-實(shí)施方案模板-天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)v6695Patch66950000

1、.：.；天珣內(nèi)網(wǎng)平安風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)實(shí)施方案VPatch66950000啟明星辰Beijing Venustech Cybervision Co., Ltd.2021 年 10月目錄 TOC o 1-3 h z u HYPERLINK l _Toc339556590 1系統(tǒng)實(shí)施原那么 系統(tǒng)實(shí)施原那么最大限制降低對(duì)用戶的影響部署終端平安管理系統(tǒng)的根本目的，是借助系統(tǒng)所提供的準(zhǔn)入控制的技術(shù)手段，確保接入的電腦是合法的和符合XX研討院平安戰(zhàn)略要求的，最大限制降低不平安的客戶端電腦對(duì)XX研討院網(wǎng)絡(luò)和信息資源帶來(lái)的風(fēng)險(xiǎn)和要挾，保證XX研討院每一個(gè)用戶的電腦一直處于良好的運(yùn)轉(zhuǎn)形狀，大大降低缺點(diǎn)發(fā)生概率，

2、從而保證每個(gè)用戶都可以完全專注在本人的本職業(yè)務(wù)任務(wù)，并大大提高每一個(gè)用戶的任務(wù)效率。因此，選擇和部署終端平安管理系統(tǒng)時(shí)，在確保XX研討院平安戰(zhàn)略的有效執(zhí)行的前提下，要最大限制降低對(duì)電腦用戶在日常任務(wù)中的影響，例如減少終端用戶在系統(tǒng)的運(yùn)用過(guò)程中的不用要的操作和介入，在用戶違反平安戰(zhàn)略時(shí)進(jìn)展友好提示，尊重和維護(hù)個(gè)人隱私，為用戶平安網(wǎng)絡(luò)訪問(wèn)和信息交換保駕護(hù)航。全面細(xì)致規(guī)劃，分步實(shí)施終端平安管理系統(tǒng)，作為XX研討院網(wǎng)絡(luò)平安的根底架構(gòu)中非常重要的客戶端電腦平安管理平臺(tái)，將涉及到XX研討院內(nèi)部每一臺(tái)接受管理的電腦和每一個(gè)用戶，涉及面廣，影響面大。當(dāng)然，為了根本上處理客戶端電腦的平安管理問(wèn)題，這樣的系統(tǒng)的部

3、署也勢(shì)在必行，因此在系統(tǒng)部署前需求對(duì)系統(tǒng)的實(shí)施過(guò)程、平安戰(zhàn)略的制定和平安管理制度的建立，進(jìn)展全面系統(tǒng)地規(guī)劃，并在實(shí)施過(guò)程中，根據(jù)實(shí)踐環(huán)境進(jìn)展適時(shí)調(diào)整，從而保證系統(tǒng)和平安戰(zhàn)略在XX研討院內(nèi)部順利執(zhí)行下去，實(shí)現(xiàn)工程預(yù)期的目的，保證內(nèi)部網(wǎng)絡(luò)具有更高可用性和客戶端電腦的更高平安性。部署前需求規(guī)劃的內(nèi)容包括：內(nèi)部網(wǎng)絡(luò)和用戶的平安分級(jí)和規(guī)劃，系統(tǒng)部署的次序和周期，針對(duì)不同部門或用戶角色的平安戰(zhàn)略組合，系統(tǒng)平安戰(zhàn)略的動(dòng)態(tài)調(diào)整等等。平安不是一蹴而就的，由于該系統(tǒng)涉及面較廣，因此系統(tǒng)的實(shí)施需求全面規(guī)劃，分步實(shí)施，循序漸進(jìn)，真正發(fā)揚(yáng)系統(tǒng)的平安維護(hù)和自動(dòng)防御的效果。平安戰(zhàn)略從簡(jiǎn)到繁，平安級(jí)別步進(jìn)式提高由于XX研討院

4、分支機(jī)構(gòu)、部門和人員較多，對(duì)應(yīng)每一個(gè)角色的平安維護(hù)級(jí)別要求也層次各異，假設(shè)為了保證最高的平安性，運(yùn)用同樣一種嚴(yán)厲的平安戰(zhàn)略，或者為了降低平安管理的任務(wù)量，簡(jiǎn)單的執(zhí)行一類根本平安戰(zhàn)略，都是不適宜的。在規(guī)劃中要預(yù)先基于用戶角色確定每個(gè)部門、用戶或分支機(jī)構(gòu)，確定對(duì)應(yīng)的最適宜的平安戰(zhàn)略組合，作為系統(tǒng)最終實(shí)現(xiàn)的平安管理目的。在實(shí)施過(guò)程中，再按照由簡(jiǎn)到繁的次序，先實(shí)施一切用戶都必需遵守的平安戰(zhàn)略，然后再根據(jù)不同分支機(jī)構(gòu)、部門和用戶，步進(jìn)式下發(fā)和執(zhí)行各級(jí)平安戰(zhàn)略，從而實(shí)現(xiàn)平安級(jí)別步進(jìn)式提高，構(gòu)建立體的、混合方式的終端平安戰(zhàn)略管理體系。實(shí)施方案內(nèi)網(wǎng)終端合規(guī)管理提升是一個(gè)循序漸進(jìn)和不斷完善的過(guò)程，要兼顧“平安性

5、和“便利性，合規(guī)管理應(yīng)“先弱后強(qiáng)，實(shí)施戰(zhàn)略應(yīng)“先易后難的原那么，消除業(yè)務(wù)部門和終端員工的抵觸心情和壓力。因此在安裝過(guò)程中，我們嚴(yán)厲遵照天珣安裝“三步走原那么，即：經(jīng)過(guò)運(yùn)用準(zhǔn)入推進(jìn)客戶端部署安裝，經(jīng)過(guò)友好的提示界面以及強(qiáng)度稍弱的準(zhǔn)入控制方式，好心的提示用戶自動(dòng)安裝天珣客戶端，并提供應(yīng)用戶下載地址，由其去下載和安裝配置戰(zhàn)略管理受控終端使其進(jìn)展本身平安形狀的完善，目的那么是讓內(nèi)網(wǎng)受控終端成為合規(guī)平安的終端，保證內(nèi)網(wǎng)平安建立勝利而高效啟用網(wǎng)絡(luò)準(zhǔn)入，在用戶熟習(xí)天珣準(zhǔn)入控制系統(tǒng)的特性后再啟用網(wǎng)絡(luò)準(zhǔn)入，將會(huì)遭到最小的阻力，最終完成整個(gè)準(zhǔn)入體系的關(guān)鍵一步當(dāng)然，也會(huì)有一些部門或區(qū)域的平安維護(hù)等級(jí)要求沒(méi)有這么高，

6、這時(shí)我們可以對(duì)其采用適宜本人的準(zhǔn)入控制方式和平安戰(zhàn)略，從而使的整個(gè)工程更加人性化。工程時(shí)間表管理效力器部署總部管理效力器部署院本部?jī)?nèi)廠所內(nèi)：兩種方式部署管理效力器，一種是邏輯上的集中管理分級(jí)授權(quán)方式，另一種完全獨(dú)立的戰(zhàn)略管理效力器方式。天珣內(nèi)網(wǎng)平安風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)支持多戰(zhàn)略效力器架構(gòu)。每個(gè)效力器效力一個(gè)或多個(gè)園區(qū)。而這些效力器可以相互備份，在一個(gè)一致的控制臺(tái)接受集中管理。假設(shè)一臺(tái)效力器宕機(jī)，其效力的用戶會(huì)自動(dòng)被其他的效力器接納。每一個(gè)管理網(wǎng)段的電腦都有3次從效力器獲取規(guī)那么的時(shí)機(jī)，它們首先會(huì)從Primary的戰(zhàn)略效力器獲取規(guī)那么，假設(shè)失敗，那么從Secondary的戰(zhàn)略效力器獲取規(guī)那么，假設(shè)

7、再失敗，那么從中心效力器獲取規(guī)那么，假設(shè)還是失敗，那么運(yùn)用客戶端本地緩存的規(guī)那么。分布式多效力器架構(gòu)使天珣內(nèi)網(wǎng)平安風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)具有優(yōu)秀的容錯(cuò)性、可伸縮性，支持的客戶端數(shù)量從數(shù)百個(gè)到數(shù)萬(wàn)以致更多，而部署極為平滑，性能不受影響。在本次實(shí)施中，需求部署三臺(tái)戰(zhàn)略效力器，一臺(tái)中心效力器，兩臺(tái)本地效力器。三臺(tái)戰(zhàn)略效力器都安裝在中心機(jī)房，要求本次實(shí)施的一切的客戶端電腦及戰(zhàn)略網(wǎng)關(guān)都可以經(jīng)過(guò)TCP/IP協(xié)議的7890端口訪問(wèn)到戰(zhàn)略效力器。由于中心效力器有日常的管理負(fù)荷，建議中心效力器管理3000臺(tái)終端電腦，本地效力器管理7000臺(tái)終端電腦。對(duì)于任何一個(gè)管理網(wǎng)段，假設(shè)其Primary Server為其中一臺(tái)

