多维终端安全管理系统
Mutil-dimensional Security Endpoint management Platform
V6.0.1808
技术白皮书
目 录
随着信息化的不断发展,电子政务、电子商务等对于网络系统的依赖性越来越强,内网(专网)的安全管理与建设一直都是信息化整体建设的重中之重,但由于业务终端位置分散、易传播、相对独立等因素影响,内网关键数据或资源很容易被泄露、窃取、篡改、冒充和破坏,轻则影响业务系统稳定、办公中断,重则发生数据泄密导致严重的社会问题,甚至影响国家安全。
虽然各单位已经制定了相应的管理制度,并部署实施一些相关系统,但由于某些系统不能从“客户端安装-安全管理-行为审计-策略管理”几个环节形成一套有效的综合管理平台,导致如下方面存在漏洞:
(一) 不能真正有效的进行入网控制,导致:
l 非法设备入网,试图窃取内部信息;
l 合法设备带毒入网,在内网上不断传播病毒;
l 对存在缺陷的终端无法及时提醒、隔离,易成为外部威胁的跳板;
(二) 传统桌面管理需求:
l 如何及时发现桌面设备的系统漏洞并最快自动分发补丁;
l 如何实时评估终端健康状态,满足企业管理要求(如安装反病毒软件等);
l 如何确保终端用户行为受控,并能做到事先预防、事中控制和事后审计;
l 如何快速分发软件,快速批量更改系统设置;
l 如何做到快速的远程支持,不到现场,胜似现场;
(三) 移动介质管理需求:
l 如何对移动介质进行有效管理,防止 U 盘交叉使用、防止 U 盘摆渡木马和病毒传播、杜绝 U 盘泄密;
(四) 全面资产管理需求:
l 如何实时了解全网的软硬件清单,并实时更新;
l 如何从物资采购接收入库开始,对接入网络、日常维护、一直到报废的整个资产的生命周期进行跟踪管理;
l 如何将资产管理涵盖资产领用、批准接入网络、资产维修、资产变更、资产借用、资产报废等资产管理的全过程。
等级保护明确规定,从技术和管理两个方面入手共同完成信息系统的安全保护。与内网安全相关主要涵盖了边界完整性检查、主机身份鉴别、访问控制、安全审计、资产管理、介质管理、监控管理、恶意代码防范和系统安全管理等方面。
按萨班斯法案信息安全提出了四项 IT 解决方案:一是针对网络准入控制;二是针对补丁管理;三是针对配置管理;四是终端所遵从的一些检查。
因此,部署内网终端安全管理平台是当前安全管理的迫切要求!
如何应对当前终端安全面临的诸多困扰?显然局部的、简单的、被动的防护不足以解决问题,要想解决终端安全问题,一个好的思路是建设可信终端安全保障平台,全面管理终端安全。终端安全保障平台应该由资产管理中心、补丁管理中心、文件分发中心、安全策略中心、强制认证中心、行为监控中心、病毒防护中心、安全保护中心等模块组成,并且能够同其他保护网络边界和网络基础设施的网络安全产品和技术结合起来,共同组成信息安全保障体系,提升组织的信息安全保障能力,对抗来自内部和外部的威胁。
满足一体化得从“客户端安装-安全管理-行为审计-策略管理”的全周期管理原则入手,内网管理涵盖了从终端入网、内网行为可控、安全策略部署等整个业务流程,不能有疏漏。
在功能上,不仅提供传统桌面管理功能,还应在最重要的几部分,如安全准入、移动存储和资产管理、安全准入、移动存储、资产管理、安全审计等方面,提供真正稳定、可靠和有效的功能模块。
系统是一个整体平台,支持大规模部署,多级级联,安全策略灵活设置;系统业务功能模块独立设计,使得功能扩展易于实现;在性能上,平台核心稳定可靠,客户端应具有较好的兼容性和稳定性;
要建设好终端安全管理的项目,一定需要有一个相关项目实施经验丰富的,具有良好风险管理的专业技术服务团队支撑。甚至可以说“技术服务比产品更重要”。在项目建设前期,需要能够规划出适合用户终端安全管理解决方案。从安全、管理、项目建设成本、风险控制等方面都要有详细的计划。在项目实施时,需要有一套完整的项目建设计划与配套的项目管理制度。在项目运行后,一定要有及时响应的客服体系。
拥有一支具备10年以上终端安全管理项目实施和客户服务经验的队伍,具备多个大型政府行业、金融行业、运营商和上市集团的项目实施经验,熟悉政府单位及行业的终端管理要求,能有效保障项目的成功实施和可靠运营。
