【正文】 管理員可根據(jù)工作相關(guān)性和最小授權(quán)原則，將不同的終端用戶授權(quán)訪問相應(yīng)的網(wǎng)絡(luò)資源，有效防止非法訪問和越權(quán)訪問?！緲永?——】XX企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖所示：圖23 XX企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖其網(wǎng)絡(luò)架構(gòu)特點(diǎn)如下：l 網(wǎng)絡(luò)較新，交換機(jī)廠商較單一，多為華為交換機(jī)，少量為Cisco交換機(jī)，；l 現(xiàn)網(wǎng)部署有DHCP服務(wù)器，全網(wǎng)均采用動(dòng)態(tài)IP地址方式；l 網(wǎng)絡(luò)規(guī)模較小，終端較為集中，無分支機(jī)構(gòu)或其他網(wǎng)絡(luò)接入點(diǎn)；根據(jù)方案設(shè)計(jì)依據(jù)和設(shè)計(jì)原則，結(jié)合XX企業(yè)現(xiàn)網(wǎng)拓?fù)浼軜?gòu)和客戶的具體需求，建議TSM系統(tǒng)采取集中式部署，部署示意圖如下：圖24 XX企業(yè)TSM系統(tǒng)部署示意圖部署說明：1） ，交換機(jī)認(rèn)證的Radius服務(wù)器地址指定為TSM服務(wù)器地址；2）在交換機(jī)上劃分至少兩個(gè)Vlan：l 隔離Vlan：即終端沒有安全檢查時(shí)進(jìn)入的Vlan，該Vlan只能訪問指定的處在隔離域的網(wǎng)絡(luò)資源，如補(bǔ)丁服務(wù)器、防病毒軟件病毒庫升級(jí)服務(wù)器等；l 工作Vlan：即終端通過身份認(rèn)證和安全檢查時(shí)進(jìn)入的Vlan，該Vlan可以正常訪問相應(yīng)的網(wǎng)絡(luò)資源。2） TSM系統(tǒng)服務(wù)器采取集中部署在現(xiàn)有業(yè)務(wù)系統(tǒng)區(qū)域，保證與SACG和所有終端路由可達(dá)。TSM系統(tǒng)終端用戶的身份認(rèn)證，通過基于用戶角色的網(wǎng)絡(luò)訪問權(quán)限管理，加強(qiáng)內(nèi)網(wǎng)的網(wǎng)絡(luò)訪問控制，防止非法接入和非授權(quán)訪問，保證企業(yè)內(nèi)網(wǎng)的安全。2 方案設(shè)計(jì)原則方案以網(wǎng)絡(luò)身份識(shí)別為基礎(chǔ)，以準(zhǔn)入控制為手段，以桌面管理為補(bǔ)充，構(gòu)建一體化的內(nèi)網(wǎng)安全解決方案。5. 資產(chǎn)管理資產(chǎn)管理模塊實(shí)現(xiàn)對(duì)全網(wǎng)終端的硬件和軟件資產(chǎn)進(jìn)行自動(dòng)收集、統(tǒng)一管理，減少IT維護(hù)工作量，實(shí)時(shí)上報(bào)資產(chǎn)變更和告警；自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)中安裝了代理的終端以及新接入的未安裝代理終端，能夠?qū)π略O(shè)備的接入和代理卸載事件進(jìn)行告警響應(yīng)。網(wǎng)絡(luò)訪問管理、文件操作審計(jì)等多種措施配合，有效保證企業(yè)內(nèi)部安全管理制度的落地。包括操作系統(tǒng)補(bǔ)丁檢查、軟件黑白名單檢查、端口檢查、防病毒軟件安全性檢查、軟件/進(jìn)程/服務(wù)檢查、共享目錄檢查、外設(shè)檢查、賬號(hào)合規(guī)性檢查等。