8、，那么其Secondary Server將被設(shè)為另外一臺(tái)。中心效力器兩臺(tái)本地效力器管理網(wǎng)段一管理網(wǎng)段二PrimarySecondaryPrimarySecondary廠所獨(dú)立管理效力器部署獨(dú)立廠所：完全獨(dú)立的戰(zhàn)略管理效力器方式。在分布式多效力器架構(gòu)下，中心效力器是整個(gè)系統(tǒng)戰(zhàn)略集中存放的地方，本地效力器是進(jìn)展日常的戰(zhàn)略分發(fā)的地方。全系統(tǒng)只需求一個(gè)中心效力器，可以有多個(gè)本地效力器，中心效力器可以兼作本地效力器。在本次實(shí)施中，兩臺(tái)戰(zhàn)略效力器都在院總部的直接納理下，由總部的管理員進(jìn)展管理。在今后的實(shí)施中，可以在各下級(jí)廠所架設(shè)本地效力器，由總部的管理員進(jìn)展全局控制，而由各廠所的管理員進(jìn)展本地化的管理。從

9、投資本錢上思索，建議本項(xiàng)效力器都在集中部署在院總部信息中心更有利，院下屬各廠所多集中在園區(qū)網(wǎng)內(nèi)網(wǎng)絡(luò)帶寬足以滿足集中心管理的需求，因此引薦集中管理的部署方式。部署實(shí)施建議管理效力器與客戶端通訊要求CC與管理效力器的通訊列表。類別源源端口目的目的端口功能協(xié)議效力器類中心效力器any客戶端7891自動(dòng)下發(fā)戰(zhàn)略UDP中心效力器any客戶端7891戰(zhàn)略預(yù)檢查UDP中心效力器any本地效力器7892自動(dòng)同步效力器戰(zhàn)略TCP中心效力器any戰(zhàn)略網(wǎng)關(guān)代理7893同步代理戰(zhàn)略UDP中心效力器anyradius效力器7897更新radius戰(zhàn)略UDP補(bǔ)丁同步效力器any外網(wǎng)補(bǔ)丁效力器8800同步補(bǔ)丁TCP戰(zhàn)略網(wǎng)關(guān)

10、代理any中心效力器7890獲取代理戰(zhàn)略TCPradius效力器any中心效力器7890獲取radius戰(zhàn)略TCP戰(zhàn)略網(wǎng)關(guān)any戰(zhàn)略網(wǎng)關(guān)代理7893攔截訪問(wèn)，通知代理TCP戰(zhàn)略網(wǎng)關(guān)代理any客戶端7891發(fā)送檢查懇求UDPradius效力器any交換機(jī)1812-1813發(fā)送認(rèn)證結(jié)果UDP交換機(jī)anyradius效力器1812-1813轉(zhuǎn)發(fā)認(rèn)證懇求UDP交換機(jī)any客戶端1645-1646下發(fā)ACLUDPradius效力器any域效力器443轉(zhuǎn)發(fā)用戶認(rèn)證TCP中心效力器anyserver monitor7896搜集系統(tǒng)組件運(yùn)轉(zhuǎn)形狀TCP客戶端類客戶端any中心效力器7890心跳UDP客戶端any

11、中心效力器7890取戰(zhàn)略TCP客戶端any中心效力器7898SSL取戰(zhàn)略TCP客戶端any中心效力器7890;7898客戶端注冊(cè)TCP客戶端any中心效力器8833web管理界面TCP客戶端any軟件分發(fā)效力器7901取分發(fā)義務(wù)TCP客戶端any軟件分發(fā)效力器7902取分發(fā)文件TCP客戶端any資產(chǎn)效力器7891上報(bào)資產(chǎn)TCP客戶端any攻擊告警效力器7899上報(bào)攻擊告警UDP客戶端any補(bǔ)丁同步效力器8833下載補(bǔ)丁TCP客戶端anyhod管理員5500;5400遠(yuǎn)程協(xié)助數(shù)據(jù)流TCP客戶端any按需援助效力器7895發(fā)起援助懇求TCPUTM類USGany客戶端1080發(fā)送攔截頁(yè)面TCP客戶端

12、anyUSG1080接納攔截頁(yè)面TCPUSGany戰(zhàn)略網(wǎng)關(guān)代理7893攔截訪問(wèn)，通知代理TCP數(shù)據(jù)存儲(chǔ)建議采用數(shù)據(jù)的集中存儲(chǔ)方式，便于用戶的數(shù)據(jù)的存貯藏份管理。本部及各分支機(jī)構(gòu)的數(shù)據(jù)全部存儲(chǔ)在一臺(tái)固定的數(shù)據(jù)庫(kù)效力器中，省去數(shù)據(jù)同步的費(fèi)事，添加數(shù)據(jù)一致性。管理員權(quán)限劃分三權(quán)分立管理在天珣內(nèi)網(wǎng)平安風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)中，根本設(shè)置的操作必需有全局管理員權(quán)限才干進(jìn)展，而普通的戰(zhàn)略配置只需求普通管理員權(quán)限就可以進(jìn)展。一個(gè)普通管理員定義的戰(zhàn)略，另外一個(gè)普通管理員不能看見(jiàn)，也不能運(yùn)用。全局管理員定義的戰(zhàn)略，其他普通管理員可以運(yùn)用，但不能修正。全局管理員可以運(yùn)用、修正任何一個(gè)普通管理員或全局管理員定義的戰(zhàn)略。對(duì)

13、全局管理員或普通管理員，都可以設(shè)置“只讀屬性，該管理員只能讀取戰(zhàn)略信息，不能添加、修正或運(yùn)用戰(zhàn)略。在院總部，建議設(shè)置三種管理員。一種管理員是全局管理員，這類管理員由一至二個(gè)成員組成，他們擔(dān)任進(jìn)展根本設(shè)置，或一些全局性的戰(zhàn)略。第二種管理員是普通管理員，主要由他們進(jìn)展戰(zhàn)略配置，他們定義的戰(zhàn)略具有本地屬性，當(dāng)今后部署范圍擴(kuò)展，安裝了更多的本地效力器，有更多的管理員參與戰(zhàn)略系統(tǒng)管理時(shí)，他們定義的戰(zhàn)略不會(huì)被其他管理員運(yùn)用。第三種管理員是只讀管理員，普通對(duì)部門指點(diǎn)設(shè)置這種權(quán)限，他們可以查看系統(tǒng)，但不需求他們做戰(zhàn)略配置。效力器安裝及數(shù)據(jù)管理見(jiàn)附件一。客戶端部署經(jīng)過(guò)運(yùn)用準(zhǔn)入方式部署客戶端運(yùn)用準(zhǔn)入控制部署對(duì)于無(wú)

14、法實(shí)施網(wǎng)絡(luò)準(zhǔn)入控制的區(qū)域，可以采用運(yùn)用準(zhǔn)入。以下圖是采用運(yùn)用準(zhǔn)入的部署圖。分別在院的DNS效力器，ISA效力器，關(guān)鍵的Windows效力器，關(guān)鍵的Linux效力器等經(jīng)常被訪問(wèn)的效力器上部署戰(zhàn)略網(wǎng)關(guān)，當(dāng)用戶電腦訪問(wèn)這些效力器時(shí)，戰(zhàn)略網(wǎng)關(guān)將會(huì)檢查用戶電腦能否運(yùn)轉(zhuǎn)了天珣內(nèi)網(wǎng)平安風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)客戶端軟件，而且能否符合戰(zhàn)略規(guī)那么。假設(shè)不符合，戰(zhàn)略網(wǎng)關(guān)將回絕用戶的訪問(wèn)，并給出友好的提示。在實(shí)踐部署中，可根據(jù)情況添加或減少戰(zhàn)略網(wǎng)關(guān)的部署數(shù)量。天珣曾經(jīng)與啟明星辰天清漢馬USG實(shí)現(xiàn)準(zhǔn)入控制互動(dòng)，由USG作為新的運(yùn)用準(zhǔn)入控制類型。當(dāng)終端需求經(jīng)過(guò)USG進(jìn)展訪問(wèn)時(shí)，由USG和天珣聯(lián)動(dòng)，只允許認(rèn)證經(jīng)過(guò)并且平安形狀符