多维终端安全管理平台(Mutil-dimensional Security Endpoint management Platform,简称:MSEP)是一款基于安全策略的终端安全管理产品,采用了开放式B/S与C/S相互结合的体系结构和标准化数据通讯方式,对局域网内部的网络安全行为进行全面监管,检测并保障桌面系统的安全。多维终端安全管理系统包括安全控制中心和客户端两部分。
l 控制中心
安全控制中心是多维终端安全管理系统的核心,部署在服务器端,主要包括安全管控和安全事件收集告警两大功能。安全控制中心采用 B/S 架构,管理员可以随时随地的通过浏览器打开访问,对终端进行管理和控制。主要有分组管理、策略制定下发、全网健康状况监测、统一漏洞修复、网络流量管理、终端软硬件资产管理等。安全此外安全控制中心还提供了系统运维的基础服务,如:远程协助、终端升级服务、数据服务、通讯服务等。安全事件收集告警,通过管控中心,管理员可以了解全网终端的告警信息,通过报表分析,掌握全网威胁状况。
l 客户端
客户端部署在需要被保护的终端或服务器上,执行最终的策略执行、漏洞修复、安全防护等安全操作。并与安全控制中心通信,提供控制中心管理所需的相关安全告警信息。
MSEP整体架构图
1、 终端发现功能。多维终端安全管理系统具有强大的终端发现功能,管理员可以通过定义网络 IP 段分组, 对指定的网络分组进行周期性地发现(采用多协议、多机制方式)与统计网络中的终端数量及类型。管理员通过此功能,了解全网终端数量和客户端的安装量,为企业终端安全管理运维提供有效的参考,并提供网络设备拓扑图,直观展现整个网络状况
2、 终端管理功能。多维终端安全管理系统对单台终端具有全面的安全运维管理功能,包含终端的硬件资产管理、软件资产管理、系统服务管理、进程管理、账号管理、网络管理、系统事件管理、补丁管理等功能。
3、 远程协助方式。管理员计算机与被管理计算机采用专用tcp端口进行直接连接,远程协助时不占用服务器端口资源。远程协助即支持协助端主动连接被协助端也支持被动反向连接,同时也支持通过服务器中转方式连接协助。
4、 远程协助功能。支持实时查看远端计算机的操作进程、服务、系统日志等信息。支持对远端计算机进行关机、重启、断网等管理。对远端计算机远程查看和远程控制,可根据管理需要灵活配置是否强制管理还是授权管理。支持对远端计算机进行文件级远程管理,可在用户无感知的情况下远程创建、重命名、拷贝、删除文件。远程查看、远程控制可以根据管理需要和网络状况,选择、配置适合管理员的窗口分辨率、显示比例、色彩、鼠标按键、光标等。权限管理员支持限制操作管理员远程控制的权限,是否允许强制查看、控制和文件传输,允许指定必须申请管理的终端列表。
5、 软件管理功能。多维终端安全管理系统不但能够统计全网终端的软件部署情况, 还可以根据企业不同部门进行终端分组,并对不同分组分发不同软件,实现远程部署。支持查询全网终端的软件安装情况以及终端进程信息,帮助管理员及时发现违规软件及可疑应用。
6、 IP资源管理功能。管理员可通过矩阵图的方式,自动进行网内IP地址池的展示,一目了然查看当前IP地址分配状况,IP历史使用状况。将IP作为企业资产进行管理,方便进行IP地址使用的规划和IP事件的追溯。
多维终端安全策略主要包括违规预警,敏感信息检查,安全基线,安全登录,USB接入管理,安全防护,强制行为控制和资产管理8种策略项,其中每项策略里面包含各种小项。通过配置策略内容和选择违规处理方式,全方位保证内网终端安全。
违规预警主要通过监控内网终端的违规行为,如果出现违规行为则采取对应告警措施,保证内网安全。
1、 违规外联。能够检测出终端通过代理和违规上网等方式产生的外联行为并进行报警阻断,在内网设备带出外网的情况下同样能够检测出上述外联行为并进行违规行为上报和阻断。
2、 进程检查。检查当前计算机是否运行了不允许存在的进程,如果存在以上情况,给予相应处理。能够统计网内运行的所有进程,支持设置黑白名单指定禁止或允许的进程,支持进程MD5值识别方式,防止更改或伪造进程。能够对指定进程的运行情况进行跟踪并以图表方式展现分析结果。
