中石油客戶終端安全與行為審計解決方案培訓(xùn)

1、中石油客戶終端安全與行為審計解決方案H3C 技術(shù)有限公司安全產(chǎn)品行銷部2006 年 07 月 28 日中石油安全解決方案4 TOC o 1-5 h z HYPERLINK l bookmark2 o Current Document 中石油進(jìn)行安全終端防護(hù)刻不容緩 4 HYPERLINK l bookmark4 o Current Document .1.薩班斯法案與上市企業(yè)需求概述 4 HYPERLINK l bookmark6 o Current Document 中石油終端安全現(xiàn)狀 5 HYPERLINK l bookmark8 o Current Document 終端接入安全體系”解

2、決方案的組成部分 6CAMS 安全策略服務(wù)器 7 HYPERLINK l bookmark12 o Current Document 修復(fù)服務(wù)器（ 與防病毒系統(tǒng)聯(lián)動 ） 8安全聯(lián)動設(shè)備 8安全客戶端 8 HYPERLINK l bookmark18 o Current Document 終端接入安全體系”與微軟SMS 聯(lián)動方案 9 HYPERLINK l bookmark20 o Current Document 應(yīng)用模型 11 HYPERLINK l bookmark22 o Current Document 安全準(zhǔn)入應(yīng)用模型 11安全準(zhǔn)入工作流程 12 HYPERLINK l bookma

3、rk26 o Current Document 功能特點(diǎn) 14安全狀態(tài)評估 14 HYPERLINK l bookmark30 o Current Document 用戶權(quán)限管理 15 HYPERLINK l bookmark32 o Current Document 用戶行為監(jiān)控 15終端接入安全體系”解決方案的部署 16接入層準(zhǔn)入控制 16匯聚層準(zhǔn)入控制 18Portal （Web ）認(rèn)證準(zhǔn)入控制 20終端接入安全體系”應(yīng)用模式 22XLOG 日常行為審計 23XLOG 技術(shù)特點(diǎn) 23全面的日志收集 23強(qiáng)大的日志審計功能 23組網(wǎng)應(yīng)用 25終端安全防護(hù)與行為監(jiān)控總結(jié) 26全面的應(yīng)用體系防

4、護(hù)IPS 281252中石油網(wǎng)絡(luò)應(yīng)用防護(hù)體系概述 281253IPS 產(chǎn)品部署方案 281254IPS 產(chǎn)品技術(shù)特色 29虛擬軟件補(bǔ)丁 29威脅抑制引擎（ TSE ） 30233. 無處不在的安全保護(hù) 31三、防火墻部署需求分析 33防火墻部署解決方案 33數(shù)據(jù)中心防火墻部署 34In ter net 邊界安全防護(hù) 36大型網(wǎng)絡(luò)內(nèi)部隔離 39防火墻部署方案特點(diǎn) 42一細(xì)致入微的個人終端防護(hù)1.1.中石油進(jìn)行安全終端防護(hù)刻不容緩基于薩班斯法案的嚴(yán)格限制，以及結(jié)合中石油的獨(dú)特特點(diǎn)，我們認(rèn)為在中石油內(nèi)部實(shí)施內(nèi)部控制體系，刻不容緩。中國石化從2002年下半年開始調(diào)研、準(zhǔn)備工作，編制內(nèi)控制度，建立統(tǒng)一的

5、內(nèi) 控體系。2004 年10月，中國石化內(nèi)部控制手冊由公司董事會正式審議通過，2005年1月開始在股份公司全面實(shí)施。該手冊依照薩班斯法案所推薦和要求對照的美國COSO （反虛假財務(wù)報告委員會的贊助組織委員會）報告的理論體系建立內(nèi)部控制體系，內(nèi)容涉及共13大類業(yè)務(wù)、43個流程、862個控制點(diǎn)?？偛繉ｉT召開電 視電話會議推行該手冊，要求各企業(yè)根據(jù)實(shí)際情況制定實(shí)施細(xì)則， 在組織多層次培 訓(xùn)的同時，派出檢查小組，對 65家企業(yè)內(nèi)控制度的執(zhí)行情況進(jìn)行全面檢查。針 對 薩班斯法案不斷細(xì)化的規(guī)則和新出臺的指弓I、準(zhǔn)則，中國石化對內(nèi)部控制手冊進(jìn)行更新，修訂了 2006年版的內(nèi)部控制手冊，經(jīng)董事會審議通過，于2

