【正文】 ，按照 ITIL 最佳實(shí)踐標(biāo)準(zhǔn)來(lái)設(shè)計(jì) 。 PDCA安全模型的核心思想是：信息系統(tǒng)的安全需求是不斷變化的，要使得信息系統(tǒng)的安全能夠滿足業(yè)務(wù)需要，必須建立動(dòng)態(tài)的“計(jì)劃、設(shè)計(jì)和部署、監(jiān)控評(píng)估、改進(jìn) 提高”管理方法，持續(xù)不斷地改進(jìn)信息系統(tǒng)的安全性。管理員不僅可以看到 桌面安全 的運(yùn)行狀況， 終端的安全設(shè)置， 也能夠看到 終端的軟件配置、硬件配置、終端的物理位置等信息。很多計(jì)算機(jī)的管理信息需要通過(guò)人來(lái)反映，如計(jì)算機(jī)有問(wèn)題時(shí)，通常需要知會(huì)計(jì)算機(jī)的用戶。如果不符合管理規(guī)定，將拒絕其接入，或者通過(guò)網(wǎng)絡(luò)對(duì)該電腦進(jìn)行自動(dòng)隔離。安裝了 Agent 的終端必須符合網(wǎng)絡(luò)安全接入管理規(guī)定，例如：擁有合法的訪問(wèn)帳號(hào)、安裝了指定的防病毒軟件、安裝了指定的操作系統(tǒng)補(bǔ)丁等。 再次，要防止電腦終端私自、非法卸載 Agent 或者停止 Agent 的運(yùn)行 ,確保管理策略的執(zhí)行。 圖表 1 網(wǎng)絡(luò)安全管理 系統(tǒng) 架構(gòu) 首先， LeagView UniAccess 安全接入管理系統(tǒng)，通過(guò)網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)，對(duì)接入網(wǎng)絡(luò)的電腦終端進(jìn)行實(shí)時(shí)安全檢查，檢查的內(nèi)容包括： 1） 賬戶檢查：用戶名和密碼 ? 防止外來(lái)人員私自安裝一個(gè)相同的 Agent 后接入網(wǎng)絡(luò) 2） 安全設(shè)置規(guī)范檢查 : 終端的安全設(shè)置 ? 檢查系統(tǒng)賬戶，包括： Guest 賬戶和弱口令檢查； ? Windows 域檢查，檢查終端是否加入指定的 Windows 域； ? 檢查可寫(xiě)共享設(shè)置，檢查終端是否設(shè)置了可寫(xiě)或者沒(méi)有權(quán)限限制的可寫(xiě)共享； ? 檢查終端操作系統(tǒng)補(bǔ)丁安裝情況； ? 檢查終端的防病毒安裝情況及其病毒特征 庫(kù)是否及時(shí)升級(jí)； ? 檢查終端是否有可疑的注冊(cè)表項(xiàng)； ? 檢查終端是否有可疑的文件存在； ? 檢查終端是否安裝了非法軟件。 ? 自動(dòng)為客戶端安裝最新補(bǔ)丁包，加強(qiáng)客戶端的抗攻擊能力。 ? 檢測(cè)每個(gè)客戶端的網(wǎng)絡(luò)訪問(wèn)流量，確定是否有發(fā)送大量廣播包、流量異常大、網(wǎng)絡(luò)連接異常多的情況，對(duì)于這些異常情況及時(shí)向管理員報(bào)告，在大規(guī)模攻擊出現(xiàn)之前找到根源。 ? 審計(jì)內(nèi)部的計(jì)算機(jī)是否運(yùn)行非法軟件，是否未經(jīng)許可更改計(jì)算機(jī)上的 軟件、硬件配置等。集中、批量、分組對(duì)桌面電腦進(jìn)行安全設(shè)置、安全狀態(tài)查詢。 3） 遠(yuǎn)程控制。 5） 資產(chǎn)管理。 對(duì)于不同級(jí)別的安全事件，采取不同的處理流程，確保重要的安全事件能夠得到快速、有效的處 理。 對(duì)員工的各種不規(guī)范行為進(jìn)行矯正，例如：使用非法軟件、訪問(wèn)非法網(wǎng)站、改變電腦終端的硬件配置等。 