（安全管理）S终端管理和安全解决方案功能规范书

终端管理及安全方案　功能规　赛门铁克软件（北京）有限公司 00 年 07 月　档信息　档名称　终端管理和安全方案功能规 档编　档版　版日期　档状态　制作人　审人　 版变更记录　0 0088 姚臻　目 录 概述 先进威胁防护　 　 对端和用户进行授权　 　 产品功能介绍 　端保护系统 R。

产品简介 产品主要优势 5 3 主要功能 6 产品系列　 7　5 系统要 8 　终端准入控制 RK RL　 0 主要优势 0 主要功能　 　3 全方位端防护 可任何络部署 5 产品系列 3 6 系统要 3　 　 LR （ 生命周期管理方案）　 6 3　lr 管理架构 rvr 6　3　lr 功能模块　 9　 3 终端安全系统功能说明 3 管理系统功能组件说明　 　3 系统架构功能设计 5 3 两级管理体系 5 3 二级 V 两级以上管理 6 33 策略步与复制 7 3 器衡 8 35 客户端漫游 9 36 容灾与灾备系统 3 33 终端安全功能说明 35 33 集成端防护方法 35 33 简化端保护 多重技术、产品 36 　333 降低总拥有成 38 33 全面端安全 39 335 提高端安全标准 5 3 准入控制设计功能 7 3。

评估程 7 3 赛门铁克端评估技术灵活性和全面性 9 33 永久代理 50 3 可分代理 5 35 远程漏洞扫描 5 36。

rr用消除 和业断灵活实施选件 53 37　G rr 55 38。

rr 56　39　L rr80x 57 30 络准入控制行业框架支持 58 3 端到端端遵从 59 3 rr 认证（对认证）　 60 33 　 g 6 3 访客页登录认证 6 35　G rr 对 VL rkg 支持 6 36　L rr 地滤　 65　37　l　rg　v　 r 66 终端管理产品功能 67 产品组成　 67　 客户端管理套件 67 器管理套件 68 3 与产管理套件 68 5 终端安全防护功能概括与总结 70 5 支持集管理平台能力　 70　5 客户端安全防护能力概括　 7　53 产品更新升级能力要 7 5 安全性要 73 6 终端管理 7 6 桌面终端产管理　 7　6 软件分发 75 63 补丁管理 75 7 络准入控制设备技术要 77 　 概述 先 进 威 胁 防 护 r 将 Vr与高级威胁防御功能相结 合可以笔记、台式机和器提供无与伦比恶软件防护能力。

它甚至可以防御 复杂攻击这些攻击能够躲避传统安全措施如 rk、零日攻击和不断变化 谍软件。

r 不仅提供了世界流、业界领先且基特征防病毒 和反谍软件防护。

它还提供了先进威胁防御能力能够保护端免遭目标性攻击以及 前没有发现知攻击侵扰。

它包括即刻可用主动防护技术以及管理控制功能；主动 防护技术能够动分析应用程序行和络通信以检测并阻止可疑活动而管理控制功 能使能够拒绝对企业说被视高风险特定设备和应用程序活动。

