實(shí)施方案樣本天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)樣本

天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)實(shí)行方案（VPatch66950000）啟明星辰BeijingVenustechCybervisionCo.，Ltd.年10月目錄1 系統(tǒng)實(shí)行原則 11.1 最大限度減少對顧客影響 11.2 全面細(xì)致規(guī)劃，分步實(shí)行 11.3 安全方略從簡到繁，安全級(jí)別步進(jìn)式提高 22 實(shí)行籌劃 23 管理服務(wù)器布置 33.1 總部管理服務(wù)器布置 33.2 廠所獨(dú)立管理服務(wù)器布置 43.3 布置實(shí)行建議 53.3.1 管理服務(wù)器與客戶端通信規(guī)定 53.3.2 數(shù)據(jù)存儲(chǔ)建議 93.3.3 管理員權(quán)限劃分 93.3.4 服務(wù)器安裝及數(shù)據(jù)管理 94 客戶端布置 104.1 通過應(yīng)用準(zhǔn)入方式布置客戶端 104.2 應(yīng)用準(zhǔn)入控制布置 104.3 建設(shè)期客戶端布置 114.4 維護(hù)期客戶端布置 115 準(zhǔn)入控制實(shí)行 115.1 應(yīng)用準(zhǔn)入控制實(shí)行 125.2 網(wǎng)絡(luò)準(zhǔn)入控制實(shí)行 155.3 風(fēng)險(xiǎn)與災(zāi)備 215.4 客戶端準(zhǔn)入布置 275.5 客戶端準(zhǔn)入控制布置建議 286 分工界面 297 附件一：服務(wù)器安裝及數(shù)據(jù)管理 31系統(tǒng)實(shí)行原則最大限度減少對顧客影響布置終端安全管理系統(tǒng)主線目，是借助系統(tǒng)所提供準(zhǔn)入控制技術(shù)手段，保證接入電腦是合法和符合XX研究院安全方略規(guī)定，最大限度減少不安全客戶端電腦對XX研究院網(wǎng)絡(luò)和信息資源帶來風(fēng)險(xiǎn)和威脅，保證XX研究院每一種顧客電腦始終處在良好運(yùn)營狀態(tài)，大大減少故障發(fā)生概率，從而保證每個(gè)顧客都可以完全專注在自己本職業(yè)務(wù)工作，并大大提高每一種顧客工作效率。因而，選取和布置終端安全管理系統(tǒng)時(shí)，在保證XX研究院安全方略有效執(zhí)行前提下，要最大限度減少對電腦顧客在尋常工作中影響，例如減少終端顧客在系統(tǒng)使用過程中不必要操作和介入，在顧客違背安全方略時(shí)進(jìn)行和諧提示，尊重和保護(hù)個(gè)人隱私，為顧客安全網(wǎng)絡(luò)訪問和信息互換保駕護(hù)航。全面細(xì)致規(guī)劃，分步實(shí)行終端安全管理系統(tǒng)，作為XX研究院網(wǎng)絡(luò)安全基本架構(gòu)中非常重要客戶端電腦安全管理平臺(tái)，將涉及到XX研究院內(nèi)部每一臺(tái)接受管理電腦和每一種顧客，涉及面廣，影響面大。固然，為了主線上解決客戶端電腦安全管理問題，這樣系統(tǒng)布置也勢在必行，因而在系統(tǒng)布置前需要對系統(tǒng)實(shí)行過程、安全方略制定和安全管理制度建立，進(jìn)行全面系統(tǒng)地規(guī)劃，并在實(shí)行過程中，依照實(shí)際環(huán)境進(jìn)行適時(shí)調(diào)節(jié)，從而保證系統(tǒng)和安全方略在XX研究院內(nèi)部順利執(zhí)行下去，實(shí)現(xiàn)項(xiàng)目預(yù)期目的，保障內(nèi)部網(wǎng)絡(luò)具備更高可用性和客戶端電腦更高安全性。布置前需要規(guī)劃內(nèi)容涉及：內(nèi)部網(wǎng)絡(luò)和顧客安全分級(jí)和規(guī)劃，系統(tǒng)布置順序和周期，針對不同部門或顧客角色安全方略組合，系統(tǒng)安全方略動(dòng)態(tài)調(diào)節(jié)等等。安全不是一蹴而就，由于該系統(tǒng)涉及面較廣，因而系統(tǒng)實(shí)行需要全面規(guī)劃，分步實(shí)行，循序漸進(jìn)，真正發(fā)揮系統(tǒng)安全保護(hù)和積極防御功能。安全方略從簡到繁，安全級(jí)別步進(jìn)式提高由于XX研究院分支機(jī)構(gòu)、部門和人員較多，相應(yīng)每一種角色安全保護(hù)級(jí)別規(guī)定也層次各異，如果為了保證最高安全性，使用同樣一種嚴(yán)格安全方略，或者為了減少安全管理工作量，簡樸執(zhí)行一類基本安全方略，都是不適當(dāng)。在規(guī)劃中要預(yù)先基于顧客角色擬定每個(gè)部門、顧客或分支機(jī)構(gòu)，擬定相應(yīng)最適當(dāng)安全方略組合，作為系統(tǒng)最后實(shí)現(xiàn)安全管理目的。在實(shí)行過程中，再按照由簡到繁順序，先實(shí)行所有顧客都必要遵守安全方略，然后再依照不同分支機(jī)構(gòu)、部門和顧客，步進(jìn)式下發(fā)和執(zhí)行各級(jí)安全方略，從而實(shí)現(xiàn)安全級(jí)別步進(jìn)式提高，構(gòu)建立體、混合模式終端安全方略管理體系。實(shí)行籌劃內(nèi)網(wǎng)終端合規(guī)管理提高是一種循序漸進(jìn)和不斷完善過程，要兼顧“安全性”和“便利性”，合規(guī)管理應(yīng)“先弱后強(qiáng)”，實(shí)行方略應(yīng)“先易后難”原則，消除來自業(yè)務(wù)部門和終端員工抵觸情緒和壓力。因而在安裝過程中，咱們嚴(yán)格遵循天珣安裝“三步走”原則，即：通過應(yīng)用準(zhǔn)入推動(dòng)客戶端布置安裝，通過和諧提示界面以及強(qiáng)度稍弱準(zhǔn)入控制方式，善意提示顧客積極安裝天珣客戶端，并提供應(yīng)顧客下載地址，由其去下載和安裝配備方略管理受控終端使其進(jìn)行自身安全狀態(tài)完善，目的則是讓內(nèi)網(wǎng)受控終端成為合規(guī)安全終端，保證內(nèi)網(wǎng)安全建設(shè)成功而高效啟用網(wǎng)絡(luò)準(zhǔn)入，在顧客熟悉天珣準(zhǔn)入控制系統(tǒng)特性后再啟用網(wǎng)絡(luò)準(zhǔn)入，將會(huì)受到最小阻力，最后完畢整個(gè)準(zhǔn)入體系核心一步固然，也會(huì)有某些部門或區(qū)域安全保護(hù)級(jí)別規(guī)定沒有這樣高，這時(shí)咱們可以對其采用適合自己準(zhǔn)入控制方式和安全方略，從而使整個(gè)項(xiàng)目更加人性化。項(xiàng)目時(shí)間表管理服務(wù)器布置總部管理服務(wù)器布置院本部內(nèi)廠所內(nèi)：兩種方式布置管理服務(wù)器，一種是邏輯上集中管理分級(jí)授權(quán)方式，另一種完全獨(dú)立方略管理服務(wù)器方式。天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)支持多方略服務(wù)器架構(gòu)。每個(gè)服務(wù)器服務(wù)一種或各種園區(qū)。而這些服務(wù)器可以互相備份，在一種統(tǒng)一控制臺(tái)接受集中管理。如果一臺(tái)服務(wù)器宕機(jī)，其服務(wù)顧客會(huì)自動(dòng)被其她服務(wù)器接管。每一種管理網(wǎng)段電腦均有3次從服務(wù)器獲取規(guī)則機(jī)會(huì)，它們一方面會(huì)從Primary方略服務(wù)器獲取規(guī)則，如果失敗，則從Secondary方略服務(wù)器獲取規(guī)則，如果再失敗，則從中心服務(wù)器獲取規(guī)則，如果還是失敗，則使用客戶端本地緩存規(guī)則。分布式多服務(wù)器架構(gòu)使天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)具備先進(jìn)容錯(cuò)性、可伸縮性，支持客戶端數(shù)量從數(shù)百個(gè)到數(shù)萬以至更多，而布置極為平滑，性能不受影響。