Bigfix 与微软及LANDesk的竞争对比Word文件下载.docx
《Bigfix 与微软及LANDesk的竞争对比Word文件下载.docx》由会员分享,可在线阅读,更多相关《Bigfix 与微软及LANDesk的竞争对比Word文件下载.docx(31页珍藏版)》请在冰豆网上搜索。
2、SANSTOP10安全威胁消除
实时更新SANSTOP10安全建议,并报告这些问题在企业网络中的相关性,消除0DAYS安全问题。
二、终端设备安全管理
准入控制机制
强迫终端设备的状态必须完全遵守安全原则和最佳作法后,才取得网络访问能力。
BigFix会在每个终端设备取得完整的网络访问权限之前加以检查,自动确认每个终端设备是否完全遵守规定,然后才让这个终端设备访问企业网络的资源。
BigFix会和领先的个人防火墙和反恶意软件厂商合作,共同执行安全原则。
移动设备安全管理
1、带来带去的笔记本电脑和远端电脑
是终端设备安全最难处理的部分之一,毕竟这些设备要连上各个不同的网络,而且又在重重戒备的企业范围以外,所以受到的威胁当然最大。
Bigfix中的MobileSecurityManager可以延伸BigFix的功能,为在外打拼的笔记本电脑提供预先封装、测试的安全规则。
BigFixCient安装在每部笔记本电脑上,而且一开机就会执行,强迫每部电脑随时遵守管理员制订的安全和系统策略原则,就算是没有网络连线,一样可以发挥功能。
2、灵活动态的网络适应能力
当移动笔记本电脑一但到公司的网路时,BigFixClient就会抓下所有更新的Fixlet,然后自动加以执行,继续坚守捍卫机密的责任,等待下次更新。
这种绝不原地踏步又全自动的程序,可以透过直接网络连接的方式进行,也可以透过广域网进行。
如果管理员愿意,这些客户机甚至可以在连不上企业网络时,直接到病毒软件厂商的网站下载病毒码或补丁程序。
三、安全策略实施管理
网络防火墙管理:
对比客户机防火墙产品
1、管理更集中
Bigfix并不是一款防火墙产品,但却能够对分布在客户机上的防火墙产品进行集中的控制,获取客户机防火墙运行状态,监控和控制其正常运行,避免客户的不当操作造成对客户机和企业网络的安全隐患。
管理员无须奔波于每个客户机监视和调整他们的防火墙。
2、多厂商支持
Bigfix支持Windows自身的防火墙,以及MacAfeeSymantec等诸多厂商的客户端防火墙产品。
反间谍软件管理:
Bigfix支持Spybot/Microsoft/Webroot/McAfee/PestPatrol等各种常见的反间谍软件客户端产品,能够将他们在客户机上分散的部署进行集中化的报告和管理,监控他们的运行,收集他们的日志以及对工作数据库进行提醒式的更新。
客户机安全设定:
1、硬件许可管理
Bigfix可以对客户机硬件进行汇报和清册,管理员可以阻断客户对某些非法设备的使用,诸如移动存储设备,无线网卡等。
保证企业网络的安全性
2、软件和系统设定限制管理
包括软件和系统的自我检测,建立Fixlet消息,自动修复故障的应用程序、安装错误和毁损的补丁程序。
调整系统、针对电脑屏幕保护程序设定、清空回收站等许多功能。
砍掉XX的应用程序、还原飘忽不定的各种设定值、让客户机的各种关键设定变成强制的规定。
四、防病毒机制管理
防病毒软件管理:
对比其他厂商的网络杀毒软件
1、客户端自由选择性,保护现有投资
客户端可自由选择使用的杀毒软件产品,Bigfix支持国际著名的主流杀毒软件产品,NortonAnti-Virus(企业版和个人版)McAfeeVirusScan趋势科技组合国际eTrustInoculateIT。
无须统一采购和要求。
而普通网络杀毒软件的部署首要的就是要求所有的客户端使用相同的产品,企业需要重新采购相关产品,原有投资无法得到保护。
2、精确的带宽控制
利用多层的精确的带宽控制方式,灵活的在复杂网络环境下进行带宽规划,使窄带和远程用户也能在不影响工作的情况下完成杀毒软件更新工作。
而网络杀毒软件的带宽控制能力则视具体的产品而定,没有统一的标准。
有可能应为客户端更新造成网络拥塞影响客户工作。
3、与现有系统的兼容
Bigfix并不是一款杀毒软件产品,客户方如果已经采购了网络杀毒软件产品,Bigfix也不会与现有产品产生冲突,并且可以将网络杀毒软件服务器和客户机的更新工作进行集中管理。
使管理平台更加单一化集中化。
