【正文】 由于市場上解決這些方面問題的產(chǎn)品或者解決方案較少，即使有也往往不能完全解決某的全部管理需求，并且多數(shù)的產(chǎn)品在部署實施方面工作量大而且比較復雜。l 由于公司的許多生產(chǎn)、行政、業(yè)務人員在計算機知識方面較弱，經(jīng)常需要IT維護人員協(xié)助安裝ERP軟件、安裝補丁包，使得維護工作量很高。個別員工私自從Internet下載商品軟件并在桌面PC上安裝，被某國外公司控訴盜版；l 由于某公司業(yè)務發(fā)展迅速，無法統(tǒng)計接入網(wǎng)絡的桌面PC數(shù)量、位置，更無法對外來電腦接入網(wǎng)絡的行為進行有效的控制。LeagView提供各種類型的資產(chǎn)、軟件、安全漏洞、變更等報表，方便管理和決策。u 集中式遠程管理，包括遠程協(xié)助、遠程監(jiān)控多種管理模式。l 安全接入控制。LeagView能夠自動發(fā)現(xiàn)接入到網(wǎng)絡中的外來電腦，防止外來電腦竊取機密文件，能夠對內部網(wǎng)絡的電腦撥號上網(wǎng)或者使用USB等行為進行監(jiān)控，通過上網(wǎng)審計和上網(wǎng)過濾功能防止員工使用外部的郵件服務器收發(fā)郵件。LeagView作為一款技術領先的桌面安全管理產(chǎn)品，為某聯(lián)通解決絕大多數(shù)桌面電腦和筆記本電腦管理中一直存在的諸多問題。爆發(fā)大規(guī)模網(wǎng)絡病毒的主要原因在于缺乏必要的桌面PC安全漏洞管理。（1） 設備快速定位。某聯(lián)通要求軟件分發(fā)系統(tǒng)對主機進行分類，按照不同操作系統(tǒng)分發(fā)不同系統(tǒng)補丁、程序，可實現(xiàn)定時、定量、續(xù)傳方式分發(fā)軟件。（3） 遠程管理及遠程控制問題某聯(lián)通的在某有多個辦公場所，由于地理位置分散，長期起來給桌面電腦的管理維護帶來了極大的不便。具體來說，這些需要解決的管理問題包括：（1） 防止非法外來接入以及信息安全保障問題由于辦公場地分散，某些辦公場所有無線AP設備，如何防止外來的電腦通過無線AP等方式接入到某聯(lián)通的內部網(wǎng)絡竊取機密文件，防止員工通過某聯(lián)通以外的電子郵件服務器收發(fā)郵件泄漏公司機密，防止員工通過USB、撥號上網(wǎng)等方式泄漏公司機密成為某聯(lián)通非常關注的重要問題。Agent一旦部署，系統(tǒng)今后可以對Agent進行自動升級維護。l 可以通過使用Active Directory Group Policy Objects (GPO)來定義一個策略，強制在特定組（比如組織單位，域，等）的每臺計算機上安裝UniAccessTM Agent，這個策略在每次用戶登錄到這個特定的域的時候應用到客戶端計算機。l 可以使用Microsoft Installer (MSI)版本的UniAccessTM Agent安裝程序來進行自動安裝。l 可以給目標系統(tǒng)用戶發(fā)送一個正文帶有URL鏈接的，用戶收到該URL之后，只需點擊URL即可實現(xiàn)安裝UniAccessTM Agent。UniAccessTM Agent的部署UniAccessTM提供了多種技術和方法部署UniAccessTM Agent，包括使用UniAccessTM遠程部署工具、Active Directory登錄腳本、第三方工具以及手工安裝。安裝在桌面電腦上的UniAccessTM代理軟件短小精悍，僅僅占用很少的內存以及1％以下的CPU資源。補丁下載服務器配置要求如下：節(jié)點數(shù)配置要求用戶確認不限l 1CPU：主頻 Hz以上l DRAM： 256MB以上l Hard disk：40GB IDEl 網(wǎng)卡：100MB備注：可以選用淘汰的PC機頂替。服務器上需安裝SQL Server數(shù)據(jù)庫，實現(xiàn)對全網(wǎng)所有系統(tǒng)的管理。也可以在總部的網(wǎng)絡中設置若干個中繼器，這樣總部的終端可以更快地下載補丁和軟件。