在本次實(shí)行中，需要布置三臺(tái)方略服務(wù)器，一臺(tái)中心服務(wù)器，兩臺(tái)本地服務(wù)器。三臺(tái)方略服務(wù)器都安裝在中心機(jī)房，規(guī)定本次實(shí)行所有客戶端電腦及方略網(wǎng)關(guān)都可以通過TCP/IP合同7890端口訪問到方略服務(wù)器。由于中心服務(wù)器有尋常管理負(fù)荷，建議中心服務(wù)器管理3000臺(tái)終端電腦，本地服務(wù)器管理7000臺(tái)終端電腦。對于任何一種管理網(wǎng)段，如果其PrimaryServer為其中一臺(tái)，則其SecondaryServer將被設(shè)為此外一臺(tái)。中心服務(wù)器中心服務(wù)器兩臺(tái)本地服務(wù)器管理網(wǎng)段一管理網(wǎng)段二PrimarySecondaryPrimarySecondary廠所獨(dú)立管理服務(wù)器布置獨(dú)立廠所：完全獨(dú)立方略管理服務(wù)器方式。在分布式多服務(wù)器架構(gòu)下，中心服務(wù)器是整個(gè)系統(tǒng)方略集中存儲(chǔ)地方，本地服務(wù)器是進(jìn)行尋常方略分發(fā)地方。全系統(tǒng)只需要一種中心服務(wù)器，可以有各種本地服務(wù)器，中心服務(wù)器可以兼作本地服務(wù)器。在本次實(shí)行中，兩臺(tái)方略服務(wù)器都在院總部直接管理下，由總部管理員進(jìn)行管理。在此后實(shí)行中，可以在各下級(jí)廠所架設(shè)本地服務(wù)器，由總部管理員進(jìn)行全局控制，而由各廠所管理員進(jìn)行本地化管理。從投資成本上考慮，建議本項(xiàng)服務(wù)器都在集中布置在院總部信息中心更有利，院下屬各廠所多集中在園區(qū)網(wǎng)內(nèi)網(wǎng)絡(luò)帶寬足以滿足集中心管理需要，因而推薦集中管理布置方式。布置實(shí)行建議管理服務(wù)器與客戶端通信規(guī)定CC與管理服務(wù)器通信列表。類別源源端口目的目的端口功能合同服務(wù)器類中心服務(wù)器any客戶端7891積極下發(fā)方略UDP中心服務(wù)器any客戶端7891方略預(yù)檢查UDP中心服務(wù)器any本地服務(wù)器7892積極同步服務(wù)器方略TCP中心服務(wù)器any方略網(wǎng)關(guān)代理7893同步代理方略UDP中心服務(wù)器anyradius服務(wù)器7897更新radius方略UDP補(bǔ)丁同步服務(wù)器any外網(wǎng)補(bǔ)丁服務(wù)器8800同步補(bǔ)丁TCP方略網(wǎng)關(guān)代理any中心服務(wù)器7890獲取代理方略TCPradius服務(wù)器any中心服務(wù)器7890獲取radius方略TCP方略網(wǎng)關(guān)any方略網(wǎng)關(guān)代理7893攔截訪問，告知代理TCP方略網(wǎng)關(guān)代理any客戶端7891發(fā)送檢查祈求UDPradius服務(wù)器any互換機(jī)1812-1813發(fā)送認(rèn)證成果UDP互換機(jī)anyradius服務(wù)器1812-1813轉(zhuǎn)發(fā)認(rèn)證祈求UDP互換機(jī)any客戶端1645-1646下發(fā)ACLUDPradius服務(wù)器any域服務(wù)器443轉(zhuǎn)發(fā)顧客認(rèn)證TCP中心服務(wù)器anyservermonitor7896收集系統(tǒng)組件運(yùn)營狀態(tài)TCP客戶端類客戶端any中心服務(wù)器7890心跳UDP客戶端any中心服務(wù)器7890取方略TCP客戶端any中心服務(wù)器7898SSL取方略TCP客戶端any中心服務(wù)器7890;7898客戶端注冊TCP客戶端any中心服務(wù)器8833web管理界面TCP客戶端any軟件分發(fā)服務(wù)器7901取分發(fā)任務(wù)TCP客戶端any軟件分發(fā)服務(wù)器7902取分發(fā)文獻(xiàn)TCP客戶端any資產(chǎn)服務(wù)器7891上報(bào)資產(chǎn)TCP客戶端any襲擊告警服務(wù)器7899上報(bào)襲擊告警UDP客戶端any補(bǔ)丁同步服務(wù)器8833下載補(bǔ)丁TCP客戶端anyhod管理員5500;5400遠(yuǎn)程協(xié)助數(shù)據(jù)流TCP客戶端any按需增援服務(wù)器7895發(fā)起增援祈求TCPUTM類USGany客戶端1080發(fā)送攔截頁面TCP客戶端anyUSG1080接受攔截頁面TCPUSGany方略網(wǎng)關(guān)代理7893攔截訪問，告知代理TCP數(shù)據(jù)存儲(chǔ)建議采用數(shù)據(jù)集中存儲(chǔ)模式，便于顧客數(shù)據(jù)存儲(chǔ)備份管理。本部及各分支機(jī)構(gòu)數(shù)據(jù)所有存儲(chǔ)在一臺(tái)固定數(shù)據(jù)庫服務(wù)器中，省去數(shù)據(jù)同步麻煩，增長數(shù)據(jù)一致性。管理員權(quán)限劃分三權(quán)分立管理在天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)中，基本設(shè)立操作必要有全局管理員權(quán)限才干進(jìn)行，而普通方略配備只需要普通管理員權(quán)限就可以進(jìn)行。一種普通管理員定義方略，此外一種普通管理員不能看見，也不能使用。全局管理員定義方略，其她普通管理員可以使用，但不能修改。全局管理員可以使用、修改任何一種普通管理員或全局管理員定義方略。對全局管理員或普通管理員，都可以設(shè)立“只讀”屬性，該管理員只能讀取方略信息，不能增長、修改或應(yīng)用方略。在院總部，建議設(shè)立三種管理員。一種管理員是全局管理員，此類管理員由一至二個(gè)成員構(gòu)成，她們負(fù)責(zé)進(jìn)行基本設(shè)立，或某些全局性方略。第二種管理員是普通管理員，重要由她們進(jìn)行方略配備，她們定義方略具備本地屬性，當(dāng)此后布置范疇擴(kuò)大，安裝了更多本地服務(wù)器，有更多管理員參加方略系統(tǒng)管理時(shí)，她們定義方略不會(huì)被其她管理員使用。第三種管理員是只讀管理員，普通對部門領(lǐng)導(dǎo)設(shè)立這種權(quán)限，她們可以查看系統(tǒng)，但不需要她們做方略配備。服務(wù)器安裝及數(shù)據(jù)管理見附件一。

客戶端布置通過應(yīng)用準(zhǔn)入方式布置客戶端應(yīng)用準(zhǔn)入控制布置對于無法實(shí)行網(wǎng)絡(luò)準(zhǔn)入控制區(qū)域，可以采用應(yīng)用準(zhǔn)入。下圖是采用應(yīng)用準(zhǔn)入布置圖。分別在院DNS服務(wù)器，ISA服務(wù)器，核心Windows服務(wù)器，核心Linux服務(wù)器等經(jīng)常被訪問服務(wù)器上布置方略網(wǎng)關(guān)，當(dāng)顧客電腦訪問這些服務(wù)器時(shí)，方略網(wǎng)關(guān)將會(huì)檢查顧客電腦與否運(yùn)營了天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)客戶端軟件，并且與否符合方略規(guī)則。如果不符合，方略網(wǎng)關(guān)將回絕顧客訪問，并給出和諧提示。在實(shí)際布置中，可依照狀況增長或減少方略網(wǎng)關(guān)布置數(shù)量。天珣已經(jīng)與啟明星辰天清漢馬USG實(shí)現(xiàn)準(zhǔn)入控制互動(dòng)，由USG作為新應(yīng)用準(zhǔn)入控制類型。