6、006年1月1日起正式下發(fā)執(zhí)行。1? 1? 1?薩班斯法案與上市企業(yè)需求概述中石油跨全球企業(yè)薩班斯法案在美國的中國上市公司開始生效各國相關(guān)法規(guī)都將越來越嚴(yán)格，加強(qiáng)公司治理尤其是IT治理將是企業(yè)的根本之道。加強(qiáng)企業(yè)內(nèi)部控制和風(fēng)險管理將是全球的趨勢目前大M的網(wǎng)絡(luò)應(yīng)用已經(jīng)貫穿中石油的日常業(yè)務(wù)模型，對于網(wǎng)絡(luò)應(yīng)用我們把它理解為一個請求、連接到交互的過程，然后到完，這是會話的過程，這是雙向的。所謂會話行為就是做的一種操作類型，比方說訪問網(wǎng)頁，首發(fā)郵件、傳送郵件、即時通訊和文件傳輸?shù)?，這屬于網(wǎng)絡(luò)行為，會話內(nèi)容就是網(wǎng)頁的內(nèi)容、由M牛的內(nèi)容、 文件的內(nèi)容，即時通訊的內(nèi)容。對于安全審計類要求是會話行為審計，對于網(wǎng)

7、絡(luò)行為的審計實(shí)際上也是薩班斯法案的一部分，為了避免因?yàn)樾畔⒍斐傻慕?jīng)濟(jì)損失，日常行為審計成為了企業(yè)尤其是上市公司信息化建設(shè)的重要組成部分對法規(guī)不熟悉、時間短促、內(nèi)控基礎(chǔ)薄弱是中國上市公司面臨的最大問題。中 石油也不例外，直到 2005 年年初，中石油才開始著手布置薩班斯法案項(xiàng)目。但是 在實(shí)施過程中，大量的問題和矛盾暴露出來，涉及制度完善、流程改造、企業(yè)文化 等各方面。短時間內(nèi)完全建立完善的內(nèi)控環(huán)境是不可能的。但從根本上來說，公司 治理和 IT 治理的問題遲早需要去面對和解決。1 ? 1? 2? 中石油終端安全現(xiàn)狀終端安全是個入手簡單，想做好卻很難的工程，這也是這么多年中石油沒有著 手建設(shè)這方面

8、的一個重要原因。本次安全體系建設(shè)中石油考慮的很周全，除了我們 經(jīng)常能夠想到的安全管理制度以外、終端的認(rèn)證問題、終端的安全監(jiān)控、日后審計等均在考慮范圍內(nèi)。中石油終端安全管理問題比較復(fù)雜，除了前面提到的地域分散意外，還有技術(shù)水平不高，難于監(jiān)管等問題，這些都構(gòu)成了終端安全難以實(shí)現(xiàn)的重要因素，基于上 述原因，本次安全方案設(shè)計主要著中的是通過安全產(chǎn)品的監(jiān)控實(shí)現(xiàn)對員工日常行為 的監(jiān)控，并通過技術(shù)手段實(shí)現(xiàn)對安全管理制度的補(bǔ)充，以及強(qiáng)化，通過技術(shù)手段保 障安全管理制度的執(zhí)行。在終端防護(hù)方面我司有專門的安全解決方案“端點(diǎn)準(zhǔn)入防御”能夠提供一個全程的安全解決方案。終端接入安全體系”端點(diǎn)準(zhǔn)入防御方案包括兩個重要功能

