內(nèi)網(wǎng)安全風險管理與審計系統(tǒng)實施策劃方案

天珣內(nèi)網(wǎng)安全風險治理與審計系統(tǒng)實施方案（VPatch66950000）啟明星辰BeijingVenustechCybervisionCo.,Ltd.2014年10月目錄1 系統(tǒng)實施原則 11.1 最大限度降低對用戶的阻礙 11.2 全面細致規(guī)劃，分步實施 11.3 安全策略從簡到繁，安全級不步進式提高 22 實施打算 23 治理服務(wù)器部署 33.1 總部治理服務(wù)器部署 33.2 廠所獨立治理服務(wù)器部署 43.3 部署實施建議 53.3.1 治理服務(wù)器與客戶端通信要求 53.3.2 數(shù)據(jù)存儲建議 93.3.3 治理員權(quán)限劃分 93.3.4 服務(wù)器安裝及數(shù)據(jù)治理 94 客戶端部署 104.1 通過應(yīng)用準入方式部署客戶端 104.2 應(yīng)用準入操縱部署 104.3 建設(shè)期客戶端部署 114.4 維護期客戶端部署 115 準入操縱實施 115.1 應(yīng)用準入操縱實施 125.2 網(wǎng)絡(luò)準入操縱實施 155.3 風險與災(zāi)備 215.4 客戶端準入部署 275.5 客戶端準入操縱部署建議 286 分工界面 297 附件一：服務(wù)器安裝及數(shù)據(jù)治理 31系統(tǒng)實施原則最大限度降低對用戶的阻礙部署終端安全治理系統(tǒng)的全然目的，是借助系統(tǒng)所提供的準入操縱的技術(shù)手段，確保接入的電腦是合法的和符合XX研究院安全策略要求的，最大限度降低不安全的客戶端電腦對XX研究院網(wǎng)絡(luò)和信息資源帶來的風險和威脅，保證XX研究院每一個用戶的電腦始終處于良好的運行狀態(tài)，大大降低故障發(fā)生概率，從而保證每個用戶都能夠完全專注在自己的本職業(yè)務(wù)工作，并大大提高每一個用戶的工作效率。因此，選擇和部署終端安全治理系統(tǒng)時，在確保XX研究院安全策略的有效執(zhí)行的前提下，要最大限度降低對電腦用戶在日常工作中的阻礙，例如減少終端用戶在系統(tǒng)的使用過程中的不必要的操作和介入，在用戶違反安全策略時進行友好提示，尊重和愛護個人隱私，為用戶安全網(wǎng)絡(luò)訪問和信息交換保駕護航。全面細致規(guī)劃，分步實施終端安全治理系統(tǒng)，作為XX研究院網(wǎng)絡(luò)安全的基礎(chǔ)架構(gòu)中特不重要的客戶端電腦安全治理平臺，將涉及到XX研究院內(nèi)部每一臺同意治理的電腦和每一個用戶，涉及面廣，阻礙面大。因此，為了全然上解決客戶端電腦的安全治理問題，如此的系統(tǒng)的部署也勢在必行，因此在系統(tǒng)部署前需要對系統(tǒng)的實施過程、安全策略的制定和安全治理制度的建立，進行全面系統(tǒng)地規(guī)劃，并在實施過程中，依照實際環(huán)境進行適時調(diào)整，從而保證系統(tǒng)和安全策略在XX研究院內(nèi)部順利執(zhí)行下去，實現(xiàn)項目預期的目標，保障內(nèi)部網(wǎng)絡(luò)具有更高可用性和客戶端電腦的更高安全性。部署前需要規(guī)劃的內(nèi)容包括：內(nèi)部網(wǎng)絡(luò)和用戶的安全分級和規(guī)劃，系統(tǒng)部署的次序和周期，針對不同部門或用戶角色的安全策略組合，系統(tǒng)安全策略的動態(tài)調(diào)整等等。安全不是一蹴而就的，由于該系統(tǒng)涉及面較廣，因此系統(tǒng)的實施需要全面規(guī)劃，分步實施，循序漸進，真正發(fā)揮系統(tǒng)的安全愛護和主動防備的功效。安全策略從簡到繁，安全級不步進式提高由于XX研究院分支機構(gòu)、部門和人員較多，對應(yīng)每一個角色的安全愛護級不要求也層次各異，假如為了保證最高的安全性，使用同樣一種嚴格的安全策略，或者為了降低安全治理的工作量，簡單的執(zhí)行一類差不多安全策略，差不多上不合適的。在規(guī)劃中要預先基于用戶角色確定每個部門、用戶或分支機構(gòu)，確定對應(yīng)的最合適的安全策略組合，作為系統(tǒng)最終實現(xiàn)的安全治理目標。在實施過程中，再按照由簡到繁的次序，先實施所有用戶都必須遵守的安全策略，然后再依照不同分支機構(gòu)、部門和用戶，步進式下發(fā)和執(zhí)行各級安全策略，從而實現(xiàn)安全級不步進式提高，構(gòu)建立體的、混合模式的終端安全策略治理體系。實施打算內(nèi)網(wǎng)終端合規(guī)治理提升是一個循序漸進和不斷完善的過程，要兼顧“安全性”和“便利性”，合規(guī)治理應(yīng)“先弱后強”，實施策略應(yīng)“先易后難”的原則，消除來自業(yè)務(wù)部門和終端職員的抵觸情緒和壓力。因此在安裝過程中，我們嚴格遵循天珣安裝“三步走”原則，即：通過應(yīng)用準入推動客戶端部署安裝，通過友好的提示界面以及強度稍弱的準入操縱方式，善意的提醒用戶主動安裝天珣客戶端，并提供給用戶下載地址，由其去下載和安裝配置策略治理受控終端使其進行自身安全狀態(tài)的完善，目標則是讓內(nèi)網(wǎng)受控終端成為合規(guī)安全的終端，保證內(nèi)網(wǎng)安全建設(shè)成功而高效啟用網(wǎng)絡(luò)準入，在用戶熟悉天珣準入操縱系統(tǒng)的特性后再啟用網(wǎng)絡(luò)準入，將會受到最小的阻力，最終完成整個準入體系的關(guān)鍵一步因此，也會有一些部門或區(qū)域的安全愛護等級要求沒有這么高，這時我們能夠?qū)ζ洳杉{適合自己的準入操縱方式和安全策略，從而使的整個項目更加人性化。項目時刻表治理服務(wù)器部署總部治理服務(wù)器部署院本部內(nèi)廠所內(nèi)：兩種方式部署治理服務(wù)器，一種是邏輯上的集中治理分級授權(quán)方式，另一種完全獨立的策略治理服務(wù)器方式。天珣內(nèi)網(wǎng)安全風險治理與審計系統(tǒng)支持多策略服務(wù)器架構(gòu)。每個服務(wù)器服務(wù)一個或多個園區(qū)。而這些服務(wù)器能夠相互備份，在一個統(tǒng)一的操縱臺同意集中治理。假如一臺服務(wù)器宕機，其服務(wù)的用戶會自動被其他的服務(wù)器接管。每一個治理網(wǎng)段的電腦都有3次從服務(wù)器獵取規(guī)則的機會，它們首先會從Primary的策略服務(wù)器獵取規(guī)則，假如失敗，則從Secondary的策略服務(wù)器獵取規(guī)則，假如再失敗，則從中心服務(wù)器獵取規(guī)則，假如依舊失敗，則使用客戶端本地緩存的規(guī)則。分布式多服務(wù)器架構(gòu)使天珣內(nèi)網(wǎng)安全風險治理與審計系統(tǒng)具有優(yōu)秀的容錯性、可伸縮性，支持的客戶端數(shù)量從數(shù)百個到數(shù)萬以至更多，而部署極為平滑，性能不受阻礙。