甚至可以根据用 户位置阻止特定操作。

这种多层方法可以显著降低风险能够充分保护企业产从而使高枕无 忧。

它是款功能全面产品只要要即可立即提供所所有功能。

无论攻 击是由恶部人员发起还是外部端都会受到充分保护。

r 不仅可以增强防护而且可以通降低管理开销以及 管理多端安全性产品引发成降低总拥有成。

它提供代理通 管理控制台即可进行管理。

从而不仅简化了端安全管理而且还提供了出色 操作效能如单软件更新和策略更新、统集报告及授权许可和维护计划。

r 易实施和部署。

赛门铁克还提供广泛咨询、技术 培训和支持可以指导企业完成方案迁移、部署和管理并助实现投 全部价值。

对希望外包安全监控和管理企业说赛门铁克还提供托管安全以 提供实安全防护。

图统端防护方法 rk rl 是全面端到端络访问控制方案通与现 有络基础架构相集成使企业能够安全有效地控制对企业络访问。

不管端以何种 方式与络相连 rk rl 都能够发现并评估端遵从状态、 设置适当络访问权限、根据要提供补救功能并持续监视端以了遵从状态是否 发生了变化。

从而可以营造这样络环境企业可以环境减少安全事故 提高企业 安全策略遵从级别。

rk rl 使企业可以按照目标济有效地部署和管理络 访问控制。

对 端 和 用 户 进 行 授 权 当今计算环境企业和络管理员面临着严峻挑战即不断扩用户群 提供访问企业权限。

其包括现场和远程员工以及访客、承包商和其他临工作 人员。

现维护络环境完整性任面临着前所有挑战。

如今无法再接受对络 提供检访问。

随着访问企业系统端数量和类型激增企业必须能够连接到 以前验证端健康状况而且端连接到要对端进行持续验证。

rk rl 可以确保允许端连接到企业 L 、 、 L 或　V 前遵从 策略。

产品功能介绍 　端 保 护 系 统　 　 　 r 　 产 品 简 介　 r 将 Vr与高级威胁防御功能相 结合可以笔记、台式机和器提供无与伦比恶软件防护能力。

它甚至可以防 御复杂攻击这些攻击能够躲避传统安全措施如 rk、零日攻击和不断变化 谍软件。

r 不仅提供了世界流、业界领先且基特征防病 毒和反谍软件防护。

它还提供了先进威胁防御能力能够保护端免遭目标性攻击以 及前没有发现知攻击侵扰。

它包括即刻可用主动防护技术以及管理控制功能；主 动防护技术能够动分析应用程序行和络通信以检测并阻止可疑活动而管理控制 功能使能够拒绝对企业说被视高风险特定设备和应用程序活动。

