【正文】 天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)實(shí)施方案（）啟明星辰Beijing Venustech Cybervision Co., Ltd.2014 年 10月55 / 57目錄1 系統(tǒng)實(shí)施原則 1 最大限度降低對(duì)用戶的影響 1 全面細(xì)致規(guī)劃，分步實(shí)施 1 安全策略從簡(jiǎn)到繁，安全級(jí)別步進(jìn)式提高 22 實(shí)施計(jì)劃 23 管理服務(wù)器部署 3 總部管理服務(wù)器部署 3 廠所獨(dú)立管理服務(wù)器部署 4 部署實(shí)施建議 5 管理服務(wù)器與客戶端通信要求 5 數(shù)據(jù)存儲(chǔ)建議 9 管理員權(quán)限劃分 9 服務(wù)器安裝及數(shù)據(jù)管理 94 客戶端部署 10 通過應(yīng)用準(zhǔn)入方式部署客戶端 10 應(yīng)用準(zhǔn)入控制部署 10 建設(shè)期客戶端部署 11 維護(hù)期客戶端部署 115 準(zhǔn)入控制實(shí)施 11 應(yīng)用準(zhǔn)入控制實(shí)施 12 網(wǎng)絡(luò)準(zhǔn)入控制實(shí)施 15 風(fēng)險(xiǎn)與災(zāi)備 21 客戶端準(zhǔn)入部署 27 客戶端準(zhǔn)入控制部署建議 286 分工界面 297 附件一：服務(wù)器安裝及數(shù)據(jù)管理 311 系統(tǒng)實(shí)施原則 最大限度降低對(duì)用戶的影響部署終端安全管理系統(tǒng)的根本目的，是借助系統(tǒng)所提供的準(zhǔn)入控制的技術(shù)手段，確保接入的電腦是合法的和符合XX研究院安全策略要求的，最大限度降低不安全的客戶端電腦對(duì)XX研究院網(wǎng)絡(luò)和信息資源帶來(lái)的風(fēng)險(xiǎn)和威脅，保證XX研究院每一個(gè)用戶的電腦始終處于良好的運(yùn)行狀態(tài)，大大降低故障發(fā)生概率，從而保證每個(gè)用戶都能夠完全專注在自己的本職業(yè)務(wù)工作，并大大提高每一個(gè)用戶的工作效率。因此，選擇和部署終端安全管理系統(tǒng)時(shí)，在確保XX研究院安全策略的有效執(zhí)行的前提下，要最大限度降低對(duì)電腦用戶在日常工作中的影響，例如減少終端用戶在系統(tǒng)的使用過程中的不必要的操作和介入，在用戶違反安全策略時(shí)進(jìn)行友好提示，尊重和保護(hù)個(gè)人隱私，為用戶安全網(wǎng)絡(luò)訪問和信息交換保駕護(hù)航。 全面細(xì)致規(guī)劃，分步實(shí)施終端安全管理系統(tǒng)，作為XX研究院網(wǎng)絡(luò)安全的基礎(chǔ)架構(gòu)中非常重要的客戶端電腦安全管理平臺(tái)，將涉及到XX研究院內(nèi)部每一臺(tái)接受管理的電腦和每一個(gè)用戶，涉及面廣，影響面大。當(dāng)然，為了根本上解決客戶端電腦的安全管理問題，這樣的系統(tǒng)的部署也勢(shì)在必行，因此在系統(tǒng)部署前需要對(duì)系統(tǒng)的實(shí)施過程、安全策略的制定和安全管理制度的建立，進(jìn)行全面系統(tǒng)地規(guī)劃，并在實(shí)施過程中，根據(jù)實(shí)際環(huán)境進(jìn)行適時(shí)調(diào)整，從而保證系統(tǒng)和安全策略在XX研究院內(nèi)部順利執(zhí)行下去，實(shí)現(xiàn)項(xiàng)目預(yù)期的目標(biāo)，保障內(nèi)部網(wǎng)絡(luò)具有更高可用性和客戶端電腦的更高安全性。部署前需要規(guī)劃的內(nèi)容包括：內(nèi)部網(wǎng)絡(luò)和用戶的安全分級(jí)和規(guī)劃，系統(tǒng)部署的次序和周期，針對(duì)不同部門或用戶角色的安全策略組合，系統(tǒng)安全策略的動(dòng)態(tài)調(diào)整等等。安全不是一蹴而就的，由于該系統(tǒng)涉及面較廣，因此系統(tǒng)的實(shí)施需要全面規(guī)劃，分步實(shí)施，循序漸進(jìn)，真正發(fā)揮系統(tǒng)的安全保護(hù)和主動(dòng)防御的功效。 