TSM終端安全管理技術(shù)建議書

1、 TSM終端安全管理技術(shù)建議書目 錄 TOC o 1-3 h z u HYPERLINK l _Toc523592304 1概述 PAGEREF _Toc523592304 h 4 HYPERLINK l _Toc523592305 1.1項(xiàng)目背景介紹 PAGEREF _Toc523592305 h 4 HYPERLINK l _Toc523592306 1.2網(wǎng)絡(luò)現(xiàn)狀分析 PAGEREF _Toc523592306 h 4 HYPERLINK l _Toc523592307 1.3項(xiàng)目規(guī)模和范圍 PAGEREF _Toc523592307 h 5 HYPERLINK l _Toc523592

2、308 1.4項(xiàng)目建設(shè)目標(biāo) PAGEREF _Toc523592308 h 6 HYPERLINK l _Toc523592309 2方案設(shè)計(jì)原則 PAGEREF _Toc523592309 h 7 HYPERLINK l _Toc523592310 3系統(tǒng)部署整體方案 PAGEREF _Toc523592310 h 8 HYPERLINK l _Toc523592311 3.1接入控制方案 PAGEREF _Toc523592311 h 8 HYPERLINK l _Toc523592312 3.2身份認(rèn)證方案 PAGEREF _Toc523592312 h 20 HYPERLINK l _

3、Toc523592313 3.3外來訪客管理方案 PAGEREF _Toc523592313 h 21 HYPERLINK l _Toc523592314 3.4設(shè)備自發(fā)現(xiàn) PAGEREF _Toc523592314 h 21 HYPERLINK l _Toc523592315 3.5軟硬件配置說明 PAGEREF _Toc523592315 h 21 HYPERLINK l _Toc523592316 3.5.1服務(wù)器配置 PAGEREF _Toc523592316 h 21 HYPERLINK l _Toc523592317 3.5.2安全網(wǎng)關(guān)配置 PAGEREF _Toc52359231

4、7 h 22 HYPERLINK l _Toc523592318 4終端安全管理方案 PAGEREF _Toc523592318 h 22 HYPERLINK l _Toc523592319 4.1終端加固管理 PAGEREF _Toc523592319 h 22 HYPERLINK l _Toc523592320 4.1.1防病毒軟件安全策略 PAGEREF _Toc523592320 h 22 HYPERLINK l _Toc523592321 4.1.2強(qiáng)化補(bǔ)丁安裝 PAGEREF _Toc523592321 h 23 HYPERLINK l _Toc523592322 4.1.3超時(shí)自

5、動(dòng)鎖屏 PAGEREF _Toc523592322 h 23 HYPERLINK l _Toc523592323 4.1.4注冊(cè)表配置管理 PAGEREF _Toc523592323 h 23 HYPERLINK l _Toc523592324 4.1.5冗余賬號(hào)檢查 PAGEREF _Toc523592324 h 23 HYPERLINK l _Toc523592325 4.1.6檢查賬號(hào)安全 PAGEREF _Toc523592325 h 23 HYPERLINK l _Toc523592326 4.1.7檢查端口策略 PAGEREF _Toc523592326 h 23 HYPERLIN

6、K l _Toc523592327 4.1.8網(wǎng)絡(luò)共享管理 PAGEREF _Toc523592327 h 24 HYPERLINK l _Toc523592328 4.1.9監(jiān)控非法應(yīng)用和服務(wù) PAGEREF _Toc523592328 h 24 HYPERLINK l _Toc523592329 4.2終端行為管理 PAGEREF _Toc523592329 h 24 HYPERLINK l _Toc523592330 4.2.1監(jiān)控網(wǎng)站訪問 PAGEREF _Toc523592330 h 24 HYPERLINK l _Toc523592331 4.2.2軟件安裝標(biāo)準(zhǔn)化 PAGEREF

7、_Toc523592331 h 24 HYPERLINK l _Toc523592332 4.2.3IP訪問和網(wǎng)絡(luò)應(yīng)用程序監(jiān)控 PAGEREF _Toc523592332 h 25 HYPERLINK l _Toc523592333 4.2.4終端入網(wǎng)審計(jì) PAGEREF _Toc523592333 h 25 HYPERLINK l _Toc523592334 4.3信息防泄密管理 PAGEREF _Toc523592334 h 25 HYPERLINK l _Toc523592335 4.3.1外設(shè)接口管理 PAGEREF _Toc523592335 h 25 HYPERLINK l _To

8、c523592336 4.3.2監(jiān)控USB設(shè)備使用 PAGEREF _Toc523592336 h 25 HYPERLINK l _Toc523592337 4.3.3撥號(hào)連接管理 PAGEREF _Toc523592337 h 26 HYPERLINK l _Toc523592338 4.3.4防止違規(guī)假設(shè)PROXY/路由器等外聯(lián)設(shè)備 PAGEREF _Toc523592338 h 26 HYPERLINK l _Toc523592339 4.3.5文件操作審計(jì) PAGEREF _Toc523592339 h 26 HYPERLINK l _Toc523592340 4.4網(wǎng)絡(luò)安全防護(hù) PA

9、GEREF _Toc523592340 h 26 HYPERLINK l _Toc523592341 4.4.1監(jiān)控網(wǎng)絡(luò)異常流量 PAGEREF _Toc523592341 h 26 HYPERLINK l _Toc523592342 4.4.2ARP防護(hù) PAGEREF _Toc523592342 h 26 HYPERLINK l _Toc523592343 4.4.3撥號(hào)連接管理 PAGEREF _Toc523592343 h 27 HYPERLINK l _Toc523592344 4.4.4防止違規(guī)假設(shè)PROXY/路由器等外聯(lián)設(shè)備 PAGEREF _Toc523592344 h 27

10、HYPERLINK l _Toc523592345 4.4.5DHCP強(qiáng)制管理 PAGEREF _Toc523592345 h 27 HYPERLINK l _Toc523592346 4.5USB存儲(chǔ)設(shè)備接入管理 PAGEREF _Toc523592346 h 27 HYPERLINK l _Toc523592347 4.5.1USB存儲(chǔ)設(shè)備的注冊(cè)審批流程管理 PAGEREF _Toc523592347 h 28 HYPERLINK l _Toc523592348 4.5.2USB存儲(chǔ)設(shè)備權(quán)限策略管理 PAGEREF _Toc523592348 h 28 HYPERLINK l _Toc52

11、3592349 4.5.3日志審計(jì) PAGEREF _Toc523592349 h 28 HYPERLINK l _Toc523592350 5桌面運(yùn)維管理方案 PAGEREF _Toc523592350 h 28 HYPERLINK l _Toc523592351 5.1補(bǔ)丁管理 PAGEREF _Toc523592351 h 28 HYPERLINK l _Toc523592352 5.1.1TSM與WSUS聯(lián)動(dòng) PAGEREF _Toc523592352 h 29 HYPERLINK l _Toc523592353 5.1.2補(bǔ)丁管理功能 PAGEREF _Toc523592353 h

12、29 HYPERLINK l _Toc523592354 5.2資產(chǎn)管理 PAGEREF _Toc523592354 h 30 HYPERLINK l _Toc523592355 5.3軟件分發(fā) PAGEREF _Toc523592355 h 31 HYPERLINK l _Toc523592356 5.4公告下發(fā) PAGEREF _Toc523592356 h 31 HYPERLINK l _Toc523592357 5.5遠(yuǎn)程協(xié)助 PAGEREF _Toc523592357 h 31 HYPERLINK l _Toc523592358 5.6安全審計(jì)報(bào)表 PAGEREF _Toc52359

13、2358 h 31 HYPERLINK l _Toc523592359 6TSM系統(tǒng)組成介紹 PAGEREF _Toc523592359 h 32 HYPERLINK l _Toc523592360 7TSM可靠性介紹 PAGEREF _Toc523592360 h 33 HYPERLINK l _Toc523592361 7.1操作安全性 PAGEREF _Toc523592361 h 33 HYPERLINK l _Toc523592362 7.2數(shù)據(jù)安全性 PAGEREF _Toc523592362 h 34 HYPERLINK l _Toc523592363 7.3系統(tǒng)可靠性方案 PA

14、GEREF _Toc523592363 h 34 HYPERLINK l _Toc523592364 7.3.1逃生通道 PAGEREF _Toc523592364 h 34 HYPERLINK l _Toc523592365 7.3.2SACG故障方案 PAGEREF _Toc523592365 h 34 HYPERLINK l _Toc523592366 7.3.3服務(wù)器多資源池備份方案 PAGEREF _Toc523592366 h 35 HYPERLINK l _Toc523592367 8方案特點(diǎn)及優(yōu)勢(shì) PAGEREF _Toc523592367 h 35概述項(xiàng)目背景介紹說明項(xiàng)目的背