在本次實施中，需要部署三臺策略服務(wù)器，一臺中心服務(wù)器，兩臺本地服務(wù)器。三臺策略服務(wù)器都安裝在中心機房，要求本次實施的所有的客戶端電腦及策略網(wǎng)關(guān)都能夠通過TCP/IP協(xié)議的7890端口訪問到策略服務(wù)器。因為中心服務(wù)器有日常的治理負荷，建議中心服務(wù)器治理3000臺終端電腦，本地服務(wù)器治理7000臺終端電腦。關(guān)于任何一個治理網(wǎng)段，假如其PrimaryServer為其中一臺，則其SecondaryServer將被設(shè)為另外一臺。中心服務(wù)器中心服務(wù)器兩臺本地服務(wù)器治理網(wǎng)段一治理網(wǎng)段二PrimarySecondaryPrimarySecondary廠所獨立治理服務(wù)器部署獨立廠所：完全獨立的策略治理服務(wù)器方式。在分布式多服務(wù)器架構(gòu)下，中心服務(wù)器是整個系統(tǒng)策略集中存放的地點，本地服務(wù)器是進行日常的策略分發(fā)的地點。全系統(tǒng)只需要一個中心服務(wù)器，能夠有多個本地服務(wù)器，中心服務(wù)器能夠兼作本地服務(wù)器。在本次實施中，兩臺策略服務(wù)器都在院總部的直接治理下，由總部的治理員進行治理。在今后的實施中，能夠在各下級廠所架設(shè)本地服務(wù)器，由總部的治理員進行全局操縱，而由各廠所的治理員進行本地化的治理。從投資成本上考慮，建議本項服務(wù)器都在集中部署在院總部信息中心更有利，院下屬各廠所多集中在園區(qū)網(wǎng)內(nèi)網(wǎng)絡(luò)帶寬足以滿足集中心治理的需要，因此推舉集中治理的部署方式。部署實施建議治理服務(wù)器與客戶端通信要求CC與治理服務(wù)器的通信列表。類不源源端口目標目標端口功能協(xié)議服務(wù)器類中心服務(wù)器any客戶端7891主動下發(fā)策略UDP中心服務(wù)器any客戶端7891策略預檢查UDP中心服務(wù)器any本地服務(wù)器7892主動同步服務(wù)器策略TCP中心服務(wù)器any策略網(wǎng)關(guān)代理7893同步代理策略UDP中心服務(wù)器anyradius服務(wù)器7897更新radius策略UDP補丁同步服務(wù)器any外網(wǎng)補丁服務(wù)器8800同步補丁TCP策略網(wǎng)關(guān)代理any中心服務(wù)器7890獵取代理策略TCPradius服務(wù)器any中心服務(wù)器7890獵取radius策略TCP策略網(wǎng)關(guān)any策略網(wǎng)關(guān)代理7893攔截訪問，通知代理TCP策略網(wǎng)關(guān)代理any客戶端7891發(fā)送檢查請求UDPradius服務(wù)器any交換機1812-1813發(fā)送認證結(jié)果UDP交換機anyradius服務(wù)器1812-1813轉(zhuǎn)發(fā)認證請求UDP交換機any客戶端1645-1646下發(fā)ACLUDPradius服務(wù)器any域服務(wù)器443轉(zhuǎn)發(fā)用戶認證TCP中心服務(wù)器anyservermonitor7896收集系統(tǒng)組件運行狀態(tài)TCP客戶端類客戶端any中心服務(wù)器7890心跳UDP客戶端any中心服務(wù)器7890取策略TCP客戶端any中心服務(wù)器7898SSL取策略TCP客戶端any中心服務(wù)器7890;7898客戶端注冊TCP客戶端any中心服務(wù)器8833web治理界面TCP客戶端any軟件分發(fā)服務(wù)器7901取分發(fā)任務(wù)TCP客戶端any軟件分發(fā)服務(wù)器7902取分發(fā)文件TCP客戶端any資產(chǎn)服務(wù)器7891上報資產(chǎn)TCP客戶端any攻擊告警服務(wù)器7899上報攻擊告警UDP客戶端any補丁同步服務(wù)器8833下載補丁TCP客戶端anyhod治理員5500;5400遠程協(xié)助數(shù)據(jù)流TCP客戶端any按需支援服務(wù)器7895發(fā)起支援請求TCPUTM類USGany客戶端1080發(fā)送攔截頁面TCP客戶端anyUSG1080接收攔截頁面TCPUSGany策略網(wǎng)關(guān)代理7893攔截訪問，通知代理TCP數(shù)據(jù)存儲建議采納數(shù)據(jù)的集中存儲模式，便于用戶的數(shù)據(jù)的存儲備份治理。本部及各分支機構(gòu)的數(shù)據(jù)全部存儲在一臺固定的數(shù)據(jù)庫服務(wù)器中，省去數(shù)據(jù)同步的苦惱，增加數(shù)據(jù)一致性。治理員權(quán)限劃分三權(quán)分立治理在天珣內(nèi)網(wǎng)安全風險治理與審計系統(tǒng)中，差不多設(shè)置的操作必須有全局治理員權(quán)限才能進行，而一般的策略配置只需要一般治理員權(quán)限就能夠進行。一個一般治理員定義的策略，另外一個一般治理員不能看見，也不能使用。全局治理員定義的策略，其他一般治理員能夠使用，但不能修改。全局治理員能夠使用、修改任何一個一般治理員或全局治理員定義的策略。對全局治理員或一般治理員，都能夠設(shè)置“只讀”屬性，該治理員只能讀取策略信息，不能增加、修改或應(yīng)用策略。在院總部，建議設(shè)置三種治理員。一種治理員是全局治理員，這類治理員由一至二個成員組成，他們負責進行差不多設(shè)置，或一些全局性的策略。第二種治理員是一般治理員，要緊由他們進行策略配置，他們定義的策略具有本地屬性，當今后部署范圍擴大，安裝了更多的本地服務(wù)器，有更多的治理員參與策略系統(tǒng)治理時，他們定義的策略可不能被其他治理員使用。第三種治理員是只讀治理員，一般對部門領(lǐng)導設(shè)置這種權(quán)限，他們能夠查看系統(tǒng)，但不需要他們做策略配置。服務(wù)器安裝及數(shù)據(jù)治理見附件一。

