【正文】 的情況下，可以支持對總部局域網(wǎng)接入、遠(yuǎn)程分支機(jī)構(gòu)接入、VPN接入、無線AP接入方式的準(zhǔn)入控制。此外，UniAccessTM安全接入管理系統(tǒng)可以對電腦終端分組進(jìn)行管理，例如，將財(cái)務(wù)部門的電腦和其它部門的電腦區(qū)別對待，將總經(jīng)理辦公室的電腦和其它部門的電腦區(qū)別對待。4） 設(shè)備定位。集中軟件分發(fā)和補(bǔ)丁管理減輕管理員的日常維護(hù)工作量，提高效率。通過集中式控制平臺，也可以對電腦終端進(jìn)行各種批量的查詢和統(tǒng)計(jì)。審計(jì)客戶端訪問Interent網(wǎng)、Email、文件拷貝、FTP等，防止企業(yè)機(jī)密信息泄漏。管理員可以定義主機(jī)必須滿足什么樣的安全要求才能夠具備較強(qiáng)的抗攻擊能力，當(dāng)不滿足時就認(rèn)為主機(jī)是有安全漏洞的，這樣的主機(jī)是很容易受到安全攻擊的。其次，對接入網(wǎng)絡(luò)的電腦終端，可以進(jìn)行進(jìn)一步的安全管理和控制，包括：1）安全加固，安全加固可以實(shí)現(xiàn)：對主機(jī)的賬戶口令、屏保口令、共享目錄、自動運(yùn)行的服務(wù)進(jìn)行安全加固，如提示用戶設(shè)置強(qiáng)口令、設(shè)置屏保口令，刪除寫共享目錄，停止一些危險的服務(wù)進(jìn)程等。企業(yè)可以依據(jù)有關(guān)安全管理規(guī)范對其進(jìn)行警告或者處罰，防范這種行為的再次發(fā)生。如果不符合管理規(guī)定，將拒絕其接入，或者通過網(wǎng)絡(luò)對該電腦進(jìn)行自動隔離，并且指引其進(jìn)行安全修復(fù)。3. UniAccessTM終端安全管理系統(tǒng)架構(gòu). UniAccessTM的終端安全管理總體思路我們建議XXXX選擇某公司研發(fā)的UniAccessTM安全接入管理產(chǎn)品作為XXXX的網(wǎng)絡(luò)準(zhǔn)入控制與終端安全管理系統(tǒng)。管理員不僅可以看到終端安全的運(yùn)行狀況，終端的安全設(shè)置，也能夠看到終端的軟件配置、硬件配置、終端的物理位置等信息。以下是圖 1 PDCA安全模型。 要從組織、流程、管理上予以整體考慮、解決在設(shè)計(jì)XXXX“網(wǎng)絡(luò)準(zhǔn)入控制與終端安全管理系統(tǒng)”解決方案時，非常有必要參考BS7799中的有關(guān)重要安全原則。 保護(hù)的目的是要使信息資產(chǎn)得以有效利用，不能為了保護(hù)而過度限制對信息資產(chǎn)的使用p 分級/分組保護(hù)原則216。2. 解決方案總體設(shè)計(jì)思路方案設(shè)計(jì)原則. 方案設(shè)計(jì)原則首先，某認(rèn)為有必要參考國際、國內(nèi)的安全管理經(jīng)驗(yàn)，來設(shè)計(jì)XXXX的“網(wǎng)絡(luò)準(zhǔn)入控制與終端安全管理系統(tǒng)”解決方案。這些行為違反了單位的管理規(guī)定，也影響的計(jì)算機(jī)網(wǎng)絡(luò)的安全性，如果情況嚴(yán)重可能會導(dǎo)致網(wǎng)絡(luò)癱瘓。由于難以發(fā)現(xiàn)有問題的電腦，難以對這些電腦進(jìn)行定位，這些問題一旦發(fā)生，往往故障排查的時間非常長。攻擊的目的性，過去純粹為了比技術(shù)，現(xiàn)在商業(yè)目的越來越明顯。網(wǎng)絡(luò)準(zhǔn)入控制和桌面安全管理系統(tǒng)整體解決方案建議書網(wǎng)絡(luò)準(zhǔn)入控制和桌面安全管理系統(tǒng)整體解決方案建議書網(wǎng)絡(luò)準(zhǔn)入控制和桌面安全管理系統(tǒng)方案建議目 錄1. 建設(shè)網(wǎng)絡(luò)準(zhǔn)入控制和桌面安全管理系統(tǒng)的必要性 42. 解決方案總體設(shè)計(jì)思路方案設(shè)計(jì)原則 5. 方案設(shè)計(jì)原則 5. 