15、景情況?！緲永侩S著XX各項(xiàng)業(yè)務(wù)的迅猛發(fā)展，組織和網(wǎng)絡(luò)規(guī)模的擴(kuò)充、企業(yè)網(wǎng)絡(luò)接入點(diǎn)的增加，使得網(wǎng)絡(luò)中的安全風(fēng)險(xiǎn)成倍的增加。為了有效保證業(yè)務(wù)的安全有效運(yùn)作，對(duì)企業(yè)IT信息系統(tǒng)的安全管理要求越來越高。在企業(yè)當(dāng)前復(fù)雜的網(wǎng)絡(luò)環(huán)境下，如何有效保證接入企業(yè)網(wǎng)絡(luò)的終端的安全可信，成為了信息安全建設(shè)的重中之重。身份認(rèn)證、安全檢查、補(bǔ)丁管理、重要網(wǎng)絡(luò)資源的安全防護(hù)、終端行為管理、資產(chǎn)管理等一系列歸一化的完整終端安全解決，成為企業(yè)IT安全管理人員追求的目標(biāo)。 在前期安全項(xiàng)目的基礎(chǔ)上，為了進(jìn)一步加強(qiáng)技術(shù)手段對(duì)終端安全的管理，消除有可能出現(xiàn)的信息安全風(fēng)險(xiǎn)，有效保證XX的網(wǎng)絡(luò)環(huán)境的安全性，充分加強(qiáng)終端的接入和安全管理成為

16、XX當(dāng)前辦公信息安全的當(dāng)務(wù)之急。網(wǎng)絡(luò)現(xiàn)狀分析在對(duì)現(xiàn)網(wǎng)結(jié)構(gòu)介紹時(shí)最好附上網(wǎng)絡(luò)拓?fù)鋱D，標(biāo)注清楚終端位置、各層網(wǎng)絡(luò)設(shè)備類型、業(yè)務(wù)服務(wù)器部署位置等。需要說明現(xiàn)網(wǎng)已有的安全設(shè)備數(shù)量及類型，分析存在的安全問題，例如病毒泛濫，非法網(wǎng)絡(luò)訪問，資產(chǎn)被盜，非法無線接入等?！緲永縓X企業(yè)網(wǎng)為典型的三層網(wǎng)絡(luò)架構(gòu)：核心層為核心交換機(jī)，匯聚層和接入層為低端交換機(jī)；核心層與匯聚層交換機(jī)均為雙機(jī)熱備。業(yè)務(wù)服務(wù)器均已經(jīng)集中部署，通過一臺(tái)匯聚交換機(jī)連接核心交換機(jī)處。 網(wǎng)絡(luò)現(xiàn)只有一個(gè)互聯(lián)網(wǎng)出口，已在出口處部署防火墻設(shè)備，終端通過Proxy代理服務(wù)器訪問互聯(lián)網(wǎng)。XX企業(yè)網(wǎng)絡(luò)拓?fù)鋱D從安全角度，XX企業(yè)網(wǎng)絡(luò)面臨以下問題：外來機(jī)器和終端

17、隨意接入企業(yè)內(nèi)網(wǎng)，導(dǎo)致內(nèi)部網(wǎng)絡(luò)的安全性岌岌可危；目前大多數(shù)終端部署XX防病毒軟件，少量安裝了XXX防病毒軟件，但沒有集中管理，對(duì)于感染病毒和木馬的終端無法進(jìn)行控制其訪問，只能通過管理手段要求分員工對(duì)終端進(jìn)行殺毒等等，并且該工作是事后的工作，當(dāng)一個(gè)未知病毒大面積爆發(fā)時(shí)有可以造成整個(gè)網(wǎng)絡(luò)無法使用，對(duì)網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行造成非常大的影響；沒有部署強(qiáng)制的補(bǔ)丁管理系統(tǒng)進(jìn)行補(bǔ)丁統(tǒng)一管理，各終端不打、漏打系統(tǒng)補(bǔ)丁狀況嚴(yán)重，而且沒有辦法強(qiáng)制安裝，導(dǎo)致一旦某臺(tái)終端感染病毒或惡意代碼，則很快就會(huì)在內(nèi)網(wǎng)泛濫；員工安全意識(shí)薄弱，企業(yè)安全策略難以實(shí)施。主要表現(xiàn)在私自安裝軟件的情況比較嚴(yán)重，無法對(duì)終端的非法軟件安裝情況等進(jìn)

18、行檢測(cè)和控制；非法外聯(lián)行為嚴(yán)重，經(jīng)常通過調(diào)制解調(diào)器、ISDN 撥號(hào)設(shè)備、ADSL 撥號(hào)設(shè)備、無線網(wǎng)卡等網(wǎng)絡(luò)設(shè)備非法接入互聯(lián)網(wǎng)，給網(wǎng)絡(luò)的安全性等帶來了極大的隱患；目前企業(yè)網(wǎng)絡(luò)沒有進(jìn)行準(zhǔn)入控制，任何終端只要插入網(wǎng)絡(luò)就能夠自由的訪問整個(gè)網(wǎng)絡(luò)，存在大量非法接入和非授權(quán)訪問的狀況，導(dǎo)致企業(yè)業(yè)務(wù)系統(tǒng)的破壞，以及關(guān)鍵信息資產(chǎn)的泄漏，已經(jīng)成為了企業(yè)需要解決的重要風(fēng)險(xiǎn)。項(xiàng)目規(guī)模和范圍項(xiàng)目終端主要集中在XXX，共計(jì)XXX終端。序號(hào)地點(diǎn)終端數(shù)目1XX總部20002XX地區(qū)分公司5003項(xiàng)目建設(shè)目標(biāo)為了解決XX終端安全桌面安全管理問題，有效保障分行內(nèi)部網(wǎng)絡(luò)的暢通、終端的安全和公司信息數(shù)據(jù)的安全，TSM終端安全管理解決

19、方案有效的幫助企業(yè)提供整合的內(nèi)網(wǎng)安全管理思路，實(shí)現(xiàn)從終端到業(yè)務(wù)系統(tǒng)的控制和管理功能。內(nèi)網(wǎng)安全解決方案將試圖訪問企業(yè)網(wǎng)絡(luò)資源的用戶進(jìn)行身份認(rèn)證和強(qiáng)制實(shí)施安全認(rèn)證，通過雙重檢查保證接入網(wǎng)絡(luò)終端的安全性，對(duì)不滿足需求的終端自動(dòng)引導(dǎo)進(jìn)行安全修復(fù)和補(bǔ)丁安裝，對(duì)滿足需求的終端接入網(wǎng)絡(luò)后，對(duì)其網(wǎng)絡(luò)和終端行為進(jìn)行實(shí)時(shí)監(jiān)測(cè)和審計(jì)，保護(hù)終端軟硬件資產(chǎn)，防止信息泄密，最大程度保障企業(yè)信息安全。終端接入企業(yè)內(nèi)網(wǎng)的管理流程如下所示：XX終端安全管理解決方案包括以下內(nèi)容：網(wǎng)絡(luò)安全準(zhǔn)入控制提供終端用戶基于角色的安全接入檢查和網(wǎng)絡(luò)訪問權(quán)限控制。通過不同準(zhǔn)入控制方案配合，實(shí)現(xiàn)只允許符合企業(yè)安全規(guī)定的合法終端用戶接入網(wǎng)絡(luò)，防止內(nèi)

20、部合法但不安全的用戶連接到企業(yè)內(nèi)部網(wǎng)絡(luò)以及防止外部非法用戶訪問企業(yè)內(nèi)部網(wǎng)絡(luò)。及時(shí)發(fā)現(xiàn)外來設(shè)備接入網(wǎng)絡(luò)隔離存在重大安全隱患的終端隔離未安裝補(bǔ)丁的終端，防止感染病毒隔離不符合安全策略要求的終端同時(shí)，對(duì)接入網(wǎng)絡(luò)后的安全終端用戶實(shí)現(xiàn)企業(yè)資源細(xì)粒度訪問控制，針對(duì)企業(yè)不同級(jí)別的終端用戶訪問內(nèi)部資源開放不同的資源訪問權(quán)限。終端系統(tǒng)安全性檢查提供豐富的準(zhǔn)入安全檢查策略，實(shí)現(xiàn)接入企業(yè)內(nèi)部網(wǎng)絡(luò)終端的安全性要求。包括操作系統(tǒng)補(bǔ)丁檢查、軟件黑白名單檢查、端口檢查、防病毒軟件安全性檢查、軟件/進(jìn)程/服務(wù)檢查、共享目錄檢查、外設(shè)檢查、賬號(hào)合規(guī)性檢查等。有效阻斷信息泄密行徑有效封堵企業(yè)內(nèi)部信息的泄密行為，通過終端外設(shè)管理策

