【正文】 戶端流量異常管理控制 38. 客戶端流量明細(xì)統(tǒng)計(jì) 39. 客戶端安全漏洞檢查 40. 軟件許可監(jiān)控（黑白名單） 41. 違規(guī)客戶端遠(yuǎn)程阻斷 43. 非授權(quán)外連 43. 終端的網(wǎng)絡(luò)訪問(wèn)行為審計(jì)與控制 44. 支持穿透客戶端防火墻 44. 報(bào)表和數(shù)據(jù)備份 44. 防止文件非法外傳控制 46. U盤/軟盤控制 46. MSN/文件外傳控制 46. 電子郵件方式外傳控制 47. WebMail方式外傳控制 47. 文件共享方式外傳控制 47. 離線控制 47. 補(bǔ)丁分發(fā)管理 48. 補(bǔ)丁斷點(diǎn)續(xù)傳 48. 補(bǔ)丁測(cè)試 48. 客戶端用戶手工安裝補(bǔ)丁 49. 補(bǔ)丁自動(dòng)分發(fā)安裝 50. 軟件分發(fā)管理 51. 斷點(diǎn)續(xù)傳 51. 分發(fā)模式 52. 軟件分發(fā)過(guò)程監(jiān)控 52. 遠(yuǎn)程協(xié)助與維護(hù) 53. 客戶機(jī)軟件部署 54. UniAccessTM的客戶機(jī)軟件部署技術(shù) 54. 客戶機(jī)軟件部署建議 556. 服務(wù)器配置與系統(tǒng)安裝、部署建議 56. UniAccessTM安全接入管理系統(tǒng)的部署優(yōu)勢(shì) 56. 服務(wù)器部署建議 56. UniAccessTM服務(wù)器硬件（1臺(tái)，必選項(xiàng)目） 58. Radius服務(wù)器（2臺(tái)，必選1臺(tái)） 58. 補(bǔ)丁下載服務(wù)器（1臺(tái)，可選） 59. 探測(cè)器(1臺(tái)，可選) 59. UniAccessTM Agent的特點(diǎn)及其部署方法 59. 系統(tǒng)部署時(shí)間 61第 71 頁(yè) 共 71 頁(yè)1. 建設(shè)網(wǎng)絡(luò)準(zhǔn)入控制和桌面安全管理系統(tǒng)的必要性隨著證券行業(yè)信息化的飛速發(fā)展，業(yè)務(wù)和應(yīng)用完全依賴于計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)終端。2. 解決方案總體設(shè)計(jì)思路方案設(shè)計(jì)原則. 方案設(shè)計(jì)原則首先，某認(rèn)為有必要參考國(guó)際、國(guó)內(nèi)的安全管理經(jīng)驗(yàn)，來(lái)設(shè)計(jì)XXXX的“網(wǎng)絡(luò)準(zhǔn)入控制與終端安全管理系統(tǒng)”解決方案。管理員不僅可以看到終端安全的運(yùn)行狀況，終端的安全設(shè)置，也能夠看到終端的軟件配置、硬件配置、終端的物理位置等信息。其次，對(duì)接入網(wǎng)絡(luò)的電腦終端，可以進(jìn)行進(jìn)一步的安全管理和控制，包括：1）安全加固，安全加固可以實(shí)現(xiàn)：對(duì)主機(jī)的賬戶口令、屏?？诹?、共享目錄、自動(dòng)運(yùn)行的服務(wù)進(jìn)行安全加固，如提示用戶設(shè)置強(qiáng)口令、設(shè)置屏?？诹?，刪除寫共享目錄，停止一些危險(xiǎn)的服務(wù)進(jìn)程等。集中軟件分發(fā)和補(bǔ)丁管理減輕管理員的日常維護(hù)工作量，提高效率。對(duì)員工的各種不規(guī)范行為進(jìn)行矯正，例如：使用非法軟件（BT/eMule/MSN/等）、訪問(wèn)非法網(wǎng)站、改變電腦終端的硬件配置等。