【正文】 自動(dòng)運(yùn)行在桌面終端上的 Agent 可以禁止 Windows共享或者對(duì) Windows共享方式外傳的文件進(jìn)行審計(jì)。 LeagView UniAccess 可以設(shè)置補(bǔ)丁下載的最大流量，也可以設(shè)置分發(fā)的中繼設(shè)備，從而避免補(bǔ)丁下載過(guò)程占用太大網(wǎng)絡(luò)帶寬。 終端用戶可以選擇未安裝補(bǔ)丁進(jìn)行安裝。 ? 多臺(tái)準(zhǔn)入控制服務(wù)器發(fā)生故障，如：兩臺(tái) Radius 服務(wù)器同時(shí)發(fā)生故障。） 為保障網(wǎng)絡(luò)準(zhǔn)入控制服務(wù)高可靠性，建議采取如下措施： ? Radius 采用雙機(jī)，通過(guò)在網(wǎng)絡(luò)設(shè)備上設(shè)置多個(gè) Radius IP 地址，網(wǎng)絡(luò)設(shè)備會(huì)在第一臺(tái) Radius 服務(wù)器發(fā)生故障的情況下，自動(dòng)切換到第二臺(tái) Radius服務(wù)器； ? 主 Radius 服務(wù)器采用獨(dú)立的硬件服務(wù)器，避免在其上面安裝數(shù)據(jù)庫(kù)或者其它應(yīng)用軟件，保障 Radius 服務(wù)器能夠穩(wěn)定、高效運(yùn)行； ? Policy Cache 技術(shù)保證數(shù)據(jù)庫(kù)服務(wù)器故障情況下，不會(huì)導(dǎo)致準(zhǔn)入控制服務(wù)停止。 網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)可靠性保障 為了提高三門(mén)核電 本次范圍內(nèi)的終端安全管理與準(zhǔn)入控制系統(tǒng) 的容災(zāi)性能 ，建議的 LeagView UniAccess 系統(tǒng)部署示意如下 （雙 Radius 服 務(wù)器） ： 由于網(wǎng)絡(luò)準(zhǔn)入控制服務(wù)一旦發(fā)生故障，會(huì)導(dǎo)致電腦終端無(wú)法接入網(wǎng)絡(luò)，因此必須保障網(wǎng)絡(luò)準(zhǔn)入控制的高度可靠。 網(wǎng)絡(luò)設(shè)備配置 在接入交換機(jī)上配置 IEEE 認(rèn)證方式， 在 Cisco 三層交換機(jī)上配置EoU 協(xié)議，各 交換機(jī)的 Radius 服務(wù)器 均 指向 LeagView UniAccess Radius（可以作多臺(tái)熱備和負(fù)載均衡 ）。 LeagView UniAccess 網(wǎng)絡(luò)準(zhǔn)入控制可以幫助用戶很好地解決如下問(wèn)題： ? 防止非法的外來(lái)電腦接入網(wǎng)絡(luò)，影響內(nèi)部網(wǎng)絡(luò)的安全； ? 防止感染病毒、木馬的桌面電腦和筆記本電腦直接接入內(nèi)部網(wǎng)絡(luò)，影響網(wǎng)絡(luò)的正常運(yùn) 行； ? 確保接入網(wǎng)絡(luò)的客戶機(jī)符合安全管理要求。 由于網(wǎng)絡(luò)準(zhǔn)入控制服務(wù)一旦發(fā)生故障，會(huì)導(dǎo)致電腦終端無(wú)法接入網(wǎng)絡(luò)，因此必須保障網(wǎng)絡(luò)準(zhǔn)入控制的高度可靠?；? 認(rèn)證的準(zhǔn)入控制通過(guò) VLAN 動(dòng)態(tài)切換，將不安全的終端切換到修復(fù)區(qū)，將外來(lái)終端切換到訪客區(qū)，從而實(shí)現(xiàn)對(duì)這些終端的訪問(wèn)控制；基于 Cisco EoU 證準(zhǔn)入控制通過(guò)動(dòng)態(tài) ACL(訪問(wèn)控制列表 )，直接限制外來(lái)終端或者不安全的終端對(duì)網(wǎng)絡(luò)資源的訪問(wèn)。 終端修復(fù)服務(wù)器 I E E E 80 2. 