9、：安全防護(hù)和安全監(jiān)控。安全防護(hù)主要是對終端接入網(wǎng)絡(luò)進(jìn)行認(rèn)證，保證只有安全的終端才能接入網(wǎng)絡(luò), 對達(dá)不到安全要求的終端可以進(jìn)行修復(fù)，保障終端和網(wǎng)絡(luò)的安全；安全監(jiān)控是指在 上網(wǎng)過程中，系統(tǒng)實(shí)時監(jiān)控用戶終端的安全狀態(tài)，并針對用戶終端的安全事件采取 相應(yīng)的應(yīng)對措施，實(shí)時保障網(wǎng)絡(luò)安全。12 終端接入安全體系”解決方案的組成部分終端接入安全體系”解決方案的實(shí)現(xiàn)思路，是通過將網(wǎng)絡(luò)接入控制和用戶終端 安全策略控制相結(jié)合，以用戶終端對企業(yè)安全策略的符合度為條件，控制用戶訪問 網(wǎng)絡(luò)的接入權(quán)限，從而降低病毒、非法訪問等安全威脅對企業(yè)網(wǎng)絡(luò)帶來的危害。為 達(dá)到以上目的，提出了包括檢查 一一隔離一一修復(fù)一一監(jiān)控的整體解決

10、思路。檢查：檢查網(wǎng)絡(luò)接入用戶的身份；檢查網(wǎng)絡(luò)接入用戶的訪問權(quán)限；檢查網(wǎng)絡(luò)接入用戶終端的安全狀態(tài)；隔離:隔離非法用尸終端和越權(quán)訪問;隔離存在重大安全問題或安全隱患的用尸終端修復(fù)：幫助存在安全問題或安全隱患的用尸終端進(jìn)行安全修復(fù)，以便能夠正常使用網(wǎng)絡(luò);監(jiān)控：實(shí)時監(jiān)控在線用尸的終端安全狀態(tài)，及時獲取終端安全信息對非法用尸、越權(quán)訪問和存在安全問題的網(wǎng)絡(luò)終端進(jìn)行定位統(tǒng)計，為網(wǎng)絡(luò)安全管理提供依據(jù)；通過制定新的安全策略，持續(xù)保障網(wǎng)絡(luò)的安全。為了有效實(shí)現(xiàn)用尸終端安全準(zhǔn)入控制，需要實(shí)現(xiàn)終端安全信息采集點(diǎn)、終端安全信息決策點(diǎn)和終端安全信息執(zhí)行點(diǎn)的分離，同時還需要提供有效的技術(shù)手段，對用尸終端存在的安全問題進(jìn)行修復(fù)

11、，使之符合企業(yè)終端安全策略，順利接入網(wǎng)絡(luò)進(jìn)行工作。”終端接入安全體系”解決方案的組成部分見下圖：病毒、補(bǔ)于服務(wù)器J月艮務(wù)器區(qū)1? 2? 1? CAMS安全策略服務(wù)器終端接入安全體系”方案的核心是整合與聯(lián)動，而 CAM安全策略服務(wù)器是終端接入安全 體系”方案中的管 理與控制中心，兼具用戶管理、安全策略管理、安全狀態(tài)評估、安全聯(lián)動控制以及安全事件審計等功能。戶終端安全狀態(tài)安全策略管理。安全策略服務(wù)器定義了對用戶終端進(jìn)行準(zhǔn)入控制的一系列策略，包括用評估配置、補(bǔ)丁檢查項(xiàng)配置、安全策略配置、終端修復(fù)配置以及對終端用戶的隔離方式配置等。用戶管理。企業(yè)網(wǎng)中，不同的用戶、不同類型的接入終端可能要求不同級別的安