甚至可以根据用 户位置阻止特定操作。

这种多层方法可以显著降低风险能够充分保护企业产从而使企业高枕无忧。

它是款功能全面产品只要要即可立即提供所所有功能。

无论攻击是 由恶部人员发起还是外部端都会受到充分保护。

r 不仅可以增强防护而且可以通降低管理开销以 及管理多端安全性产品引发成降低总拥有成。

它提供代理通管 理控制台即可进行管理。

从而不仅简化了端安全管理而且还提供了出色操作效能 如单软件更新和策略更新、统集报告及授权许可和维护计划。

r 易实施和部署。

赛门铁克还提供广泛咨询、技 术培训和支持可以指导企业完成方案迁移、部署和管理并助实现投 全部价值。

对希望外包安全监控和管理企业说赛门铁克还提供托管安全 以提供实安全防护。

产 品 主 要 优 势　安全　全面防护 集成流技术可以安全威胁渗透到络前将其阻止即便是 由狡猾知新攻击者发起攻击也不例外。

以实方式检测并阻止恶软件包括病 毒、蠕虫、特洛伊木马、谍软件、广告软件和 rk。

主动防护 全新主动威胁扫描使用独特赛门铁克技术知应用程序良行 和不良行评分从而无创建基规则配置即可增强检测能力并减少误报。

业界佳威胁趋势情报 赛门铁克防护机制使用业界领先赛门铁克全球情报 络可以提供有关整威胁趋势全面视图。

借助情报可以采取相应防护措 施并且可以助防御不断变化攻击从而使高枕无忧。

简单　单代理单控制台 通直观用户界面和基 b 图形报告将全面 安全技术集成到单代理和集管理控制台。

能够整企业设置并实施安全策略 以保护重要产。

添加 rk rl 支持可以简化管理、 降低系统使用率并且无其它代理。

通购买许可证可以代理和管理控制台上 动启用 　rk。

rl　 功能。

易部署 由它只要代理和管理控制台并且可以利用企业现有安全和 投进行操作因 r 易实施和部署。

对希望 外包安全监控和管理企业赛门铁克提供托管安全以提供实安全防护。

降低拥有成 r 通降低管理开销以及管理多 端安全产品引发成提供了较低总体拥有成。

这种保障端安全统方法 不仅简化了管理而且还提供了出色操作效能如单软件更新和策略更新、统集 报告及授权许可和维护计划。

无缝　易安装、配置和管理 r 使可以轻松启用、禁 用和配置所技术以适应环境。

rk rl 就 绪 每 端 都 会 进 入 　rk。

rl　 就绪状态从而无部署其它络访问控制端代理软件。

利用现有安全技术和 投 可以与其它领先防病毒供应商、防火墙、 技术 和络访问控制基础架构协作。

还可以与领先软件部署工具、补丁管理工具和安全信息 管理工具协作。

3 主 要 功 能　防病毒和反谍软件 提供了无可匹敌流恶软件防护能力包括市场领先 防病毒防护、增强谍软件防护、新 rk 防护、减少存使用率和全新动态性能 调整以保持用户工作效率。

络威胁防护 提供基规则防火墙引擎和般漏洞利用禁止功能 (GB)该功 能可以恶软件进入系统前将其阻止外。

主动威胁防护 针对不可见威胁（即零日威胁）提供防护。

包括不依赖特征主 动威胁扫描。

单代理和单管理控制台 　代理上提供防病毒、反谍软件、桌面防火墙、 、设备控制和络访问控制（要购买赛门铁克络访问控制许可证）　 通单管 　理控制台即可进行全面管理。

产 品 系 列　5 系 统 要 　 　终 端 准 入 控 制　 　 r k　 　 r l　 　 rk rl 是全面端到端络访问控制方案通 与现有络基础架构相集成使企业能够安全有效地控制对企业络访问。

不管端以 何种方式与络相连 rk rl 都能够发现并评估端遵从 状态、设置适当络访问权限、根据要提供补救功能并持续监视端以了遵从状 态是否发生了变化。

从而可以营造这样络环境企业可以环境减少安全事 故提高企业 　安全策略遵从级别。

rk rl 使企业可以按照目标济有效地部署和管理 络访问控制。

对端和用户进行授权当今计算环境企业和络管理员面临着 严峻挑战即不断扩用户群提供访问企业权限。

其包括现场和远程员工 以及访客、承包商和其他临工作人员。

现维护络环境完整性任面临着前所 有挑战。

如今无法再接受对络提供检访问。

随着访问企业系统端数量和 类型激增企业必须能够连接到以前验证端健康状况而且端连接到 要对端进行持续验证。

rk rl 可以确保允许端 连接到企业 L 、 、 L 或 V 前遵从 策略。

主 要 优 势　部署 rk rl 企业可以切身 　体验到众多优势。

其包括　减少恶代码（如病毒、蠕虫、谍软件和其它形式犯罪软件）传　播　通对访问企业络不受管理端和受管理端加强控制降低 风险　终用户提供更高络可用性并减少断情况　 通实端遵从数据获得可验证企业遵从信息　 企业级集管理架构将总拥有成降至低　 验证对防病毒软件和客户端防火墙这样端安全产品投是否得当　 主 要 功 能　 络访问控制流程 络访问控制是流程涉及对所有类型端和络进行管理。