5) 桌面終端的批量管理，提高管理效率 批量對(duì)桌面終端進(jìn)行管理和維護(hù)，例如：集中式自動(dòng)安裝軟件、遠(yuǎn)程監(jiān)控和遠(yuǎn)程協(xié)助、快速設(shè)備定位，批量設(shè)置終端的安全選項(xiàng)等，可以提高終端的日常管理和維護(hù)效率。 I B M 大 機(jī)數(shù) 據(jù) 庫(kù) 管 理系 統(tǒng)防 火 墻路 由 器I D S交 換 機(jī)應(yīng) 用 服 務(wù) 器W e b 服 務(wù) 器其 它 應(yīng) 用 程 序W i n d o w s 主機(jī)U n i x 主 機(jī)多 種 告 警系 統(tǒng) 配 置系 統(tǒng) 拓 撲 性 能 分 析故 障 診 斷1 2 34 5 67 8 9* 8 項(xiàng) 目 產(chǎn) 品基 于 W e b 的 操作 管 理 臺(tái)綜 合 監(jiān) 控 中 心監(jiān) 控 各 種 網(wǎng) 絡(luò) 設(shè) 備 、 主機(jī) 、 數(shù) 據(jù) 庫(kù) 、 應(yīng) 用 系 統(tǒng) 圖 1 UniMon 統(tǒng)一運(yùn)行監(jiān)控體系 UniMon 采用集中式管理方式，提供了以下 多 個(gè)方面的 運(yùn)行監(jiān)控 功能： ? 網(wǎng)絡(luò)系統(tǒng)監(jiān)控 ? 支持主流網(wǎng)絡(luò)設(shè)備監(jiān)控，包括思科、華為、 3Com、北電 ； ? 支持二層網(wǎng)絡(luò)拓?fù)渥詣?dòng)發(fā)現(xiàn)； ? 監(jiān)控網(wǎng)絡(luò)設(shè)備 CPU、內(nèi)存； ? 監(jiān)控網(wǎng)絡(luò)線路的連 通性、響應(yīng)時(shí)間、流量、帶寬利用率、廣播包、錯(cuò)包率、丟包率等。 ? 應(yīng)用系統(tǒng)監(jiān)控 ? 支持主流應(yīng)用系統(tǒng)的監(jiān)控，包括 WebSphere、 Weblogic、 IIS、 Web 服務(wù)器、郵件服務(wù)器； ? 監(jiān)控這些應(yīng)用系統(tǒng)的主要進(jìn)程 CPU、內(nèi)存，應(yīng)用系統(tǒng)的響應(yīng)時(shí)間。 ? 故障報(bào)警方式，支持郵件、自動(dòng)電話撥號(hào)、手機(jī)短信、 TTS 語(yǔ)音報(bào)警方式，能將不同級(jí)別的告警通過(guò)郵件、電話、短信、 TTS 語(yǔ)音報(bào)警通知相關(guān)用戶； 三門(mén)核電終端準(zhǔn)入控制解決方案 一、 終端網(wǎng)絡(luò)準(zhǔn)入控制總體思路 UniAccess 網(wǎng)絡(luò)準(zhǔn)入控制的流程 部署準(zhǔn)入控制系統(tǒng)后，改變了電腦終端接入網(wǎng)絡(luò)的行為模式。 ? 安全通知，對(duì)被隔離的終端進(jìn)行通知，告知其被隔離的原因。 2. UniAccess 網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)原理 聯(lián)軟科技網(wǎng)絡(luò)準(zhǔn)入控制的宗旨是 ：為防止非法用戶、病毒、蠕蟲(chóng)、新興黑客技術(shù)等對(duì)企業(yè)安全造成危害，采用 NAC，只允許合法的、安全的、值得信任的設(shè)備（如 PC、服務(wù)器、 PDA）接入網(wǎng)絡(luò)，而不允許其它設(shè)備接入。一般外來(lái)用戶的終端設(shè)備被限制只能訪問(wèn)訪客區(qū)的網(wǎng)絡(luò)資源。 ? 