【正文】 通過關(guān)閉不必要的外設(shè)和接口，從而在一定程度上防范信息泄漏。此外，提供網(wǎng)絡(luò)流量監(jiān)控功能，能夠協(xié)助管理員發(fā)現(xiàn)流量異常的終端。 IP訪問和網(wǎng)絡(luò)應(yīng)用程序監(jiān)控通過對終端的IP訪問控制和網(wǎng)絡(luò)應(yīng)用程序訪問控制功能，對于一些安全性要求比較高的業(yè)務(wù)系統(tǒng)，允許定義基于時間段的IP訪問規(guī)則，允許配置特定用戶群在下班時間后不能訪問一些關(guān)鍵的業(yè)務(wù)系統(tǒng)，防止對這些關(guān)鍵服務(wù)器可能造成的危害。通過這樣的手段，一方面可以管理員工的上網(wǎng)行為，上班時間屏蔽一些與工作無關(guān)的網(wǎng)站；另一方面，提供審計和責(zé)任追溯的途徑。這些事情難以追查，給企業(yè)帶來的法律法規(guī)方面的風(fēng)險。 終端行為管理法律規(guī)定了很多網(wǎng)站是非法的，比如有色情、迷信和犯罪相關(guān)的等等。如果發(fā)現(xiàn)安裝或使用了非法軟件、進(jìn)程和服務(wù)，可以通過與準(zhǔn)入控制設(shè)備的聯(lián)動提示或阻止該終端接入網(wǎng)絡(luò)，也可以攔截非法軟件、進(jìn)程和服務(wù)的使用，規(guī)范員工的行為。TSM的系統(tǒng)安全管理功能，能夠及時協(xié)助終端用戶發(fā)現(xiàn)并且清理不安全的共享賬號。 檢查賬號安全通過賬號的弱口令檢查、賬號群組檢查、本地密碼策略包括密碼長度最小值，密碼最長存留期屬性檢查等，保證終端操作系統(tǒng)賬號的安全； 檢查端口策略通過檢查終端口策略，有效保證對于接入網(wǎng)絡(luò)的終端，及時提醒個人用戶關(guān)掉無用端口，保證無用服務(wù)的最小化使用原則； 網(wǎng)絡(luò)共享管理Window操作系統(tǒng)默認(rèn)情況下對共享文件夾和共享打印機(jī)設(shè)置為Everyone權(quán)限，如果終端用戶安全意識不高的情況下，就會帶來較大的安全隱患。支持對終端的自動修復(fù)功能，對于要求存在的鍵值，如果該鍵值不存在，則添加該鍵值；對于不允許存在的鍵值，如果該鍵值存在，則刪除該鍵值。當(dāng)終端屏幕保護(hù)設(shè)置不符合規(guī)范時，進(jìn)行自修復(fù)。 強(qiáng)化補丁安裝加強(qiáng)操作系統(tǒng)和應(yīng)用程序的安全漏洞檢查，把補丁的檢查作為一個重要的檢查項，檢查操作系統(tǒng)補丁、IE的SP補丁、OFFICE的SP補丁等，當(dāng)檢查到終端沒有部署必須的補丁的時候，TSM系統(tǒng)能夠協(xié)助終端快速完成補丁的修復(fù)。因此，建議通過TSM系統(tǒng)的防病毒管理策略實現(xiàn)終端的安全防護(hù)，TSM配合企業(yè)自身的防病毒軟件，通過檢查終端是否安裝、運行狀態(tài)以及防病毒軟件的更新狀態(tài)，作為判斷終端當(dāng)前安全狀態(tài)的一個依據(jù)，阻止或提示沒有部署殺毒軟件的終端或者殺毒軟件長期不更新的終端接入網(wǎng)絡(luò)。各小節(jié)可以根據(jù)需要合并刪減。建議啟用TSM系統(tǒng)的自動網(wǎng)絡(luò)掃描功能，掃描并自動分類網(wǎng)絡(luò)中的接入設(shè)備，如交換路由設(shè)備、PC設(shè)備、服務(wù)器、IP電話、網(wǎng)絡(luò)打印機(jī)等，同時保證能夠及時發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)的新設(shè)備，對未安裝TSM代理的外來終端的接入行為進(jìn)行告警，方便管理員了解網(wǎng)絡(luò)終端的接入情況。