中石油客戶終端安全與行為審計(jì)解決方案培訓(xùn)

1、中石油客戶終端安全與行為審計(jì)解決方案H3C 技術(shù)有限公司安全產(chǎn)品行銷部2006 年 07 月 28 日中石油安全解決方案4 TOC o 1-5 h z HYPERLINK l bookmark2 o Current Document 中石油進(jìn)行安全終端防護(hù)刻不容緩 4 HYPERLINK l bookmark4 o Current Document .1.薩班斯法案與上市企業(yè)需求概述 4 HYPERLINK l bookmark6 o Current Document 中石油終端安全現(xiàn)狀 5 HYPERLINK l bookmark8 o Current Document 終端接入安全體系”解

2、決方案的組成部分 6CAMS 安全策略服務(wù)器 7 HYPERLINK l bookmark12 o Current Document 修復(fù)服務(wù)器（ 與防病毒系統(tǒng)聯(lián)動(dòng) ） 8安全聯(lián)動(dòng)設(shè)備 8安全客戶端 8 HYPERLINK l bookmark18 o Current Document 終端接入安全體系”與微軟SMS 聯(lián)動(dòng)方案 9 HYPERLINK l bookmark20 o Current Document 應(yīng)用模型 11 HYPERLINK l bookmark22 o Current Document 安全準(zhǔn)入應(yīng)用模型 11安全準(zhǔn)入工作流程 12 HYPERLINK l bookma

3、rk26 o Current Document 功能特點(diǎn) 14安全狀態(tài)評(píng)估 14 HYPERLINK l bookmark30 o Current Document 用戶權(quán)限管理 15 HYPERLINK l bookmark32 o Current Document 用戶行為監(jiān)控 15終端接入安全體系”解決方案的部署 16接入層準(zhǔn)入控制 16匯聚層準(zhǔn)入控制 18Portal （Web ）認(rèn)證準(zhǔn)入控制 20終端接入安全體系”應(yīng)用模式 22XLOG 日常行為審計(jì) 23XLOG 技術(shù)特點(diǎn) 23全面的日志收集 23強(qiáng)大的日志審計(jì)功能 23組網(wǎng)應(yīng)用 25終端安全防護(hù)與行為監(jiān)控總結(jié) 26全面的應(yīng)用體系防

4、護(hù)IPS 281252中石油網(wǎng)絡(luò)應(yīng)用防護(hù)體系概述 281253IPS 產(chǎn)品部署方案 281254IPS 產(chǎn)品技術(shù)特色 29虛擬軟件補(bǔ)丁 29威脅抑制引擎（ TSE ） 30233. 無(wú)處不在的安全保護(hù) 31三、防火墻部署需求分析 33防火墻部署解決方案 33數(shù)據(jù)中心防火墻部署 34In ter net 邊界安全防護(hù) 36大型網(wǎng)絡(luò)內(nèi)部隔離 39防火墻部署方案特點(diǎn) 42一細(xì)致入微的個(gè)人終端防護(hù)1.1.中石油進(jìn)行安全終端防護(hù)刻不容緩基于薩班斯法案的嚴(yán)格限制，以及結(jié)合中石油的獨(dú)特特點(diǎn)，我們認(rèn)為在中石油內(nèi)部實(shí)施內(nèi)部控制體系，刻不容緩。中國(guó)石化從2002年下半年開(kāi)始調(diào)研、準(zhǔn)備工作，編制內(nèi)控制度，建立統(tǒng)一的

5、內(nèi) 控體系。2004 年10月，中國(guó)石化內(nèi)部控制手冊(cè)由公司董事會(huì)正式審議通過(guò)，2005年1月開(kāi)始在股份公司全面實(shí)施。該手冊(cè)依照薩班斯法案所推薦和要求對(duì)照的美國(guó)COSO （反虛假財(cái)務(wù)報(bào)告委員會(huì)的贊助組織委員會(huì)）報(bào)告的理論體系建立內(nèi)部控制體系，內(nèi)容涉及共13大類業(yè)務(wù)、43個(gè)流程、862個(gè)控制點(diǎn)?？偛繉ｉT召開(kāi)電 視電話會(huì)議推行該手冊(cè)，要求各企業(yè)根據(jù)實(shí)際情況制定實(shí)施細(xì)則， 在組織多層次培 訓(xùn)的同時(shí)，派出檢查小組，對(duì) 65家企業(yè)內(nèi)控制度的執(zhí)行情況進(jìn)行全面檢查。針 對(duì) 薩班斯法案不斷細(xì)化的規(guī)則和新出臺(tái)的指弓I、準(zhǔn)則，中國(guó)石化對(duì)內(nèi)部控制手冊(cè)進(jìn)行更新，修訂了 2006年版的內(nèi)部控制手冊(cè)，經(jīng)董事會(huì)審議通過(guò)，于2