15、合要求的終端經(jīng)過(guò)USG進(jìn)展訪問(wèn)。建立期客戶端部署客戶端部署主要采用客戶自助安裝、后臺(tái)自動(dòng)安裝、或管理員輔助安裝等部署方式?？蛻舳俗灾惭b可采用戰(zhàn)略網(wǎng)關(guān)提示安裝，網(wǎng)上鄰居預(yù)安裝，郵件提示預(yù)安裝等方式。后臺(tái)自動(dòng)安裝可運(yùn)用現(xiàn)有的軟件分發(fā)工具，或用專門的后臺(tái)安裝工具進(jìn)展安裝。管理員輔助安裝是在前面的安裝手段對(duì)個(gè)別用戶不能勝利部署時(shí)采用?？蛻舳瞬渴鹨啦块T順序分階段進(jìn)展，在對(duì)每個(gè)部門全面部署前，先進(jìn)展一次終端運(yùn)用情況調(diào)研，針對(duì)每個(gè)部門的終端運(yùn)用情況進(jìn)展詳細(xì)調(diào)研，主要包括：OS、版本、補(bǔ)丁、運(yùn)用系統(tǒng)、重要數(shù)據(jù)等其它相關(guān)內(nèi)容。假設(shè)有需求特別留意的地方，就需求制定特別的部署方案。維護(hù)期客戶端部署新購(gòu)置電腦對(duì)于少

16、量新購(gòu)置的電腦，建議在入網(wǎng)之前由管理部門安裝天珣客戶端；對(duì)于批量購(gòu)置的電腦，建議與電腦廠商協(xié)商，在出廠時(shí)即安裝天珣客戶端。電腦重裝操作系統(tǒng)天珣運(yùn)用準(zhǔn)入的一個(gè)重要功能是協(xié)助 管理員部署客戶端。對(duì)于偶爾重裝操作系統(tǒng)的終端，可經(jīng)過(guò)運(yùn)用準(zhǔn)入控制由用戶自助安裝客戶端程序。準(zhǔn)入控制實(shí)施 運(yùn)用準(zhǔn)入控制實(shí)施運(yùn)用準(zhǔn)入引見(jiàn)天珣系統(tǒng)中，具備其他同類軟件不同的關(guān)鍵準(zhǔn)入控制組件戰(zhàn)略網(wǎng)關(guān)，這個(gè)組件可以安裝在企業(yè)網(wǎng)中一個(gè)或多個(gè)關(guān)鍵業(yè)務(wù)系統(tǒng)效力器之上，執(zhí)行運(yùn)用層準(zhǔn)入控制，可以對(duì)來(lái)訪的終端執(zhí)行合規(guī)檢查，假設(shè)來(lái)訪終端非受控或不合規(guī)，將被回絕訪問(wèn)該效力器或業(yè)務(wù)系統(tǒng)，同時(shí)也到達(dá)對(duì)這些關(guān)鍵效力器和業(yè)務(wù)系統(tǒng)加強(qiáng)維護(hù)的效果。其中，基于DN

17、S運(yùn)用準(zhǔn)入控制，又根據(jù)方式的不同，又可以分為旁路式的DNS準(zhǔn)入此時(shí)DNS處于旁路監(jiān)聽(tīng)方式，無(wú)需改動(dòng)DNS效力器配置或者安裝DNS戰(zhàn)略網(wǎng)關(guān)和在線DNS準(zhǔn)入在DNS效力器上部署DNS戰(zhàn)略網(wǎng)關(guān)。天珣可以與啟明星辰天清漢馬一體化平安網(wǎng)關(guān)簡(jiǎn)稱：天清漢馬USG組成UTM2合規(guī)管理方案，實(shí)現(xiàn)準(zhǔn)入控制聯(lián)動(dòng)，由天清漢馬USG擔(dān)當(dāng)準(zhǔn)入控制網(wǎng)關(guān)，當(dāng)計(jì)算機(jī)終端需求經(jīng)過(guò)天清漢馬USG進(jìn)展訪問(wèn)時(shí)，確保只需受控和合規(guī)的才干經(jīng)過(guò)天清漢馬USG對(duì)USG所維護(hù)的效力器進(jìn)展訪問(wèn)。除此之外，天珣還可以提供可以與用戶恣意平臺(tái)的B/S構(gòu)造的業(yè)務(wù)系統(tǒng)無(wú)縫集成的Web準(zhǔn)入控制。集成的Web準(zhǔn)入控制，平臺(tái)順應(yīng)才干非常廣泛，效力端可以在Wind

18、ows、Linux、unix下運(yùn)用。性能優(yōu)越，而且部署及其簡(jiǎn)單，只需把控件參與登錄頁(yè)面上，并且交換了用戶名輸入控件，進(jìn)展小量的頁(yè)面修正即可完成部署。運(yùn)用準(zhǔn)入的特點(diǎn)i) 運(yùn)用準(zhǔn)入生效是在數(shù)據(jù)中心的效力器區(qū)，對(duì)于網(wǎng)絡(luò)環(huán)境中因接入層交換機(jī)或會(huì)聚層交換機(jī)不支持相應(yīng)的網(wǎng)絡(luò)準(zhǔn)入認(rèn)證協(xié)議，或者因內(nèi)網(wǎng)終端合規(guī)管理的現(xiàn)實(shí)要求，暫時(shí)不需求啟用最嚴(yán)厲的網(wǎng)絡(luò)準(zhǔn)入控制的情況，運(yùn)用準(zhǔn)入將可以替代網(wǎng)絡(luò)準(zhǔn)入作為最正確的終端合規(guī)準(zhǔn)入控制手段。當(dāng)然假設(shè)終端一直不去訪問(wèn)數(shù)據(jù)中心效力器，那么將能夠無(wú)法對(duì)其實(shí)施運(yùn)用準(zhǔn)入，因此前期對(duì)準(zhǔn)入所運(yùn)用的業(yè)務(wù)系統(tǒng)的選擇將會(huì)非常關(guān)鍵。ii) 獨(dú)特功能：運(yùn)用準(zhǔn)入可以經(jīng)過(guò)自動(dòng)重定向，對(duì)未受控或者不合規(guī)的

19、終端，進(jìn)展個(gè)性化的友好提示，經(jīng)過(guò)友好提示不僅可以協(xié)助 最終用戶了解無(wú)法訪問(wèn)業(yè)務(wù)效力器的緣由，為最終用戶接受和順應(yīng)新的終端合規(guī)管理提供協(xié)助 ，還可以經(jīng)過(guò)該提示頁(yè)面，發(fā)送執(zhí)行合規(guī)管理的客戶端軟件，真正實(shí)現(xiàn)了最終用戶“自助式的客戶端部署，不僅大幅度減少系統(tǒng)維護(hù)人員的任務(wù)量，也極大減少用戶的膩煩和抵觸行為，保證合規(guī)管理有效性的同時(shí)，在內(nèi)網(wǎng)終端合規(guī)管理過(guò)程中，表達(dá)了人性關(guān)懷，有效加強(qiáng)了最終用戶在內(nèi)網(wǎng)合規(guī)管理系統(tǒng)實(shí)施中的積極性，促進(jìn)內(nèi)網(wǎng)合規(guī)更快獲得良好收效。本工程中運(yùn)用準(zhǔn)入的實(shí)施主頁(yè)或OA效力器上的中性戰(zhàn)略網(wǎng)關(guān)在主頁(yè)或OA效力器上安裝天珣中性戰(zhàn)略網(wǎng)關(guān)，受控終端訪問(wèn)主頁(yè)或OA效力器時(shí)過(guò)程如下。開(kāi)啟準(zhǔn)入檢查的

20、網(wǎng)段，對(duì)有針對(duì)性地檢查特定的網(wǎng)段，對(duì)特殊網(wǎng)段可設(shè)置使其不受戰(zhàn)略網(wǎng)關(guān)的影響。DNS準(zhǔn)入在內(nèi)部DNS效力器上安裝天珣DNS戰(zhàn)略網(wǎng)關(guān)，當(dāng)受控終端發(fā)送DNS懇求時(shí)與DNS效力器交互過(guò)程如下：開(kāi)啟準(zhǔn)入檢查的網(wǎng)段，對(duì)有針對(duì)性地檢查特定的網(wǎng)段，對(duì)特殊網(wǎng)段可設(shè)置使其不受DNS準(zhǔn)入的影響。網(wǎng)絡(luò)準(zhǔn)入控制實(shí)施對(duì)于接入交換機(jī)支持802.1X協(xié)議的區(qū)域，采用基于802.1x協(xié)議的網(wǎng)絡(luò)準(zhǔn)入控制。以下圖是802.1x網(wǎng)絡(luò)準(zhǔn)入的部署圖。802.1X認(rèn)證的Radius Server采用天珣自帶的Radius Server，用戶電腦安裝天珣內(nèi)網(wǎng)平安風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)客戶端軟件。天珣內(nèi)網(wǎng)平安風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)支持分布式多效力器架構(gòu)

21、，建議每套天珣系統(tǒng)至少部署2個(gè)Radius效力器，以對(duì)802.1X提供互備的認(rèn)證支持?；诳尚臡AC地址的802.1X準(zhǔn)入認(rèn)證在本次方案中，我們引薦XXXX院實(shí)行基于可信MAC地址驗(yàn)證的802.1X準(zhǔn)入。該認(rèn)證方式可以和“根本認(rèn)證、“擴(kuò)展組合認(rèn)證組合成完善的準(zhǔn)入方式。對(duì)接入電腦的MAC地址進(jìn)展驗(yàn)證，假設(shè)不在允許接入的清單內(nèi)，那么回絕該電腦的接入。對(duì)于新接入的電腦，該電腦的信息將即時(shí)報(bào)告給管理員，管理員可以在線決議能否允許該新電腦的接入。客戶端的安裝由于802.1X是二層協(xié)議，終端認(rèn)證不勝利將不能訪問(wèn)網(wǎng)絡(luò)，故客戶端的安裝問(wèn)題將影響用戶的運(yùn)用，客戶端的安裝請(qǐng)參見(jiàn)“客戶端部署章節(jié)。戰(zhàn)略配置首先，在天