21、略，有效管理終端外設(shè)端口使用；提供移動(dòng)存儲(chǔ)設(shè)備寫加密功能，實(shí)現(xiàn)拷貝資料的寫加密處理；通過對(duì)上網(wǎng)路徑的有效性檢查，避免內(nèi)部資源通過非法途徑外泄的可能。網(wǎng)絡(luò)訪問管理、文件操作審計(jì)等多種措施配合，有效保證企業(yè)內(nèi)部安全管理制度的落地。加固終端的安全性協(xié)助企業(yè)下載基于Window操作系統(tǒng)的最新補(bǔ)丁包，幫助終端自動(dòng)安裝操作系統(tǒng)補(bǔ)丁、支持企業(yè)必備的軟件網(wǎng)絡(luò)推送功能，提供自動(dòng)修復(fù)和企業(yè)個(gè)性化修復(fù)建議。資產(chǎn)管理資產(chǎn)管理模塊實(shí)現(xiàn)對(duì)全網(wǎng)終端的硬件和軟件資產(chǎn)進(jìn)行自動(dòng)收集、統(tǒng)一管理，減少IT維護(hù)工作量，實(shí)時(shí)上報(bào)資產(chǎn)變更和告警；自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)中安裝了代理的終端以及新接入的未安裝代理終端，能夠?qū)π略O(shè)備的接入和代理卸載事件進(jìn)行

22、告警響應(yīng)。運(yùn)維管理通過在線趨勢(shì)報(bào)表、安全策略趨勢(shì)報(bào)表、違規(guī)策略TOPN等，方便管理者第一時(shí)間動(dòng)態(tài)掌握整網(wǎng)的安全情況；遠(yuǎn)程協(xié)助提供對(duì)遠(yuǎn)程終端用戶的監(jiān)視和控制功能，管理員可通過監(jiān)控故障終端遠(yuǎn)程幫助終端用戶進(jìn)行系統(tǒng)的故障排除。方案設(shè)計(jì)原則方案以網(wǎng)絡(luò)身份識(shí)別為基礎(chǔ)，以準(zhǔn)入控制為手段，以桌面管理為補(bǔ)充，構(gòu)建一體化的內(nèi)網(wǎng)安全解決方案。整體方案設(shè)計(jì)遵循以下原則：技術(shù)和管理并重安全防御“三分技術(shù)，七分管理”，除了企業(yè)安全技術(shù)手段外，需要配合企業(yè)的安全管理運(yùn)作制度，強(qiáng)化各項(xiàng)安全策略和流程的有效執(zhí)行；遵從相關(guān)法律法規(guī)以安全法規(guī)為基礎(chǔ)，遵從國家相關(guān)安全政策，創(chuàng)建全面動(dòng)態(tài)安全策略；適應(yīng)企業(yè)信息安全現(xiàn)狀以企業(yè)安全現(xiàn)狀為

23、基礎(chǔ)，充分考慮企業(yè)存在的信息安全風(fēng)險(xiǎn)，完善企業(yè)IT內(nèi)控管理；管理方便、易于維護(hù)依照目前企業(yè)的管理機(jī)制和組織結(jié)構(gòu)，保證系統(tǒng)架構(gòu)明確、管理方便，節(jié)省維護(hù)成本；安全可靠系統(tǒng)應(yīng)具有安全保障體系，確保網(wǎng)絡(luò)的安全和保密，采用先進(jìn)的軟硬件等技術(shù)手段，實(shí)現(xiàn)網(wǎng)絡(luò)的傳輸安全、數(shù)據(jù)安全、接口安全；同時(shí)系統(tǒng)應(yīng)具有高可靠性和冗余設(shè)計(jì)；系統(tǒng)部署整體方案接入控制方案目前XX企業(yè)的網(wǎng)絡(luò)建設(shè)比較完善，但在內(nèi)網(wǎng)中，基于交換機(jī)實(shí)現(xiàn)的IP的訪問控制不僅配置管理不夠靈活，而且還存在IP被仿冒等安全風(fēng)險(xiǎn)，無法徹底解決非法接入和越權(quán)訪問的問題。TSM系統(tǒng)終端用戶的身份認(rèn)證，通過基于用戶角色的網(wǎng)絡(luò)訪問權(quán)限管理，加強(qiáng)內(nèi)網(wǎng)的網(wǎng)絡(luò)訪問控制，防止非

24、法接入和非授權(quán)訪問，保證企業(yè)內(nèi)網(wǎng)的安全。本節(jié)根據(jù)現(xiàn)網(wǎng)情況介紹部署方案，需要針對(duì)具體的網(wǎng)絡(luò)結(jié)構(gòu)和客戶需求，選擇相應(yīng)的部署方案【樣例1SACG硬件網(wǎng)關(guān)方案】XX企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如 REF pic2_1 h n * MERGEFORMAT 圖2-2 REF pic2_1 * MERGEFORMAT REF pic2_1 f h * MERGEFORMAT REF pic2_1 f h * MERGEFORMAT 所示：XX企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖其網(wǎng)絡(luò)架構(gòu)特點(diǎn)如下：網(wǎng)絡(luò)層次清晰，為典型的三層網(wǎng)絡(luò)架構(gòu)；存在數(shù)據(jù)中心，現(xiàn)網(wǎng)的業(yè)務(wù)服務(wù)器已經(jīng)集中部署在數(shù)據(jù)中心里；終端較為集中，無分支機(jī)構(gòu)或其他網(wǎng)絡(luò)接入點(diǎn)；根據(jù)方案

25、設(shè)計(jì)依據(jù)和設(shè)計(jì)原則，結(jié)合XX企業(yè)現(xiàn)網(wǎng)拓?fù)浼軜?gòu)和客戶的具體需求，建議TSM系統(tǒng)采取集中式部署，部署示意圖如下：XX企業(yè)TSM系統(tǒng)部署示意圖部署說明：1） SACG（安全接入控制網(wǎng)關(guān)）硬件設(shè)備分別旁掛在核心交換機(jī)處，兩臺(tái)SACG之間做主備，以保證SACG的高可靠性；在核心交換機(jī)處啟策略路由，將終端訪問系統(tǒng)系統(tǒng)的上行流量引流至SACG進(jìn)行控制。2） TSM系統(tǒng)服務(wù)器采取集中部署在現(xiàn)有業(yè)務(wù)系統(tǒng)區(qū)域，保證與SACG和所有終端路由可達(dá)。3） 將現(xiàn)有網(wǎng)絡(luò)資源按照業(yè)務(wù)和安全等級(jí)劃分為3個(gè)安全域：認(rèn)證前域：終端在身份認(rèn)證和安全檢查通過前能夠訪問的網(wǎng)絡(luò)資源，包括DHCP服務(wù)器、TSM系統(tǒng)服務(wù)器等；隔離域：終端在通

26、過身份認(rèn)證但沒有通過安全檢查時(shí)處于被隔離狀態(tài)，此時(shí)僅能夠進(jìn)行安全修復(fù)操作，包括防病毒軟件病毒庫升級(jí)服務(wù)器、補(bǔ)丁服務(wù)器等；認(rèn)證后域：終端在通過身份認(rèn)證和安全檢查后能夠訪問的網(wǎng)絡(luò)資源，管理員可根據(jù)工作相關(guān)性和最小授權(quán)原則，將不同的終端用戶授權(quán)訪問相應(yīng)的網(wǎng)絡(luò)資源，有效防止非法訪問和越權(quán)訪問?！緲永?802.1x方案】XX企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖 REF pic2_1 * MERGEFORMAT REF pic2_1 f h * MERGEFORMAT REF pic2_1 f h * MERGEFORMAT 所示：XX企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖其網(wǎng)絡(luò)架構(gòu)特點(diǎn)如下：網(wǎng)絡(luò)較新，交換機(jī)廠商較單一，多為華為交換機(jī)，少量

27、為Cisco交換機(jī)，而且均支持802.1x協(xié)議；現(xiàn)網(wǎng)部署有DHCP服務(wù)器，全網(wǎng)均采用動(dòng)態(tài)IP地址方式；網(wǎng)絡(luò)規(guī)模較小，終端較為集中，無分支機(jī)構(gòu)或其他網(wǎng)絡(luò)接入點(diǎn)；根據(jù)方案設(shè)計(jì)依據(jù)和設(shè)計(jì)原則，結(jié)合XX企業(yè)現(xiàn)網(wǎng)拓?fù)浼軜?gòu)和客戶的具體需求，建議TSM系統(tǒng)采取集中式部署，部署示意圖如下：XX企業(yè)TSM系統(tǒng)部署示意圖部署說明：1） 在所有接入層交換機(jī)802.1x認(rèn)證模式，交換機(jī)認(rèn)證的Radius服務(wù)器地址指定為TSM服務(wù)器地址；2）在交換機(jī)上劃分至少兩個(gè)Vlan：隔離Vlan：即終端沒有安全檢查時(shí)進(jìn)入的Vlan，該Vlan只能訪問指定的處在隔離域的網(wǎng)絡(luò)資源，如補(bǔ)丁服務(wù)器、防病毒軟件病毒庫升級(jí)服務(wù)器等；工作Vl

