【正文】 ，按照 ITIL 最佳實踐標(biāo)準(zhǔn)來設(shè)計 。 PDCA安全模型的核心思想是：信息系統(tǒng)的安全需求是不斷變化的，要使得信息系統(tǒng)的安全能夠滿足業(yè)務(wù)需要，必須建立動態(tài)的“計劃、設(shè)計和部署、監(jiān)控評估、改進(jìn) 提高”管理方法，持續(xù)不斷地改進(jìn)信息系統(tǒng)的安全性。管理員不僅可以看到 桌面安全 的運(yùn)行狀況， 終端的安全設(shè)置， 也能夠看到 終端的軟件配置、硬件配置、終端的物理位置等信息。很多計算機(jī)的管理信息需要通過人來反映，如計算機(jī)有問題時，通常需要知會計算機(jī)的用戶。如果不符合管理規(guī)定，將拒絕其接入，或者通過網(wǎng)絡(luò)對該電腦進(jìn)行自動隔離。安裝了 Agent 的終端必須符合網(wǎng)絡(luò)安全接入管理規(guī)定，例如：擁有合法的訪問帳號、安裝了指定的防病毒軟件、安裝了指定的操作系統(tǒng)補(bǔ)丁等。 再次，要防止電腦終端私自、非法卸載 Agent 或者停止 Agent 的運(yùn)行 ,確保管理策略的執(zhí)行。 圖表 1 網(wǎng)絡(luò)安全管理 系統(tǒng) 架構(gòu) 首先， LeagView UniAccess 安全接入管理系統(tǒng)，通過網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)，對接入網(wǎng)絡(luò)的電腦終端進(jìn)行實時安全檢查，檢查的內(nèi)容包括： 1） 賬戶檢查：用戶名和密碼 ? 防止外來人員私自安裝一個相同的 Agent 后接入網(wǎng)絡(luò) 2） 安全設(shè)置規(guī)范檢查 : 終端的安全設(shè)置 ? 檢查系統(tǒng)賬戶，包括： Guest 賬戶和弱口令檢查； ? Windows 域檢查，檢查終端是否加入指定的 Windows 域； ? 檢查可寫共享設(shè)置，檢查終端是否設(shè)置了可寫或者沒有權(quán)限限制的可寫共享； ? 檢查終端操作系統(tǒng)補(bǔ)丁安裝情況； ? 檢查終端的防病毒安裝情況及其病毒特征 庫是否及時升級； ? 檢查終端是否有可疑的注冊表項； ? 檢查終端是否有可疑的文件存在； ? 檢查終端是否安裝了非法軟件。 ? 自動為客戶端安裝最新補(bǔ)丁包，加強(qiáng)客戶端的抗攻擊能力。 ? 檢測每個客戶端的網(wǎng)絡(luò)訪問流量，確定是否有發(fā)送大量廣播包、流量異常大、網(wǎng)絡(luò)連接異常多的情況，對于這些異常情況及時向管理員報告，在大規(guī)模攻擊出現(xiàn)之前找到根源。 ? 審計內(nèi)部的計算機(jī)是否運(yùn)行非法軟件，是否未經(jīng)許可更改計算機(jī)上的 軟件、硬件配置等。集中、批量、分組對桌面電腦進(jìn)行安全設(shè)置、安全狀態(tài)查詢。 3） 遠(yuǎn)程控制。 5） 資產(chǎn)管理。 對于不同級別的安全事件，采取不同的處理流程，確保重要的安全事件能夠得到快速、有效的處 理。 對員工的各種不規(guī)范行為進(jìn)行矯正，例如：使用非法軟件、訪問非法網(wǎng)站、改變電腦終端的硬件配置等。 5) 桌面終端的批量管理，提高管理效率 批量對桌面終端進(jìn)行管理和維護(hù)，例如：集中式自動安裝軟件、遠(yuǎn)程監(jiān)控和遠(yuǎn)程協(xié)助、快速設(shè)備定位，批量設(shè)置終端的安全選項等，可以提高終端的日常管理和維護(hù)效率。 I B M 大 機(jī)數(shù) 據(jù) 庫 管 理系 統(tǒng)防 火 墻路 由 器I D S交 換 機(jī)應(yīng) 用 服 務(wù) 器W e b 服 務(wù) 器其 它 應(yīng) 用 程 序W i n d o w s 主機(jī)U n i x 主 機(jī)多 種 告 警系 統(tǒng) 配 置系 統(tǒng) 拓 撲 性 能 分 析故 障 診 斷1 2 34 5 67 8 9* 8 項 目 產(chǎn) 品基 于 W e b 的 操作 管 理 臺綜 合 監(jiān) 控 中 心監(jiān) 控 各 種 網(wǎng) 絡(luò) 設(shè) 備 、 主機(jī) 、 數(shù) 據(jù) 庫 、 應(yīng) 用 系 統(tǒng) 圖 1 UniMon 統(tǒng)一運(yùn)行監(jiān)控體系 UniMon 采用集中式管理方式，提供了以下 多 個方面的 運(yùn)行監(jiān)控 功能： ? 