今天,员工对系统的滥用、错误配置以及恶意访问导致企业业务面临很多现实的安全威胁。事实上,根据Gartner 的估计,大约20%的受控系统已经遭受不同程度的安全危害。此外,Gartner 估计企业网络中20%的系统是完全不受控的。显然,这会导致大多数企业容易遭受网络攻击,引起生产力损失、机密信息的泄露,以及其它的代价高昂(和尴尬)的损失。
而安全技术,象边界防火墙,杀毒,入侵检测和验证等,都是针对开放式网络中的个别问题而开发的解决方案。在部署了这些技术以后,企业发现他们的障碍在于安全策略和实践之间的鸿沟。鸿沟的存在是因为安全技术无法强制落实。也就是说技术可以被黑客或终端用户关闭或者禁用,而终端用户和安全小组却无从知晓。近来大型企业中发生的绝大多数重大安全事件都应归咎于此。今天企业需要有能力了解网络通讯的行为,评估相应的风险,轻松配置安全策略来减少风险,并且在整个网络中强制贯彻这个策略。由蠕虫和病毒引起的破坏已经清晰地证明了当前防护措施的不完备。
解决这一问题的有效方法是结合端点安全状况信息和新型的网络准入控制技术(Network Access Control, NAC )。网络准入控制技术是在端点连接到网络之前对它们的安全状态进行审计,并在连接到标准企业网络之前进行适当的更新。从而将蠕虫和病毒屏蔽在网络之外,也能强制应用级的安全策略。
网络准入控制是一个过程,它通过强制作为网络访问前提条件的IT安全策略,来减少网络安全事件,增强对企业安全制度的遵从。尽管“网络准入控制(NAC)”是一个新定义的类别,Symantec 技术公司却是策略强制领域多年来的领导厂商,先后在网络准入控制方面率先实现了VPN(IPSEC和SSL),LAN (802.1x),客户端代理自我强制(Self-Enforcement )技术。
将端点安全状况信息和网络准入控制结合在一起,Symantec Sygate Enterprise Protection 能够显著地提高企业网络计算架构的安全。Symantec SEP 系统通过保证企业所属的每个端点在安全上不做任何妥协,阻止不安全和未授权的行为,在企业网络中排除未授权的设备,从而保护企业网络的安全完整性。Symantec On Demand 通过确认设备的安全策略,创建加密的虚拟桌面环境,在会话结束后清除所有传输过去的数据,将对机密数据的保护延展到非企业所属的设备之上。
Symantec Sygate Enterprise Protection的全新系统架构将整个内网安全防护策略划分为逻辑上的三个组成部分:
· 内网边界安全防护
此部分架构实现对来自企业网络外部的安全威胁进行安全防护。
· 内网安全威胁防护
此部分架构实现对来自企业网络内部的安全威胁进行防护。
· 外网移动用户安全接入防护
此部分架构用于保证企业内部移动用户所处网络环境的变换,以及当移动用户处于外网安全防护薄弱网络环境中自身安全、接入企业网络安全。
Symantec SEP是一个软件包,由三个基本组件构成:
Symantec Policy Manager
安装在一个或多个企业服务器上,围绕一个中央数据库来配置,Symantec策略管理服务器扮演一个军队司令的角色-帮助创建安全策略,规划部署计划,指导士兵(客户端)如何保护网络。
Symantec Protection Agent
安装在企业的工作站、服务器(Windows平台)和笔记本上,SPA提供了可配制的高级防火墙和入侵检测预防能力。它能检测和识别已知的木马,端口扫描和其他常见攻击。作为响应,它能选择性的启用或阻止不同网络设备,端口和组件的使用。SPA还负责按照Symantec策略管理服务器所设定的规则对终端的安全状态进行审核,并将检查结果报告给Symantec Universal Enforcement组件,做为是否允许终端接入企业网络的标准。
Symantec Universal Enforcement
有四个可选组件: Symantec Gateway Enforcer, Symantec LAN Enforcer, Symantec DHCP Enforcer或供VPN整合的Universal Enforcement API。这些组件在授予端点接入网络的权限前确保端点遵循企业策略。Symantec Universal Enforcement组件隔离违背安全策略的设备,直至自动修复机制生效后再恢复其网络访问的权限。
| 