28、an：即終端通過身份認(rèn)證和安全檢查時(shí)進(jìn)入的Vlan，該Vlan可以正常訪問相應(yīng)的網(wǎng)絡(luò)資源。2） TSM系統(tǒng)服務(wù)器采取集中部署在現(xiàn)有業(yè)務(wù)系統(tǒng)區(qū)域，保證與啟用802.1x認(rèn)證的交換機(jī)和所有終端路由可達(dá)；此部署方案中，需要在所有接入終端安裝TSM系統(tǒng)的客戶端Agent，通過TSM Agent進(jìn)行身份認(rèn)證和安全檢查；TSM服務(wù)器根據(jù)終端身份認(rèn)證和安全檢查的結(jié)果，通知終端接入交換機(jī)動(dòng)態(tài)切換對(duì)應(yīng)端口所處的Vlan，從而實(shí)現(xiàn)對(duì)終端接入網(wǎng)絡(luò)的控制。【樣例3軟件SACG方案】XX企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖 REF pic2_1 * MERGEFORMAT REF pic2_1 f h * MERGEFORMAT RE

29、F pic2_1 f h * MERGEFORMAT 所示：XX企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖其網(wǎng)絡(luò)架構(gòu)特點(diǎn)如下：網(wǎng)絡(luò)部署時(shí)間較長(zhǎng)，交換機(jī)品牌較多，相當(dāng)一部分交換機(jī)不支持802.1x協(xié)議；網(wǎng)絡(luò)規(guī)模較小，終端較為集中，無分支機(jī)構(gòu)或VPN等其他網(wǎng)絡(luò)接入點(diǎn)；根據(jù)方案設(shè)計(jì)依據(jù)和設(shè)計(jì)原則，結(jié)合XX企業(yè)現(xiàn)網(wǎng)拓?fù)浼軜?gòu)和客戶的具體需求，建議TSM系統(tǒng)采取集中式部署，部署示意圖如下：XX企業(yè)TSM系統(tǒng)部署示意圖部署說明：1） 在所有接入終端安裝TSM系統(tǒng)的客戶端Agent；2） TSM系統(tǒng)服務(wù)器部署在現(xiàn)有業(yè)務(wù)系統(tǒng)區(qū)域，保證與所有終端路由可達(dá)；3） 在TSM系統(tǒng)管理界面啟用基于主機(jī)防火墻的準(zhǔn)入控制功能，并將現(xiàn)有網(wǎng)絡(luò)資源按照業(yè)

30、務(wù)和安全等級(jí)劃分為3個(gè)安全域：認(rèn)證前域：終端在身份認(rèn)證和安全檢查通過前能夠訪問的網(wǎng)絡(luò)資源，包括DHCP服務(wù)器、TSM系統(tǒng)服務(wù)器等；隔離域：終端在通過身份認(rèn)證但沒有通過安全檢查時(shí)處于被隔離狀態(tài)，此時(shí)僅能夠進(jìn)行安全修復(fù)操作，包括防病毒軟件病毒庫升級(jí)服務(wù)器、補(bǔ)丁服務(wù)器等；認(rèn)證后域：終端在通過身份認(rèn)證和安全檢查后能夠訪問的網(wǎng)絡(luò)資源，管理員可根據(jù)工作相關(guān)性和最小授權(quán)原則，將不同的終端用戶授權(quán)訪問相應(yīng)的網(wǎng)絡(luò)資源，有效防止非法訪問和越權(quán)訪問。此部署方案中，需要在所有接入終端安裝TSM系統(tǒng)的客戶端Agent，通過TSM Agent集成的主機(jī)防火墻對(duì)終端接入網(wǎng)絡(luò)進(jìn)行準(zhǔn)入控制。TSM服務(wù)器根據(jù)終端身份認(rèn)證和安全檢

31、查的結(jié)果，通知終端上的客戶端Agent允許或拒絕接入企業(yè)網(wǎng)絡(luò)，從而實(shí)現(xiàn)對(duì)終端接入網(wǎng)絡(luò)的控制。【樣例4硬件SACG+軟件SACG方案】XX企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖 REF pic2_1 * MERGEFORMAT REF pic2_1 f h * MERGEFORMAT REF pic2_1 f h * MERGEFORMAT 所示：XX企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖其網(wǎng)絡(luò)架構(gòu)特點(diǎn)如下：網(wǎng)絡(luò)部署時(shí)間較長(zhǎng)，經(jīng)過多次擴(kuò)容，交換機(jī)品牌較多，擴(kuò)容之前的一部分交換機(jī)不支持802.1x協(xié)議；網(wǎng)絡(luò)架構(gòu)層次清楚，服務(wù)器集中放置在數(shù)據(jù)中心統(tǒng)一進(jìn)行管理；根據(jù)方案設(shè)計(jì)依據(jù)和設(shè)計(jì)原則，結(jié)合XX企業(yè)現(xiàn)網(wǎng)拓?fù)浼軜?gòu)和客戶的具體需求，建議TS

32、M系統(tǒng)采取集中式部署，部署示意圖如下：XX企業(yè)TSM系統(tǒng)部署示意圖部署說明：1） 在所有接入終端安裝TSM系統(tǒng)的客戶端Agent；2） 在核心交換機(jī)處側(cè)掛TSM系統(tǒng)的SACG硬件安全接入控制網(wǎng)關(guān)設(shè)備，通過策略路由將所有訪問業(yè)務(wù)服務(wù)器區(qū)域的上行引流至SACG進(jìn)行控制；2） TSM系統(tǒng)服務(wù)器部署在現(xiàn)有業(yè)務(wù)系統(tǒng)區(qū)域，保證與所有終端路由可達(dá)；3） 在TSM系統(tǒng)管理界面啟用基于主機(jī)防火墻的準(zhǔn)入控制功能，并將現(xiàn)有網(wǎng)絡(luò)資源按照業(yè)務(wù)和安全等級(jí)劃分為3個(gè)安全域：認(rèn)證前域：終端在身份認(rèn)證和安全檢查通過前能夠訪問的網(wǎng)絡(luò)資源，包括DHCP服務(wù)器、TSM系統(tǒng)服務(wù)器等；隔離域：終端在通過身份認(rèn)證但沒有通過安全檢查時(shí)處于被

33、隔離狀態(tài)，此時(shí)僅能夠進(jìn)行安全修復(fù)操作，包括防病毒軟件病毒庫升級(jí)服務(wù)器、補(bǔ)丁服務(wù)器等；認(rèn)證后域：終端在通過身份認(rèn)證和安全檢查后能夠訪問的網(wǎng)絡(luò)資源，管理員可根據(jù)工作相關(guān)性和最小授權(quán)原則，將不同的終端用戶授權(quán)訪問相應(yīng)的網(wǎng)絡(luò)資源，有效防止非法訪問和越權(quán)訪問。此部署方案中，需要在所有接入終端安裝TSM系統(tǒng)的客戶端Agent，通過TSM Agent集成的主機(jī)防火墻和硬件SACG網(wǎng)關(guān)相配合，對(duì)終端接入網(wǎng)絡(luò)進(jìn)行準(zhǔn)入控制：主機(jī)防火墻負(fù)責(zé)二層的準(zhǔn)入控制，硬件SACG網(wǎng)關(guān)負(fù)責(zé)保護(hù)核心業(yè)務(wù)服務(wù)器區(qū)域。TSM服務(wù)器根據(jù)終端身份認(rèn)證和安全檢查的結(jié)果，對(duì)終端接入網(wǎng)絡(luò)的控制?！緲永?分布式部署方案】XX企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖

34、REF pic2_1 * MERGEFORMAT REF pic2_1 f h * MERGEFORMAT REF pic2_1 f h * MERGEFORMAT 所示：XX企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖其網(wǎng)絡(luò)架構(gòu)特點(diǎn)如下：網(wǎng)絡(luò)規(guī)模較大，除了總部本地的局域網(wǎng)，在其他地方還有多個(gè)分支機(jī)構(gòu)，分支機(jī)構(gòu)通過專線接入總部；網(wǎng)絡(luò)部署時(shí)間較長(zhǎng)，經(jīng)過多次擴(kuò)容，交換機(jī)品牌較多，擴(kuò)容之前的一部分交換機(jī)不支持802.1x協(xié)議；網(wǎng)絡(luò)架構(gòu)層次清楚，服務(wù)器集中放置在數(shù)據(jù)中心統(tǒng)一進(jìn)行管理；根據(jù)方案設(shè)計(jì)依據(jù)和設(shè)計(jì)原則，結(jié)合XX企業(yè)現(xiàn)網(wǎng)拓?fù)浼軜?gòu)和客戶的具體需求，建議TSM系統(tǒng)采取分布式部署，部署示意圖如下：XX企業(yè)TSM系統(tǒng)部署示意圖部