12、全檢查 和控制。安全策略服務(wù)器可以為不同用戶提供基于身份的個性化安全配置和網(wǎng)絡(luò)服務(wù)等級，方便管理員對網(wǎng)絡(luò)用戶制定差異化的安全策略。安全聯(lián)動控制。安全策略服務(wù)器負(fù)責(zé)評估安全客戶端上報的安全狀態(tài)，控制安全聯(lián)動設(shè)備對用戶的隔離與開放，下發(fā)用戶終端的修復(fù)方式與安全策略。通過安全策略服務(wù)器的 控制，安全客戶端、安全聯(lián)動設(shè)備與修復(fù)服務(wù)器才可以協(xié)同工作，配合完成端到端的安 全準(zhǔn)入控制。日志審計。安全策略服務(wù)器收集由安全客戶端上報的安全事件，并形成安全日志，可以 為管理員追蹤和監(jiān)控網(wǎng)絡(luò)的整個網(wǎng)絡(luò)的安全狀態(tài)提供依據(jù)。1.2.2 ?修復(fù)服務(wù)器（ 與防病毒系統(tǒng)聯(lián)動 ）在”終端接入安全體系”方案中，修復(fù)服務(wù)器可以是第

13、三方廠商提供的防病毒服務(wù)器、補(bǔ)丁服務(wù)器或用戶自行架設(shè)的文件服務(wù)器。此類服務(wù)器通常放置于網(wǎng)絡(luò)隔離 區(qū)中，用于終端進(jìn)行自我修復(fù)操作。網(wǎng)絡(luò)版的防病毒服務(wù)器提供病毒庫升級服務(wù)， 允許防病毒客戶端進(jìn)行在線升級；補(bǔ)丁服務(wù)器則提供系統(tǒng)補(bǔ)丁升級服務(wù)，在用戶終端的系統(tǒng)補(bǔ)丁不能滿足安全要求時，用戶終端可連接至補(bǔ)丁服務(wù)器進(jìn)行補(bǔ)丁下載和 升級。目前的”終端接入安全體系”解決方案中，我們的認(rèn)證體系可以和瑞星、金山、 江民、 Symantec等國內(nèi)外大型防病毒廠商產(chǎn)品實(shí)現(xiàn)聯(lián)動，同時由于開發(fā)式的系統(tǒng)設(shè)計，我們可以很方便的整合其他的防病毒產(chǎn)品實(shí)現(xiàn)全網(wǎng)認(rèn)證與防病毒體系的完美結(jié)合。1 ? 2? 3? 安全聯(lián)動設(shè)備安全聯(lián)動設(shè)備是企

14、業(yè)網(wǎng)絡(luò)中安全策略的實(shí)施點(diǎn)， 起到強(qiáng)制用戶準(zhǔn)入認(rèn)證、 隔離 不合格終端、 為合法用尸提供網(wǎng)絡(luò)服務(wù)的作用。根據(jù)應(yīng)用場合的不同，安全聯(lián)動設(shè)備可以是交換機(jī)或BAS設(shè)備，分別實(shí)現(xiàn)不同認(rèn)證方式（如 802.1X 或 Portal ）的端 點(diǎn)準(zhǔn)入控制。不論是哪種接入設(shè)備或 采用哪種認(rèn)證方式，安全聯(lián)動設(shè)備均具有以下 功能：強(qiáng)制網(wǎng)絡(luò)接入終端進(jìn)行身份認(rèn)證和安全狀態(tài)評估。隔離不符合安全策略的用戶終端。聯(lián)動設(shè)備接收到安全策略服務(wù)器下發(fā)的隔 離指令后， 目前可以通過動態(tài)ACL方式限制用尸的訪問權(quán)限；同樣，收到解 除用尸隔離的指令后 也可以在線解除對用戶終端的隔離。提供基于身份的網(wǎng)絡(luò)服務(wù)。安全聯(lián)動設(shè)備可以根據(jù)安全策略服務(wù)

