Symantec终端安全防护SPS企业版3.0方案建议书xx有限公司2022年04月第1章项目综述 (1)1.1项目需求分析 (1)1.2总体技术思路及优势 (2)第2章XX终端安全防护架构设计方案 (5)2.1系统架构设计 (5)2.2服务器和终端安全防护设计（SEP） (6)2.3安全自我隔离（SNAC S ELF E NFORCEMENT） (9)2.4终端系统保护和快速恢复设计（BESR） (10)2.5邮件应用的安全防护设计（F OR D OMINO以及E XCHANGE） (13)2.6WEB安全网关设计(可选) (16)第3章SPS企业版技术方案特点总结 (19)3.1全面性—合适的价格，一步到位的实现 (19)3.2安全性—第一大安全品牌的强大的安全威胁防护 (20)3.3保险性—具备强大的系统恢复功能，避免安全事故 (21)3.4易用性—统一的控制平台 (21)第1章项目综述1.1项目需求分析随着计算机技术的不断发展，信息技术在企业网络中的运用更加广泛，信息安全问题也显得尤为迫切。

自从80年代计算机病毒出现以来，已经有数万种病毒及其变种出现，给计算机安全和数据安全造成了极大的破坏。

而传统防病毒产品在应对新的终端安全威胁时效果欠佳，因为病毒来自与不同的传播途径，例如邮件，网页浏览，U盘的使用，高危程序的下载安装等多种途径，因此Symantec认为企业需要同时结合多种技术手段来综合的治理企业所面临的安全问题，巩固企业安全防线。

目前xx的防病毒体系还处于依赖传统的防病毒产品来应对安全威胁的阶段，产品覆盖范围有限，缺乏统一的管理平台，没有完善的病毒防护响应机制，没有办法杜绝全部的病毒传播途径，发生大的安全事故缺乏快速恢复的保障；同时随着xx信息化步伐的加快，建立一套适应xx未来发展的防病毒安全体系迫在眉睫。

通过终端安全防护项目，设计一套满足xx未来发展的防病毒体系：建立系统的运维管理规范、技术体系标准，优化企业内网环境，减少病毒对企业员工的影响，提高员工的工作效率，为企业的快速发展提供保障。

－1－1.2总体技术思路及优势Symantec是全球第一大安全软件厂商，第三大独立软件厂商，财富500强企业；拥有从终端管理到终端安全，服务器管理到服务器安全的全部尖端产品，具备丰富的全球行业安全经验，Symantec可以帮助xx构建全方位的、高效的、健壮的终端安全防护体系Symantec的全球安全服务实践证明，完整有效的终端安全解决方案包括技术、管理两个方面内容。