客戶端部署通過應(yīng)用準入方式部署客戶端應(yīng)用準入操縱部署關(guān)于無法實施網(wǎng)絡(luò)準入操縱的區(qū)域，能夠采納應(yīng)用準入。下圖是采納應(yīng)用準入的部署圖。分不在院的DNS服務(wù)器，ISA服務(wù)器，關(guān)鍵的Windows服務(wù)器，關(guān)鍵的Linux服務(wù)器等經(jīng)常被訪問的服務(wù)器上部署策略網(wǎng)關(guān)，當用戶電腦訪問這些服務(wù)器時，策略網(wǎng)關(guān)將會檢查用戶電腦是否運行了天珣內(nèi)網(wǎng)安全風險治理與審計系統(tǒng)客戶端軟件，而且是否符合策略規(guī)則。假如不符合，策略網(wǎng)關(guān)將拒絕用戶的訪問，并給出友好的提示。在實際部署中，可依照情況增加或減少策略網(wǎng)關(guān)的部署數(shù)量。天珣差不多與啟明星辰天清漢馬USG實現(xiàn)準入操縱互動，由USG作為新的應(yīng)用準入操縱類型。當終端需要通過USG進行訪問時，由USG和天珣聯(lián)動，只容許認證通過同時安全狀態(tài)符合要求的終端通過USG進行訪問。建設(shè)期客戶端部署客戶端部署要緊采納客戶自助安裝、后臺自動安裝、或治理員輔助安裝等部署方式?？蛻舳俗灾惭b可采納策略網(wǎng)關(guān)提示安裝，網(wǎng)上鄰居預安裝，郵件提示預安裝等方式。后臺自動安裝可使用現(xiàn)有的軟件分發(fā)工具，或用專門的后臺安裝工具進行安裝。治理員輔助安裝是在前面的安裝手段對個不用戶不能成功部署時采納?？蛻舳瞬渴鹨啦块T順序分時期進行，在對每個部門全面部署前，先進行一次終端應(yīng)用情況調(diào)研，針對每個部門的終端使用情況進行詳細調(diào)研，要緊包括：OS、版本、補丁、應(yīng)用系統(tǒng)、重要數(shù)據(jù)等其它相關(guān)內(nèi)容。假如有需要特不注意的地點，就需要制定特不的部署方案。維護期客戶端部署新購置電腦關(guān)于少量新購置的電腦，建議在入網(wǎng)之前由治理部門安裝天珣客戶端；關(guān)于批量購置的電腦，建議與電腦廠商協(xié)商，在出廠時即安裝天珣客戶端。電腦重裝操作系統(tǒng)天珣應(yīng)用準入的一個重要功能是關(guān)心治理員部署客戶端。關(guān)于間或重裝操作系統(tǒng)的終端，可通過應(yīng)用準入操縱由用戶自助安裝客戶端程序。準入操縱實施

應(yīng)用準入操縱實施應(yīng)用準入介紹天珣系統(tǒng)中，具備其他同類軟件不同的關(guān)鍵準入操縱組件——策略網(wǎng)關(guān)，那個組件能夠安裝在企業(yè)網(wǎng)中一個或多個關(guān)鍵業(yè)務(wù)系統(tǒng)服務(wù)器之上，執(zhí)行應(yīng)用層準入操縱，能夠?qū)碓L的終端執(zhí)行合規(guī)檢查，假如來訪終端非受控或不合規(guī)，將被拒絕訪問該服務(wù)器或業(yè)務(wù)系統(tǒng)，同時也達到對這些關(guān)鍵服務(wù)器和業(yè)務(wù)系統(tǒng)增強愛護的效果。其中，基于DNS應(yīng)用準入操縱，又依照模式的不同，又能夠分為旁路式的DNS準入（現(xiàn)在DNS處于旁路監(jiān)聽模式，無需改變DNS服務(wù)器配置或者安裝DNS策略網(wǎng)關(guān)）和在線DNS準入（在DNS服務(wù)器上部署DNS策略網(wǎng)關(guān)）。天珣能夠與啟明星辰天清漢馬一體化安全網(wǎng)關(guān)（簡稱：天清漢馬USG）組成UTM2合規(guī)治理方案，實現(xiàn)準入操縱聯(lián)動，由天清漢馬USG擔當準入操縱網(wǎng)關(guān)，當計算機終端需要通過天清漢馬USG進行訪問時，確保只有受控和合規(guī)的才能通過天清漢馬USG對USG所愛護的服務(wù)器進行訪問。除此之外，天珣還能夠提供能夠與用戶任意平臺的B/S結(jié)構(gòu)的業(yè)務(wù)系統(tǒng)無縫集成的Web準入操縱。集成的Web準入操縱，平臺適應(yīng)能力特不廣泛，服務(wù)端能夠在Windows、Linux、unix下使用。 性能優(yōu)越，而且部署及其簡單，只需把控件加入登錄頁面上，同時替換了用戶名輸入控件，進行小量的頁面修改即可完成部署。應(yīng)用準入的特點i)應(yīng)用準入生效是在數(shù)據(jù)中心的服務(wù)器區(qū)，關(guān)于網(wǎng)絡(luò)環(huán)境中因接入層交換機或匯聚層交換機不支持相應(yīng)的網(wǎng)絡(luò)準入認證協(xié)議，或者因內(nèi)網(wǎng)終端合規(guī)治理的現(xiàn)實要求，臨時不需要啟用最嚴格的網(wǎng)絡(luò)準入操縱的情況，應(yīng)用準入將能夠代替網(wǎng)絡(luò)準入作為最佳的終端合規(guī)準入操縱手段。因此假如終端始終不去訪問數(shù)據(jù)中心服務(wù)器，那么將可能無法對事實上施應(yīng)用準入，因此前期對準入所使用的業(yè)務(wù)系統(tǒng)的選擇將會特不關(guān)鍵。ii)獨特功能：應(yīng)用準入能夠通過自動重定向，對未受控或者不合規(guī)的終端，進行個性化的友好提示，通過友好提示不僅能夠關(guān)心最終用戶了解無法訪問業(yè)務(wù)服務(wù)器的緣故，為最終用戶同意和適應(yīng)新的終端合規(guī)治理提供關(guān)心，還能夠通過該提示頁面，發(fā)送執(zhí)行合規(guī)治理的客戶端軟件，真正實現(xiàn)了最終用戶“自助式”的客戶端部署，不僅大幅度減少系統(tǒng)維護人員的工作量，也極大減少用戶的厭煩和抵觸行為，保證合規(guī)治理有效性的同時，在內(nèi)網(wǎng)終端合規(guī)治理過程中，體現(xiàn)了人性關(guān)懷，有效增強了最終用戶在內(nèi)網(wǎng)合規(guī)治理系統(tǒng)實施中的積極性，促進內(nèi)網(wǎng)合規(guī)更快獲得良好收效。本項目中應(yīng)用準入的實施主頁或OA服務(wù)器上的中性策略網(wǎng)關(guān)在主頁或OA服務(wù)器上安裝天珣中性策略網(wǎng)關(guān)，受控終端訪問主頁或OA服務(wù)器時過程如下。開啟準入檢查的網(wǎng)段，對有針對性地檢查特定的網(wǎng)段，對專門網(wǎng)段可設(shè)置使其不受策略網(wǎng)關(guān)的阻礙。DNS準入在內(nèi)部DNS服務(wù)器上安裝天珣DNS策略網(wǎng)關(guān)，當受控終端發(fā)送DNS請求時與DNS服務(wù)器交互過程如下：開啟準入檢查的網(wǎng)段，對有針對性地檢查特定的網(wǎng)段，對專門網(wǎng)段可設(shè)置使其不受DNS準入的阻礙。網(wǎng)絡(luò)準入操縱實施關(guān)于接入交換機支持802.1X協(xié)議的區(qū)域，采納基于802.1x協(xié)議的網(wǎng)絡(luò)準入操縱。下圖是802.1x網(wǎng)絡(luò)準入的部署圖。802.1X認證的RadiusServer采納天珣自帶的RadiusServer，用戶電腦安裝天珣內(nèi)網(wǎng)安全風險治理與審計系統(tǒng)客戶端軟件。天珣內(nèi)網(wǎng)安全風險治理與審計系統(tǒng)支持分布式多服務(wù)器架構(gòu)，建議每套天珣系統(tǒng)至少部署2個Radius服務(wù)器，以對802.1X提供互備的認證支持?；诳尚臡AC地址的802.1X準入認證在本次方案中，我們推舉XXXX院實行基于可信MAC地址驗證的802.1X準入。