已安裝 agent、身份合法、安全策略合法的終端 ，但終端的硬件 ID標(biāo)識(shí)不合法，拒絕接入網(wǎng)絡(luò)或劃入訪客區(qū)、修復(fù)區(qū)。 終端修復(fù)服務(wù)器 I E E E 80 2. 1 x 設(shè)備C i sco N A C L2 IP 設(shè)備C i sco N A C L3 IP 設(shè)備A R P 干擾器Le a gV i e w 服務(wù)器AD 服務(wù)器E m ai l 服務(wù)器其它認(rèn)證服務(wù)器 圖表 3 LeagView UniAccess 網(wǎng)絡(luò)準(zhǔn)入控制架構(gòu) LeagView UniAccess 網(wǎng)絡(luò)準(zhǔn)入控制架構(gòu)提供了四種方法解決不同網(wǎng)絡(luò)環(huán)境的網(wǎng)絡(luò)準(zhǔn)入控制： （ 1）、 LeagView UniAccess 網(wǎng)絡(luò)準(zhǔn)入控制的 實(shí)現(xiàn)同時(shí)支持多廠商網(wǎng)絡(luò)設(shè)備，如華為、 Cisco、 H3C 等。 （ 3）、 ARP 干擾 與 相結(jié)合，為未安裝代理的終端設(shè)備提供 URL 重定向功能。基于 認(rèn)證的準(zhǔn)入控制通過(guò) VLAN 動(dòng)態(tài)切換，將不安全的終端切換到修復(fù)區(qū)，將外來(lái)終端切換到訪客區(qū)，從而實(shí)現(xiàn)對(duì)這些終端的訪問(wèn)控制；基于 Cisco EoU 證準(zhǔn)入控制通過(guò)動(dòng)態(tài) ACL(訪問(wèn)控制列表 )，直接限制外來(lái)終端或者不安全的終端對(duì)網(wǎng)絡(luò)資源的訪問(wèn)。 2. 檢查該電腦是否是本單位內(nèi)部的合法終端（檢查電腦的硬件 ID），合法的電腦硬件 ID 保存在管理服務(wù)器的數(shù)據(jù)庫(kù)中。 由于網(wǎng)絡(luò)準(zhǔn)入控制服務(wù)一旦發(fā)生故障，會(huì)導(dǎo)致電腦終端無(wú)法接入網(wǎng)絡(luò)，因此必須保障網(wǎng)絡(luò)準(zhǔn)入控制的高度可靠。在緊急模式下，可以指定電腦終端可以訪問(wèn)哪些資源。 LeagView UniAccess 網(wǎng)絡(luò)準(zhǔn)入控制可以幫助用戶很好地解決如下問(wèn)題： ? 防止非法的外來(lái)電腦接入網(wǎng)絡(luò)，影響內(nèi)部網(wǎng)絡(luò)的安全； ? 防止感染病毒、木馬的桌面電腦和筆記本電腦直接接入內(nèi)部網(wǎng)絡(luò)，影響網(wǎng)絡(luò)的正常運(yùn) 行； ? 確保接入網(wǎng)絡(luò)的客戶機(jī)符合安全管理要求。 目前業(yè) 界有兩種成熟的準(zhǔn)入控制協(xié)議： （ EAP over LAN）和 EoU（ EAP over UDP）。 網(wǎng)絡(luò)設(shè)備配置 在接入交換機(jī)上配置 IEEE 認(rèn)證方式， 在 Cisco 三層交換機(jī)上配置EoU 協(xié)議，各 交換機(jī)的 Radius 服務(wù)器 均 指向 LeagView UniAccess Radius（可以作多臺(tái)熱備和負(fù)載均衡 ）。 部署方法 終端修復(fù)服務(wù)器 I E E E 80 2. 1 x 設(shè)備C i sco N A C L2 IP 設(shè)備C i sco N A C L3 IP 設(shè)備A R P 干擾器Le a gV i e w 服務(wù)器AD 服務(wù)器E m ai l 服務(wù)器其它認(rèn)證服務(wù)器 首先，在 LeagView UniAccess 管理平臺(tái)上定義訪客區(qū) VLAN、修復(fù)區(qū)VLAN、工作區(qū) VLAN，并根據(jù)實(shí)際需要設(shè)置無(wú)客戶端（ agent）、錯(cuò)誤身份、不符合安全策略等終端的隔離動(dòng)作。 