35、署說明：1） 在所有接入終端安裝TSM系統(tǒng)的客戶端Agent；2） 在總部及各分支機(jī)構(gòu)的匯聚交換機(jī)處側(cè)掛TSM系統(tǒng)的SACG硬件安全接入控制網(wǎng)關(guān)設(shè)備，通過策略路由將所有訪問業(yè)務(wù)服務(wù)器區(qū)域的上行引流至SACG進(jìn)行控制；2） TSM系統(tǒng)管理服務(wù)器（SM）部署在總部現(xiàn)有業(yè)務(wù)系統(tǒng)區(qū)域，TSM系統(tǒng)控制服務(wù)器（SC）分布式部署在總部和各分支機(jī)構(gòu)，負(fù)責(zé)當(dāng)?shù)亟K端的身份認(rèn)證和安全檢查，所有的控制器統(tǒng)一由總部的管理服務(wù)器進(jìn)行管理；3） 在TSM系統(tǒng)管理界面啟用基于主機(jī)防火墻的準(zhǔn)入控制功能，并將現(xiàn)有網(wǎng)絡(luò)資源按照業(yè)務(wù)和安全等級(jí)劃分為3個(gè)安全域：認(rèn)證前域：終端在身份認(rèn)證和安全檢查通過前能夠訪問的網(wǎng)絡(luò)資源，包括DHCP服

36、務(wù)器、TSM系統(tǒng)服務(wù)器等；隔離域：終端在通過身份認(rèn)證但沒有通過安全檢查時(shí)處于被隔離狀態(tài)，此時(shí)僅能夠進(jìn)行安全修復(fù)操作，包括防病毒軟件病毒庫升級(jí)服務(wù)器、補(bǔ)丁服務(wù)器等；認(rèn)證后域：終端在通過身份認(rèn)證和安全檢查后能夠訪問的網(wǎng)絡(luò)資源，管理員可根據(jù)工作相關(guān)性和最小授權(quán)原則，將不同的終端用戶授權(quán)訪問相應(yīng)的網(wǎng)絡(luò)資源，有效防止非法訪問和越權(quán)訪問。此部署方案中，需要在所有接入終端安裝TSM系統(tǒng)的客戶端Agent，通過TSM服務(wù)器與SACG網(wǎng)關(guān)設(shè)備的聯(lián)動(dòng)，根據(jù)終端身份認(rèn)證和安全檢查的結(jié)果由TSM服務(wù)器通知相應(yīng)的SACG開放指定終端的網(wǎng)絡(luò)訪問權(quán)限?！緲永?分級(jí)式部署方案】XX企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖 REF pic2_1

37、* MERGEFORMAT REF pic2_1 f h * MERGEFORMAT REF pic2_1 f h * MERGEFORMAT 所示：XX企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖其網(wǎng)絡(luò)架構(gòu)特點(diǎn)如下：網(wǎng)絡(luò)規(guī)模較大，除了總部本地的局域網(wǎng)，在其他地方還有多個(gè)分支機(jī)構(gòu)，分支機(jī)構(gòu)通過專線接入總部；需要總部的統(tǒng)一規(guī)劃管理和分支機(jī)構(gòu)在繼承總部策略前提下的個(gè)性化管理；網(wǎng)絡(luò)部署時(shí)間較長(zhǎng)，經(jīng)過多次擴(kuò)容，交換機(jī)品牌較多，擴(kuò)容之前的一部分交換機(jī)不支持802.1x協(xié)議；網(wǎng)絡(luò)架構(gòu)層次清晰，服務(wù)器集中放置在數(shù)據(jù)中心統(tǒng)一進(jìn)行管理；根據(jù)方案設(shè)計(jì)依據(jù)和設(shè)計(jì)原則，結(jié)合XX企業(yè)現(xiàn)網(wǎng)拓?fù)浼軜?gòu)和客戶的具體需求，建議TSM系統(tǒng)采取分布式部署，部

38、署示意圖如下：XX企業(yè)TSM系統(tǒng)部署示意圖部署說明：1） 在所有接入終端安裝TSM系統(tǒng)的客戶端Agent；2） 在總部及各分支機(jī)構(gòu)的匯聚交換機(jī)處側(cè)掛TSM系統(tǒng)的SACG硬件安全接入控制網(wǎng)關(guān)設(shè)備，通過策略路由將所有訪問業(yè)務(wù)服務(wù)器區(qū)域的上行引流至SACG進(jìn)行控制；2） TSM系統(tǒng)管理中心（TMC）部署在總部現(xiàn)有業(yè)務(wù)系統(tǒng)區(qū)域，TSM系統(tǒng)管理節(jié)點(diǎn)（SM+SC）分布式部署在總部和各分支機(jī)構(gòu)，負(fù)責(zé)各個(gè)地區(qū)策略制定以及終端的身份認(rèn)證和安全檢查，所有的TSM系統(tǒng)管理節(jié)點(diǎn)統(tǒng)一由總部的管理服務(wù)器進(jìn)行管理；3） 在TSM系統(tǒng)管理界面啟用基于主機(jī)防火墻的準(zhǔn)入控制功能，并將現(xiàn)有網(wǎng)絡(luò)資源按照業(yè)務(wù)和安全等級(jí)劃分為3個(gè)安全域

39、：認(rèn)證前域：終端在身份認(rèn)證和安全檢查通過前能夠訪問的網(wǎng)絡(luò)資源，包括DHCP服務(wù)器、TSM系統(tǒng)服務(wù)器等；隔離域：終端在通過身份認(rèn)證但沒有通過安全檢查時(shí)處于被隔離狀態(tài)，此時(shí)僅能夠進(jìn)行安全修復(fù)操作，包括防病毒軟件病毒庫升級(jí)服務(wù)器、補(bǔ)丁服務(wù)器等；認(rèn)證后域：終端在通過身份認(rèn)證和安全檢查后能夠訪問的網(wǎng)絡(luò)資源，管理員可根據(jù)工作相關(guān)性和最小授權(quán)原則，將不同的終端用戶授權(quán)訪問相應(yīng)的網(wǎng)絡(luò)資源，有效防止非法訪問和越權(quán)訪問。該部署方案中需要在所有接入終端安裝TSM系統(tǒng)的客戶端Agent，通過TSM服務(wù)器與SACG網(wǎng)關(guān)設(shè)備的聯(lián)動(dòng)，根據(jù)終端身份認(rèn)證和安全檢查的結(jié)果由TSM服務(wù)器通知相應(yīng)的接入控制和終端安全解決方案。身份認(rèn)

40、證方案TSM系統(tǒng)建立了完善的接入用戶身份認(rèn)證機(jī)制，支持系統(tǒng)內(nèi)置賬號(hào)和外部數(shù)據(jù)源方式。系統(tǒng)內(nèi)置賬號(hào)包括普通賬號(hào)、MAC賬號(hào)，外部數(shù)據(jù)源賬號(hào)支持從AD賬號(hào)、LDAP賬號(hào)和CA賬號(hào)等第三方的用戶系統(tǒng)中同步賬號(hào)，實(shí)現(xiàn)終端的網(wǎng)絡(luò)準(zhǔn)入前的身份認(rèn)證過程?？蛻羰欠褚呀?jīng)部署AD域服務(wù)器或者其他LDAP服務(wù)器，根據(jù)此情況具體說明終端用戶的賬號(hào)如何管理TSM系統(tǒng)中，終端用戶是以終端角色來進(jìn)行安全策略和網(wǎng)絡(luò)訪問權(quán)限管理的，終端只有完成身份認(rèn)證才能接入企業(yè)內(nèi)網(wǎng)，因此本次實(shí)施方案需完成終端用戶的認(rèn)證賬號(hào)配置。TSM系統(tǒng)參考現(xiàn)有企業(yè)的組織和管理結(jié)構(gòu)，采用樹狀結(jié)構(gòu)的多級(jí)管理方式，賬號(hào)數(shù)據(jù)源支持系統(tǒng)內(nèi)置賬號(hào)和外部數(shù)據(jù)源方式。系

41、統(tǒng)內(nèi)置賬號(hào)包括普通賬號(hào)、MAC賬號(hào)，外部數(shù)據(jù)源賬號(hào)支持從AD賬號(hào)、LDAP賬號(hào)和CA賬號(hào)等第三方用戶系統(tǒng)中同步賬號(hào)，完成TSM系統(tǒng)的接入認(rèn)證?！緲永?AD/LDAP/CA聯(lián)動(dòng)認(rèn)證方式】由于XX已經(jīng)部署了微軟的AD域服務(wù)器進(jìn)行用戶管理，可利用TSM系統(tǒng)支持與AD域服務(wù)器進(jìn)行認(rèn)證聯(lián)動(dòng)功能，因此，這里推薦使用TSM系統(tǒng)的“AD聯(lián)動(dòng)認(rèn)證”方式。在本方案里，建議部署的TSM系統(tǒng)里用戶組與現(xiàn)有AD域服務(wù)器里的OU結(jié)構(gòu)保持一致，建立一一對(duì)應(yīng)的關(guān)系，定時(shí)與AD域服務(wù)器進(jìn)行用戶信息同步。部署以后，終端用戶通過域賬號(hào)登陸操作系統(tǒng)后，TSM系統(tǒng)的客戶端代理程序會(huì)自動(dòng)獲取當(dāng)前用戶的AD域賬號(hào)信息，通過TSM服務(wù)器與A

