_实施方案模板_天珣内网安全风险管理与审计系统v6.6.9.5Patch66950000

1、天珣内网安全风险管理与审计系统实施方案（0000）启明星辰Beijing Venustech Cybervision Co., Ltd.2014 年 10月目录1系统实施原则1最大限度降低对用户的影响1全面细致规划，分步实施1安全策略从简到繁，安全级别步进式提高22实施计划23管理服务器部署3总部管理服务器部署3厂所独立管理服务器部署4部署实施建议5管理服务器与客户端通信要求5数据存储建议9管理员权限划分9服务器安装及数据管理94客户端部署10通过应用准入方式部署客户端10应用准入控制部署10建设期客户端部署11维护期客户端部署115准入控制实施11应用准入控制实施12网络准入控制实施15风险

2、与灾备21客户端准入部署27客户端准入控制部署建议286分工界面297附件一：服务器安装及数据管理311 系统实施原则1.1 最大限度降低对用户的影响部署终端安全管理系统的根本目的，是借助系统所提供的准入控制的技术手段，确保接入的电脑是合法的和符合XX研究院安全策略要求的，最大限度降低不安全的客户端电脑对XX研究院网络和信息资源带来的风险和威胁，保证XX研究院每一个用户的电脑始终处于良好的运行状态，大大降低故障发生概率，从而保证每个用户都能够完全专注在自己的本职业务工作，并大大提高每一个用户的工作效率。因此，选择和部署终端安全管理系统时，在确保XX研究院安全策略的有效执行的前提下，要最大限度降

3、低对电脑用户在日常工作中的影响，例如减少终端用户在系统的使用过程中的不必要的操作和介入，在用户违反安全策略时进行友好提示，尊重和保护个人隐私，为用户安全网络访问和信息交换保驾护航。1.2 全面细致规划，分步实施终端安全管理系统，作为XX研究院网络安全的基础架构中非常重要的客户端电脑安全管理平台，将涉及到XX研究院内部每一台接受管理的电脑和每一个用户，涉及面广，影响面大。当然，为了根本上解决客户端电脑的安全管理问题，这样的系统的部署也势在必行，因此在系统部署前需要对系统的实施过程、安全策略的制定和安全管理制度的建立，进行全面系统地规划，并在实施过程中，根据实际环境进行适时调整，从而保证系统和安全

4、策略在XX研究院内部顺利执行下去，实现项目预期的目标，保障内部网络具有更高可用性和客户端电脑的更高安全性。部署前需要规划的内容包括：内部网络和用户的安全分级和规划，系统部署的次序和周期，针对不同部门或用户角色的安全策略组合，系统安全策略的动态调整等等。安全不是一蹴而就的，由于该系统涉及面较广，因此系统的实施需要全面规划，分步实施，循序渐进，真正发挥系统的安全保护和主动防御的功效。1.3 安全策略从简到繁，安全级别步进式提高由于XX研究院分支机构、部门和人员较多，对应每一个角色的安全保护级别要求也层次各异，如果为了保证最高的安全性，使用同样一种严格的安全策略，或者为了降低安全管理的工作量，简单的

5、执行一类基本安全策略，都是不合适的。在规划中要预先基于用户角色确定每个部门、用户或分支机构，确定对应的最合适的安全策略组合，作为系统最终实现的安全管理目标。在实施过程中，再按照由简到繁的次序，先实施所有用户都必须遵守的安全策略，然后再根据不同分支机构、部门和用户，步进式下发和执行各级安全策略，从而实现安全级别步进式提高，构建立体的、混合模式的终端安全策略管理体系。2 实施计划内网终端合规管理提升是一个循序渐进和不断完善的过程，要兼顾“安全性”和“便利性”，合规管理应“先弱后强”，实施策略应“先易后难”的原则，消除来自业务部门和终端员工的抵触情绪和压力。因此在安装过程中，我们严格遵循天珣安装“三

6、步走”原则，即：a) 通过应用准入推动客户端部署安装，通过友好的提示界面以及强度稍弱的准入控制方式，善意的提醒用户主动安装天珣客户端，并提供给用户下载地址，由其去下载和安装b) 配置策略管理受控终端使其进行自身安全状态的完善，目标则是让内网受控终端成为合规安全的终端，保证内网安全建设成功而高效c) 启用网络准入，在用户熟悉天珣准入控制系统的特性后再启用网络准入，将会受到最小的阻力，最终完成整个准入体系的关键一步当然，也会有一些部门或区域的安全保护等级要求没有这么高，这时我们可以对其采用适合自己的准入控制方式和安全策略，从而使的整个项目更加人性化。项目时间表3 管理服务器部署3.1 总部管理服务

