【正文】 管理員可通過監(jiān)控故障終端遠(yuǎn)程幫助終端用戶進(jìn)行系統(tǒng)的故障排除。整體方案設(shè)計(jì)遵循以下原則：1. 技術(shù)和管理并重安全防御“三分技術(shù)，七分管理”，除了企業(yè)安全技術(shù)手段外，需要配合企業(yè)的安全管理運(yùn)作制度，強(qiáng)化各項(xiàng)安全策略和流程的有效執(zhí)行；2. 遵從相關(guān)法律法規(guī)以安全法規(guī)為基礎(chǔ)，遵從國(guó)家相關(guān)安全政策，創(chuàng)建全面動(dòng)態(tài)安全策略；3. 適應(yīng)企業(yè)信息安全現(xiàn)狀以企業(yè)安全現(xiàn)狀為基礎(chǔ)，充分考慮企業(yè)存在的信息安全風(fēng)險(xiǎn)，完善企業(yè)IT內(nèi)控管理；4. 管理方便、易于維護(hù)依照目前企業(yè)的管理機(jī)制和組織結(jié)構(gòu)，保證系統(tǒng)架構(gòu)明確、管理方便，節(jié)省維護(hù)成本；5. 安全可靠系統(tǒng)應(yīng)具有安全保障體系，確保網(wǎng)絡(luò)的安全和保密，采用先進(jìn)的軟硬件等技術(shù)手段，實(shí)現(xiàn)網(wǎng)絡(luò)的傳輸安全、數(shù)據(jù)安全、接口安全；同時(shí)系統(tǒng)應(yīng)具有高可靠性和冗余設(shè)計(jì)；3 系統(tǒng)部署整體方案 接入控制方案目前XX企業(yè)的網(wǎng)絡(luò)建設(shè)比較完善，但在內(nèi)網(wǎng)中，基于交換機(jī)實(shí)現(xiàn)的IP的訪問控制不僅配置管理不夠靈活，而且還存在IP被仿冒等安全風(fēng)險(xiǎn)，無(wú)法徹底解決非法接入和越權(quán)訪問的問題。本節(jié)根據(jù)現(xiàn)網(wǎng)情況介紹部署方案，需要針對(duì)具體的網(wǎng)絡(luò)結(jié)構(gòu)和客戶需求，選擇相應(yīng)的部署方案【樣例1——SACG硬件網(wǎng)關(guān)方案】XX企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖22所示：圖21 XX企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖其網(wǎng)絡(luò)架構(gòu)特點(diǎn)如下：l 網(wǎng)絡(luò)層次清晰，為典型的三層網(wǎng)絡(luò)架構(gòu)；l 存在數(shù)據(jù)中心，現(xiàn)網(wǎng)的業(yè)務(wù)服務(wù)器已經(jīng)集中部署在數(shù)據(jù)中心里；l 終端較為集中，無(wú)分支機(jī)構(gòu)或其他網(wǎng)絡(luò)接入點(diǎn)；根據(jù)方案設(shè)計(jì)依據(jù)和設(shè)計(jì)原則，結(jié)合XX企業(yè)現(xiàn)網(wǎng)拓?fù)浼軜?gòu)和客戶的具體需求，建議TSM系統(tǒng)采取集中式部署，部署示意圖如下：圖22 XX企業(yè)TSM系統(tǒng)部署示意圖部署說明：1） SACG（安全接入控制網(wǎng)關(guān)）硬件設(shè)備分別旁掛在核心交換機(jī)處，兩臺(tái)SACG之間做主備，以保證SACG的高可靠性；在核心交換機(jī)處啟策略路由，將終端訪問系統(tǒng)系統(tǒng)的上行流量引流至SACG進(jìn)行控制。