6、006年1月1日起正式下發(fā)執(zhí)行。1? 1? 1?薩班斯法案與上市企業(yè)需求概述中石油跨全球企業(yè)薩班斯法案在美國(guó)的中國(guó)上市公司開(kāi)始生效各國(guó)相關(guān)法規(guī)都將越來(lái)越嚴(yán)格，加強(qiáng)公司治理尤其是IT治理將是企業(yè)的根本之道。加強(qiáng)企業(yè)內(nèi)部控制和風(fēng)險(xiǎn)管理將是全球的趨勢(shì)目前大M的網(wǎng)絡(luò)應(yīng)用已經(jīng)貫穿中石油的日常業(yè)務(wù)模型，對(duì)于網(wǎng)絡(luò)應(yīng)用我們把它理解為一個(gè)請(qǐng)求、連接到交互的過(guò)程，然后到完，這是會(huì)話的過(guò)程，這是雙向的。所謂會(huì)話行為就是做的一種操作類型，比方說(shuō)訪問(wèn)網(wǎng)頁(yè)，首發(fā)郵件、傳送郵件、即時(shí)通訊和文件傳輸?shù)?，這屬于網(wǎng)絡(luò)行為，會(huì)話內(nèi)容就是網(wǎng)頁(yè)的內(nèi)容、由M牛的內(nèi)容、 文件的內(nèi)容，即時(shí)通訊的內(nèi)容。對(duì)于安全審計(jì)類要求是會(huì)話行為審計(jì)，對(duì)于網(wǎng)

7、絡(luò)行為的審計(jì)實(shí)際上也是薩班斯法案的一部分，為了避免因?yàn)樾畔⒍斐傻慕?jīng)濟(jì)損失，日常行為審計(jì)成為了企業(yè)尤其是上市公司信息化建設(shè)的重要組成部分對(duì)法規(guī)不熟悉、時(shí)間短促、內(nèi)控基礎(chǔ)薄弱是中國(guó)上市公司面臨的最大問(wèn)題。中 石油也不例外，直到 2005 年年初，中石油才開(kāi)始著手布置薩班斯法案項(xiàng)目。但是 在實(shí)施過(guò)程中，大量的問(wèn)題和矛盾暴露出來(lái)，涉及制度完善、流程改造、企業(yè)文化 等各方面。短時(shí)間內(nèi)完全建立完善的內(nèi)控環(huán)境是不可能的。但從根本上來(lái)說(shuō)，公司 治理和 IT 治理的問(wèn)題遲早需要去面對(duì)和解決。1 ? 1? 2? 中石油終端安全現(xiàn)狀終端安全是個(gè)入手簡(jiǎn)單，想做好卻很難的工程，這也是這么多年中石油沒(méi)有著 手建設(shè)這方面

8、的一個(gè)重要原因。本次安全體系建設(shè)中石油考慮的很周全，除了我們 經(jīng)常能夠想到的安全管理制度以外、終端的認(rèn)證問(wèn)題、終端的安全監(jiān)控、日后審計(jì)等均在考慮范圍內(nèi)。中石油終端安全管理問(wèn)題比較復(fù)雜，除了前面提到的地域分散意外，還有技術(shù)水平不高，難于監(jiān)管等問(wèn)題，這些都構(gòu)成了終端安全難以實(shí)現(xiàn)的重要因素，基于上 述原因，本次安全方案設(shè)計(jì)主要著中的是通過(guò)安全產(chǎn)品的監(jiān)控實(shí)現(xiàn)對(duì)員工日常行為 的監(jiān)控，并通過(guò)技術(shù)手段實(shí)現(xiàn)對(duì)安全管理制度的補(bǔ)充，以及強(qiáng)化，通過(guò)技術(shù)手段保 障安全管理制度的執(zhí)行。在終端防護(hù)方面我司有專門的安全解決方案“端點(diǎn)準(zhǔn)入防御”能夠提供一個(gè)全程的安全解決方案。終端接入安全體系”端點(diǎn)準(zhǔn)入防御方案包括兩個(gè)重要功能