網(wǎng)絡(luò)系統(tǒng)監(jiān)控 ? 支持主流網(wǎng)絡(luò)設(shè)備監(jiān)控，包括思科、華為、 3Com、北電 ； ? 支持二層網(wǎng)絡(luò)拓?fù)渥詣影l(fā)現(xiàn)； ? 監(jiān)控網(wǎng)絡(luò)設(shè)備 CPU、內(nèi)存； ? 監(jiān)控網(wǎng)絡(luò)線路的連 通性、響應(yīng)時間、流量、帶寬利用率、廣播包、錯包率、丟包率等。 ? 應(yīng)用系統(tǒng)監(jiān)控 ? 支持主流應(yīng)用系統(tǒng)的監(jiān)控，包括 WebSphere、 Weblogic、 IIS、 Web 服務(wù)器、郵件服務(wù)器； ? 監(jiān)控這些應(yīng)用系統(tǒng)的主要進(jìn)程 CPU、內(nèi)存，應(yīng)用系統(tǒng)的響應(yīng)時間。 ? 故障報警方式，支持郵件、自動電話撥號、手機(jī)短信、 TTS 語音報警方式，能將不同級別的告警通過郵件、電話、短信、 TTS 語音報警通知相關(guān)用戶； 三門核電終端準(zhǔn)入控制解決方案 一、 終端網(wǎng)絡(luò)準(zhǔn)入控制總體思路 UniAccess 網(wǎng)絡(luò)準(zhǔn)入控制的流程 部署準(zhǔn)入控制系統(tǒng)后，改變了電腦終端接入網(wǎng)絡(luò)的行為模式。 ? 安全通知，對被隔離的終端進(jìn)行通知，告知其被隔離的原因。 2. UniAccess 網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)原理 聯(lián)軟科技網(wǎng)絡(luò)準(zhǔn)入控制的宗旨是 ：為防止非法用戶、病毒、蠕蟲、新興黑客技術(shù)等對企業(yè)安全造成危害，采用 NAC，只允許合法的、安全的、值得信任的設(shè)備（如 PC、服務(wù)器、 PDA）接入網(wǎng)絡(luò)，而不允許其它設(shè)備接入。一般外來用戶的終端設(shè)備被限制只能訪問訪客區(qū)的網(wǎng)絡(luò)資源。 ? 已安裝 agent、身份合法、安全策略合法的終端 ，但終端的硬件 ID標(biāo)識不合法，拒絕接入網(wǎng)絡(luò)或劃入訪客區(qū)、修復(fù)區(qū)。 終端修復(fù)服務(wù)器 I E E E 80 2. 1 x 設(shè)備C i sco N A C L2 IP 設(shè)備C i sco N A C L3 IP 設(shè)備A R P 干擾器Le a gV i e w 服務(wù)器AD 服務(wù)器E m ai l 服務(wù)器其它認(rèn)證服務(wù)器 圖表 3 LeagView UniAccess 網(wǎng)絡(luò)準(zhǔn)入控制架構(gòu) LeagView UniAccess 網(wǎng)絡(luò)準(zhǔn)入控制架構(gòu)提供了四種方法解決不同網(wǎng)絡(luò)環(huán)境的網(wǎng)絡(luò)準(zhǔn)入控制： （ 1）、 LeagView UniAccess 網(wǎng)絡(luò)準(zhǔn)入控制的 實現(xiàn)同時支持多廠商網(wǎng)絡(luò)設(shè)備，如華為、 Cisco、 H3C 等。 （ 3）、 ARP 干擾 與 相結(jié)合，為未安裝代理的終端設(shè)備提供 URL 重定向功能?；? 認(rèn)證的準(zhǔn)入控制通過 VLAN 動態(tài)切換，將不安全的終端切換到修復(fù)區(qū)，將外來終端切換到訪客區(qū)，從而實現(xiàn)對這些終端的訪問控制；基于 Cisco EoU 證準(zhǔn)入控制通過動態(tài) ACL(訪問控制列表 )，直接限制外來終端或者不安全的終端對網(wǎng)絡(luò)資源的訪問。 2. 檢查該電腦是否是本單位內(nèi)部的合法終端（檢查電腦的硬件 ID），合法的電腦硬件 ID 保存在管理服務(wù)器的數(shù)據(jù)庫中。 由于網(wǎng)絡(luò)準(zhǔn)入控制服務(wù)一旦發(fā)生故障，會導(dǎo)致電腦終端無法接入網(wǎng)絡(luò)，因此必須保障網(wǎng)絡(luò)準(zhǔn)入控制的高度可靠。在緊急模式下，可以指定電腦終端可以訪問哪些資源。 LeagView UniAccess 網(wǎng)絡(luò)準(zhǔn)入控制可以幫助用戶很好地解決如下問題： ? 