流程从连接到 络前开始整连接程持续进行。

与所有企业流程样策略可以作评估和 操作基础。

络访问控制流程包括以下四步骤　 发现和评估端。

步骤端连接到络访问前执行。

通与现有络基 础架构相集成使用智能代理软件络管理员可以确保按照低 策略要对连 接到络新设备进行评估。

设置络访问权限。

只有对系统进行评估并确认其遵从 策略才准予该系统 进行全面络访问。

对不遵从 策略或不满足企业低安全要系统将对其进 行隔离限制或拒绝其对络进行访问。

3 对不遵从端采取补救措施。

对不遵从端动采取补救措施使管理员能够将 这些端快速变遵从状态随再改变络访问权限。

管理员可以将补救程完全动 化这样会使该程对终用户完全透明；也可以将信息提供给用户以便进行手动补救。

主 动 监 视 遵 从 状 况。

必 须 刻 遵 从 策 略。

因 rk 　rl 以管理员设置隔主动监视所有端遵从状况。

如某刻端 遵从状态发生了变化那么该端络访问权限也会随变化。

3 全 方 位 端 防 护 络由新企业系统、早期企业系统、承包商系统、访客系统、公共、业合作 伙伴以及其它无数知系统组成。

对其部分端管理员施加控制少又少甚 至不予以控制 但又必须确保络安全性和可用性。

rk 　rl 使企业能够将络访问控制程应用受控或不受控系统、旧系统或新系统以及 　知或已知系统。

可 任 何 络 部 署　型企业用户通多种访问方法连接到络；因管理员必须拥有足够灵活性 可以不考虑连接类型情况下致应用评估和连接控制。

作当今市场上成熟络 访问控制方案 rk rl 使络管理员能够通对 络基础架构现有投主动实施遵从而不要升级络设备。

不管是使用直接集成到络某 　rk。

rl　rr （仅主机实施选件不要进行络集成）还是使用集成到 b 应用环境可分代理 企业都能够确保终用户和端接入企业络保持遵从。

5 产 品 系 列　6 系 统 要 　平台支持 r gr　r 003 （ 3 位和 6 位）　r X（3 位）　r 0003 及更高版（3 位）　 r gr 控制台 r　V（3　位和 6 位）　r 003（3 位和 6 位）　r X（3 位和 6 位）　r 0003 及更高版（3 位）　 rk rl 客户端 操作系统。

000　rl。

000　rvr。

000　v rvr 　 000 r rvr X 或 X rl　 X bl rvr 003 r 或 rvr 003　rr X 0　或更高版 rk rl　 r 操作系统　 000 rvr 　 003 rvr 低处理器要l 8 Gz 至少 　GB 存 GB 可用硬盘空 r xlrr 55 或更高版 000 rl　 rk rl rr 600 系列 基硬件设备选件（关、局域和 ）　 故障开放硬件设备选件（关、局域和 ）　 3　 　 l r （ 　生 命 周 期 管 理 方 案 ）　lr 生命周期管理方案具有多重系统管理功能企业能随着新要或新 系统管理部署新功能随着企业发展而不断扩充。

每方案以模块化方 式集安装 lr 器上通安装客户端 g（代理）交式实现所有 功能。

3　 l r 　管 理 架 构 　 　 r v r。

rvr　是 lr　 所有模块化方案基础架构所有模块都基。

其可扩充管理架构 xbl g rr() 客户提供了　统集又具充分扩展能力管理平台。

通 rvrlrr 具备 管理复杂络环境能力 无论是 L 还是。

其功能特性如下　、 完全 B 结构b 方式管理统集控制台 lr 基 技术采用 QL rvr 数据库合主流发展趋势。

、 可以按角色和区域进行多级分布式管理 其角色安全(Rl　 B)和区域安全(　B)特性满足型企业客户对管理 3、 管理多平台能力 可以管理 ,Lx,x, 等多种软硬件平台而无须采用三方产品。

、 强与三方产品集成能力 企 业 共 享 是 企 业 总 体 规 划 重 要 容 lr 通 其 连 接 器 方 案 (r l)提 供 了 多 种 连 接 器 (r) V,B rr,,R　 lk rl 甚至。

通 B,L B,lr 还可以与财软件、R 软件进行数据共享。

5、 强 b 报表功能 lr　不但提供了数已预定义 b 报表还可以让企业定义合企业 报表。

6 、 kg rvr ( 分布式器 )　 kg rvr 功能使得 lr 可以应用任何种企业架构无论复杂还是简单。

并且与 集成。

kg rvr 不要额外付费对有复杂结构 环境企业可以节约很 笔费用。

7 、 通工业标准 , 可以管理基 　设备 lr 不但可以管理 等设备还可以管理络设备 8、 基策略管理 lr　基策略管理可以减少重复性管理工作环节动化操作能力是 　管 理重要特征。