網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)可靠性保障 為了提高三門(mén)核電 本次范圍內(nèi)的終端安全管理與準(zhǔn)入控制系統(tǒng) 的容災(zāi)性能 ，建議的 LeagView UniAccess 系統(tǒng)部署示意如下 （雙 Radius 服 務(wù)器） ： 由于網(wǎng)絡(luò)準(zhǔn)入控制服務(wù)一旦發(fā)生故障，會(huì)導(dǎo)致電腦終端無(wú)法接入網(wǎng)絡(luò)，因此必須保障網(wǎng)絡(luò)準(zhǔn)入控制的高度可靠。在緊急模式下，可以指定電腦終端可以訪問(wèn)哪些資 源。） 為保障網(wǎng)絡(luò)準(zhǔn)入控制服務(wù)高可靠性，建議采取如下措施： ? Radius 采用雙機(jī)，通過(guò)在網(wǎng)絡(luò)設(shè)備上設(shè)置多個(gè) Radius IP 地址，網(wǎng)絡(luò)設(shè)備會(huì)在第一臺(tái) Radius 服務(wù)器發(fā)生故障的情況下，自動(dòng)切換到第二臺(tái) Radius服務(wù)器； ? 主 Radius 服務(wù)器采用獨(dú)立的硬件服務(wù)器，避免在其上面安裝數(shù)據(jù)庫(kù)或者其它應(yīng)用軟件，保障 Radius 服務(wù)器能夠穩(wěn)定、高效運(yùn)行； ? Policy Cache 技術(shù)保證數(shù)據(jù)庫(kù)服務(wù)器故障情況下，不會(huì)導(dǎo)致準(zhǔn)入控制服務(wù)停止。 Policy Cache/User Cache 兩個(gè)技術(shù)，既解決了準(zhǔn)入控制中的數(shù)據(jù)庫(kù)和AD/LDAP 服務(wù)器的單點(diǎn)故障問(wèn)題，同時(shí)通過(guò)內(nèi)存 Cache 這種方式，大大提高 了終端接入認(rèn)證的速度。 ? 多臺(tái)準(zhǔn)入控制服務(wù)器發(fā)生故障，如：兩臺(tái) Radius 服務(wù)器同時(shí)發(fā)生故障。對(duì)于一個(gè)新的補(bǔ)丁包，管理員可以選定一組測(cè)試計(jì)算機(jī)進(jìn)行測(cè)試，測(cè)試沒(méi)有問(wèn)題后，再對(duì)該補(bǔ)丁做確認(rèn)。 終端用戶可以選擇未安裝補(bǔ)丁進(jìn)行安裝。 LeagView UniAccess 會(huì)自動(dòng)檢查策略目標(biāo)范圍內(nèi)的終端設(shè)備的補(bǔ)丁安裝情況，如果有規(guī)定級(jí)別的補(bǔ)丁未安裝，則自動(dòng)將補(bǔ)丁分發(fā)下去并根據(jù)安裝腳本進(jìn)行安裝。 LeagView UniAccess 可以設(shè)置補(bǔ)丁下載的最大流量，也可以設(shè)置分發(fā)的中繼設(shè)備，從而避免補(bǔ)丁下載過(guò)程占用太大網(wǎng)絡(luò)帶寬。 LeagView UniAccess 可以審計(jì) U 盤(pán)操作，審計(jì)內(nèi)容包括何時(shí)、哪臺(tái)終端、哪個(gè)用戶、使用的 U 盤(pán)標(biāo)識(shí)、做的操作、文件名稱和大小等信息。 自動(dòng)運(yùn)行在桌面終端上的 Agent 可以禁止 Windows共享或者對(duì) Windows共享方式外傳的文件進(jìn)行審計(jì)。