但是，對于軟件分發(fā)、補丁分發(fā)等會產(chǎn)生較大網(wǎng)絡流量的任務，如果直接由終端和服務器進行交互，容易給服務器以及網(wǎng)絡系統(tǒng)帶來較大（甚至可能是不可承受）的負載，同時也會使得這些任務執(zhí)行的非常慢。所有這些，使得UniAccessTM安全接入管理系統(tǒng)在部署時簡單易行。l 自動發(fā)現(xiàn)外來或者“脫僵”客戶機。與同類產(chǎn)品比較，UniAccessTM在系統(tǒng)部署方面擁有如下壓倒性優(yōu)勢：l 管理服務器部署輕松、容易。用戶輸入郵件地址和校驗碼后，如果該用戶信息已經(jīng)存在，用戶可以不輸入其他信息。管理員可以設置某個用戶的校驗碼無效，這樣用此用戶的郵件地址和校驗碼就不能校驗成功。管理系統(tǒng)根據(jù)輸入的郵件地址和校驗碼進行校驗，成功后才能夠安裝。要提供Windows98/2000/XP/2003操作系統(tǒng)的客戶機軟件安裝包。UniAccessTM可以與企業(yè)內部的網(wǎng)站服務器聯(lián)動，當未安裝代理的桌面PC訪問內部網(wǎng)站服務器時，將會自動重定向到一個提示網(wǎng)頁，提醒桌面PC用戶安裝客戶機軟件。代理一旦安裝，除管理員外其它用戶不能手動中止、卸載或刪除UniAccessTM 代理。UniAccessTM提供如下技術實現(xiàn)代理的快速、有效部署。. 客戶機軟件部署對內網(wǎng)安全管理系統(tǒng)來說，如何快速、有效地全面部署客戶機軟件是實現(xiàn)全面安全管理的關鍵。共享式遠程監(jiān)控和遠程協(xié)助時，管理員和終端用戶都可以操作鼠標和鍵盤；獨占式遠程監(jiān)控和遠程協(xié)助時，終端用戶不能操作鼠標和鍵盤。圖 37 軟件分發(fā)任務執(zhí)行詳細信息. 遠程協(xié)助與維護UniAccessTM實現(xiàn)基于web的遠程終端協(xié)助與維護。. 軟件分發(fā)過程監(jiān)控UniAccessTM可以讓管理員查看某個軟件分發(fā)任務的執(zhí)行情況，包括軟件分發(fā)任務執(zhí)行統(tǒng)計信息和每臺終端設備的執(zhí)行狀態(tài)。. 分發(fā)模式UniAccessTM支持多址廣播和多播分發(fā)模式。圖 35 補丁自動安裝策略LegView允許管理員為單臺終端設備配置補丁自動分發(fā)與安裝策略，此時策略的執(zhí)行范圍被限制在指定設備，其他的都與為某類產(chǎn)品定義的補丁升級策略相同。圖 34 補丁安裝信息. 補丁自動分發(fā)安裝UniAccessTM實現(xiàn)補丁自動分發(fā)與安裝。 下面界面顯示所有補丁信息，其中有一個屬性，即補丁是否被管理員所確認。. 補丁分發(fā)管理. 補丁斷點續(xù)傳UniAccessTM補丁分發(fā)支持斷點續(xù)傳，如果在補丁分發(fā)過程中網(wǎng)絡斷開或者終端設備被關機，當網(wǎng)絡連接正常后，UniAccessTM客戶端代理能夠從原來的文件下載點開始繼續(xù)下載補丁包。自動運行在桌面終端上的Agent可以禁止Windows共享或者對Windows共享方式外傳的文件進行審計。UniAccessTM對郵件的審計包括何時、哪個終端、哪個用戶、哪個POP3或者SMTP服務器、發(fā)件人和收件人、郵件主題、郵件附件等。對軟盤的管理控制與U盤（包括USB硬盤）相同。管理員可以設置允許讀的U判標識、允許寫的U盤標識、對讀寫是否要審計。UniAccessTM提供數(shù)據(jù)備份功能，既可以對所有數(shù)據(jù)做完整備份，也可以定時做增量配置。. 支持穿透客戶端防火墻UniAccessTM正常的安全管理功能不需要在終端設備上打開任何服務端口，所以不會給客戶端帶來額外的安全風險，客戶端防火墻不會對其有任何影響。管理員可以為非授權外連審計策略設置適用場景，如終端在辦公環(huán)境中不能通過Modem撥號，但在外出差則可以Modem撥號通過VPN訪問內部網(wǎng)絡。圖 29 主機進程安全策略定義界面. 