防止非法的外來電腦接入網(wǎng)絡(luò)，影響內(nèi)部網(wǎng)絡(luò)的安全； ? 防止感染病毒、木馬的桌面電腦和筆記本電腦直接接入內(nèi)部網(wǎng)絡(luò)，影響網(wǎng)絡(luò)的正常運(yùn) 行； ? 確保接入網(wǎng)絡(luò)的客戶機(jī)符合安全管理要求。 目前業(yè) 界有兩種成熟的準(zhǔn)入控制協(xié)議： （ EAP over LAN）和 EoU（ EAP over UDP）。 網(wǎng)絡(luò)設(shè)備配置 在接入交換機(jī)上配置 IEEE 認(rèn)證方式， 在 Cisco 三層交換機(jī)上配置EoU 協(xié)議，各 交換機(jī)的 Radius 服務(wù)器 均 指向 LeagView UniAccess Radius（可以作多臺熱備和負(fù)載均衡 ）。 部署方法 終端修復(fù)服務(wù)器 I E E E 80 2. 1 x 設(shè)備C i sco N A C L2 IP 設(shè)備C i sco N A C L3 IP 設(shè)備A R P 干擾器Le a gV i e w 服務(wù)器AD 服務(wù)器E m ai l 服務(wù)器其它認(rèn)證服務(wù)器 首先，在 LeagView UniAccess 管理平臺上定義訪客區(qū) VLAN、修復(fù)區(qū)VLAN、工作區(qū) VLAN，并根據(jù)實際需要設(shè)置無客戶端（ agent）、錯誤身份、不符合安全策略等終端的隔離動作。 網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)可靠性保障 為了提高三門核電 本次范圍內(nèi)的終端安全管理與準(zhǔn)入控制系統(tǒng) 的容災(zāi)性能 ，建議的 LeagView UniAccess 系統(tǒng)部署示意如下 （雙 Radius 服 務(wù)器） ： 由于網(wǎng)絡(luò)準(zhǔn)入控制服務(wù)一旦發(fā)生故障，會導(dǎo)致電腦終端無法接入網(wǎng)絡(luò)，因此必須保障網(wǎng)絡(luò)準(zhǔn)入控制的高度可靠。在緊急模式下，可以指定電腦終端可以訪問哪些資 源。） 為保障網(wǎng)絡(luò)準(zhǔn)入控制服務(wù)高可靠性，建議采取如下措施： ? Radius 采用雙機(jī)，通過在網(wǎng)絡(luò)設(shè)備上設(shè)置多個 Radius IP 地址，網(wǎng)絡(luò)設(shè)備會在第一臺 Radius 服務(wù)器發(fā)生故障的情況下，自動切換到第二臺 Radius服務(wù)器； ? 主 Radius 服務(wù)器采用獨立的硬件服務(wù)器，避免在其上面安裝數(shù)據(jù)庫或者其它應(yīng)用軟件，保障 Radius 服務(wù)器能夠穩(wěn)定、高效運(yùn)行； ? Policy Cache 技術(shù)保證數(shù)據(jù)庫服務(wù)器故障情況下，不會導(dǎo)致準(zhǔn)入控制服務(wù)停止。 Policy Cache/User Cache 兩個技術(shù)，既解決了準(zhǔn)入控制中的數(shù)據(jù)庫和AD/LDAP 服務(wù)器的單點故障問題，同時通過內(nèi)存 Cache 這種方式，大大提高 了終端接入認(rèn)證的速度。 ? 多臺準(zhǔn)入控制服務(wù)器發(fā)生故障，如：兩臺 Radius 服務(wù)器同時發(fā)生故障。對于一個新的補(bǔ)丁包，管理員可以選定一組測試計算機(jī)進(jìn)行測試，測試沒有問題后，再對該補(bǔ)丁做確認(rèn)。 終端用戶可以選擇未安裝補(bǔ)丁進(jìn)行安裝。 LeagView UniAccess 會自動檢查策略目標(biāo)范圍內(nèi)的終端設(shè)備的補(bǔ)丁安裝情況，如果有規(guī)定級別的補(bǔ)丁未安裝，則自動將補(bǔ)丁分發(fā)下去并根據(jù)安裝腳本進(jìn)行安裝。 LeagView UniAccess 可以設(shè)置補(bǔ)丁下載的最大流量，也可以設(shè)置分發(fā)的中繼設(shè)備，從而避免補(bǔ)丁下載過程占用太大網(wǎng)絡(luò)帶寬。 LeagView UniAccess 可以審計 U 盤操作，審計內(nèi)容包括何時、哪臺終端、哪個用戶、使用的 U 盤標(biāo)識、做的操作、文件名稱和大小等信息。 自動運(yùn)行在桌面終端上的 Agent 可以禁止 Windows共享或者對 Windows共享方式外傳的文件進(jìn)行審計。