統(tǒng)一的集成化管理平臺 6. 支持多廠商/多平臺 73. UniAccessTM終端安全管理系統(tǒng)架構(gòu) 7. UniAccessTM的終端安全管理總體思路 7. UniAccessTM的安全接入管理系統(tǒng)架構(gòu) 8. UniAccessTM安全接入管理系統(tǒng)主要功能簡介 114. UniAccessTM網(wǎng)絡(luò)準(zhǔn)入控制介紹及在XXXX部署建議 12. UniAccessTM網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)總體介紹 12. 準(zhǔn)入控制系統(tǒng)部署后終端接入網(wǎng)絡(luò)的流程 13. 準(zhǔn)入控制系統(tǒng)部署后的影響 13. UniAccessTM網(wǎng)絡(luò)準(zhǔn)入控制技術(shù) 15. XXXX網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)部署建議 18. 準(zhǔn)入控制系統(tǒng)總體部署建議 18. 總部、地區(qū)總部網(wǎng)絡(luò)準(zhǔn)入控制建議 18. 中小型分支機(jī)構(gòu)準(zhǔn)入控制建議 215. 集中式桌面安全綜合管理 23. 資產(chǎn)/IT設(shè)備統(tǒng)計(jì) 23. 資產(chǎn)信息自動采集 23. 設(shè)備快速定位（交換機(jī)端口定位） 24. 客戶端設(shè)備注冊 25. 客戶端代理反卸載及管理員聯(lián)機(jī)卸載 27. 未安裝殺毒軟件客戶端報(bào)警 27. 配置變更管理 30. 未注冊設(shè)備及注冊程序卸載告警 33. 客戶端組件在線升級 34. Web方式客戶端注冊 35. 安全策略管理 37. 管理員權(quán)限管理和分組 37. 客戶端流量異常管理控制 38. 客戶端流量明細(xì)統(tǒng)計(jì) 39. 客戶端安全漏洞檢查 40. 軟件許可監(jiān)控（黑白名單） 41. 違規(guī)客戶端遠(yuǎn)程阻斷 43. 非授權(quán)外連 43. 終端的網(wǎng)絡(luò)訪問行為審計(jì)與控制 44. 支持穿透客戶端防火墻 44. 報(bào)表和數(shù)據(jù)備份 44. 防止文件非法外傳控制 46. U盤/軟盤控制 46. MSN/文件外傳控制 46. 電子郵件方式外傳控制 47. WebMail方式外傳控制 47. 文件共享方式外傳控制 47. 離線控制 47. 補(bǔ)丁分發(fā)管理 48. 補(bǔ)丁斷點(diǎn)續(xù)傳 48. 補(bǔ)丁測試 48. 客戶端用戶手工安裝補(bǔ)丁 49. 補(bǔ)丁自動分發(fā)安裝 50. 軟件分發(fā)管理 51. 斷點(diǎn)續(xù)傳 51. 分發(fā)模式 52. 軟件分發(fā)過程監(jiān)控 52. 遠(yuǎn)程協(xié)助與維護(hù) 53. 客戶機(jī)軟件部署 54. UniAccessTM的客戶機(jī)軟件部署技術(shù) 54. 客戶機(jī)軟件部署建議 556. 服務(wù)器配置與系統(tǒng)安裝、部署建議 56. UniAccessTM安全接入管理系統(tǒng)的部署優(yōu)勢 56. 服務(wù)器部署建議 56. UniAccessTM服務(wù)器硬件（1臺，必選項(xiàng)目） 58. Radius服務(wù)器（2臺，必選1臺） 58. 補(bǔ)丁下載服務(wù)器（1臺，可選） 59. 探測器(1臺，可選) 59. UniAccessTM Agent的特點(diǎn)及其部署方法 59. 系統(tǒng)部署時間 61第 71 頁 共 71 頁1. 建設(shè)網(wǎng)絡(luò)準(zhǔn)入控制和桌面安全管理系統(tǒng)的必要性隨著證券行業(yè)信息化的飛速發(fā)展，業(yè)務(wù)和應(yīng)用完全依賴于計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)終端。