通過接待人員對合作人員進(jìn)行管理，簡化了外來人員管理的復(fù)雜度，提升管理效率。當(dāng)外部人員來到公司，需要臨時使用公司的網(wǎng)絡(luò)的時候，接待人員可以根據(jù)不同的業(yè)務(wù)需要，通過訪客賬號申請流程協(xié)助外部人員獲得網(wǎng)絡(luò)接入權(quán)限。TSM的用戶賬號可與IP/MAC地址綁定的功能，當(dāng)進(jìn)行IP或者M(jìn)AC地址綁定后，必須在指定的終端上進(jìn)行認(rèn)證?！緲永?——賬號名密碼方式】針對XX現(xiàn)網(wǎng)情況，本方案推薦使用TSM系統(tǒng)的“用戶名/密碼”方式。管理員配置安全檢查策略時，僅對TSM系統(tǒng)里的用戶信息進(jìn)行配置，對原有AD域的信息不造成任何的影響。在本方案里，建議部署的TSM系統(tǒng)里用戶組與現(xiàn)有AD域服務(wù)器里的OU結(jié)構(gòu)保持一致，建立一一對應(yīng)的關(guān)系，定時與AD域服務(wù)器進(jìn)行用戶信息同步。系統(tǒng)內(nèi)置賬號包括普通賬號、MAC賬號，外部數(shù)據(jù)源賬號支持從AD賬號、LDAP賬號和CA賬號等第三方用戶系統(tǒng)中同步賬號，完成TSM系統(tǒng)的接入認(rèn)證?？蛻羰欠褚呀?jīng)部署AD域服務(wù)器或者其他LDAP服務(wù)器，根據(jù)此情況具體說明終端用戶的賬號如何管理TSM系統(tǒng)中，終端用戶是以終端角色來進(jìn)行安全策略和網(wǎng)絡(luò)訪問權(quán)限管理的，終端只有完成身份認(rèn)證才能接入企業(yè)內(nèi)網(wǎng)，因此本次實施方案需完成終端用戶的認(rèn)證賬號配置。 身份認(rèn)證方案TSM系統(tǒng)建立了完善的接入用戶身份認(rèn)證機(jī)制，支持系統(tǒng)內(nèi)置賬號和外部數(shù)據(jù)源方式。【樣例6——分級式部署方案】XX企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖所示：圖211 XX企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖其網(wǎng)絡(luò)架構(gòu)特點如下：l 網(wǎng)絡(luò)規(guī)模較大，除了總部本地的局域網(wǎng)，在其他地方還有多個分支機(jī)構(gòu)，分支機(jī)構(gòu)通過專線接入總部；l 需要總部的統(tǒng)一規(guī)劃管理和分支機(jī)構(gòu)在繼承總部策略前提下的個性化管理；l 網(wǎng)絡(luò)部署時間較長，經(jīng)過多次擴(kuò)容，交換機(jī)品牌較多，；l 網(wǎng)絡(luò)架構(gòu)層次清晰，服務(wù)器集中放置在數(shù)據(jù)中心統(tǒng)一進(jìn)行管理；根據(jù)方案設(shè)計依據(jù)和設(shè)計原則，結(jié)合XX企業(yè)現(xiàn)網(wǎng)拓?fù)浼軜?gòu)和客戶的具體需求，建議TSM系統(tǒng)采取分布式部署，部署示意圖如下：圖212 XX企業(yè)TSM系統(tǒng)部署示意圖部署說明：1） 在所有接入終端安裝TSM系統(tǒng)的客戶端Agent；2） 