當(dāng)終端需要通過USG進(jìn)行訪問時(shí)，由USG和天珣聯(lián)動(dòng)，只容許認(rèn)證通過并且安全狀態(tài)符合規(guī)定終端通過USG進(jìn)行訪問。建設(shè)期客戶端布置客戶端布置重要采用客戶自助安裝、后臺(tái)自動(dòng)安裝、或管理員輔助安裝等布置方式。客戶端自助安裝可采用方略網(wǎng)關(guān)提示安裝，網(wǎng)上鄰居預(yù)安裝，郵件提示預(yù)安裝等方式。后臺(tái)自動(dòng)安裝可使用既有軟件分發(fā)工具，或用專門后臺(tái)安裝工具進(jìn)行安裝。管理員輔助安裝是在前面安裝手段對個(gè)別顧客不能成功布置時(shí)采用。客戶端布置依部門順序分階段進(jìn)行，在對每個(gè)部門全面布置前，先進(jìn)行一次終端應(yīng)用狀況調(diào)研，針對每個(gè)部門終端使用狀況進(jìn)行詳細(xì)調(diào)研，重要涉及：OS、版本、補(bǔ)丁、應(yīng)用系統(tǒng)、重要數(shù)據(jù)等其他有關(guān)內(nèi)容。如果有需要特別注意地方，就需要制定特別布置方案。維護(hù)期客戶端布置新購買電腦對于少量新購買電腦，建議在入網(wǎng)之前由管理部門安裝天珣客戶端；對于批量購買電腦，建議與電腦廠商協(xié)商，在出廠時(shí)即安裝天珣客戶端。電腦重裝操作系統(tǒng)天珣應(yīng)用準(zhǔn)入一種重要功能是協(xié)助管理員布置客戶端。對于偶爾重裝操作系統(tǒng)終端，可通過應(yīng)用準(zhǔn)入控制由顧客自助安裝客戶端程序。準(zhǔn)入控制實(shí)行

應(yīng)用準(zhǔn)入控制實(shí)行應(yīng)用準(zhǔn)入簡介天珣系統(tǒng)中，具備其她同類軟件不同核心準(zhǔn)入控制組件——方略網(wǎng)關(guān)，這個(gè)組件可以安裝在公司網(wǎng)中一種或各種核心業(yè)務(wù)系統(tǒng)服務(wù)器之上，執(zhí)行應(yīng)用層準(zhǔn)入控制，可以對來訪終端執(zhí)行合規(guī)檢查，如果來訪終端非受控或不合規(guī)，將被回絕訪問該服務(wù)器或業(yè)務(wù)系統(tǒng)，同步也達(dá)到對這些核心服務(wù)器和業(yè)務(wù)系統(tǒng)增強(qiáng)保護(hù)效果。其中，基于DNS應(yīng)用準(zhǔn)入控制，又依照模式不同，又可以分為旁路式DNS準(zhǔn)入（此時(shí)DNS處在旁路監(jiān)聽模式，無需變化DNS服務(wù)器配備或者安裝DNS方略網(wǎng)關(guān)）和在線DNS準(zhǔn)入（在DNS服務(wù)器上布置DNS方略網(wǎng)關(guān)）。天珣可以與啟明星辰天清漢馬一體化安全網(wǎng)關(guān)（簡稱：天清漢馬USG）構(gòu)成UTM2合規(guī)管理方案，實(shí)現(xiàn)準(zhǔn)入控制聯(lián)動(dòng)，由天清漢馬USG擔(dān)當(dāng)準(zhǔn)入控制網(wǎng)關(guān)，當(dāng)計(jì)算機(jī)終端需要通過天清漢馬USG進(jìn)行訪問時(shí)，保證只有受控和合規(guī)才干通過天清漢馬USG對USG所保護(hù)服務(wù)器進(jìn)行訪問。除此之外，天珣還可以提供可以與顧客任意平臺(tái)B/S構(gòu)造業(yè)務(wù)系統(tǒng)無縫集成Web準(zhǔn)入控制。集成Web準(zhǔn)入控制，平臺(tái)適應(yīng)能力非常廣泛，服務(wù)端可以在Windows、Linux、unix下使用。 性能優(yōu)越，并且布置及其簡樸，只需把控件加入登錄頁面上，并且替代了顧客名輸入控件，進(jìn)行小量頁面修改即可完畢布置。應(yīng)用準(zhǔn)入特點(diǎn)i)應(yīng)用準(zhǔn)入生效是在數(shù)據(jù)中心服務(wù)器區(qū)，對于網(wǎng)絡(luò)環(huán)境中因接入層互換機(jī)或匯聚層互換機(jī)不支持相應(yīng)網(wǎng)絡(luò)準(zhǔn)入認(rèn)證合同，或者因內(nèi)網(wǎng)終端合規(guī)管理現(xiàn)實(shí)規(guī)定，暫時(shí)不需要啟用最嚴(yán)格網(wǎng)絡(luò)準(zhǔn)入控制狀況，應(yīng)用準(zhǔn)入將可以代替網(wǎng)絡(luò)準(zhǔn)入作為最佳終端合規(guī)準(zhǔn)入控制手段。固然如果終端始終不去訪問數(shù)據(jù)中心服務(wù)器，那么將也許無法對其實(shí)行應(yīng)用準(zhǔn)入，因而前期對準(zhǔn)入所使用業(yè)務(wù)系統(tǒng)選取將會(huì)非常核心。ii)獨(dú)特功能：應(yīng)用準(zhǔn)入可以通過自動(dòng)重定向，對未受控或者不合規(guī)終端，進(jìn)行個(gè)性化和諧提示，通過和諧提示不但可以協(xié)助最后顧客理解無法訪問業(yè)務(wù)服務(wù)器因素，為最后顧客接受和適應(yīng)新終端合規(guī)管理提供協(xié)助，還可以通過該提示頁面，發(fā)送執(zhí)行合規(guī)管理客戶端軟件，真正實(shí)現(xiàn)了最后顧客“自助式”客戶端布置，不但大幅度減少系統(tǒng)維護(hù)人員工作量，也極大減少顧客厭煩和抵觸行為，保證合規(guī)管理有效性同步，在內(nèi)網(wǎng)終端合規(guī)管理過程中，體現(xiàn)了人性關(guān)懷，有效增強(qiáng)了最后顧客在內(nèi)網(wǎng)合規(guī)管理系統(tǒng)實(shí)行中積極性，增進(jìn)內(nèi)網(wǎng)合規(guī)更快獲得良好收效。本項(xiàng)目中應(yīng)用準(zhǔn)入實(shí)行主頁或OA服務(wù)器上中性方略網(wǎng)關(guān)在主頁或OA服務(wù)器上安裝天珣中性方略網(wǎng)關(guān)，受控終端訪問主頁或OA服務(wù)器時(shí)過程如下。啟動(dòng)準(zhǔn)入檢查網(wǎng)段，對有針對性地檢查特定網(wǎng)段，對特殊網(wǎng)段可設(shè)立使其不受方略網(wǎng)關(guān)影響。DNS準(zhǔn)入在內(nèi)部DNS服務(wù)器上安裝天珣DNS方略網(wǎng)關(guān)，當(dāng)受控終端發(fā)送DNS祈求時(shí)與DNS服務(wù)器交互過程如下：啟動(dòng)準(zhǔn)入檢查網(wǎng)段，對有針對性地檢查特定網(wǎng)段，對特殊網(wǎng)段可設(shè)立使其不受DNS準(zhǔn)入影響。網(wǎng)絡(luò)準(zhǔn)入控制實(shí)行對于接入互換機(jī)支持802.1X合同區(qū)域，采用基于802.1x合同網(wǎng)絡(luò)準(zhǔn)入控制。下圖是802.1x網(wǎng)絡(luò)準(zhǔn)入布置圖。802.1X認(rèn)證RadiusServer采用天珣自帶RadiusServer，顧客電腦安裝天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)客戶端軟件。天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)支持分布式多服務(wù)器架構(gòu)，建議每套天珣系統(tǒng)至少布置2個(gè)Radius服務(wù)器，以對802.1X提供互備認(rèn)證支持?；诳尚臡AC地址802.1X準(zhǔn)入認(rèn)證在本次方案中，咱們推薦XXXX院實(shí)行基于可信MAC地址驗(yàn)證802.1X準(zhǔn)入。該認(rèn)證模式可以和“基本認(rèn)證”、“擴(kuò)展組合認(rèn)證”組合成完善準(zhǔn)入模式。對接入電腦MAC地址進(jìn)行驗(yàn)證，如果不在容許接入清單內(nèi)，則回絕該電腦接入。對于新接入電腦，該電腦信息將即時(shí)報(bào)告給管理員，管理員可以在線決定與否容許該新電腦接入?？蛻舳税惭b由于802.1X是二層合同，終端認(rèn)證不成功將不能訪問網(wǎng)絡(luò)，故客戶端安裝問題將影響顧客使用，客戶端安裝請參見“客戶端布置”章節(jié)。