五、即时资产管理
资产管理:
对比手工清册和某些配置扫描软件
1、集中和简单的控制
管理员无须前往每一台客户机,甚至无须通知客户机的用户做任何配合,即可在几分钟内通过Bigfix报表获得资产清册。
可实时查询客户机配置,汇总企业硬件资产,发现非法安装的硬件。
并获得最终的Excel表格。
2、复杂设备平台支持
除了客户计算机以外,Bigfix还能为您提供企业网络环境中其他设备的详细情况,包括路由器,交换机,无线AP,网络打印机等设备清册,哪怕他们并不在Bigfix的控制范围内,只要网络扫描可达,即可获得他们的信息。
3、移动设备支持
到处乱跑的笔记本电脑,往往成为管理员制作设备清册的最大敌人,有了Bigfix,只要笔记本电脑一旦接入网络,就会将最新的配置清单报告上来,即使随后其离开网络,管理员也能获得最后一次接入网络时的配置情况。
4、地点管理
对于网络规模庞大,具备大量扩展网络和远程办公室的企业来说,了解网络中各种设备资产的位置非常重要,Bigfix具有强大的资产定位功能,管理员可以按照需求,通过不同的方式进行资产定位,如主机名、计算机组、IP子网等等。
从而让诸如笔记本电脑类似的移动设备的实时位置也能追踪。
使企业硬件清册更加准确和便于管理。
六、软件部署管理
软件分发管理:
对比微软AD中的组策略软件分发管理
1、灵活方便的软件分发
对任何可安装应用程序进行灵活的分发和卸载,而AD中的组策略只能对符合MSI规范的软件进行分发,非MSI软件的分发相当繁琐。
利用多层的精确的带宽控制方式,灵活的在复杂网络环境下进行带宽规划,使窄带和远程用户也能在不影响工作的情况下完成软件安装程序分发工作。
AD中的组策略采用共享传送的方式,无带宽管理功能,安装过程影响用户工作,在大型和复杂网络上基本没有可用性。
3、部署更容易
无须动则部署复杂的活动目录环境,普通的工作组环境亦可成功运作。
软件控制管理:
对比人工管理和某些桌面管理系统
1、集中快速的汇报
BigFix让管理员立刻得到台式电脑、笔记本电脑和服务器的软软件部署情况,详细状况全都一览无遗。
BigFix还能告诉管理员“现在”全公司安装了哪些软件。
而且哪样软件装在多少台电脑上?
在哪几台电脑上?
全都可以清清楚楚。
方便管理员做出统计和日后的采购决策分析。
2、强大的软件许可管理功能
除了进行应用软件统计外,Bigfix可以告诉管理员真正在用这些应用软件的是哪些电脑。
甚至可以从软件的内部抽取详细资料,包括版本、序号和其他各软件的资料。
正确的软件许可和序列号报表功能,可以让员工不会误触公司规定、政府制订的法律和软件授权合约。
总结:
Bigfix是一种以代理程序为架构的自动辅助安全平台,能够达成手工不可能的任务:
企业网络中的电脑在工作时可以在后台执行这些作业,对于网络性能几乎没有影响,而且能给管理员最浅显易懂的视觉化信息陈列方式。
想要管理全公司所有的笔记本电脑、台式电脑和服务器,都能一览无遗,就算是偶尔才连上网络的移动终端都不会漏掉。
BigFix容易安装使用,也可以顺应管理员做事的方式。
每个BigFix的客户都会有以代理程序为架构的状态管理平台,可以利用企业现有的电脑软硬件设备,提供全套内建功能。
不仅速度快、而且效率高。
部署Bigfix,企业网络的最新状况就能一览无遗,而且还能加以控制,从统一的控制台即时主动找出、检查全公司的安全威胁、安全弱点和安全状态问题,然后加以修正。
一旦安装了BigFix,企业就可以按需扩充自己的BigFix产品授权,用许多附加功能满足特定的状态管理或信息安全系统管理要求。
不需要额外的安装工作,不需要定制新的软件,不需要重新训练工作人员,也不需要添购新硬件。
部署BigFix,就等于是管理员把所有的繁琐管理功能全都集中化,可以即时控制企业计算机的工作状态,并且在出现弱点的地方加以修复。
管理员还可以根据自己制订的安全原则,在正确的电脑上安装正确的补丁软件,一旦成功以后系统就会立刻通知。
所有工作只要几秒或几分钟,再也不是好几个小时、好几天。
BigFix与微软的系统中心配置管理器、赛门铁克的Altiris产品,以及蓝代斯克软件公司,在中端市场上存在竞争。
竞争分析
LANDesk
BigFix
LANDesk单台服务器的可扩展性有限:
LANDesk每台服务器最多可管理6,000台计算机
(双重配置模式——使用单独的应用服务器和数据库服务器).
