Symantec网络安全及管理解决实施方案书V30.docVIP

广西玉柴端点安全和端点管理方案 项目建议书 用 户：广西玉柴 方案：日 期：2008年月一.项目背景 3 二.企业整体安全分析 4 2．1建立集中系统的防病毒体系 4 2．2加强网络安全防护 5 2．3加强网络应用程序控制 6 2．4移动用户安全管理 7 三.企业网络安全与数据安全解决方案 9 3．1实现目标 9 3．2设计思路 9 3．3终端安全解决方案 12 3.3.1 端点安全系统结构 12 3.3.2 SEP系统组成与功能 14 3.3.3 SEP终端安全解决方案说明 18 3. 4. SEP11.0主要优势 34 3. 5 SEP11.0主要功能 35 四.端点管理解决方案 37 4.1．Altiris解决方案 37 4.2．服务器架构方式 37 4.3．Client Management Suite Level 1(客户端管理套件1) 38 五.工程实施： 41 5．1 服务范围 41 5．2 实施方法和实施计划 41 5．3 赛门铁克技术服务指南 42 5．4 投资回报率 44 一.项目背景 为了贯彻落实信息化管理标准和管理规范，广西玉柴二.企业整体安全分析 下面，针对广西玉柴的的企业网络环境，主要从以下几个方面展开分析。 建立客户端防病毒体系， 加强防间谍软件的功能 加强网络安全防护， 加强企业网络应用程序和设备的控制， 移动用户安全管理 数据的安全性，如SAP数据库的安全。 2．1建立集中系统的防病毒体系 近年来，随着信息系统自身的飞速发展和具有黑客攻击特征的新类型病毒的大量出现，广西玉柴原有的网络架构已经不能满足广西玉柴企业的需要。近几年的混合型病毒大规模传播给广西玉柴造成较大的危害，现有的防病毒体系正面临更严峻的安全挑战，主要存在以下几个方面的不足： 缺少防病毒中央控管系统由于网络节点太多，且分布较散，要管理好整个防病毒系统良好运行必须有一个良好的管理控制系统。能通过式实现远程异地管理远程防病毒软件，监视该软件的运行状况参数（如防病毒软件病毒库、扫描引擎更新日期，系统配置等）。能实现病毒集中报警，准确定位病毒入侵节点，让管理员对病毒入侵节点做适当处理以防危险扩大。控制中心能与其它网络安全系统实现联动，协同管理工作。缺少全网病毒代码统一自动更新功能构建有效病毒防护的关键环节需要保证产品能做到定期升级，网络防病毒软件必须具备主动式、零干预、增量式的自动升级功能，同时具备自动分发功能，能够在单点更新，然后在不需要人为干预的情况下，实现全网所有产品的病毒码更新。尚未建立完善的安全制度和制定安全培训机制防病毒工作是一项复杂、长期的任务，需要全体人员配合，提高对病毒的警觉和防范意识。防病毒系统需要建立良好的安全规范，以制度严格控制不良行为，另外还得提高全体人员的防范病毒的能力。网络安全应急小组至少配备2-3人才能很好的处理网络安全运营的所有事件，应急处理技术和人员管理也需要专业应急小组提供技术培训和长时间的跟踪培训。缺乏完善的防病毒信息支持体系防病毒厂商长期提供防病毒信息，新病毒预警信息，安全培训等专业的支持，以提高整个网络使用人员的防病毒素质。屏保策略匿名访问限制拨号连接企业现有的安全投资（如：防病毒软件、各种补丁程序及系统管理软件的客户端等）是否处于正常运行状态，病毒特征库有没有及时更新，终端员工是否私自卸载这些企业要求必须使用的安全软件。 黒客攻击技术细分下来共有，分别为入侵系统类攻击、缓冲区溢出攻击、欺骗类攻击、拒绝服务攻击、对防火墙的攻击、病毒攻击、木马程序攻击、后门攻击QQ，MSN，ICQ 这类即时通讯工具来传播病毒，已经成为新的病毒流行趋势，例如从今年病毒的发作情况来看，已经有将近100 种QQ 类型的病毒出现；大量用户沉迷于网络聊天、谈情说爱，即使工作时间也无法自拔； 私起服务控制 用户私自架设各种网络服务，例如：架设代理服务器，非法共享用户上网，绕过现有企业网络监管措施；架设BBS 论坛，发表不利于企业文化的言论，更严重的会给企业主管招致法律上的麻烦； 海量下载控制 使用Bit Torrent，网络蚂蚁 等工具疯狂下载电影，游戏，软件等大型文件，无节制的吞噬企业带宽，使得如IP 电话，视频会议之类的关键服务得不到带宽保证； 非法网络扫描 使用Sniffer 等网络嗅探工具来窃听重要服务器的用户名，密码等机密信息；使用SuperScan等扫描工具，恶意采集用户名，弱口令，共享，服务端口等网络信息； 网络游戏 如CS，传奇，帝国时代，星际争霸，联众等网络游戏：用户在工作时间联网游戏，严重影响工作效率。 2．4移动用户安全管理 移动用户、远程用户计算机游离于企业网络边界安全防护之外，企业现有的网络边界安全防护技术根本不能保护这些用户的网络应用安全，此外，相当一部分的移动用户