方略配備一方面，在天珣WEB控制臺(tái)中添加一條RadiusServer方略，在這里配備radius認(rèn)證服務(wù)器及其所使用認(rèn)證方略：咱們配備“網(wǎng)絡(luò)準(zhǔn)入類型”為“原則802.1x”，基本認(rèn)證為“顧客認(rèn)證”，并選取電力集團(tuán)AD域作為認(rèn)證域。接下來再把需要啟用網(wǎng)絡(luò)準(zhǔn)入互換機(jī)IP加入到網(wǎng)絡(luò)設(shè)備配備中，讓radius服務(wù)器懂得它將對哪些互換機(jī)認(rèn)證祈求進(jìn)行響應(yīng)。注意：共享密鑰必要與互換機(jī)中配備key一致，否則將無法認(rèn)證成功。在網(wǎng)絡(luò)設(shè)備配備完畢后，將其應(yīng)用到radius配備“啟用準(zhǔn)入控制網(wǎng)絡(luò)設(shè)備”中：此外，在頁面方略配備完畢后，務(wù)必點(diǎn)擊更新radius服務(wù)器方略，否則radius服務(wù)器將無法獲取到最新方略修改?；Q機(jī)配備對于互換機(jī)配備，咱們會(huì)對兩種電力集團(tuán)普遍使用接入層cisco和華為互換機(jī)進(jìn)行簡介。CISCO互換機(jī)進(jìn)入配備命令模式#configterminal配備Radius認(rèn)證服務(wù)器啟用認(rèn)證#aaanew-model設(shè)立802.1X使用radiusserver組中所有radiusserver進(jìn)行認(rèn)證#aaaauthenticationdot1xdefaultgroupradius#aaaauthorizationnetworkdefaultgroupradius添加ias到radiusserver，其中host背面IP地址為IAS服務(wù)器地址，auth-port和acct-port為原則Radius端口，key為互換機(jī)和Raidus服務(wù)器通訊密鑰#radius-serverhostXX.XX.XX.XXauth-port1812acct-port1813key123456啟用802.1X#dot1xsystem-auth-control配備7號(hào)端口使用802.1X認(rèn)證#interfaceFastEthernet0/7#switchportmodeaccess#dot1xport-controlauto#dot1xhost-modemulti-host（啟用互換機(jī)端口multiple-hosts模式，以使互換機(jī)可下接hub進(jìn)行認(rèn)證）#end配備7號(hào)端口重認(rèn)證周期可選項(xiàng)，配備802.1X重認(rèn)證周期，以秒為單位，默以為3600秒（1小時(shí)），當(dāng)重認(rèn)證時(shí)，如果網(wǎng)絡(luò)端口接入其她沒有運(yùn)營天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系記錄算機(jī)，端口會(huì)立即封閉。#interfaceFastEthernet0/7#dot1xreauthentication#dot1xtimeoutreauth-period3600#end保存當(dāng)前配備作為啟動(dòng)配備#copyrunning-configstartup-config注意：CISCO互換機(jī)如果是遠(yuǎn)程使用telnet登陸到互換機(jī)進(jìn)行配備話，請千萬記得配備aaaauthenticationlogindefaultline命令（不同型號(hào)互換機(jī)也許命令略有不同）。此命令作用是將telnet時(shí)進(jìn)行認(rèn)證放在互換機(jī)本地，如果不配備話，如果此前telnet互換機(jī)只需要輸入密碼話，那么在下次進(jìn)行telnet登陸時(shí)，互換機(jī)將會(huì)提示規(guī)定輸入顧客名和密碼進(jìn)行認(rèn)證。華為互換機(jī)#設(shè)立802.1x顧客認(rèn)證辦法，當(dāng)前提供3種認(rèn)證辦法：PAP認(rèn)證、CHAP認(rèn)證、EAP中繼認(rèn)證。缺省狀況下，華為互換機(jī)802.1x顧客認(rèn)證辦法為CHAP認(rèn)證。此處需要修改設(shè)立為EAP認(rèn)證。[Quidway]dot1xauthentication-methodeap#創(chuàng)立RADIUS組dot1x并進(jìn)入其視圖[Quidway]radiusschemedot1x#設(shè)立主認(rèn)證/計(jì)費(fèi)RADIUS服務(wù)器IP地址[Quidway-radius-dot1x]primaryauthenticationXX.XX.XX.XX#設(shè)立主認(rèn)證/計(jì)費(fèi)RADIUS服務(wù)器IP地址[Quidway-radius-dot1x]primaryaccountingXX.XX.XX.XX#設(shè)立系統(tǒng)與認(rèn)證RADIUS服務(wù)器交互報(bào)文時(shí)加密密碼[Quidway-radius-dot1x]keyauthentication123456[Quidway-radius-dot1x]keyaccounting123456#批示系統(tǒng)從顧客名中去除顧客域名后再將之傳給RADIUS服務(wù)器[Quidway-radius-dot1x]user-name-formatwithout-domain[Quidway-radius-dot1x]quit#創(chuàng)立顧客域dot1x，并進(jìn)入其視圖[Quidway]domaindot1x#指定“dot1x”為該顧客域Radius方案[Quidway-isp-dot1x]radius-schemedot1x[Quidway-isp-dot1x]quit#指定互換機(jī)缺省顧客域?yàn)椤癲ot1x”[Quidway]domaindefaultenabledot1x#啟動(dòng)E0/8802.1x認(rèn)證[Quidway]dot1xinterfaceEthernet0/8#啟動(dòng)全局802.1x特性[Quidway]dot1x#保存設(shè)立[Quidway]quit<Quidway>save風(fēng)險(xiǎn)與災(zāi)備802.1X準(zhǔn)入作為一種最嚴(yán)格準(zhǔn)入控制手段具備其她準(zhǔn)入控制辦法不具備優(yōu)勢，如認(rèn)證流與數(shù)據(jù)流分離、獨(dú)立于應(yīng)用之外、在嚴(yán)格之余又具備很高可擴(kuò)展性等。該準(zhǔn)入控制手段已經(jīng)大量應(yīng)用于教誨、金融行業(yè)，在近年來舉辦重大賽事如廣州亞運(yùn)會(huì)，該準(zhǔn)入控制手段也已經(jīng)全面應(yīng)用。隨著公司信息化越來越進(jìn)一步，在信息安全領(lǐng)域，準(zhǔn)入控制，特別是像802.1X這種嚴(yán)格準(zhǔn)入控制手段已經(jīng)成為一種不得不考慮選項(xiàng)。但這種嚴(yán)格準(zhǔn)入控制技術(shù)也帶來了不可忽視斷網(wǎng)風(fēng)險(xiǎn)。在對網(wǎng)絡(luò)可用性規(guī)定極高領(lǐng)域，如金融行業(yè)，大面積斷網(wǎng)是不能容忍一級(jí)事故。因而，一套完整、可操作風(fēng)險(xiǎn)預(yù)案便成了核心時(shí)刻法寶。下圖是完畢全面完畢基于802.1X網(wǎng)絡(luò)準(zhǔn)入控制體系后，XXXX終端接入控制體系示意圖。依照原則802.1X準(zhǔn)入控制需要三個(gè)實(shí)體，加上顧客認(rèn)證時(shí)需要目錄服務(wù)器（以AD域控制器為例），咱們分析了天珣作為準(zhǔn)入控制解決辦法也許產(chǎn)生風(fēng)險(xiǎn)點(diǎn)如下圖標(biāo)號(hào)所示。