下面有一組數(shù)據(jù)，說明當(dāng)前網(wǎng)絡(luò)安全的嚴(yán)峻形勢：，涉及政府機(jī)關(guān)、電信廣電、能源交通、金融證券、教育科研、商業(yè)和制造業(yè)等領(lǐng)域的全國信息網(wǎng)絡(luò)安全狀況暨計(jì)算機(jī)病毒疫情調(diào)查結(jié)果顯示：l 2005年，感染過計(jì)算機(jī)病毒的用戶數(shù)占被調(diào)查總數(shù)的80%l %l 2005年中國有將近90%的用戶遭受間諜軟件的襲擊另根據(jù)中國國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心公布的數(shù)據(jù)：2005年6月－9月國內(nèi)發(fā)現(xiàn)較大規(guī)模僵尸網(wǎng)絡(luò)59個，平均每天有3萬臺電腦被控制。如果同時有多臺計(jì)算機(jī)感染網(wǎng)絡(luò)病毒或者進(jìn)行非法操作，非常容易導(dǎo)致網(wǎng)絡(luò)擁塞，導(dǎo)致我單位的業(yè)務(wù)無法正常開展。由于桌面計(jì)算機(jī)的數(shù)量非常多，地理位置分散，給日常的管理維護(hù)帶來了很大的困難，這些困難包括：l 難以對計(jì)算機(jī)的資產(chǎn)、配置進(jìn)行統(tǒng)計(jì)；l 由于補(bǔ)丁、漏洞、升級等問題頻繁，維護(hù)工作量很大；l 計(jì)算機(jī)的使用人員技能不一，有些很小的問題都需要維護(hù)人員現(xiàn)場解決，降低了維護(hù)的效率；l 無法對計(jì)算機(jī)進(jìn)行批量維護(hù)，例如：批量安裝軟件、批量打補(bǔ)丁、批量設(shè)置計(jì)算機(jī)的安全設(shè)置。BS7799作為英國政府頒發(fā)的一項(xiàng)信息系統(tǒng)安全管理規(guī)范，目前已經(jīng)成為全球公認(rèn)的安全管理最佳實(shí)踐，成為全國大型機(jī)構(gòu)在設(shè)計(jì)、管理信息系統(tǒng)安全時的實(shí)踐指南。 對信息系統(tǒng)分類，不同對象定義不同的安全級別216。BS7799中，除了安全原則之外，給出了許多非常細(xì)致的安全管理指導(dǎo)規(guī)范。圖 1 PDCA安全模型某認(rèn)為，XXXX的終端安全管理，也將是一個持續(xù)、動態(tài)、不斷改進(jìn)的過程，UniAccessTM安全接入管理系統(tǒng)將為XXXX提供統(tǒng)一的、集成化的平臺和工具，幫助XXXX對其終端進(jìn)行統(tǒng)一的安全控制、安全評估、安全審計(jì)及安全改進(jìn)策略部署。通過統(tǒng)一的集成化的管理平臺，管理員可以完成所有與終端安全管理維護(hù)相關(guān)的各種任務(wù)，具體包括：l 網(wǎng)絡(luò)準(zhǔn)入控制管理；l 設(shè)備快速定位；l 終端資產(chǎn)管理；l 終端的軟件分發(fā)；l 終端安全補(bǔ)丁管理；l 終端的遠(yuǎn)程管理和維護(hù)；l 終端安全策略設(shè)置，包括：主機(jī)安全漏洞策略、防病毒安全策略、非法外聯(lián)策略、網(wǎng)絡(luò)訪問審計(jì)策略等的設(shè)置。UniAccessTM安全接入管理系統(tǒng)對電腦終端進(jìn)行安全管理的總體思路是：首先，通過網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)，確保接入網(wǎng)絡(luò)的電腦終端符合如下要求：1） 必須安裝Agent，如果是未安裝Agent的電腦終端接入網(wǎng)絡(luò)，其打開WEB瀏覽器訪問任何Web site時，將被重定向到管理員指定的一個頁面，提醒其安裝Agent。然后，對安裝了Agent的電腦終端，進(jìn)行進(jìn)一步的管理控制，包括：1） 安全設(shè)置檢查、加固，非法操作的管理、限制2） 防止文件非法外傳(U盤/軟盤/共享/Email//MSN等)3） 電腦終端的集中式管理，例如，資產(chǎn)管理、軟件分發(fā)、遠(yuǎn)程控制、補(bǔ)丁管理、分組策略分發(fā)、集中審計(jì)。. UniAccessTM的安全接入管理系統(tǒng)架構(gòu)下圖是某公司的UniAccessTM安全接入管理系統(tǒng)架構(gòu)。