9、：安全防護(hù)和安全監(jiān)控。安全防護(hù)主要是對(duì)終端接入網(wǎng)絡(luò)進(jìn)行認(rèn)證，保證只有安全的終端才能接入網(wǎng)絡(luò), 對(duì)達(dá)不到安全要求的終端可以進(jìn)行修復(fù)，保障終端和網(wǎng)絡(luò)的安全；安全監(jiān)控是指在 上網(wǎng)過(guò)程中，系統(tǒng)實(shí)時(shí)監(jiān)控用戶終端的安全狀態(tài)，并針對(duì)用戶終端的安全事件采取 相應(yīng)的應(yīng)對(duì)措施，實(shí)時(shí)保障網(wǎng)絡(luò)安全。12 終端接入安全體系”解決方案的組成部分終端接入安全體系”解決方案的實(shí)現(xiàn)思路，是通過(guò)將網(wǎng)絡(luò)接入控制和用戶終端 安全策略控制相結(jié)合，以用戶終端對(duì)企業(yè)安全策略的符合度為條件，控制用戶訪問(wèn) 網(wǎng)絡(luò)的接入權(quán)限，從而降低病毒、非法訪問(wèn)等安全威脅對(duì)企業(yè)網(wǎng)絡(luò)帶來(lái)的危害。為 達(dá)到以上目的，提出了包括檢查 一一隔離一一修復(fù)一一監(jiān)控的整體解決

10、思路。檢查：檢查網(wǎng)絡(luò)接入用戶的身份；檢查網(wǎng)絡(luò)接入用戶的訪問(wèn)權(quán)限；檢查網(wǎng)絡(luò)接入用戶終端的安全狀態(tài)；隔離:隔離非法用尸終端和越權(quán)訪問(wèn);隔離存在重大安全問(wèn)題或安全隱患的用尸終端修復(fù)：幫助存在安全問(wèn)題或安全隱患的用尸終端進(jìn)行安全修復(fù)，以便能夠正常使用網(wǎng)絡(luò);監(jiān)控：實(shí)時(shí)監(jiān)控在線用尸的終端安全狀態(tài)，及時(shí)獲取終端安全信息對(duì)非法用尸、越權(quán)訪問(wèn)和存在安全問(wèn)題的網(wǎng)絡(luò)終端進(jìn)行定位統(tǒng)計(jì)，為網(wǎng)絡(luò)安全管理提供依據(jù)；通過(guò)制定新的安全策略，持續(xù)保障網(wǎng)絡(luò)的安全。為了有效實(shí)現(xiàn)用尸終端安全準(zhǔn)入控制，需要實(shí)現(xiàn)終端安全信息采集點(diǎn)、終端安全信息決策點(diǎn)和終端安全信息執(zhí)行點(diǎn)的分離，同時(shí)還需要提供有效的技術(shù)手段，對(duì)用尸終端存在的安全問(wèn)題進(jìn)行修復(fù)

11、，使之符合企業(yè)終端安全策略，順利接入網(wǎng)絡(luò)進(jìn)行工作?！苯K端接入安全體系”解決方案的組成部分見(jiàn)下圖：病毒、補(bǔ)于服務(wù)器J月艮務(wù)器區(qū)1? 2? 1? CAMS安全策略服務(wù)器終端接入安全體系”方案的核心是整合與聯(lián)動(dòng)，而 CAM安全策略服務(wù)器是終端接入安全 體系”方案中的管 理與控制中心，兼具用戶管理、安全策略管理、安全狀態(tài)評(píng)估、安全聯(lián)動(dòng)控制以及安全事件審計(jì)等功能。戶終端安全狀態(tài)安全策略管理。安全策略服務(wù)器定義了對(duì)用戶終端進(jìn)行準(zhǔn)入控制的一系列策略，包括用評(píng)估配置、補(bǔ)丁檢查項(xiàng)配置、安全策略配置、終端修復(fù)配置以及對(duì)終端用戶的隔離方式配置等。用戶管理。企業(yè)網(wǎng)中，不同的用戶、不同類型的接入終端可能要求不同級(jí)別的安