1 x 設(shè)備C i sco N A C L2 IP 設(shè)備C i sco N A C L3 IP 設(shè)備A R P 干擾器Le a gV i e w 服務(wù)器AD 服務(wù)器E m ai l 服務(wù)器其它認(rèn)證服務(wù)器 圖表 3 LeagView UniAccess 網(wǎng)絡(luò)準(zhǔn)入控制架構(gòu) LeagView UniAccess 網(wǎng)絡(luò)準(zhǔn)入控制架構(gòu)提供了四種方法解決不同網(wǎng)絡(luò)環(huán)境的網(wǎng)絡(luò)準(zhǔn)入控制： （ 1）、 LeagView UniAccess 網(wǎng)絡(luò)準(zhǔn)入控制的 實(shí)現(xiàn)同時(shí)支持多廠商網(wǎng)絡(luò)設(shè)備，如華為、 Cisco、 H3C 等。一般外來(lái)用戶的終端設(shè)備被限制只能訪問(wèn)訪客區(qū)的網(wǎng)絡(luò)資源。 ? 安全通知，對(duì)被隔離的終端進(jìn)行通知，告知其被隔離的原因。 ? 應(yīng)用系統(tǒng)監(jiān)控 ? 支持主流應(yīng)用系統(tǒng)的監(jiān)控，包括 WebSphere、 Weblogic、 IIS、 Web 服務(wù)器、郵件服務(wù)器； ? 監(jiān)控這些應(yīng)用系統(tǒng)的主要進(jìn)程 CPU、內(nèi)存，應(yīng)用系統(tǒng)的響應(yīng)時(shí)間。 5) 桌面終端的批量管理，提高管理效率 批量對(duì)桌面終端進(jìn)行管理和維護(hù)，例如：集中式自動(dòng)安裝軟件、遠(yuǎn)程監(jiān)控和遠(yuǎn)程協(xié)助、快速設(shè)備定位，批量設(shè)置終端的安全選項(xiàng)等，可以提高終端的日常管理和維護(hù)效率。 對(duì)于不同級(jí)別的安全事件，采取不同的處理流程，確保重要的安全事件能夠得到快速、有效的處 理。 3） 遠(yuǎn)程控制。 ? 審計(jì)內(nèi)部的計(jì)算機(jī)是否運(yùn)行非法軟件，是否未經(jīng)許可更改計(jì)算機(jī)上的 軟件、硬件配置等。 ? 自動(dòng)為客戶端安裝最新補(bǔ)丁包，加強(qiáng)客戶端的抗攻擊能力。 再次，要防止電腦終端私自、非法卸載 Agent 或者停止 Agent 的運(yùn)行 ,確保管理策略的執(zhí)行。如果不符合管理規(guī)定，將拒絕其接入，或者通過(guò)網(wǎng)絡(luò)對(duì)該電腦進(jìn)行自動(dòng)隔離。管理員不僅可以看到 桌面安全 的運(yùn)行狀況， 終端的安全設(shè)置， 也能夠看到 終端的軟件配置、硬件配置、終端的物理位置等信息。解決方案設(shè)計(jì)要采用 IT 服務(wù)管理的理念，按照 ITIL 最佳實(shí)踐標(biāo)準(zhǔn)來(lái)設(shè)計(jì) 。 2) 開(kāi)放性原則：能夠提供標(biāo)準(zhǔn)的和開(kāi)放的應(yīng)用接口及開(kāi)發(fā)工具，符合 IT 技術(shù)未來(lái)的發(fā)展方向。這類(lèi)產(chǎn)品彌補(bǔ)了防火墻、入侵檢測(cè)等產(chǎn)品的不足，提供動(dòng)態(tài)的、深度的、主動(dòng)的安全防御，為企業(yè)提供了一個(gè)全新的入侵保護(hù)解決方案。模塊化設(shè)計(jì)充分保護(hù)用戶投資。 G2) Hillstone 山石網(wǎng)科自主開(kāi)發(fā)的 64 位實(shí)時(shí)安全操作系統(tǒng) StoneOS174。的應(yīng)用和身份識(shí)別，能夠滿足越來(lái)越多的深度安全需求。 SG6000 多核安全網(wǎng)關(guān)還通過(guò)集成第三代 SSL VPN 實(shí)現(xiàn)角色訪問(wèn)控制和即插即用特性，為用戶提供方便、快捷的安全遠(yuǎn)程接入服務(wù) 。新的安全威脅也隨之嵌入到應(yīng)用之中，而傳統(tǒng)基于狀態(tài)檢測(cè)的防火墻只 能依據(jù)端口或協(xié)議去設(shè)置安全策略，根本無(wú)法識(shí)別應(yīng)用，更談不上安全防護(hù)。 