【正文】 網(wǎng)絡準入控制和桌面安全管理系統(tǒng)整體解決方案建議書網(wǎng)絡準入控制和桌面安全管理系統(tǒng)整體解決方案建議書網(wǎng)絡準入控制和桌面安全管理系統(tǒng)方案建議目 錄1. 建設網(wǎng)絡準入控制和桌面安全管理系統(tǒng)的必要性 42. 解決方案總體設計思路方案設計原則 5. 方案設計原則 5. 統(tǒng)一的集成化管理平臺 6. 支持多廠商/多平臺 73. UniAccessTM終端安全管理系統(tǒng)架構 7. UniAccessTM的終端安全管理總體思路 7. UniAccessTM的安全接入管理系統(tǒng)架構 8. UniAccessTM安全接入管理系統(tǒng)主要功能簡介 114. UniAccessTM網(wǎng)絡準入控制介紹及在XXXX部署建議 12. UniAccessTM網(wǎng)絡準入控制技術總體介紹 12. 準入控制系統(tǒng)部署后終端接入網(wǎng)絡的流程 13. 準入控制系統(tǒng)部署后的影響 13. UniAccessTM網(wǎng)絡準入控制技術 15. XXXX網(wǎng)絡準入控制系統(tǒng)部署建議 18. 準入控制系統(tǒng)總體部署建議 18. 總部、地區(qū)總部網(wǎng)絡準入控制建議 18. 中小型分支機構準入控制建議 215. 集中式桌面安全綜合管理 23. 資產(chǎn)/IT設備統(tǒng)計 23. 資產(chǎn)信息自動采集 23. 設備快速定位（交換機端口定位） 24. 客戶端設備注冊 25. 客戶端代理反卸載及管理員聯(lián)機卸載 27. 未安裝殺毒軟件客戶端報警 27. 配置變更管理 30. 未注冊設備及注冊程序卸載告警 33. 客戶端組件在線升級 34. Web方式客戶端注冊 35. 安全策略管理 37. 管理員權限管理和分組 37. 客戶端流量異常管理控制 38. 客戶端流量明細統(tǒng)計 39. 客戶端安全漏洞檢查 40. 軟件許可監(jiān)控（黑白名單） 41. 違規(guī)客戶端遠程阻斷 43. 非授權外連 43. 終端的網(wǎng)絡訪問行為審計與控制 44. 支持穿透客戶端防火墻 44. 報表和數(shù)據(jù)備份 44. 防止文件非法外傳控制 46. U盤/軟盤控制 46. MSN/文件外傳控制 46. 電子郵件方式外傳控制 47. WebMail方式外傳控制 47. 文件共享方式外傳控制 47. 離線控制 47. 補丁分發(fā)管理 48. 補丁斷點續(xù)傳 48. 補丁測試 48. 客戶端用戶手工安裝補丁 49. 補丁自動分發(fā)安裝 50. 軟件分發(fā)管理 51. 斷點續(xù)傳 51. 分發(fā)模式 52. 軟件分發(fā)過程監(jiān)控 52. 遠程協(xié)助與維護 53. 客戶機軟件部署 54. UniAccessTM的客戶機軟件部署技術 54. 客戶機軟件部署建議 556. 服務器配置與系統(tǒng)安裝、部署建議 56. UniAccessTM安全接入管理系統(tǒng)的部署優(yōu)勢 56. 服務器部署建議 56. UniAccessTM服務器硬件（1臺，必選項目） 58. Radius服務器（2臺，必選1臺） 58. 補丁下載服務器（1臺，可選） 59. 探測器(1臺，可選) 59. UniAccessTM Agent的特點及其部署方法 59. 系統(tǒng)部署時間 61第 71 頁 共 71 頁1. 建設網(wǎng)絡準入控制和桌面安全管理系統(tǒng)的必要性隨著證券行業(yè)信息化的飛速發(fā)展，業(yè)務和應用完全依賴于計算機網(wǎng)絡和計算機終端。但是計算機病毒、黑客木馬、間諜件進入桌面計算機，在計算機上安裝非法軟件，私自撥號上網(wǎng)，外來電腦接入XXXX計算機網(wǎng)絡，這些行為非常容易導致桌面計算機和計算機網(wǎng)絡系統(tǒng)的癱瘓。