12、全檢查 和控制。安全策略服務(wù)器可以為不同用戶提供基于身份的個(gè)性化安全配置和網(wǎng)絡(luò)服務(wù)等級(jí)，方便管理員對(duì)網(wǎng)絡(luò)用戶制定差異化的安全策略。安全聯(lián)動(dòng)控制。安全策略服務(wù)器負(fù)責(zé)評(píng)估安全客戶端上報(bào)的安全狀態(tài)，控制安全聯(lián)動(dòng)設(shè)備對(duì)用戶的隔離與開(kāi)放，下發(fā)用戶終端的修復(fù)方式與安全策略。通過(guò)安全策略服務(wù)器的 控制，安全客戶端、安全聯(lián)動(dòng)設(shè)備與修復(fù)服務(wù)器才可以協(xié)同工作，配合完成端到端的安 全準(zhǔn)入控制。日志審計(jì)。安全策略服務(wù)器收集由安全客戶端上報(bào)的安全事件，并形成安全日志，可以 為管理員追蹤和監(jiān)控網(wǎng)絡(luò)的整個(gè)網(wǎng)絡(luò)的安全狀態(tài)提供依據(jù)。1.2.2 ?修復(fù)服務(wù)器（ 與防病毒系統(tǒng)聯(lián)動(dòng) ）在”終端接入安全體系”方案中，修復(fù)服務(wù)器可以是第

13、三方廠商提供的防病毒服務(wù)器、補(bǔ)丁服務(wù)器或用戶自行架設(shè)的文件服務(wù)器。此類服務(wù)器通常放置于網(wǎng)絡(luò)隔離 區(qū)中，用于終端進(jìn)行自我修復(fù)操作。網(wǎng)絡(luò)版的防病毒服務(wù)器提供病毒庫(kù)升級(jí)服務(wù)， 允許防病毒客戶端進(jìn)行在線升級(jí)；補(bǔ)丁服務(wù)器則提供系統(tǒng)補(bǔ)丁升級(jí)服務(wù)，在用戶終端的系統(tǒng)補(bǔ)丁不能滿足安全要求時(shí)，用戶終端可連接至補(bǔ)丁服務(wù)器進(jìn)行補(bǔ)丁下載和 升級(jí)。目前的”終端接入安全體系”解決方案中，我們的認(rèn)證體系可以和瑞星、金山、 江民、 Symantec等國(guó)內(nèi)外大型防病毒廠商產(chǎn)品實(shí)現(xiàn)聯(lián)動(dòng)，同時(shí)由于開(kāi)發(fā)式的系統(tǒng)設(shè)計(jì)，我們可以很方便的整合其他的防病毒產(chǎn)品實(shí)現(xiàn)全網(wǎng)認(rèn)證與防病毒體系的完美結(jié)合。1 ? 2? 3? 安全聯(lián)動(dòng)設(shè)備安全聯(lián)動(dòng)設(shè)備是企

14、業(yè)網(wǎng)絡(luò)中安全策略的實(shí)施點(diǎn)， 起到強(qiáng)制用戶準(zhǔn)入認(rèn)證、 隔離 不合格終端、 為合法用尸提供網(wǎng)絡(luò)服務(wù)的作用。根據(jù)應(yīng)用場(chǎng)合的不同，安全聯(lián)動(dòng)設(shè)備可以是交換機(jī)或BAS設(shè)備，分別實(shí)現(xiàn)不同認(rèn)證方式（如 802.1X 或 Portal ）的端 點(diǎn)準(zhǔn)入控制。不論是哪種接入設(shè)備或 采用哪種認(rèn)證方式，安全聯(lián)動(dòng)設(shè)備均具有以下 功能：強(qiáng)制網(wǎng)絡(luò)接入終端進(jìn)行身份認(rèn)證和安全狀態(tài)評(píng)估。隔離不符合安全策略的用戶終端。聯(lián)動(dòng)設(shè)備接收到安全策略服務(wù)器下發(fā)的隔 離指令后， 目前可以通過(guò)動(dòng)態(tài)ACL方式限制用尸的訪問(wèn)權(quán)限；同樣，收到解 除用尸隔離的指令后 也可以在線解除對(duì)用戶終端的隔離。提供基于身份的網(wǎng)絡(luò)服務(wù)。安全聯(lián)動(dòng)設(shè)備可以根據(jù)安全策略服務(wù)