3、 网络连接检查。检查当前计算机是否存在网络连接行为,或者双网卡,拨号上网,无线上网等情况,如果存在以上情况,给予相应处理
4、 违规修改系统时间。检测客户端修改计算机系统时间。
5、 流量控制检查。可对上传、下载流量、总流量、发包频率、TCP连接数、UDP监听端口数进行控制,及时发现异常的网络流量并报警。
6、 私设网站检查。检查当前计算机是否访问了违规网站,如果存在以上情况,给予相应处理。
7、 PC资源使用异常。资源使用异常发现与报警。
8、 重要进程异常检查。检查客户机重要进程是否异常,防止恶意程序对进行破坏。
对终端电脑上的文件进行检查,通过配置密级标识关键字,防止以信息化数据的形式存在的机密或秘密泄漏。
管理者对终端进行最基础的安全状态检查和修复,使终端满足安全基线的要求。
可支持的检查项:
1、 密码策略设置检查。对终端用户密码复杂度的最小值和留存期进行检查。
2、 必须安装软件检查。检查终端必须安装的软件,并提供在线修复和网站修复方式。
3、 禁止安装软件检查。终止禁止终端安全的软件。
4、 屏幕保护检查。可定义屏幕保护时间,是否使用恢复密码;
5、 系统服务检查。对终端未许可服务是否启动进行检查,并进行修复;
6、 弱口令账户检查。通过口令字典检查系统是否存在弱口令账户。对弱口令可进行密码强制过期和修改为指定密码的自动修复;
7、 系统共享资源检查。检查系统是否存在文件共享,并进行修复;
8、 系统补丁检查。可选择严重、重要、中等和需要进行补丁自动安装。支持手动、自动升级补丁库,可设置通过代理服务器连接补丁服务器。可导出未下载的补丁列表,并提供下载连接,方便手动下载。
9、 杀毒软件检查。支持18种杀毒软件的检查。能够区分版本不合规、病毒库不合规。提供自动下载程序修复和网址引导修复。
10、 计算机名检查。检测目标终端的计算机名称是否符合管理员要求;
11、 域用户检查。域是一个有安全边界的计算机集合,在同一个域中的计算机彼此之间已经建立了信任关系,在域内访问其他机器,不再需要被访问机器的许可了。
MSEP能够与用户已有的第三方认证系统或业务系统、办公系统(uKey、AD、LDAP、EMAIL、OA等)相结合实现Windows系统安全登录与身份认证(替代Windows本地用户/密码认证模式),保证每个用户在登录时具有证明其身份的唯一标志,从而使系统通过这个惟一标志验证用户身份合法性。
1、 身份统一鉴别。MSEP能够与认证系统深度结合实现Windows系统安全登录与身份认证(替代Windows本地用户/密码认证模式)
2、 第三方联动认证。MSEP支持与RADIUS、LDAP、STMP/POP等采用标准协议的系统做深度联动认证,同时支持手机短信、CA(USB-Key)、AD域服务器、邮件服务器等多种第三方系统的联动工作
对终端使用USB存储设备进行管理,防止通过USB存储设备导致的泄密和威胁引入的问题。
1、 U盘文件审计。用户可以对U盘文件的操作记录进行审计,如:新建、修改、移动文件等操作。
2、 USB插拔记录。可以对不同的USB存储设备指定插拔审计记录;
3、 USB使用控制。可对指定的USB存储设备进行只读、放行、禁止使用的控制。制定USB存储设备具有相当的细腻度,包括:全部、已注册、未注册、指定USB、指定类型、未知类型。
4、 U盘安全防护策略。U盘的安全至关重要,U盘安全防护策略主要是禁止向U盘、移动硬盘写入exe、com、scr、msi、bat等可执行文件,保护U盘、移动硬盘的安全使用。
对终端的网络设置进行固定,防止因此带来的终端网络访问故障。
1、 网卡绑定检查。可对终端网卡的IP、DNS地址以及网卡ID进行绑定,当发现修改后可以自动进行恢复,防止IP设置错误导致的网络故障的发生。
2、 终端访问控制。未安装客户端的外网终端无法访问内网安装了客户端的终端。
对终端的操作行为进行控制,避免数据泄露和其他风险。
1、 防火墙策略。建立主机防火墙,对终端远程访问的IP、端口、协议进行放行或禁止;
2、 外设使用控制。对终端的各种外设进行禁用,包括:USB端口、光驱、软驱、打印机、调制解调器、串行口、并行口、1394、红外、蓝牙、PCMCIA卡;
