 |
|
| 線上續約與新購詢價系統 | |
|
|
| SEP-企業端點防護 | |
|
|
| SMG-郵件安全閘道 | |
|
|
| SESC-端點安全完整版 | |
|
|
| DCS SA-重要主機防護系統 | |
|
|
| PGP-企業加密解決方案 | |
|
|
| ETDR-電子郵件威脅偵測與回應 | |
|
|
| 熱銷商品 | |
 |
|
|
|
|
|
|
|
|
|||||||||||||||||||||||||||
 |
||||||||||||||||||||||||||||
 |
||||||||||||||||||||||||||||
您的公司是否跟全世界的大部份企業一樣,已經安裝了防毒軟體卻還是常常中毒。 這不是單靠防毒軟體或換一家防毒軟體就能解決的問題。 |
||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||
若您目前已使用本產品,我們建議您立刻升級至『賽門鐵克端點防護方案
Symantec Endpoint Protection V11.0』以獲得最佳的保護!! |
||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||
Symantec™ Sygate™ Enterprise Protection 在單一管理架構中提供進階的端點防護,並與網路存取控制緊密整合。業界都稱它為『安全政策保證系統』。它可以與Sygate 的另兩項重要解決方案:網路存取控制解決方案(SNAC)及隨選防護解決方案(SODP)來針對整個企業網路之受管理與未受管理的端點強制實施IT安全政策。及預防來自不被管理的端點利用沒有保護的網路存取點所造成的企業資產損害。也就是說,在企業環境內只有安全的端點裝置才能從事被規定的安全作業。利用桌上型防火牆、主機型入侵防禦(Host-Based Intrusion Prevention)及可調變式防護(Adaptive Protection),來確保企業內部端點的安全: 保護受管理端點的安全,對抗針對已知或未知的攻擊,同時保護網路對抗未遵循政策的端點,並強制符合其安全政策。 藉由與Symantec™ Network Access Control(賽門鐵克網路存取控制)的整合。防範未遵循安全政策的端點,以確保網路的安全,NAC並可與各種網路基礎架構廣泛的整合。藉由使用端點遵循(Endpoint Compliance)選項、賽門鐵克網路存取控制以及端點搜尋(Endpoint Discovery)等功能,可消瀰企業網路內不好的稽查結果。使用賽門鐵克的分散式的政策管理方式,來管理這個整合式的解決方案,以提供即時的政策派送、並達到容易使用及經過證實的擴充性等優勢。 |
|
 |
|
| 重要功能 (檢式架構圖) | |
|
|
運用主機型防火牆、主機型入侵預防及調變式防護技術,保護受管理端點的安全,對抗針對端點之已知或未知的攻擊。 |
 |
提供進階端點防護,並與賽門鐵克網路存取控制緊密整合。 |
|
強制符合其安全政策,消除不預期的稽核檢查結果。 |
|
|
| 重要效益 | |
|
將個人防火牆、入侵預防及網路存取控制技術加到端點裝置中,藉以強化現有的防毒措施。 |
|
維持修正的端點與執行必要的應用程式,確保政策遵循並防範不預期的稽核檢查結果。 |
|
在一個集中化的架構中管理整合的端點防護與網路存取控制,確保最低的整體擁有成本。 |
|
協助預防資安事件、增加網路可用性、協助確保遵循法規、使用Symantec network Access Control 協助清除未遵循政策的端點網路、協助確保Compliance on Contact™ 確保所有的網路進入點都能符合安全政策、以主機入侵防禦保護端點安全。 |
|
|
| 應用實例 | |
|
監看日誌(logs)及產生報告。 |
|
設定組織架構,包含群組、使用者及電腦。 |
|
設定資料庫的複寫(Replication)與管理站台。 |
|
|
| 運作原理 (檢視運作圖) | |
|
透過賽門鐵克政策管理程式(Symantec™ Policy Manager)進行中央的政策建立與部署管理。 |