l 接入檢查終端在接入網(wǎng)絡(luò)時(shí)，準(zhǔn)入控制系統(tǒng)會(huì)檢查其用戶賬戶、安全設(shè)置狀態(tài)、終端硬件合法性等。. UniAccessTM網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)在UniAccessTM的網(wǎng)絡(luò)準(zhǔn)入控制解決方案中，管理員可以將網(wǎng)絡(luò)資源劃分為不同的區(qū)域以便不同的終端訪問(wèn)不同區(qū)域的網(wǎng)絡(luò)資源：訪客區(qū)、修復(fù)區(qū)和正常工作區(qū)。這樣可以提示這些終端設(shè)備為什么被限制訪問(wèn)網(wǎng)絡(luò)資源。UniAccessTM可以支持所有主流的網(wǎng)絡(luò)設(shè)備，包括思科、華為、3Com和北電等。因?yàn)?，分支機(jī)構(gòu)沒(méi)有配備專門的Radius認(rèn)證服務(wù)器，一旦廣域網(wǎng)線路中斷，很容易導(dǎo)致所有電腦終端無(wú)法接入網(wǎng)絡(luò)。 硬盤信息：硬盤大小、速度、廠商、型號(hào)216。管理員可以通過(guò)如下界面瀏覽客戶端注冊(cè)信息。圖 18 配置變更策略從圖中可以看到，UniAccessTM可以監(jiān)控的硬件配置有CPU、主板、內(nèi)存、硬盤、網(wǎng)卡，UniAccessTM可以監(jiān)控的軟件配置有所有軟件變化、指定軟件變化、除指定軟件外的其他軟件變化、除微軟操作系統(tǒng)外的其他軟件變化。當(dāng)網(wǎng)絡(luò)中部署了支持這兩種協(xié)議的網(wǎng)絡(luò)交換機(jī)或者路由器時(shí)，UniAccessTM可以控制讓未注冊(cè)客戶端訪問(wèn)web資源時(shí)重定向到指定URL中。另外所有漏洞也會(huì)通知管理員。. 支持穿透客戶端防火墻UniAccessTM正常的安全管理功能不需要在終端設(shè)備上打開(kāi)任何服務(wù)端口，所以不會(huì)給客戶端帶來(lái)額外的安全風(fēng)險(xiǎn)，客戶端防火墻不會(huì)對(duì)其有任何影響。UniAccessTM對(duì)郵件的審計(jì)包括何時(shí)、哪個(gè)終端、哪個(gè)用戶、哪個(gè)POP3或者SMTP服務(wù)器、發(fā)件人和收件人、郵件主題、郵件附件等。圖 34 補(bǔ)丁安裝信息. 補(bǔ)丁自動(dòng)分發(fā)安裝UniAccessTM實(shí)現(xiàn)補(bǔ)丁自動(dòng)分發(fā)與安裝。圖 37 軟件分發(fā)任務(wù)執(zhí)行詳細(xì)信息. 遠(yuǎn)程協(xié)助與維護(hù)UniAccessTM實(shí)現(xiàn)基于web的遠(yuǎn)程終端協(xié)助與維護(hù)。代理一旦安裝，除管理員外其它用戶不能手動(dòng)中止、卸載或刪除UniAccessTM 代理。管理員可以設(shè)置某個(gè)用戶的校驗(yàn)碼無(wú)效，這樣用此用戶的郵件地址和校驗(yàn)碼就不能校驗(yàn)成功。所有這些，使得UniAccessTM安全接入管理系統(tǒng)在部署時(shí)簡(jiǎn)單易行。補(bǔ)丁下載服務(wù)器配置要求如下：節(jié)點(diǎn)數(shù)配置要求用戶確認(rèn)不限l 1CPU：主頻 Hz以上l DRAM： 256MB以上l Hard disk：40GB IDEl 網(wǎng)卡：100MB備注：可以選用淘汰的PC機(jī)頂替。l 可以使用Microsoft Installer (MSI)版本的UniAccessTM Agent安裝程序來(lái)進(jìn)行自動(dòng)安裝。