9 、 lr rvr 是免费　lr rvr 不要额外许可证费用企业可以由任扩展管　理架构　 0、 强合作伙伴支持能力 lrr 支持业界主流计算机厂商并他们开发了专门针对硬件底层管理工具 如 B 器、ll 器和客户端、 器和客户端客户提供更深层次管 理工具这是其他管理软件很难具有。

综上所述lr　管理架构广和深上都是极具优势。

3　 l r 　功 能 模 块 l g 方案　 客户端备份和恢复方案　 g; 系统实管理方案 g; 虚拟软件方案 g; 软件打包工具专业版 每 000 节包含许可　g; 应用管理方案 g; 应用测量方案 g; 远程控制方案 g; 系统部署和迁移方案 g; 产清单方案 　g; 补丁管理方案 g; 软件分发方案　 l g 客户端管理套件　g; 器监控方案　 g;系统实管理方案 g;器备份及恢复方案　 g; 应用管理方案 g; 器系统部署和迁移方案 g; 器产管理方案 g; 补丁管理方案 g; 软件分发方案　 rvr　g　 器管理套件　rv ; g 方案 g; lk 方案 （按每并发用户购买许可）　g; 产控制方案 g; 合管理方案 g; 连接器方案 g; 管理方案　（按每并发用户购买许可）　g; 应用测量方案 g; 产清单方案 　rv ; g 产管理套件　 3 终端安全系统功能说明 3 管 理 系 统 功 能 组 件 说 明 终端安全管理系统包括三部分组件　策略管理器　策略器实现所有安全策略、准入控制规则管理、设定和监控是整终端安全 标准化管理核心。

通使用控制台管理员可以创建和管理各种策略、将策略分配给代理、 看日志并运行端安全活动报告。

通图形报告、集日志记录和阈值警报等功能提供 全面端可见性。

统控制台简化了端安全管理提供集软件更新、策略更新、报 告等功能。

策略管理器可以完成以下任　终端分组与权限管理； 根据地理位置、业属性等条件对终端进行分组管理对不组可以制定专门 组管理员并进行权限控制。

策略管理与发布； 策略包括动防护策略、手动扫描策略、手动扫描策略、病毒、木马防护策略、 恶脚防护策略、电子邮件防护策略（包括 lk 、l 以及 r 邮件）、 广告软件防护策略、前瞻性威胁防护策略、防火墙策略、入侵防护策略、硬件保护 策略、软件保护策略、升级策略、主机完整性策略等　安全容更新下发 安全容更新包括病毒定义、防火墙规则、入侵防护定义、主动威胁防护规则等　日志收集和报表呈现 可以生成日报周报月报报告种类包括风险报表（以器组、父器、客 户端组、计算机、、用户名条件识别感染、当前环境下高风险列表、按类型 划分安全风险）、计算机状态报表（容定义分发、产品版列表、接受管理 客户端列表）、扫描状态报表、审计报表、软件和硬件控制报表、络威胁防护报 表、系统报表、安全遵从性报表。

强制器管理和策略下发 对交换机强制器和关强制设备进行统管理和策略定义。

终端代理安装包维护和升级；　 终端代理（包括终端保护代理和准入控制代理）　终端安全管理系统要所有终端上部署安全代理软件安全代理是整企业络 安全策略执行者它安装络每台终端计算机上。

安全代理实现端保护和准 入控制功能。

端保护功能包括　 防病毒和反谍软件 　 提供病毒防护、谍软件防护、rk　 防护。

络威胁防护 　 提供基规则防火墙引擎和般漏洞利用禁止功能 (GB)该功能可以恶软件进入系统前将其阻止外。

主动威胁防护 针对不可见威胁（即零日威胁）提供防护。

包括不依 赖特征主动威胁扫描。

端准入控制功能包括　主机完整性检和动修复检终端计算机上防火墙、防病毒软件、反 谍软件、补丁程序、rv k 或其他必应用程序是否合要具体 容可以是对防病毒程序安装 补丁安装客户端启用强口令策略关闭 有威胁与端口。