在總部及各分支機(jī)構(gòu)的匯聚交換機(jī)處側(cè)掛TSM系統(tǒng)的SACG硬件安全接入控制網(wǎng)關(guān)設(shè)備，通過策略路由將所有訪問業(yè)務(wù)服務(wù)器區(qū)域的上行引流至SACG進(jìn)行控制；2） TSM系統(tǒng)管理中心（TMC）部署在總部現(xiàn)有業(yè)務(wù)系統(tǒng)區(qū)域，TSM系統(tǒng)管理節(jié)點（SM+SC）分布式部署在總部和各分支機(jī)構(gòu)，負(fù)責(zé)各個地區(qū)策略制定以及終端的身份認(rèn)證和安全檢查，所有的TSM系統(tǒng)管理節(jié)點統(tǒng)一由總部的管理服務(wù)器進(jìn)行管理；3） 在TSM系統(tǒng)管理界面啟用基于主機(jī)防火墻的準(zhǔn)入控制功能，并將現(xiàn)有網(wǎng)絡(luò)資源按照業(yè)務(wù)和安全等級劃分為3個安全域：l 認(rèn)證前域：終端在身份認(rèn)證和安全檢查通過前能夠訪問的網(wǎng)絡(luò)資源，包括DHCP服務(wù)器、TSM系統(tǒng)服務(wù)器等；l 隔離域：終端在通過身份認(rèn)證但沒有通過安全檢查時處于被隔離狀態(tài)，此時僅能夠進(jìn)行安全修復(fù)操作，包括防病毒軟件病毒庫升級服務(wù)器、補丁服務(wù)器等；l 認(rèn)證后域：終端在通過身份認(rèn)證和安全檢查后能夠訪問的網(wǎng)絡(luò)資源，管理員可根據(jù)工作相關(guān)性和最小授權(quán)原則，將不同的終端用戶授權(quán)訪問相應(yīng)的網(wǎng)絡(luò)資源，有效防止非法訪問和越權(quán)訪問。【樣例5——分布式部署方案】XX企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖所示：圖29 XX企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖其網(wǎng)絡(luò)架構(gòu)特點如下：l 網(wǎng)絡(luò)規(guī)模較大，除了總部本地的局域網(wǎng)，在其他地方還有多個分支機(jī)構(gòu)，分支機(jī)構(gòu)通過專線接入總部；l 網(wǎng)絡(luò)部署時間較長，經(jīng)過多次擴(kuò)容，交換機(jī)品牌較多，；l 網(wǎng)絡(luò)架構(gòu)層次清楚，服務(wù)器集中放置在數(shù)據(jù)中心統(tǒng)一進(jìn)行管理；根據(jù)方案設(shè)計依據(jù)和設(shè)計原則，結(jié)合XX企業(yè)現(xiàn)網(wǎng)拓?fù)浼軜?gòu)和客戶的具體需求，建議TSM系統(tǒng)采取分布式部署，部署示意圖如下：圖210 XX企業(yè)TSM系統(tǒng)部署示意圖部署說明：1） 在所有接入終端安裝TSM系統(tǒng)的客戶端Agent；2） 在總部及各分支機(jī)構(gòu)的匯聚交換機(jī)處側(cè)掛TSM系統(tǒng)的SACG硬件安全接入控制網(wǎng)關(guān)設(shè)備，通過策略路由將所有訪問業(yè)務(wù)服務(wù)器區(qū)域的上行引流至SACG進(jìn)行控制；2） TSM系統(tǒng)管理服務(wù)器（SM）部署在總部現(xiàn)有業(yè)務(wù)系統(tǒng)區(qū)域，TSM系統(tǒng)控制服務(wù)器（SC）分布式部署在總部和各分支機(jī)構(gòu)，負(fù)責(zé)當(dāng)?shù)亟K端的身份認(rèn)證和安全檢查，所有的控制器統(tǒng)一由總部的管理服務(wù)器進(jìn)行管理；3） 