尤其是，最近幾年來，網(wǎng)絡安全威脅愈演愈烈，網(wǎng)絡攻擊工具越來越多樣，越來越容易獲得，所需要的技能越來越低，只需下載一個黑客程序就可以進行攻擊，漏洞利用的時間越來越短。攻擊的目的性，過去純粹為了比技術，現(xiàn)在商業(yè)目的越來越明顯。下面有一組數(shù)據(jù)，說明當前網(wǎng)絡安全的嚴峻形勢：，涉及政府機關、電信廣電、能源交通、金融證券、教育科研、商業(yè)和制造業(yè)等領域的全國信息網(wǎng)絡安全狀況暨計算機病毒疫情調(diào)查結果顯示：l 2005年，感染過計算機病毒的用戶數(shù)占被調(diào)查總數(shù)的80%l %l 2005年中國有將近90%的用戶遭受間諜軟件的襲擊另根據(jù)中國國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心公布的數(shù)據(jù)：2005年6月－9月國內(nèi)發(fā)現(xiàn)較大規(guī)模僵尸網(wǎng)絡59個，平均每天有3萬臺電腦被控制。XXXX計算機數(shù)量多，特別是員工個人使用的計算機，管理難度很大。計算機感染病毒，計算機被安裝木馬，部分員工使用BT下載工具等情況時有發(fā)生。由于難以發(fā)現(xiàn)有問題的電腦，難以對這些電腦進行定位，這些問題一旦發(fā)生，往往故障排查的時間非常長。如果同時有多臺計算機感染網(wǎng)絡病毒或者進行非法操作，非常容易導致網(wǎng)絡擁塞，導致我單位的業(yè)務無法正常開展。由于缺乏技術和管理手段，許多管理規(guī)定也難以執(zhí)行。例如：在個人使用的計算機內(nèi)安裝BT下載軟件，安裝網(wǎng)絡游戲軟件，私自更改電腦的安全設置，將外部的電腦接入單位的內(nèi)部網(wǎng)絡等行為。這些行為違反了單位的管理規(guī)定，也影響的計算機網(wǎng)絡的安全性，如果情況嚴重可能會導致網(wǎng)絡癱瘓。由于桌面計算機的數(shù)量非常多，地理位置分散，給日常的管理維護帶來了很大的困難，這些困難包括：l 難以對計算機的資產(chǎn)、配置進行統(tǒng)計；l 由于補丁、漏洞、升級等問題頻繁，維護工作量很大；l 計算機的使用人員技能不一，有些很小的問題都需要維護人員現(xiàn)場解決，降低了維護的效率；l 無法對計算機進行批量維護，例如：批量安裝軟件、批量打補丁、批量設置計算機的安全設置。建立網(wǎng)絡準入控制和桌面安全管理系統(tǒng)的意義在于：解決大批量的計算機安全管理問題。具體來說，這些問題包括：l 實現(xiàn)對網(wǎng)絡內(nèi)部所有的計算機接入網(wǎng)絡進行準入控制，防止外來電腦或者不符合規(guī)定的電腦接入內(nèi)部網(wǎng)絡中；l 實時、動態(tài)掌握網(wǎng)絡整體安全狀況，建立實時安全評估體系，掌握內(nèi)部各種接入設備（包括網(wǎng)絡設備、安全設備、服務器、桌面電腦）的安全運行狀況，為領導決策、部署安全工作任務提供支持，為安全維護工程師的提供管理維護便利；l 建立桌面電腦的集中式快速安全管理體系，對數(shù)量眾多，最難以管理、監(jiān)控的桌面電腦建立完善的安全評估、安全加固、集中維護體系，以提高桌面電腦的安全性及降低桌面電腦的日常維護工作量；l 確保單位的計算機使用制度得到落實，例如：撥號上網(wǎng)，使用外部郵箱，訪問非法網(wǎng)站，將單位機密COPY、發(fā)送文件到外部等；l 資產(chǎn)管理和控制，實現(xiàn)對所有個人用計算機的資產(chǎn)管理和控制。2. 解決方案總體設計思路方案設計原則. 方案設計原則首先，某認為有必要參考國際、國內(nèi)的安全管理經(jīng)驗，來設計XXXX的“網(wǎng)絡準入控制與終端安全管理系統(tǒng)”解決方案。BS7799作為英國政府頒發(fā)的一項信息系統(tǒng)安全管理規(guī)范，目前已經(jīng)成為全球公認的安全管理最佳實踐，成為全國大型機構在設計、管理信息系統(tǒng)安全時的實踐指南。