XXXX終端接入控制體系抽象圖名詞釋義：天珣中心服務(wù)器：提供方略集中編輯、下發(fā)和集中報(bào)表功能，管理和同步方略到本地服務(wù)器、Radius服務(wù)器等其她服務(wù)器組件，并可以直接管理指定范疇終端服務(wù)器；天珣本地服務(wù)器：提供對指定范疇終端進(jìn)行管理服務(wù)器，并可以管理和同步方略到Radius服務(wù)器。Radius認(rèn)證服務(wù)器：與Swich聯(lián)動(dòng)，提供對客戶端及顧客進(jìn)行網(wǎng)絡(luò)準(zhǔn)入控制認(rèn)證服務(wù)器。AD域服務(wù)器：終端顧客賬號(hào)/密碼集中管理和認(rèn)證服務(wù)器。接入互換機(jī)（Switch）：與Radius聯(lián)動(dòng)，提供對客戶端及顧客進(jìn)行網(wǎng)絡(luò)準(zhǔn)入控制接入層網(wǎng)絡(luò)設(shè)備?？蛻舳耍–lients）：運(yùn)營在每一臺(tái)終端電腦上，執(zhí)行終端安全管理方略，發(fā)起認(rèn)證祈求。按照天珣系統(tǒng)設(shè)計(jì)原理，以上組件中，除了中心服務(wù)器和本地服務(wù)器之外，其她任意組件，例如無備份單一Radius服務(wù)器、目錄服務(wù)器（本方案中AD域服務(wù)器）、互換機(jī)、客戶端，只要其中之一浮現(xiàn)影響認(rèn)證故障，都將會(huì)導(dǎo)致終端網(wǎng)絡(luò)準(zhǔn)入認(rèn)證失敗。每個(gè)組件對網(wǎng)絡(luò)準(zhǔn)入影響，如下圖所示：從圖中可以看出，每個(gè)組件都存在影響到網(wǎng)絡(luò)準(zhǔn)入失敗也許。但是，結(jié)合組件作用和她們之間互有關(guān)系，如下四個(gè)環(huán)節(jié)風(fēng)險(xiǎn)最為突出： 方略服務(wù)器異常時(shí)，Radius無法積極獲取對的方略。AD域服務(wù)器異?；蚓W(wǎng)絡(luò)中斷，導(dǎo)致AD域不可達(dá)，顧客認(rèn)證失敗。Radius服務(wù)器異?；蚓W(wǎng)絡(luò)中斷，導(dǎo)致認(rèn)證無法正常進(jìn)行?？蛻舳水惓?，導(dǎo)致認(rèn)證無法正常進(jìn)行。針對上述風(fēng)險(xiǎn)，天珣為該準(zhǔn)入控制擬定了如下風(fēng)險(xiǎn)預(yù)案：風(fēng)險(xiǎn)一種穩(wěn)定準(zhǔn)入控制手段不有必要經(jīng)常變化準(zhǔn)入條件，如咱們沒有必要經(jīng)常在僅驗(yàn)證客戶端和可匿名登陸顧客認(rèn)證兩種方案間切換。但雖然如此，天珣Radius服務(wù)器（天珣自有RADIUS服務(wù)器，不使用微軟IAS等第三方產(chǎn)品）在每次收到準(zhǔn)入控制方略后都會(huì)緩存該方略，直到服務(wù)器告知其更改，在此期間，天珣RADIUS服務(wù)器不依賴中心服務(wù)器和本地服務(wù)器，雖然服務(wù)器宕機(jī)，RADIUS服務(wù)器依然可以正常工作。在天珣系統(tǒng)中，這種風(fēng)險(xiǎn)已經(jīng)可以忽視。風(fēng)險(xiǎn)預(yù)案天珣可以同步使用多臺(tái)主備目錄服務(wù)器，但雖然如此，網(wǎng)絡(luò)狀況以及目錄服務(wù)器可用性依然構(gòu)成較大挑戰(zhàn)。實(shí)行顧客認(rèn)證需要保證AD域始終可達(dá)，但不常發(fā)生斷電和網(wǎng)絡(luò)故障讓咱們不能忽視很少發(fā)生AD域不可達(dá)也許性。為此，天珣提供了AD域Radiusbypass工具，當(dāng)AD域不可達(dá)時(shí)，該工具可立即取消所有終端顧客認(rèn)證，使準(zhǔn)入控制方案變成僅“驗(yàn)證客戶端802.1X準(zhǔn)入”，從而消除因AD域故障導(dǎo)致網(wǎng)絡(luò)準(zhǔn)入認(rèn)證失敗問題。天珣目錄服務(wù)RadiusBypass工具界面如下：風(fēng)險(xiǎn)預(yù)案Radius服務(wù)器是802.1X網(wǎng)絡(luò)準(zhǔn)入重中之重，在準(zhǔn)入控制方案中，單臺(tái)RADIUS服務(wù)器是巨大風(fēng)險(xiǎn)點(diǎn)，正是基于此，網(wǎng)絡(luò)設(shè)備廠商在原則配備中，都會(huì)為每臺(tái)互換機(jī)配備雙Radius服務(wù)器以做互備。從天珣實(shí)行案例中，雙RADIUS服務(wù)器年故障時(shí)間不大于5分鐘。在配備了雙RADIUS服務(wù)器狀況下，特別是異地備份，該風(fēng)險(xiǎn)已經(jīng)大大減少。但這始終不會(huì)成為咱們松懈理由，天珣建議將Radius作為核心服務(wù)器重點(diǎn)監(jiān)控和保護(hù)，以消除Radius服務(wù)器單點(diǎn)故障和Radius也許遭受到網(wǎng)絡(luò)襲擊或機(jī)房環(huán)境影響。同步，某些網(wǎng)絡(luò)設(shè)備廠商也考慮了該問題，在互換機(jī)配備方面有不同使用方案。如，H3C互換機(jī)可以配備各種認(rèn)證選項(xiàng)，先使用radius認(rèn)證，radius不可達(dá)則使用local或者使用none。這些手段均可以大大減少故障壓力。但作為最可靠解決手段，取消互換機(jī)802.1X準(zhǔn)入是最后法寶，也是最讓人放心辦法。如果公司內(nèi)部有統(tǒng)一網(wǎng)絡(luò)設(shè)備管理平臺(tái)，可通過配備網(wǎng)管平臺(tái)取消互換機(jī)認(rèn)證，若沒有則可借助某些自定義腳本。本方案中有如下腳本取消互換機(jī)全局802.1X準(zhǔn)入，以思科互換機(jī)為例：@echooffechosetsh=WScript.CreateObject("WScript.Shell")>telnet_tmp.vbsechoWScript.Sleep3>>telnet_tmp.vbsechosh.SendKeys"open">>telnet_tmp.vbsechoWScript.Sleep3>>telnet_tmp.vbsechosh.SendKeys"{ENTER}">>telnet_tmp.vbsechoWScript.Sleep3>>telnet_tmp.vbsechosh.SendKeys"!QAZ2wsx{ENTER}">>telnet_tmp.vbsechoWScript.Sleep3>>telnet_tmp.vbsechosh.SendKeys"en{ENTER}">>telnet_tmp.vbsechoWScript.Sleep3>>telnet_tmp.vbsechosh.SendKeys"!QAZ2wsx{ENTER}">>telnet_tmp.vbsechoWScript.Sleep3>>telnet_tmp.vbsechosh.SendKeys"conft{ENTER}">>telnet_tmp.vbsechoWScript.Sleep3>>telnet_tmp.vbsechosh.SendKeys"nodot1xsys{ENTER}">>telnet_tmp.vbsechoWScript.Sleep3>>telnet_tmp.vbsechosh.SendKeys"end{ENTER}">>telnet_tmp.vbsechoWScript.Sleep3>>telnet_tmp.vbsechosh.SendKeys"exit{ENTER}">>telnet_tmp.vbsechoWScript.Sleep3>>telnet_tmp.vbsstarttelnetcscript//nologotelnet_tmp.vbs風(fēng)險(xiǎn)預(yù)案由于網(wǎng)絡(luò)準(zhǔn)入控制認(rèn)證需要由安裝在終端天珣客戶端來執(zhí)行，如果客戶端不能正常運(yùn)營，將直接導(dǎo)致認(rèn)證無法進(jìn)行。