安全策略從簡(jiǎn)到繁，安全級(jí)別步進(jìn)式提高由于XX研究院分支機(jī)構(gòu)、部門和人員較多，對(duì)應(yīng)每一個(gè)角色的安全保護(hù)級(jí)別要求也層次各異，如果為了保證最高的安全性，使用同樣一種嚴(yán)格的安全策略，或者為了降低安全管理的工作量，簡(jiǎn)單的執(zhí)行一類基本安全策略，都是不合適的。在規(guī)劃中要預(yù)先基于用戶角色確定每個(gè)部門、用戶或分支機(jī)構(gòu)，確定對(duì)應(yīng)的最合適的安全策略組合，作為系統(tǒng)最終實(shí)現(xiàn)的安全管理目標(biāo)。在實(shí)施過程中，再按照由簡(jiǎn)到繁的次序，先實(shí)施所有用戶都必須遵守的安全策略，然后再根據(jù)不同分支機(jī)構(gòu)、部門和用戶，步進(jìn)式下發(fā)和執(zhí)行各級(jí)安全策略，從而實(shí)現(xiàn)安全級(jí)別步進(jìn)式提高，構(gòu)建立體的、混合模式的終端安全策略管理體系。2 實(shí)施計(jì)劃內(nèi)網(wǎng)終端合規(guī)管理提升是一個(gè)循序漸進(jìn)和不斷完善的過程，要兼顧“安全性”和“便利性”，合規(guī)管理應(yīng)“先弱后強(qiáng)”，實(shí)施策略應(yīng)“先易后難”的原則，消除來(lái)自業(yè)務(wù)部門和終端員工的抵觸情緒和壓力。因此在安裝過程中，我們嚴(yán)格遵循天珣安裝“三步走”原則，即：a) 通過應(yīng)用準(zhǔn)入推動(dòng)客戶端部署安裝，通過友好的提示界面以及強(qiáng)度稍弱的準(zhǔn)入控制方式，善意的提醒用戶主動(dòng)安裝天珣客戶端，并提供給用戶下載地址，由其去下載和安裝b) 配置策略管理受控終端使其進(jìn)行自身安全狀態(tài)的完善，目標(biāo)則是讓內(nèi)網(wǎng)受控終端成為合規(guī)安全的終端，保證內(nèi)網(wǎng)安全建設(shè)成功而高效c) 啟用網(wǎng)絡(luò)準(zhǔn)入，在用戶熟悉天珣準(zhǔn)入控制系統(tǒng)的特性后再啟用網(wǎng)絡(luò)準(zhǔn)入，將會(huì)受到最小的阻力，最終完成整個(gè)準(zhǔn)入體系的關(guān)鍵一步當(dāng)然，也會(huì)有一些部門或區(qū)域的安全保護(hù)等級(jí)要求沒有這么高，這時(shí)我們可以對(duì)其采用適合自己的準(zhǔn)入控制方式和安全策略，從而使的整個(gè)項(xiàng)目更加人性化。項(xiàng)目時(shí)間表3 管理服務(wù)器部署 總部管理服務(wù)器部署院本部?jī)?nèi)廠所內(nèi)：兩種方式部署管理服務(wù)器，一種是邏輯上的集中管理分級(jí)授權(quán)方式，另一種完全獨(dú)立的策略管理服務(wù)器方式。天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)支持多策略服務(wù)器架構(gòu)。每個(gè)服務(wù)器服務(wù)一個(gè)或多個(gè)園區(qū)。而這些服務(wù)器可以相互備份，在一個(gè)統(tǒng)一的控制臺(tái)接受集中管理。如果一臺(tái)服務(wù)器宕機(jī)，其服務(wù)的用戶會(huì)自動(dòng)被其他的服務(wù)器接管。每一個(gè)管理網(wǎng)段的電腦都有3次從服務(wù)器獲取規(guī)則的機(jī)會(huì)，它們首先會(huì)從Primary的策略服務(wù)器獲取規(guī)則，如果失敗，則從Secondary的策略服務(wù)器獲取規(guī)則，如果再失敗，則從中心服務(wù)器獲取規(guī)則，如果還是失敗，則使用客戶端本地緩存的規(guī)則。分布式多服務(wù)器架構(gòu)使天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)具有優(yōu)秀的容錯(cuò)性、可伸縮性，支持的客戶端數(shù)量從數(shù)百個(gè)到數(shù)萬(wàn)以至更多，而部署極為平滑，性能不受影響。在本次實(shí)施中，需要部署三臺(tái)策略服務(wù)器，一臺(tái)中心服務(wù)器，兩臺(tái)本地服務(wù)器。三臺(tái)策略服務(wù)器都安裝在中心機(jī)房，要求本次實(shí)施的所有的客戶端電腦及策略網(wǎng)關(guān)都可以通過TCP/IP協(xié)議的7890端口訪問到策略服務(wù)器。