虽然客户已经具备了完整的管理体系，但是全面的安全技术手段是必须的。

传统的病毒防护方案存在局限性，对于xx这样的大型企业，整体的终端安全体系比单纯的查杀病毒显得更为重要，如果不能做到全网建立统一的安全体系，再强的防病毒软件也不能发挥应有作用，因此我们认为防病毒并不能解决客户遇到的全部安全问题，因为安全的问题来自各个不同的感染渠道，包括网络，邮件，因此我们应该建议客户采用更全面的解决方案，包括终端安全，准入控制，邮件安全，网络安全,因此，我们建议终端安全防线应该如此规划：一．终端计算机应该建立防病毒，反间谍软件控制二．终端计算机需要建立端点防火墙，主机入侵检测以及防御三．终端计算机需要控制USB以及非法软件的使用，避免非法软件以及US导致－2－的病毒感染四．对于终端计算机不符合安全规定的将自动自我隔离五．对于终端计算机，进行系统自动备份(在线备份)，在发生故障可以即时恢复系统六．对于可能导致计算机感染病毒的邮件系统可以设置邮件防病毒，防垃圾邮件Symantec向您推荐以下产品的组合：Symantec protection Suite SPS 企业版3.0SPS EE 3.0含有以下产品组合：•SEP 11-----防病毒/反间谍软件/端点防火墙/主机入侵检测/防御/USB设备与应用程序控制•SNAC Self Enforcement-----网络访问控制自我强制隔离,对于不符合安全规定的企业客户端进行自我隔离•BESR Desktop-----系统实时备份，恢复，不用担心企业出现各种的安全事故，仅仅需要从控制台发送一个命令，系统将全部恢复到之前的稳定状态•SMSDOM－3－-----邮件防病毒，防垃圾邮件，for Domino•SMSMSE-----邮件防病毒，防垃圾邮件，for Exchange•SBG-----企业级邮件网关，通过额外购买硬件轻松扩展•SWG -----企业级Web 网关，Web网关防毒，通过额外购买硬件轻松扩展统一的控制平台:－4－第2章x x终端安全防护架构设计方案2.1系统架构设计根据xx网络安全与病毒防护现状，本方案立足xx构建整体的企业终端安全防护架构为目标，设计一套满足xx未来发展的防病毒体系，方案核心设计主要包含：通过建立多层次的安全防线，分别是服务器与终端安全防护、安全自我隔离、邮件安全、web安全和客户端系统备份恢复；服务器以及终端安全防护：实现对应用服务器的病毒安全防护，版本支持Linux和Windows平台及Mac OS平台；终端防护自我隔离：保护企业内所有终端并提供强大的安全防护与管控能力；对于没有符合规定的计算机，本机防火墙进行自我隔离终端系统保护和快速恢复：在所有的终端部署Symantec Backup Exec System Recovery，保护企业内所有终端系统并提供快速恢复系统的能力。

－5－邮件服务器防病毒：通过在邮件服务器部署群件邮件防病毒软件Symantec Mail Security for Domino/Exchange，实现邮件的安全保护；WEB安全网关（硬件选购）：通过部署SWG网关防毒，实现对HTTP、FTP、BT、即时通讯等流量的内容过滤，并可实现对内部僵尸网络或木马的检测和清除；2.2服务器和终端安全防护设计（SEP）SEP将Symantec Antivirus™与高级威胁防御功能相结合，可以为笔记本、台式机和服务器提供无与伦比的恶意软件防护能力。

它甚至可以防御最复杂的攻击，这些攻击能够躲避传统的安全措施，如Root kit、零日攻击和不断变化的间谍软件。

Symantec认为终端的防护应该注重以下方面：－6－1、防病毒和间谍软件的查杀：提供了无可匹敌的一流恶意软件防护能力，包括市场领先的防病毒防护、增强的间谍软件防护、新Root kit 防护、减少内存使用率和全新的动态性能调整，以保持用户的工作效率。

50次以上通过VB100的验证2、先进的威胁防御能力：能够保护端点免遭目标性攻击以及之前没有发现的未知攻击侵扰。

它包括：3、即刻可用的主动防护技术以及管理控制功能：主动防护技术能够自动分析应用程序行为和网络通信，以检测并阻止可疑活动管理控制功能使您能够拒绝对企业来说被视为高风险的特定设备和应用程序活－7－动。

甚至可以根据用户位置阻止特定操作。

4、网络威胁防护：提供基于规则的防火墙引擎和一般漏洞利用禁止功能(GEB)，该功能可以在恶意软件进入系统前将其阻止在外5、主动威胁防护：针对不可见的威胁（即零日威胁）提供防护。

包括不依赖特征的主动威胁扫描。

6、设备以及程序控制：针对USB可以采用直接的控制模式，例如只读，读写，分类控制；针对程序采用白名单的程序控制模式。

7、统一的控制模式：不仅可以增强防护，而且可以通过降低管理开销以及管理多个端点安全性产品引发的成本来降低总拥有成本。

通过一个管理控制台即可进行管理。

从而不仅－8－简化了端点安全管理，而且还提供了出色的操作效能，如单个软件更新和策略更新、统一的集中报告及一个授权许可和维护计划；提供防病毒、反间谍软件、桌面防火墙、IPS，通过单个管理控制台即可进行全面管理。