（3） 遠(yuǎn)程管理及遠(yuǎn)程控制問(wèn)題某聯(lián)通的在某有多個(gè)辦公場(chǎng)所，由于地理位置分散，長(zhǎng)期起來(lái)給桌面電腦的管理維護(hù)帶來(lái)了極大的不便。LeagView作為一款技術(shù)領(lǐng)先的桌面安全管理產(chǎn)品，為某聯(lián)通解決絕大多數(shù)桌面電腦和筆記本電腦管理中一直存在的諸多問(wèn)題。LeagView提供各種類型的資產(chǎn)、軟件、安全漏洞、變更等報(bào)表，方便管理和決策。由于市場(chǎng)上解決這些方面問(wèn)題的產(chǎn)品或者解決方案較少，即使有也往往不能完全解決某的全部管理需求，并且多數(shù)的產(chǎn)品在部署實(shí)施方面工作量大而且比較復(fù)雜。u 集中式遠(yuǎn)程管理，包括遠(yuǎn)程協(xié)助、遠(yuǎn)程監(jiān)控多種管理模式。爆發(fā)大規(guī)模網(wǎng)絡(luò)病毒的主要原因在于缺乏必要的桌面PC安全漏洞管理。具體來(lái)說(shuō)，這些需要解決的管理問(wèn)題包括：（1） 防止非法外來(lái)接入以及信息安全保障問(wèn)題由于辦公場(chǎng)地分散，某些辦公場(chǎng)所有無(wú)線AP設(shè)備，如何防止外來(lái)的電腦通過(guò)無(wú)線AP等方式接入到某聯(lián)通的內(nèi)部網(wǎng)絡(luò)竊取機(jī)密文件，防止員工通過(guò)某聯(lián)通以外的電子郵件服務(wù)器收發(fā)郵件泄漏公司機(jī)密，防止員工通過(guò)USB、撥號(hào)上網(wǎng)等方式泄漏公司機(jī)密成為某聯(lián)通非常關(guān)注的重要問(wèn)題。l 可以給目標(biāo)系統(tǒng)用戶發(fā)送一個(gè)正文帶有URL鏈接的，用戶收到該URL之后，只需點(diǎn)擊URL即可實(shí)現(xiàn)安裝UniAccessTM Agent。服務(wù)器上需安裝SQL Server數(shù)據(jù)庫(kù)，實(shí)現(xiàn)對(duì)全網(wǎng)所有系統(tǒng)的管理。l 自動(dòng)發(fā)現(xiàn)外來(lái)或者“脫僵”客戶機(jī)。管理系統(tǒng)根據(jù)輸入的郵件地址和校驗(yàn)碼進(jìn)行校驗(yàn)，成功后才能夠安裝。UniAccessTM提供如下技術(shù)實(shí)現(xiàn)代理的快速、有效部署。. 軟件分發(fā)過(guò)程監(jiān)控UniAccessTM可以讓管理員查看某個(gè)軟件分發(fā)任務(wù)的執(zhí)行情況，包括軟件分發(fā)任務(wù)執(zhí)行統(tǒng)計(jì)信息和每臺(tái)終端設(shè)備的執(zhí)行狀態(tài)。 下面界面顯示所有補(bǔ)丁信息，其中有一個(gè)屬性，即補(bǔ)丁是否被管理員所確認(rèn)。對(duì)軟盤的管理控制與U盤（包括USB硬盤）相同。管理員可以為非授權(quán)外連審計(jì)策略設(shè)置適用場(chǎng)景，如終端在辦公環(huán)境中不能通過(guò)Modem撥號(hào)，但在外出差則可以Modem撥號(hào)通過(guò)VPN訪問(wèn)內(nèi)部網(wǎng)絡(luò)。. 客戶端流量明細(xì)統(tǒng)計(jì)管理員可以設(shè)置統(tǒng)計(jì)客戶端與網(wǎng)絡(luò)上其它主機(jī)的流量明細(xì)。