強(qiáng)制接入網(wǎng)絡(luò)的主機(jī)設(shè)備安裝規(guī)定的防病毒軟件，并且強(qiáng)制這些防病毒軟件及時更新最新病毒，以加強(qiáng)主機(jī)設(shè)備的自身抗病毒能力。比如賬戶口令是否是強(qiáng)口令；目錄是否有缺省可寫共享；是否運(yùn)行了一些危險進(jìn)程；通過檢查注冊表發(fā)現(xiàn)是否有已知的間諜軟件；是否安裝了最新補(bǔ)丁包；是否安裝了規(guī)定的防病毒軟件并及時更新了病毒特征庫。審計(jì)連接在內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)是否同時打開一些組織不允許的方式，如Modem撥號、USB硬盤、同時跨內(nèi)外網(wǎng)等。例如：1） 策略分發(fā)。如為某個部門的所有機(jī)器安裝防病毒軟件。對于不安全的接入網(wǎng)絡(luò)的設(shè)備，管理員能夠快速定位設(shè)備是連接在哪個網(wǎng)絡(luò)交換機(jī)的哪個端口，是在什么物理位置、誰的設(shè)備，這樣可以做出相應(yīng)措施來控制攻擊的擴(kuò)散，如直接從網(wǎng)絡(luò)斷開這臺設(shè)備。即：按組設(shè)置安全管理策略。由于和網(wǎng)絡(luò)設(shè)備緊密集成，UniAccessTM安全接入管理系統(tǒng)的準(zhǔn)入控制解決方案的另外一個特點(diǎn)是，電腦終端一接入網(wǎng)絡(luò)，立刻接受管理和控制，在通過準(zhǔn)入控制認(rèn)證之前，不能訪問其它的網(wǎng)絡(luò)資源或者破壞網(wǎng)絡(luò)的性能和穩(wěn)定性。252。包括：軟硬件資產(chǎn)統(tǒng)計(jì)，資產(chǎn)變更自動發(fā)現(xiàn)，資產(chǎn)的維護(hù)等。4. UniAccessTM網(wǎng)絡(luò)準(zhǔn)入控制介紹及在XXXX部署建議. UniAccessTM網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)總體介紹UniAccessTM網(wǎng)絡(luò)準(zhǔn)入控制是UniAccessTM安全接入控制系統(tǒng)的一個管理組件。UniAccessTM網(wǎng)絡(luò)準(zhǔn)入控制杜絕非法外來電腦接入內(nèi)部網(wǎng)絡(luò)；同時將有問題的客戶機(jī)隔離或限制其訪問，直到這些有問題的客戶機(jī)修復(fù)為止，這樣，一方面可以防止這些客戶機(jī)成為蠕蟲和病毒攻擊的目標(biāo)，還可以防止這些主機(jī)成為傳播病毒的源頭。l 安全隔離如果在接入檢查時，發(fā)現(xiàn)終端不符合安全規(guī)定，需要對終端進(jìn)行隔離或拒絕其訪問網(wǎng)絡(luò)資源，例如：發(fā)現(xiàn)是外來終端則拒絕接入或進(jìn)入“訪客區(qū)”網(wǎng)段，或者是內(nèi)部不符合安全規(guī)定的終端，則讓其進(jìn)入“修復(fù)區(qū)”。某科技的UniAccessTM網(wǎng)絡(luò)準(zhǔn)入控制解決方案是一個完整的準(zhǔn)入控制方案，可以提供以上五個方面的所有內(nèi)容。網(wǎng)絡(luò)交換機(jī)將準(zhǔn)備接入網(wǎng)絡(luò)的電腦終端所上傳的以上各種信息轉(zhuǎn)發(fā)給Radius服務(wù)器，由Radius服務(wù)器再去查詢AD服務(wù)器和數(shù)據(jù)庫服務(wù)器并將查詢分析的結(jié)果返回給網(wǎng)絡(luò)交換機(jī)。2）如果執(zhí)行網(wǎng)絡(luò)準(zhǔn)入控制的網(wǎng)絡(luò)設(shè)備是Cisco的交換機(jī)或者路由器，可以在網(wǎng)絡(luò)設(shè)備上配置緊急模式。劃分方式可以是VLAN或者基于IP的訪問控制列表。