7、器部署院本部内厂所内：两种方式部署管理服务器，一种是逻辑上的集中管理分级授权方式，另一种完全独立的策略管理服务器方式。天珣内网安全风险管理与审计系统支持多策略服务器架构。每个服务器服务一个或多个园区。而这些服务器可以相互备份，在一个统一的控制台接受集中管理。如果一台服务器宕机，其服务的用户会自动被其他的服务器接管。每一个管理网段的电脑都有3次从服务器获取规则的机会，它们首先会从Primary的策略服务器获取规则，如果失败，则从Secondary的策略服务器获取规则，如果再失败，则从中心服务器获取规则，如果还是失败，则使用客户端本地缓存的规则。分布式多服务器架构使天珣内网安全风险管理与审计系统具

8、有优秀的容错性、可伸缩性，支持的客户端数量从数百个到数万以至更多，而部署极为平滑，性能不受影响。在本次实施中，需要部署三台策略服务器，一台中心服务器，两台本地服务器。三台策略服务器都安装在中心机房，要求本次实施的所有的客户端电脑及策略网关都可以通过TCP/IP协议的7890端口访问到策略服务器。因为中心服务器有日常的管理负荷，建议中心服务器管理3000台终端电脑，本地服务器管理7000台终端电脑。对于任何一个管理网段，如果其Primary Server为其中一台，则其Secondary Server将被设为另外一台。中心服务器两台本地服务器管理网段一管理网段二PrimarySecondaryP

9、rimarySecondary3.2 厂所独立管理服务器部署独立厂所：完全独立的策略管理服务器方式。在分布式多服务器架构下，中心服务器是整个系统策略集中存放的地方，本地服务器是进行日常的策略分发的地方。全系统只需要一个中心服务器，可以有多个本地服务器，中心服务器可以兼作本地服务器。在本次实施中，两台策略服务器都在院总部的直接管理下，由总部的管理员进行管理。在今后的实施中，可以在各下级厂所架设本地服务器，由总部的管理员进行全局控制，而由各厂所的管理员进行本地化的管理。从投资成本上考虑，建议本项服务器都在集中部署在院总部信息中心更有利，院下属各厂所多集中在园区网内网络带宽足以满足集中心管理的需要，

10、因此推荐集中管理的部署方式。3.3 部署实施建议3.3.1 管理服务器与客户端通信要求CC与管理服务器的通信列表。类别源源端口目标目标端口功能协议服务器类中心服务器any客户端7891主动下发策略UDP中心服务器any客户端7891策略预检查UDP中心服务器any本地服务器7892主动同步服务器策略TCP中心服务器any策略网关代理7893同步代理策略UDP中心服务器anyradius服务器7897更新radius策略UDP补丁同步服务器any外网补丁服务器8800同步补丁TCP策略网关代理any中心服务器7890获取代理策略TCPradius服务器any中心服务器7890获取radius策略

11、TCP策略网关any策略网关代理7893拦截访问，通知代理TCP策略网关代理any客户端7891发送检查请求UDPradius服务器any交换机1812-1813发送认证结果UDP交换机anyradius服务器1812-1813转发认证请求UDP交换机any客户端1645-1646下发ACLUDPradius服务器any域服务器443转发用户认证TCP中心服务器anyserver monitor7896收集系统组件运行状态TCP客户端类客户端any中心服务器7890心跳UDP客户端any中心服务器7890取策略TCP客户端any中心服务器7898SSL取策略TCP客户端any中心服务器7890

12、;7898客户端注册TCP客户端any中心服务器8833web管理界面TCP客户端any软件分发服务器7901取分发任务TCP客户端any软件分发服务器7902取分发文件TCP客户端any资产服务器7891上报资产TCP客户端any攻击告警服务器7899上报攻击告警UDP客户端any补丁同步服务器8833下载补丁TCP客户端anyhod管理员5500;5400远程协助数据流TCP客户端any按需支援服务器7895发起支援请求TCPUTM类USGany客户端1080发送拦截页面TCP客户端anyUSG1080接收拦截页面TCPUSGany策略网关代理7893拦截访问，通知代理TCP3.3.2 数