依照天珣以往經(jīng)驗(yàn)，導(dǎo)致客戶端上線后不能運(yùn)營因素更多來自于與終端上安裝其她安全軟件或工具誤殺、誤攔或沖突。針對這種狀況，天珣已經(jīng)緊跟各殺毒軟件和安全軟件廠商更新狀況，做好后方溝通和兼容檢測工作，最大限度消除互相影響帶來風(fēng)險(xiǎn)。天珣RADIUS服務(wù)器狀態(tài)告警在綜合考慮了上述所有也許產(chǎn)生風(fēng)險(xiǎn)故障點(diǎn)之后，天珣并沒有停止對風(fēng)險(xiǎn)防范思考，RADIUS服務(wù)器狀態(tài)告警組件便是咱們近來成果。在RADIUS所在服務(wù)器浮現(xiàn)莫名故障時(shí)（Windows服務(wù)器操作系統(tǒng)不可避免），該組件可以即時(shí)報(bào)告其服務(wù)可用狀態(tài)，這種監(jiān)視不是簡樸進(jìn)程保護(hù)，而是其內(nèi)部流程即時(shí)體現(xiàn)，涉及它所依賴所有第三方服務(wù)提供如目錄服務(wù)。其報(bào)警成果可覺得公司內(nèi)部正在使用綜合告警平臺(tái)所檢測，通過公司既有告警方式，如短信、郵件、電話等，及時(shí)告知管理員，以期獲得最快響應(yīng)時(shí)間。天珣RADIUS告警組件界面如下：客戶端準(zhǔn)入布置安裝有天珣客戶端程序計(jì)算機(jī)終端在接受訪問時(shí)，可以依照管理員預(yù)先配備安全方略檢查來訪計(jì)算機(jī)終端與否運(yùn)營了天珣客戶端程序，并檢查其安全基線與否符合規(guī)定。如果來訪計(jì)算機(jī)終端未安裝天珣客戶端程序，或不符合安全方略規(guī)定，則回絕其訪問?？蛻舳藴?zhǔn)入控制示例圖當(dāng)安裝天珣客戶端程序計(jì)算機(jī)終端訪問網(wǎng)絡(luò)時(shí)，天珣客戶端也會(huì)先檢查其自身安全基線與否合格，如果不合格，將限制其對網(wǎng)絡(luò)訪問。天珣客戶端準(zhǔn)入控制，創(chuàng)造性將每一臺(tái)計(jì)算機(jī)終端都變成準(zhǔn)入控制點(diǎn)，保證每臺(tái)計(jì)算機(jī)終端只接受安全可信計(jì)算機(jī)終端進(jìn)行訪問，并只能在安全基線合格時(shí)訪問網(wǎng)絡(luò)，實(shí)現(xiàn)最細(xì)粒度準(zhǔn)入控制。天珣客戶端具備網(wǎng)絡(luò)阻斷功能，在計(jì)算機(jī)終端安全基線不符合規(guī)定期，天珣客戶端能不依賴網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)上其她終端或設(shè)備獨(dú)立執(zhí)行網(wǎng)絡(luò)訪問阻斷。天珣客戶端更支持選取性阻斷，在計(jì)算機(jī)終端安全基線不符合規(guī)定期，天珣客戶端能依照管理員預(yù)先配備安全方略，通過進(jìn)程、端口、目的地址等條件，選取性地制止某些非緊急業(yè)務(wù)網(wǎng)絡(luò)訪問，而容許其她緊急業(yè)務(wù)網(wǎng)絡(luò)訪問。客戶端準(zhǔn)入控制布置建議客戶端準(zhǔn)入是天珣方略之一，客戶端所有完裝完畢之后通過下發(fā)一條簡直方略即可實(shí)現(xiàn)。本方案中建議啟動(dòng)管理網(wǎng)段內(nèi)客戶端準(zhǔn)入，同步注旨在IP組中排除網(wǎng)絡(luò)打印機(jī)、IP電話等特殊網(wǎng)絡(luò)設(shè)備，使其不影響顧客對這些設(shè)備使用。分工界面項(xiàng)目階段項(xiàng)目任務(wù)任務(wù)子項(xiàng)責(zé)任方職責(zé)分工啟明星辰XXXX院項(xiàng)目準(zhǔn)備組建項(xiàng)目組XXXX院、啟明星辰售前售后交接、指定專門售后服務(wù)人員、項(xiàng)目經(jīng)理和實(shí)行人員指派項(xiàng)目配合人員工程實(shí)行前準(zhǔn)備制定實(shí)行籌劃XXXX院、啟明星辰提出布置規(guī)定安排人員配合實(shí)行，確認(rèn)場地、網(wǎng)絡(luò)環(huán)境準(zhǔn)備XXXX院提出場地、環(huán)境規(guī)定確認(rèn)、支持實(shí)行階段現(xiàn)場驗(yàn)收啟明星辰對到貨設(shè)備進(jìn)行開箱清點(diǎn)驗(yàn)收對到貨設(shè)備進(jìn)行清點(diǎn)驗(yàn)收設(shè)備安裝調(diào)試設(shè)備上架啟明星辰規(guī)劃好物理位置、進(jìn)行設(shè)備上架安排人員配合設(shè)備加電啟明星辰對設(shè)備進(jìn)行加電測試系統(tǒng)布置啟明星辰提出布置規(guī)定并按規(guī)定進(jìn)行系統(tǒng)布置安排人員配合項(xiàng)目進(jìn)度報(bào)告啟明星辰對項(xiàng)目進(jìn)度做出及時(shí)匯總和報(bào)告現(xiàn)場培訓(xùn)啟明星辰對XXXX院技術(shù)人員進(jìn)行現(xiàn)場培訓(xùn)接受培訓(xùn)初步驗(yàn)收提交驗(yàn)收方案啟明星辰提交方案和流程確認(rèn)進(jìn)行設(shè)備驗(yàn)收（到貨驗(yàn)收）XXXX院、啟明星辰參加到貨驗(yàn)收試運(yùn)營系統(tǒng)聯(lián)合調(diào)試啟明星辰提供必要協(xié)助提出需求故障響應(yīng)啟明星辰對系統(tǒng)問題進(jìn)行響應(yīng)并設(shè)備故障進(jìn)行排除對故障進(jìn)行申報(bào)系統(tǒng)終驗(yàn)系統(tǒng)竣工驗(yàn)收驗(yàn)收方案提交啟明星辰提交方案和流程對方案和流程進(jìn)行確認(rèn)竣工驗(yàn)收XXXX院、啟明星辰參加驗(yàn)收組織驗(yàn)收保修期啟明星辰三年技術(shù)支撐服務(wù)對故障進(jìn)行申報(bào)

附件一：服務(wù)器安裝及數(shù)據(jù)管理服務(wù)器安裝方略服務(wù)器涉及中心服務(wù)器、本地服務(wù)器、補(bǔ)丁分發(fā)服務(wù)器、資產(chǎn)管理服務(wù)器、radius服務(wù)器、告警服務(wù)器等組件，所有功能服務(wù)器集中管理，組件可依照詳細(xì)狀況增減。數(shù)據(jù)庫采用SQLSERVER，統(tǒng)一管理報(bào)警日記及審計(jì)等數(shù)據(jù)。安裝環(huán)境及規(guī)定客戶端（Clients）計(jì)算機(jī)沒有很高系統(tǒng)規(guī)定。客戶端軟件(也被稱CC)可以被安裝在Windows32位系統(tǒng)之上，涉及WindowsSP4，WindowsServerSP1和WindowsXPSP2，WindowsXPSP3，WindowsVista，WindowsServer，Windows7數(shù)據(jù)庫 支持32位MicrosoftSQLServer，32/64位MicrosoftSQLServer，支持32位MicrosoftSQLServer中心服務(wù)器（Server）是整個(gè)方略架構(gòu)管理中心、方略中心。必要運(yùn)營SERVERSP1(32/64)或ServerSP1(32/64)平臺(tái)上。Windows64位服務(wù)器相應(yīng)用程序支持不是特別完善，也許中心服務(wù)器運(yùn)營過程中會(huì)浮現(xiàn)不可預(yù)測問題。中心服務(wù)器通過web方式管理，規(guī)定安裝IIS服務(wù)器。其對硬件規(guī)定高低應(yīng)依照所管理客戶端數(shù)量多少來定，其中，服務(wù)器安裝規(guī)定最低配備如下：硬件：CPU PIII1G或以上Memory 1G或以上硬盤 40G空閑軟件：WindowsServerSP1以上InternetInformationServices6.0以上DotNetFramework2.0MDAC2.7或以上中心服務(wù)器、資產(chǎn)服務(wù)器和襲擊告警服務(wù)器需要安裝SQLServer數(shù)據(jù)庫，可依照現(xiàn)場環(huán)境選取獨(dú)立安裝或集中安裝于中心服務(wù)器，若安裝于中心服務(wù)器，請保證中心服務(wù)器有足夠內(nèi)存和硬盤空間。