UniAccessTM探測(cè)器模塊可以檢測(cè)，網(wǎng)絡(luò)中未注冊(cè)的終端接入到網(wǎng)絡(luò)，當(dāng)這些設(shè)備訪問(wèn)web資源時(shí)，會(huì)被自動(dòng)重定向到“客戶端注冊(cè)”頁(yè)面，強(qiáng)制提醒終端用戶需要進(jìn)行注冊(cè)并安裝UniAccessTM代理。圖 17 將安全策略與事件處理流程綁定. 配置變更管理UniAccessTM可以對(duì)終端設(shè)備的軟硬件配置變化進(jìn)行監(jiān)控。管理員可以通過(guò)以下信息查詢接入設(shè)備的位置（所連接的網(wǎng)絡(luò)交換機(jī)及其端口）：l 接入設(shè)備的MAC地址；l 接入設(shè)備的IP地址l 接入設(shè)備的主機(jī)名. 客戶端設(shè)備注冊(cè)UniAccessTM的客戶端代理支持通過(guò)Web方式安裝。對(duì)于安裝了UniAccessTM代理的終端設(shè)備，可以采集到終端詳細(xì)的軟硬件配置信息，硬件信息包括：216。圖 7 基于Cisco EoU認(rèn)證的準(zhǔn)入控制. 中小型分支機(jī)構(gòu)準(zhǔn)入控制建議XXXX在全國(guó)擁有數(shù)量眾多的分支機(jī)構(gòu)，對(duì)于中小型分支機(jī)構(gòu)，建議不用配置專門的準(zhǔn)入控制服務(wù)器，可以利用上級(jí)網(wǎng)絡(luò)（總部或者地區(qū)總部）中的準(zhǔn)入控制服務(wù)器做認(rèn)證控制。一般來(lái)說(shuō)，電腦終端的數(shù)量小于150臺(tái)可以算作中小型分支機(jī)構(gòu)。 Host、Multihost、MultiAuth模式。即：?jiǎn)闻_(tái)服務(wù)器或者設(shè)備的暫時(shí)性故障，不會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)接入服務(wù)不可用；l 和準(zhǔn)入控制系統(tǒng)相關(guān)的網(wǎng)絡(luò)設(shè)備、服務(wù)器、數(shù)據(jù)庫(kù)和軟件故障，系統(tǒng)能夠?qū)崿F(xiàn)自動(dòng)報(bào)警，向相關(guān)管理員發(fā)送手機(jī)短信息等；l 在特殊緊急情況下（例如：雙機(jī)故障，或分支機(jī)構(gòu)到總部的廣域網(wǎng)線路中斷）1）網(wǎng)絡(luò)管理員可以通過(guò)執(zhí)行腳本的方式，快速將網(wǎng)絡(luò)接入設(shè)置為“不設(shè)防”狀態(tài)（臨時(shí)撤銷所有準(zhǔn)入控制措施），使得所有電腦終端能夠正常接入網(wǎng)絡(luò)。l 幫助安全管理員解決內(nèi)部用戶私自接HUB、無(wú)線AP等不安全行為。 網(wǎng)絡(luò)準(zhǔn)入控制，防止非法電腦接入 NAC網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)，防止非法的或者不安全的終端接入內(nèi)部網(wǎng)絡(luò)系統(tǒng)（非法終端或不安全終端接入一方面會(huì)產(chǎn)生信息安全行為，另一方面會(huì)破壞網(wǎng)絡(luò)的正常穩(wěn)定運(yùn)行）；UniAccessTM安全接入管理系統(tǒng)的準(zhǔn)入控制解決方案，通過(guò)與網(wǎng)絡(luò)設(shè)備的緊密集成（網(wǎng)絡(luò)交換機(jī)、路由器），在不改變網(wǎng)絡(luò)結(jié)構(gòu)（例如：路由調(diào)整）、不降低網(wǎng)絡(luò)性能和可靠性的情況下，可以支持對(duì)總部局域網(wǎng)接入、遠(yuǎn)程分支機(jī)構(gòu)接入、VPN接入、無(wú)線AP接入方式的準(zhǔn)入控制。