3） 將現(xiàn)有網(wǎng)絡(luò)資源按照業(yè)務(wù)和安全等級(jí)劃分為3個(gè)安全域：l 認(rèn)證前域：終端在身份認(rèn)證和安全檢查通過前能夠訪問的網(wǎng)絡(luò)資源，包括DHCP服務(wù)器、TSM系統(tǒng)服務(wù)器等；l 隔離域：終端在通過身份認(rèn)證但沒有通過安全檢查時(shí)處于被隔離狀態(tài)，此時(shí)僅能夠進(jìn)行安全修復(fù)操作，包括防病毒軟件病毒庫(kù)升級(jí)服務(wù)器、補(bǔ)丁服務(wù)器等；l 認(rèn)證后域：終端在通過身份認(rèn)證和安全檢查后能夠訪問的網(wǎng)絡(luò)資源，管理員可根據(jù)工作相關(guān)性和最小授權(quán)原則，將不同的終端用戶授權(quán)訪問相應(yīng)的網(wǎng)絡(luò)資源，有效防止非法訪問和越權(quán)訪問。2） TSM系統(tǒng)服務(wù)器采取集中部署在現(xiàn)有業(yè)務(wù)系統(tǒng)區(qū)域，；此部署方案中，需要在所有接入終端安裝TSM系統(tǒng)的客戶端Agent，通過TSM Agent進(jìn)行身份認(rèn)證和安全檢查；TSM服務(wù)器根據(jù)終端身份認(rèn)證和安全檢查的結(jié)果，通知終端接入交換機(jī)動(dòng)態(tài)切換對(duì)應(yīng)端口所處的Vlan，從而實(shí)現(xiàn)對(duì)終端接入網(wǎng)絡(luò)的控制。此部署方案中，需要在所有接入終端安裝TSM系統(tǒng)的客戶端Agent，通過TSM Agent集成的主機(jī)防火墻對(duì)終端接入網(wǎng)絡(luò)進(jìn)行準(zhǔn)入控制?！緲永?——硬件SACG+軟件SACG方案】XX企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖所示：圖27 XX企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖其網(wǎng)絡(luò)架構(gòu)特點(diǎn)如下：l 網(wǎng)絡(luò)部署時(shí)間較長(zhǎng)，經(jīng)過多次擴(kuò)容，交換機(jī)品牌較多，；l 網(wǎng)絡(luò)架構(gòu)層次清楚，服務(wù)器集中放置在數(shù)據(jù)中心統(tǒng)一進(jìn)行管理；根據(jù)方案設(shè)計(jì)依據(jù)和設(shè)計(jì)原則，結(jié)合XX企業(yè)現(xiàn)網(wǎng)拓?fù)浼軜?gòu)和客戶的具體需求，建議TSM系統(tǒng)采取集中式部署，部署示意圖如下：圖28 XX企業(yè)TSM系統(tǒng)部署示意圖部署說明：1） 在所有接入終端安裝TSM系統(tǒng)的客戶端Agent；2） 在核心交換機(jī)處側(cè)掛TSM系統(tǒng)的SACG硬件安全接入控制網(wǎng)關(guān)設(shè)備，通過策略路由將所有訪問業(yè)務(wù)服務(wù)器區(qū)域的上行引流至SACG進(jìn)行控制；2） TSM系統(tǒng)服務(wù)器部署在現(xiàn)有業(yè)務(wù)系統(tǒng)區(qū)域，保證與所有終端路由可達(dá)；3） 在TSM系統(tǒng)管理界面啟用基于主機(jī)防火墻的準(zhǔn)入控制功能，并將現(xiàn)有網(wǎng)絡(luò)資源按照業(yè)務(wù)和安全等級(jí)劃分為3個(gè)安全域：l 認(rèn)證前域：終端在身份認(rèn)證和安全檢查通過前能夠訪問的網(wǎng)絡(luò)資源，包括DHCP服務(wù)器、TSM系統(tǒng)服務(wù)器等；l 隔離域：終端在通過身份認(rèn)證但沒有通過安全檢查時(shí)處于被隔離狀態(tài)，此時(shí)僅能夠進(jìn)行安全修復(fù)操作，包括防病毒軟件病毒庫(kù)升級(jí)服務(wù)器、補(bǔ)丁服務(wù)器等；l 認(rèn)證后域：終端在通過身份認(rèn)證和安全檢查后能夠訪問的網(wǎng)絡(luò)資源，管理員可根據(jù)工作相關(guān)性和最小授權(quán)原則，將不同的終端用戶授權(quán)訪問相應(yīng)的網(wǎng)絡(luò)資源，有效防止非法訪問和越權(quán)訪問。