13、据存储建议采用数据的集中存储模式，便于用户的数据的存储备份管理。本部及各分支机构的数据全部存储在一台固定的数据库服务器中，省去数据同步的麻烦，增加数据一致性。3.3.3 管理员权限划分三权分立管理在天珣内网安全风险管理与审计系统中，基本设置的操作必须有全局管理员权限才能进行，而普通的策略配置只需要普通管理员权限就可以进行。一个普通管理员定义的策略，另外一个普通管理员不能看见，也不能使用。全局管理员定义的策略，其他普通管理员可以使用，但不能修改。全局管理员可以使用、修改任何一个普通管理员或全局管理员定义的策略。对全局管理员或普通管理员，都可以设置“只读”属性，该管理员只能读取策略信息，不能增加、

14、修改或应用策略。在院总部，建议设置三种管理员。一种管理员是全局管理员，这类管理员由一至二个成员组成，他们负责进行基本设置，或一些全局性的策略。第二种管理员是普通管理员，主要由他们进行策略配置，他们定义的策略具有本地属性，当今后部署范围扩大，安装了更多的本地服务器，有更多的管理员参与策略系统管理时，他们定义的策略不会被其他管理员使用。第三种管理员是只读管理员，一般对部门领导设置这种权限，他们可以查看系统，但不需要他们做策略配置。3.3.4 服务器安装及数据管理见附件一。4 客户端部署4.1 通过应用准入方式部署客户端4.2 应用准入控制部署对于无法实施网络准入控制的区域，可以采用应用准入。下图是

15、采用应用准入的部署图。分别在院的DNS服务器，ISA服务器，关键的Windows服务器，关键的Linux服务器等经常被访问的服务器上部署策略网关，当用户电脑访问这些服务器时，策略网关将会检查用户电脑是否运行了天珣内网安全风险管理与审计系统客户端软件，而且是否符合策略规则。如果不符合，策略网关将拒绝用户的访问，并给出友好的提示。在实际部署中，可根据情况增加或减少策略网关的部署数量。天珣已经与启明星辰天清汉马USG实现准入控制互动，由USG作为新的应用准入控制类型。当终端需要通过USG进行访问时，由USG和天珣联动，只容许认证通过并且安全状态符合要求的终端通过USG进行访问。4.3 建设期客户端部

16、署客户端部署主要采用客户自助安装、后台自动安装、或管理员辅助安装等部署方式。客户端自助安装可采用策略网关提示安装，网上邻居预安装，邮件提示预安装等方式。后台自动安装可使用现有的软件分发工具，或用专门的后台安装工具进行安装。管理员辅助安装是在前面的安装手段对个别用户不能成功部署时采用。客户端部署依部门顺序分阶段进行，在对每个部门全面部署前，先进行一次终端应用情况调研，针对每个部门的终端使用情况进行详细调研，主要包括：OS、版本、补丁、应用系统、重要数据等其它相关内容。如果有需要特别注意的地方，就需要制定特别的部署方案。4.4 维护期客户端部署新购置电脑对于少量新购置的电脑，建议在入网之前由管理部

17、门安装天珣客户端；对于批量购置的电脑，建议与电脑厂商协商，在出厂时即安装天珣客户端。电脑重装操作系统天珣应用准入的一个重要功能是帮助管理员部署客户端。对于偶尔重装操作系统的终端，可通过应用准入控制由用户自助安装客户端程序。5 准入控制实施 5.1 应用准入控制实施应用准入介绍天珣系统中，具备其他同类软件不同的关键准入控制组件策略网关，这个组件可以安装在企业网中一个或多个关键业务系统服务器之上，执行应用层准入控制，可以对来访的终端执行合规检查，如果来访终端非受控或不合规，将被拒绝访问该服务器或业务系统，同时也达到对这些关键服务器和业务系统增强保护的效果。其中，基于DNS应用准入控制，又根据模式的

18、不同，又可以分为旁路式的DNS准入（此时DNS处于旁路监听模式，无需改变DNS服务器配置或者安装DNS策略网关）和在线DNS准入（在DNS服务器上部署DNS策略网关）。天珣能够与启明星辰天清汉马一体化安全网关（简称：天清汉马USG）组成UTM2合规管理方案，实现准入控制联动，由天清汉马USG担当准入控制网关，当计算机终端需要通过天清汉马USG进行访问时，确保只有受控和合规的才能通过天清汉马USG对USG所保护的服务器进行访问。除此之外，天珣还能够提供可以与用户任意平台的B/S结构的业务系统无缝集成的Web准入控制。集成的Web准入控制，平台适应能力非常广泛，服务端能够在Windows、Linu