該認證模式能夠和“差不多認證”、“擴展組合認證”組合成完善的準入模式。對接入電腦的MAC地址進行驗證，假如不在同意接入的清單內(nèi)，則拒絕該電腦的接入。關(guān)于新接入的電腦，該電腦的信息將即時報告給治理員，治理員能夠在線決定是否同意該新電腦的接入?？蛻舳说陌惭b由于802.1X是二層協(xié)議，終端認證不成功將不能訪問網(wǎng)絡(luò)，故客戶端的安裝問題將阻礙用戶的使用，客戶端的安裝請參見“客戶端部署”章節(jié)。策略配置首先，在天珣WEB操縱臺中添加一條RadiusServer策略，在那個地點配置radius認證服務(wù)器及其所使用的認證策略：我們配置“網(wǎng)絡(luò)準入類型”為“標準802.1x”，差不多認證為“用戶認證”，并選擇電力集團的AD域作為認證域。接下來再把需要啟用網(wǎng)絡(luò)準入的交換機的IP加入到網(wǎng)絡(luò)設(shè)備配置中，讓radius服務(wù)器明白它將對哪些交換機的認證請求進行響應(yīng)。注意：共享密鑰必須與交換機中配置的key一致，否則將無法認證成功。在網(wǎng)絡(luò)設(shè)備配置完成后，將其應(yīng)用到radius配置的“啟用準入操縱的網(wǎng)絡(luò)設(shè)備”中：另外，在頁面策略配置完成后，務(wù)必點擊更新radius服務(wù)器策略，否則radius服務(wù)器將無法獵取到最新的策略修改。交換機配置關(guān)于交換機的配置，我們會對兩種電力集團普遍使用的接入層cisco和華為交換機進行介紹。CISCO交換機進入配置命令模式#configterminal配置Radius認證服務(wù)器啟用認證#aaanew-model設(shè)置802.1X使用radiusserver組中的所有radiusserver進行認證#aaaauthenticationdot1xdefaultgroupradius#aaaauthorizationnetworkdefaultgroupradius添加ias到radiusserver，其中host后面的IP地址為IAS服務(wù)器地址，auth-port和acct-port為標準的Radius端口，key為交換機和Raidus服務(wù)器通訊密鑰#radius-serverhostXX.XX.XX.XXauth-port1812acct-port1813key123456啟用802.1X#dot1xsystem-auth-control配置7號端口使用802.1X認證#interfaceFastEthernet0/7#switchportmodeaccess#dot1xport-controlauto#dot1xhost-modemulti-host（啟用交換機端口的multiple-hosts模式，以使交換機可下接hub進行認證）#end配置7號端口的重認證周期可選項，配置802.1X重認證的周期，以秒為單位，默認為3600秒（1小時），當重認證時，假如網(wǎng)絡(luò)端口接入其他沒有運行天珣內(nèi)網(wǎng)安全風險治理與審計系統(tǒng)的計算機，端口會趕忙封閉。#interfaceFastEthernet0/7#dot1xreauthentication#dot1xtimeoutreauth-period3600#end保存當前配置作為啟動配置#copyrunning-configstartup-config注意：CISCO的交換機假如是遠程使用telnet登陸到交換機進行配置的話，請千萬記得配置aaaauthenticationlogindefaultline命令（不同型號交換機可能命令略有不同）。此命令作用是將telnet時進行的認證放在交換機本地，假如不配置的話，假如往常telnet交換機只需要輸入密碼的話，那么在下次進行telnet登陸時，交換機將會提示要求輸入用戶名和密碼進行認證。華為交換機#設(shè)置802.1x用戶的認證方法，目前提供3種認證方法：PAP認證、CHAP認證、EAP中繼認證。缺省情況下，華為交換機802.1x用戶認證方法為CHAP認證。此處需要修改設(shè)置為EAP認證。[Quidway]dot1xauthentication-methodeap#創(chuàng)建RADIUS組dot1x并進入其視圖[Quidway]radiusschemedot1x#設(shè)置主認證/計費RADIUS服務(wù)器的IP地址[Quidway-radius-dot1x]primaryauthenticationXX.XX.XX.XX#設(shè)置主認證/計費RADIUS服務(wù)器的IP地址[Quidway-radius-dot1x]primaryaccountingXX.XX.XX.XX#設(shè)置系統(tǒng)與認證RADIUS服務(wù)器交互報文時的加密密碼[Quidway-radius-dot1x]keyauthentication123456[Quidway-radius-dot1x]keyaccounting123456#指示系統(tǒng)從用戶名中去除用戶域名后再將之傳給RADIUS服務(wù)器[Quidway-radius-dot1x]user-name-formatwithout-domain[Quidway-radius-dot1x]quit#創(chuàng)建用戶域dot1x，并進入其視圖[Quidway]domaindot1x#指定“dot1x”為該用戶域的Radius方案[Quidway-isp-dot1x]radius-schemedot1x[Quidway-isp-dot1x]quit#指定交換機缺省的用戶域為“dot1x”[Quidway]domaindefaultenabledot1x#開啟E0/8的802.1x認證[Quidway]dot1xinterfaceEthernet0/8#開啟全局802.1x特性[Quidway]dot1x#保存設(shè)置[Quidway]quit<Quidway>save風險與災(zāi)備802.1X準入作為一種最嚴格的準入操縱手段具有其他準入操縱措施不具有的優(yōu)勢，如認證流與數(shù)據(jù)流的分離、獨立于應(yīng)用之外、在嚴格之余又具有專門高的可擴展性等。該準入操縱手段差不多大量應(yīng)用于教育、金融行業(yè)，在近年來舉辦的重大賽事如廣州亞運會，該準入操縱手段也差不多全面應(yīng)用。隨著企業(yè)信息化越來越深入，在信息安全領(lǐng)域，準入操縱，尤其是像802.1X這種嚴格的準入操縱手段差不多成為一個不得不考慮的選項。但這種嚴格的準入操縱技術(shù)也帶來了不可忽視的斷網(wǎng)風險。在對網(wǎng)絡(luò)可用性要求極高的領(lǐng)域，如金融行業(yè)，大面積斷網(wǎng)是不能容忍的一級事故。因此，一套完整的、可操作的風險預案便成了關(guān)鍵時刻的法寶。