LANDesk建议每台服务器管理3,000个点。
BigFix每台服务器可管理超过100,000台计算机。
LANDesk的管理不是实时的:
LANDesk的agents执行定时(point-in-time)扫描——它们可以被设定调度计划,但是不是持续的评估本地计算机并执行配置。
BigFix通过独特的agent技术可以提供实时的可视化、检测和配置执行能力,且独立于网络连接性。
部署超过6,000被管理的计算机需要多个“核心(core)”服务器,一个单独的roll
up服务器需要从子“核心”服务器收集
(定期的)数据。
这个数据不是实时的。
在多个“核心”服务器之间执行操作是很困难的。
BigFix每台服务器可管理超过100,000台计算机,并在这个数量级别提供实时可视化和控制操作。
多台服务器可以进行简单的聚合以在更大数量级别上提供可视化和报告。
LANDesk的自身安全防护仅依靠操作系统和数据库级安全。
BigFix的自身安全性建立在更安全的基于PKI技术的安全模型,独立于操作系统和数据库。
LANDesk要求专用的计算机作为分发点(distribution
points)。
BigFix通过平衡已有的桌面机和服务器,使用轻量的中继器结构,最小化安装过程,快速实施,并减少总成本(TCO)。
尽管LANDesk在从服务器到agent的软件部署过程中提供带宽管理功能,但是agent还是直接和中央服务器进行通信,并不通过分发点。
这种方式会导致在大型分布式的网络部署过程中,大量的网络数据流量通过广域网进行传输,造成网络堵塞。
BigFix
agent的上行和下行通信都使用中继器分层结构,可以从实质上减少带宽资源的使用。
部署操作脚本不能动态修改,管理员需要单独生成定制内容来完成LANDesk现有发布以外的内容。
BigFix管理员拥有完全的灵活性来动态的编辑或者重用已有的预打包的内容。
LANDesk使用6个不同的不可修改的端口。
用户不得不在防火墙、路由器等设备上打开所有这些端口,对于已经部署调试好的网络配置是很大的负担,并为管理带来很多潜在的问题。
BigFix的agent只使用一个可配置的TCP/IP端口(默认为52311)。
且具有良好的适应能力,即使网络中部署了防火墙等访问控制设备也不影响系统的正常工作。
LANDesk对被管理的计算机有很高的硬件配置要求:
LANDesk每个点至少要求安装6个agent。
BigFix的agent在每个被管理的计算机上作为一个单一的服务运行,简化管理并将资源占有降到最小。
LANDesk对UNIX/Linux平台的支持很差:
LANDesk
只能检测出UNIX/Linux平台的脆弱性,但是不能分发软件或者补丁。
不同功能对平台的覆盖不一致——补丁修补只对Microsoft和MAC系统有效。
UNIX和Linux平台上的功能限于资产清单扫描和脆弱性扫描。
你无法用LANDesk给UNIX/Linux系统打补丁。
你不能为这些系统分发软件和修改配置。
1
总体说明
企业系统管理套件是
公司研发的业界领先的企业级系统安全配置管理软件——可以为不同规模的用户提供可升级的,灵活的,强大的安全平台和分布式处理能力,实现统一的企业级/行业级计算机系统管理、配置管理和安全管理,从根本上改变计算机网络的管理模式,降低IT管理成本。
无论计算机网络中的系统是服务器还是台式机和笔记本,无论这些设备在网络中的所处的位置和联网方式,都可以通过BigFix
企业管理套件实现全面、快速、高效、安全,可控的管理,全面提升IT治理水平。
2
安全定位
BigFix能够为用户提供可升级的、灵活的、基于代理技术的操作平台和自助式的解决方案,让您实现网络中每台计算机的可视化管理。
网络中的任何系统(包括服务器、台式机及笔记本电脑)不管位于什么位置,使用什么样的操作系统,只要安装了BigFix代理程序,都可以准确了解其违反了哪些安全策略、存在哪些漏洞和安全配置问题,并进行及时的修复。
