終端安全管控驗收報告

1、文檔信息 文檔名稱亞信安全 Deep Edge 實施方案_ 保密級別公開文檔版本編號 V1.0 擬定人擬定日期 復(fù)審人復(fù)審日期 批準人批準日期 更改記錄 日期修改章節(jié)類型*修改描述修改人 2015-11-18C 文檔建立 * 修改類型分為 C - CREATED M - MODIFIED D - DELETED 終端安全管控驗收報告 文件類型：驗收文檔 撰寫日期：2016.06.12 撰寫部門： 作者 日期 文檔信息 文檔名稱終端安全管控驗收報告 保密級別公開文檔版本編號 V2.0 擬定人擬定日期 2016.06.12 復(fù)審人復(fù)審日期 批準人批準日期 更改記錄 日期修改章節(jié)類型*修改描述修改人

2、 2016-06-12C 文檔建立 * 修改類型分為 C - CREATED M - MODIFIED D - DELETED 目錄目錄 1.項目概述項目概述.3 1.1.項目背景.3 1.2.建設(shè)目標.4 2.實施產(chǎn)品簡介實施產(chǎn)品簡介.4 3.實施環(huán)境描述實施環(huán)境描述.5 4.驗收項目測試驗收項目測試.6 5.驗收結(jié)論驗收結(jié)論.8 1. 項目概述項目概述 1.1. 項目背景項目背景 近年來國際國內(nèi)網(wǎng)絡(luò)安全事件頻發(fā)，信息資源在不同程度上存在著各種各樣的安全風(fēng)險。 并且隨著信息技術(shù)的迅速發(fā)展和內(nèi)網(wǎng)中有效安全機制的缺乏，內(nèi)部漏洞對重要資源造成的的 威脅遠遠大于從互聯(lián)網(wǎng)穿越防火墻造成的入侵，而傳統(tǒng)的

3、防護技術(shù)如防火墻、IDS 等均無法 有效地進行防范。 隨著業(yè)務(wù)的拓展，網(wǎng)絡(luò)不斷的擴展和日趨復(fù)雜，對內(nèi)對外服務(wù)不斷增多，保障網(wǎng)絡(luò)的安 全運行是非常重要的。如果網(wǎng)絡(luò)在安全方面稍微有點漏洞，就有可能被黑客利用，截取帳號 密碼、更改或刪除數(shù)據(jù)，后果相當(dāng)嚴重，直接帶來無法估量的經(jīng)濟損失。采用網(wǎng)絡(luò)安全技術(shù) 和產(chǎn)品，部署網(wǎng)絡(luò)安全系統(tǒng)，可以極大地提高網(wǎng)絡(luò)系統(tǒng)的安全性，減少安全隱患，防止惡意 侵害的發(fā)生。 亞信科技致力于為廣大用戶提供信息網(wǎng)絡(luò)安全服務(wù)和解決方案，在長期的信息安全實踐 中，對內(nèi)網(wǎng)資源的保障有著深刻的體會，并將它完全融合于我們的安全設(shè)計理念和設(shè)計體系 之中。 在用戶的網(wǎng)絡(luò)安全設(shè)計過程中，我們在充分了

4、解用戶的網(wǎng)絡(luò)結(jié)構(gòu)和安全環(huán)境之上，對用 戶的安全需求進行了認真、細致的分析。在為用戶進行安全設(shè)計過程中，堅持深層防御戰(zhàn)略 的信息安全整體解決方案建議書 設(shè)計思想和設(shè)計理念，力圖實現(xiàn)對用戶網(wǎng)絡(luò)系統(tǒng)全方位、多 層次的安全體系，從主機、網(wǎng)絡(luò)和網(wǎng)絡(luò)邊界幾個層面為用戶建設(shè)一個安全的網(wǎng)絡(luò)環(huán)境，保障 系統(tǒng)的正常運作。 本方案首先介紹我們的安全設(shè)計理念和設(shè)計原則，正確的安全技術(shù)理念是安全方案的靈 魂和基礎(chǔ)，更是方案中產(chǎn)品選擇的根據(jù)。沒有理念指導(dǎo)的方案本身就是不安全、不可靠的。 在對用戶的網(wǎng)絡(luò)環(huán)境和安全需求進行全面分析后，本方案提出了我們針對用戶的安全解決方 案并對方案進行了詳細描述和特點介紹。最后，用戶還可以從