違規(guī)客戶端遠程阻斷UniAccessTM可以在事件處理預案中設置訪問控制動作，包括：（1）UniAccessTM代理阻止終端訪問網(wǎng)絡；（2）關閉網(wǎng)絡交換機端口；（3）控制防火墻禁止違規(guī)客戶端訪問網(wǎng)絡資源。在白名單定義方式中，UniAccessTM可以自動過濾掉Windows系統(tǒng)軟件和UniAccessTM客戶端代理。另外所有漏洞也會通知管理員。. 客戶端流量明細統(tǒng)計管理員可以設置統(tǒng)計客戶端與網(wǎng)絡上其它主機的流量明細。管理員可以通過安全策略來設置終端設備正常的流量范圍、廣播包數(shù)和TCP連接數(shù)，設置統(tǒng)計時間段。基于這種二維權限機制，可以實現(xiàn)管理員的分級，如：可以為每個分行的管理員可以使用所有菜單功能但只能管理本分行的終端設備。當網(wǎng)絡中部署了支持這兩種協(xié)議的網(wǎng)絡交換機或者路由器時，UniAccessTM可以控制讓未注冊客戶端訪問web資源時重定向到指定URL中。UniAccessTM探測器模塊可以檢測，網(wǎng)絡中未注冊的終端接入到網(wǎng)絡，當這些設備訪問web資源時，會被自動重定向到“客戶端注冊”頁面，強制提醒終端用戶需要進行注冊并安裝UniAccessTM代理。另外，在大型網(wǎng)絡環(huán)境中，也支持通過中繼方式進行客戶端升級。安全策略配置界面如下圖所示。圖 18 配置變更策略從圖中可以看到，UniAccessTM可以監(jiān)控的硬件配置有CPU、主板、內存、硬盤、網(wǎng)卡，UniAccessTM可以監(jiān)控的軟件配置有所有軟件變化、指定軟件變化、除指定軟件外的其他軟件變化、除微軟操作系統(tǒng)外的其他軟件變化。圖 17 將安全策略與事件處理流程綁定. 配置變更管理UniAccessTM可以對終端設備的軟硬件配置變化進行監(jiān)控。下圖是事件處理預案的配置界面。圖 14 客戶端代理聯(lián)機卸載和更新此界面列出了所有安裝了客戶端代理的終端設備，管理員可以按條件進行查詢，然后在查詢結果中選擇需要聯(lián)機卸載的一個或者多個客戶端代理進行集中卸載。管理員可以通過如下界面瀏覽客戶端注冊信息。管理員可以通過以下信息查詢接入設備的位置（所連接的網(wǎng)絡交換機及其端口）：l 接入設備的MAC地址；l 接入設備的IP地址l 接入設備的主機名. 客戶端設備注冊UniAccessTM的客戶端代理支持通過Web方式安裝。 語言216。 操作系統(tǒng)信息軟件配置信息包括：216。 硬盤信息：硬盤大小、速度、廠商、型號216。對于安裝了UniAccessTM代理的終端設備，可以采集到終端詳細的軟硬件配置信息，硬件信息包括：216。5. 集中式桌面安全綜合管理. 資產(chǎn)/IT設備統(tǒng)計. 資產(chǎn)信息自動采集 UniAccessTM的二層拓撲發(fā)現(xiàn)功能可以發(fā)現(xiàn)網(wǎng)絡中的所有IT設備，包括網(wǎng)絡設備、主機設備、網(wǎng)絡打印機、終端設備等。下圖是分支機構的終端接入示意圖。因為，分支機構沒有配備專門的Radius認證服務器，一旦廣域網(wǎng)線路中斷，很容易導致所有電腦終端無法接入網(wǎng)絡。圖 7 基于Cisco EoU認證的準入控制. 中小型分支機構準入控制建議XXXX在全國擁有數(shù)量眾多的分支機構，對于中小型分支機構，建議不用配置專門的準入控制服務器，可以利用上級網(wǎng)絡（總部或者地區(qū)總部）中的準入控制服務器做認證控制。圖 6 ，所有的PC接入都需要通過UniAccessTM服務器予以驗證其是否符合安全要求，為避免UniAccessTM服務器成為單點故障，建議配置兩臺UniAccessTM服務器，兩臺UniAccessTM服務器可以相互備份。如果是來自內部合法的桌面PC接入網(wǎng)絡，UniAccessTM將采取如下控制措施：（1） 檢查用戶輸入的用戶名和口令是否合法；檢查客戶端是否滿足安全策略要求。UniAccessTM可以支持所有主流的網(wǎng)絡設備，包括思科、華為、3Com和北電等。