15、器下發(fā)的策 略，為用片提供個(gè)性化的網(wǎng)絡(luò)服務(wù)，如提供不同的QoS ACL VLANH?。1 ? 2? 4? 安全客戶端H3c客尸端是安裝在用尸終端系統(tǒng)上的軟件，是對(duì)用尸終端進(jìn)行身份認(rèn)證、安全狀態(tài)評(píng)估以及安全策略實(shí)施的主體，其主要功能包括：提供 802.1X、 Portal 等多種認(rèn)證方式，可以與S3000、 S3500、 S5000、 S3900、S5600等系列交換機(jī)、華為 MA5200曲設(shè)備配合實(shí)現(xiàn)接入層、匯聚層的端點(diǎn) 準(zhǔn)入控制。檢查用戶終端的安全狀態(tài)，包括操作系統(tǒng)版本、系統(tǒng)補(bǔ)丁、共享目錄、已安 裝的軟件、已啟動(dòng)的服務(wù)等用戶終端信息；同時(shí)提供與防病毒客戶端聯(lián)動(dòng)的 接口，實(shí)現(xiàn)與第三方防病毒軟件

16、產(chǎn)品客戶端的聯(lián)動(dòng)，檢查用戶終端的防病毒軟件版本、病毒庫(kù)版本、以及病毒查殺信息。這些信息將被傳遞到CAMSc全策略服務(wù)器，執(zhí)行端點(diǎn)準(zhǔn)入的判斷與控制。安全策略實(shí)施，接收安全策略服務(wù)器下發(fā)的安全策略并強(qiáng)制用戶終端執(zhí)行， 包括設(shè)置安全策略（是否監(jiān)控郵件、注冊(cè)表）、系統(tǒng)修復(fù)通知與實(shí)施（自動(dòng) 或手工升級(jí)補(bǔ)丁和病毒庫(kù)）等功能。不按要求實(shí)施安全策略的用戶終端將被 限制在隔離區(qū)。實(shí)時(shí)監(jiān)控系統(tǒng)安全狀態(tài)，包括是否更改安全設(shè)置、是否發(fā)現(xiàn)新病毒等，并將 安全事件定時(shí)上報(bào)到安全策略服務(wù)器，用于事后進(jìn)行安全審計(jì)。1 ? 2? 5? 終端接入安全體系”與微軟SMS 聯(lián)動(dòng)方案125.1.特性簡(jiǎn)介端點(diǎn)準(zhǔn)入防御（”終端接入安全體系

17、”解決方案從網(wǎng)絡(luò)用戶終端準(zhǔn)入控制入手， 整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，通過(guò)安全客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備 以及第三方軟件的聯(lián)動(dòng)，可以對(duì)接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實(shí)施企業(yè)安全策略，嚴(yán)格 控制終端用戶的網(wǎng)絡(luò)使用行為，加強(qiáng)網(wǎng)絡(luò)用戶終端的主動(dòng)防御能力，保護(hù)網(wǎng)絡(luò)安全。企業(yè)網(wǎng)中，對(duì)系統(tǒng)補(bǔ)丁的管理問(wèn)題一直難以解決。我們經(jīng)常見(jiàn)到的情況是，新 的補(bǔ)丁發(fā)布，卻無(wú)人理會(huì)，任由系統(tǒng)漏洞的存在。即使采用了微軟的WSU、S SMS來(lái)諸多隱患；等補(bǔ)丁管理工具，此類工具也無(wú)法強(qiáng)制用戶進(jìn)行系統(tǒng)補(bǔ)丁升級(jí)，給企業(yè)網(wǎng)絡(luò)安全帶更嚴(yán)重的情況是，用片剛裝好操作系統(tǒng)，還沒(méi)來(lái)得及打補(bǔ)丁就被病毒感染或受到攻擊。如果能將微軟的補(bǔ)丁管理系統(tǒng)與的

18、”終端接入安全體系”端點(diǎn)準(zhǔn)入防御方案集成，就可以徹底解決系統(tǒng)補(bǔ)丁管理的問(wèn)題。這個(gè)集成方案就被稱為補(bǔ)丁聯(lián)動(dòng)方案，該方案需要”終端接入安全體系”與軟件補(bǔ)丁更新服務(wù)器協(xié)同工作：軟件補(bǔ)丁更新服務(wù)器負(fù)責(zé)對(duì)端點(diǎn)用片的計(jì)算機(jī)進(jìn)行補(bǔ)丁狀態(tài)檢查、判斷是否合格以及不合格時(shí)自動(dòng)更新所缺少的補(bǔ)丁，”終端接入安全體系”則負(fù)責(zé)決定何時(shí)發(fā)起補(bǔ)丁狀態(tài)檢查操作，并負(fù)責(zé)控制補(bǔ)丁狀態(tài)檢查不合格的端點(diǎn)用片只能訪問(wèn)隔離區(qū)內(nèi)的資源，待端點(diǎn)用片的計(jì)算機(jī)的補(bǔ)丁狀態(tài)檢查合格后才解除對(duì)該用尸計(jì)算機(jī)的隔離。注1:隔離區(qū)是指端點(diǎn)用片在通過(guò)安全認(rèn)證之前允許訪問(wèn)的一組主機(jī)的集合。一般地，隔離區(qū)可能包含防病毒軟件安裝升級(jí)服務(wù)器（防病毒管理中心）、軟件補(bǔ)丁