因?yàn)橹行姆?wù)器有日常的管理負(fù)荷，建議中心服務(wù)器管理3000臺(tái)終端電腦，本地服務(wù)器管理7000臺(tái)終端電腦。對(duì)于任何一個(gè)管理網(wǎng)段，如果其Primary Server為其中一臺(tái)，則其Secondary Server將被設(shè)為另外一臺(tái)。中心服務(wù)器兩臺(tái)本地服務(wù)器管理網(wǎng)段一管理網(wǎng)段二PrimarySecondaryPrimarySecondary 廠所獨(dú)立管理服務(wù)器部署獨(dú)立廠所：完全獨(dú)立的策略管理服務(wù)器方式。在分布式多服務(wù)器架構(gòu)下，中心服務(wù)器是整個(gè)系統(tǒng)策略集中存放的地方，本地服務(wù)器是進(jìn)行日常的策略分發(fā)的地方。全系統(tǒng)只需要一個(gè)中心服務(wù)器，可以有多個(gè)本地服務(wù)器，中心服務(wù)器可以兼作本地服務(wù)器。在本次實(shí)施中，兩臺(tái)策略服務(wù)器都在院總部的直接管理下，由總部的管理員進(jìn)行管理。在今后的實(shí)施中，可以在各下級(jí)廠所架設(shè)本地服務(wù)器，由總部的管理員進(jìn)行全局控制，而由各廠所的管理員進(jìn)行本地化的管理。從投資成本上考慮，建議本項(xiàng)服務(wù)器都在集中部署在院總部信息中心更有利，院下屬各廠所多集中在園區(qū)網(wǎng)內(nèi)網(wǎng)絡(luò)帶寬足以滿足集中心管理的需要，因此推薦集中管理的部署方式。 部署實(shí)施建議 管理服務(wù)器與客戶端通信要求CC與管理服務(wù)器的通信列表。類別源源端口目標(biāo)目標(biāo)端口功能協(xié)議服務(wù)器類中心服務(wù)器any客戶端7891主動(dòng)下發(fā)策略UDP中心服務(wù)器any客戶端7891策略預(yù)檢查UDP中心服務(wù)器any本地服務(wù)器7892主動(dòng)同步服務(wù)器策略TCP中心服務(wù)器any策略網(wǎng)關(guān)代理7893同步代理策略UDP中心服務(wù)器anyradius服務(wù)器7897更新radius策略UDP補(bǔ)丁同步服務(wù)器any外網(wǎng)補(bǔ)丁服務(wù)器8800同步補(bǔ)丁TCP策略網(wǎng)關(guān)代理any中心服務(wù)器7890獲取代理策略TCPradius服務(wù)器any中心服務(wù)器7890獲取radius策略TCP策略網(wǎng)關(guān)any策略網(wǎng)關(guān)代理7893攔截訪問，通知代理TCP策略網(wǎng)關(guān)代理any客戶端7891發(fā)送檢查請(qǐng)求UDPradius服務(wù)器any交換機(jī)18121813發(fā)送認(rèn)證結(jié)果UDP交換機(jī)anyradius服務(wù)器18121813轉(zhuǎn)發(fā)認(rèn)證請(qǐng)求UDP交換機(jī)any客戶端16451646下發(fā)ACLUDPradius服務(wù)器any域服務(wù)器443轉(zhuǎn)發(fā)用戶認(rèn)證TCP中心服務(wù)器anyserver monitor7896收集系統(tǒng)組件運(yùn)行狀態(tài)TCP客戶端類客戶端any中心服務(wù)器7890心跳UDP客戶端any中心服務(wù)器7890取策略TCP客戶端any中心服務(wù)器7898SSL取策略TCP客戶端any中心服務(wù)器7890。7898客戶端注冊(cè)TCP客戶端any中心服務(wù)器8833web管理界面TCP客戶端any軟件分發(fā)服務(wù)器7901取分發(fā)任務(wù)TCP客戶端any軟件分發(fā)服務(wù)器7902取分發(fā)文件TCP客戶端any資產(chǎn)服務(wù)器7891上報(bào)資產(chǎn)TCP客戶端any攻擊告警服務(wù)器7899上報(bào)攻擊告警UDP客戶端any補(bǔ)丁同步服務(wù)器8833下載補(bǔ)丁TCP客戶端anyhod管理員5500。5400遠(yuǎn)程協(xié)助數(shù)據(jù)流TCP客戶端any按需支援服務(wù)器7895發(fā)起支援請(qǐng)求TCPUTM類USGany客戶端1080發(fā)送攔截頁(yè)面TCP客戶端anyUSG1080接收攔截頁(yè)面TCPUSGany策略網(wǎng)關(guān)代理7893