【文章內(nèi)容簡介】 2） TSM系統(tǒng)管理中心（TMC）部署在總部現(xiàn)有業(yè)務(wù)系統(tǒng)區(qū)域，TSM系統(tǒng)管理節(jié)點(diǎn)（SM+SC）分布式部署在總部和各分支機(jī)構(gòu)，負(fù)責(zé)各個(gè)地區(qū)策略制定以及終端的身份認(rèn)證和安全檢查，所有的TSM系統(tǒng)管理節(jié)點(diǎn)統(tǒng)一由總部的管理服務(wù)器進(jìn)行管理；3） 在TSM系統(tǒng)管理界面啟用基于主機(jī)防火墻的準(zhǔn)入控制功能，并將現(xiàn)有網(wǎng)絡(luò)資源按照業(yè)務(wù)和安全等級(jí)劃分為3個(gè)安全域：l 認(rèn)證前域：終端在身份認(rèn)證和安全檢查通過前能夠訪問的網(wǎng)絡(luò)資源，包括DHCP服務(wù)器、TSM系統(tǒng)服務(wù)器等；l 隔離域：終端在通過身份認(rèn)證但沒有通過安全檢查時(shí)處于被隔離狀態(tài)，此時(shí)僅能夠進(jìn)行安全修復(fù)操作，包括防病毒軟件病毒庫升級(jí)服務(wù)器、補(bǔ)丁服務(wù)器等；l 認(rèn)證后域：終端在通過身份認(rèn)證和安全檢查后能夠訪問的網(wǎng)絡(luò)資源，管理員可根據(jù)工作相關(guān)性和最小授權(quán)原則，將不同的終端用戶授權(quán)訪問相應(yīng)的網(wǎng)絡(luò)資源，有效防止非法訪問和越權(quán)訪問。該部署方案中需要在所有接入終端安裝TSM系統(tǒng)的客戶端Agent，通過TSM服務(wù)器與SACG網(wǎng)關(guān)設(shè)備的聯(lián)動(dòng)，根據(jù)終端身份認(rèn)證和安全檢查的結(jié)果由TSM服務(wù)器通知相應(yīng)的接入控制和終端安全解決方案。 身份認(rèn)證方案TSM系統(tǒng)建立了完善的接入用戶身份認(rèn)證機(jī)制，支持系統(tǒng)內(nèi)置賬號(hào)和外部數(shù)據(jù)源方式。系統(tǒng)內(nèi)置賬號(hào)包括普通賬號(hào)、MAC賬號(hào)，外部數(shù)據(jù)源賬號(hào)支持從AD賬號(hào)、LDAP賬號(hào)和CA賬號(hào)等第三方的用戶系統(tǒng)中同步賬號(hào)，實(shí)現(xiàn)終端的網(wǎng)絡(luò)準(zhǔn)入前的身份認(rèn)證過程。客戶是否已經(jīng)部署AD域服務(wù)器或者其他LDAP服務(wù)器，根據(jù)此情況具體說明終端用戶的賬號(hào)如何管理TSM系統(tǒng)中，終端用戶是以終端角色來進(jìn)行安全策略和網(wǎng)絡(luò)訪問權(quán)限管理的，終端只有完成身份認(rèn)證才能接入企業(yè)內(nèi)網(wǎng)，因此本次實(shí)施方案需完成終端用戶的認(rèn)證賬號(hào)配置。TSM系統(tǒng)參考現(xiàn)有企業(yè)的組織和管理結(jié)構(gòu)，采用樹狀結(jié)構(gòu)的多級(jí)管理方式，賬號(hào)數(shù)據(jù)源支持系統(tǒng)內(nèi)置賬號(hào)和外部數(shù)據(jù)源方式。系統(tǒng)內(nèi)置賬號(hào)包括普通賬號(hào)、MAC賬號(hào)，外部數(shù)據(jù)源賬號(hào)支持從AD賬號(hào)、LDAP賬號(hào)和CA賬號(hào)等第三方用戶系統(tǒng)中同步賬號(hào)，完成TSM系統(tǒng)的接入認(rèn)證。