|
使用賽門鐵克防護代理程式(Symantec™ Protection Agent)檢查主機安全的完整性並包含安全政策遵循的狀態。 |
|
網路入侵預防系統(Network Intrusion Prevention)會攔截網路型攻擊,並允許合法的網路流量。 |
|
應用程式防護會攔截攻擊,並允許獲得授權的可執行檔。 |
|
作業系統防護會攔截攻擊,並允許獲得授權的作業。 |
|
裝置控制會攔截未經授權之外接式媒體裝置的資料傳輸,並允許獲得授權裝置的資料傳輸。 |
|
透過賽門鐵克網路控管強制設定程式(Symantec Network Access Control Enforcers)以強制執行端點的網路存取控制。 |
|
自動矯正功能無需要使用者介入,即可讓端點達到遵循政策的狀態。 |
|
緩衝區溢位防護會在惡意程式碼執行前,預防緩衝區溢位攻擊。 |
|
調變式政策(Adaptive Protection)會根據網路連線型態及(或)網路位置套用適合的政策。 |
|
|
| 系統需求 | |
|
Symantec Sygate Policy Manager: |
| ■作業系統:Windows Server 2003 Standard 或 Enterprise 版 ■資料庫:Microsoft SQL 2000 (SP3 或更新版本),整合式資料庫 ■網頁伺服器:網路資訊服務(IIS) |
|
|
賽門鐵克強制設定器 (Symantec Enforce): |
| ■作業系統:RedHat Linux ES 3 (Kernel 2.4.21-27EL) 及 RedHat Linux ES 3 (Kernel 2.4.21-4EL) | |
|
Symantec Enforcement Agent: |
| ■作業系統:Windows 2000 (Professional/Server/Advanced Server/Datacenter Server)、Windows XP Home Edition 或 Professional 版、Windows Server 2003 Standard 或 Enterprise 版 | |
|
|
| 組成元件 (檢視架構圖) | |
| SSEP由三個主要的元件軟體所組成,經由這三個元件的協同運作,達到防禦威脅並保護端點電腦及網路安全。 | |
|
政策管理系統-SPM(Sygate Policy manager):這是SSEP的管理中心,提供政 策的制定並將它指定給代理程式。 |
|
保護代理/強制代理-SPA(Sygate Protection Agents)及SEA(Sygate Enforcement Agents):安裝在端點電腦上藉以監控政策及修正不符合政策的端點電腦。除此以外,SPA更提供防火牆、作業系統保護、入侵防護、系統鎖定及其它的安全保護機制以保護主機的安全。 |
|
強制執行程式(選擇性的元件)-SE(Sygate Enforcers):在企業網路的登入點(如VPN、無線登入點、RAS..等),確保端點電腦的完整性。藉由監控網路存取狀態,提供強制的端點網路存取控制。 包含三類的強制執行程式:1. Gateway Enforcer。2. LAN Enforcer。3. DHCP Enforcer。 |
|
|
| 政策管理概觀-SPM(Sygate Policy manager) | |
提供中央集中式的管理解決方案。能維護安全政策的強制執行,執行主機安全完整性檢查,管理使用者/電腦等群組架構,並能自動修正端點的缺失。是整個SSEP的首腦角色,所有的代理程式都需向SPM取得最新的政策與安全設定,並由SPM來更新相關的程式。 SPM能解析整個通訊的行為,建立與佈署安全及強制政策,管理使用者及電腦等群組架構,並且和其它的SPM作溝通。經由專屬的通信協定,SPM能經由代理程式與強制程式來解析來自於使用者、應用程式與網路行為,提供企業最即時的安全狀態。 經由SPM收集與分析的資訊,企業就可以建立依不同的使用者,連線技術,應用程式,通訊協定相對應的安全政策。安全政策亦是非常容易上手的階層與繼承的架構,同時亦可匯入及同步Domain或AD等目錄服務的物件。SPM可以是集中式的也可以是分散式的,非常適合須要高擴充性、容錯、負載平衡及政策抄寫的跨國企業。經由SPM的主控台,管理者還可以執行下列工作: |