因主机完整性检支持对终端册表检与设置进程 管理件检下与启动程序等所以可通设置定义策略满足几乎所 有对客户端安全策略与管理要。

强制当终端安全设置不能满足企业基准安全策略可以限制终 端络访问如只能访问修复器进行动修复操作。

以上两部分功能由代理软件完成接受策略管理器统管理。

强制认证器　对那些安装终端代理终端或者私卸代理软件终端必通络强制 方式进行控制。

这要部署相关强制器（ L　rr ）。

赛门铁克 L rr 80X 是带外 80X R 代理方案它与支持 80X 标准所有主要交换供应商协工作。

几乎所有有线以太和无线以太交换机制 造商都支持 80x 准入控制协议。

L rr 使用该链接级协议评估端遵从 性提供动问题修复并允许遵从系统进入企业络。

实施期端上赛门铁克代 理使用 80x 将遵从信息传送到络交换机上然将信息继到 L rr。

如 端不遵从策略L rr 会将其放入隔离络对其进行修复而不会影响 任何遵从端。

rk rl 补救端并将其换到遵从状态 80x　协议将试图对用户重新进行身份验证并其授予络访问权限。

L rr 可以参与现有 身份管理架构以便对用户和端进行身份验证对 只要进行端遵从验证环境也可以充当独立 R 方案（也称透明模 式）。

透明模式下管理员只将交换机配置使用 L rr 作 R 器就能让设备根据遵从所定义策略情况对端进行身份验证。

透明模式下运行 L　rr 无额外基础架构并且是种实施基 VL 交换安全络准入控制 方案简单方法。

3 系 统 架 构 功 能 设 计 3 两 级 管 理 体 系 终端接入控制平台按照两级架构设计总部省公司如下图　 总部设立全国围终端接入控制平台心制定并下发统全管理策略。

这 些策略主要以策略模版库形式提供。

这些策略通步与复制机制二级器 保持致。

二级管理平台上策略变更也都会步回级控制平台级管理平台上 可以预览任何二级甚至三级器上策略应用情况。

3 二 级 V 两 级 以 上 管 理 3 节我们设计是二级管理体系。

通复制关系实现上下级策 略步。

根据要我们可以实现二级以上管理关系。

例如国电总部实现级 管理平台各省心实现二级管理平台地市实现三级管理架构如下图所 示　 理论上 管理架构层次是无限多但是实际部署我们推荐国电 　架构设计控制三层以下。

其可以减少管理上复杂包括架构设计人员调配 设置权限分级下发设计；另外也避免了更多硬件成支出。

33 策 略 步 与 复 制 复制就是不地或器系统通特别拷贝共享数据程。

终端接入 控制平台策略步复制逻辑上和微软域策略步复制类似它并非简单数据库 复制关系它部包含有周全防止策略冲突处理。

通策略复制与步不地 用户都工作地副上然步他们变更。

终端接入控制平台上策略 复制还可以将管理器上变更步到另数据库上实现冗余备份。

通策略 复制终端接入控制平台能够支持多级管理以及无限终端数量扩展能力从而满足国 电终端节规模不断扩。

3 器 衡　 可以行实现衡和灾难恢复设置无再另行添置相关软硬件设　置。

衡建立现有体系结构上它提供了种廉价有效方法扩展器 带宽和增加吞吐量加强络数据处理能力提高络灵活性和可用性。

它主要完成以 　下任络拥塞问题就近提供实现地理位置无关性 ；用户提供更访 问质量；提高器响应速；提高器及其他利用效率；避免了络关键部位 出现单失效。

可以每地区组织结构组用户创建不器链接列表当客户端接 收到新器列表策略它会从列表通随机算法选择其器进行连 接如连接不上会继续通随机算法选择其余器列别当进行连接直至 连接到某器止如下图所示　 外 还可以定制不器优先级即只有己器列表优先级 所有器全部连接不上动寻优先级二级器列表如下图所示　 35 客 户 端 漫 游 对国电这型企业说员工流动性也是非常。