【樣例1——AD/LDAP/CA聯(lián)動(dòng)認(rèn)證方式】由于XX已經(jīng)部署了微軟的AD域服務(wù)器進(jìn)行用戶管理，可利用TSM系統(tǒng)支持與AD域服務(wù)器進(jìn)行認(rèn)證聯(lián)動(dòng)功能，因此，這里推薦使用TSM系統(tǒng)的“AD聯(lián)動(dòng)認(rèn)證”方式。在本方案里，建議部署的TSM系統(tǒng)里用戶組與現(xiàn)有AD域服務(wù)器里的OU結(jié)構(gòu)保持一致，建立一一對應(yīng)的關(guān)系，定時(shí)與AD域服務(wù)器進(jìn)行用戶信息同步。部署以后，終端用戶通過域賬號(hào)登陸操作系統(tǒng)后，TSM系統(tǒng)的客戶端代理程序會(huì)自動(dòng)獲取當(dāng)前用戶的AD域賬號(hào)信息，通過TSM服務(wù)器與AD服務(wù)器之間的聯(lián)動(dòng)實(shí)現(xiàn)認(rèn)證。管理員配置安全檢查策略時(shí)，僅對TSM系統(tǒng)里的用戶信息進(jìn)行配置，對原有AD域的信息不造成任何的影響。整個(gè)認(rèn)證過程對客戶現(xiàn)有使用習(xí)慣沒有任何的影響?！緲永?——賬號(hào)名密碼方式】針對XX現(xiàn)網(wǎng)情況，本方案推薦使用TSM系統(tǒng)的“用戶名/密碼”方式。終端用戶的賬號(hào)可由現(xiàn)有的人事系統(tǒng)、郵箱系統(tǒng)或者其他數(shù)據(jù)庫中導(dǎo)出，然后通過TSM系統(tǒng)提供的Excel模板統(tǒng)一批量導(dǎo)入到TSM系統(tǒng)里，導(dǎo)入時(shí)可對用戶賬號(hào)進(jìn)行分組，以保證TSM系統(tǒng)里的組織結(jié)構(gòu)與現(xiàn)有的組織機(jī)構(gòu)完全一致，保證每個(gè)員工都有網(wǎng)內(nèi)唯一的認(rèn)證賬號(hào)。TSM的用戶賬號(hào)可與IP/MAC地址綁定的功能，當(dāng)進(jìn)行IP或者M(jìn)AC地址綁定后，必須在指定的終端上進(jìn)行認(rèn)證。 外來訪客管理方案為規(guī)范外來訪客對內(nèi)網(wǎng)資源的的訪問，建議啟用訪客管理功能。當(dāng)外部人員來到公司，需要臨時(shí)使用公司的網(wǎng)絡(luò)的時(shí)候，接待人員可以根據(jù)不同的業(yè)務(wù)需要，通過訪客賬號(hào)申請流程協(xié)助外部人員獲得網(wǎng)絡(luò)接入權(quán)限。管理員可以根據(jù)企業(yè)的管理制度，定義來訪客戶能夠獲得的網(wǎng)絡(luò)訪問權(quán)限。通過接待人員對合作人員進(jìn)行管理，簡化了外來人員管理的復(fù)雜度，提升管理效率。 設(shè)備自發(fā)現(xiàn)現(xiàn)網(wǎng)網(wǎng)絡(luò)規(guī)模較大，接入內(nèi)網(wǎng)的設(shè)備較多，管理員很難及時(shí)動(dòng)態(tài)滴了解網(wǎng)絡(luò)設(shè)備的接入情況。建議啟用TSM系統(tǒng)的自動(dòng)網(wǎng)絡(luò)掃描功能，掃描并自動(dòng)分類網(wǎng)絡(luò)中的接入設(shè)備，如交換路由設(shè)備、PC設(shè)備、服務(wù)器、IP電話、網(wǎng)絡(luò)打印機(jī)等，同時(shí)保證能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)的新設(shè)備，對未安裝TSM代理的外來終端的接入行為進(jìn)行告警，方便管理員了解網(wǎng)絡(luò)終端的接入情況。 