5、本方案中得到上述建議方案的 配置細節(jié)。我們在為用戶提供本方案的同時，還在附件中對上述方案中相關(guān)配置所涉及到的 產(chǎn)品進行了詳細的描述。 亞信網(wǎng)絡(luò)準入控制管理系統(tǒng)，是專業(yè)應(yīng)用于各型網(wǎng)絡(luò)的接入安全、訪問控制、終端信息 安全防護的整體解決方案，提供一整套成熟完善的網(wǎng)絡(luò)接入認證及合規(guī)檢測管理體系，系統(tǒng) 支持帶多種終端信息安全防護功能。系統(tǒng)支持基于 EoU、Portal、DHCP 等認證機制的準入控 制，輔助其它入網(wǎng)控制方法，形成整套嚴密的網(wǎng)絡(luò)準入控制管理系統(tǒng)，系統(tǒng)支持多終端的常 規(guī)、無線接入管理，系統(tǒng)技術(shù)先進，功能強大全面，產(chǎn)品標準化好通用性強，支持用戶現(xiàn)有 網(wǎng)絡(luò)與工作環(huán)境，提供多種入網(wǎng)認證模式，支持與

6、 AD 域等第三方系統(tǒng)的聯(lián)動，支持數(shù)據(jù)的統(tǒng) 一存儲與管理，支持系統(tǒng)的遠程管理與維護，支持模塊化分布式部署，提供專業(yè)團隊的支持 與服務(wù)，持續(xù)不斷的技術(shù)創(chuàng)新與產(chǎn)品更新，保持軟件部署后持久的生命力與活力，是用于國 家信息安全等級保護要求的最完善的網(wǎng)絡(luò)準入控制與信息安全防護一體化管理系統(tǒng)。 1.2. 建設(shè)目標建設(shè)目標 通過本次項目實施，在已部署了終端安全管控系統(tǒng)的局域網(wǎng)下，有效的對終端進行了系 統(tǒng)控制、上網(wǎng)行為管控。 2. 實施產(chǎn)品簡介實施產(chǎn)品簡介 亞信終端安全管控系統(tǒng)是將終端安全管理平臺、網(wǎng)絡(luò)接入控制平臺無縫結(jié)合，支持超大 規(guī)模的網(wǎng)絡(luò)快速部署，實現(xiàn)最完美優(yōu)化整合。 核心服務(wù)端：作為邏輯層的核心，在控

7、制臺和客戶端之間起著中心樞紐的作用； 數(shù)據(jù)庫系統(tǒng)：支持基于 MySQL 和 SqlServer 數(shù)據(jù)庫系統(tǒng)； 準入控制設(shè)備：可選的，干路方式或者旁路方式對于網(wǎng)絡(luò)接入控制的硬件設(shè)備； 終端安全管理平臺：系統(tǒng)整體人機交互平臺，優(yōu)秀的人性化是她最大的特點！ 客戶端：在被管理的計算機上運行的代理程序（Agent） 。 終端管理解決方案，提供多種模塊拆分供用戶選擇，適應(yīng)不同規(guī)模的網(wǎng)管理需求。管理 人員可以在信息中心通過服務(wù)端統(tǒng)一配置安全策略、匯總終端信息以及進行其它的管理維護 工作，并通過層級立即下發(fā)到所有終端，極大的提高了配置效率。為了便于多位管理人員在 網(wǎng)絡(luò)的不同位置實施不同的管理，終端管理系統(tǒng)提供

8、多控制臺機制，既保證了平臺的靈活、 易用又保證了平臺的安全、實效。 為了提供良好的可擴展性，平臺采用了經(jīng)典的三層（Client/Server/Database）架構(gòu)， 這種三層架構(gòu)使得該平臺可以提供強大的多級管理機制，用戶可以根據(jù)自己網(wǎng)絡(luò)的規(guī)模和復(fù) 雜程度，搭建不同形式的管理結(jié)構(gòu)，從而實現(xiàn)無規(guī)模限制的任意多級管理，可以支持跨越省、 市、區(qū)、縣多區(qū)域的統(tǒng)一管理。 3. 實施環(huán)境描述實施環(huán)境描述 干路網(wǎng)絡(luò)準入 旁路網(wǎng)絡(luò)準入 4. 驗收項目測試驗收項目測試 驗收項目驗收項目驗收項目 A產(chǎn)品安裝產(chǎn)品安裝 驗收內(nèi)容驗收步驟驗收目的驗收結(jié)果評估意見 部署終端安全管控系統(tǒng)： 干路模式 旁路模式 在不同部署模

