【正文】 uidway] dot1x interface Ethernet 0/8 特性[Quidway] dot1x 保存設(shè)置[Quidway] quitQuidway save 風險與災(zāi)備，如認證流與數(shù)據(jù)流的分離、獨立于應(yīng)用之外、在嚴格之余又具有很高的可擴展性等。此命令作用是將telnet時進行的認證放在交換機本地，如果不配置的話，假如以前telnet交換機只需要輸入密碼的話，那么在下次進行telnet登陸時，交換機將會提示要求輸入用戶名和密碼進行認證。在網(wǎng)絡(luò)設(shè)備配置完成后，將其應(yīng)用到radius配置的“啟用準入控制的網(wǎng)絡(luò)設(shè)備”中：另外，在頁面策略配置完成后，務(wù)必點擊更新radius服務(wù)器策略，否則radius服務(wù)器將無法獲取到最新的策略修改。客戶端的安裝，終端認證不成功將不能訪問網(wǎng)絡(luò)，故客戶端的安裝問題將影響用戶的使用，客戶端的安裝請參見“客戶端部署”章節(jié)。在本次方案中。 網(wǎng)絡(luò)準入控制實施。ii) 獨特功能：應(yīng)用準入可以通過自動重定向，對未受控或者不合規(guī)的終端，進行個性化的友好提示，通過友好提示不僅可以幫助最終用戶了解無法訪問業(yè)務(wù)服務(wù)器的原因，為最終用戶接受和適應(yīng)新的終端合規(guī)管理提供幫助，還可以通過該提示頁面，發(fā)送執(zhí)行合規(guī)管理的客戶端軟件，真正實現(xiàn)了最終用戶“自助式”的客戶端部署，不僅大幅度減少系統(tǒng)維護人員的工作量，也極大減少用戶的厭煩和抵觸行為，保證合規(guī)管理有效性的同時，在內(nèi)網(wǎng)終端合規(guī)管理過程中，體現(xiàn)了人性關(guān)懷，有效增強了最終用戶在內(nèi)網(wǎng)合規(guī)管理系統(tǒng)實施中的積極性，促進內(nèi)網(wǎng)合規(guī)更快獲得良好收效。集成的Web準入控制，平臺適應(yīng)能力非常廣泛，服務(wù)端能夠在Windows、Linux、unix下使用。5 準入控制實施 應(yīng)用準入控制實施應(yīng)用準入介紹天珣系統(tǒng)中，具備其他同類軟件不同的關(guān)鍵準入控制組件——策略網(wǎng)關(guān)，這個組件可以安裝在企業(yè)網(wǎng)中一個或多個關(guān)鍵業(yè)務(wù)系統(tǒng)服務(wù)器之上，執(zhí)行應(yīng)用層準入控制，可以對來訪的終端執(zhí)行合規(guī)檢查，如果來訪終端非受控或不合規(guī)，將被拒絕訪問該服務(wù)器或業(yè)務(wù)系統(tǒng)，同時也達到對這些關(guān)鍵服務(wù)器和業(yè)務(wù)系統(tǒng)增強保護的效果。如果有需要特別注意的地方，就需要制定特別的部署方案?？蛻舳俗灾惭b可采用策略網(wǎng)關(guān)提示安裝，網(wǎng)上鄰居預(yù)安裝，郵件提示預(yù)安裝等方式。在實際部署中，可根據(jù)情況增加或減少策略網(wǎng)關(guān)的部署數(shù)量。4 客戶端部署 通過應(yīng)用準入方式部署客戶端 應(yīng)用準入控制部署對于無法實施網(wǎng)絡(luò)準入控制的區(qū)域，可以采用應(yīng)用準入。一種管理員是全局管理員，這類管理員由一至二個成員組成，他們負責進行基本設(shè)置，或一些全局性的策略。全局管理員定義的策略，其他普通管理員可以使用，但不能修改。5400遠程協(xié)助數(shù)據(jù)流TCP客戶端any按需支援服務(wù)器7895發(fā)起支援請求TCPUTM類USGany客戶端1080發(fā)送攔截頁面TCP客戶端anyUSG1080接收攔截頁面TCPUSGany策略網(wǎng)關(guān)代理7893攔截訪問，通知代理TCP 數(shù)據(jù)存儲建議采用數(shù)據(jù)的集中存儲模式，便于用戶的數(shù)據(jù)的存儲備份管理。