移動(dòng)用戶的接入安全： 移動(dòng)用戶可以采用 SSL VPN 方式，實(shí)現(xiàn)對(duì)內(nèi)部資源的安全訪問(wèn)。對(duì)于安裝的服務(wù)器、終端設(shè)備、網(wǎng)絡(luò)設(shè)備、控制設(shè)備與布線系統(tǒng)，必須能適應(yīng)嚴(yán)格的工作環(huán)境，以確保系統(tǒng)穩(wěn)定。 高性能可擴(kuò)展性 能夠根據(jù)應(yīng)用需求方便地進(jìn)行系統(tǒng)擴(kuò)充和技術(shù)擴(kuò)展，滿足應(yīng)用系統(tǒng)需求。 在 Inter 出口部署的 1 臺(tái) Hillstone SG6000M3100 設(shè)備已集成 SSLVPN功能，用戶只需通過(guò) Inter 訪問(wèn)此設(shè)備，然后經(jīng)過(guò)認(rèn)證服務(wù)器的認(rèn)證后，建立 VPN 通道，即可安全地訪問(wèn)被授權(quán)的內(nèi)網(wǎng)資源。 Hillstone 山石網(wǎng)科新一代防火墻可以根據(jù)應(yīng)用的行為和特征實(shí)現(xiàn)對(duì)應(yīng)用的識(shí)別和控制，而不依賴于端口或協(xié)議，即使加密過(guò)的數(shù)據(jù)流也能應(yīng)付自如。 內(nèi)容安全 (UTM Plus174。 基于身份和角色的管理 (RBNS)讓網(wǎng)絡(luò)配置更加直觀和精細(xì)化。具備強(qiáng)大的并行處理能力。通過(guò)增加接口擴(kuò)展模塊提高設(shè)備的連接性，使設(shè)備不會(huì)因?yàn)榫W(wǎng)絡(luò)帶寬或應(yīng)用系統(tǒng)的升級(jí)而過(guò)時(shí)；增加應(yīng)用處理擴(kuò)展模塊，可以提高本機(jī)應(yīng)用處理能力，讓?xiě)?yīng)用處理不再成為性能瓶頸；存儲(chǔ)擴(kuò)展模塊可以實(shí)時(shí)記錄 NAT 日志， Web 訪問(wèn)記錄， Web 內(nèi)容審計(jì)等日志，滿足公安部 82 號(hào)令的要求。 入侵防護(hù) 實(shí)時(shí)、主動(dòng)攔截黑客攻擊、蠕蟲(chóng)、網(wǎng)絡(luò)病毒、后門(mén)木馬、 等惡意流量，保護(hù)企業(yè)信息系統(tǒng)和網(wǎng)絡(luò)架構(gòu)免受侵害，防止操作系統(tǒng)和應(yīng)用程序損壞或宕機(jī)。 3) 可擴(kuò)展性原則：具有高度可擴(kuò)充性，能隨 IT 系統(tǒng)和企業(yè)業(yè)務(wù)的增長(zhǎng)而增長(zhǎng)。 2. 遵循 ISO 17799 標(biāo)準(zhǔn) ISO17799 作為信息系統(tǒng)安全管理標(biāo)準(zhǔn)，已經(jīng)成為全球公認(rèn)的安全管理最佳實(shí)踐，成為全國(guó)大型機(jī)構(gòu)在設(shè) 計(jì)、管理信息系統(tǒng)安全時(shí)的實(shí)踐指南。 通過(guò)統(tǒng)一的集成化的管理平臺(tái)，管理員可以完成所有與桌面安全管理維護(hù)相關(guān) 的各種任務(wù)，具體包括： ? 網(wǎng)絡(luò)準(zhǔn)入控制管理； ? 補(bǔ)丁 分發(fā) 管理； ? 桌面安全策略設(shè)置，包括：移動(dòng)存儲(chǔ)控制、主機(jī)安全漏 洞策略、防病毒安全策略、非法外聯(lián)策略、網(wǎng)絡(luò)訪問(wèn)審計(jì)策略等的設(shè)置； ? 統(tǒng)一的集成化管理平臺(tái)對(duì)管理員的各種操作，應(yīng)提供審計(jì)功能，以備事后審計(jì)； ? 分級(jí)式的系統(tǒng)架構(gòu)，支持分時(shí)段、分區(qū)域的管理； ? 綜合運(yùn)行監(jiān)控，包括網(wǎng)絡(luò)交換機(jī)狀態(tài)、服務(wù)器狀態(tài)等。 