TSM服務(wù)器根據(jù)終端身份認(rèn)證和安全檢查的結(jié)果，對(duì)終端接入網(wǎng)絡(luò)的控制。此部署方案中，需要在所有接入終端安裝TSM系統(tǒng)的客戶端Agent，通過TSM服務(wù)器與SACG網(wǎng)關(guān)設(shè)備的聯(lián)動(dòng)，根據(jù)終端身份認(rèn)證和安全檢查的結(jié)果由TSM服務(wù)器通知相應(yīng)的SACG開放指定終端的網(wǎng)絡(luò)訪問權(quán)限。該部署方案中需要在所有接入終端安裝TSM系統(tǒng)的客戶端Agent，通過TSM服務(wù)器與SACG網(wǎng)關(guān)設(shè)備的聯(lián)動(dòng)，根據(jù)終端身份認(rèn)證和安全檢查的結(jié)果由TSM服務(wù)器通知相應(yīng)的接入控制和終端安全解決方案。系統(tǒng)內(nèi)置賬號(hào)包括普通賬號(hào)、MAC賬號(hào)，外部數(shù)據(jù)源賬號(hào)支持從AD賬號(hào)、LDAP賬號(hào)和CA賬號(hào)等第三方的用戶系統(tǒng)中同步賬號(hào)，實(shí)現(xiàn)終端的網(wǎng)絡(luò)準(zhǔn)入前的身份認(rèn)證過程。TSM系統(tǒng)參考現(xiàn)有企業(yè)的組織和管理結(jié)構(gòu)，采用樹狀結(jié)構(gòu)的多級(jí)管理方式，賬號(hào)數(shù)據(jù)源支持系統(tǒng)內(nèi)置賬號(hào)和外部數(shù)據(jù)源方式?！緲永?——AD/LDAP/CA聯(lián)動(dòng)認(rèn)證方式】由于XX已經(jīng)部署了微軟的AD域服務(wù)器進(jìn)行用戶管理，可利用TSM系統(tǒng)支持與AD域服務(wù)器進(jìn)行認(rèn)證聯(lián)動(dòng)功能，因此，這里推薦使用TSM系統(tǒng)的“AD聯(lián)動(dòng)認(rèn)證”方式。部署以后，終端用戶通過域賬號(hào)登陸操作系統(tǒng)后，TSM系統(tǒng)的客戶端代理程序會(huì)自動(dòng)獲取當(dāng)前用戶的AD域賬號(hào)信息，通過TSM服務(wù)器與AD服務(wù)器之間的聯(lián)動(dòng)實(shí)現(xiàn)認(rèn)證。整個(gè)認(rèn)證過程對(duì)客戶現(xiàn)有使用習(xí)慣沒有任何的影響。終端用戶的賬號(hào)可由現(xiàn)有的人事系統(tǒng)、郵箱系統(tǒng)或者其他數(shù)據(jù)庫(kù)中導(dǎo)出，然后通過TSM系統(tǒng)提供的Excel模板統(tǒng)一批量導(dǎo)入到TSM系統(tǒng)里，導(dǎo)入時(shí)可對(duì)用戶賬號(hào)進(jìn)行分組，以保證TSM系統(tǒng)里的組織結(jié)構(gòu)與現(xiàn)有的組織機(jī)構(gòu)完全一致，保證每個(gè)員工都有網(wǎng)內(nèi)唯一的認(rèn)證賬號(hào)。 外來(lái)訪客管理方案為規(guī)范外來(lái)訪客對(duì)內(nèi)網(wǎng)資源的的訪問，建議啟用訪客管理功能。管理員可以根據(jù)企業(yè)的管理制度，定義來(lái)訪客戶能夠獲得的網(wǎng)絡(luò)訪問權(quán)限。 設(shè)備自發(fā)現(xiàn)現(xiàn)網(wǎng)網(wǎng)絡(luò)規(guī)模較大，接入內(nèi)網(wǎng)的設(shè)備較多，管理員很難及時(shí)動(dòng)態(tài)滴了解網(wǎng)絡(luò)設(shè)備的接入情況。 