22、珣WEB控制臺(tái)中添加一條Radius Server戰(zhàn)略，在這里配置radius認(rèn)證效力器及其所運(yùn)用的認(rèn)證戰(zhàn)略：我們配置“網(wǎng)絡(luò)準(zhǔn)入類型為“規(guī)范802.1x，根本認(rèn)證為“用戶認(rèn)證，并選擇電力集團(tuán)的AD域作為認(rèn)證域。接下來(lái)再把需求啟用網(wǎng)絡(luò)準(zhǔn)入的交換機(jī)的IP參與到網(wǎng)絡(luò)設(shè)備配置中，讓radius效力器知道它將對(duì)哪些交換機(jī)的認(rèn)證懇求進(jìn)展呼應(yīng)。留意：共享密鑰必需與交換機(jī)中配置的key一致，否那么將無(wú)法認(rèn)證勝利。在網(wǎng)絡(luò)設(shè)備配置完成后，將其運(yùn)用到radius配置的“啟用準(zhǔn)入控制的網(wǎng)絡(luò)設(shè)備中：另外，在頁(yè)面戰(zhàn)略配置完成后，務(wù)必點(diǎn)擊更新radius效力器戰(zhàn)略，否那么radius效力器將無(wú)法獲取到最新的戰(zhàn)略修正。交換機(jī)

23、配置對(duì)于交換機(jī)的配置，我們會(huì)對(duì)兩種電力集團(tuán)普遍運(yùn)用的接入層cisco和華為交換機(jī)進(jìn)展引見(jiàn)。CISCO交換機(jī)進(jìn)入配置命令方式# config terminal配置Radius認(rèn)證效力器啟用認(rèn)證# aaa new-model設(shè)置802.1X運(yùn)用radius server組中的一切radius server進(jìn)展認(rèn)證# aaa authentication dot1x default group radius# aaa authorization network default group radius添加ias到radius server，其中host后面的IP地址為IAS效力器地址，auth-po

24、rt和acct-port為規(guī)范的Radius端口，key為交換機(jī)和Raidus效力器通訊密鑰# radius-server host XX.XX.XX.XX auth-port 1812 acct-port 1813 key 123456啟用802.1X# dot1x system-auth-control配置7號(hào)端口運(yùn)用802.1X認(rèn)證# interface FastEthernet0/7# switchport mode access# dot1x port-control auto# dot1x host-mode multi-host啟用交換機(jī)端口的multiple-hosts方式，以

25、使交換機(jī)可下接hub進(jìn)展認(rèn)證# end配置7號(hào)端口的重認(rèn)證周期可選項(xiàng)，配置802.1X重認(rèn)證的周期，以秒為單位，默以為3600秒1小時(shí)，當(dāng)重認(rèn)證時(shí)，假設(shè)網(wǎng)絡(luò)端口接入其他沒(méi)有運(yùn)轉(zhuǎn)天珣內(nèi)網(wǎng)平安風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)的計(jì)算機(jī)，端口會(huì)立刻封鎖。# interface FastEthernet0/7# dot1x reauthentication# dot1x timeout reauth-period 3600# end保管當(dāng)前配置作為啟動(dòng)配置# copy running-config startup-config留意：CISCO的交換機(jī)假設(shè)是遠(yuǎn)程運(yùn)用telnet登陸到交換機(jī)進(jìn)展配置的話，請(qǐng)千萬(wàn)記得配置a

26、aa authentication login default line命令不同型號(hào)交換機(jī)能夠命令略有不同。此命令作用是將telnet時(shí)進(jìn)展的認(rèn)證放在交換機(jī)本地，假設(shè)不配置的話，假設(shè)以前telnet交換機(jī)只需求輸入密碼的話，那么在下次進(jìn)展telnet登陸時(shí)，交換機(jī)將會(huì)提示要求輸入用戶名和密碼進(jìn)展認(rèn)證。華為交換機(jī)# 設(shè)置802.1x用戶的認(rèn)證方法，目前提供3種認(rèn)證方法：PAP認(rèn)證、CHAP認(rèn)證、EAP中繼認(rèn)證。缺省情況下，華為交換機(jī)802.1x用戶認(rèn)證方法為CHAP認(rèn)證。此處需求修正設(shè)置為EAP認(rèn)證。Quidway dot1x authentication-method eap# 創(chuàng)建RADIU

27、S 組dot1x 并進(jìn)入其視圖Quidway radius scheme dot1x# 設(shè)置主認(rèn)證/計(jì)費(fèi)RADIUS 效力器的IP 地址Quidway-radius-dot1x primary authentication XX.XX.XX.XX# 設(shè)置主認(rèn)證/計(jì)費(fèi)RADIUS 效力器的IP 地址Quidway-radius-dot1x primary accounting XX.XX.XX.XX# 設(shè)置系統(tǒng)與認(rèn)證RADIUS 效力器交互報(bào)文時(shí)的加密密碼Quidway -radius-dot1x key authentication 123456Quidway -radius-dot1x ke

28、y accounting 123456# 指示系統(tǒng)從用戶名中去除用戶域名后再將之傳給RADIUS 效力器Quidway-radius-dot1x user-name-format without-domainQuidway-radius-dot1x quit# 創(chuàng)建用戶域dot1x，并進(jìn)入其視圖Quidway domain dot1x# 指定“dot1x為該用戶域的Radius方案Quidway-isp-dot1x radius-scheme dot1xQuidway-isp-dot1xquit# 指定交換機(jī)缺省的用戶域?yàn)椤癲ot1xQuidway domain default enable

29、dot1x# 開(kāi)啟E0/8的802.1x認(rèn)證Quidway dot1x interface Ethernet 0/8# 開(kāi)啟全局802.1x 特性Quidway dot1x# 保管設(shè)置Quidway quit save 風(fēng)險(xiǎn)與災(zāi)備802.1X準(zhǔn)入作為一種最嚴(yán)厲的準(zhǔn)入控制手段具有其他準(zhǔn)入控制措施不具有的優(yōu)勢(shì)，如認(rèn)證流與數(shù)據(jù)流的分別、獨(dú)立于運(yùn)用之外、在嚴(yán)厲之余又具有很高的可擴(kuò)展性等。該準(zhǔn)入控制手段曾經(jīng)大量運(yùn)用于教育、金融行業(yè)，在近年來(lái)舉行的艱苦賽事如廣州亞運(yùn)會(huì)，該準(zhǔn)入控制手段也曾經(jīng)全面運(yùn)用。隨著企業(yè)信息化越來(lái)越深化，在信息平安領(lǐng)域，準(zhǔn)入控制，尤其是像802.1X這種嚴(yán)厲的準(zhǔn)入控制手段曾經(jīng)成為一個(gè)不

30、得不思索的選項(xiàng)。但這種嚴(yán)厲的準(zhǔn)入控制技術(shù)也帶來(lái)了不可忽視的斷網(wǎng)風(fēng)險(xiǎn)。在對(duì)網(wǎng)絡(luò)可用性要求極高的領(lǐng)域，如金融行業(yè)，大面積斷網(wǎng)是不能容忍的一級(jí)事故。因此，一套完好的、可操作的風(fēng)險(xiǎn)預(yù)案便成了關(guān)鍵時(shí)辰的法寶。以下圖是完成全面完成基于802.1X網(wǎng)絡(luò)準(zhǔn)入控制體系后，XXXX終端接入控制體系表示圖。根據(jù)規(guī)范802.1X準(zhǔn)入控制需求的三個(gè)實(shí)體，加上用戶認(rèn)證時(shí)需求的目錄效力器以AD域控制器為例，我們分析了天珣作為準(zhǔn)入控制處理方法能夠產(chǎn)生的風(fēng)險(xiǎn)點(diǎn)如以下圖標(biāo)號(hào)所示。XXXX終端接入控制體系籠統(tǒng)圖名詞釋義：天珣中心效力器：提供戰(zhàn)略集中編輯、下發(fā)和集中報(bào)表的功能，管理和同步戰(zhàn)略到本地效力器、Radius效力器等其他效力