19、x、unix下使用。性能优越，而且部署及其简单，只需把控件加入登录页面上，并且替换了用户名输入控件，进行小量的页面修改即可完成部署。应用准入的特点i) 应用准入生效是在数据中心的服务器区，对于网络环境中因接入层交换机或汇聚层交换机不支持相应的网络准入认证协议，或者因内网终端合规管理的现实要求，暂时不需要启用最严格的网络准入控制的情况，应用准入将可以代替网络准入作为最佳的终端合规准入控制手段。当然如果终端始终不去访问数据中心服务器，那么将可能无法对其实施应用准入，因此前期对准入所使用的业务系统的选择将会非常关键。ii) 独特功能：应用准入可以通过自动重定向，对未受控或者不合规的终端，进行个性化的

20、友好提示，通过友好提示不仅可以帮助最终用户了解无法访问业务服务器的原因，为最终用户接受和适应新的终端合规管理提供帮助，还可以通过该提示页面，发送执行合规管理的客户端软件，真正实现了最终用户“自助式”的客户端部署，不仅大幅度减少系统维护人员的工作量，也极大减少用户的厌烦和抵触行为，保证合规管理有效性的同时，在内网终端合规管理过程中，体现了人性关怀，有效增强了最终用户在内网合规管理系统实施中的积极性，促进内网合规更快获得良好收效。本项目中应用准入的实施主页或OA服务器上的中性策略网关在主页或OA服务器上安装天珣中性策略网关，受控终端访问主页或OA服务器时过程如下。开启准入检查的网段，对有针对性地检

21、查特定的网段，对特殊网段可设置使其不受策略网关的影响。DNS准入在内部DNS服务器上安装天珣DNS策略网关，当受控终端发送DNS请求时与DNS服务器交互过程如下：开启准入检查的网段，对有针对性地检查特定的网段，对特殊网段可设置使其不受DNS准入的影响。5.2 网络准入控制实施对于接入交换机支持802.1X协议的区域，采用基于802.1x协议的网络准入控制。下图是802.1x网络准入的部署图。802.1X认证的Radius Server采用天珣自带的Radius Server，用户电脑安装天珣内网安全风险管理与审计系统客户端软件。天珣内网安全风险管理与审计系统支持分布式多服务器架构，建议每套天珣

22、系统至少互备的认证支持。在本次方案中，我们推荐XXXX院实行基于可信MAC地址验证的802.1X准入。该认证模式可以和“基本认证”、“扩展组合认证”组合成完善的准入模式。对接入电脑的MAC地址进行验证，如果不在允许接入的清单内，则拒绝该电脑的接入。对于新接入的电脑，该电脑的信息将即时报告给管理员，管理员可以在线决定是否允许该新电脑的接入。客户端的安装由于802.1X是二层协议，终端认证不成功将不能访问网络，故客户端的安装问题将影响用户的使用，客户端的安装请参见“客户端部署”章节。n 策略配置首先，在天珣WEB控制台中添加一条Radius Server策略，在这里配置radius认证服务器及其所

23、使用的认证策略：我们配置“网络准入类型”为“”，基本认证为“用户认证”，并选择电力集团的AD域作为认证域。接下来再把需要启用网络准入的交换机的IP加入到网络设备配置中，让radius服务器知道它将对哪些交换机的认证请求进行响应。注意：共享密钥必须与交换机中配置的key一致，否则将无法认证成功。在网络设备配置完成后，将其应用到radius配置的“启用准入控制的网络设备”中：另外，在页面策略配置完成后，务必点击更新radius服务器策略，否则radius服务器将无法获取到最新的策略修改。n 交换机配置对于交换机的配置，我们会对两种电力集团普遍使用的接入层cisco和华为交换机进行介绍。CISCO交

24、换机进入配置命令模式# config terminal配置Radius认证服务器启用认证# aaa new-model设置802.1X使用radius server组中的所有radius server进行认证# aaa authentication dot1x default group radius# aaa authorization network default group radius添加ias到radius server，其中host后面的IP地址为IAS服务器地址，auth-port和acct-port为标准的Radius端口，key为交换机和Raidus服务器通讯密钥# rad