42、D服務(wù)器之間的聯(lián)動(dòng)實(shí)現(xiàn)認(rèn)證。管理員配置安全檢查策略時(shí)，僅對(duì)TSM系統(tǒng)里的用戶信息進(jìn)行配置，對(duì)原有AD域的信息不造成任何的影響。整個(gè)認(rèn)證過程對(duì)客戶現(xiàn)有使用習(xí)慣沒有任何的影響?！緲永?賬號(hào)名密碼方式】針對(duì)XX現(xiàn)網(wǎng)情況，本方案推薦使用TSM系統(tǒng)的“用戶名/密碼”方式。終端用戶的賬號(hào)可由現(xiàn)有的人事系統(tǒng)、郵箱系統(tǒng)或者其他數(shù)據(jù)庫中導(dǎo)出，然后通過TSM系統(tǒng)提供的Excel模板統(tǒng)一批量導(dǎo)入到TSM系統(tǒng)里，導(dǎo)入時(shí)可對(duì)用戶賬號(hào)進(jìn)行分組，以保證TSM系統(tǒng)里的組織結(jié)構(gòu)與現(xiàn)有的組織機(jī)構(gòu)完全一致，保證每個(gè)員工都有網(wǎng)內(nèi)唯一的認(rèn)證賬號(hào)。TSM的用戶賬號(hào)可與IP/MAC地址綁定的功能，當(dāng)進(jìn)行IP或者M(jìn)AC地址綁定后，必須在指定

43、的終端上進(jìn)行認(rèn)證。外來訪客管理方案為規(guī)范外來訪客對(duì)內(nèi)網(wǎng)資源的的訪問，建議啟用訪客管理功能。當(dāng)外部人員來到公司，需要臨時(shí)使用公司的網(wǎng)絡(luò)的時(shí)候，接待人員可以根據(jù)不同的業(yè)務(wù)需要，通過訪客賬號(hào)申請(qǐng)流程協(xié)助外部人員獲得網(wǎng)絡(luò)接入權(quán)限。管理員可以根據(jù)企業(yè)的管理制度，定義來訪客戶能夠獲得的網(wǎng)絡(luò)訪問權(quán)限。通過接待人員對(duì)合作人員進(jìn)行管理，簡(jiǎn)化了外來人員管理的復(fù)雜度，提升管理效率。設(shè)備自發(fā)現(xiàn)現(xiàn)網(wǎng)網(wǎng)絡(luò)規(guī)模較大，接入內(nèi)網(wǎng)的設(shè)備較多，管理員很難及時(shí)動(dòng)態(tài)滴了解網(wǎng)絡(luò)設(shè)備的接入情況。建議啟用TSM系統(tǒng)的自動(dòng)網(wǎng)絡(luò)掃描功能，掃描并自動(dòng)分類網(wǎng)絡(luò)中的接入設(shè)備，如交換路由設(shè)備、PC設(shè)備、服務(wù)器、IP電話、網(wǎng)絡(luò)打印機(jī)等，同時(shí)保證能夠及時(shí)發(fā)

44、現(xiàn)網(wǎng)絡(luò)中出現(xiàn)的新設(shè)備，對(duì)未安裝TSM代理的外來終端的接入行為進(jìn)行告警，方便管理員了解網(wǎng)絡(luò)終端的接入情況。軟硬件配置說明描述需要配置的服務(wù)器、SACG、交換機(jī)信息，并對(duì)設(shè)備數(shù)量、部署位置、用途等情況做出說明。各小節(jié)可以根據(jù)需要合并刪減。服務(wù)器配置介紹方案里部署服務(wù)器的數(shù)量、部署地點(diǎn)、作用是否利舊等信息【樣例】根據(jù)XX的網(wǎng)絡(luò)情況和終端數(shù)量，這里推薦配置的服務(wù)器具體使用及說明如下表：部署位置數(shù)量（臺(tái)）說明總部2分別安裝TSM系統(tǒng)SM、SC和SQL Server 2005數(shù)據(jù)庫組件，兩臺(tái)服務(wù)器之間互為主備；由總部管理員統(tǒng)一對(duì)全網(wǎng)終端進(jìn)行安全管理XX分公司1安裝TSM系統(tǒng)SC組件，負(fù)責(zé)XX分公司本地50

45、0終端的安全接入控制；當(dāng)上海服務(wù)器宕機(jī)時(shí)，上海分公司的終端連接到總部SC服務(wù)器上進(jìn)行認(rèn)證安全網(wǎng)關(guān)配置若方案里配置了SACG，則需要在此說明SACG的配置型號(hào)、數(shù)量、部署位置等信息，并詳細(xì)說明SACG的部署方式【樣例】部署位置SACG型號(hào)數(shù)量（臺(tái)）說明總部核心交換機(jī)處USG 53202最大支持2W并發(fā)用戶XX邊界路由器處USG 22201終端安全管理方案終端加固管理企業(yè)內(nèi)網(wǎng)終端眾多，員工的計(jì)算機(jī)水平和信息安全意思參差不齊，由于操作系統(tǒng)安全設(shè)置不當(dāng)而引起的安全風(fēng)險(xiǎn)越來越明顯，僅通過目前行政管理手段無法保證所有終端的安全性，建議加強(qiáng)對(duì)操作系統(tǒng)的安全加固管理，具體管理方案如下：防病毒軟件安全策略目前X

46、X公司內(nèi)網(wǎng)的辦公終端絕大多數(shù)已經(jīng)安裝了防病毒軟件，但由于強(qiáng)制檢查，導(dǎo)致終端長(zhǎng)期不更新病毒庫和病毒引擎版本，使得防病毒軟件形同虛設(shè)，沒有發(fā)揮其重要的終端保護(hù)能力。因此，建議通過TSM系統(tǒng)的防病毒管理策略實(shí)現(xiàn)終端的安全防護(hù)，TSM配合企業(yè)自身的防病毒軟件，通過檢查終端是否安裝、運(yùn)行狀態(tài)以及防病毒軟件的更新狀態(tài)，作為判斷終端當(dāng)前安全狀態(tài)的一個(gè)依據(jù)，阻止或提示沒有部署殺毒軟件的終端或者殺毒軟件長(zhǎng)期不更新的終端接入網(wǎng)絡(luò)。保證企業(yè)內(nèi)網(wǎng)運(yùn)行的終端殺毒軟件能夠及時(shí)更新并且有效運(yùn)行，減少病毒感染和擴(kuò)散的風(fēng)險(xiǎn)。強(qiáng)化補(bǔ)丁安裝加強(qiáng)操作系統(tǒng)和應(yīng)用程序的安全漏洞檢查，把補(bǔ)丁的檢查作為一個(gè)重要的檢查項(xiàng)，檢查操作系統(tǒng)補(bǔ)丁、I

47、E的SP補(bǔ)丁、OFFICE的SP補(bǔ)丁等，當(dāng)檢查到終端沒有部署必須的補(bǔ)丁的時(shí)候，TSM系統(tǒng)能夠協(xié)助終端快速完成補(bǔ)丁的修復(fù)。超時(shí)自動(dòng)鎖屏通過屏幕保護(hù)策略檢查終端的屏幕保護(hù)是否啟用，屏幕保護(hù)程序密碼是否設(shè)置以及屏幕保護(hù)啟動(dòng)時(shí)間是否符合企業(yè)安全要求的安全檢查，保證終端在空閑一定時(shí)間后屏幕保護(hù)程序自啟動(dòng)的安全要求，滿足企業(yè)終端桌面管理規(guī)范。當(dāng)終端屏幕保護(hù)設(shè)置不符合規(guī)范時(shí)，進(jìn)行自修復(fù)。注冊(cè)表配置管理通過對(duì)系統(tǒng)注冊(cè)表鍵值檢查，完成終端注冊(cè)表鍵值存在與否的安全性檢查。支持對(duì)終端的自動(dòng)修復(fù)功能，對(duì)于要求存在的鍵值，如果該鍵值不存在，則添加該鍵值；對(duì)于不允許存在的鍵值，如果該鍵值存在，則刪除該鍵值。冗余賬號(hào)檢查通