軟硬件配置說明描述需要配置的服務(wù)器、SACG、交換機(jī)信息，并對設(shè)備數(shù)量、部署位置、用途等情況做出說明。各小節(jié)可以根據(jù)需要合并刪減。 服務(wù)器配置介紹方案里部署服務(wù)器的數(shù)量、部署地點(diǎn)、作用是否利舊等信息【樣例】根據(jù)XX的網(wǎng)絡(luò)情況和終端數(shù)量，這里推薦配置的服務(wù)器具體使用及說明如下表：部署位置數(shù)量（臺(tái)）說明總部2分別安裝TSM系統(tǒng)SM、SC和SQL Server 2005數(shù)據(jù)庫組件，兩臺(tái)服務(wù)器之間互為主備；由總部管理員統(tǒng)一對全網(wǎng)終端進(jìn)行安全管理XX分公司1安裝TSM系統(tǒng)SC組件，負(fù)責(zé)XX分公司本地500終端的安全接入控制；當(dāng)上海服務(wù)器宕機(jī)時(shí)，上海分公司的終端連接到總部SC服務(wù)器上進(jìn)行認(rèn)證 安全網(wǎng)關(guān)配置若方案里配置了SACG，則需要在此說明SACG的配置型號(hào)、數(shù)量、部署位置等信息，并詳細(xì)說明SACG的部署方式【樣例】部署位置SACG型號(hào)數(shù)量（臺(tái)）說明總部核心交換機(jī)處USG 53202最大支持2W并發(fā)用戶XX邊界路由器處USG 222014 終端安全管理方案 終端加固管理企業(yè)內(nèi)網(wǎng)終端眾多，員工的計(jì)算機(jī)水平和信息安全意思參差不齊，由于操作系統(tǒng)安全設(shè)置不當(dāng)而引起的安全風(fēng)險(xiǎn)越來越明顯，僅通過目前行政管理手段無法保證所有終端的安全性，建議加強(qiáng)對操作系統(tǒng)的安全加固管理，具體管理方案如下： 防病毒軟件安全策略目前XX公司內(nèi)網(wǎng)的辦公終端絕大多數(shù)已經(jīng)安裝了防病毒軟件，但由于強(qiáng)制檢查，導(dǎo)致終端長期不更新病毒庫和病毒引擎版本，使得防病毒軟件形同虛設(shè)，沒有發(fā)揮其重要的終端保護(hù)能力。因此，建議通過TSM系統(tǒng)的防病毒管理策略實(shí)現(xiàn)終端的安全防護(hù)，TSM配合企業(yè)自身的防病毒軟件，通過檢查終端是否安裝、運(yùn)行狀態(tài)以及防病毒軟件的更新狀態(tài)，作為判斷終端當(dāng)前安全狀態(tài)的一個(gè)依據(jù)，阻止或提示沒有部署殺毒軟件的終端或者殺毒軟件長期不更新的終端接入網(wǎng)絡(luò)。保證企業(yè)內(nèi)網(wǎng)運(yùn)行的終端殺毒軟件能夠及時(shí)更新并且有效運(yùn)行，減少病毒感染和擴(kuò)散的風(fēng)險(xiǎn)。 強(qiáng)化補(bǔ)丁安裝加強(qiáng)操作系統(tǒng)和應(yīng)用程序的安全漏洞檢查，把補(bǔ)丁的檢查作為一個(gè)重要的檢查項(xiàng)，檢查操作系統(tǒng)補(bǔ)丁、IE的SP補(bǔ)丁、OFFICE的SP補(bǔ)丁等，當(dāng)檢查到終端沒有部署必須的補(bǔ)丁的時(shí)候，TSM系統(tǒng)能夠協(xié)助終端快速完成補(bǔ)丁的修復(fù)。 超時(shí)自動(dòng)鎖屏通過屏幕保護(hù)策略檢查終端的屏幕保護(hù)是否啟用，屏幕保護(hù)程序密碼是否設(shè)置以及屏幕保護(hù)啟動(dòng)時(shí)間是否符合企業(yè)安全要求的安全檢查，保證終端在空閑一定時(shí)間后屏幕保護(hù)程序自啟動(dòng)的安全要求，滿足企業(yè)終端桌面管理規(guī)范。