25、ius-server host auth-port 1812 acct-port 1813 key 123456# dot1x system-auth-control# interface FastEthernet0/7# switchport mode access# dot1x port-control auto# dot1x host-mode multi-host（启用交换机端口的multiple-hosts模式，以使交换机可下接hub进行认证）# end配置7号端口的重认证周期可选项，配置802.1X重认证的周期，以秒为单位，默认为3600秒（1小时），当重认证时，如果网络端口接入其

26、他没有运行天珣内网安全风险管理与审计系统的计算机，端口会立刻封闭。# interface FastEthernet0/7# dot1x reauthentication# dot1x timeout reauth-period 3600# end保存当前配置作为启动配置# copy running-config startup-config注意：CISCO的交换机如果是远程使用telnet登陆到交换机进行配置的话，请千万记得配置aaa authentication login default line命令（不同型号交换机可能命令略有不同）。此命令作用是将telnet时进行的认证放在交换机本地，

27、如果不配置的话，假如以前telnet交换机只需要输入密码的话，那么在下次进行telnet登陆时，交换机将会提示要求输入用户名和密码进行认证。华为交换机# 设置用户的认证方法，目前提供3种认证方法：PAP认证、CHAP认证、EAP中继认证。缺省情况下，华为交换机用户认证方法为CHAP认证。此处需要修改设置为EAP认证。Quidway dot1x authentication-method eap# 创建RADIUS 组dot1x 并进入其视图Quidway radius scheme dot1x# 设置主认证/计费RADIUS 服务器的IP 地址Quidway-radius-dot1x prim

28、ary authentication # 设置主认证/计费RADIUS 服务器的IP 地址Quidway-radius-dot1x primary # 设置系统与认证RADIUS 服务器交互报文时的加密密码Quidway -radius-dot1x key authentication 123456Quidway -radius-dot1x key accounting 123456# 指示系统从用户名中去除用户域名后再将之传给RADIUS 服务器Quidway-radius-dot1x user-name-format without-domainQuidway-radius-dot1x q

29、uit# 创建用户域dot1x，并进入其视图Quidway domain dot1x# 指定“dot1x”为该用户域的Radius方案Quidway-isp-dot1x radius-scheme dot1xQuidway-isp-dot1xquit# 指定交换机缺省的用户域为“dot1x”Quidway domain default enable dot1xQuidway dot1x interface Ethernet 0/8# 开启全局802.1x 特性Quidway dot1x# 保存设置Quidway quit<Quidway> save 5.3 风险与灾备802.1X准

30、入作为一种最严格的准入控制手段具有其他准入控制措施不具有的优势，如认证流与数据流的分离、独立于应用之外、在严格之余又具有很高的可扩展性等。该准入控制手段已经大量应用于教育、金融行业，在近年来举办的重大赛事如广州亚运会，该准入控制手段也已经全面应用。随着企业信息化越来越深入，在信息安全领域，准入控制，尤其是像802.1X这种严格的准入控制手段已经成为一个不得不考虑的选项。但这种严格的准入控制技术也带来了不可忽视的断网风险。在对网络可用性要求极高的领域，如金融行业，大面积断网是不能容忍的一级事故。因此，一套完整的、可操作的风险预案便成了关键时刻的法宝。下图是完成全面完成基于802.1X网络准入控制

31、体系后，XXXX终端接入控制体系示意图。根据标准802.1X准入控制需要的三个实体，加上用户认证时需要的目录服务器（以AD域控制器为例），我们分析了天珣作为准入控制解决方法可能产生的风险点如下图标号所示。XXXX终端接入控制体系抽象图名词释义：天珣中心服务器：提供策略集中编辑、下发和集中报表的功能，管理和同步策略到本地服务器、Radius服务器等其他服务器组件，并可以直接管理指定范围的终端的服务器；天珣本地服务器：提供对指定范围终端进行管理的服务器，并可以管理和同步策略到Radius服务器。Radius认证服务器：与Swich联动，提供对客户端及用户进行网络准入控制认证服务器。AD域服务器：终

32、端用户账号/密码的集中管理和认证服务器。接入交换机（Switch）：与Radius联动，提供对客户端及用户进行网络准入控制的接入层网络设备。客户端（Clients）：运行在每一台终端电脑上，执行终端安全管理策略，发起认证请求。按照天珣系统的设计原理，以上组件中，除了中心服务器和本地服务器之外，其他任意组件，例如无备份的单一Radius服务器、目录服务器（本方案中的AD域服务器）、交换机、客户端，只要其中之一出现影响认证的故障，都将会导致终端网络准入认证失败。每个组件对网络准入的影响，如下图所示：从图中可以看出，每个组件都存在影响到网络准入失败的可能。但是，结合组件的作用和他们之间的相互关系，以