BES可以让您决定何时及采用什么方式进行修复,保证对修复过程的准确控制,同时可对修复过程进行实时监控。
BigFix定位于:
&
Oslash;
为企业计算机类资产提供全面实时的可视化安全和配置管理。
通过提高基础平台的可靠性、可视性和可控性,在降低运行费用的同时提供更稳定的服务。
满足补丁管理和安全配置的服务等级要求。
无论计算机系统何时何地,以何种方式接入网络,在统一的平台上对分布式计算类资产进行管理,包括移动计算机和远程计算机。
BES可以带给用户多样化的解决方案,包括:
配置管理
软件分发,实时软硬件统计,配置发现和控制,License及使用状况跟踪和报告,配置策略标准化,未被BES系统管理的计算机及网络资产的发现和统一管理。
补丁管理
使用经过测试的,封装好的补丁程序实现Windows,Linux,UNIX及Macintosh系统的补丁管理。
漏洞管理
发现并自助修复SANS10大漏洞、Window系统注册表漏洞及其他安全漏洞,实现系统安全策略的统一管理。
终端安全管理
可分发,管理客户端防病毒软件(包括病毒定义升级文件)、个人防火墙及反间谍软件,并汇总其使用情况。
网络准入控制
实现基于系统安全状况的网络准入控制,自动隔离不符合安全标准的系统,修复完毕后恢复网络访问。
3
产品功能描述
BES企业管理套件提供多种系统安全及配置管理功能,所有功能可以通过模块化形式灵活集成到解决方案中,无需添加新的硬件设备和重新进行软件部署。
管理员只需将新的License文件由控制台添加到BES服务器中,则服务器会激活相应功能,将对应的安全策略部署到所有被BES系统管理的计算机上自动应用。
BES企业系统管理套件主要包含配置管理、补丁管理、漏洞管理、防病毒软件客户端管理、个人防火墙管理及反间谍软件客户端管理等功能模块。
3.1
3.1.1资产管理
使用BES可以快速高效的跟踪IT资产,自动汇总网络中所有服务器、台式机和笔记本的软硬件配置信息,以便管理人员迅速确认系统为谁所有,谁在使用,系统中安装并运行了哪些程序,并是否符合组织标准操作环境。
BES代理程序可以通过多种方式如:
WMI,DMI,BIOS,Windows注册表,
文件系统,
安装的程序及服务,
正在运行的程序及服务,
已登录的用户,Active
Directory和网络设置等获取被管理的系统上的全面信息,这些信息被提交给管理员进行进一步分析。
的资产管理功能可以使用户:
从根本上缩短企业用于实现IT资产管理统计的时间——实时汇总,更少的跟踪,更多的分析
快速掌握所有与被管理的计算机资产相关的信息
全面准确地评估企业网中成千上万台计算机,依据各自的安全状况实现及时、可控的修复
高效地计划操作系统迁移和IT产品的购买预算——通过高效、合理的分配减少时间和资源的消耗
BigFix还可以为用户提供全面细致的报告,通过集中的控制台帮助客户跟踪想了解的信息并按照需要的格式汇总。
通过开放的数据库及API接口,BigFix
可以实现软硬件资产的可视化管理,为客户已有的资产管理解决方案提供及时准确的信息。
3.1.2软件分发
BES的软件分发功能可以完美的解决动态的网络环境中繁杂的应用软件及文件的部署和分发问题。
BES为用户提供强大的软件分发和管理能力,使用户可以为网络中成千上万台服务器、台式机和笔记本电脑实现应用软件、补丁程序、文档及其他软件的自动化部署。
通过强大的软件分发向导,BES可以立即开始、在制定时刻执行或依据策略完成软件的部署,同时不间断地对系统生命周期进行管理。
BigFix强大的软件分发能力可以:
保证应用软件以可靠和高效的方式分发、安装和维护
自动实现企业级大规模的应用软件分发和安装
优化网络效率,大幅减少分发操作消耗的网络带宽
提高下载的可靠性,减少由于网络连接不可靠或连接中断给用户生产力带来的影响
无论是软件分发或部署,