48、過檢查系統(tǒng)冗余賬號(hào)，TSM系統(tǒng)能夠協(xié)助管理員發(fā)現(xiàn)終端長(zhǎng)期未使用的臨時(shí)賬號(hào)，降低企業(yè)終端安全管理風(fēng)險(xiǎn)。檢查賬號(hào)安全通過賬號(hào)的弱口令檢查、賬號(hào)群組檢查、本地密碼策略包括密碼長(zhǎng)度最小值，密碼最長(zhǎng)存留期屬性檢查等，保證終端操作系統(tǒng)賬號(hào)的安全；檢查端口策略通過檢查終端口策略，有效保證對(duì)于接入網(wǎng)絡(luò)的終端，及時(shí)提醒個(gè)人用戶關(guān)掉無用端口，保證無用服務(wù)的最小化使用原則；網(wǎng)絡(luò)共享管理Window操作系統(tǒng)默認(rèn)情況下對(duì)共享文件夾和共享打印機(jī)設(shè)置為Everyone權(quán)限，如果終端用戶安全意識(shí)不高的情況下，就會(huì)帶來較大的安全隱患。一方面，網(wǎng)絡(luò)內(nèi)任意終端可能在未獲得授權(quán)的情況下直接竊取共享信息；另一方面，公開的共享目錄也給病

49、毒的傳播提供了溫床。TSM的系統(tǒng)安全管理功能，能夠及時(shí)協(xié)助終端用戶發(fā)現(xiàn)并且清理不安全的共享賬號(hào)。監(jiān)控非法應(yīng)用和服務(wù)通過檢查終端的軟件安裝情況和監(jiān)控終端軟件程序的運(yùn)行情況，阻止終端安裝和運(yùn)行非法應(yīng)用程序。如果發(fā)現(xiàn)安裝或使用了非法軟件、進(jìn)程和服務(wù)，可以通過與準(zhǔn)入控制設(shè)備的聯(lián)動(dòng)提示或阻止該終端接入網(wǎng)絡(luò)，也可以攔截非法軟件、進(jìn)程和服務(wù)的使用，規(guī)范員工的行為。同時(shí)，管理員可通過審計(jì)軟件的安裝和使用情況，從而及時(shí)了解安全狀態(tài)。終端行為管理法律規(guī)定了很多網(wǎng)站是非法的，比如有色情、迷信和犯罪相關(guān)的等等。使用寬帶接入互聯(lián)網(wǎng)后，企業(yè)內(nèi)部網(wǎng)絡(luò)某種程度上成了一種“公共”上網(wǎng)場(chǎng)所，很多與法律相違背的行為都有可能發(fā)生在內(nèi)

50、部網(wǎng)中。這些事情難以追查，給企業(yè)帶來的法律法規(guī)方面的風(fēng)險(xiǎn)。因此，建議對(duì)員工的網(wǎng)絡(luò)訪問行為進(jìn)行管理，具體管理方案如下：監(jiān)控網(wǎng)站訪問通過對(duì)WEB訪問的監(jiān)控，記錄終端用戶的WEB網(wǎng)站訪問信息，由管理員進(jìn)行統(tǒng)一管理和審計(jì)。通過這樣的手段，一方面可以管理員工的上網(wǎng)行為，上班時(shí)間屏蔽一些與工作無關(guān)的網(wǎng)站；另一方面，提供審計(jì)和責(zé)任追溯的途徑。軟件安裝標(biāo)準(zhǔn)化通過軟件黑白名單檢查，檢查終端安裝軟件的列表，可以定義軟件黑名單的違規(guī)軟件列表和軟件白名單的合法的軟件列表，也可以通過檢查軟件黑白名單規(guī)定只能安裝列表中的軟件或者必須安裝的軟件，加強(qiáng)企業(yè)桌面軟件統(tǒng)一安裝的標(biāo)準(zhǔn)性。IP訪問和網(wǎng)絡(luò)應(yīng)用程序監(jiān)控通過對(duì)終端的IP訪

51、問控制和網(wǎng)絡(luò)應(yīng)用程序訪問控制功能，對(duì)于一些安全性要求比較高的業(yè)務(wù)系統(tǒng)，允許定義基于時(shí)間段的IP訪問規(guī)則，允許配置特定用戶群在下班時(shí)間后不能訪問一些關(guān)鍵的業(yè)務(wù)系統(tǒng)，防止對(duì)這些關(guān)鍵服務(wù)器可能造成的危害。允許定義網(wǎng)絡(luò)應(yīng)用程序訪問規(guī)則，控制IM等聊天工具在上班時(shí)間的使用。此外，提供網(wǎng)絡(luò)流量監(jiān)控功能，能夠協(xié)助管理員發(fā)現(xiàn)流量異常的終端。終端入網(wǎng)審計(jì)提供終端登錄內(nèi)部網(wǎng)絡(luò)的日志上下線記錄，管理員可以通過日志及時(shí)查詢哪些用戶在什么時(shí)間登錄的企業(yè)內(nèi)網(wǎng)安全網(wǎng)絡(luò)，同時(shí)對(duì)長(zhǎng)期沒有登錄的賬號(hào)也提供檢索查詢；信息防泄密管理目前企業(yè)辦公終端數(shù)量較多，員工的辦公終端里存儲(chǔ)大量涉及企業(yè)機(jī)密的敏感信息，時(shí)常發(fā)生員工通過終端外設(shè)，如

52、刻錄光盤、U盤拷貝、打印等方式將敏感信息外泄，目前通過人工管理方式不僅耗時(shí)費(fèi)力，而且效果并不明顯。針對(duì)此種狀況，建議加強(qiáng)對(duì)終端外設(shè)接口的監(jiān)控，具體管理方案如下：外設(shè)接口管理關(guān)閉終端上不需要光驅(qū)、刻錄機(jī)、軟驅(qū)、打印機(jī)等外部設(shè)備以及串口、并口、紅外、藍(lán)牙、PCMCIA卡、1394、SD/MMC控制器等計(jì)算機(jī)外設(shè)接口，通過關(guān)閉不必要的外設(shè)和接口，從而在一定程度上防范信息泄漏。監(jiān)控USB設(shè)備使用在不影響USB鼠標(biāo)/鍵盤的情況下， 對(duì)USB設(shè)備的管理支持放行、監(jiān)控、禁用、只讀和寫加密四種狀態(tài)。USB監(jiān)控屬性：對(duì)USB存儲(chǔ)設(shè)備的文件操作進(jìn)行監(jiān)控，識(shí)別和記錄創(chuàng)建文件、拷入U(xiǎn)盤、拷出U盤、內(nèi)部復(fù)制、刪除文件等

53、操作的審計(jì)記錄；USB禁用屬性：禁止終端使用USB設(shè)備；USB只讀屬性：對(duì)USB存儲(chǔ)設(shè)備進(jìn)行只讀控制，防止終端用戶將本地硬盤上的數(shù)據(jù)拷貝至USB存儲(chǔ)設(shè)備上；USB寫加密屬性： 允許終端正常使用USB設(shè)備，當(dāng)終端用戶從本地硬盤將文件拷貝到USB設(shè)備時(shí)，系統(tǒng)自動(dòng)對(duì)拷入文件進(jìn)行加密，從而保證拷入的文件只允許在企業(yè)終端機(jī)上使用；撥號(hào)連接管理通過管理Modem、3G上網(wǎng)卡、ISDN、PPPOE撥號(hào)設(shè)備，管理員可以通過提供的安全策略監(jiān)控或阻斷終端的撥號(hào)行為，系統(tǒng)自動(dòng)記錄撥號(hào)的開始時(shí)間和結(jié)束時(shí)間或者禁止終端用戶使用撥號(hào)設(shè)備，有效阻止終端繞過企業(yè)的監(jiān)管連接互聯(lián)網(wǎng)，避免企業(yè)內(nèi)網(wǎng)直接面對(duì)來自互聯(lián)網(wǎng)的攻擊。防止違規(guī)

54、假設(shè)PROXY/路由器等外聯(lián)設(shè)備監(jiān)視內(nèi)網(wǎng)私自架設(shè)PROXY服務(wù)器的非法外聯(lián)行為，當(dāng)發(fā)現(xiàn)違規(guī)架設(shè)PROXY服務(wù)器，可以記錄違規(guī)PROXY服務(wù)器的地址/端口信息，上報(bào)服務(wù)器，由管理人員進(jìn)行跟蹤和處理。確保企業(yè)的所有互聯(lián)網(wǎng)出口流量都經(jīng)過統(tǒng)一架設(shè)的出口網(wǎng)關(guān)，通過出口網(wǎng)關(guān)過濾不安全的網(wǎng)絡(luò)訪問，保障企業(yè)內(nèi)網(wǎng)安全。文件操作審計(jì)通過文件名和通配符的方式自定義需要監(jiān)控的文件記錄，提供文件的新建、刪除、編輯、復(fù)制、重命名等操作日志記錄，方便安全事件的追溯。網(wǎng)絡(luò)安全防護(hù)監(jiān)控網(wǎng)絡(luò)異常流量蠕蟲病毒的爆發(fā)一般都伴隨著大量的異常網(wǎng)絡(luò)流量。通過對(duì)網(wǎng)絡(luò)異常流量的監(jiān)控，TSM系統(tǒng)能夠協(xié)助管理員發(fā)現(xiàn)流量異常的終端，并針對(duì)超過流量閾