31、器組件，并可以直接納理指定范圍的終端的效力器；天珣本地效力器：提供對(duì)指定范圍終端進(jìn)展管理的效力器，并可以管理和同步戰(zhàn)略到Radius效力器。Radius認(rèn)證效力器：與Swich聯(lián)動(dòng)，提供對(duì)客戶端及用戶進(jìn)展網(wǎng)絡(luò)準(zhǔn)入控制認(rèn)證效力器。AD域效力器：終端用戶賬號(hào)/密碼的集中管理和認(rèn)證效力器。接入交換機(jī)Switch：與Radius聯(lián)動(dòng)，提供對(duì)客戶端及用戶進(jìn)展網(wǎng)絡(luò)準(zhǔn)入控制的接入層網(wǎng)絡(luò)設(shè)備?？蛻舳薈lients：運(yùn)轉(zhuǎn)在每一臺(tái)終端電腦上，執(zhí)行終端平安管理戰(zhàn)略，發(fā)起認(rèn)證懇求。按照天珣系統(tǒng)的設(shè)計(jì)原理，以上組件中，除了中心效力器和本地效力器之外，其他恣意組件，例如無(wú)備份的單一Radius效力器、目錄效力器本方案中的

32、AD域效力器、交換機(jī)、客戶端，只需其中之一出現(xiàn)影響認(rèn)證的缺點(diǎn)，都將會(huì)導(dǎo)致終端網(wǎng)絡(luò)準(zhǔn)入認(rèn)證失敗。每個(gè)組件對(duì)網(wǎng)絡(luò)準(zhǔn)入的影響，如以下圖所示：從圖中可以看出，每個(gè)組件都存在影響到網(wǎng)絡(luò)準(zhǔn)入失敗的能夠。但是，結(jié)合組件的作用和他們之間的相互關(guān)系，以下四個(gè)環(huán)節(jié)的風(fēng)險(xiǎn)最為突出：戰(zhàn)略效力器異常時(shí)，Radius無(wú)法自動(dòng)獲取正確戰(zhàn)略。AD域效力器異常或網(wǎng)絡(luò)中斷，導(dǎo)致AD域不可達(dá)，用戶認(rèn)證失敗。Radius效力器異常或網(wǎng)絡(luò)中斷，導(dǎo)致認(rèn)證無(wú)法正常進(jìn)展?？蛻舳水惓＃瑢?dǎo)致認(rèn)證無(wú)法正常進(jìn)展。針對(duì)上述風(fēng)險(xiǎn)，天珣為該準(zhǔn)入控制擬定了以下風(fēng)險(xiǎn)預(yù)案：風(fēng)險(xiǎn)一種穩(wěn)定的準(zhǔn)入控制手段不有必要經(jīng)常改動(dòng)準(zhǔn)入條件，如我們沒(méi)有必要經(jīng)常在僅驗(yàn)證客戶端和可

33、匿名登陸的用戶認(rèn)證兩種方案間切換。但即使如此，天珣的Radius效力器天珣自有的RADIUS效力器，不運(yùn)用微軟IAS等第三方產(chǎn)品在每次收到準(zhǔn)入控制戰(zhàn)略后都會(huì)緩存該戰(zhàn)略，直到效力器通知其更改，在此期間，天珣的RADIUS效力器不依賴中心效力器和本地效力器，即使效力器宕機(jī)，RADIUS效力器依然可以正常任務(wù)。在天珣系統(tǒng)中，這種風(fēng)險(xiǎn)曾經(jīng)可以忽略。風(fēng)險(xiǎn)預(yù)案天珣可以同時(shí)運(yùn)用多臺(tái)主備的目錄效力器，但即使如此，網(wǎng)絡(luò)情況以及目錄效力器的可用性依然構(gòu)成較大的挑戰(zhàn)。實(shí)行用戶認(rèn)證需求保證AD域一直可達(dá)，但不常發(fā)生的斷電和網(wǎng)絡(luò)缺點(diǎn)讓我們不能忽略極少發(fā)生的AD域不可達(dá)的能夠性。為此，天珣提供了AD域的Radius by

34、pass工具，當(dāng)AD域不可達(dá)時(shí)，該工具可立刻取消一切終端的用戶認(rèn)證，使準(zhǔn)入控制方案變成僅“驗(yàn)證客戶端的802.1X準(zhǔn)入，從而消除因AD域缺點(diǎn)導(dǎo)致的網(wǎng)絡(luò)準(zhǔn)入認(rèn)證失敗的問(wèn)題。天珣目錄效力RadiusBypass工具界面如下：風(fēng)險(xiǎn)預(yù)案Radius效力器是802.1X網(wǎng)絡(luò)準(zhǔn)入的重中之重，在準(zhǔn)入控制方案中，單臺(tái)RADIUS效力器是宏大的風(fēng)險(xiǎn)點(diǎn)，正是基于此，網(wǎng)絡(luò)設(shè)備廠商在規(guī)范配置中，都會(huì)為每臺(tái)交換機(jī)配置雙Radius效力器以做互備。從天珣實(shí)施的案例中，雙RADIUS效力器年缺點(diǎn)時(shí)間小于5分鐘。在配置了雙RADIUS效力器的情況下，尤其是異地備份，該風(fēng)險(xiǎn)曾經(jīng)大大降低。但這一直不會(huì)成為我們松懈的理由，天珣建議

35、將Radius作為中心效力器重點(diǎn)監(jiān)控和維護(hù)，以消除Radius效力器的單點(diǎn)缺點(diǎn)和Radius能夠遭遭到的網(wǎng)絡(luò)攻擊或機(jī)房環(huán)境影響。同時(shí)，部分網(wǎng)絡(luò)設(shè)備廠商也思索了該問(wèn)題，在交換機(jī)的配置方面有不同的運(yùn)用方案。如，H3C的交換機(jī)可以配置多個(gè)認(rèn)證選項(xiàng)，先運(yùn)用radius認(rèn)證，radius不可達(dá)那么運(yùn)用local或者運(yùn)用none。這些手段均可以大大減少缺點(diǎn)壓力。但作為最可靠的處理手段，取消交換機(jī)的802.1X準(zhǔn)入是最后的法寶，也是最讓人放心的措施。假設(shè)企業(yè)內(nèi)部有一致的網(wǎng)絡(luò)設(shè)備管理平臺(tái)，可經(jīng)過(guò)配置網(wǎng)管平臺(tái)取消交換機(jī)的認(rèn)證，假設(shè)沒(méi)有那么可借助某些自定義的腳本。本方案中有以下腳本取消交換機(jī)的全局802.1X準(zhǔn)入

36、，以思科交換機(jī)為例：echo offecho set sh=WScript.CreateObject(WScript.Shell) telnet_tmp.vbsecho WScript.Sleep 3 telnet_tmp.vbsecho sh.SendKeys open telnet_tmp.vbsecho WScript.Sleep 3 telnet_tmp.vbsecho sh.SendKeys ENTER telnet_tmp.vbsecho WScript.Sleep 3 telnet_tmp.vbsecho sh.SendKeys !QAZ2wsxENTER telnet_tmp.

37、vbsecho WScript.Sleep 3 telnet_tmp.vbsecho sh.SendKeys enENTER telnet_tmp.vbsecho WScript.Sleep 3 telnet_tmp.vbsecho sh.SendKeys !QAZ2wsxENTER telnet_tmp.vbsecho WScript.Sleep 3 telnet_tmp.vbsecho sh.SendKeys conf tENTER telnet_tmp.vbsecho WScript.Sleep 3 telnet_tmp.vbsecho sh.SendKeys no dot1x sysE

38、NTER telnet_tmp.vbsecho WScript.Sleep 3 telnet_tmp.vbsecho sh.SendKeys endENTER telnet_tmp.vbsecho WScript.Sleep 3 telnet_tmp.vbsecho sh.SendKeys exitENTER telnet_tmp.vbsecho WScript.Sleep 3 telnet_tmp.vbsstart telnetcscript /nologo telnet_tmp.vbs風(fēng)險(xiǎn)預(yù)案由于網(wǎng)絡(luò)準(zhǔn)入控制認(rèn)證需求由安裝在終端的天珣客戶端來(lái)執(zhí)行，假設(shè)客戶端不能正常運(yùn)轉(zhuǎn)，將直接導(dǎo)致認(rèn)證無(wú)法

39、進(jìn)展。根據(jù)天珣以往的閱歷，導(dǎo)致客戶端上線后不能運(yùn)轉(zhuǎn)的緣由更多于與終端上安裝的其他平安軟件或工具誤殺、誤攔或沖突。針對(duì)這種情況，天珣曾經(jīng)緊跟各殺毒軟件和平安軟件廠商更新情況，做好后方的溝通和兼容檢測(cè)任務(wù)，最大限制消除相互影響帶來(lái)的風(fēng)險(xiǎn)。天珣RADIUS效力器形狀告警在綜合思索了上述一切能夠產(chǎn)生風(fēng)險(xiǎn)的缺點(diǎn)點(diǎn)之后，天珣并沒(méi)有停頓對(duì)風(fēng)險(xiǎn)防備的思索，RADIUS效力器形狀告警組件便是我們最近的成果。在RADIUS所在效力器出現(xiàn)莫名缺點(diǎn)時(shí)Windows效力器操作系統(tǒng)不可防止，該組件可以即時(shí)報(bào)告其效力的可用形狀，這種監(jiān)視不是簡(jiǎn)單的進(jìn)程維護(hù)，而是其內(nèi)部流程的即時(shí)表達(dá)，包括它所依賴的一切第三方效力提供如目錄效力