建議將數(shù)據(jù)庫獨(dú)立安裝，這樣既不會(huì)由于數(shù)據(jù)庫讀寫頻繁影響中心服務(wù)器正常運(yùn)營，也不會(huì)由于中心服務(wù)器負(fù)載過重影響數(shù)據(jù)庫讀寫。服務(wù)器組件中心方略服務(wù)器所有方略集中存儲(chǔ)地方，系統(tǒng)中唯一Web管理控制臺(tái)也與中心服務(wù)器集成在一起。管理員從Web管理控制臺(tái)登錄到CenterServer，進(jìn)行方略配備，報(bào)表查詢。CenterServer同步兼作一種LocalServer。本地方略服務(wù)器本地方略服務(wù)器是客戶端尋常取方略地方，也是客戶端發(fā)送報(bào)表目地。本地方略服務(wù)器從CenterServer同步得到方略。設(shè)立本地方略服務(wù)器目是為了適應(yīng)公司大區(qū)域分布式分級(jí)管理架構(gòu)。本地方略服務(wù)器從中心方略服務(wù)器獲取方略，客戶端直接與本地方略服務(wù)器通訊。資產(chǎn)管理服務(wù)器資產(chǎn)管理是對電腦軟硬件資產(chǎn)進(jìn)行記錄分析，并跟蹤記錄設(shè)備變更信息，達(dá)到對IT資產(chǎn)高效、便捷管理。Radius服務(wù)器Radius服務(wù)器是天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)網(wǎng)絡(luò)準(zhǔn)入必要組件。結(jié)合各類LDAP認(rèn)證，使用802.1x合同或EOU合同在互換機(jī)網(wǎng)絡(luò)端口實(shí)行網(wǎng)絡(luò)準(zhǔn)入認(rèn)證，保證只有通過認(rèn)證客戶端接入并訪問網(wǎng)絡(luò)。襲擊告警服務(wù)器襲擊告警服務(wù)器兼作為襲擊日記告警服務(wù)器和終端審計(jì)日記服務(wù)器，收集由客戶端發(fā)來襲擊告警信息和終端審計(jì)信息。并在中心服務(wù)器管理界面，可進(jìn)行記錄和分類查詢。軟件分發(fā)服務(wù)器通過軟件分發(fā)服務(wù)器可建立軟件安裝包，可依照目的地址或地址段、指定期間段分發(fā)MSI軟件包或自定義應(yīng)用軟件包。HOD遠(yuǎn)程桌面服務(wù)器HOD遠(yuǎn)程桌面服務(wù)器用于記錄在線遠(yuǎn)程桌面管理員有關(guān)信息，為其關(guān)聯(lián)管理網(wǎng)段后，管理網(wǎng)段內(nèi)顧客就可使用客戶端集成遠(yuǎn)程桌面客戶端，向在線管理員發(fā)起遠(yuǎn)程桌面協(xié)助祈求。方略網(wǎng)關(guān)組件作為系統(tǒng)及應(yīng)用準(zhǔn)入準(zhǔn)入控制點(diǎn)，檢查訪問者客戶端運(yùn)營狀態(tài)，與客戶端配合強(qiáng)制顧客滿足方略。方略網(wǎng)關(guān)從方略網(wǎng)關(guān)代理上取方略網(wǎng)關(guān)方略。有時(shí)方略網(wǎng)關(guān)方略又叫插件方略。方略網(wǎng)關(guān)分為中性方略網(wǎng)關(guān)和IIS、ISAProxy、Email、DNS等插件方略網(wǎng)關(guān)。方略網(wǎng)關(guān)代理方略網(wǎng)關(guān)管理者。所有方略網(wǎng)關(guān)都直接連接到方略網(wǎng)關(guān)代理，從方略網(wǎng)關(guān)代理獲取方略，接受管理。而方略網(wǎng)關(guān)代理直接指向方略服務(wù)器，并從方略服務(wù)器獲取方略。連接到同一種方略網(wǎng)關(guān)代理所有方略網(wǎng)關(guān)使用相似方略。設(shè)立方略網(wǎng)關(guān)代理這個(gè)角色目是簡化方略網(wǎng)關(guān)配備，由于有時(shí)一種公司需要安裝各種方略網(wǎng)關(guān)，而每個(gè)方略網(wǎng)關(guān)方略相似。同步，各個(gè)插件方略網(wǎng)關(guān)可互相共享CC狀態(tài)，如CC1在插件1上通過了認(rèn)證，那么通過插件2訪問時(shí)就無需第2次認(rèn)證，提高系統(tǒng)性能。中性方略網(wǎng)關(guān)中性方略網(wǎng)關(guān)，也叫做中性插件，是安裝在任意X32位Windows//服務(wù)器或Linux服務(wù)器上，執(zhí)行應(yīng)用準(zhǔn)入控制，它與安裝服務(wù)器操作系統(tǒng)關(guān)于，而與該服務(wù)器運(yùn)營何種應(yīng)用無關(guān)。當(dāng)終端訪問到該服務(wù)器，都需要進(jìn)行安全基線檢查，若不符合安全方略，將被回絕訪問該服務(wù)器，并給出提示信息（只有基于http訪問，才干對的提示）。其中安全基線涉及與否安裝客戶端軟件、安裝客戶端軟件終端與否達(dá)到安全方略規(guī)定。IIS方略網(wǎng)關(guān)布置在IIS服務(wù)器上，對所有訪問該WEB服務(wù)器終端實(shí)行應(yīng)用準(zhǔn)入控制，檢查終端與否符合安全方略，若不符合方略，則回絕訪問，并給出提示信息。ISA方略網(wǎng)關(guān)對所有通過ISA服務(wù)器上網(wǎng)終端，實(shí)行應(yīng)用準(zhǔn)入控制，若不符合安全方略，則不容許終端通過ISA訪問INTERNET，并給出提示信息。EXCHANGE方略網(wǎng)關(guān)布置在Exchange郵件服務(wù)器上，對訪問EXCHANGE郵件服務(wù)器終端實(shí)行應(yīng)用準(zhǔn)入控制，檢查客戶端與否符合安全方略。對于不符合安全方略終端，Exchange方略網(wǎng)關(guān)將阻斷其郵件服務(wù)，并給出提示信息。（只支持EXCHANGE郵件服務(wù)器）DNS方略網(wǎng)關(guān)及旁路監(jiān)聽式DNS方略網(wǎng)關(guān)普通DNS方略網(wǎng)關(guān)布置在DNS服務(wù)器上，對需要進(jìn)行DNS域名解析終端實(shí)行準(zhǔn)入控制，檢查終端與否符合安全方略，對于不符合安全方略終端，DNS方略網(wǎng)關(guān)將阻斷其DNS祈求，并給出提示信息。如果是旁路監(jiān)聽式DNS方略網(wǎng)關(guān)，則可布置在DNS服務(wù)器上也可布置在互聯(lián)網(wǎng)出口某臺(tái)服務(wù)器上對所有DNS祈求進(jìn)行監(jiān)聽。如果是在DNS服務(wù)器上，那么功能與老式DNS方略網(wǎng)關(guān)相似，如果不是，那么旁聽式DNS網(wǎng)關(guān)必要安裝在鏈接互聯(lián)網(wǎng)出口互換機(jī)上某臺(tái)互換機(jī)上，對這臺(tái)互換機(jī)上其她端口DNS祈求進(jìn)行鏡像，并在旁聽式DNS網(wǎng)關(guān)端口上進(jìn)行監(jiān)聽，對需要進(jìn)行DNS解析終端實(shí)行準(zhǔn)入控制，檢查終端與否符合安全方略，對于不符合安全方略終端，旁聽式DNS方略網(wǎng)關(guān)將阻斷其DNS祈求，并給出提示信息。安裝環(huán)節(jié)天珣服務(wù)器安裝共有兩種安裝選項(xiàng)：迅速安裝和自定義安裝。插入光盤，自動(dòng)運(yùn)營安裝光盤中Autorun.exe后浮現(xiàn)如下主安裝界面：迅速安裝迅速安裝默認(rèn)安裝服務(wù)器如下組件：中心方略服務(wù)器、資產(chǎn)服務(wù)器、中心同步服務(wù)器、天珣服務(wù)狀態(tài)監(jiān)控服務(wù)、遠(yuǎn)程桌面服務(wù)器、襲擊告警服務(wù)器、RADIUS服務(wù)器、方略網(wǎng)關(guān)代理、中性/DNS方略網(wǎng)關(guān)、軟件分發(fā)服務(wù)器。