3、 网站访问控制。对网站禁止或允许访问;
4、 文件访问控制。禁止指定文件进行新建、修改、移动、改名、彻底删除、放入回收站、还原、清空操作;
5、 打印控制。可监控终端用户的文档打印行为,能够实时阻断用户的非法打印行为和动作。
6、 桌面图片管理。支持替换终端桌面背景图片;支持替换终端屏幕保护程序;支持替换终端开机背景图片;
7、 组策略管理。支持基于组策略的操作系统组件功能,如:禁用控制面板、禁止添加打印机、禁用任务管理器、阻止更改桌面背景、禁用注册表编辑器、阻止访问命令提示符等。支持基于自定义工具定制组策略模板配置,可自动录制计算机的组策略配置信息,并可批量下发和批量执行。组策略模板执行的内容,在策略取消或停止后能自动回滚到执行前的配置状态。
可对采集到的系统硬件和软件进行集中展示,对不同硬件或软件的数量,使用的终端,形成资产台账
1、 硬件变动审计。检查当前计算机的硬件是否发生增加、删除、变动等资产异常,如果存在以上情况,给予相应处理。
2、 软件使用控制。支持对终端应用进行控制管理,支持建立软件黑名单和白名单,强制终端只能在管理策略允许的范围内安装应用。
3、 软件使用审计。对终端计算机上的软件使用行为进行审计。
4、 软件变动审计。检查当前计算机所配置的软件是否发生增加、删除等变动情况,如果存在以上情况,给予相应处理。
随着信息安全技术和理念的发展,安全监控的关注点已经从设备转向对于设备使用者的行为,用户对于设备使用人行为审计和行为控制的需求越来越明显,多维终端安全管理系统通过技术手段使各种管理条例落地,增强用户的安全和保密意识,保护内部的信息不外泄。所审计的内容只是跟内网安全合规管理相关的信息,不对涉及终端用户的个人隐私信息,达到合规管理的审计的要求
1、 文件审计。对终端文件的新建、修改、移动、改名、彻底删除、放入回收站、还原、清空;操作进行审计。
2、 网站审计。对指定的网站访问进行审计。
3、 邮件审计。对SMTP、POP3方式的邮件进行邮件审计,包括发送地址,接收地址和邮件内容。
4、 协议审计。可对终端上的HTTP、HTTPS、FTP、SMTP、DHCP、 POP3等常见的网络协议连接状态进行监控和审计。
5、 进程审计。对终端系统上当前运行的进程及状态进行监控和审计。
6、 刻录审计。针对终端用户的光盘刻录行为用于审计、记录。
7、 打印审计。针对终端用户的文档打印行为用于审计、记录。
8、 服务审计。对终端系统上相关服务及启用、停止等状态进行监控和审计。
9、 共享审计。对终端系统上的共享目录进行监控和审计。
10、 账户审计。对终端上的用户账户进行监控和审计
11、 启动项审计。对终端上的开机启动项进行监控和审计,监控的内容包括启动项的添加、删除和修改等操作。
12、 注册表。监控和审计指定目录下的注册表项,监控的内容包括注册表项的添加、删除和修改等操作。
13、 截屏审计。用于定时保存用户桌面截图。可通过判断窗口标题进行选择性截图。最后可以通过设置,将截图记录保存至第三方ftp等设备中。
14、 流量审计。周期性监控网络流量使用情况
多维终端安全管理系统,能够实现对移动存储设备的灵活管控,保证终端与移动存储介质进行数据交换和共享过程中的信息安全要求。移动存储管理包括移动存储介质的身份注册、网内终端授权管理和终端设备例外。
移动存储管理解决了用户在安全管控要求下使用移动存储介质,实现数据共享和数据交换的迫切需求。移动存储管理支持分组管理,给予不同的移动存储介质相应的授权使用范围和读写权限,同时支持设备状态的追踪与管理。
1、 设备注册。在管理控制中心启用移动存储管理中的设备注册模块,将要注册的移动存储介质(例如 U 盘、移动硬盘等)通过 USB 接口接入电脑,点击注册,多维将弹出认证提示框,并自动识别出该移动存储设备,管理员按照要求填写移动存储介质相关归属信息并设定该移动存储介质的相应密级后,经管理员对该移动存储介质确认和授权后,该移动存储设备才可在已授权终端上使用。