通過(guò)集中式控制平臺(tái)，也可以對(duì)電腦終端進(jìn)行各種批量的查詢和統(tǒng)計(jì)。企業(yè)可以依據(jù)有關(guān)安全管理規(guī)范對(duì)其進(jìn)行警告或者處罰，防范這種行為的再次發(fā)生。以下是圖 1 PDCA安全模型。這些行為違反了單位的管理規(guī)定，也影響的計(jì)算機(jī)網(wǎng)絡(luò)的安全性，如果情況嚴(yán)重可能會(huì)導(dǎo)致網(wǎng)絡(luò)癱瘓。下面有一組數(shù)據(jù)，說(shuō)明當(dāng)前網(wǎng)絡(luò)安全的嚴(yán)峻形勢(shì)：，涉及政府機(jī)關(guān)、電信廣電、能源交通、金融證券、教育科研、商業(yè)和制造業(yè)等領(lǐng)域的全國(guó)信息網(wǎng)絡(luò)安全狀況暨計(jì)算機(jī)病毒疫情調(diào)查結(jié)果顯示：l 2005年，感染過(guò)計(jì)算機(jī)病毒的用戶數(shù)占被調(diào)查總數(shù)的80%l %l 2005年中國(guó)有將近90%的用戶遭受間諜軟件的襲擊另根據(jù)中國(guó)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心公布的數(shù)據(jù)：2005年6月－9月國(guó)內(nèi)發(fā)現(xiàn)較大規(guī)模僵尸網(wǎng)絡(luò)59個(gè)，平均每天有3萬(wàn)臺(tái)電腦被控制。 對(duì)信息系統(tǒng)分類，不同對(duì)象定義不同的安全級(jí)別216。UniAccessTM安全接入管理系統(tǒng)對(duì)電腦終端進(jìn)行安全管理的總體思路是：首先，通過(guò)網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)，確保接入網(wǎng)絡(luò)的電腦終端符合如下要求：1） 必須安裝Agent，如果是未安裝Agent的電腦終端接入網(wǎng)絡(luò)，其打開(kāi)WEB瀏覽器訪問(wèn)任何Web site時(shí)，將被重定向到管理員指定的一個(gè)頁(yè)面，提醒其安裝Agent。比如賬戶口令是否是強(qiáng)口令；目錄是否有缺省可寫共享；是否運(yùn)行了一些危險(xiǎn)進(jìn)程；通過(guò)檢查注冊(cè)表發(fā)現(xiàn)是否有已知的間諜軟件；是否安裝了最新補(bǔ)丁包；是否安裝了規(guī)定的防病毒軟件并及時(shí)更新了病毒特征庫(kù)。對(duì)于不安全的接入網(wǎng)絡(luò)的設(shè)備，管理員能夠快速定位設(shè)備是連接在哪個(gè)網(wǎng)絡(luò)交換機(jī)的哪個(gè)端口，是在什么物理位置、誰(shuí)的設(shè)備，這樣可以做出相應(yīng)措施來(lái)控制攻擊的擴(kuò)散，如直接從網(wǎng)絡(luò)斷開(kāi)這臺(tái)設(shè)備。包括：軟硬件資產(chǎn)統(tǒng)計(jì)，資產(chǎn)變更自動(dòng)發(fā)現(xiàn)，資產(chǎn)的維護(hù)等。某科技的UniAccessTM網(wǎng)絡(luò)準(zhǔn)入控制解決方案是一個(gè)完整的準(zhǔn)入控制方案，可以提供以上五個(gè)方面的所有內(nèi)容。當(dāng)終端設(shè)備被接入網(wǎng)絡(luò)時(shí)，會(huì)被要求進(jìn)行身份認(rèn)證和安全策略檢查。