都可以通过层次化的结构、调度计划部署及带宽限制等功能有效地分散网络负载。
BigFix成熟的带宽管理功能支持断点续传及并行下载,可以根据系统的位置和连接方式限制执行软件部署、升级和配置变更等任务时的带宽消耗。
3.1.3资产发现
网络中游离的系统(没有安装BigFix代理且不在活动目录中或任何已知位置的计算机和路由器、交换机、打印机等无法安装代理的网络设备)也应当被识别以便于进行跟踪和维护。
BES
可以在网络中指定“扫描点”,这些扫描点会扫描网段并将扫描结果发送给中央BES数据库。
扫描点可以发现游离系统的主机名、IP地址、OS、MAC地址和DNS等相关信息。
资产发现功能充分利用BES特有的分布式结构,具备以下优点:
提供企业范围内游离设备的可见性——可指定网络中任何一台安装了BES代理的计算机作为扫描点。
这允许扫描可在数据中心、总公司甚至异地办公室进行。
此外,可将扫描点部署在以前无法实现远程扫描的区域如DMZ或被防火墙保护的区域执行扫描,而不必为实现远程扫描而打开相应防火墙端口,从而影响网络安全。
快速并行扫描——多个子网可以同时扫描。
因为扫描在本地子网执行而不是通过慢速的广域网连接,因此可以快速完成。
最小化广域网资源的占用——因为扫描只在本地快速局域网执行,因此可节省有限的广域网资源。
当扫描完成后,报告经过压缩发送到中央数据库以备查询。
及时的资产信息发现——由扫描点发起的扫描只对网络造成极小的影响,因此可以经常运行,而不需要间隔一段时间从网络中一点扫描整个网络。
扫描可以每天执行多次,以及时发现未被BES管理的网络资产。
3.1.4其他功能
授权管理员可以指导被管理系统上的BES
代理服务执行灵活的修复操作,包括执行程序或脚本,启动/停止服务,修改注册表,修改文件等等,以便于安装、升级或卸载软件、设备驱动程序和文件,解决安装及设置冲突,调整终端性能,强制组织策略配置实现。
其他的配置管理功能包括:
自身健康检查
支持BES系统自身的健康检查。
可定制Fixlet
消息自动修复被破坏的程序,不正确的安装和不成功的升级。
终端系统性能及健康检查
确保被BES系统管理的系统处于最佳工作状态,可轻松的完成包括清空回收站、磁盘碎片整理和调节显卡设置等操作。
策略符合性检查
禁止非授权软件的运行,中断非法进程,恢复被修改的配置,确保网络中每台服务器、台式机和笔记本都符合组织的安全策略。
发现
存档
获取被管理系统的指定文件,监控并存档实时短消息程序日志、防病毒软件日志,个人防火墙日志等文件。
定制解决方案
Configuration
Manager
包括强大的定制工具BigFix
Development
Environment
(BDE),可以让用户轻松的编写Fixlet
内容,解决特殊的安全和配置管理问题,或者通过BigFix的专业服务实现客户化定制解决方案。
3.2
BES系统可以使管理员及时将补丁程序自动分发到网络中所有的计算机进行安装。
BES可以使管理员以灵活的方式安排补丁分发:
ü
立即打补丁
按照指定的日期或日期范围
按照指定的时间或时间范围
根据登录用户的状态—已登录,
没有登录,
不管是否登录
根据机器的属性进行分发(包括操作系统、版本号,地址等)
所有的补丁操作可以在后台完成而不需终端用户干预。
管理员也可以选择在实际打补丁前提示用户,并让用户选择是否推迟、取消或不安装相应的补丁程序。
如果补丁在指定的最终期限内没有安装,管理员可强制终端安装该补丁。
此外,通过计划任务可使管理员实现基于策略的自动补丁管理——立即或在某一时刻——为网络中所有被管理的系统或存在某种漏洞的部分系统打补丁。
系统支持同时部署多个补丁/修复程序到多台计算机。
当多个修复程序要求修改同一个.dll文件时,可自动利用Microsoft
QChain功能确保系统启动后只应用最新版本的文件。
可针对一台或一组计算机实现补丁程序的卸载或反安装。
可定义策略当补丁/修复程序没有完全安装
升级会员 