l 及時(shí)發(fā)現(xiàn)外來設(shè)備接入網(wǎng)絡(luò)l 隔離存在重大安全隱患的終端l 隔離未安裝補(bǔ)丁的終端，防止感染病毒l 隔離不符合安全策略要求的終端同時(shí)，對(duì)接入網(wǎng)絡(luò)后的安全終端用戶實(shí)現(xiàn)企業(yè)資源細(xì)粒度訪問控制，針對(duì)企業(yè)不同級(jí)別的終端用戶訪問內(nèi)部資源開放不同的資源訪問權(quán)限。終端接入企業(yè)內(nèi)網(wǎng)的管理流程如下所示：XX終端安全管理解決方案包括以下內(nèi)容：1. 網(wǎng)絡(luò)安全準(zhǔn)入控制提供終端用戶基于角色的安全接入檢查和網(wǎng)絡(luò)訪問權(quán)限控制。序號(hào)地點(diǎn)終端數(shù)目1XX總部20002XX地區(qū)分公司5003 項(xiàng)目建設(shè)目標(biāo)為了解決XX終端安全桌面安全管理問題，有效保障分行內(nèi)部網(wǎng)絡(luò)的暢通、終端的安全和公司信息數(shù)據(jù)的安全，TSM終端安全管理解決方案有效的幫助企業(yè)提供整合的內(nèi)網(wǎng)安全管理思路，實(shí)現(xiàn)從終端到業(yè)務(wù)系統(tǒng)的控制和管理功能。主要表現(xiàn)在私自安裝軟件的情況比較嚴(yán)重，無法對(duì)終端的非法軟件安裝情況等進(jìn)行檢測(cè)和控制；非法外聯(lián)行為嚴(yán)重，經(jīng)常通過調(diào)制解調(diào)器、ISDN 撥號(hào)設(shè)備、ADSL 撥號(hào)設(shè)備、無線網(wǎng)卡等網(wǎng)絡(luò)設(shè)備非法接入互聯(lián)網(wǎng)，給網(wǎng)絡(luò)的安全性等帶來了極大的隱患；（5） 目前企業(yè)網(wǎng)絡(luò)沒有進(jìn)行準(zhǔn)入控制，任何終端只要插入網(wǎng)絡(luò)就能夠自由的訪問整個(gè)網(wǎng)絡(luò)，存在大量非法接入和非授權(quán)訪問的狀況，導(dǎo)致企業(yè)業(yè)務(wù)系統(tǒng)的破壞，以及關(guān)鍵信息資產(chǎn)的泄漏，已經(jīng)成為了企業(yè)需要解決的重要風(fēng)險(xiǎn)。 網(wǎng)絡(luò)現(xiàn)只有一個(gè)互聯(lián)網(wǎng)出口，已在出口處部署防火墻設(shè)備，終端通過Proxy代理服務(wù)器訪問互聯(lián)網(wǎng)?！緲永縓X企業(yè)網(wǎng)為典型的三層網(wǎng)絡(luò)架構(gòu)：核心層為核心交換機(jī)，匯聚層和接入層為低端交換機(jī)；核心層與匯聚層交換機(jī)均為雙機(jī)熱備。 網(wǎng)絡(luò)現(xiàn)狀分析在對(duì)現(xiàn)網(wǎng)結(jié)構(gòu)介紹時(shí)最好附上網(wǎng)絡(luò)拓?fù)鋱D，標(biāo)注清楚終端位置、各層網(wǎng)絡(luò)設(shè)備類型、業(yè)務(wù)服務(wù)器部署位置等。身份認(rèn)證、安全檢查、補(bǔ)丁管理、重要網(wǎng)絡(luò)資源的安全防護(hù)、終端行為管理、資產(chǎn)管理等一系列歸一化的完整終端安全解決，成為企業(yè)IT安全管理人員追求的目標(biāo)。為了有效保證業(yè)務(wù)的安全有效運(yùn)作，對(duì)企業(yè)IT信息系統(tǒng)的安全管理要求越來越高。