圖 5 EoU認(rèn)證準(zhǔn)入控制技術(shù)對(duì)比UniAccessTM 網(wǎng)絡(luò)準(zhǔn)入控制架構(gòu)的突出特點(diǎn)是以網(wǎng)絡(luò)設(shè)備為控制設(shè)備點(diǎn)，但又不局限于一家網(wǎng)絡(luò)設(shè)備廠商，能夠適應(yīng)各種網(wǎng)絡(luò)環(huán)境要求。（2） 只有合法身份的用戶以及滿足組織安全規(guī)范的桌面PC才能接入到網(wǎng)絡(luò)中，否則系統(tǒng)會(huì)將此桌面PC機(jī)（包括沒(méi)有安裝客戶端代理的桌面PC機(jī)）自動(dòng)切換到一個(gè)修復(fù)VLAN中，客戶端在此修復(fù)VLAN中訪問(wèn)修復(fù)安全漏洞必須的網(wǎng)絡(luò)資源；（3） 合法身份的用戶以及滿足組織安全規(guī)范的桌面PC接入到網(wǎng)絡(luò)時(shí)，系統(tǒng)會(huì)根據(jù)用戶身份自動(dòng)將桌面PC機(jī)切換到屬于該用戶的工作VLAN中，從而實(shí)現(xiàn)不同權(quán)限的人可以訪問(wèn)不同的網(wǎng)絡(luò)資源。圖 8 分支機(jī)構(gòu)終端接入控制示意圖由于分支機(jī)構(gòu)的網(wǎng)絡(luò)規(guī)模比較少，沒(méi)有獨(dú)立的防病毒服務(wù)器或者補(bǔ)丁服務(wù)器，分支機(jī)構(gòu)的終端往往需要通過(guò)總部的防病毒服務(wù)器、補(bǔ)丁服務(wù)器來(lái)進(jìn)行自我修復(fù)。 安裝的軟件名216。. 未安裝殺毒軟件客戶端報(bào)警UniAccessTM主機(jī)安全漏洞檢測(cè)功能可以檢查終端設(shè)備是否存在安全漏洞，包括指定版本的防病毒軟件是否安裝、防病毒軟件的病毒特征庫(kù)是否為最新的。圖 21 客戶端代理安裝檢測(cè)策略. 客戶端組件在線升級(jí)UniAccessTM支持客戶端代理在線升級(jí)，管理員可以配置升級(jí)策略，定時(shí)間、定范圍地升級(jí)客戶端代理，并可以查看到代理升級(jí)結(jié)果。UniAccessTM的權(quán)限分配是基于用戶組的，即為每個(gè)用戶組分配權(quán)限，然后將設(shè)置管理員屬于哪個(gè)用戶組。UniAccessTM支持三種方式來(lái)定義違禁軟件：（1）通過(guò)進(jìn)程名來(lái)定義，即軟件運(yùn)行后為指定進(jìn)程名的即為違禁軟件（可以指定進(jìn)程文件的執(zhí)行路徑）；（2）通過(guò)安裝軟件名稱；（3）通過(guò)安裝目錄。下圖是UniAccessTM數(shù)據(jù)備份工具界面，它提供完整數(shù)據(jù)備份。此外，通過(guò)Agent所提供的雙向防火墻功能，可以防止通過(guò)FTP方式外傳文件。UniAccessTM還允許管理員為某個(gè)補(bǔ)丁定義自動(dòng)分發(fā)與安裝策略，此時(shí)UniAccessTM在策略目標(biāo)范圍內(nèi)檢查終端設(shè)備是否安裝了該補(bǔ)丁，對(duì)于未安裝的終端設(shè)備，在指定時(shí)間內(nèi)將補(bǔ)丁主動(dòng)推下去進(jìn)行安裝。UniAccessTM在遠(yuǎn)程控制時(shí)需要進(jìn)行口令驗(yàn)證，口令不正確將被禁止訪問(wèn)。l 防火墻聯(lián)動(dòng)部署。對(duì)于一些服務(wù)器或者由管理員負(fù)責(zé)的公共客戶機(jī)，管理員擁有它們的系統(tǒng)管理員賬戶和口令，管理系統(tǒng)可以讓管理員通過(guò)界面集中遠(yuǎn)程安裝，而不需要讓管理