33、下四个环节的风险最为突出：策略服务器异常时，Radius无法主动获取正确策略。AD域服务器异常或网络中断，导致AD域不可达，用户认证失败。Radius服务器异常或网络中断，导致认证无法正常进行。客户端异常，导致认证无法正常进行。针对上述风险，天珣为该准入控制拟定了以下风险预案：1、 风险一种稳定的准入控制手段不有必要经常改变准入条件，如我们没有必要经常在仅验证客户端和可匿名登陆的用户认证两种方案间切换。但即使如此，天珣的Radius服务器（天珣自有的RADIUS服务器，不使用微软IAS等第三方产品）在每次收到准入控制策略后都会缓存该策略，直到服务器通知其更改，在此期间，天珣的RADIUS服务器

34、不依赖中心服务器和本地服务器，即使服务器宕机，RADIUS服务器依然可以正常工作。在天珣系统中，这种风险已经可以忽略。2、 风险预案天珣可以同时使用多台主备的目录服务器，但即使如此，网络状况以及目录服务器的可用性依然构成较大的挑战。实行用户认证需要保证AD域始终可达，但不常发生的断电和网络故障让我们不能忽略极少发生的AD域不可达的可能性。为此，天珣提供了AD域的Radius bypass工具，当AD域不可达时，该工具可立刻取消所有终端的用户认证，使准入控制方案变成仅“”，从而消除因AD域故障导致的网络准入认证失败的问题。天珣目录服务RadiusBypass工具界面如下：3、 风险预案Radiu

35、s服务器是802.1X网络准入的重中之重，在准入控制方案中，单台RADIUS服务器是巨大的风险点，正是基于此，网络设备厂商在标准配置中，都会为每台交换机配置双Radius服务器以做互备。从天珣实施的案例中，双RADIUS服务器年故障时间小于5分钟。在配置了双RADIUS服务器的情况下，尤其是异地备份，该风险已经大大降低。但这始终不会成为我们松懈的理由，天珣建议将Radius作为核心服务器重点监控和保护，以消除Radius服务器的单点故障和Radius可能遭受到的网络攻击或机房环境影响。同时，部分网络设备厂商也考虑了该问题，在交换机的配置方面有不同的使用方案。如，H3C的交换机可以配置多个认证选

36、项，先使用radius认证，radius不可达则使用local或者使用none。这些手段均可以大大减少故障压力。但作为最可靠的解决手段，取消交换机的802.1X准入是最后的法宝，也是最让人放心的措施。如果企业内部有统一的网络设备管理平台，可通过配置网管平台取消交换机的认证，若没有则可借助某些自定义的脚本。本方案中有以下脚本取消交换机的全局802.1X准入，以思科交换机为例：echo offecho sh.SendKeys "no dot1x sysstart telnet4、 风险预案由于网络准入控制认证需要由安装在终端的天珣客户端来执行，如果客户端不能正常运行，将直接导致认证无法进

37、行。根据天珣以往的经验，导致客户端上线后不能运行的原因更多来自于与终端上安装的其他安全软件或工具误杀、误拦或冲突。针对这种情况，天珣已经紧跟各杀毒软件和安全软件厂商更新情况，做好后方的沟通和兼容检测工作，最大限度消除相互影响带来的风险。5、 天珣RADIUS服务器状态告警在综合考虑了上述所有可能产生风险的故障点之后，天珣并没有停止对风险防范的思考，RADIUS服务器状态告警组件便是我们最近的成果。在RADIUS所在服务器出现莫名故障时（Windows服务器操作系统不可避免），该组件可以即时报告其服务的可用状态，这种监视不是简单的进程保护，而是其内部流程的即时体现，包括它所依赖的所有第三方服务提

38、供如目录服务。其报警结果可以为企业内部正在使用的综合告警平台所检测，通过企业现有的告警方式，如短信、邮件、 等，及时通知管理员，以期获得最快的响应时间。天珣RADIUS告警组件界面如下：5.4 客户端准入部署安装有天珣客户端程序的计算机终端在接受访问时，可以根据管理员预先配置的安全策略检查来访的计算机终端是否运行了天珣客户端程序，并检查其安全基线是否符合要求。如果来访的计算机终端未安装天珣客户端程序，或不符合安全策略要求，则拒绝其访问。客户端准入控制示例图当安装天珣客户端程序的计算机终端访问网络时，天珣客户端也会先检查其自身的安全基线是否合格，如果不合格，将限制其对网络的访问。天珣客户端准入控