|
|
設定管理與組織架構,包含電腦、使用者與群組。 |
|
設定安全政策:可以在組織內架構許多群組,每個群組都有個別的政策,同時亦可在同一個群組內,再依地點不同(如在家/辦公室…等)而設定不同的政策。 |
|
設定與佈署代理程式的安裝檔案。 |
|
自定代理設定。 |
|
管理SPM站台與抄寫。 |
|
配置強制程式(Enforcer)的組態。 |
|
監看日誌(logs)及產生報表。 |
|
|
| 保護代理/強制代理概觀-SPA(Sygate Protection Agents)及SEA(Sygate Enforcement Agents) | |
保護代理或強制代理都是安裝在端點電腦上的程式。兩者都是接受管理主控台的政策派送執行並提供回報的資訊給控管主機並執行『主機完整性』的功能。 強制代理(SEA)可以說是沒有防火牆及作業系統保護的保護代理(SPA)陽春版功能版。SPA則包含以下的所有的安全功能: |
|
|
防火牆功能(Firewall):SPA提供可自訂的防火牆,保護電腦免受入侵和誤用,不論其是否為惡意或有意。使用『入侵保護』和進階防火牆設定,SPA能偵測並找出已知的特洛伊木馬程式、通訊埠掃描及一般的攻擊行動。之後並加以回應:選擇允許或攔截流量、各種不同的網路服務、應用程式、通訊埠及元件。 SPA使用包含安全規則和安全設定的安全性政策,保護個別電腦免於可能造成傷害的網路流量。對於嘗試取得網路連線的每一個應用程式或服務,SPA使用網路規則,根據每個應用程式或服務來判斷您的電腦是否攔截或允許任何通訊埠或通信協定。 |
|
作業系統防護功能(OS protection):作業系統防護政策控制並監視Windows API對用戶端機器的呼叫。這些政策並提供管理員工具,以控制對電腦檔案、登錄碼和程序的存取。 |
|
LAN Sensor:另一個額外的選擇,是您也可以使用SPA做為LAN Senser,將任何不明裝置記錄下來。 |
|
應用程式感知(Application Learing):作為追蹤存取網路的應用程式之使用。 |
|
主機完整性執行(HI:host integrity enforcement):SPA也在有安裝它的所有電腦執行『主機完整性』政策需求。『主機完整性』政策可以設定來確認電腦有執行防毒軟體、修補程式和執行其它規定。SPA以指定的間隔時間在用戶端執行『主機完整性』檢查。如果電腦未遵循安全性政策,SPA可以恢復『主機完整性』,並設定程式更新修補程式、啟動防毒軟體等。如果無法復原『主機完整性』,SPA可以執行隔離政策。此外,如果用戶端嘗試通過強制執行程式Enforcer連線到網路,SPA會將『主機完整性』的檢查結果傳送到強制執行程式(Enforcer),如果檢查結果是未通過的話,強制執行程式(Enforcer)將會攔截或限制存取。 |
|
|
| 強制執行程式概觀(選擇性元件)-SE(Sygate Enforcers) | |
SE是SSEP方案中的選擇元件之一。可以和SPM及SPA(或SEA)一起協同運作以保護企業網路。共有三種強制執行程式(Enforcer)可供選擇,可以個別單獨或同時存在於企業的網路架構。(檢視架構圖) 我們可以用SARS期間的機場、港口及車站的篩檢站來說明這三種強制執行程式(Enforcer)所扮演的角色及功能。經由飛機往來的人員或物品,就必需強制經過機場篩檢站的過濾檢查,經由海運的就必需強制通過港口的檢查,經由公車系統的就必需強制經由車站的篩檢站檢查。如果檢查不通過就會採取自我居家隔離、強制隔離、強制就醫等阻隔可能擴散病毒及醫療改善的方法。 強制執行程式(Enforcer)會執行主機驗證,而不是使用者階層驗證。這可確保用戶端電腦在嘗試接到企業網路時,都符合政策管理系統中所設定的企業安全政策。以下的三種強制執行程式(Enforcer),跟機場、港口及車站的篩檢站的功能與角色極為相似: |