40、。其報(bào)警結(jié)果可以為企業(yè)內(nèi)部正在運(yùn)用的綜合告警平臺(tái)所檢測(cè)，經(jīng)過(guò)企業(yè)現(xiàn)有的告警方式，如短信、郵件、等，及時(shí)通知管理員，以期獲得最快的呼應(yīng)時(shí)間。天珣RADIUS告警組件界面如下：客戶端準(zhǔn)入部署安裝有天珣客戶端程序的計(jì)算機(jī)終端在接受訪問(wèn)時(shí)，可以根據(jù)管理員預(yù)先配置的平安戰(zhàn)略檢查來(lái)訪的計(jì)算機(jī)終端能否運(yùn)轉(zhuǎn)了天珣客戶端程序，并檢查其平安基線能否符合要求。假設(shè)來(lái)訪的計(jì)算機(jī)終端未安裝天珣客戶端程序，或不符合平安戰(zhàn)略要求，那么回絕其訪問(wèn)。客戶端準(zhǔn)入控制例如圖當(dāng)安裝天珣客戶端程序的計(jì)算機(jī)終端訪問(wèn)網(wǎng)絡(luò)時(shí)，天珣客戶端也會(huì)先檢查其本身的平安基線能否合格，假設(shè)不合格，將限制其對(duì)網(wǎng)絡(luò)的訪問(wèn)。天珣客戶端準(zhǔn)入控制，發(fā)明性將每一臺(tái)計(jì)

41、算機(jī)終端都變成準(zhǔn)入控制點(diǎn)，保證每臺(tái)計(jì)算機(jī)終端只接受平安可信的計(jì)算機(jī)終端進(jìn)展訪問(wèn)，并只能在平安基線合格時(shí)訪問(wèn)網(wǎng)絡(luò)，實(shí)現(xiàn)最細(xì)粒度的準(zhǔn)入控制。天珣客戶端具備網(wǎng)絡(luò)阻斷功能，在計(jì)算機(jī)終端平安基線不符合要求時(shí)，天珣客戶端能不依賴網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)上其他終端或設(shè)備獨(dú)立執(zhí)行網(wǎng)絡(luò)訪問(wèn)阻斷。天珣客戶端更支持選擇性阻斷，在計(jì)算機(jī)終端平安基線不符合要求時(shí)，天珣客戶端能根據(jù)管理員預(yù)先配置的平安戰(zhàn)略，經(jīng)過(guò)進(jìn)程、端口、目的地址等條件，選擇性地阻止部分非緊急業(yè)務(wù)的網(wǎng)絡(luò)訪問(wèn)，而允許其他緊急業(yè)務(wù)的網(wǎng)絡(luò)訪問(wèn)。客戶端準(zhǔn)入控制部署建議客戶端準(zhǔn)入是天珣的戰(zhàn)略之一，客戶端全部完裝終了之后經(jīng)過(guò)下發(fā)一條幾乎的戰(zhàn)略即可實(shí)現(xiàn)。本方案中建議開(kāi)啟管理網(wǎng)段

42、內(nèi)的客戶端準(zhǔn)入，同時(shí)留意在IP組中排除網(wǎng)絡(luò)打印機(jī)、IP等特殊網(wǎng)絡(luò)設(shè)備，使其不影響用戶對(duì)這些設(shè)備的運(yùn)用。分工界面工程階段工程義務(wù)義務(wù)子項(xiàng)責(zé)任方職責(zé)分工啟明星辰XXXX院工程預(yù)備組建工程組XXXX院、啟明星辰售前售后交接、指定專門的售后效力人員、工程經(jīng)理和實(shí)施人員指派工程配合人員工程實(shí)施前預(yù)備制定實(shí)施方案XXXX院、啟明星辰提出部署要求安排人員配合實(shí)施，確認(rèn)場(chǎng)地、網(wǎng)絡(luò)環(huán)境預(yù)備XXXX院提出場(chǎng)地、環(huán)境要求確認(rèn)、支持實(shí)施階段現(xiàn)場(chǎng)驗(yàn)收啟明星辰對(duì)到貨設(shè)備進(jìn)展開(kāi)箱清點(diǎn)驗(yàn)收對(duì)到貨設(shè)備進(jìn)展清點(diǎn)驗(yàn)收 設(shè)備安裝調(diào)試設(shè)備上架啟明星辰規(guī)劃好物理位置、進(jìn)展設(shè)備上架安排人員配合設(shè)備加電啟明星辰對(duì)設(shè)備進(jìn)展加電測(cè)試系統(tǒng)部署啟明

43、星辰提出部署要求并按要求進(jìn)展系統(tǒng)部署安排人員配合工程進(jìn)度報(bào)告啟明星辰對(duì)工程進(jìn)度做出及時(shí)的匯總和報(bào)告現(xiàn)場(chǎng)培訓(xùn)啟明星辰對(duì)XXXX院技術(shù)人員進(jìn)展現(xiàn)場(chǎng)培訓(xùn)接受培訓(xùn)初步驗(yàn)收提交驗(yàn)收方案啟明星辰提交方案和流程確認(rèn)進(jìn)展設(shè)備驗(yàn)收到貨驗(yàn)收XXXX院、啟明星辰參與到貨驗(yàn)收試運(yùn)轉(zhuǎn)系統(tǒng)結(jié)合調(diào)試啟明星辰提供必要的協(xié)助提出需求缺點(diǎn)呼應(yīng)啟明星辰對(duì)系統(tǒng)問(wèn)題進(jìn)展呼應(yīng)并設(shè)備缺點(diǎn)進(jìn)展排除對(duì)缺點(diǎn)進(jìn)展申報(bào)系統(tǒng)終驗(yàn)系統(tǒng)開(kāi)工驗(yàn)收驗(yàn)收方案提交啟明星辰提交方案和流程對(duì)方案和流程進(jìn)展確認(rèn)開(kāi)工驗(yàn)收XXXX院、啟明星辰參與驗(yàn)收組織驗(yàn)收保修期啟明星辰三年技術(shù)支撐效力對(duì)缺點(diǎn)進(jìn)展申報(bào)附件一：效力器安裝及數(shù)據(jù)管理效力器安裝戰(zhàn)略效力器包括中心效力器、本地效力

44、器、補(bǔ)丁分發(fā)效力器、資產(chǎn)管理效力器、radius效力器、告警效力器等組件，一切功能效力器集中管理，組件可根據(jù)詳細(xì)情況增減。數(shù)據(jù)庫(kù)采用SQL SERVER，一致管理報(bào)警日志及審計(jì)等數(shù)據(jù)。安裝環(huán)境及要求客戶端Clients 計(jì)算機(jī)沒(méi)有很高的系統(tǒng)要求。客戶端軟件(也被稱CC)可以被安裝在Windows 32位系統(tǒng)之上，包括 Windows2000 SP4, Windows Server 2003 SP1 和Windows XP SP2, Windows XP SP3，Windows Vista, Windows Server 2021，Windows 7 數(shù)據(jù)庫(kù)支持32位 Microsoft SQL

45、 Server 2000，32/64位 Microsoft SQL Server 2005，支持32位Microsoft SQL Server 2021中心效力器Server 是整個(gè)戰(zhàn)略架構(gòu)的管理中心、戰(zhàn)略中心。必需運(yùn)轉(zhuǎn)2003 SERVER SP1 (32/64) 或 2021 Server SP1 (32/64)的平臺(tái)上。Windows 64位效力器對(duì)運(yùn)用程序的支持不是特別完善，能夠中心效力器運(yùn)轉(zhuǎn)過(guò)程中會(huì)出現(xiàn)不可預(yù)測(cè)的問(wèn)題。中心效力器經(jīng)過(guò)web方式管理，要求安裝IIS效力器。其對(duì)硬件要求的高低應(yīng)根據(jù)所管理的客戶端數(shù)量的多少來(lái)定，其中，效力器安裝要求的最低配置如下：硬件：CPUPIII 1G

46、或以上Memory1G或以上硬盤40G空閑軟件：Windows 2003 Server SP1以上Internet Information Services 6.0以上Dot Net Framework2.0MDAC 2.7或以上中心效力器、資產(chǎn)效力器和攻擊告警效力器需求安裝SQL Server數(shù)據(jù)庫(kù)，可根據(jù)現(xiàn)場(chǎng)環(huán)境選擇獨(dú)立安裝或集中安裝于中心效力器，假設(shè)安裝于中心效力器，請(qǐng)確保中心效力器有足夠的內(nèi)存和硬盤空間。建議將數(shù)據(jù)庫(kù)獨(dú)立安裝，這樣既不會(huì)由于數(shù)據(jù)庫(kù)讀寫頻繁影響中心效力器正常運(yùn)轉(zhuǎn)，也不會(huì)由于中心效力器負(fù)載過(guò)重影響數(shù)據(jù)庫(kù)讀寫。效力器組件中心戰(zhàn)略效力器一切戰(zhàn)略集中存放的地方，系統(tǒng)中獨(dú)一的Web