軟硬件配置說明描述需要配置的服務(wù)器、SACG、交換機(jī)信息，并對(duì)設(shè)備數(shù)量、部署位置、用途等情況做出說明。 服務(wù)器配置介紹方案里部署服務(wù)器的數(shù)量、部署地點(diǎn)、作用是否利舊等信息【樣例】根據(jù)XX的網(wǎng)絡(luò)情況和終端數(shù)量，這里推薦配置的服務(wù)器具體使用及說明如下表：部署位置數(shù)量（臺(tái)）說明總部2分別安裝TSM系統(tǒng)SM、SC和SQL Server 2005數(shù)據(jù)庫(kù)組件，兩臺(tái)服務(wù)器之間互為主備；由總部管理員統(tǒng)一對(duì)全網(wǎng)終端進(jìn)行安全管理XX分公司1安裝TSM系統(tǒng)SC組件，負(fù)責(zé)XX分公司本地500終端的安全接入控制；當(dāng)上海服務(wù)器宕機(jī)時(shí)，上海分公司的終端連接到總部SC服務(wù)器上進(jìn)行認(rèn)證 安全網(wǎng)關(guān)配置若方案里配置了SACG，則需要在此說明SACG的配置型號(hào)、數(shù)量、部署位置等信息，并詳細(xì)說明SACG的部署方式【樣例】部署位置SACG型號(hào)數(shù)量（臺(tái)）說明總部核心交換機(jī)處USG 53202最大支持2W并發(fā)用戶XX邊界路由器處USG 222014 終端安全管理方案 終端加固管理企業(yè)內(nèi)網(wǎng)終端眾多，員工的計(jì)算機(jī)水平和信息安全意思參差不齊，由于操作系統(tǒng)安全設(shè)置不當(dāng)而引起的安全風(fēng)險(xiǎn)越來(lái)越明顯，僅通過目前行政管理手段無(wú)法保證所有終端的安全性，建議加強(qiáng)對(duì)操作系統(tǒng)的安全加固管理，具體管理方案如下： 防病毒軟件安全策略目前XX公司內(nèi)網(wǎng)的辦公終端絕大多數(shù)已經(jīng)安裝了防病毒軟件，但由于強(qiáng)制檢查，導(dǎo)致終端長(zhǎng)期不更新病毒庫(kù)和病毒引擎版本，使得防病毒軟件形同虛設(shè)，沒有發(fā)揮其重要的終端保護(hù)能力。保證企業(yè)內(nèi)網(wǎng)運(yùn)行的終端殺毒軟件能夠及時(shí)更新并且有效運(yùn)行，減少病毒感染和擴(kuò)散的風(fēng)險(xiǎn)。 超時(shí)自動(dòng)鎖屏通過屏幕保護(hù)策略檢查終端的屏幕保護(hù)是否啟用，屏幕保護(hù)程序密碼是否設(shè)置以及屏幕保護(hù)啟動(dòng)時(shí)間是否符合企業(yè)安全要求的安全檢查，保證終端在空閑一定時(shí)間后屏幕保護(hù)程序自啟動(dòng)的安全要求，滿足企業(yè)終端桌面管理規(guī)范。 注冊(cè)表配置管理通過對(duì)系統(tǒng)注冊(cè)表鍵值檢查，完成終端注冊(cè)表鍵值存在與否的安全性檢查。 冗余賬號(hào)檢查通過檢查系統(tǒng)冗余賬號(hào)，TSM系統(tǒng)能夠協(xié)助管理員發(fā)現(xiàn)終端長(zhǎng)期未使用的臨時(shí)賬號(hào)，降低企業(yè)終端安全管理風(fēng)險(xiǎn)。一方面，網(wǎng)絡(luò)內(nèi)任意終端可能在未獲得授權(quán)的情況下直接竊取共享信息；另一方面，公開的共享目錄也給病毒的傳播提供了溫床。 監(jiān)控非法應(yīng)用和服務(wù)通過檢查終端的軟件安裝情況和監(jiān)控終端軟件程序的運(yùn)行情況，阻止終端安裝和運(yùn)行非法應(yīng)用程序。同時(shí)，管理員可通過審計(jì)軟件的安裝和使用情況，從而及時(shí)了解安全狀態(tài)。使用寬帶接入互聯(lián)網(wǎng)后，企業(yè)內(nèi)部網(wǎng)絡(luò)某種程度上成了一種“公共”上網(wǎng)場(chǎng)所，很多與法