15、器下發(fā)的策 略，為用片提供個性化的網(wǎng)絡(luò)服務(wù)，如提供不同的QoS ACL VLANH?。1 ? 2? 4? 安全客戶端H3c客尸端是安裝在用尸終端系統(tǒng)上的軟件，是對用尸終端進(jìn)行身份認(rèn)證、安全狀態(tài)評估以及安全策略實(shí)施的主體，其主要功能包括：提供 802.1X、 Portal 等多種認(rèn)證方式，可以與S3000、 S3500、 S5000、 S3900、S5600等系列交換機(jī)、華為 MA5200曲設(shè)備配合實(shí)現(xiàn)接入層、匯聚層的端點(diǎn) 準(zhǔn)入控制。檢查用戶終端的安全狀態(tài)，包括操作系統(tǒng)版本、系統(tǒng)補(bǔ)丁、共享目錄、已安 裝的軟件、已啟動的服務(wù)等用戶終端信息；同時提供與防病毒客戶端聯(lián)動的 接口，實(shí)現(xiàn)與第三方防病毒軟件

16、產(chǎn)品客戶端的聯(lián)動，檢查用戶終端的防病毒軟件版本、病毒庫版本、以及病毒查殺信息。這些信息將被傳遞到CAMSc全策略服務(wù)器，執(zhí)行端點(diǎn)準(zhǔn)入的判斷與控制。安全策略實(shí)施，接收安全策略服務(wù)器下發(fā)的安全策略并強(qiáng)制用戶終端執(zhí)行， 包括設(shè)置安全策略（是否監(jiān)控郵件、注冊表）、系統(tǒng)修復(fù)通知與實(shí)施（自動 或手工升級補(bǔ)丁和病毒庫）等功能。不按要求實(shí)施安全策略的用戶終端將被 限制在隔離區(qū)。實(shí)時監(jiān)控系統(tǒng)安全狀態(tài)，包括是否更改安全設(shè)置、是否發(fā)現(xiàn)新病毒等，并將 安全事件定時上報到安全策略服務(wù)器，用于事后進(jìn)行安全審計。1 ? 2? 5? 終端接入安全體系”與微軟SMS 聯(lián)動方案125.1.特性簡介端點(diǎn)準(zhǔn)入防御（”終端接入安全體系

17、”解決方案從網(wǎng)絡(luò)用戶終端準(zhǔn)入控制入手， 整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，通過安全客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備 以及第三方軟件的聯(lián)動，可以對接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實(shí)施企業(yè)安全策略，嚴(yán)格 控制終端用戶的網(wǎng)絡(luò)使用行為，加強(qiáng)網(wǎng)絡(luò)用戶終端的主動防御能力，保護(hù)網(wǎng)絡(luò)安全。企業(yè)網(wǎng)中，對系統(tǒng)補(bǔ)丁的管理問題一直難以解決。我們經(jīng)常見到的情況是，新 的補(bǔ)丁發(fā)布，卻無人理會，任由系統(tǒng)漏洞的存在。即使采用了微軟的WSU、S SMS來諸多隱患；等補(bǔ)丁管理工具，此類工具也無法強(qiáng)制用戶進(jìn)行系統(tǒng)補(bǔ)丁升級，給企業(yè)網(wǎng)絡(luò)安全帶更嚴(yán)重的情況是，用片剛裝好操作系統(tǒng)，還沒來得及打補(bǔ)丁就被病毒感染或受到攻擊。如果能將微軟的補(bǔ)丁管理系統(tǒng)與的

18、”終端接入安全體系”端點(diǎn)準(zhǔn)入防御方案集成，就可以徹底解決系統(tǒng)補(bǔ)丁管理的問題。這個集成方案就被稱為補(bǔ)丁聯(lián)動方案，該方案需要”終端接入安全體系”與軟件補(bǔ)丁更新服務(wù)器協(xié)同工作：軟件補(bǔ)丁更新服務(wù)器負(fù)責(zé)對端點(diǎn)用片的計算機(jī)進(jìn)行補(bǔ)丁狀態(tài)檢查、判斷是否合格以及不合格時自動更新所缺少的補(bǔ)丁，”終端接入安全體系”則負(fù)責(zé)決定何時發(fā)起補(bǔ)丁狀態(tài)檢查操作，并負(fù)責(zé)控制補(bǔ)丁狀態(tài)檢查不合格的端點(diǎn)用片只能訪問隔離區(qū)內(nèi)的資源，待端點(diǎn)用片的計算機(jī)的補(bǔ)丁狀態(tài)檢查合格后才解除對該用尸計算機(jī)的隔離。注1:隔離區(qū)是指端點(diǎn)用片在通過安全認(rèn)證之前允許訪問的一組主機(jī)的集合。一般地，隔離區(qū)可能包含防病毒軟件安裝升級服務(wù)器（防病毒管理中心）、軟件補(bǔ)丁