從投資成本上考慮，建議本項服務(wù)器都在集中部署在院總部信息中心更有利，院下屬各廠所多集中在園區(qū)網(wǎng)內(nèi)網(wǎng)絡(luò)帶寬足以滿足集中心管理的需要，因此推薦集中管理的部署方式。在分布式多服務(wù)器架構(gòu)下，中心服務(wù)器是整個系統(tǒng)策略集中存放的地方，本地服務(wù)器是進行日常的策略分發(fā)的地方。三臺策略服務(wù)器都安裝在中心機房，要求本次實施的所有的客戶端電腦及策略網(wǎng)關(guān)都可以通過TCP/IP協(xié)議的7890端口訪問到策略服務(wù)器。如果一臺服務(wù)器宕機，其服務(wù)的用戶會自動被其他的服務(wù)器接管。項目時間表3 管理服務(wù)器部署 總部管理服務(wù)器部署院本部內(nèi)廠所內(nèi)：兩種方式部署管理服務(wù)器，一種是邏輯上的集中管理分級授權(quán)方式，另一種完全獨立的策略管理服務(wù)器方式。在規(guī)劃中要預(yù)先基于用戶角色確定每個部門、用戶或分支機構(gòu)，確定對應(yīng)的最合適的安全策略組合，作為系統(tǒng)最終實現(xiàn)的安全管理目標。當然，為了根本上解決客戶端電腦的安全管理問題，這樣的系統(tǒng)的部署也勢在必行，因此在系統(tǒng)部署前需要對系統(tǒng)的實施過程、安全策略的制定和安全管理制度的建立，進行全面系統(tǒng)地規(guī)劃，并在實施過程中，根據(jù)實際環(huán)境進行適時調(diào)整，從而保證系統(tǒng)和安全策略在XX研究院內(nèi)部順利執(zhí)行下去，實現(xiàn)項目預(yù)期的目標，保障內(nèi)部網(wǎng)絡(luò)具有更高可用性和客戶端電腦的更高安全性。天珣內(nèi)網(wǎng)安全風險管理與審計系統(tǒng)實施方案（）啟明星辰Beijing Venustech Cybervision Co., Ltd.2014 年 10月55 / 57目錄1 系統(tǒng)實施原則 1 最大限度降低對用戶的影響 1 全面細致規(guī)劃，分步實施 1 安全策略從簡到繁，安全級別步進式提高 22 實施計劃 23 管理服務(wù)器部署 3 總部管理服務(wù)器部署 3 廠所獨立管理服務(wù)器部署 4 部署實施建議 5 管理服務(wù)器與客戶端通信要求 5 數(shù)據(jù)存儲建議 9 管理員權(quán)限劃分 9 服務(wù)器安裝及數(shù)據(jù)管理 94 客戶端部署 10 通過應(yīng)用準入方式部署客戶端 10 應(yīng)用準入控制部署 10 建設(shè)期客戶端部署 11 維護期客戶端部署 115 準入控制實施 11 應(yīng)用準入控制實施 12 網(wǎng)絡(luò)準入控制實施 15 風險與災(zāi)備 21 客戶端準入部署 27 客戶端準入控制部署建議 286 分工界面 297 附件一：服務(wù)器安裝及數(shù)據(jù)管理 311 系統(tǒng)實施原則 最大限度降低對用戶的影響部署終端安全管理系統(tǒng)的根本目的，是借助系統(tǒng)所提供的準入控制的技術(shù)手段，確保接入的電腦是合法的和符合XX研究院安全策略要求的，最大限度降低不安全的客戶端電腦對XX研究院網(wǎng)絡(luò)和信息資源帶來的風險和威脅，保證XX研究院每一個用戶的電腦始終處于良好的運行狀態(tài)，大大降低故障發(fā)生概率，從而保證每個用戶都能夠完全專注在自己的本職業(yè)務(wù)工作，并大大提高每一個用戶的工作效率。部署前需要規(guī)劃的內(nèi)容包括：內(nèi)部網(wǎng)絡(luò)和用戶的安全分級和規(guī)劃，系統(tǒng)部署的次序和周期，針對不同部門或用戶角色的安全策略組合，系統(tǒng)安全策略的動態(tài)調(diào)整等等。在實施過程中，再按照由簡到繁的次序，先實施所有用戶都必須遵守的安全策略，然后再根據(jù)不同分支機構(gòu)、部門和用戶，步進式下發(fā)和執(zhí)行各級安全策略，從而實現(xiàn)安全級別步進式提高，構(gòu)建立體的、混合模式的終端安全策略管理體系。