39、制，创造性将每一台计算机终端都变成准入控制点，保证每台计算机终端只接受安全可信的计算机终端进行访问，并只能在安全基线合格时访问网络，实现最细粒度的准入控制。天珣客户端具备网络阻断功能，在计算机终端安全基线不符合要求时，天珣客户端能不依赖网络设备及网络上其他终端或设备独立执行网络访问阻断。天珣客户端更支持选择性阻断，在计算机终端安全基线不符合要求时，天珣客户端能根据管理员预先配置的安全策略，通过进程、端口、目标地址等条件，选择性地阻止部分非紧急业务的网络访问，而允许其他紧急业务的网络访问。5.5 客户端准入控制部署建议客户端准入是天珣的策略之一，客户端全部完装完毕之后通过下发一条简直的策略即可实

40、现。本方案中建议开启管理网段内的客户端准入，同时注意在IP组中排除网络打印机、IP 等特殊网络设备，使其不影响用户对这些设备的使用。6 分工界面项目阶段项目任务任务子项责任方职责分工启明星辰XXXX院项目准备组建项目组XXXX院、启明星辰售前售后交接、指定专门的售后服务人员、项目经理和实施人员指派项目配合人员工程实施前准备制定实施计划XXXX院、启明星辰提出部署要求安排人员配合实施，确认场地、网络环境准备XXXX院提出场地、环境要求确认、支持实施阶段现场验收启明星辰对到货设备进行开箱清点验收对到货设备进行清点验收 设备安装调试设备上架启明星辰规划好物理位置、进行设备上架安排人员配合设备加电启明

41、星辰对设备进行加电测试系统部署启明星辰提出部署要求并按要求进行系统部署安排人员配合项目进度报告启明星辰对项目进度做出及时的汇总和报告现场培训启明星辰对XXXX院技术人员进行现场培训接受培训初步验收提交验收方案启明星辰提交方案和流程确认进行设备验收（到货验收）XXXX院、启明星辰参与到货验收试运行系统联合调试启明星辰提供必要的协助提出需求故障响应启明星辰对系统问题进行响应并设备故障进行排除对故障进行申报系统终验系统竣工验收验收方案提交启明星辰提交方案和流程对方案和流程进行确认竣工验收XXXX院、启明星辰参与验收组织验收保修期启明星辰三年技术支撑服务对故障进行申报7 附件一：服务器安装及数据管理服

42、务器安装策略服务器包括中心服务器、本地服务器、补丁分发服务器、资产管理服务器、radius服务器、告警服务器等组件，所有功能服务器集中管理，组件可根据具体情况增减。数据库采用SQL SERVER，统一管理报警日志及审计等数据。安装环境及要求客户端（Clients） 计算机没有很高的系统要求。客户端软件(也被称CC)可以被安装在Windows 32位系统之上，包括 Windows2000 SP4, Windows Server 2003 SP1 和Windows XP SP2, Windows XP SP3，Windows Vista, Windows Server 2008，Windows 7

43、 数据库支持32位 Microsoft SQL Server 2000，32/64位 Microsoft SQL Server 2005，支持32位Microsoft SQL Server 2008中心服务器（Server） 是整个策略架构的管理中心、策略中心。必须运行2003 SERVER SP1 (32/64) 或 2008 Server SP1 (32/64)的平台上。Windows 64位服务器对应用程序的支持不是特别完善，可能中心服务器运行过程中会出现不可预测的问题。中心服务器通过web方式管理，要求安装IIS服务器。其对硬件要求的高低应根据所管理的客户端数量的多少来定，其中，服务器

44、安装要求的最低配置如下：硬件：CPUPIII 1G或以上Memory1G或以上硬盘40G空闲软件：Windows 2003 Server SP1以上Internet Information Services以上Do中心服务器、资产服务器和攻击告警服务器需要安装SQL Server数据库，可根据现场环境选择独立安装或集中安装于中心服务器，若安装于中心服务器，请确保中心服务器有足够的内存和硬盘空间。建议将数据库独立安装，这样既不会因为数据库读写频繁影响中心服务器正常运行，也不会因为中心服务器负载过重影响数据库读写。服务器组件中心策略服务器所有策略集中存放的地方，系统中唯一的Web管理控制台也与中心