一般來說，電腦終端的數(shù)量小于150臺可以算作中小型分支機構。UniAccessTM的網(wǎng)絡準入控制解決方案，充分考慮了多種應用場景下的可靠性和可維護性問題。將不安全的終端切換到修復區(qū)，將外來終端切換到訪客區(qū)，從而實現(xiàn)對這些終端的訪問控制；基于Cisco EoU證準入控制通過動態(tài)ACL(訪問控制列表)，直接限制外來終端或者不安全的終端對網(wǎng)絡資源的訪問。這樣可以提示這些終端設備為什么被限制訪問網(wǎng)絡資源。 Host、Multihost、MultiAuth模式。（2） 只有合法身份的用戶以及滿足組織安全規(guī)范的終端設備才能接入到網(wǎng)絡中，否則系統(tǒng)會將此終端設備自動切換到修復區(qū)中，終端設備在此修復區(qū)中訪問修復安全漏洞必須的網(wǎng)絡資源；（3） 合法身份的用戶以及滿足組織安全規(guī)范的終端設備接入到網(wǎng)絡時，系統(tǒng)會根據(jù)用戶身份自動將終端設備切換到屬于該用戶的工作區(qū)中，從而實現(xiàn)不同權限的人可以訪問不同的網(wǎng)絡資源。修復區(qū)網(wǎng)絡資源是用來修復安全漏洞的，如補丁服務器、防病毒服務器、軟件安裝包服務器等，不符合組織安全策略要求的終端被限制在修復區(qū)中，強制它們進行安全修復。. UniAccessTM網(wǎng)絡準入控制技術在UniAccessTM的網(wǎng)絡準入控制解決方案中，管理員可以將網(wǎng)絡資源劃分為不同的區(qū)域以便不同的終端訪問不同區(qū)域的網(wǎng)絡資源：訪客區(qū)、修復區(qū)和正常工作區(qū)。即：單臺服務器或者設備的暫時性故障，不會導致整個網(wǎng)絡接入服務不可用；l 和準入控制系統(tǒng)相關的網(wǎng)絡設備、服務器、數(shù)據(jù)庫和軟件故障，系統(tǒng)能夠實現(xiàn)自動報警，向相關管理員發(fā)送手機短信息等；l 在特殊緊急情況下（例如：雙機故障，或分支機構到總部的廣域網(wǎng)線路中斷）1）網(wǎng)絡管理員可以通過執(zhí)行腳本的方式，快速將網(wǎng)絡接入設置為“不設防”狀態(tài)（臨時撤銷所有準入控制措施），使得所有電腦終端能夠正常接入網(wǎng)絡。這些管理規(guī)定產(chǎn)生的安全策略保存在管理服務器的數(shù)據(jù)庫中。一個完整的網(wǎng)絡準入控制系統(tǒng)，應該包括以上五個方面的內容，缺少其中一個或者兩個方面的內容，就不是完善的解決方案，會給準入控制系統(tǒng)的部署和推廣帶來問題。l 接入檢查終端在接入網(wǎng)絡時，準入控制系統(tǒng)會檢查其用戶賬戶、安全設置狀態(tài)、終端硬件合法性等。l 幫助安全管理員解決內部用戶私自接HUB、無線AP等不安全行為。此外，UniAccessTM支持信息資產(chǎn)安全分級管理，各種安全管理策略可以按照：部門、IP網(wǎng)段、IP范圍、設備組、操作系統(tǒng)類型、操作系統(tǒng)語言等條件定義安全管理策略的應用范圍。 設備自動發(fā)現(xiàn)與資產(chǎn)管理自動發(fā)現(xiàn)網(wǎng)絡上的所有接入設備，實現(xiàn)對桌面終端資產(chǎn)的自動管理。對員工的各種不規(guī)范行為進行矯正，例如：使用非法軟件（BT/eMule/MSN/等）、訪問非法網(wǎng)站、改變電腦終端的硬件配置等。 網(wǎng)絡準入控制，防止非法電腦接入 NAC網(wǎng)絡準入控制技術，防止非法的或者不安全的終端接入內部網(wǎng)絡系統(tǒng)（非法終端或不安全終端接入一方面會產(chǎn)生信息安全行為，另一方面會破壞網(wǎng)絡的正常穩(wěn)定運行）；UniAccessTM安全接入管理系統(tǒng)的準入控制解決方案，通過與網(wǎng)絡設備的緊密集成（網(wǎng)絡交換機、路由器），在不改變網(wǎng)絡結構（例如：路由調整）、不降低網(wǎng)絡性能和可靠性