19、更新服務(wù)器和終端接入安全體系”管理代理服務(wù)器。隔離區(qū)具體包含哪些主機(jī)一 般在接入設(shè)備上配置。注2:補(bǔ)丁狀態(tài)檢查是指對接入用片/端點(diǎn)用片的計算機(jī)進(jìn)行軟件補(bǔ)丁是否符合 安全要求的 檢查，檢查不合格時列舉出所有缺少的軟件補(bǔ)丁。注3:補(bǔ)丁更新是指從補(bǔ)丁服務(wù)器下載軟件補(bǔ)丁到客尸機(jī)，并進(jìn)行安裝與生效處理的全過程。系統(tǒng)架構(gòu)與基本交互流程系統(tǒng)架構(gòu)終端接入安全體系”是一個融合網(wǎng)絡(luò)設(shè)備、用尸終端和第三方安全產(chǎn)品的客片端準(zhǔn)入安全框架，與補(bǔ)丁管理服務(wù)器的聯(lián)動主要通過”終端接入安全體系”客尸端與補(bǔ)丁升級客六端之間的API接口實(shí)現(xiàn)，具部署圖如下：系統(tǒng)結(jié)構(gòu)圖WLS/SMS:補(bǔ)丁艇另在接入用尸的終端需要同時安裝”終端接入安全

20、體系”客尸端和補(bǔ)丁客尸端客戶端終端接入安全體系”客戶端負(fù)責(zé)完成與”終端接入安全體系”策略服務(wù)器的交互；補(bǔ)丁是微軟發(fā)布的與相應(yīng)的補(bǔ)丁服務(wù)器配合的SUS（ WSUS或SM溶尸端?！苯K端接入安全體系”客戶端與補(bǔ)丁客戶端通過微軟提供的 API 接口完成補(bǔ)丁檢查與 安全準(zhǔn)入的融合。這種方式下，”終端接入安全體系”系統(tǒng)與微軟補(bǔ)丁系統(tǒng)是相互獨(dú)立的，可以不 依賴于對方而完成自有功能。但可以通過API 來實(shí)現(xiàn)兩個系統(tǒng)之間的聯(lián)動，彌補(bǔ)各 自的不足，完善補(bǔ)丁管理和安全準(zhǔn)入方案。1254特性的優(yōu)點(diǎn)聯(lián)動的松散耦合性：充分利用微軟成熟的補(bǔ)丁管理工具， ”終端接入安全體系”不需要管理各種Windows 環(huán)境的用戶機(jī)器缺少哪

21、些補(bǔ)丁等繁瑣事務(wù)；補(bǔ)丁更新的安全性：用戶機(jī)器的補(bǔ)丁狀態(tài)不符合安全要求時， 其訪問范 圍控制在隔離區(qū)，即補(bǔ)丁更新是在隔離區(qū)進(jìn)行的；補(bǔ)丁更新的自動性：補(bǔ)丁更新過程是自動完成的（機(jī)器需要重啟時會提示用戶確認(rèn)），無需用戶手工下載和安裝補(bǔ)丁程序；補(bǔ)丁更新的即時性：用戶機(jī)器的補(bǔ)丁狀態(tài)檢查不合格后馬上轉(zhuǎn)入補(bǔ)丁自動更新過程；補(bǔ)丁更新的強(qiáng)制性：不完成補(bǔ)丁更新的用戶機(jī)器只能訪問隔離區(qū)內(nèi)的網(wǎng)絡(luò)資 源，要訪問更多資源，只有完成補(bǔ)丁更新。1.3. 應(yīng)用模型1 ? 3? 1? 安全準(zhǔn)入應(yīng)用模型終端接入安全體系”解決方案安全準(zhǔn)入主要是通過身份認(rèn)證和安全策略檢查的 方式，對未進(jìn)行安全修復(fù)，以達(dá)到通過身份認(rèn)證或不符合安全策略的