55、值的終端進(jìn)行告警或阻斷。ARP防護(hù)啟用ARP防護(hù)功能，對(duì)已經(jīng)安裝了TSM安全代理的終端，進(jìn)行ARP報(bào)文過濾，阻止終端發(fā)出的ARP欺騙報(bào)文，以及ARP泛洪報(bào)文。學(xué)習(xí)和綁定網(wǎng)關(guān)的IP/MAC關(guān)系，過濾各種偽造網(wǎng)關(guān)的ARP報(bào)文。通過該防護(hù)方案，即使網(wǎng)絡(luò)中存在少量沒有部署TSM安全代理的終端感染了ARP病毒，也不會(huì)導(dǎo)致局域網(wǎng)范圍內(nèi)ARP報(bào)文泛濫對(duì)網(wǎng)絡(luò)造成的影響。撥號(hào)連接管理通過管理Modem、3G上網(wǎng)卡、ISDN、PPPOE撥號(hào)設(shè)備，管理員可以通過提供的安全策略監(jiān)控或阻斷終端的撥號(hào)行為，系統(tǒng)自動(dòng)記錄撥號(hào)的開始時(shí)間和結(jié)束時(shí)間或者禁止終端用戶使用撥號(hào)設(shè)備，有效阻止終端繞過企業(yè)的監(jiān)管連接互聯(lián)網(wǎng)，避免企業(yè)內(nèi)網(wǎng)

56、直接面對(duì)來自互聯(lián)網(wǎng)的攻擊。防止違規(guī)假設(shè)PROXY/路由器等外聯(lián)設(shè)備監(jiān)視內(nèi)網(wǎng)私自架設(shè)PROXY服務(wù)器的非法外聯(lián)行為，當(dāng)發(fā)現(xiàn)違規(guī)架設(shè)PROXY服務(wù)器，可以記錄違規(guī)PROXY服務(wù)器的地址/端口信息，上報(bào)服務(wù)器，由管理人員進(jìn)行跟蹤和處理。確保企業(yè)的所有互聯(lián)網(wǎng)出口流量都經(jīng)過統(tǒng)一架設(shè)的出口網(wǎng)關(guān)，通過出口網(wǎng)關(guān)過濾不安全的網(wǎng)絡(luò)訪問，保障企業(yè)內(nèi)網(wǎng)安全。DHCP強(qiáng)制管理當(dāng)企業(yè)網(wǎng)絡(luò)規(guī)劃強(qiáng)制終端要求通過DHCP方式獲取IP地址時(shí)，為了避免終端通過靜態(tài)IP獲取網(wǎng)絡(luò)資源時(shí)，在終端接入網(wǎng)絡(luò)過程中，對(duì)其違規(guī)行為進(jìn)行記錄，同時(shí)提供自修復(fù)功能；USB存儲(chǔ)設(shè)備接入管理現(xiàn)網(wǎng)當(dāng)中有大量的USB存儲(chǔ)設(shè)備在使用，這些存儲(chǔ)設(shè)備在方便數(shù)據(jù)傳遞

57、的同時(shí)，增加了安全管理的風(fēng)險(xiǎn)，大量外來USB存儲(chǔ)設(shè)備容易引起病毒的傳播、內(nèi)部數(shù)據(jù)的泄密等。要解決USB存儲(chǔ)介質(zhì)的管理問題，首先解決未注冊(cè)的USB存儲(chǔ)設(shè)備的接入問題，需要將所有在公司內(nèi)部使用的USB存儲(chǔ)設(shè)備都納入安全管理體系，要對(duì)已注冊(cè)和未注冊(cè)的USB存儲(chǔ)設(shè)備使用的權(quán)限進(jìn)行控制，要能通過身份認(rèn)證明確終端使用人員的信息，員工對(duì)已注冊(cè)和未注冊(cè)的USB存儲(chǔ)設(shè)備具有不同的使用權(quán)限，通過策略可限制員工對(duì)注冊(cè)USB存儲(chǔ)設(shè)備和非注冊(cè)USB存儲(chǔ)設(shè)備的使用權(quán)限。USB存儲(chǔ)設(shè)備的注冊(cè)審批流程管理由于在企業(yè)內(nèi)部使用未注冊(cè)的USB存儲(chǔ)設(shè)備會(huì)受到限制，員工在使用USB存儲(chǔ)設(shè)備前，需要通過TSM代理提交注冊(cè)申請(qǐng)。根據(jù)員工提

58、交注冊(cè)申請(qǐng)所使用的賬號(hào)是否具有自動(dòng)審批權(quán)限，所提交的注冊(cè)申請(qǐng)的審批過程有所不同。如果提交注冊(cè)申請(qǐng)的員工具有自動(dòng)審批權(quán)限，則該注冊(cè)申請(qǐng)自動(dòng)審批通過，無需管理員審批。如果提交注冊(cè)申請(qǐng)的員工不具有自動(dòng)審批權(quán)限，則該申請(qǐng)?zhí)峤坏焦芾韱T處等待審批，管理員審核員工提交的申請(qǐng)，當(dāng)申請(qǐng)屬實(shí)時(shí)批準(zhǔn)申請(qǐng)，當(dāng)申請(qǐng)不屬實(shí)或注冊(cè)申請(qǐng)?zhí)顚戝e(cuò)誤時(shí)拒絕申請(qǐng)。審批通過后的USB存儲(chǔ)設(shè)備即成為已注冊(cè)的USB存儲(chǔ)設(shè)備。USB存儲(chǔ)設(shè)備權(quán)限策略管理USB存儲(chǔ)設(shè)備管理功能通過監(jiān)控USB存儲(chǔ)設(shè)備策略，實(shí)現(xiàn)對(duì)已注冊(cè)和未注冊(cè)的USB存儲(chǔ)設(shè)備使用權(quán)限的控制，員工對(duì)已注冊(cè)和未注冊(cè)的USB存儲(chǔ)設(shè)備具有不同的使用權(quán)限?？晒┻x擇的權(quán)限包括禁用、只讀、監(jiān)控

59、、寫加密。寫加密：在啟用加密寫功能后，終端用戶拷貝到U盤的文件都是經(jīng)過加密的，只有該企業(yè)的用戶并且安裝了TSM安全代理的終端，才能使用這些加密文件，加密文件從U盤拷貝到本地硬件自動(dòng)解密。通過寫加密控制，即可以保證正常的USB存儲(chǔ)設(shè)備拷貝資料的需要，有可 有效防止由于USB存儲(chǔ)設(shè)備遺失和私自拷貝資料到公司外引起的信息泄密。日志審計(jì)從USB存儲(chǔ)設(shè)備的管理角度出發(fā)，要求USB存儲(chǔ)介質(zhì)管理系統(tǒng)能對(duì)相關(guān)的USB存儲(chǔ)介質(zhì)的使用情況進(jìn)行審計(jì)，能夠監(jiān)控USB存儲(chǔ)設(shè)備的違規(guī)信息和使用記錄，通過USB存儲(chǔ)介質(zhì)的使用帳號(hào)、PC的MAC、IP的信息對(duì)存在違規(guī)操作的已注冊(cè)USB存儲(chǔ)設(shè)備進(jìn)行定位統(tǒng)計(jì)。提供完善的安全審計(jì)方

60、案，包括USB存儲(chǔ)設(shè)備安全違規(guī)報(bào)表和系統(tǒng)日志管理。通過嚴(yán)格的USB存儲(chǔ)設(shè)備使用狀態(tài)審計(jì)和檢查，減少內(nèi)部安全威脅，有效強(qiáng)化內(nèi)部信息安全的管理，將公司的信息安全管理規(guī)定通過IT的手段得到落實(shí)。桌面運(yùn)維管理方案補(bǔ)丁管理Windows操作系統(tǒng)的安全漏洞是企業(yè)內(nèi)網(wǎng)安全的一個(gè)關(guān)鍵因素。如果企業(yè)內(nèi)網(wǎng)有大量沒有部署關(guān)鍵補(bǔ)丁的終端，將會(huì)導(dǎo)致企業(yè)內(nèi)網(wǎng)的漏洞攻擊。只有當(dāng)終端及時(shí)安裝安全補(bǔ)丁，才能大大減少病毒在網(wǎng)絡(luò)中大面積傳播的可能。TSM系統(tǒng)的補(bǔ)丁管理方案可以有效的幫助安全管理員和終端及時(shí)解決嚴(yán)重關(guān)鍵級(jí)別補(bǔ)丁的安裝任務(wù)，確保接入企業(yè)網(wǎng)絡(luò)的終端的安全可信。TSM支持以下兩種補(bǔ)丁管理方式：支持與WSUS聯(lián)動(dòng)；內(nèi)建補(bǔ)丁管