當(dāng)終端屏幕保護(hù)設(shè)置不符合規(guī)范時(shí)，進(jìn)行自修復(fù)。 注冊表配置管理通過對系統(tǒng)注冊表鍵值檢查，完成終端注冊表鍵值存在與否的安全性檢查。支持對終端的自動(dòng)修復(fù)功能，對于要求存在的鍵值，如果該鍵值不存在，則添加該鍵值；對于不允許存在的鍵值，如果該鍵值存在，則刪除該鍵值。 冗余賬號(hào)檢查通過檢查系統(tǒng)冗余賬號(hào)，TSM系統(tǒng)能夠協(xié)助管理員發(fā)現(xiàn)終端長期未使用的臨時(shí)賬號(hào)，降低企業(yè)終端安全管理風(fēng)險(xiǎn)。 檢查賬號(hào)安全通過賬號(hào)的弱口令檢查、賬號(hào)群組檢查、本地密碼策略包括密碼長度最小值，密碼最長存留期屬性檢查等，保證終端操作系統(tǒng)賬號(hào)的安全； 檢查端口策略通過檢查終端口策略，有效保證對于接入網(wǎng)絡(luò)的終端，及時(shí)提醒個(gè)人用戶關(guān)掉無用端口，保證無用服務(wù)的最小化使用原則； 網(wǎng)絡(luò)共享管理Window操作系統(tǒng)默認(rèn)情況下對共享文件夾和共享打印機(jī)設(shè)置為Everyone權(quán)限，如果終端用戶安全意識(shí)不高的情況下，就會(huì)帶來較大的安全隱患。一方面，網(wǎng)絡(luò)內(nèi)任意終端可能在未獲得授權(quán)的情況下直接竊取共享信息；另一方面，公開的共享目錄也給病毒的傳播提供了溫床。TSM的系統(tǒng)安全管理功能，能夠及時(shí)協(xié)助終端用戶發(fā)現(xiàn)并且清理不安全的共享賬號(hào)。 監(jiān)控非法應(yīng)用和服務(wù)通過檢查終端的軟件安裝情況和監(jiān)控終端軟件程序的運(yùn)行情況，阻止終端安裝和運(yùn)行非法應(yīng)用程序。如果發(fā)現(xiàn)安裝或使用了非法軟件、進(jìn)程和服務(wù)，可以通過與準(zhǔn)入控制設(shè)備的聯(lián)動(dòng)提示或阻止該終端接入網(wǎng)絡(luò)，也可以攔截非法軟件、進(jìn)程和服務(wù)的使用，規(guī)范員工的行為。同時(shí)，管理員可通過審計(jì)軟件的安裝和使用情況，從而及時(shí)了解安全狀態(tài)。 終端行為管理法律規(guī)定了很多網(wǎng)站是非法的，比如有色情、迷信和犯罪相關(guān)的等等。使用寬帶接入互聯(lián)網(wǎng)后，企業(yè)內(nèi)部網(wǎng)絡(luò)某種程度上成了一種“公共”上網(wǎng)場所，很多與法律相違背的行為都有可能發(fā)生在內(nèi)部網(wǎng)中。這些事情難以追查，給企業(yè)帶來的法律法規(guī)方面的風(fēng)險(xiǎn)。因此，建議對員工的網(wǎng)絡(luò)訪問行為進(jìn)行管理，具體管理方案如下： 監(jiān)控網(wǎng)站訪問通過對WEB訪問的監(jiān)控，記錄終端用戶的WEB網(wǎng)站訪問信息，由管理員進(jìn)行統(tǒng)一管理和審計(jì)。通過這樣的手段，一方面可以管理員工的上網(wǎng)行為，上班時(shí)間屏蔽一些與工作無關(guān)的網(wǎng)站；另一方面，提供審計(jì)和責(zé)任追溯的途徑。 軟件安裝標(biāo)準(zhǔn)化通過軟件黑白名單檢查，檢查終端安裝軟件的列表，可以定義軟件黑名單的違規(guī)軟件列表和軟件白名單的合法的軟件列表，也可以通過檢查軟件黑白名單規(guī)定只能安