22、用戶終端進(jìn)行網(wǎng)絡(luò)隔離，并幫助終端防范不安全網(wǎng)絡(luò)用戶終端給安全網(wǎng)絡(luò)帶來安全威脅的目的。你安全嗎？非袪用戶拒絕入網(wǎng)#liS? 么？安全認(rèn)證一/$企業(yè)網(wǎng)“）眄離區(qū)11一的做什么？1? 3? 2?安全準(zhǔn)入工作流程你可以做什身份驗(yàn)證：用戶終端接入網(wǎng)絡(luò)時，首先進(jìn)行用戶身份認(rèn)證，非法用戶將被拒絕接入網(wǎng)絡(luò)。身份認(rèn)證動態(tài)授權(quán)目前”終端墉篇余體系解決方等衷情p802.1x和Por翱/證。安全檢查：身份認(rèn)證通過后進(jìn)行終端安全檢查,由CAMSe全策略服務(wù)器驗(yàn)證用戶終端的安不同用戶享做不同的網(wǎng)二不合格全狀態(tài)（包括補(bǔ)丁版本、病毒庫版本、軟件安裝等）是圜畬檎區(qū)安全隔離：不合格的終端將被安全聯(lián)動設(shè)備通過口目,谿使用楓限;強(qiáng)制

23、劑取CL策略限制在隔離區(qū)進(jìn)行安全修復(fù)安全修復(fù)：進(jìn)入隔離區(qū)的用戶可以進(jìn)行補(bǔ)丁、病毒庫的升級、卸載非法軟件和停止非法服務(wù)等操作，直到安全狀態(tài)合格。動態(tài)授權(quán)：如果用戶身份驗(yàn)證、安全檢查都通過，則CAM安全策略服務(wù)器將預(yù)先配置的該用戶的權(quán)限信息（包括網(wǎng)絡(luò)訪問權(quán)限、用戶帶寬限制參數(shù)、用戶優(yōu)先級等QOSI數(shù)、用戶組播權(quán)限等等）下發(fā)給安全聯(lián)動設(shè)備，由安全聯(lián)動設(shè)備實(shí)現(xiàn)按用戶身份的權(quán)限控制。實(shí)時監(jiān)控：在用戶網(wǎng)絡(luò)使用過程中，安全客戶端根據(jù)安全策略服務(wù)器下發(fā)的監(jiān)控策略,時監(jiān)控用戶終端的安全狀態(tài)，一旦發(fā)現(xiàn)用戶終端安全狀態(tài)不符合企業(yè)安全策略,則向CAMS安全策略服務(wù)器上報安全事件，由CAMSe全策略服務(wù)器按照預(yù)定義的安

24、全策略,采取相應(yīng)的控制措施，比如通知安全聯(lián)動設(shè)備隔離用戶用戶終端安全聯(lián)動設(shè)備安全策略服務(wù)器身份認(rèn)證請求發(fā)起身份認(rèn)證Radius/身份信息Radius/身份認(rèn)證成功，下發(fā)隔離ACL安全認(rèn)證請求安全狀態(tài)檢查安全狀態(tài)信息（防病毒版本、系統(tǒng)補(bǔ)丁等信息）安全狀態(tài)不合格（缺少補(bǔ)丁等）根據(jù)安全認(rèn)證結(jié)果，修復(fù)系統(tǒng)漏洞r安全狀態(tài)檢查 安全狀態(tài)信息（防病毒版本、系統(tǒng)補(bǔ)丁等信息）安全認(rèn)證成功，下發(fā)監(jiān)控策略Radius/安全認(rèn)證成功，下發(fā)工作ACL檢查終端安全狀態(tài)安全狀態(tài)監(jiān)控安全狀態(tài)信息具體部署方式如下1、在區(qū)域二中部署中心認(rèn)證服務(wù)器一臺，推薦中石油使用基于CA證書的認(rèn)證系統(tǒng)，這樣在安全性會比簡單的用片名密碼要高；2