47、管理控制臺(tái)也與中心效力器集成在一同。管理員從Web管理控制臺(tái)登錄到Center Server，進(jìn)展戰(zhàn)略配置，報(bào)表查詢。Center Server同時(shí)兼作一個(gè)Local Server。本地戰(zhàn)略效力器本地戰(zhàn)略效力器是客戶端日常取戰(zhàn)略的地方，也是客戶端發(fā)送報(bào)表的目的地。本地戰(zhàn)略效力器從Center Server同步得到戰(zhàn)略。設(shè)置本地戰(zhàn)略效力器的目的是為了順應(yīng)企業(yè)大區(qū)域的分布式分級(jí)管理架構(gòu)。本地戰(zhàn)略效力器從中心戰(zhàn)略效力器獲取戰(zhàn)略，客戶端直接與本地戰(zhàn)略效力器通訊。資產(chǎn)管理效力器資產(chǎn)管理是對(duì)電腦的軟硬件資產(chǎn)進(jìn)展統(tǒng)計(jì)分析，并跟蹤記錄設(shè)備變卦的信息，到達(dá)對(duì)IT資產(chǎn)的高效、便利的管理。Radius效力器Radi

48、us效力器是天珣內(nèi)網(wǎng)平安風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)網(wǎng)絡(luò)準(zhǔn)入的必需組件。結(jié)合各類LDAP認(rèn)證，運(yùn)用802.1x協(xié)議或EOU協(xié)議在交換機(jī)網(wǎng)絡(luò)端口實(shí)施網(wǎng)絡(luò)準(zhǔn)入認(rèn)證，確保只需經(jīng)過(guò)認(rèn)證的客戶端接入并訪問(wèn)網(wǎng)絡(luò)。攻擊告警效力器攻擊告警效力器兼作為攻擊日志告警效力器和終端審計(jì)日志效力器，搜集由客戶端發(fā)來(lái)的攻擊告警信息和終端審計(jì)信息。并在中心效力器管理界面，可進(jìn)展統(tǒng)計(jì)和分類查詢。軟件分發(fā)效力器經(jīng)過(guò)軟件分發(fā)效力器可建立軟件安裝包，可根據(jù)目的地址或地址段、指定時(shí)間段分發(fā)MSI軟件包或自定義的運(yùn)用軟件包。HOD遠(yuǎn)程桌面效力器HOD遠(yuǎn)程桌面效力器用于記錄在線的遠(yuǎn)程桌面管理員的相關(guān)信息，為其關(guān)聯(lián)管理網(wǎng)段后，管理網(wǎng)段內(nèi)的用戶就可運(yùn)

49、用客戶端集成的遠(yuǎn)程桌面客戶端，向在線管理員發(fā)起遠(yuǎn)程桌面協(xié)助 懇求。戰(zhàn)略網(wǎng)關(guān)組件作為系統(tǒng)及運(yùn)用準(zhǔn)入的準(zhǔn)入控制點(diǎn)，檢查訪問(wèn)者的客戶端運(yùn)轉(zhuǎn)形狀，與客戶端配合強(qiáng)迫用戶滿足戰(zhàn)略。戰(zhàn)略網(wǎng)關(guān)從戰(zhàn)略網(wǎng)關(guān)代理上取戰(zhàn)略網(wǎng)關(guān)戰(zhàn)略。有時(shí)戰(zhàn)略網(wǎng)關(guān)戰(zhàn)略又叫插件戰(zhàn)略。戰(zhàn)略網(wǎng)關(guān)分為中性戰(zhàn)略網(wǎng)關(guān)和IIS、ISA Proxy、DNS等插件戰(zhàn)略網(wǎng)關(guān)。戰(zhàn)略網(wǎng)關(guān)代理戰(zhàn)略網(wǎng)關(guān)的管理者。一切的戰(zhàn)略網(wǎng)關(guān)都直接銜接到戰(zhàn)略網(wǎng)關(guān)代理，從戰(zhàn)略網(wǎng)關(guān)代理獲取戰(zhàn)略，接受管理。而戰(zhàn)略網(wǎng)關(guān)代理直接指向戰(zhàn)略效力器，并從戰(zhàn)略效力器獲取戰(zhàn)略。銜接到同一個(gè)戰(zhàn)略網(wǎng)關(guān)代理的一切戰(zhàn)略網(wǎng)關(guān)運(yùn)用一樣的戰(zhàn)略。設(shè)置戰(zhàn)略網(wǎng)關(guān)代理這個(gè)角色的目的是簡(jiǎn)化戰(zhàn)略網(wǎng)關(guān)的配置，由于有時(shí)一個(gè)企業(yè)需

50、求安裝多個(gè)戰(zhàn)略網(wǎng)關(guān)，而每個(gè)戰(zhàn)略網(wǎng)關(guān)的戰(zhàn)略一樣。同時(shí)，各個(gè)插件戰(zhàn)略網(wǎng)關(guān)可相互共享CC的形狀，如CC1在插件1上經(jīng)過(guò)了認(rèn)證，那么經(jīng)過(guò)插件2訪問(wèn)時(shí)就無(wú)需第2次認(rèn)證，提高系統(tǒng)性能。中性戰(zhàn)略網(wǎng)關(guān)中性戰(zhàn)略網(wǎng)關(guān)，也叫做中性插件，是安裝在恣意的X32位的Windows 2000 /2003/2021效力器或Linux的效力器上，執(zhí)行運(yùn)用準(zhǔn)入控制，它與安裝的效力器操作系統(tǒng)有關(guān)，而與該效力器運(yùn)轉(zhuǎn)何種運(yùn)用無(wú)關(guān)。當(dāng)終端訪問(wèn)到該效力器，都需求進(jìn)展平安基線檢查，假設(shè)不符合平安戰(zhàn)略，將被回絕訪問(wèn)該效力器，并給出提示信息只需基于http訪問(wèn)，才干正確提示。其中平安基線包括能否安裝客戶端軟件、安裝客戶端軟件的終端能否到達(dá)平安戰(zhàn)

51、略要求。IIS戰(zhàn)略網(wǎng)關(guān)部署在IIS效力器上，對(duì)一切訪問(wèn)該WEB效力器的終端實(shí)施運(yùn)用準(zhǔn)入控制，檢查終端能否符合平安戰(zhàn)略，假設(shè)不符合戰(zhàn)略，那么回絕訪問(wèn)，并給出提示信息。ISA戰(zhàn)略網(wǎng)關(guān)對(duì)一切經(jīng)過(guò)ISA效力器上網(wǎng)的終端，實(shí)施運(yùn)用準(zhǔn)入控制，假設(shè)不符合平安戰(zhàn)略，那么不允許終端經(jīng)過(guò)ISA訪問(wèn)INTERNET，并給出提示信息。EXCHANGE戰(zhàn)略網(wǎng)關(guān)部署在Exchange郵件效力器上，對(duì)訪問(wèn)EXCHANGE郵件效力器的終端實(shí)施運(yùn)用準(zhǔn)入控制，檢查客戶端能否符合平安戰(zhàn)略。對(duì)于不符合平安戰(zhàn)略的終端，Exchange戰(zhàn)略網(wǎng)關(guān)將阻斷其郵件效力，并給出提示信息。只支持EXCHANGE 2003郵件效力器DNS戰(zhàn)略網(wǎng)關(guān)及旁

52、路監(jiān)聽(tīng)式DNS戰(zhàn)略網(wǎng)關(guān)普通DNS戰(zhàn)略網(wǎng)關(guān)部署在DNS效力器上，對(duì)需求進(jìn)展DNS域名解析的終端實(shí)施準(zhǔn)入控制，檢查終端能否符合平安戰(zhàn)略，對(duì)于不符合平安戰(zhàn)略的終端，DNS戰(zhàn)略網(wǎng)關(guān)將阻斷其DNS懇求，并給出提示信息。假設(shè)是旁路監(jiān)聽(tīng)式DNS戰(zhàn)略網(wǎng)關(guān)，那么可部署在DNS效力器上也可部署在互聯(lián)網(wǎng)出口的某臺(tái)效力器上對(duì)一切DNS懇求進(jìn)展監(jiān)聽(tīng)。假設(shè)是在DNS效力器上，那么功能與傳統(tǒng)DNS戰(zhàn)略網(wǎng)關(guān)一樣，假設(shè)不是，那么旁聽(tīng)式的DNS網(wǎng)關(guān)必需安裝在鏈接互聯(lián)網(wǎng)出口交換機(jī)上的某臺(tái)交換機(jī)上，對(duì)這臺(tái)交換機(jī)上的其他端口的DNS懇求進(jìn)展鏡像，并在旁聽(tīng)式DNS網(wǎng)關(guān)的端口上進(jìn)展監(jiān)聽(tīng)，對(duì)需求進(jìn)展DNS解析的終端實(shí)施準(zhǔn)入控制，檢查終端能否