如员工离开其所 地出差到其他分支机构如 客户端仍然连接其原有器络带宽允 许情况下是不会有太问题是；但是如分支结构较又或者络连接情况不甚理想 和器连接这问题就必须慎重考虑否则或者客户端无法连接其管理其 器或者占用量广域络带宽给业系统使用络带不必要影响。

充分考虑到了型企业员工出差漫游到外地系统设置方便客户端就近 连接到地器组不但提高了连接速也避免和业系统抢占宝贵广域 带宽。

方法是采用 漫游；方法二是动处所切换功能。

像国电这样型企业不但全国都有己分支机构络建设更是走其他 全国前列。

全国建设了己独立 r外各区也建立了己 器和 器客户端可以就近析络域名。

系统建立初可以全国 围使用统域名例如 随各地市 器上绑定域 名和对应地 器 地例如总部和北京地区是共用台 器 总部和北京地区 器有三台（ 节介绍衡） 地分别是 00、00、003管理员可以地 器上设置 对应 地就是 00 、 00 、 003。

当用户电脑启动会首先接受地 器分配 地、关以及地 器 地。

随当 客户端试图连 接 器这台客户端会首先向地 器发起析 域名 请由 器随机分配 地给 客户端。

这样不论用户是否是总部用户 只要终端上 　器指向是地 器就能顺利实现客户端漫游。

样道理各地市 器也分别将 这域名析到地 器 地。

当总部或其它地市电脑漫游到地市就能通地市 　 器顺利连接到地 器。

方法二是采用 终端安全管理系统动处所切换功能。

强 终端安全管 理系统能根据管理员实际要以下条件任选择或者多；条件可以是和 也可以是或 组成判断用户当前所处环境判断。

条件包括以下。

围（包括单 地、子地、 地段、 地围等）　 器 地 器 地 客户端可以析主机名 客户端可以连接到管理器（可以连或者是无法连接）　络连接类型（包括 ■ 任何络 ■ 拨络 ■ 以太 ■ 无线 k V。

V　r　 V　r r V　rl v V R V　vl L V r　L V ）　册表键值 例如管理员指定当用户拿到了 0050 地通以太 连接 器 地是 05则认其漫游到了总部地。

这样任何客 户端如满足上诉条件组合即可认其处总部地区随即分配总部地区 器与其连接。

36 容 灾 与 灾 备 系 统　容灾和灾备系统设计对任何系统都是极其重要尤其是对覆盖全安全 管理系统。

充分考虑到了用户并提供了多种方法供管理员选择。

容灾系统设计分两部分部分是对 　器容灾设计另外是 　台数据库器容灾设计。

器容灾设计 节已详细描述即客户端可以随机连接任何 器组 任 器宕机都不会影响客户端和器通讯。

器优先级设置可以保证极端情况下即使地区所有 全部宕 机地区客户端也可以连接到其他地区 　器。

如下图所示　上图是地区优先级 冗余设计。

上图左部分是优先级 地 器群右边是优先级 异地 器群。

器实现冗余设计数据库冗余设计也要得到管理员样重视。

终端安全管理系统所有数据储存台数据库上包括客户端分组、策略定义、 病毒库以及定期产生日志及报表等等。

所以维护数据库冗余以及灾备系统设置及 就显得更重要了 数据库冗余设计也分两种种是单设置另外种是对多设计。

对单说重要是如何保护其唯数据库。

对这种情况 公司推荐使用 b lr 实现数据库冗余设计 如 V 或者是 如下图所示　对多说情况就会很多。

我们 节谈到了多级管理体系其就有 叫做 概念。

管理系统指是数据库以及连接它 器组。

管理员可以根据实际要不数据库器配置要步容 如下图所示　 上图管理员设置两分支机构策略 组信息 完全和总部步也就是说总 部、 、 　含有完全样 策略 组信息 数据库。

管理员设置两 分支机构容复制 完全和总部步。

总部和两分支机构 　器 只要任向 Lv 获取了新病毒库、主动威胁防