25、、在服務(wù)器與客尸端上均部署終端安全認(rèn)證體系客六端，保證服務(wù)器系統(tǒng)能夠強(qiáng)制進(jìn)行系統(tǒng)補(bǔ)丁和病毒庫的升級；終端客尸端進(jìn)行強(qiáng)制病毒庫、系統(tǒng)補(bǔ)丁的升級,在用尸接入網(wǎng)絡(luò)的同時對其日常網(wǎng)絡(luò)使用行為進(jìn)行監(jiān)控；3、在終端部署支持802.1X認(rèn)證的交換設(shè)備與終端用尸認(rèn)證體系進(jìn)行聯(lián)動；4、在區(qū)域二部署日志服務(wù)器 XLOG一臺,進(jìn)行日常用尸行為訪問的記錄 ；5、通過用戶終端行為記錄以及網(wǎng)絡(luò)行為監(jiān)控，記錄用戶日常網(wǎng)絡(luò)使用行為，并作為日后審計的依據(jù)。6 在中心認(rèn)證服務(wù)器上部署安全策略，對違規(guī)行為進(jìn)行定義，下發(fā)到客戶端， 提高客戶端對于重要安全策略的響應(yīng)，最大限度的減少誤操作給中石油帶來 的經(jīng)濟(jì)、信息損失。14 功能特點(diǎn)終

26、端接入安全體系”解決方案已實(shí)現(xiàn)以下功能規(guī)格，在具體應(yīng)用部署時，可根據(jù)用戶網(wǎng)絡(luò)的實(shí)際使用需求，確定”終端接入安全體系”的應(yīng)用模式和部署方案。1? 4? 1 ? 安全狀態(tài)評估終端補(bǔ)丁檢測：評估客戶端的補(bǔ)丁安裝是否合格，可以檢測的補(bǔ)丁包括：操作系統(tǒng)（Win dows2000/XP 等，不包括Windows 98）等符合微軟補(bǔ)丁規(guī)范的熱補(bǔ)丁。安全客戶端版本檢測：可以檢測安全客戶端H3CClient 的版本，防止使用不具備安全檢測能 力的客戶端接入網(wǎng)絡(luò)。同時支持客戶端自動升級。安全狀態(tài)定時評估： 安全客戶端可以定時檢測用戶安全狀態(tài)， 防止用戶上網(wǎng)過程中因安全狀態(tài)發(fā)生變化而造成的與安全策略的不一致。自動補(bǔ)

27、丁管理：提供與微軟 WSUS/SMS全稱：Windows Server Update Services/SystemMa nageme nt Server ）協(xié)同的自動補(bǔ)丁管理，當(dāng)用戶補(bǔ)丁不合格時，自動安裝補(bǔ)丁。終端運(yùn)行狀態(tài)實(shí)時檢測：可以對上線用戶終端的系統(tǒng)信息進(jìn)行實(shí)時檢測，包括已安裝程序列 表、已安裝補(bǔ)丁列表、已運(yùn)行進(jìn)程列表、共享目錄信息、分區(qū)表、屏保設(shè)置和已啟動服務(wù)列防病毒聯(lián)動：主要包含兩個方面，一是端點(diǎn)用戶接入網(wǎng)絡(luò)時，檢查其計算機(jī)上防病毒軟件的安裝運(yùn)行情況以及病毒庫和掃描引擎版本是否符合安全要求等，不符合安全要求可以根據(jù)策略阻止用戶接入網(wǎng)絡(luò)或?qū)⑵湓L問限制在隔離區(qū)；二是端點(diǎn)用戶接入網(wǎng)絡(luò)后， ”終端接入安全體系”定期檢查