迅速安裝選項(xiàng)目是一次安裝所有服務(wù)器有關(guān)組件及DNS準(zhǔn)入控制組件，如果布置在網(wǎng)絡(luò)出口，則可運(yùn)用DNS準(zhǔn)入達(dá)到即插即用效果。對中小應(yīng)用環(huán)境，咱們方案首推這種即插即用布置。迅速安裝布置迅速安裝將天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)安裝光盤放入光驅(qū)，可直接進(jìn)入安裝選取界面。請點(diǎn)擊“迅速安裝”。進(jìn)入天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)服務(wù)器迅速安裝界面安裝程序檢測系統(tǒng)環(huán)境系統(tǒng)必要安裝“MDAC2.7或以上版本”,“IIS”和“DotNetFramework2.或者以上版本”。如果系統(tǒng)尚未安裝上述系統(tǒng)組件，則不能進(jìn)行下一步操作。可以點(diǎn)擊旁邊“安裝”按鈕安裝所需系統(tǒng)組件。系統(tǒng)組件所用SQLServer可以選取連接到本機(jī)或者其他機(jī)器SQLServer。如果您想將系統(tǒng)組件所用SQLServer布置在本機(jī)，本機(jī)又沒有安裝SQLServer。您可以選取安裝SQLServer。您也可以選取點(diǎn)擊檢測界面SQLServer旁邊“安裝”按鈕，運(yùn)營安裝光盤帶里SQLSERVEREXPRESS版本。（注意：SQLServerExpress是由微軟公司開發(fā)SQLServer縮減版，這個(gè)版本是免費(fèi)，單個(gè)數(shù)據(jù)庫大小限制為4G）。安裝完SQLSERVEREXPRESS之后，安裝檢測程序會(huì)自動(dòng)啟動(dòng)SQLServer1433監(jiān)聽端口。（注意：如果系統(tǒng)已經(jīng)安裝SQL數(shù)據(jù)庫，天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)安裝程序是不會(huì)協(xié)助SQLServer打開1433監(jiān)聽端口）。安裝過程中，系統(tǒng)會(huì)提示顧客選取安裝組件途徑，并需要管理員指定中心服務(wù)器IP地址、初始管理網(wǎng)段地址等信息。指定服務(wù)器安裝途徑，安裝組件所在盤符空閑空間必要不不大于2G，默認(rèn)安裝在C盤，顧客可以依照自己硬盤大小和需求變化安裝盤符和途徑。指定中心服務(wù)器IP地址，系統(tǒng)默認(rèn)選取正在運(yùn)營安裝程序主機(jī)IP地址為中心服務(wù)器IP地址。系統(tǒng)使用端口為8833，請保證8833端口未被其她應(yīng)用占用；設(shè)立中心服務(wù)器中初始管理網(wǎng)段地址，系統(tǒng)預(yù)置是：運(yùn)營本安裝程序服務(wù)器所在網(wǎng)段。選取使用管理模式；Windows集成認(rèn)證：在登錄web管理界面時(shí)使用與windows系統(tǒng)帳號(hào)集成認(rèn)證方式，如windows默認(rèn)系統(tǒng)管理員帳號(hào)為administrator，那么天珣登錄web管理界面時(shí)也同樣使用這個(gè)帳號(hào)及密碼。當(dāng)需要在天珣系統(tǒng)中創(chuàng)立其她管理帳號(hào)時(shí)，必要同步在windows系統(tǒng)帳號(hào)中建立相似帳號(hào)和相似密碼。三權(quán)分立模式：三權(quán)分立模式中，天珣系統(tǒng)默認(rèn)管理員帳號(hào)/密碼為administrator/12345678，使用此帳號(hào)登錄后，再行創(chuàng)立系統(tǒng)操作員帳號(hào)，并使用系統(tǒng)操作員帳號(hào)登錄web管理界面進(jìn)行方略配備。此模式與windows系統(tǒng)帳號(hào)無關(guān)。設(shè)立所用SQLServer連接參數(shù)；請確認(rèn)此處SQLSERVERIP地址和監(jiān)聽端口，以及對的sa密碼。（在安裝SQLSERVER時(shí)，請千萬記得使用混合認(rèn)證，并設(shè)定sa密碼，否則安裝程序無法登錄SQLSERVER數(shù)據(jù)庫）填寫創(chuàng)立數(shù)據(jù)庫顧客帳號(hào)。預(yù)置顧客名是tx_user安裝程序?qū)⑻崾灸x取授權(quán)文獻(xiàn)License.dat途徑。License.dat文獻(xiàn)請與啟明星辰聯(lián)系獲取最新授權(quán)文獻(xiàn)。點(diǎn)擊“瀏覽”選取授權(quán)文獻(xiàn)途徑，選取有效授權(quán)文獻(xiàn)安裝檢查完畢，點(diǎn)擊“安裝”進(jìn)行迅速安裝布置；迅速安裝安裝完各組件之后，安裝程序會(huì)自動(dòng)運(yùn)營客戶端打包程序進(jìn)行客戶端安裝包制作；其中可以自行設(shè)立中心服務(wù)器地址，指定客戶端安裝目錄以及客戶端安裝模式?？偣部稍O(shè)立三種安裝模式，以普通模式安裝時(shí)會(huì)浮現(xiàn)提示對話框，需由顧客進(jìn)行“確認(rèn)顧客允許”、“選取安裝目錄”等操作；以自動(dòng)模式安裝時(shí)會(huì)浮現(xiàn)安裝界面，不需要顧客進(jìn)行任何操作，客戶端將自動(dòng)安裝至默認(rèn)目錄；以靜默模式安裝時(shí)，正常狀況下客戶端安裝過程中不會(huì)有任何提示，也不會(huì)有安裝界面浮現(xiàn)，客戶端將自動(dòng)安裝至默認(rèn)目錄，如果安裝是帶防火墻模塊客戶端則安裝完畢后會(huì)有重新啟動(dòng)計(jì)算機(jī)提示。此外該打包程序還提供了各種選取，顧客可靈活選取客戶端安裝包與否包括802.1x互換機(jī)認(rèn)證模塊。闡明：打包客戶端工具使用以winrar軟件為前提，在安裝客戶端打包工具前請保證操作系統(tǒng)中已經(jīng)安裝有winrar軟件。制作客戶端包完畢之后。關(guān)掉客戶端打包工具程序。即彈出規(guī)定系統(tǒng)重啟界面。重啟系統(tǒng)。此時(shí)迅速安裝布置天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)已經(jīng)完畢。安裝完畢后，請先檢查%InstallFolder%\config\database目錄安全屬性，擬定該目錄及目錄下文獻(xiàn)能被System顧客及從Web登錄管理員修改或者已賦予everyone顧客完全控制權(quán)限。然后請進(jìn)入服務(wù)控制器，若系統(tǒng)已經(jīng)自動(dòng)添加并運(yùn)營“ESCenterServer”服務(wù)，則表白中心服務(wù)器已經(jīng)安裝配備成功。在天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)中心服務(wù)器默認(rèn)安裝目錄C:\ProgramFiles\Venustech\EndpointSecurity\ESServer中，Config目錄是天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)Web管理站點(diǎn)主目錄；Download目錄是下載服務(wù)根目錄，用于存儲(chǔ)天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)客戶端安裝包、系統(tǒng)補(bǔ)丁等有關(guān)文獻(xiàn)。安裝程序會(huì)自動(dòng)創(chuàng)立一種虛擬主機(jī)“天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)配備服務(wù)”，這個(gè)虛擬主機(jī)相應(yīng)上文所提到“C:\ProgramFiles\Venustech\Endp