/应用程序管理，阻止业务无关的软件上网

SYMANTEC SEP 可以自动发现网络中哪些终端和节点逃离或者游弋在本系统管理以外，具备提示和隔离未受管理终端的能力。

自动学习到网络中的所有应用程序，在学习到的程序清单的基础上，轻松制订应用程序白名单，具备应用程序指纹核对功能，防止冒名顶替

（2）网络准入控制，严格控制任何接入关键业务系统的终端计算机和接入办公系统的计算机；

当移动用户和外来人员从设计院内部接入网络的时候，边界的准入措施往往会失去效用，这时就需要借助SEP强制服务器（Lan Enforcer）。Lan Enforcer可以和802.1x交换机在接入层对用户实现网络准入控制。原理示意图如下：

－5－

X设计院终端安全管理总体项目实施建议书

Lan Enforcer和802.1x交换机在接入层对用户实现网络准入控制示意图 1）LAN Enforcer与802.1x交换机配合工作的说明

Lan Enforcer 强制服务器可以管理支持802.1X的交换机。它要求交换机主动认证接入的PC。如果PC上没有安装SEP客户端软件，或者其他主机安全状况检查没有达标，则交换机可以根据Lan Enforcer指令，容许或拒绝其接入内部网络。也可以将此类PC隔离到一个漫游区，外来用户，移动用户可以在漫游区修复安全状况，或者受限制的访问网络。一旦安全修复完成，Lan Enforcer强制服务器会通知交换机将该PC从漫游区切换到工作的VLAN之中。

2）LAN Enforcer结合域来做准入控制

LAN Enforcer和交换机联动，主要是对接入设备的安全性做一个认证。但是在身份认证这一块，LAN Enforcer只能简单识别设备上是否安装有企业自己的SEP客户端，如果企业还要求按用户身份来认证，在身份认证通过后，才容许接入到网络，就必须和域服务器结合才能实现。此时域服务器扮演了Radius服务器的角色，而LAN Enforcer则像一个Radius Proxy。LAN Enforcer过滤掉安全性的认证信息，而将身份认证转交给域服务器来做。在接入设备安全性认证通过后，LAN Enforcer就完全根据接入用户身份认证的结果来动态分配VLAN。原理示意图如下：

－6－

X设计院终端安全管理总体项目实施建议书

（3）终端计算机的网络行为的严格控制，规范用户网络行为，铲除网络威胁的源头 网络应用程序控制主要集中体现在以下几个方面： a) 网络闲聊控制

利用QQ，MSN，ICQ 这类即时通讯工具来传播病毒，已经成为新病毒的流行趋势，例如从今年病毒的发作情况来看，已经有将近100 种QQ 类型的病毒出现；大量用户沉迷于网络聊天、谈情说爱，即使工作时间也无法自拔；

a) 私起服务控制

用户私自架设各种网络服务，例如：架设代理服务器，非法共享用户上网，绕过现有企业网络监管措施；架设BBS 论坛，发表不利于企业文化的言论，更严重的会给企业主管招致法律上的麻烦；

b) 海量下载控制

使用Bit Torrent，网络蚂蚁 等工具疯狂下载电影，游戏，软件等大型文件，无节制的吞噬企业带宽，使得如IP 电话，视频会议之类的关键服务得不到带宽保证；

c) 非法网络扫描

使用Sniffer 等嗅探工具窃听重要服务器的用户名，密码等机密信息；使用SuperScan等扫描工具，恶意采集用户名，弱口令，共享，服务端口等网络信息；

d) 网络游戏

如CS，传奇，帝国时代，星际争霸，联众等网络游戏：用户在工作时间联网游戏，严重影响工作效率。

－7－