9、式下檢查內(nèi) 網(wǎng)絡(luò)的連通性 驗收終端安全 管控系統(tǒng)靈活 支持兩種部署 模式 Pass Fail B產(chǎn)品初始設(shè)置產(chǎn)品初始設(shè)置 驗收內(nèi)容驗收步驟驗收目的驗收結(jié)果評估意見 產(chǎn)品激活插上加密狗，替換授權(quán)文件 驗收產(chǎn)品是否 成功激活 Pass Fail 準入設(shè)備設(shè)置手動添加準入設(shè)備，配置系統(tǒng)設(shè)驗收系統(tǒng)中是 Pass 置否成功加入準 入設(shè)備 Fail 管理終端用戶設(shè) 置 根據(jù)客戶網(wǎng)絡(luò)環(huán)境，設(shè)置管理終 端用戶 驗收終端用戶 管理設(shè)置 Pass Fail C管控功能驗收管控功能驗收 驗收內(nèi)容驗收步驟驗收目的驗收結(jié)果評估意見 網(wǎng)址過濾控制客戶端訪問黑白名單中的網(wǎng)址 驗收網(wǎng)址過濾 是否生效 Pass Fail 程序

10、過濾控制客戶端打開黑白名單中的程序 驗收程序過濾 是否生效 Pass Fail 窗口過濾控制 配置的過濾窗口被關(guān)閉/隱藏/結(jié) 束進程 客戶端打開這些程序 驗收窗口過濾 是否生效 Pass Fail IP 地址過濾控制 設(shè)置 IP 地址范圍并開啟 IP 地址 過濾 客戶端訪問設(shè)置的 IP 并觀察效 果。 驗收 IP 地址 過濾是否生效 Pass Fail 端口過濾控制 設(shè)置端口地址范圍并開啟端口地 址過濾 客戶端訪問設(shè)置的端口并觀察效 果。 驗收端口過濾 是否生效 Pass Fail 網(wǎng)絡(luò)訪問控制 開啟禁止使用網(wǎng)絡(luò) 客戶端訪問互聯(lián)網(wǎng)并觀察效果。 驗收網(wǎng)絡(luò)訪問 控制是否生效 Pass Fail 日

11、志記錄設(shè)置 開啟日志類型開關(guān) 測試并觀察該類型相關(guān)日志 驗收日志功能 是否生效 Pass Fail 設(shè)備控制 勾選禁止 U 盤、光驅(qū)等，保存策 略 在終端插入 U 盤進行測試 驗收設(shè)備控制 是否生效 Pass Fail 系統(tǒng)設(shè)置 打開系統(tǒng)設(shè)置勾選禁止修改 IP、計算機名、QQ 外發(fā)文件 在終端修改計算機 IP、計算機 名， 使用 QQ 外發(fā)文件 驗收系統(tǒng)設(shè)置 是否生效 Pass Fail 節(jié)能降耗 設(shè)置時間段（具體數(shù)值） ，開啟 節(jié)能降耗； 觀察節(jié)能降耗的效果 驗收節(jié)能降耗 是否生效 Pass Fail 打印控制 開啟禁止使用所有打印機； 客戶端打印文檔并觀察效果； 同理測試只允許使用下列打印機。 驗收打印控制 是否生效 Pass Fail 合規(guī)檢查策略 常規(guī)檢測中設(shè)置相關(guān)選項、開啟 合規(guī)檢測； 驗收合規(guī)檢查 策略是否生效 Pass Fail 測試并觀察效果。 文件備份與還原 設(shè)置備份的目錄及文件格式等相 關(guān)信息、開啟備份還原； 測試并觀察效果。 驗收文件備份 與還原是否生 效 Pass Fail 虛擬桌面策略 設(shè)置節(jié)點