BS7799認為，設計信息安全系統(tǒng)時，必須掌握以下安全原則：p 相對安全原則216。 沒有100%的信息安全，安全是相對的，在安全保護方面投入的資源是有限的216。 保護的目的是要使信息資產(chǎn)得以有效利用，不能為了保護而過度限制對信息資產(chǎn)的使用p 分級/分組保護原則216。 對信息系統(tǒng)分類，不同對象定義不同的安全級別216。 首先要保障安全級別高的對象p 全局性原則216。 解決安全問題不只是一個技術問題216。 要從組織、流程、管理上予以整體考慮、解決在設計XXXX“網(wǎng)絡準入控制與終端安全管理系統(tǒng)”解決方案時，非常有必要參考BS7799中的有關重要安全原則。BS7799中，除了安全原則之外，給出了許多非常細致的安全管理指導規(guī)范。在BS7799中有一個非常有名的安全模型，稱為PDCA安全模型。PDCA安全模型的核心思想是：信息系統(tǒng)的安全需求是不斷變化的，要使得信息系統(tǒng)的安全能夠滿足業(yè)務需要，必須建立動態(tài)的“計劃、設計和部署、監(jiān)控評估、改進提高”管理方法，持續(xù)不斷地改進信息系統(tǒng)的安全性。以下是圖 1 PDCA安全模型。圖 1 PDCA安全模型某認為，XXXX的終端安全管理，也將是一個持續(xù)、動態(tài)、不斷改進的過程，UniAccessTM安全接入管理系統(tǒng)將為XXXX提供統(tǒng)一的、集成化的平臺和工具，幫助XXXX對其終端進行統(tǒng)一的安全控制、安全評估、安全審計及安全改進策略部署。. 統(tǒng)一的集成化管理平臺XXXX的網(wǎng)絡準入控制與終端安全管理系統(tǒng)必須提供統(tǒng)一的、集成化管理平臺。解決方案要向IT系統(tǒng)管理員提供一個統(tǒng)一的登錄入口，有整體的終端安全視圖，呈現(xiàn)整個計算機網(wǎng)絡系統(tǒng)中所有終端設備的安全運行狀況。管理員不僅可以看到終端安全的運行狀況，終端的安全設置，也能夠看到終端的軟件配置、硬件配置、終端的物理位置等信息。通過統(tǒng)一的集成化的管理平臺，管理員可以完成所有與終端安全管理維護相關的各種任務，具體包括：l 網(wǎng)絡準入控制管理；l 設備快速定位；l 終端資產(chǎn)管理；l 終端的軟件分發(fā)；l 終端安全補丁管理；l 終端的遠程管理和維護；l 終端安全策略設置，包括：主機安全漏洞策略、防病毒安全策略、非法外聯(lián)策略、網(wǎng)絡訪問審計策略等的設置。統(tǒng)一的集成化管理平臺對管理員的各種操作，應提供審計功能，以備事后審計。. 支持多廠商/多平臺解決方案設計的系統(tǒng)要能夠?qū)崿F(xiàn)對主流廠商的網(wǎng)絡設備、多種桌面操作系統(tǒng)的支持，是一個采用國際、國家或者行業(yè)標準的開放系統(tǒng)，以便將來的網(wǎng)絡擴容、系統(tǒng)升級。3. UniAccessTM終端安全管理系統(tǒng)架構. UniAccessTM的終端安全管理總體思路我們建議XXXX選擇某公司研發(fā)的UniAccessTM安全接入管理產(chǎn)品作為XXXX的網(wǎng)絡準入控制與終端安全管理系統(tǒng)。UniAccessTM安全接入管理系統(tǒng)對電腦終端進行安全管理的總體思路是：首先，通過網(wǎng)絡準入控制技術，確保接入網(wǎng)絡的電腦終端符合如下要求：1） 必須安裝Agent，如果是未安裝Agent的電腦終端接入網(wǎng)絡，其打開WEB瀏覽器訪問任何Web site時，將被重定向到管理員指定的一個頁面，提醒其安裝Agent。不安裝Agent的電腦將無法訪問內(nèi)部網(wǎng)絡（特殊電腦和訪客電腦可以例外）。2） 必須符合網(wǎng)絡接入安全管理規(guī)定，例如：擁有合法的訪問帳號、安裝了指定的防病毒軟件、安裝了指定的操作系統(tǒng)補丁等。