TSM終端安全管理技術(shù)建議書模板TSM終端安全管理技術(shù)建議書模板1 概述 5 項(xiàng)目背景介紹 5 網(wǎng)絡(luò)現(xiàn)狀分析 5 項(xiàng)目規(guī)模和范圍 6 項(xiàng)目建設(shè)目標(biāo) 72 系統(tǒng)建設(shè)解決方案 9 軟硬件配置說明 21 服務(wù)器配置 21 安全網(wǎng)關(guān)配置 213 方案設(shè)計(jì)原則 224 網(wǎng)絡(luò)準(zhǔn)入控制方案 22 終端賬號(hào)管理方案 23 設(shè)備自發(fā)現(xiàn) 24 安全準(zhǔn)入控制 24 安全域劃分 24 管理員管理方案 255 終端安全管理方案 25 終端加固管理 25 防病毒軟件安全策略 25 強(qiáng)化補(bǔ)丁安裝 26 超時(shí)自動(dòng)鎖屏 26 注冊(cè)表配置管理 26 冗余賬號(hào)檢查 26 檢查賬號(hào)安全 26 檢查端口策略 26 網(wǎng)絡(luò)共享管理 27 監(jiān)控非法應(yīng)用和服務(wù) 27 終端行為管理 27 監(jiān)控網(wǎng)站訪問 27 軟件安裝標(biāo)準(zhǔn)化 27 IP訪問和網(wǎng)絡(luò)應(yīng)用程序監(jiān)控 28 終端入網(wǎng)審計(jì) 28 信息防泄密管理 28 外設(shè)接口管理 28 監(jiān)控USB設(shè)備使用 28 撥號(hào)連接管理 29 防止違規(guī)假設(shè)PROXY/路由器等外聯(lián)設(shè)備 29 文件操作審計(jì) 29 網(wǎng)絡(luò)安全防護(hù) 29 監(jiān)控網(wǎng)絡(luò)異常流量 29 ARP防護(hù) 29 撥號(hào)連接管理 30 防止違規(guī)假設(shè)PROXY/路由器等外聯(lián)設(shè)備 30 DHCP強(qiáng)制管理 30 網(wǎng)絡(luò)準(zhǔn)入安全防護(hù) 306 桌面管理方案 31 補(bǔ)丁管理 31 TSM與WSUS聯(lián)動(dòng) 31 補(bǔ)丁管理功能 32 資產(chǎn)管理 33 軟件分發(fā) 33 公告下發(fā) 33 遠(yuǎn)程協(xié)助 34 網(wǎng)絡(luò)安全報(bào)表 347 TSM系統(tǒng)組成介紹 348 TSM可靠性介紹 36 操作安全性 36 數(shù)據(jù)安全性 36 系統(tǒng)可靠性方案 37 逃生通道 37 SACG故障方案 37 服務(wù)器多資源池備份方案 379 方案特點(diǎn)及優(yōu)勢(shì) 371 概述 項(xiàng)目背景介紹說明項(xiàng)目的背景情況?！緲永侩S著XX各項(xiàng)業(yè)務(wù)的迅猛發(fā)展，組織和網(wǎng)絡(luò)規(guī)模的擴(kuò)充、企業(yè)網(wǎng)絡(luò)接入點(diǎn)的增加，使得網(wǎng)絡(luò)中的安全風(fēng)險(xiǎn)成倍的增加。在企業(yè)當(dāng)前復(fù)雜的網(wǎng)絡(luò)環(huán)境下，如何有效保證接入企業(yè)網(wǎng)絡(luò)的終端的安全可信，成為了信息安全建設(shè)的重中之重。 在前期安全項(xiàng)目的基礎(chǔ)上，為了進(jìn)一步加強(qiáng)技術(shù)手段對(duì)終端安全的管理，消除有可能出現(xiàn)的信息安全風(fēng)險(xiǎn)，有效保證XX的網(wǎng)絡(luò)環(huán)境的安全性，充分加強(qiáng)終端的接入和安全管理成為XX當(dāng)前辦公信息安全的當(dāng)務(wù)之急。需要說明現(xiàn)網(wǎng)已有的安全設(shè)備數(shù)量及類型，分析存在的安全問題，例如病毒泛濫，非法網(wǎng)絡(luò)訪問，資產(chǎn)被盜，非法無線接入等。業(yè)務(wù)服務(wù)器均已經(jīng)集中部署，通過一臺(tái)匯聚交換機(jī)連接核心交換機(jī)處。