SEP-SNAC 方案

X设计院终端安全管理总体项目实施建议书

通过SYMANTEC端点安全产品严格限制终端用户的以上所有的非法应用程序，规范终端用户的网络行为。

（4）强制如杀毒软件等安全工具和网络管理工具的正常运行

通过主机完整性功能来实现杀毒软件等其他第三方的安全工具和网络管理工具强制运行。

（5）和AD服务器紧密结合来实现安全管理 a) SEP与微软域一体化平台的结合

为了能更好的使企业通过用户身份来管理终端用户,企业将建立微软域的管理,既然两个系统都有可能纳入企业终端管理应用，那么这两个系统是否能够结合工作呢？

答案是肯定的，事实上SEP可以和域平台完美的结合，起到1+1>2的作用。 b) SEP客户端按域用户方式管理

SEP可以从域服务器中导出域用户群组信息。然后就可以按域用户方式进行管理。导出方式有两种，一种直接匿名访问域服务器的用户列表，如果域服务器禁止匿名访问时，可以使用LDAP的方式去查询。LDAP导出界面图如下：

在导出后，还可以设定与域服务器间自动同步，当域服务器端用户列表变化的时候，还可以邮件主动通知。

在这种管理模式下，无论一个用户使用的是域中的哪一台设备，这个设备上运行的SEP客户端执行的都是该用户的个人策略。SEP策略的分发和制定依旧是系统自身完成的，不是借助于域服务器来实现的。从而达到不同身份的用户虽然使用同一台终端设备接入网络，但是获得网络访问权限应该不同。用户访问网络的权限应该和使用设备的用户身份一致，而与使用的网络设备无关；合法用户在网络内的任何一个信息点访问网络的时候，都必须通过身

－8－

X设计院终端安全管理总体项目实施建议书

份与安全合法性验证，同时用户获得的网络使用权限不会随着接入地点的改变而改变。移动的用户办公同样也不受网络的逻辑结构影响，从而导致网络管理的复杂性。 2.2.5 设计院SEP部署和维护说明

在设计院企业信息化系统的每台终端上都需要部署SEP Agent，在省公司的S6506上单独划出一VLAN用作终端安全管理区，设立SEP Policy Manager管理中心组件，用于对全网的SEP客户端和策略强制点（LAN Enforcer和Gateway Enforcer）进行中央管理的管理中心。为了确保实现全网的接入控制和策略强制，均衡成本和效果的考虑，在省公司华为Eudomen500及华为S6506之间部署两台Gateway Enforcer负责对省公司及各盟市业务终端在进行业务访问时进行安全性检查。Gateway Enforcer工作在OSI模型的二层，以透明方式接入网络，不需要修改现有的网络拓扑。

在省公司两台S6506上各部署一台LAN Enforcer，需要保证所有接入层交换机都可以通过IP地址和Lan Enforcer正常通信。Lan Enforcer做为省公司终端用户接入网络时的安全性认证服务器，必须保证24×7的不间断运行；因此，在部署时建议使用两台Lan Enforcer，这两台Lan Enforcer同时工作，分别处理不同交换机的认证请求，实现负载均衡；当其中任何一台服务器由于硬件、系统或程序故障时，交换机会自动向另一台Lan Enforcer提交认证请求，实现热备功能，保证系统的持续运行。

部署示意图如下所示：

SEP在设计院部署示意图

管理员可以从SEP Policy Manager服务器对全区的SEP 客户端和LAN Enforcer及Gateway Enforcer进行全网统一管理或分层管理。

为了提高系统的可用性，在本项目中建议部署两台SEP Policy Manager服务器互为热备。 2.2.5.1

SEP系统需求说明

为了确保SEP终端安全管理系统能有效运行，需提供支持SEP运转的软、硬件平台。对于SEP各组件，其推荐的软、硬件平台如下所示：

1．SEP Policy Manager（2台） 硬件需求

? Pentium 4 3.2GHz 或更高 ? 4G RAM (或更高)