在TSM系統(tǒng)管理界面啟用基于主機(jī)防火墻的準(zhǔn)入控制功能，并將現(xiàn)有網(wǎng)絡(luò)資源按照業(yè)務(wù)和安全等級劃分為3個安全域：l 認(rèn)證前域：終端在身份認(rèn)證和安全檢查通過前能夠訪問的網(wǎng)絡(luò)資源，包括DHCP服務(wù)器、TSM系統(tǒng)服務(wù)器等；l 隔離域：終端在通過身份認(rèn)證但沒有通過安全檢查時處于被隔離狀態(tài)，此時僅能夠進(jìn)行安全修復(fù)操作，包括防病毒軟件病毒庫升級服務(wù)器、補丁服務(wù)器等；l 認(rèn)證后域：終端在通過身份認(rèn)證和安全檢查后能夠訪問的網(wǎng)絡(luò)資源，管理員可根據(jù)工作相關(guān)性和最小授權(quán)原則，將不同的終端用戶授權(quán)訪問相應(yīng)的網(wǎng)絡(luò)資源，有效防止非法訪問和越權(quán)訪問。此部署方案中，需要在所有接入終端安裝TSM系統(tǒng)的客戶端Agent，通過TSM Agent集成的主機(jī)防火墻和硬件SACG網(wǎng)關(guān)相配合，對終端接入網(wǎng)絡(luò)進(jìn)行準(zhǔn)入控制：主機(jī)防火墻負(fù)責(zé)二層的準(zhǔn)入控制，硬件SACG網(wǎng)關(guān)負(fù)責(zé)保護(hù)核心業(yè)務(wù)服務(wù)器區(qū)域。TSM服務(wù)器根據(jù)終端身份認(rèn)證和安全檢查的結(jié)果，通知終端上的客戶端Agent允許或拒絕接入企業(yè)網(wǎng)絡(luò)，從而實現(xiàn)對終端接入網(wǎng)絡(luò)的控制。【樣例3——軟件SACG方案】XX企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖所示：圖25 XX企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖其網(wǎng)絡(luò)架構(gòu)特點如下：l 網(wǎng)絡(luò)部署時間較長，交換機(jī)品牌較多，；l 網(wǎng)絡(luò)規(guī)模較小，終端較為集中，無分支機(jī)構(gòu)或VPN等其他網(wǎng)絡(luò)接入點；根據(jù)方案設(shè)計依據(jù)和設(shè)計原則，結(jié)合XX企業(yè)現(xiàn)網(wǎng)拓?fù)浼軜?gòu)和客戶的具體需求，建議TSM系統(tǒng)采取集中式部署，部署示意圖如下：圖26 XX企業(yè)TSM系統(tǒng)部署示意圖部署說明：1） 在所有接入終端安裝TSM系統(tǒng)的客戶端Agent；2） TSM系統(tǒng)服務(wù)器部署在現(xiàn)有業(yè)務(wù)系統(tǒng)區(qū)域，保證與所有終端路由可達(dá)；3） 在TSM系統(tǒng)管理界面啟用基于主機(jī)防火墻的準(zhǔn)入控制功能，并將現(xiàn)有網(wǎng)絡(luò)資源按照業(yè)務(wù)和安全等級劃分為3個安全域：l 認(rèn)證前域：終端在身份認(rèn)證和安全檢查通過前能夠訪問的網(wǎng)絡(luò)資源，包括DHCP服務(wù)器、TSM系統(tǒng)服務(wù)器等；l 隔離域：終端在通過身份認(rèn)證但沒有通過安全檢查時處于被隔離狀態(tài)，此時僅能夠進(jìn)行安全修復(fù)操作，包括防病毒軟件病毒庫升級服務(wù)器、補丁服務(wù)器等；l 認(rèn)證后域：終端在通過身份認(rèn)證和安全檢查后能夠訪問的網(wǎng)絡(luò)資源，