2、 设备授权。注册过的移动存储介质在相应授权计算机上可以进行相应读写操作,移动存储设备授权支持只读、读写的分级授权,更灵活的满足了用户对于移动存储设备授权要求;同时可直观地查看指定组或计算机的可用设备数量,便于用户进行日常的统计与维护工作。
3、 设备例外。可对部分包含存储功能的外设进行例外处理,例外后的设备将可在终端上进行使用。可以对例外设备进行自定义管理。
终端入网强制合规组件主要为企事业单位解决入网安全合规性要求,实现用户和设备的网络实名制认证管理、网络边界安全防护管理、核心业务访问准入等问题。用于防止企业网络资源不受设备接入所引起的各种威胁,在有效管理用户接入网络行为的同时,也达到了规范化地管理计算机终端的目的。
产品具备从接入发现、用户注册、认证授权、安全检查、隔离修复、访问控制 “一站式” 的全部入网控制流程。并且支持多种认证技术,多因素认证凭证,多条件绑定机制,支持混合认证模式,多层防护体系,适应各种复杂网络环境。产品具备可扩展多种第三方认证源, 保证认证入网的灵活性。系统提出三不原则,即:不升级用户网络、不改变网络结构、不造成单点故障。最大化的支持企业内部网络准入控制需求,从而使内部网络管理变得安全、透明、可控,达到信息安全管理要求。
Web Portal(应用准入)模块是保护网络核心区域不受外部非法访问的准入方案,采用旁路部署到核心交换中,通过监听保护区域的网络数据流,并做连接跟踪,对企业内网数据流进行合法性检查并对非法连接进行阻断和控制。
旁路镜像网络核心交换中的流量,根据 IP 过滤出保护区区域中的访问流量,并跟踪连接, 解析应用层协议,通过对 http 协议进行重定向到预定页面,实现对非法网络连接进行阻断。同时,安装了代理的终端通过开放端口,发送心跳包给服务器,并上报终端相关信息,包括MAC、IP、主机名等,服务器以此信息作为合法性验证条件,当安装了多维客户端的终端并通过安全基线检查,则直接信任不阻断。
802.1X 认证模块是通过标准 802.1x 协议,在网络接入层做准入认证、根据认证授权情况确定是否能访问网络,802.1X 认证可提供端口级的准入认证方案。
802.1X 的认证的最终目的就是确定交换机端口是否可用,对于一个端口,如果认证成功那么就“打开”这个端口,允许文所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许 802.1X 的认证报文 EAPOL(Extensible Authentication Protocol over LAN)通过。
多维终端终端安全管理系统支持对全网资产,软件使用情况,服务器信息,违规事件,违规部门和个人,认证日志等信息进行报表统计。能够从终端、全网、分组等多维度,以及图表、数据等多视图角度进行统计与展现,也能按周、月、季、年的时间维度进行趋势分析,同时支持报表的导出及打印,帮助管理员对日常安全防护、安全运维工作进行分析评估。
l 终端违规列表
利用报表系统,MSEP能够帮助管理者统计出全网终端违规状况
l 终端安检结果
记录终端每次安检结果,帮助管理者评估终端安全状态
l 终端安全态势评估
管理者通过自定义安全策略,从多方面评估终端安全状况;支持报表导出。
l 安全态势趋势统计
l 违规趋势统计
l 违规类型统计
多维终端安全管理系统的核心价值在于对终端安全的防护与管理。自身经过多年的投入与积累,沉淀下了多项针对终端安全管理的技术(比如对终端进行系统安全性检查)这些技术在整个安全行业领域内都具有独创性与先进性,领先其他欧美企业的同类产品。目前在信息安全领域MSEP已累计为国内 10万家企事业单位、近 500 万终端提供了安全防护及终端管理。
终端安全管理平台是整个终端安全管理的中枢神经。策略、报警、管理等均在此进行,一旦发生故障,轻则安全策略无法正常工作,严重的可能导致终端故障甚至因此发生安全事故。因此多维终端安全管理平台采用稳定的专用硬件架构,在平均无故障时间(Mean Time Between Failures,简称MTBF)、工作稳定性等方面都有出色的表现。
对于底层的操作系统,采用了自身专用的INFOOS系统,该系统是经过裁剪和优化的操作系统,能够更好地稳定运行,自身漏洞也大幅减少。