? 100 GB 可用硬盘空间，支持RAID

? 一张10/100M/1000M自适应以太网卡(安装有TCP/IP 协议) 软件需求

－9－

X设计院终端安全管理总体项目实施建议书

? Windows 2000 Server, Advanced Server 或 Data Center (SP1 或更高，推荐SP4)，Windows 2003 Server

? Windows 2003 Server (SP1 或更高)

? Internet Information Services 5.0/6.0 (安装有Web服务) ? Microsoft SQL 2000 client (可选) 2．SQL Server数据库 (1台) 硬件需求

? Pentium 4 3.2GHz 或更高 ? 4G RAM (或更高)

? 100 GB 可用硬盘空间，支持RAID

? 一张10/100M/1000M自适应以太网卡(安装有TCP/IP 协议) 软件需求

? Microsoft SQL Server 2000 + SP3或更高

? Windows 2000 Server, Advanced Server 或 Data Center (SP1 或更高，推荐SP4) ，Windows 2003 Server

3．SNAC（1台） 硬件需求

? Pentium 4 3.2GHz 或更高 ? 2G RAM (或更高)

? 80 GB 可用硬盘空间，支持RAID ? 两张10/100/1000M自适应以太网卡 操作系统

? RedHat Enterprise Linux 3 Original or Update 4 2.2.6 SEP防护效果分析

在设计院全网部署SEP后，将达到以下防护效果。 2.2.6.1

多层次的病毒、蠕虫防护

病毒、蠕虫破坏一类的网络安全事件一直以来在网络安全领域就没有一个根本的解决办法，其中的原因是多方面的，有人为的原因，如不安装防杀病毒软件，病毒库未及时升级等等，也有技术上的原因，杀毒软件，入侵防范系统等安全技术对新类型、新变异的病毒、

－10－

X设计院终端安全管理总体项目实施建议书

蠕虫的防护往往要落后一步，危害无法避免。使用SEP，我们可以控制病毒、蠕虫的危害程度，只要我们针对不同的原因采取有针对性的切实有效的防护办法，就会使病毒、蠕虫对企业的危害较少到最低限度。

仅靠单一、简单的防护技术是难以防护病毒、蠕虫的威胁的。因此，在Symantec Enterprise Protection 11.0系统中，对当前肆虐于开放网络环境中的大量病毒、蠕虫威胁，实现了多层次的安全防护策略，归结起来是：事前预防、事中隔离、事后修复和AV联动。

? Symantec Enterprise Protection 11.0中支持的事前预防策略包括如下几个方面： 首先，通过主机安全完整性策略定义强制保证SPA中的基于主机的入侵检测防范模块的运行以及其特征库的即时更新，从而能够有效的保证对当前已知特征的病毒、蠕虫入侵的防护。

其次，Symantec Enterprise Protection 11.0通过主机完整性策略定义强制保证企业在终端设备上部署的第三方防杀病毒软件处于执行状态且其病毒特征库的及时更新，防止终端用户的关闭，异常退出或特征库的不完整。

第三，对于那些不符合企业安全策略中的主机完整性定义的设备，例如象上面描述的主机病毒、蠕虫防护完整性定义，将首先被隔离到企业某一特定的隔离区，在其中被自动的安装、升级、安全检查，以达到企业主机完整性定义要求，之后被允许访问正常的企业业务网络资源。

第四，在Symantec Enterprise Protection 11.0中，所有的安全策略，包括上面的病毒、蠕虫防护策略都是管理员通过中央集中的安全策略管理控制台实施的，对于普通用户是透明的，既较少了终端用户的麻烦，又提高了整体安全管理的质量。

? Symantec Enterprise Protection 11.0中支持的事中隔离策略说明如下：

当病毒、蠕虫事件在企业网络内部发生情况下，Symantec Enterprise Protection 11.0能够实现对病毒、蠕虫的有效隔离，安全管理员可以通过Symantec Enterprise Protection

－11－