XX企業(yè)網(wǎng)絡(luò)拓?fù)鋱D從安全角度，XX企業(yè)網(wǎng)絡(luò)面臨以下問題：（1） 外來機(jī)器和終端隨意接入企業(yè)內(nèi)網(wǎng)，導(dǎo)致內(nèi)部網(wǎng)絡(luò)的安全性岌岌可危；（2） 目前大多數(shù)終端部署XX防病毒軟件，少量安裝了XXX防病毒軟件，但沒有集中管理，對(duì)于感染病毒和木馬的終端無法進(jìn)行控制其訪問，只能通過管理手段要求分員工對(duì)終端進(jìn)行殺毒等等，并且該工作是事后的工作，當(dāng)一個(gè)未知病毒大面積爆發(fā)時(shí)有可以造成整個(gè)網(wǎng)絡(luò)無法使用，對(duì)網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行造成非常大的影響；（3） 沒有部署強(qiáng)制的補(bǔ)丁管理系統(tǒng)進(jìn)行補(bǔ)丁統(tǒng)一管理，各終端不打、漏打系統(tǒng)補(bǔ)丁狀況嚴(yán)重，而且沒有辦法強(qiáng)制安裝，導(dǎo)致一旦某臺(tái)終端感染病毒或惡意代碼，則很快就會(huì)在內(nèi)網(wǎng)泛濫；（4） 員工安全意識(shí)薄弱，企業(yè)安全策略難以實(shí)施。 項(xiàng)目規(guī)模和范圍項(xiàng)目終端主要集中在XXX，共計(jì)XXX終端。內(nèi)網(wǎng)安全解決方案將試圖訪問企業(yè)網(wǎng)絡(luò)資源的用戶進(jìn)行身份認(rèn)證和強(qiáng)制實(shí)施安全認(rèn)證，通過雙重檢查保證接入網(wǎng)絡(luò)終端的安全性，對(duì)不滿足需求的終端自動(dòng)引導(dǎo)進(jìn)行安全修復(fù)和補(bǔ)丁安裝，對(duì)滿足需求的終端接入網(wǎng)絡(luò)后，對(duì)其網(wǎng)絡(luò)和終端行為進(jìn)行實(shí)時(shí)監(jiān)測(cè)和審計(jì)，保護(hù)終端軟硬件資產(chǎn)，防止信息泄密，最大程度保障企業(yè)信息安全。通過不同準(zhǔn)入控制方案配合，實(shí)現(xiàn)只允許符合企業(yè)安全規(guī)定的合法終端用戶接入網(wǎng)絡(luò)，防止內(nèi)部合法但不安全的用戶連接到企業(yè)內(nèi)部網(wǎng)絡(luò)以及防止外部非法用戶訪問企業(yè)內(nèi)部網(wǎng)絡(luò)。2. 終端系統(tǒng)安全性檢查提供豐富的準(zhǔn)入安全檢查策略，實(shí)現(xiàn)接入企業(yè)內(nèi)部網(wǎng)絡(luò)終端的安全性要求。3. 有效阻斷信息泄密行徑有效封堵企業(yè)內(nèi)部信息的泄密行為，通過終端外設(shè)管理策略，有效管理終端外設(shè)端口使用；提供移動(dòng)存儲(chǔ)設(shè)備寫加密功能，實(shí)現(xiàn)拷貝資料的寫加密處理；通過對(duì)上網(wǎng)路徑的有效性檢查，避免內(nèi)部資源通過非法途徑外泄的可能。4. 加固終端的安全性協(xié)助企業(yè)下載基于Window操作系統(tǒng)的最新補(bǔ)丁包，幫助終端自動(dòng)安裝操作系統(tǒng)補(bǔ)丁、支持企業(yè)必備的軟件網(wǎng)絡(luò)推送功能，提供自動(dòng)修復(fù)和企業(yè)個(gè)性化修復(fù)建議。6. 運(yùn)維管理通過在線趨勢(shì)報(bào)表、安全策略趨勢(shì)報(bào)表、違規(guī)策略TOPN等，方便管理者第一時(shí)間動(dòng)態(tài)掌握整網(wǎng)的安全情況；7. 遠(yuǎn)程協(xié)助提供對(duì)遠(yuǎn)程終端用戶的監(jiān)視和控制功能，