53、符合平安戰(zhàn)略，對(duì)于不符合平安戰(zhàn)略的終端，旁聽(tīng)式DNS戰(zhàn)略網(wǎng)關(guān)將阻斷其DNS懇求，并給出提示信息。安裝步驟天珣效力器的安裝共有兩種安裝選項(xiàng)：快速安裝和自定義安裝。插入光盤，自動(dòng)運(yùn)轉(zhuǎn)安裝光盤中的Autorun.exe后出現(xiàn)以下主安裝界面：快速安裝快速安裝默許安裝效力器的以下組件：中心戰(zhàn)略效力器、資產(chǎn)效力器、中心同步效力器、天珣效力形狀監(jiān)控效力、遠(yuǎn)程桌面效力器、攻擊告警效力器、RADIUS效力器、戰(zhàn)略網(wǎng)關(guān)代理、中性/DNS戰(zhàn)略網(wǎng)關(guān)、軟件分發(fā)效力器?？焖侔惭b選項(xiàng)的目的是一次安裝一切效力器相關(guān)的組件及DNS準(zhǔn)入控制組件，假設(shè)部署在網(wǎng)絡(luò)出口，那么可利用DNS準(zhǔn)入到達(dá)即插即用的效果。對(duì)中小運(yùn)用環(huán)境，我們的方

54、案首推這種即插即用的部署。快速安裝部署快速安裝將天珣內(nèi)網(wǎng)平安風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)安裝光盤放入光驅(qū)，可直接進(jìn)入安裝選擇界面。請(qǐng)點(diǎn)擊“快速安裝 。進(jìn)入天珣內(nèi)網(wǎng)平安風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)效力器的快速安裝界面安裝程序檢測(cè)系統(tǒng)環(huán)境系統(tǒng)必需安裝 “MDAC2.7或以上版本,“IIS和“Dot Net Framework 2.或者以上版本。假設(shè)系統(tǒng)還未安裝上述的系統(tǒng)組件，那么不能進(jìn)展下一步操作?？梢渣c(diǎn)擊旁邊的“安裝按鈕安裝所需的系統(tǒng)組件。 系統(tǒng)組件所用的SQL Server 可以選擇銜接到本機(jī)或者其它機(jī)器的SQL Server。假設(shè)您想將系統(tǒng)組件所用的SQL Server部署在本機(jī)，本機(jī)又沒(méi)有安裝SQL Serv

55、er。您可以選擇安裝SQL Server。您也可以選擇點(diǎn)擊檢測(cè)界面SQL Server旁邊的“安裝按鈕，運(yùn)轉(zhuǎn)安裝光盤帶的里的SQL SERVER2005 EXPRESS版本。留意：SQL Server Express 2005是由微軟公司開(kāi)發(fā)的 SQL Server 2005的縮減版，這個(gè)版本是免費(fèi)的，單個(gè)數(shù)據(jù)庫(kù)大小限制為4G。安裝完SQL SERVER2005 EXPRESS之后，安裝檢測(cè)程序會(huì)自動(dòng)開(kāi)啟SQL Server 的1433監(jiān)聽(tīng)端口。留意：假設(shè)系統(tǒng)曾經(jīng)安裝SQL數(shù)據(jù)庫(kù), 天珣內(nèi)網(wǎng)平安風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)安裝程序是不會(huì)協(xié)助 SQL Server 翻開(kāi)1433監(jiān)聽(tīng)端口的。安裝過(guò)程中，系統(tǒng)

56、會(huì)提示用戶選擇安裝的組件的途徑，并需求管理員指定中心效力器IP地址、初始管理網(wǎng)段地址等信息。指定效力器的安裝途徑，安裝組件所在盤符的空閑空間必需大于2G，默許安裝在C盤，用戶可以根據(jù)本人硬盤大小和需求改動(dòng)安裝盤符和途徑。指定中心效力器IP地址，系統(tǒng)默許選擇正在運(yùn)轉(zhuǎn)安裝程序的主機(jī)的IP地址為中心效力器IP地址。系統(tǒng)運(yùn)用端口為8833，請(qǐng)確保8833端口未被其他運(yùn)用占用；設(shè)置中心效力器中初始管理網(wǎng)段地址，系統(tǒng)預(yù)置是：運(yùn)轉(zhuǎn)本安裝程序的效力器所在的網(wǎng)段。選擇運(yùn)用管理方式；Windows集成認(rèn)證：在登錄web管理界面時(shí)運(yùn)用與windows系統(tǒng)帳號(hào)集成的認(rèn)證方式，如windows默許系統(tǒng)管理員帳號(hào)為adm

57、inistrator，那么天珣登錄web管理界面時(shí)也同樣運(yùn)用這個(gè)帳號(hào)及密碼。當(dāng)需求在天珣系統(tǒng)中創(chuàng)建其他管理帳號(hào)時(shí)，必需同時(shí)在windows系統(tǒng)帳號(hào)中建立一樣的帳號(hào)和一樣的密碼。三權(quán)分立方式：三權(quán)分立方式中，天珣系統(tǒng)默許管理員帳號(hào)/密碼為administrator/12345678，運(yùn)用此帳號(hào)登錄后，再行創(chuàng)建系統(tǒng)操作員帳號(hào)，并運(yùn)用系統(tǒng)操作員帳號(hào)登錄web管理界面進(jìn)展戰(zhàn)略配置。此方式與windows系統(tǒng)帳號(hào)無(wú)關(guān)。設(shè)置所用的SQL Server 的銜接的參數(shù)；請(qǐng)確認(rèn)此處的SQL SERVER的IP地址和監(jiān)聽(tīng)端口，以及正確的sa密碼。在安裝SQL SERVER時(shí)，請(qǐng)千萬(wàn)記得運(yùn)用混合認(rèn)證，并設(shè)定sa密碼

58、，否那么安裝程序無(wú)法登錄SQL SERVER數(shù)據(jù)庫(kù)填寫創(chuàng)建數(shù)據(jù)庫(kù)的用戶的帳號(hào)。預(yù)置用戶名是tx_user安裝程序?qū)⑻崾灸x擇授權(quán)文件License.dat的途徑。License.dat文件請(qǐng)與啟明星辰聯(lián)絡(luò)獲取最新的授權(quán)文件。點(diǎn)擊“閱讀選擇授權(quán)文件的途徑，選擇有效的授權(quán)文件安裝檢查完成，點(diǎn)擊“安裝進(jìn)展快速安裝部署；快速安裝的安裝完各組件之后，安裝程序會(huì)自動(dòng)運(yùn)轉(zhuǎn)客戶端打包程序進(jìn)展客戶端安裝包的制造； 其中可以自行設(shè)置中心效力器地址，指定客戶端的安裝目錄以及客戶端的安裝方式。總共可設(shè)置三種安裝方式，以普通方式安裝時(shí)會(huì)出現(xiàn)提示對(duì)話框，需由用戶進(jìn)展“確認(rèn)用戶答應(yīng) 、“選擇安裝目錄等操作；以自動(dòng)方式安裝時(shí)

59、會(huì)出現(xiàn)安裝界面，不需求用戶進(jìn)展任何操作，客戶端將自動(dòng)安裝至默許目錄；以靜默方式安裝時(shí)，正常情況下客戶端安裝過(guò)程中不會(huì)有任何提示，也不會(huì)有安裝界面出現(xiàn)，客戶端將自動(dòng)安裝至默許目錄，假設(shè)安裝的是帶防火墻模塊的客戶端那么安裝終了后會(huì)有重新啟動(dòng)計(jì)算機(jī)的提示。此外該打包程序還提供了多種選擇，用戶可靈敏選擇客戶端安裝包能否包含802.1x交換機(jī)認(rèn)證模塊。闡明：打包客戶端工具的運(yùn)用以winrar軟件為前提，在安裝客戶端打包工具前請(qǐng)確保操作系統(tǒng)中曾經(jīng)安裝有winrar軟件。制造客戶端包完成之后。關(guān)掉客戶端打包工具程序。即彈出要求系統(tǒng)重啟的界面。重啟系統(tǒng)。此時(shí)快速安裝部署天珣內(nèi)網(wǎng)平安風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)曾經(jīng)完成。

60、安裝完成后，請(qǐng)先檢查%InstallFolder%configdatabase目錄的平安屬性，確定該目錄及目錄下的文件能被System用戶及從Web登錄的管理員修正或者已賦予everyone用戶完全控制權(quán)限。然后請(qǐng)進(jìn)入效力控制器，假設(shè)系統(tǒng)曾經(jīng)自動(dòng)添加并運(yùn)轉(zhuǎn)“ES Center Server效力，那么闡明中心效力器曾經(jīng)安裝配置勝利。在天珣內(nèi)網(wǎng)平安風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)中心效力器的默許安裝目錄C:Program FilesVenustechEndpoint SecurityESServer中，Config目錄是天珣內(nèi)網(wǎng)平安風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)的Web管理站點(diǎn)主目錄；Download目錄是下載效力的根目錄