Check Point Software Technologies: Pure Security

您面对的挑战
访问您的企业网络的每一台PC机都会成为一个迅速扩散网络蠕虫、渗透攻击、特洛伊木马、间谍软件和其它漏洞攻击的目标。要阻止这些安全威胁的最新变种，那些被动的、基于签名的技术，如防病毒、入侵探测，不再被人们所信赖。

我们的解决方案
Check Point Integrity™，是在世界最可信赖的个人防火墙ZoneAlarm的基础上设计而成。它可以保护企业网络不被恶意编码或目标攻击渗透。它为每一个网络端点提供主动防御，同时又融合了集中策略管理和执行功能。Integrity使你能够容易地对每一台访问你的网络的PC机制定、管理和执行无与伦比的安全策略，提供完全访问保护。Integrity的保护功能还可恢复企业数据及重要系统的保密性、可靠性和可用性，同时维持IT终端用户的工作效率。而且，可以使用跟其它Check Point安全解决方案相同的NGX管理平台管理Integrity。同一管理使管理员从一个控制台就能制定、配置和部署协调的安全策略，在改善整体企业安全的同时，减少了管理时间和管理复杂程度。Integrity得到了SmartDefense™的支持，后者为Check Point基础安全设施提供最新的超前安全保护。SmartDefense服务为防御和安全策略提供实时更新和配置建议。

主动的端点安全保护
侵害桌面数据安全及随之而来的对业务连续性的干扰每年都给企业造成数十亿美元的损失。Integrity保护企业避免成为这些攻击的受害者。

主动保护
使用Integrity，管理员可在数分钟安装时间内，对PC机定义和部署基本安全策略。这一功能几乎不需要进行配置就可以立即为企业提供桌面防火墙保护。Integrity状态的防火墙技术可以阻止所有未经请求的外来数据流，并使用隐身技术使计算机无法被黑客发现。它还能够让管理员根据网络分区，控制PC机何时以何种方式以及使用什么资源进行沟通。这种网络区域可以遏制蠕虫病毒的爆发并限制应用程序的权限，控制其访问网络资源。

除此之外，利用无需书写规则的“开箱即用”主机入侵防御功能，Integrity保护PC机应用程序和操作系统。在Check Point正申请专利的Malicious Code Protector™技术的基础上，Integrity可瞬时间阻断含有恶意可执行编码的数据传输，并自动停止执行任何探测到的恶意软件。端点也得到Integrity IM Security（即时通讯安全）的保护，免受不安全的即时通讯应用程序攻击。Integrity IM Security是一个可选集成模块，它对信息进行加密，阻断危险的即时通讯。

产品描述
在世界最受信赖的PC机安全套件-ZoneAlarm®防御功能的基础上，Check Point IntegrityTM提供集中管理的端点安全和网络访问控制。

产品特点

1. 状态检测、隐形客户端防火墙；
2. 先进的外出安全威胁保护；
3. 集成反间谍软件；
4. 执行安全策略并自动纠正；
5. 自动化的策略选择；

产品优点

1. 阻止用户身份、口令和其它保密数据被盗；
2. 保护客户敏感信息；
3. 使PC机遵守访问策略，无需端用户参与；
4. 阻断侵害网络的恶意软件攻击；
5. 通过自动化和集中统一管理，最大化减小管理工作；
6. 通过SmartDefenseTM保护网络免受新的威胁攻击；
7. 支持SmartCenterTM和Provider-1®统一管理。

NGX平台为Check Point产品提供统一的安全结构。

（图略）Integrity能够用来定义多种不同角色，只需少量点击鼠标，即可将优先权分配给每一个角色。

对外威胁的保护
Integrity使企业能够防止恶意编码危害企业数据隐私。管理员可选择哪一个PC应用程序可以访问网络，决定如何处理未被识别程序。利用传统的防火墙规则，管理员还可以控制应用行为。Integrity自动创建所有试图访问网络的PC机应用程序目录，可实现快速、有效地识别潜在网络安全漏洞，并提供保护。它还确保已认可程序不被黑客欺骗、篡改或劫持。