天珣內(nèi)網(wǎng)安全風險管理與審計系統(tǒng)支持多策略服務(wù)器架構(gòu)。每一個管理網(wǎng)段的電腦都有3次從服務(wù)器獲取規(guī)則的機會，它們首先會從Primary的策略服務(wù)器獲取規(guī)則，如果失敗，則從Secondary的策略服務(wù)器獲取規(guī)則，如果再失敗，則從中心服務(wù)器獲取規(guī)則，如果還是失敗，則使用客戶端本地緩存的規(guī)則。因為中心服務(wù)器有日常的管理負荷，建議中心服務(wù)器管理3000臺終端電腦，本地服務(wù)器管理7000臺終端電腦。全系統(tǒng)只需要一個中心服務(wù)器，可以有多個本地服務(wù)器，中心服務(wù)器可以兼作本地服務(wù)器。 部署實施建議 管理服務(wù)器與客戶端通信要求CC與管理服務(wù)器的通信列表。本部及各分支機構(gòu)的數(shù)據(jù)全部存儲在一臺固定的數(shù)據(jù)庫服務(wù)器中，省去數(shù)據(jù)同步的麻煩，增加數(shù)據(jù)一致性。全局管理員可以使用、修改任何一個普通管理員或全局管理員定義的策略。第二種管理員是普通管理員，主要由他們進行策略配置，他們定義的策略具有本地屬性，當今后部署范圍擴大，安裝了更多的本地服務(wù)器，有更多的管理員參與策略系統(tǒng)管理時，他們定義的策略不會被其他管理員使用。下圖是采用應(yīng)用準入的部署圖。天珣已經(jīng)與啟明星辰天清漢馬USG實現(xiàn)準入控制互動，由USG作為新的應(yīng)用準入控制類型。后臺自動安裝可使用現(xiàn)有的軟件分發(fā)工具，或用專門的后臺安裝工具進行安裝。 維護期客戶端部署新購置電腦對于少量新購置的電腦，建議在入網(wǎng)之前由管理部門安裝天珣客戶端；對于批量購置的電腦，建議與電腦廠商協(xié)商，在出廠時即安裝天珣客戶端。其中，基于DNS應(yīng)用準入控制，又根據(jù)模式的不同，又可以分為旁路式的DNS準入（此時DNS處于旁路監(jiān)聽模式，無需改變DNS服務(wù)器配置或者安裝DNS策略網(wǎng)關(guān)）和在線DNS準入（在DNS服務(wù)器上部署DNS策略網(wǎng)關(guān)）。 性能優(yōu)越，而且部署及其簡單，只需把控件加入登錄頁面上，并且替換了用戶名輸入控件，進行小量的頁面修改即可完成部署。本項目中應(yīng)用準入的實施主頁或OA服務(wù)器上的中性策略網(wǎng)關(guān)在主頁或OA服務(wù)器上安裝天珣中性策略網(wǎng)關(guān)，受控終端訪問主頁或OA服務(wù)器時過程如下。該認證模式可以和“基本認證”、“擴展組合認證”組合成完善的準入模式。n 策略配置首先，在天珣WEB控制臺中添加一條Radius Server策略，在這里配置radius認證服務(wù)器及其所使用的認證策略：我們配置“網(wǎng)絡(luò)準入類型”為“”，基本認證為“用戶認證”，并選擇電力集團的AD域作為認證域。n 交換機配置對于交換機的配置，我們會對兩種電力集團普遍使用的接入層cisco和華為交換機進行介紹。華為交換機 ，目前提供3種認證方法：PAP認證、CHAP認證、EAP中繼認證。該準入控制手段已經(jīng)大量應(yīng)用于教育、金融行業(yè)，在近年來舉辦的重大賽事如廣州亞運會，該準入控制手段也已經(jīng)全面應(yīng)用。因此，一套完整的、可操作的風險預(yù)案便成了關(guān)鍵時刻的法寶。Radius認證服務(wù)器：與Swich聯(lián)動，提供對客戶端及用戶進行網(wǎng)絡(luò)準入控制認證服務(wù)器。按照天珣系統(tǒng)的設(shè)計原理，以上組件中，除了中心服務(wù)器和本地服務(wù)器之外，其他任意組件，例如無備份的單一Radius服務(wù)器、目錄服務(wù)器（本方案中的AD域服務(wù)器）、交換機、客戶端，只要其中之一出現(xiàn)影響認證