在实施终端安全管理系统时,客户端的安装率、安装便捷度是项目成功的重要因素。可以说,客户端安装好了,终端安全管理项目就成功了一大半。传统的终端安全管理系统采用各种阻断的方法强制客户进行安装,造成用户抵制,流程不友好,往往导致项目失败。
多维终端安全管理系统平台借鉴多年的准入控制经验和技术,采用了多样的用户引导安装方式,可以极大的降低部署的难度。根据用户的网络环境可以采用的准入技术包括:镜像技术、透明网桥、策略路由。根据用户的管理方法,可以选择仅在WEB访问进行安装引导。而且整个过程自动化、可定制,部署难度降低一倍以上。
通过多维终端安全管理平台的安全检查与加固,系统管理员可以对全网的终端设备建立各种安全检查与评估任务,实时的修复目前网内设备的风险状况。系统支持违规预警、敏感信息检查、安全基线、安全登录、USB接入管理、安全防护、强制行为控制、行为审计、资产管理9大安全性检查模块,近30项各种安全检查和控制项。
系统可以支持业界最丰富的终端安全修复方式。可以选择:断网、锁屏、重启、关机、终端提示信息、自动修复、截屏等方式。支持设定多个延时后的处理方式,如:1分钟、2分钟直至24小时。
随着信息安全技术和理念的发展,安全监控的关注点已经从设备转向对于设备使用者的行为,用户对于设备使用人行为审计和行为控制的需求越来越明显,MSEP通过技术手段使各种管理条例落地,增强用户的安全和保密意识,保护内部的信息不外泄。所审计的内容只是跟内网安全合规管理相关的信息,不对涉及终端用户的个人隐私信息,达到合规管理的审计的要求。
公司员工随意滥操作、误操作甚至非法操作,不但给管理员的日常维护工作带来极大的工作负担,更可能引发严重的泄密安全事故。因此管理员可以将行政层面的员工规范通过多维终端安全管理平台完全融合,通过多维终端安全管理平台细粒度的管理策略从技术层面得到有效支撑,这样不但可以合理分配员工的上网时间,规范员工行为、防止信息泄密,更能让管理员做到事前预防、事中控制、事后审计,真正做到信息安全的全局把控。
终端防护不仅对当前终端安全提供保障,还需要建立一套健康度评估体系,让管理员知道当前终端的健康情况,从而实现快速预警和加强管理的目的。MSEP支持对终端各种策略执行情况进行统计,通过统计终端所有违规项,分析违规记录趋势,并对内网等级安全进行打分,从多维度评价内网终端运行情况(按照国家标准和企业自定义标准)。能够从终端、全网、部门等多维度,以及图表、数据等多视图角度进行统计与展现,也能按周、月、季、年的时间维度进行趋势分析,同时支持报表的导出及打印,帮助管理员对终端日常安全防护、安全运维工作进行分析评估。
多维终端安全管理平台可以实现至少3级的级联部署。级联部署后,可以充分体现层次化的管理的思想。上级可以配置级联的统一安全策略,下级执行该策略。同时下级的各种违规、报警等信息将会逐级上报。真正形成上传下达、上下联动的管理模式。
MSEP可以支持设备采用集群的方式进行系统容量扩展。即采用两台设备形成一个设备组,该设备组可以将原设备的系统负载容量提升1倍。同时两台设备的管理页面为同一个,不需要登录到两台设备进行管理。
当用户的网络管理容量需要进行扩展时,可以直接采购1台同样的设备进行叠加,系统容量可以瞬间提升1倍,采用这种方式可以有效的保护用户原有的投资。
MSEP提供了多种保障机制确保系统在运行时的高可靠性。系统提供了双机热备(HA)机制,实时进行系统各种信息的自动同步,在发生故障时能够实现秒级的切换。还可以实现群集(Cluster)部署。将两台以上的ASM组成一个群集组,共同进行负载分担。当一个MSEP出现故障时其他MSEP可以迅速的接替工作。
对单一区域进行终端安全管理,部署一台MSEP,全网终端连接到MSEP进行统一管理,支持超过10万台终端点数。
由于终端安全管理系统全面保障终端安全,一旦出现故障严重影响用户正常工作。因此对于一些对可用性要求较高的用户,可以采用两台MSEP实现高可用性部署。
将两台MSEP设备形成双机热备系统。可以实现故障转移、设备热插拔等高可用性。
当机构较分散时,可以通过级联的方式实现多区域部署,级联的MSEP可以连接到中心的MSEP上,实现级联的数据上报、策略下达。