|
|
Gateway Enforcer:使用於存取點,針對透過VPN、無線LAN或RAS從遠端連線的外部電腦執行。您也可以設定它來限制存取特定伺服器,只允許特定IP位址存取。 |
|
LAN Enforcer:用於強制執行,使用者透過支援802.1x驗證的交換器或無線存取點連接至LAN。LAN Enforcer 會作為遠端認證撥接使用者服務(RADIUS)代理程式。並可與提供使用者層級驗證的RADIUS伺服器搭配使用。 |
|
DHCP Enforcer:用於強制執行,使用者透過動態主機設定通訊協定(DHCP)伺服器接收動態IP位址,以存取LAN。 |
|
|
| 科技源自於簡單的概念 | |
這個全球市佔率超過三分之二的『安全政策保證系統』,源自非常簡易的安全概念:在網路的環境中,如果每一個端點都安全,那麼整個網路就會是安全的-所以在端點要進入網路前就先行作身份驗證再作安全檢查,在身份驗證的過程中如果不通過就將該端點隔離到特定的區域不讓它存取網路,在安全檢查的階段,首先會依據連線的地點(不同的地點有不同的安全組態,例如在公用的無線基地台上網與在企業內上網的安全組態就會不同)檢查對應的組態,接下來對照政策檢查配置是否符合規定,並根據政策檢查效果採取行動(准予存取、隔離、或予以修復),同時產品本身也包含端點的安全保護(透過FW/HIPS/ Self-Enforce 等功能,以提供作業系統、記憶體威脅、周邊裝置控管、檔案及登錄檔保護、應用程式控管過濾….等多項保護與自我強化),這樣週期性地持續稽核與即時防護,就能確保所有的端點都是安全的。 這個概念與SARS爆發時的強制篩檢隔離政策及自我篩檢很相似,當要進出公共場所時,必需先進行一系列的健康檢查,如果有任何的可疑狀況就不要讓他進入,並依不同的檢查結果(嚴重程度),採取相對應的自我居家隔離、強制隔離、強制就醫或通報等措施。在特定的地點,如機場、港口及車站等較易境外移入移出感染的地點,特別加強篩檢、隔離與就醫的安全機制。 同時也會宣導(要求)一般的民眾每天要常常量體溫,並注意自己、家人或周遭親友的健康狀況。如有異常狀況就要回報給專責單位,並採取隔離與就醫的安全機制。 |
|
|
|
| 具體的防護範圍 | |
| 我們把它的提供的保護範圍簡單分成三部份: | |
|
企業邊界的安全防護:所有由外點透過VPN或遠端登入方式進來的電腦,必需是安全的,才准予讓它存取網路。並強制遵循安全政策。可以避免由外而內的攻擊與威脅。 |
|
內網及內部所有電腦的安全防護:所有存取內部網路的的每一台電腦必需隨時保持安全狀態,才准予存取網路。如果不符合安全規定,則會自動執行修復程序,直到符合規定才准予,否則就強制隔離。並且內含先進的安全防禦系統,可以檢測及修復已知與未知的威脅並增強自身的安全防護能力。 |
|
行動電腦的安全存取網路:行動電腦是最不安全的端點,經常往返於企業內網及家庭網路或公共的無線機地台。常常把危害帶進企業內部,造成企業內部病毒亂篡,造成癱瘓整體網路的災難。除要求要遵守『主機完整性的安全政策』外,也強制執行因地置宜的不同安全政策。例如,在外經由公共的無線機地台上網時就會自動關閉網路的分享,以避免資料外洩。在企業內部則強制關閉無線網路的通訊功能,以避免透過私自架設或附近的無線機地台將資料傳送出去。訪客的行動電腦若需使用無線上網,除要求要遵守主機完整性的安全政策外,亦可限定只能連線到企業網路以外的網際網路。 管理者可以建立並佈署主機完整性的安全政策:強制規定必須安裝的更新修補(Patch/ hotfix )、防火牆、防毒軟體、防間諜軟體..等安全軟體必需正確配置,正常運作並要更新到最新的狀態以及規定可以執行的應用程式(以避免使用不安全或非法的軟體)。每一部端點電腦(桌上型、筆記型或伺服主機)都必需安裝保護代理程式(SPA-Sygate
Protection Agent)或強制代理程式(SEA-Sygate Enforcement Agent),當端點電腦嘗試要存取網路時,就必需先經過主機完整性檢查,不符合則會將該電腦隔離在外,或自動下載並更新所須的修補程式,直到完全通過主機完整性檢查才能正常存取網路。
|
|
|
|
|