下圖是完成全面完成基于802.1X網(wǎng)絡(luò)準入操縱體系后，XXXX終端接入操縱體系示意圖。依照標準802.1X準入操縱需要的三個實體，加上用戶認證時需要的目錄服務(wù)器（以AD域操縱器為例），我們分析了天珣作為準入操縱解決方法可能產(chǎn)生的風險點如下圖標號所示。XXXX終端接入操縱體系抽象圖名詞釋義：天珣中心服務(wù)器：提供策略集中編輯、下發(fā)和集中報表的功能，治理和同步策略到本地服務(wù)器、Radius服務(wù)器等其他服務(wù)器組件，并能夠直接治理指定范圍的終端的服務(wù)器；天珣本地服務(wù)器：提供對指定范圍終端進行治理的服務(wù)器，并能夠治理和同步策略到Radius服務(wù)器。Radius認證服務(wù)器：與Swich聯(lián)動，提供對客戶端及用戶進行網(wǎng)絡(luò)準入操縱認證服務(wù)器。AD域服務(wù)器：終端用戶賬號/密碼的集中治理和認證服務(wù)器。接入交換機（Switch）：與Radius聯(lián)動，提供對客戶端及用戶進行網(wǎng)絡(luò)準入操縱的接入層網(wǎng)絡(luò)設(shè)備。客戶端（Clients）：運行在每一臺終端電腦上，執(zhí)行終端安全治理策略，發(fā)起認證請求。按照天珣系統(tǒng)的設(shè)計原理，以上組件中，除了中心服務(wù)器和本地服務(wù)器之外，其他任意組件，例如無備份的單一Radius服務(wù)器、目錄服務(wù)器（本方案中的AD域服務(wù)器）、交換機、客戶端，只要其中之一出現(xiàn)阻礙認證的故障，都將會導致終端網(wǎng)絡(luò)準入認證失敗。每個組件對網(wǎng)絡(luò)準入的阻礙，如下圖所示：從圖中能夠看出，每個組件都存在阻礙到網(wǎng)絡(luò)準入失敗的可能。然而，結(jié)合組件的作用和他們之間的相互關(guān)系，以下四個環(huán)節(jié)的風險最為突出： 策略服務(wù)器異常時，Radius無法主動獵取正確策略。AD域服務(wù)器異常或網(wǎng)絡(luò)中斷，導致AD域不可達，用戶認證失敗。Radius服務(wù)器異?；蚓W(wǎng)絡(luò)中斷，導致認證無法正常進行?？蛻舳水惓＃瑢е抡J證無法正常進行。針對上述風險，天珣為該準入操縱擬定了以下風險預案：風險一種穩(wěn)定的準入操縱手段不有必要經(jīng)常改變準入條件，如我們沒有必要經(jīng)常在僅驗證客戶端和可匿名登陸的用戶認證兩種方案間切換。但即使如此，天珣的Radius服務(wù)器（天珣自有的RADIUS服務(wù)器，不使用微軟IAS等第三方產(chǎn)品）在每次收到準入操縱策略后都會緩存該策略，直到服務(wù)器通知其更改，在此期間，天珣的RADIUS服務(wù)器不依靠中心服務(wù)器和本地服務(wù)器，即使服務(wù)器宕機，RADIUS服務(wù)器依舊能夠正常工作。在天珣系統(tǒng)中，這種風險差不多能夠忽略。風險預案天珣能夠同時使用多臺主備的目錄服務(wù)器，但即使如此，網(wǎng)絡(luò)狀況以及目錄服務(wù)器的可用性依舊構(gòu)成較大的挑戰(zhàn)。實行用戶認證需要保證AD域始終可達，但不常發(fā)生的斷電和網(wǎng)絡(luò)故障讓我們不能忽略極少發(fā)生的AD域不可達的可能性。為此，天珣提供了AD域的Radiusbypass工具，當AD域不可達時，該工具可趕忙取消所有終端的用戶認證，使準入操縱方案變成僅“驗證客戶端的802.1X準入”，從而消除因AD域故障導致的網(wǎng)絡(luò)準入認證失敗的問題。天珣目錄服務(wù)RadiusBypass工具界面如下：風險預案Radius服務(wù)器是802.1X網(wǎng)絡(luò)準入的重中之重，在準入操縱方案中，單臺RADIUS服務(wù)器是巨大的風險點，正是基于此，網(wǎng)絡(luò)設(shè)備廠商在標準配置中，都會為每臺交換機配置雙Radius服務(wù)器以做互備。從天珣實施的案例中，雙RADIUS服務(wù)器年故障時刻小于5分鐘。在配置了雙RADIUS服務(wù)器的情況下，尤其是異地備份，該風險差不多大大降低。但這始終可不能成為我們松懈的理由，天珣建議將Radius作為核心服務(wù)器重點監(jiān)控和愛護，以消除Radius服務(wù)器的單點故障和Radius可能遭受到的網(wǎng)絡(luò)攻擊或機房環(huán)境阻礙。同時，部分網(wǎng)絡(luò)設(shè)備廠商也考慮了該問題，在交換機的配置方面有不同的使用方案。如，H3C的交換機能夠配置多個認證選項，先使用radius認證，radius不可達則使用local或者使用none。這些手段均能夠大大減少故障壓力。但作為最可靠的解決手段，取消交換機的802.1X準入是最后的法寶，也是最讓人放心的措施。假如企業(yè)內(nèi)部有統(tǒng)一的網(wǎng)絡(luò)設(shè)備治理平臺，可通過配置網(wǎng)管平臺取消交換機的認證，若沒有則可借助某些自定義的腳本。本方案中有以下腳本取消交換機的全局802.1X準入，以思科交換機為例：@echooffechosetsh=WScript.CreateObject("WScript.Shell")>telnet_tmp.vbsechoWScript.Sleep3>>telnet_tmp.vbsechosh.SendKeys"open">>telnet_tmp.vbsechoWScript.Sleep3>>telnet_tmp.vbsechosh.SendKeys"{ENTER}">>telnet_tmp.vbsechoWScript.Sleep3>>telnet_tmp.vbsechosh.SendKeys"!QAZ2wsx{ENTER}">>telnet_tmp.vbsechoWScript.Sleep3>>telnet_tmp.vbsechosh.SendKeys"en{ENTER}">>telnet_tmp.vbsechoWScript.Sleep3>>telnet_tmp.vbsechosh.SendKeys"!QAZ2wsx{ENTER}">>telnet_tmp.vbsechoWScript.Sleep3>>telnet_tmp.vbsechosh.SendKeys"conft{ENTER}">>telnet_tmp.vbsechoWScript.Sleep3>>telnet_tmp.vbsechosh.SendKeys"nodot1xsys{ENTER}">>telnet_tmp.vbsechoWScript.Sleep3>>telnet_tmp.vbsechosh.SendKeys"end{ENTER}">>telnet_tmp.vbsechoWScript.Sleep3>>telnet_tmp.vbsechosh.SendKeys"exit{ENTER}">>telnet_tmp.vbsechoWScript.Sleep3>>telnet_tmp.vbsstarttelnetcscript//nologotelnet_tmp.vbs風險預案由于網(wǎng)絡(luò)準入操縱認證需要由安裝在終端的天珣客戶端來執(zhí)行，假如客戶端不能正常運行，將直接導致認證無法進行。