19、更新服務(wù)器和終端接入安全體系”管理代理服務(wù)器。隔離區(qū)具體包含哪些主機(jī)一 般在接入設(shè)備上配置。注2:補(bǔ)丁狀態(tài)檢查是指對(duì)接入用片/端點(diǎn)用片的計(jì)算機(jī)進(jìn)行軟件補(bǔ)丁是否符合 安全要求的 檢查，檢查不合格時(shí)列舉出所有缺少的軟件補(bǔ)丁。注3:補(bǔ)丁更新是指從補(bǔ)丁服務(wù)器下載軟件補(bǔ)丁到客尸機(jī)，并進(jìn)行安裝與生效處理的全過(guò)程。系統(tǒng)架構(gòu)與基本交互流程系統(tǒng)架構(gòu)終端接入安全體系”是一個(gè)融合網(wǎng)絡(luò)設(shè)備、用尸終端和第三方安全產(chǎn)品的客片端準(zhǔn)入安全框架，與補(bǔ)丁管理服務(wù)器的聯(lián)動(dòng)主要通過(guò)”終端接入安全體系”客尸端與補(bǔ)丁升級(jí)客六端之間的API接口實(shí)現(xiàn)，具部署圖如下：系統(tǒng)結(jié)構(gòu)圖WLS/SMS:補(bǔ)丁艇另在接入用尸的終端需要同時(shí)安裝”終端接入安全

20、體系”客尸端和補(bǔ)丁客尸端客戶端終端接入安全體系”客戶端負(fù)責(zé)完成與”終端接入安全體系”策略服務(wù)器的交互；補(bǔ)丁是微軟發(fā)布的與相應(yīng)的補(bǔ)丁服務(wù)器配合的SUS（ WSUS或SM溶尸端?！苯K端接入安全體系”客戶端與補(bǔ)丁客戶端通過(guò)微軟提供的 API 接口完成補(bǔ)丁檢查與 安全準(zhǔn)入的融合。這種方式下，”終端接入安全體系”系統(tǒng)與微軟補(bǔ)丁系統(tǒng)是相互獨(dú)立的，可以不 依賴于對(duì)方而完成自有功能。但可以通過(guò)API 來(lái)實(shí)現(xiàn)兩個(gè)系統(tǒng)之間的聯(lián)動(dòng)，彌補(bǔ)各 自的不足，完善補(bǔ)丁管理和安全準(zhǔn)入方案。1254特性的優(yōu)點(diǎn)聯(lián)動(dòng)的松散耦合性：充分利用微軟成熟的補(bǔ)丁管理工具， ”終端接入安全體系”不需要管理各種Windows 環(huán)境的用戶機(jī)器缺少哪

21、些補(bǔ)丁等繁瑣事務(wù)；補(bǔ)丁更新的安全性：用戶機(jī)器的補(bǔ)丁狀態(tài)不符合安全要求時(shí)， 其訪問(wèn)范 圍控制在隔離區(qū)，即補(bǔ)丁更新是在隔離區(qū)進(jìn)行的；補(bǔ)丁更新的自動(dòng)性：補(bǔ)丁更新過(guò)程是自動(dòng)完成的（機(jī)器需要重啟時(shí)會(huì)提示用戶確認(rèn)），無(wú)需用戶手工下載和安裝補(bǔ)丁程序；補(bǔ)丁更新的即時(shí)性：用戶機(jī)器的補(bǔ)丁狀態(tài)檢查不合格后馬上轉(zhuǎn)入補(bǔ)丁自動(dòng)更新過(guò)程；補(bǔ)丁更新的強(qiáng)制性：不完成補(bǔ)丁更新的用戶機(jī)器只能訪問(wèn)隔離區(qū)內(nèi)的網(wǎng)絡(luò)資 源，要訪問(wèn)更多資源，只有完成補(bǔ)丁更新。1.3. 應(yīng)用模型1 ? 3? 1? 安全準(zhǔn)入應(yīng)用模型終端接入安全體系”解決方案安全準(zhǔn)入主要是通過(guò)身份認(rèn)證和安全策略檢查的 方式，對(duì)未進(jìn)行安全修復(fù)，以達(dá)到通過(guò)身份認(rèn)證或不符合安全策略的