如果不符合管理規(guī)定，將拒絕其接入，或者通過網(wǎng)絡對該電腦進行自動隔離，并且指引其進行安全修復。然后，對安裝了Agent的電腦終端，進行進一步的管理控制，包括：1） 安全設置檢查、加固，非法操作的管理、限制2） 防止文件非法外傳(U盤/軟盤/共享/Email//MSN等)3） 電腦終端的集中式管理，例如，資產(chǎn)管理、軟件分發(fā)、遠程控制、補丁管理、分組策略分發(fā)、集中審計。再次，要防止電腦終端私自、非法卸載Agent或者停止Agent的運行,確保管理策略的執(zhí)行。1） Agent自帶反卸載、反非法中止、非法刪除功能；2） 如果電腦終端私自卸載Agent（如重新安裝操作系統(tǒng)）或者中止Agent的運行，UniAccessTM后臺系統(tǒng)可以及時發(fā)現(xiàn)這種行為。企業(yè)可以依據(jù)有關安全管理規(guī)范對其進行警告或者處罰，防范這種行為的再次發(fā)生。. UniAccessTM的安全接入管理系統(tǒng)架構下圖是某公司的UniAccessTM安全接入管理系統(tǒng)架構。圖 2 網(wǎng)絡準入控制與終端安全管理系統(tǒng)架構首先，UniAccessTM安全接入管理系統(tǒng)，通過網(wǎng)絡準入控制技術，對接入網(wǎng)絡的電腦終端進行實時安全檢查，檢查的內(nèi)容包括：1） 賬戶檢查：用戶名和密碼p 防止外來人員私自安裝一個相同的Agent后接入網(wǎng)絡2） 安全設置規(guī)范檢查: 終端的安全設置p 檢查系統(tǒng)賬戶，包括：Guest賬戶和弱口令檢查；p Windows域檢查，檢查終端是否加入指定的Windows域；p 檢查可寫共享設置，檢查終端是否設置了可寫或者沒有權限限制的可寫共享；p 檢查終端操作系統(tǒng)補丁安裝情況；p 檢查終端的防病毒安裝情況及其病毒特征庫是否及時升級；p 檢查終端是否有可疑的注冊表項；p 檢查終端是否有可疑的文件存在；p 檢查終端是否安裝了非法軟件。3） 終端注冊ID檢查: 檢查終端是否在內(nèi)部網(wǎng)絡注冊登記過網(wǎng)絡準入控制確保接入網(wǎng)絡的電腦終端是合法的、符合接入安全管理規(guī)范的電腦終端，而且是接受管理電腦終端。其次，對接入網(wǎng)絡的電腦終端，可以進行進一步的安全管理和控制，包括：1）安全加固，安全加固可以實現(xiàn)：對主機的賬戶口令、屏?？诹睢⒐蚕砟夸?、自動運行的服務進行安全加固，如提示用戶設置強口令、設置屏?？诹?，刪除寫共享目錄，停止一些危險的服務進程等。強制接入網(wǎng)絡的主機設備安裝規(guī)定的防病毒軟件，并且強制這些防病毒軟件及時更新最新病毒，以加強主機設備的自身抗病毒能力。自動為客戶端安裝最新補丁包，加強客戶端的抗攻擊能力。2）安全評估，對電腦終端的安全設置和運行狀態(tài)進行評估。管理員可以定義主機必須滿足什么樣的安全要求才能夠具備較強的抗攻擊能力，當不滿足時就認為主機是有安全漏洞的，這樣的主機是很容易受到安全攻擊的。比如賬戶口令是否是強口令；目錄是否有缺省可寫共享；是否運行了一些危險進程；通過檢查注冊表發(fā)現(xiàn)是否有已知的間諜軟件；是否安裝了最新補丁包；是否安裝了規(guī)定的防病毒軟件并及時更新了病毒特征庫。檢測每個客戶端的網(wǎng)絡訪問流量，確定是否有發(fā)送大量廣播包、流量異常大、網(wǎng)絡連接異常多的情況，對于這些異常情況及時向管理員報告，在大規(guī)模攻擊出現(xiàn)之前找到根源。3）安全審計，對內(nèi)部的桌面電腦的操作和網(wǎng)絡訪問行為進行審計。審計客戶端訪問Interent網(wǎng)、Email、文件拷貝、FTP等，防止企業(yè)機密信息泄漏。審計連接在內(nèi)部網(wǎng)絡的計算機是否同時打開一些組織不允許的方式，如Modem撥號、USB硬盤、同時跨內(nèi)外網(wǎng)等。審計內(nèi)部的計算機是否運行非法軟件，是否未經(jīng)許可更改計算機上的軟件、硬件配置等。如果通過評估