依照天珣以往的經(jīng)驗，導致客戶端上線后不能運行的緣故更多來自于與終端上安裝的其他安全軟件或工具誤殺、誤攔或沖突。針對這種情況，天珣差不多緊跟各殺毒軟件和安全軟件廠商更新情況，做好后方的溝通和兼容檢測工作，最大限度消除相互阻礙帶來的風險。天珣RADIUS服務(wù)器狀態(tài)告警在綜合考慮了上述所有可能產(chǎn)生風險的故障點之后，天珣并沒有停止對風險防范的考慮，RADIUS服務(wù)器狀態(tài)告警組件便是我們最近的成果。在RADIUS所在服務(wù)器出現(xiàn)莫名故障時（Windows服務(wù)器操作系統(tǒng)不可幸免），該組件能夠即時報告其服務(wù)的可用狀態(tài)，這種監(jiān)視不是簡單的進程愛護，而是其內(nèi)部流程的即時體現(xiàn)，包括它所依靠的所有第三方服務(wù)提供如目錄服務(wù)。其報警結(jié)果能夠為企業(yè)內(nèi)部正在使用的綜合告警平臺所檢測，通過企業(yè)現(xiàn)有的告警方式，如短信、郵件、電話等，及時通知治理員，以期獲得最快的響應(yīng)時刻。天珣RADIUS告警組件界面如下：客戶端準入部署安裝有天珣客戶端程序的計算機終端在同意訪問時，能夠依照治理員預先配置的安全策略檢查來訪的計算機終端是否運行了天珣客戶端程序，并檢查其安全基線是否符合要求。假如來訪的計算機終端未安裝天珣客戶端程序，或不符合安全策略要求，則拒絕其訪問?？蛻舳藴嗜氩倏v示例圖當安裝天珣客戶端程序的計算機終端訪問網(wǎng)絡(luò)時，天珣客戶端也會先檢查其自身的安全基線是否合格，假如不合格，將限制其對網(wǎng)絡(luò)的訪問。天珣客戶端準入操縱，制造性將每一臺計算機終端都變成準入操縱點，保證每臺計算機終端只同意安全可信的計算機終端進行訪問，并只能在安全基線合格時訪問網(wǎng)絡(luò)，實現(xiàn)最細粒度的準入操縱。天珣客戶端具備網(wǎng)絡(luò)阻斷功能，在計算機終端安全基線不符合要求時，天珣客戶端能不依靠網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)上其他終端或設(shè)備獨立執(zhí)行網(wǎng)絡(luò)訪問阻斷。天珣客戶端更支持選擇性阻斷，在計算機終端安全基線不符合要求時，天珣客戶端能依照治理員預先配置的安全策略，通過進程、端口、目標地址等條件，選擇性地阻止部分非緊急業(yè)務(wù)的網(wǎng)絡(luò)訪問，而同意其他緊急業(yè)務(wù)的網(wǎng)絡(luò)訪問?？蛻舳藴嗜氩倏v部署建議客戶端準入是天珣的策略之一，客戶端全部完裝完畢之后通過下發(fā)一條簡直的策略即可實現(xiàn)。本方案中建議開啟治理網(wǎng)段內(nèi)的客戶端準入，同時注意在IP組中排除網(wǎng)絡(luò)打印機、IP電話等專門網(wǎng)絡(luò)設(shè)備，使其不阻礙用戶對這些設(shè)備的使用。分工界面項目時期項目任務(wù)任務(wù)子項責任方職責分工啟明星辰XXXX院項目預備組建項目組XXXX院、啟明星辰售前售后交接、指定專門的售后服務(wù)人員、項目經(jīng)理和實施人員指派項目配合人員工程實施前預備制定實施打算XXXX院、啟明星辰提出部署要求安排人員配合實施，確認場地、網(wǎng)絡(luò)環(huán)境預備XXXX院提出場地、環(huán)境要求確認、支持實施時期現(xiàn)場驗收啟明星辰對到貨設(shè)備進行開箱清點驗收對到貨設(shè)備進行清點驗收設(shè)備安裝調(diào)試設(shè)備上架啟明星辰規(guī)劃好物理位置、進行設(shè)備上架安排人員配合設(shè)備加電啟明星辰對設(shè)備進行加電測試系統(tǒng)部署啟明星辰提出部署要求并按要求進行系統(tǒng)部署安排人員配合項目進度報告啟明星辰對項目進度做出及時的匯總和報告現(xiàn)場培訓啟明星辰對XXXX院技術(shù)人員進行現(xiàn)場培訓同意培訓初步驗收提交驗收方案啟明星辰提交方案和流程確認進行設(shè)備驗收（到貨驗收）XXXX院、啟明星辰參與到貨驗收試運行系統(tǒng)聯(lián)合調(diào)試啟明星辰提供必要的協(xié)助提出需求故障響應(yīng)啟明星辰對系統(tǒng)問題進行響應(yīng)并設(shè)備故障進行排除對故障進行申報系統(tǒng)終驗系統(tǒng)竣工驗收驗收方案提交啟明星辰提交方案和流程對方案和流程進行確認竣工驗收XXXX院、啟明星辰參與驗收組織驗收保修期啟明星辰三年技術(shù)支撐服務(wù)對故障進行申報

附件一：服務(wù)器安裝及數(shù)據(jù)治理服務(wù)器安裝策略服務(wù)器包括中心服務(wù)器、本地服務(wù)器、補丁分發(fā)服務(wù)器、資產(chǎn)治理服務(wù)器、radius服務(wù)器、告警服務(wù)器等組件，所有功能服務(wù)器集中治理，組件可依照具體情況增減。數(shù)據(jù)庫采納SQLSERVER，統(tǒng)一治理報警日志及審計等數(shù)據(jù)。安裝環(huán)境及要求客戶端（Clients）計算機沒有專門高的系統(tǒng)要求。客戶端軟件(也被稱CC)能夠被安裝在Windows32位系統(tǒng)之上，包括Windows2000SP4,WindowsServer2003SP1和WindowsXPSP2,WindowsXPSP3，WindowsVista,WindowsServer2008，Windows7數(shù)據(jù)庫 支持32位MicrosoftSQLServer2000，32/64位MicrosoftSQLServer2005，支持32位MicrosoftSQLServer2008中心服務(wù)器（Server）是整個策略架構(gòu)的治理中心、策略中心。必須運行2003SERVERSP1(32/64)或2008ServerSP1(32/64)的平臺上。Windows64位服務(wù)器對應(yīng)用程序的支持不是特不完善，可能中心服務(wù)器運行過程中會出現(xiàn)不可預測的問題。中心服務(wù)器通過web方式治理，要求安裝IIS服務(wù)器。其對硬件要求的高低應(yīng)依照所治理的客戶端數(shù)量的多少來定，其中，服務(wù)器安裝要求的最低配置如下：硬件：CPU PIII1G或以上Memory 1G或以上硬盤 40G空閑軟件：Windows2003ServerSP1以上InternetInformationServices6.0以上DotNetFramework2.0MDAC2.7或以上中心服務(wù)器、資產(chǎn)服務(wù)器和攻擊告警服務(wù)器需要安裝SQLServer數(shù)據(jù)庫，可依照現(xiàn)場環(huán)境選擇獨立安裝或集中安裝于中心服務(wù)器，若安裝于中心服務(wù)器，請確保中心服務(wù)器有足夠的內(nèi)存和硬盤空間。