當(dāng)終端設(shè)備被接入網(wǎng)絡(luò)時，會被要求進(jìn)行身份認(rèn)證和安全策略檢查。UniAccessTM可以將用戶和終端設(shè)備進(jìn)行綁定，即某個用戶只能通過某臺終端設(shè)備接入到網(wǎng)絡(luò)中，這樣可以禁止內(nèi)部員工私自將家里電腦接入到網(wǎng)絡(luò)中。特別是MutliAuth模式，在有Hub的網(wǎng)絡(luò)環(huán)境中也可以實(shí)現(xiàn)準(zhǔn)入控制。ARP干擾器只需要部署在訪客區(qū)VLAN中。圖 5 EoU認(rèn)證準(zhǔn)入控制技術(shù)對比UniAccessTM 網(wǎng)絡(luò)準(zhǔn)入控制架構(gòu)的突出特點(diǎn)是以網(wǎng)絡(luò)設(shè)備為控制設(shè)備點(diǎn)，但又不局限于一家網(wǎng)絡(luò)設(shè)備廠商，能夠適應(yīng)各種網(wǎng)絡(luò)環(huán)境要求。一般來說，某建議有大量分支機(jī)構(gòu)的客戶采取如下部署方案：l 對于總部或地區(qū)總部，部署專門的準(zhǔn)入控制服務(wù)器（包括：Radius和后臺管理與數(shù)據(jù)庫服務(wù)器）；l 對于中小型的分支機(jī)構(gòu)，一般情況下，不建議部署專用的準(zhǔn)入控制服務(wù)器。. 總部、地區(qū)總部網(wǎng)絡(luò)準(zhǔn)入控制建議解決方案一（）。（2） 只有合法身份的用戶以及滿足組織安全規(guī)范的桌面PC才能接入到網(wǎng)絡(luò)中，否則系統(tǒng)會將此桌面PC機(jī)（包括沒有安裝客戶端代理的桌面PC機(jī)）自動切換到一個修復(fù)VLAN中，客戶端在此修復(fù)VLAN中訪問修復(fù)安全漏洞必須的網(wǎng)絡(luò)資源；（3） 合法身份的用戶以及滿足組織安全規(guī)范的桌面PC接入到網(wǎng)絡(luò)時，系統(tǒng)會根據(jù)用戶身份自動將桌面PC機(jī)切換到屬于該用戶的工作VLAN中，從而實(shí)現(xiàn)不同權(quán)限的人可以訪問不同的網(wǎng)絡(luò)資源。解決方案二（基于Cisco EoU認(rèn)證的準(zhǔn)入控制方案）如果接入層網(wǎng)絡(luò)設(shè)備存在大量的不可網(wǎng)管交換機(jī)、某建議選擇采用基于Cisco EoU認(rèn)證的準(zhǔn)入控制方案。這樣一方面可以減少服務(wù)器的數(shù)量降低成本，更重要的是減少了維護(hù)工作量和維護(hù)成本。Cisco EoU認(rèn)證的準(zhǔn)入控制，允許在網(wǎng)絡(luò)設(shè)備上配備緊急模式，一旦網(wǎng)絡(luò)設(shè)備與Radius服務(wù)器之間的通信中斷，可以利用預(yù)先設(shè)置的緊急策略，允許電腦接入分支機(jī)構(gòu)的網(wǎng)絡(luò)。圖 8 分支機(jī)構(gòu)終端接入控制示意圖由于分支機(jī)構(gòu)的網(wǎng)絡(luò)規(guī)模比較少，沒有獨(dú)立的防病毒服務(wù)器或者補(bǔ)丁服務(wù)器，分支機(jī)構(gòu)的終端往往需要通過總部的防病毒服務(wù)器、補(bǔ)丁服務(wù)器來進(jìn)行自我修復(fù)。UniAccessTM二層拓?fù)浒l(fā)現(xiàn)功能支持大型網(wǎng)絡(luò)的拓?fù)浒l(fā)現(xiàn)，可以跨網(wǎng)絡(luò)、跨路由發(fā)現(xiàn)設(shè)備，支持不同廠商網(wǎng)絡(luò)設(shè)備混合構(gòu)建的異構(gòu)網(wǎng)絡(luò)設(shè)備發(fā)現(xiàn)。 CPU信息216。 光驅(qū)信息：光驅(qū)速度、廠商、型號216。 安裝的軟件名216。 安裝日期所有這些信息都被保存在數(shù)據(jù)庫中，管理員可以在線瀏覽或者輸出各種資產(chǎn)報(bào)表。當(dāng)客戶端用戶輸入安裝URL后，UniAccessTM會顯示如下圖所示界面，讓用戶輸入注冊信息。