Program Advisor是Check Point 提供的一项Smart Defense服务，使管理员能够对大多数应用策略自动做出决定。如果有未被识别程序试图访问网络，Integrity会向Check Point知识库询问该程序是可信赖程序还是恶意软件，然后立即采取最佳策略，或阻断或允许该程序通讯。Integrity还可以自动中断执行任何被Program Advisor识别的恶意代码，Integrity这种独具特色的服务大大减少了维护应用安全所需的资源和时间。同时，它提高了应用策略决断的质量，同时最大化减小终端用户的参与。

集成的防间谍软件功能
作为一种备选的集成模块，Integrity Anti-Spyware可探测并消除间谍软件，保护企业免受因间谍软件破坏PC机性能，盗取或泄漏企业敏感数据、堵塞内部网络、增大帮助台开支而造成的经济损失。根据从世界范围内数百万台PC机上收集的实时数据，Integrity Anti-Spyware能够打败数千种通过互联网传播的间谍软件程序。由于它可以自动与Integrity一起安装并从同一个控制台管理，因而使管理员节省了时间和减少了工作量。详细的日志记录和报告能够对间谍软件发展趋势进行监控，同时可配置和可执行的签名更新确保端点时时都有最新的反间谍软件保护。

保障访问策略执行
在允许任何PC机访问企业网络之前，Integrity可遵循全面的网络访问控制（NAC）策略。这种经实践验证成熟可靠的功能，在提高其它安全工具效率的同时还提供了非常高效的网络保护。在允许一台PC机访问网络之前，Integrity确保PC机运行的是经过升级的防病毒软件并已安装关键补丁和服务包，确保PC机有最新版本的应用程序（如网络浏览器和VPN客户端程序，确保它没有运行任何被禁止的程序并符合其它验证标准。

协同工作
利用Check Point先进的Cooperative Enforcement®技术，Integrity客户端软件评定PC机的NAC策略相符性，并将结果通知网关，随后网关决定允许或阻止该PC机访问网络。对于远程网络访问控制，Integrity还可与Check Point VPN-1®和ConnectraTM网关以及其它供应商（包括思科系统、微软和北电网络）的VPNs协同工作。对于网络内的访问控制，Integrity与Check Point安全网关（如VPN-1 Power和InterSpectTM）以及其它许多供应商的交换机和无线接入点协同工作，以确保只有安全的、符合访问控制策略的PC机有权访问局域网。Integrity支持行业标准802.1x认证，从而能够在多个供应商的网络环境下应用网络访问控制策略，无论是否有Check Point网关。在任何情况下，Integrity 的全部客户锁定（Total Client Lockdown）功能都可以阻止黑客或终端用户修改或禁用客户端软件，以此确保策略遵循的连续性。

同时使用时，这些集成的、集中管理的解决方案可提供全面访问保护（Total Access Protection）。全面访问保护是Check Point全面的、多层次的网络访问控制保护，使企业免受代价不菲的恶意软件感染和保密数据丢失。

可靠的自动修复
如果违反访问策略，比如防病毒程序过期或缺少补丁，Integrity可以从管理服务器上找出更新程序，并将它们自动安装在违反访问策略的端点来进行纠正，而且不影响终端用户的工作。自动化在降低帮助台成本的同时，加速修复过程。另外，在自动安装文档之前，Integrity对其MD5总和进行校验，以确保只有合法的更新程序才会被应用。

策略执行无需客户端软件
直到最近，企业降低承包商、客户和其它客人访问网络风险的能力还很有限。Integrity Clientless SecurityTM通过在外来PC机上执行安全要求来解决这一问题，它无需IT人员在客户端安装软件。这一基于浏览器的解决方案提供会议保密功能，可以禁用试图访问企业基于网络的网关和应用程序的客人和员工端点上的间谍软件。Integrity客户端解决方案执行的反病毒、补丁和其它网络访问规则同样可以在不被企业控制的PC机上执行。Integrity Clientless Security与Check Point的网络安全网关Connectra以及来自Aventail、Juniper Networks和其它提供SSL VPN访问的供应商产品集成在一起，确保了网络资源的安全使用。