建議將數(shù)據(jù)庫獨立安裝，如此既可不能因為數(shù)據(jù)庫讀寫頻繁阻礙中心服務(wù)器正常運行，也可不能因為中心服務(wù)器負載過重阻礙數(shù)據(jù)庫讀寫。服務(wù)器組件中心策略服務(wù)器所有策略集中存放的地點，系統(tǒng)中唯一的Web治理操縱臺也與中心服務(wù)器集成在一起。治理員從Web治理操縱臺登錄到CenterServer，進行策略配置，報表查詢。CenterServer同時兼作一個LocalServer。本地策略服務(wù)器本地策略服務(wù)器是客戶端日常取策略的地點，也是客戶端發(fā)送報表的目的地。本地策略服務(wù)器從CenterServer同步得到策略。設(shè)置本地策略服務(wù)器的目的是為了適應(yīng)企業(yè)大區(qū)域的分布式分級治理架構(gòu)。本地策略服務(wù)器從中心策略服務(wù)器獵取策略，客戶端直接與本地策略服務(wù)器通訊。資產(chǎn)治理服務(wù)器資產(chǎn)治理是對電腦的軟硬件資產(chǎn)進行統(tǒng)計分析，并跟蹤記錄設(shè)備變更的信息，達到對IT資產(chǎn)的高效、便捷的治理。Radius服務(wù)器Radius服務(wù)器是天珣內(nèi)網(wǎng)安全風險治理與審計系統(tǒng)網(wǎng)絡(luò)準入的必須組件。結(jié)合各類LDAP認證，使用802.1x協(xié)議或EOU協(xié)議在交換機網(wǎng)絡(luò)端口實施網(wǎng)絡(luò)準入認證，確保只有通過認證的客戶端接入并訪問網(wǎng)絡(luò)。攻擊告警服務(wù)器攻擊告警服務(wù)器兼作為攻擊日志告警服務(wù)器和終端審計日志服務(wù)器，收集由客戶端發(fā)來的攻擊告警信息和終端審計信息。并在中心服務(wù)器治理界面，可進行統(tǒng)計和分類查詢。軟件分發(fā)服務(wù)器通過軟件分發(fā)服務(wù)器可建立軟件安裝包，可依照目標地址或地址段、指定時刻段分發(fā)MSI軟件包或自定義的應(yīng)用軟件包。HOD遠程桌面服務(wù)器HOD遠程桌面服務(wù)器用于記錄在線的遠程桌面治理員的相關(guān)信息，為其關(guān)聯(lián)治理網(wǎng)段后，治理網(wǎng)段內(nèi)的用戶就可使用客戶端集成的遠程桌面客戶端，向在線治理員發(fā)起遠程桌面關(guān)心請求。策略網(wǎng)關(guān)組件作為系統(tǒng)及應(yīng)用準入的準入操縱點，檢查訪問者的客戶端運行狀態(tài)，與客戶端配合強制用戶滿足策略。策略網(wǎng)關(guān)從策略網(wǎng)關(guān)代理上取策略網(wǎng)關(guān)策略。有時策略網(wǎng)關(guān)策略又叫插件策略。策略網(wǎng)關(guān)分為中性策略網(wǎng)關(guān)和IIS、ISAProxy、Email、DNS等插件策略網(wǎng)關(guān)。策略網(wǎng)關(guān)代理策略網(wǎng)關(guān)的治理者。所有的策略網(wǎng)關(guān)都直接連接到策略網(wǎng)關(guān)代理，從策略網(wǎng)關(guān)代理獵取策略，同意治理。而策略網(wǎng)關(guān)代理直接指向策略服務(wù)器，并從策略服務(wù)器獵取策略。連接到同一個策略網(wǎng)關(guān)代理的所有策略網(wǎng)關(guān)使用相同的策略。設(shè)置策略網(wǎng)關(guān)代理那個角色的目的是簡化策略網(wǎng)關(guān)的配置，因為有時一個企業(yè)需要安裝多個策略網(wǎng)關(guān)，而每個策略網(wǎng)關(guān)的策略相同。同時，各個插件策略網(wǎng)關(guān)可相互共享CC的狀態(tài)，如CC1在插件1上通過了認證，那么通過插件2訪問時就無需第2次認證，提高系統(tǒng)性能。中性策略網(wǎng)關(guān)中性策略網(wǎng)關(guān)，也叫做中性插件，是安裝在任意的X32位的Windows2000/2003/2008服務(wù)器或Linux的服務(wù)器上，執(zhí)行應(yīng)用準入操縱，它與安裝的服務(wù)器操作系統(tǒng)有關(guān)，而與該服務(wù)器運行何種應(yīng)用無關(guān)。當終端訪問到該服務(wù)器，都需要進行安全基線檢查，若不符合安全策略，將被拒絕訪問該服務(wù)器，并給出提示信息（只有基于http訪問，才能正確提示）。其中安全基線包括是否安裝客戶端軟件、安裝客戶端軟件的終端是否達到安全策略要求。IIS策略網(wǎng)關(guān)部署在IIS服務(wù)器上，對所有訪問該WEB服務(wù)器的終端實施應(yīng)用準入操縱，檢查終端是否符合安全策略，若不符合策略，則拒絕訪問，并給出提示信息。ISA策略網(wǎng)關(guān)對所有通過ISA服務(wù)器上網(wǎng)的終端，實施應(yīng)用準入操縱，若不符合安全策略，則不同意終端通過ISA訪問INTERNET，并給出提示信息。EXCHANGE策略網(wǎng)關(guān)部署在Exchange郵件服務(wù)器上，對訪問EXCHANGE郵件服務(wù)器的終端實施應(yīng)用準入操縱，檢查客戶端是否符合安全策略。關(guān)于不符合安全策略的終端，Exchange策略網(wǎng)關(guān)將阻斷其郵件服務(wù)，并給出提示信息。（只支持EXCHANGE2003郵件服務(wù)器）DNS策略網(wǎng)關(guān)及旁路監(jiān)聽式DNS策略網(wǎng)關(guān)一般DNS策略網(wǎng)關(guān)部署在DNS服務(wù)器上，對需要進行DNS域名解析的終端實施準入操縱，檢查終端是否符合安全策略，關(guān)于不符合安全策略的終端，DNS策略網(wǎng)關(guān)將阻斷其DNS請求，并給出提示信息。假如是旁路監(jiān)聽式DNS策略網(wǎng)關(guān)，則可部署在DNS服務(wù)器上也可部署在互聯(lián)網(wǎng)出口的某臺服務(wù)器上對所有DNS請求進行監(jiān)聽。假如是在DNS服務(wù)器上，那么功能與傳統(tǒng)DNS策略網(wǎng)關(guān)相同，假如不是，那么旁聽式的DNS網(wǎng)關(guān)必須安裝在鏈接互聯(lián)網(wǎng)出口交換機上的某臺交換機上，對這臺交換機上的其他端口的DNS請求進行鏡像，并在旁聽式DNS網(wǎng)關(guān)的端口上進行監(jiān)聽，對需要進行DNS解析的終端實施準入操縱，檢查終端是否符合安全策略，關(guān)于不符合安全策略的終端，旁聽式DNS策略網(wǎng)關(guān)將阻斷其DNS請求，并給出提示信息。