22、用戶終端進(jìn)行網(wǎng)絡(luò)隔離，并幫助終端防范不安全網(wǎng)絡(luò)用戶終端給安全網(wǎng)絡(luò)帶來(lái)安全威脅的目的。你安全嗎？非袪用戶拒絕入網(wǎng)#liS? 么？安全認(rèn)證一/$企業(yè)網(wǎng)“）眄離區(qū)11一的做什么？1? 3? 2?安全準(zhǔn)入工作流程你可以做什身份驗(yàn)證：用戶終端接入網(wǎng)絡(luò)時(shí)，首先進(jìn)行用戶身份認(rèn)證，非法用戶將被拒絕接入網(wǎng)絡(luò)。身份認(rèn)證動(dòng)態(tài)授權(quán)目前”終端墉篇余體系解決方等衷情p802.1x和Por翱/證。安全檢查：身份認(rèn)證通過(guò)后進(jìn)行終端安全檢查,由CAMSe全策略服務(wù)器驗(yàn)證用戶終端的安不同用戶享做不同的網(wǎng)二不合格全狀態(tài)（包括補(bǔ)丁版本、病毒庫(kù)版本、軟件安裝等）是圜畬檎區(qū)安全隔離：不合格的終端將被安全聯(lián)動(dòng)設(shè)備通過(guò)口目,谿使用楓限;強(qiáng)制

23、劑取CL策略限制在隔離區(qū)進(jìn)行安全修復(fù)安全修復(fù)：進(jìn)入隔離區(qū)的用戶可以進(jìn)行補(bǔ)丁、病毒庫(kù)的升級(jí)、卸載非法軟件和停止非法服務(wù)等操作，直到安全狀態(tài)合格。動(dòng)態(tài)授權(quán)：如果用戶身份驗(yàn)證、安全檢查都通過(guò)，則CAM安全策略服務(wù)器將預(yù)先配置的該用戶的權(quán)限信息（包括網(wǎng)絡(luò)訪問(wèn)權(quán)限、用戶帶寬限制參數(shù)、用戶優(yōu)先級(jí)等QOSI數(shù)、用戶組播權(quán)限等等）下發(fā)給安全聯(lián)動(dòng)設(shè)備，由安全聯(lián)動(dòng)設(shè)備實(shí)現(xiàn)按用戶身份的權(quán)限控制。實(shí)時(shí)監(jiān)控：在用戶網(wǎng)絡(luò)使用過(guò)程中，安全客戶端根據(jù)安全策略服務(wù)器下發(fā)的監(jiān)控策略,時(shí)監(jiān)控用戶終端的安全狀態(tài)，一旦發(fā)現(xiàn)用戶終端安全狀態(tài)不符合企業(yè)安全策略,則向CAMS安全策略服務(wù)器上報(bào)安全事件，由CAMSe全策略服務(wù)器按照預(yù)定義的安

24、全策略,采取相應(yīng)的控制措施，比如通知安全聯(lián)動(dòng)設(shè)備隔離用戶用戶終端安全聯(lián)動(dòng)設(shè)備安全策略服務(wù)器身份認(rèn)證請(qǐng)求發(fā)起身份認(rèn)證Radius/身份信息Radius/身份認(rèn)證成功，下發(fā)隔離ACL安全認(rèn)證請(qǐng)求安全狀態(tài)檢查安全狀態(tài)信息（防病毒版本、系統(tǒng)補(bǔ)丁等信息）安全狀態(tài)不合格（缺少補(bǔ)丁等）根據(jù)安全認(rèn)證結(jié)果，修復(fù)系統(tǒng)漏洞r安全狀態(tài)檢查 安全狀態(tài)信息（防病毒版本、系統(tǒng)補(bǔ)丁等信息）安全認(rèn)證成功，下發(fā)監(jiān)控策略Radius/安全認(rèn)證成功，下發(fā)工作ACL檢查終端安全狀態(tài)安全狀態(tài)監(jiān)控安全狀態(tài)信息具體部署方式如下1、在區(qū)域二中部署中心認(rèn)證服務(wù)器一臺(tái)，推薦中石油使用基于CA證書(shū)的認(rèn)證系統(tǒng)，這樣在安全性會(huì)比簡(jiǎn)單的用片名密碼要高；2