Integrity基于客户端和无需客户端的方案一起提供了全面访问保护（Total Access Protection），确保连接到企业网络的每一个端点都符合所有网络访问要求。

灵活容易的管理
Integrity最大程度上减少了管理部署和安全策略的时间和工作量，这样业务可以顺利、安全有效地进行。例如，Integrity管理服务器可以在数分钟内完成安装，还可以将客户端软件安装到本地和远程PC机上，无需现场IT人员或终端用户的参与。利用预定义的最佳策略模板，网络管理员可以立即部署基线安全策略。这一初始策略无需定义复杂的防火墙或应用规则，但却可以大大提高网络安全性。

统一安全管理
利用Check Point NGX统一管理平台，管理员可使用与管理Check Point其它产品相同的SmartCenterTM和Provider-1®解决方案，来管理Integrity端点安全和网络访问控制（NAC）。有了这种管理统一化，就不再需要单独的管理登陆或管理服务器，不仅减少了IT人员的时间、降低了费用和复杂程度，而且还改善了企业网络的整体安全。Integrity端点策略和报告可以在与网络层策略和报告相同的环境下进行管理。通过SmartViewTrackerTM和Eventia ReporterTM可以定制浏览端点数据，这使IT管理员可以看到它们从其它Check Point产品上看到的信息，从而帮助他们进行更容易而更有效的分析。

（上图略）图下文字：Integrity提供可靠的自动纠正功能，可自动安装更新文件，确保符合策略。它通过保证更新文件的完整性来纠正违反策略的端点。

简化策略管理
Integrity为管理员强化和定制满足企业特殊需求的端点安全策略，提供了强有力的工具。当他们在网络、本地和网关之间移动时，可以定义能自动应用于端点的不同策略。Integrity可根据用户IP地址、用户组或角色、网关类型（如VPN、交换机或无线接入点），或者将它们结合在一起来动态分布策略。

Integrity可对大范围用户目录进行自动同步，因而管理员能够轻松维护基于角色的策略。通过与主要的反病毒产品同步来自动更新反病毒执行规则，Integrity还可以节省管理员的时间。 类似地，Integrity的可重复使用策略能够让管理员只需做一次变动就可以在几秒内自动更新所有相关策略并将其应用至客户端。

（下图略）图下文字: 全面访问保护（Total Access Protection）使企业能够保护其所有与网络连接的PC机 – 无需考虑PC机所处位置、所有权和连接方式。

可直接运用的监控和报告
Integrity支持明确的责任分工，还支持基于角色的多层管理基础上的最小特权访问。可以对策略进行版本编号或恢复，亦可以对策略更改进行审核，看管理员是否尽责。Integrity的报告功能可对端点事件从广度和深度上进行分析透视。管理员能够察看一系列可过滤的活动报告。这些报告包括有关程序应用、安全报警最多的用户、违反策略等方面的图片和详细信息。Integrity与SmartCenter报告工具的集成，安全经理因此能够全面了解网络安全活动状况。

集中于分布式管理方案

Integrity 为企业提供了一系列端点安全管理方案。它们相互兼容，可以在同一个企业共存并满足不同的用户需要。比如，Integrity 可以为端点安全策略提供全面、集中的 IT 控制，而这些安全策略对终端用户都是完全透明的。如果企业想在大多用户中实行一致的安全策略，这种管理模型就很理想。或者，可以对 Integrity 客户端进行配置，确保特定用户在连到企业网络后遵守企业策略，而当他们从企业网络断开后又可以控制自己的安全设置。当处于移动状态的员工从企业网断开并需要访问其它网络时，比如客户的局域网或者家庭网络，Integrity 可以为这些用户提供一种直观的用户图形界面（GUI），帮助他们轻松调整以便能使用其它网络的资源，同时又保持了他们计算机的安全状态。

Integrity Desktop是一个具有最小集中管理功能的端点安全设备。终端用户利用它可以对最初由管理员定义的策略配置进行调整。这种解决方案特别适合于那些技术能力很强的终端用户，他们有能力对诸如是否允许某个程序访问网络做出合适的决定。对于没有资源或去许可权的IT部门，如果要进行集中管理端点安全，这也不失为一种好的选择。