安裝步驟天珣服務(wù)器的安裝共有兩種安裝選項：快速安裝和自定義安裝。插入光盤，自動運行安裝光盤中的Autorun.exe后出現(xiàn)以下主安裝界面：快速安裝快速安裝默認安裝服務(wù)器的以下組件：中心策略服務(wù)器、資產(chǎn)服務(wù)器、中心同步服務(wù)器、天珣服務(wù)狀態(tài)監(jiān)控服務(wù)、遠程桌面服務(wù)器、攻擊告警服務(wù)器、RADIUS服務(wù)器、策略網(wǎng)關(guān)代理、中性/DNS策略網(wǎng)關(guān)、軟件分發(fā)服務(wù)器?？焖侔惭b選項的目的是一次安裝所有服務(wù)器相關(guān)的組件及DNS準入操縱組件，假如部署在網(wǎng)絡(luò)出口，則可利用DNS準入達到即插即用的效果。對中小應(yīng)用環(huán)境，我們的方案首推這種即插即用的部署?？焖侔惭b部署快速安裝將天珣內(nèi)網(wǎng)安全風險治理與審計系統(tǒng)安裝光盤放入光驅(qū)，可直接進入安裝選擇界面。請點擊“快速安裝”。進入天珣內(nèi)網(wǎng)安全風險治理與審計系統(tǒng)服務(wù)器的快速安裝界面安裝程序檢測系統(tǒng)環(huán)境系統(tǒng)必須安裝“MDAC2.7或以上版本”,“IIS”和“DotNetFramework2.或者以上版本”。假如系統(tǒng)還未安裝上述的系統(tǒng)組件，則不能進行下一步操作。能夠點擊旁邊的“安裝”按鈕安裝所需的系統(tǒng)組件。系統(tǒng)組件所用的SQLServer能夠選擇連接到本機或者其它機器的SQLServer。假如您想將系統(tǒng)組件所用的SQLServer部署在本機，本機又沒有安裝SQLServer。您能夠選擇安裝SQLServer。您也能夠選擇點擊檢測界面SQLServer旁邊的“安裝”按鈕，運行安裝光盤帶的里的SQLSERVER2005EXPRESS版本。（注意：SQLServerExpress2005是由微軟公司開發(fā)的SQLServer2005的縮減版，那個版本是免費的，單個數(shù)據(jù)庫大小限制為4G）。安裝完SQLSERVER2005EXPRESS之后，安裝檢測程序會自動開啟SQLServer的1433監(jiān)聽端口。（注意：假如系統(tǒng)差不多安裝SQL數(shù)據(jù)庫,天珣內(nèi)網(wǎng)安全風險治理與審計系統(tǒng)安裝程序是可不能關(guān)心SQLServer打開1433監(jiān)聽端口的）。安裝過程中，系統(tǒng)會提示用戶選擇安裝的組件的路徑，并需要治理員指定中心服務(wù)器IP地址、初始治理網(wǎng)段地址等信息。指定服務(wù)器的安裝路徑，安裝組件所在盤符的空閑空間必須大于2G，默認安裝在C盤，用戶能夠依照自己硬盤大小和需求改變安裝盤符和路徑。指定中心服務(wù)器IP地址，系統(tǒng)默認選擇正在運行安裝程序的主機的IP地址為中心服務(wù)器IP地址。系統(tǒng)使用端口為8833，請確保8833端口未被其他應(yīng)用占用；設(shè)置中心服務(wù)器中初始治理網(wǎng)段地址，系統(tǒng)預置是：運行本安裝程序的服務(wù)器所在的網(wǎng)段。選擇使用治理模式；Windows集成認證：在登錄web治理界面時使用與windows系統(tǒng)帳號集成的認證方式，如windows默認系統(tǒng)治理員帳號為administrator，那么天珣登錄web治理界面時也同樣使用那個帳號及密碼。當需要在天珣系統(tǒng)中創(chuàng)建其他治理帳號時，必須同時在windows系統(tǒng)帳號中建立相同的帳號和相同的密碼。三權(quán)分立模式：三權(quán)分立模式中，天珣系統(tǒng)默認治理員帳號/密碼為administrator/12345678，使用此帳號登錄后，再行創(chuàng)建系統(tǒng)操作員帳號，并使用系統(tǒng)操作員帳號登錄web治理界面進行策略配置。此模式與windows系統(tǒng)帳號無關(guān)。設(shè)置所用的SQLServer的連接的參數(shù)；請確認此處的SQLSERVER的IP地址和監(jiān)聽端口，以及正確的sa密碼。（在安裝SQLSERVER時，請千萬記得使用混合認證，并設(shè)定sa密碼，否則安裝程序無法登錄SQLSERVER數(shù)據(jù)庫）填寫創(chuàng)建數(shù)據(jù)庫的用戶的帳號。預置用戶名是tx_user安裝程序?qū)⑻崾灸x擇授權(quán)文件License.dat的路徑。License.dat文件請與啟明星辰聯(lián)系獵取最新的授權(quán)文件。點擊“掃瞄”選擇授權(quán)文件的路徑，選擇有效的授權(quán)文件安裝檢查完成，點擊“安裝”進行快速安裝部署；快速安裝的安裝完各組件之后，安裝程序會自動運行客戶端打包程序進行客戶端安裝包的制作；其中能夠自行設(shè)置中心服務(wù)器地址，指定客戶端的安裝目錄以及客戶端的安裝模式?？偣部稍O(shè)置三種安裝模式，以一般模式安裝時會出現(xiàn)提示對話框，需由用戶進行“確認用戶許可”、“選擇安裝目錄”等操作；以自動模式安裝時會出現(xiàn)安裝界面，不需要用戶進行任何操作，客戶端將自動安裝至默認目錄；以靜默模式安裝時，正常情況下客戶端安裝過程中可不能有任何提示，也可不能有安裝界面出現(xiàn)，客戶端將自動安裝至默認目錄，假如安裝的是帶防火墻模塊的客戶端則安裝完畢后會有重新啟動計算機的提示。此外該打包程序還提供了多種選擇，用戶可靈活選擇客戶端安裝包是否包含802.1x交換機認證模塊。講明：打包客戶端工具的使用以winrar軟件為前提，在安裝客戶端打包工具前請確保操作系統(tǒng)中差不多安裝有winrar軟件。制作客戶端包完成之后。關(guān)掉客戶端打包工具程序。即彈出要求系統(tǒng)重啟的界面。重啟系統(tǒng)。現(xiàn)在快速安裝部署天珣內(nèi)網(wǎng)安全風險治理與審計系統(tǒng)差不多完成。安裝完成后，請先檢查%InstallFolder%\config\database目錄的安全屬性，確定該目錄及目錄下的文件能被System用戶及從Web登錄的治理員修改或者已給予everyone用戶完全操縱權(quán)限。然后請進入服務(wù)操縱器，若系統(tǒng)差不多自動添加并運行“ESCenterServer”服務(wù)，則表明中心服務(wù)器差不多安裝配置成功。在天珣內(nèi)網(wǎng)安全風險治理與審計系統(tǒng)中心服務(wù)器的默認安裝目錄C:\ProgramFiles\Venustech\EndpointSecurity\ESServer中，Config目錄是天珣內(nèi)網(wǎng)安全風險治理與審計系統(tǒng)的Web治理站點主目錄；Download目錄是下載服務(wù)的根目錄，用于存放天珣