25、、在服務(wù)器與客尸端上均部署終端安全認(rèn)證體系客六端，保證服務(wù)器系統(tǒng)能夠強(qiáng)制進(jìn)行系統(tǒng)補(bǔ)丁和病毒庫(kù)的升級(jí)；終端客尸端進(jìn)行強(qiáng)制病毒庫(kù)、系統(tǒng)補(bǔ)丁的升級(jí),在用尸接入網(wǎng)絡(luò)的同時(shí)對(duì)其日常網(wǎng)絡(luò)使用行為進(jìn)行監(jiān)控；3、在終端部署支持802.1X認(rèn)證的交換設(shè)備與終端用尸認(rèn)證體系進(jìn)行聯(lián)動(dòng)；4、在區(qū)域二部署日志服務(wù)器 XLOG一臺(tái),進(jìn)行日常用尸行為訪問(wèn)的記錄 ；5、通過(guò)用戶終端行為記錄以及網(wǎng)絡(luò)行為監(jiān)控，記錄用戶日常網(wǎng)絡(luò)使用行為，并作為日后審計(jì)的依據(jù)。6 在中心認(rèn)證服務(wù)器上部署安全策略，對(duì)違規(guī)行為進(jìn)行定義，下發(fā)到客戶端， 提高客戶端對(duì)于重要安全策略的響應(yīng)，最大限度的減少誤操作給中石油帶來(lái) 的經(jīng)濟(jì)、信息損失。14 功能特點(diǎn)終

26、端接入安全體系”解決方案已實(shí)現(xiàn)以下功能規(guī)格，在具體應(yīng)用部署時(shí)，可根據(jù)用戶網(wǎng)絡(luò)的實(shí)際使用需求，確定”終端接入安全體系”的應(yīng)用模式和部署方案。1? 4? 1 ? 安全狀態(tài)評(píng)估終端補(bǔ)丁檢測(cè)：評(píng)估客戶端的補(bǔ)丁安裝是否合格，可以檢測(cè)的補(bǔ)丁包括：操作系統(tǒng)（Win dows2000/XP 等，不包括Windows 98）等符合微軟補(bǔ)丁規(guī)范的熱補(bǔ)丁。安全客戶端版本檢測(cè)：可以檢測(cè)安全客戶端H3CClient 的版本，防止使用不具備安全檢測(cè)能 力的客戶端接入網(wǎng)絡(luò)。同時(shí)支持客戶端自動(dòng)升級(jí)。安全狀態(tài)定時(shí)評(píng)估： 安全客戶端可以定時(shí)檢測(cè)用戶安全狀態(tài)， 防止用戶上網(wǎng)過(guò)程中因安全狀態(tài)發(fā)生變化而造成的與安全策略的不一致。自動(dòng)補(bǔ)

27、丁管理：提供與微軟 WSUS/SMS全稱：Windows Server Update Services/SystemMa nageme nt Server ）協(xié)同的自動(dòng)補(bǔ)丁管理，當(dāng)用戶補(bǔ)丁不合格時(shí)，自動(dòng)安裝補(bǔ)丁。終端運(yùn)行狀態(tài)實(shí)時(shí)檢測(cè)：可以對(duì)上線用戶終端的系統(tǒng)信息進(jìn)行實(shí)時(shí)檢測(cè)，包括已安裝程序列 表、已安裝補(bǔ)丁列表、已運(yùn)行進(jìn)程列表、共享目錄信息、分區(qū)表、屏保設(shè)置和已啟動(dòng)服務(wù)列防病毒聯(lián)動(dòng)：主要包含兩個(gè)方面，一是端點(diǎn)用戶接入網(wǎng)絡(luò)時(shí)，檢查其計(jì)算機(jī)上防病毒軟件的安裝運(yùn)行情況以及病毒庫(kù)和掃描引擎版本是否符合安全要求等，不符合安全要求可以根據(jù)策略阻止用戶接入網(wǎng)絡(luò)或?qū)⑵湓L問(wèn)限制在隔離區(qū)；二是端點(diǎn)用戶接入網(wǎng)絡(luò)后， ”終端接入安全體系”定期檢查