15_终端安全跟补丁修复.docVIP

任务十三、按要求完成任务。 要求1、阅读下面的资料，理解Symantec公司的SYGATE终端安全解决方案的主要思想，并找一找相关资料，列举一到两个不同厂商的终端安全解决方案，写出厂商和产品的名称。 华为Secoway TSM 终端安全管理系统 思科 NAC Framwork 解决方案 2.4.4.4终端安全系统设计 中心医院终端用户的情况比较复杂，一是PC数量非常多，不同的PC安装的操作系统也非常的繁杂，如2003、XP、Windows7、Vista等数种，二是各终端上运行的业务软件种类很多，但对终端的管理却不到位，安全隐患大。 对于这样的一个复杂和大规模的环境，如果还是依靠以前那种纯粹以人力来做好终端的管理和维护工作，显然是难以为继的。综合考虑到性价比，以及维护的简便性等因素，我们建议整套系统的拓扑结构采用单层结构，多系统角色分流，集中管理，这样做目的在于： 为了以后可以容纳更多的客户端 纳入管理范围的客户端数量总计，要可以承受这样的负荷 网络环境较好，基本可以认为所有客户端及服务器在一个高速连接网内。 当前的IT管理资源集中于一个中心 节省成本。 假如所有的服务器都集中于网络中心的数据中心统一管理，下属各分支机构平时的日常维护工作，由IT信息部门各分部独立完成（可因地制宜灵活设置所属的局部策略），定期汇总信息至本市政法网网络中心，网络中心的信息部门则负责制订整个集团范围的策略配置，同时如有需要也可以直接接管委派给各分部的权利和任务，这样做的目的是： 管理集中——可以集中在一个中心统一管理 运行可靠——单点的故障丝毫不会影响整个网络的运作 网络影响小——适当地将网络流量分流到多台服务器上。 我们建议用户使用Symantec刚收购的SYGATE公司全球一流的端点安全解决方案。利用SYGATE解决方案可以构建企业的补丁分发系统、NAC网络准入控制系统等。 一、内部的安全防护 1． 对Windows 网络邻居共享的控制 在实施SYGATE 安全策略保证系统之后，按照缺省规则，SYGATE 安全代理会自动的禁止网络主机的网络共享但允许对网络共享目录的访问。这样就有效的防止了由于通过网络共享而导致的数据泄密问题。管理员也可以根据需求的不同为不同的组开放网络共享功能以保证内部网络数据交流的便利。 2． 防止恶意信息采集行为 管理员可以根据需要打开SYGATE 安全代理的以下功能： 检测端口扫描、隐藏操作系统指纹、隐藏浏览器信息同时SYGATE 安全策略保证 系统的缺省规则将阻止PING 命令探测网络主机的存在。 在启用以上功能之后，安装有安全代理的计算机就可以有效的防止黑客对本机的系 统信息进行采集，从而阻止进一步攻击的发生。 3． 防止用户对网络数据的监听 管理员在打开SYGATE 安全代理的“驱动级防护”功能之后，SYGATE 安全代理将检测本机上运行的Protocol Driver 的运行情况，对于所有的网络监听程序而言都需要使用Protocol Driver 来操纵网卡进行网络数据报的截取。管理员可以对这些Protocol Driver 设置安全规则，使SYGATE 安全代理阻止这些驱动对网络数据包进行监听，从而防止恶意用户对网络数据的监听。 4． 防止黑客使用IP 欺骗和MAC 欺骗劫持网络数据链 SYGATE 安全代理具有防止IP 欺骗和MAC 欺骗的功能，在启用这些功能之后安全代理能够有效的发现和阻止那些通过IP 和MAC 地址欺骗来截取网络数据的攻击行为。 5． 阻止木马，网络病毒和网络蠕虫等恶意网络程序 SYGATE 安全代理内置已知的木马程序的特征库，在发现已知木马运行时安全代理将立即终止木马程序的运行同时记录安全日志并发送到策略管理服务器。对于未知的木马，网络病毒和蠕虫，由于它们肯定不是企业安全策略所允许的合法程序，SYGATE 安全代理将阻止其对网络的连接，从而防止木马，病毒和蠕虫通过网络控制主机，发送数据以及传播。 6． 进行访问控制防止对通过网络进行数据窃取 对于内部网络中存放有敏感数据的服务器，管理员可以为所有的客户设置访问规则，保证具有访问权限的用户只能以安全策略所允许的方式并使用指定应用程序进行访问。例如，对于内部网络中的核心数据库，我们可以保证只有合法的用户才能以指定的数据库前端程序进行访问，其他的任何访问行为都将被阻止。 7． 控制网络用户的行为 通过在管理服务器中设置安全规则，我们可以对网络中每一个用户的网络行为进行以下方面的控制： 使用的网络应用程序，即那些用户可以使用那些应用程序访问网络 可以访问的网络主机。可以通过域名，主机名，MAC 地址，IP 地址，IP 地址段以及子网段等参数来设置 允许访问的时间。能够控制用户在什么时间段之内可以或不能访问网络。 网络协议以及端口。 当然，我们还可以