通過(guò)操作系統(tǒng)自帶驗(yàn)證功能實(shí)現(xiàn)終端接入的初級(jí)管理，非授權(quán)終端不能訪問(wèn)網(wǎng)絡(luò)，接入成功的終端可 以訪問(wèn)日常辦公區(qū)域和互聯(lián)網(wǎng)等。 1） Agent 自帶反卸載、反非法中止、非法刪除功能； 2） 如果電腦終端私自卸載 Agent（如重新安裝操作系統(tǒng)）或者中止 Agent的運(yùn)行， LeagView UniAccess 后臺(tái)系統(tǒng)可以及時(shí)發(fā)現(xiàn)這種行為。 2） 安全評(píng)估，對(duì)電腦終端的安全設(shè)置和運(yùn)行狀態(tài)進(jìn)行評(píng)估。 最后，如果通過(guò)評(píng)估和審計(jì)發(fā)現(xiàn)問(wèn)題，系統(tǒng)管理員可以通過(guò)集中式操作控制平臺(tái)，對(duì)電腦終端進(jìn)行集中式的管理和設(shè)置。遠(yuǎn)程控制可以讓維護(hù)人員不用離開(kāi)辦公位置就能夠維護(hù)遠(yuǎn)程計(jì)算機(jī)。 三、 UniAccess 的終端安全管理系統(tǒng)主要功能簡(jiǎn)介 具體來(lái)說(shuō)， LeagView UniAccess 網(wǎng)絡(luò)安全管理系統(tǒng) 采 用集中式管理方式，提供了以下幾個(gè)方面的管理功能： 1) 網(wǎng)絡(luò)準(zhǔn)入控制，防止非法電腦接入 支持基于 的網(wǎng)絡(luò)準(zhǔn)入控制 以及 Cisco NAC 網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)，防止非法的或者不安全的終端接入內(nèi)部網(wǎng)絡(luò)系統(tǒng)（非法終端或不安全終端接入一方面會(huì)產(chǎn)生信息安全行為，另一方面會(huì)破壞網(wǎng)絡(luò)的正常穩(wěn)定運(yùn)行）； LeagView UniAccess 安全接入管理系統(tǒng)的準(zhǔn)入控制解決方案，通過(guò)與網(wǎng)絡(luò)設(shè)備的緊密集成（網(wǎng) 絡(luò)交換機(jī)、路由器），在不改變網(wǎng)絡(luò)結(jié)構(gòu)（例如：路由調(diào)整）、不降低網(wǎng)絡(luò)性能和可靠性的情況下，可以支持對(duì)總部局域網(wǎng)接入、遠(yuǎn)程分支機(jī)構(gòu)接入、 VPN 接入、無(wú)線 AP 接入方式的準(zhǔn)入控制。 此外， LeagView UniAccess 支持信息資產(chǎn)安全分級(jí)管理，各種安全管理 策略可以按照：部門(mén)、 IP 網(wǎng)段、 IP 范圍、設(shè)備組、操作系統(tǒng)類(lèi)型、操作系統(tǒng)語(yǔ)言等條件定義安全管理策略的應(yīng)用范圍。 ? 可自定義的監(jiān)控畫(huà)面 ? 管理員可以根據(jù)實(shí)際系統(tǒng)和管理理念，自己定義和組織監(jiān)控畫(huà)面，包括監(jiān)控畫(huà)面之間的層次結(jié)構(gòu)、監(jiān)控畫(huà)面內(nèi)容、監(jiān)控畫(huà)面的訪問(wèn)權(quán)限。 ? 安全修復(fù)，自動(dòng)引導(dǎo)被隔離的終端，讓其修復(fù)安全設(shè)置或者進(jìn)行注冊(cè)登記，使得其可以正常訪問(wèn)網(wǎng)絡(luò)資源。 【修復(fù)區(qū)】 ：修復(fù)區(qū)網(wǎng)絡(luò)資源是用來(lái)修復(fù)安全漏洞的，如補(bǔ)丁服務(wù)器、防病毒服務(wù)器、軟件安裝包服務(wù)器等，不符合組織安全策略要求的終端被限制在修復(fù)區(qū)中，強(qiáng)制它們進(jìn)行安全修復(fù)。支持 的 Single Host、 Multihost、 MultiAuth 模式。 ＋Ra d iu s訪客區(qū)V L A N