多层防线可以显著降低风险，同时能够充分保护企业资产，从而使企业高枕无忧。

它是一款功能全面的产品，只要您需要，即可立即为您提供所需的所有功能。

无论攻击是由恶意的内部人员发起，还是来自于外部，端点都会受到充分保护。

2.3安全自我隔离（SNAC Self Enforcement）无需交换设备支持，保护企业内所有终端并提供强大的安全防护与管控能力；对于没有符合规定的计算机，本机防火墙进行自我隔离；－9－1、检测客户端自身安全遵从性2、符合规定允许访问受保护网络3、不符合规定需要的隔离服务器进行修复4、支持全部的交换设备以及HUB设备2.4终端系统保护和快速恢复设计（BESR）Windows操作系统目前在各大企业中依然占据重要的地位，类似xx企业的大部分终端都依赖于windows平台，由于其功能强大，而且易于使用，也使其很容易成为被各种威胁攻击的目标。

终端用户对计算机的操作和管理能力相对较弱，操作系统出现故障通常解决起来很困难，可能因为一个小小的错误补丁就可能导致蓝屏，注册表破坏，系统文件损坏，都是造成系统崩溃的因素，所－10－以对于终端系统的备份和恢复要求尽可能操作简单易行。

利用Symantec终端集中系统保护功能模块BESR(Symantec Backup Exec System Recovery)，可以实现：1.完全避免了重装系统的过程，可以在二十分钟左右将系统恢复到上一次的备份状态，操作极其简单，终端用户可自行恢复。

2.可在管理服务器的集中管理下统一将所有的终端用户系统集中备份到网络位置，也可由终端用户自己进行在线备份。

重要的是，系统的备份可支持增量备份，备份所需的时间极短，不会长时间占用网络资源，备份位置的灵活性适用于经常移动的用户将系统的备份带在身边随时可进行系统恢复，如:备份到移动硬盘、光盘，甚至直接备份到自己的电脑里。

3.终端集中系统保护模块BESR支持所有的windows终端，利用其restore anywhere的功能，可将系统进行不同硬件架构的恢复，用户再也不需要因为两台电脑间硬件差异太大导致系统恢复失败的问题而烦恼。

4.此外终端集中系统保护模块BESR可将备份下来的系统转换成虚拟机的格式直接在虚拟机下运行，立即验证恢复的可行性和恢复生产应用。

－11－其结构示意图如下：主要功能：1、可在不影响员工工作效率的情况下，自动备份台式机和笔记本电脑，并将备份保存到任意磁盘存储设备2、可在几分钟内将整个系统恢复到相同或不同的硬件上，并支持Windows 7 使用内置的搜索工具或Google Desktop，可在几秒钟内还原单个文件和文件夹3、可将备份异地复制到FTP 位置或二级磁盘驱动器，从而增强灾难恢复能力主要优势：－12－1、可随时随地在几分钟内恢复您所需的内容，如单个文件、文件夹或整个系统，甚至可以恢复到不同的硬件或虚拟环境2、在一个易用的向导型界面中，通过主动数据和系统保护功能来管理您的业务，而不是备份3、以快速可靠的自动恢复流程取代费时、易错的手动恢复流程，从而最大限度地减少停机时间，规避灾难事件4、可通过Backup Exec System Recovery Manager 集中管理整个企业中多台台式机备份和恢复任务2.5邮件应用的安全防护设计（For Domino以及Exchange）企业网邮件应用的安全防护重点是：1、对来自外部网的垃圾邮件进行过滤和处理；2、对病毒和蠕虫造成的邮件攻击进行拦截；3、对不断增长的无用带宽进行限制和调整；4、对包含不正当内容的邮件予以拦截；Symantec Mail Security for Domino以及Exchange 提供了实时防护功－13－能，可以保护电子邮件服务器、文档和数据库免遭病毒、垃圾邮件、间谍软件、网页仿冒和其他攻击的侵扰，同时确保针对它们实施内容策略。