45、服务器集成在一起。管理员从Web管理控制台登录到Center Server，进行策略配置，报表查询。Center Server同时兼作一个Local Server。本地策略服务器本地策略服务器是客户端日常取策略的地方，也是客户端发送报表的目的地。本地策略服务器从Center Server同步得到策略。设置本地策略服务器的目的是为了适应企业大区域的分布式分级管理架构。本地策略服务器从中心策略服务器获取策略，客户端直接与本地策略服务器通讯。资产管理服务器资产管理是对电脑的软硬件资产进行统计分析，并跟踪记录设备变更的信息，达到对IT资产的高效、便捷的管理。Radius服务器R网络准入认证，确保只有通

46、过认证的客户端接入并访问网络。攻击告警服务器攻击告警服务器兼作为攻击日志告警服务器和终端审计日志服务器，收集由客户端发来的攻击告警信息和终端审计信息。并在中心服务器管理界面，可进行统计和分类查询。软件分发服务器通过软件分发服务器可建立软件安装包，可根据目标地址或地址段、指定时间段分发MSI软件包或自定义的应用软件包。HOD远程桌面服务器HOD远程桌面服务器用于记录在线的远程桌面管理员的相关信息，为其关联管理网段后，管理网段内的用户就可使用客户端集成的远程桌面客户端，向在线管理员发起远程桌面帮助请求。策略网关组件作为系统及应用准入的准入控制点，检查访问者的客户端运行状态，与客户端配合强制用户满足

47、策略。策略网关从策略网关代理上取策略网关策略。有时策略网关策略又叫插件策略。策略网关分为中性策略网关和IIS、ISA Proxy、Email、DNS等插件策略网关。策略网关代理策略网关的管理者。所有的策略网关都直接连接到策略网关代理，从策略网关代理获取策略，接受管理。而策略网关代理直接指向策略服务器，并从策略服务器获取策略。连接到同一个策略网关代理的所有策略网关使用相同的策略。设置策略网关代理这个角色的目的是简化策略网关的配置，因为有时一个企业需要安装多个策略网关，而每个策略网关的策略相同。同时，各个插件策略网关可相互共享CC的状态，如CC1在插件1上通过了认证，那么通过插件2访问时就无需第2

48、次认证，提高系统性能。中性策略网关中性策略网关，也叫做中性插件，是安装在任意的X32位的Windows 2000 /2003/2008服务器或Linux的服务器上，执行应用准入控制，它与安装的服务器操作系统有关，而与该服务器运行何种应用无关。当终端访问到该服务器，都需要进行安全基线检查，若不符合安全策略，将被拒绝访问该服务器，并给出提示信息（只有基于 访问，才能正确提示）。其中安全基线包括是否安装客户端软件、安装客户端软件的终端是否达到安全策略要求。IIS策略网关部署在IIS服务器上，对所有访问该WEB服务器的终端实施应用准入控制，检查终端是否符合安全策略，若不符合策略，则拒绝访问，并给出提示

49、信息。ISA策略网关对所有通过ISA服务器上网的终端，实施应用准入控制，若不符合安全策略，则不允许终端通过ISA访问INTERNET，并给出提示信息。EXCHANGE策略网关部署在Exchange邮件服务器上，对访问EXCHANGE邮件服务器的终端实施应用准入控制，检查客户端是否符合安全策略。对于不符合安全策略的终端，Exchange策略网关将阻断其邮件服务，并给出提示信息。（只支持EXCHANGE 2003邮件服务器）DNS策略网关及旁路监听式DNS策略网关普通DNS策略网关部署在DNS服务器上，对需要进行DNS域名解析的终端实施准入控制，检查终端是否符合安全策略，对于不符合安全策略的终端，

50、DNS策略网关将阻断其DNS请求，并给出提示信息。如果是旁路监听式DNS策略网关，则可部署在DNS服务器上也可部署在互联网出口的某台服务器上对所有DNS请求进行监听。如果是在DNS服务器上，那么功能与传统DNS策略网关相同，如果不是，那么旁听式的DNS网关必须安装在链接互联网出口交换机上的某台交换机上，对这台交换机上的其他端口的DNS请求进行镜像，并在旁听式DNS网关的端口上进行监听，对需要进行DNS解析的终端实施准入控制，检查终端是否符合安全策略，对于不符合安全策略的终端，旁听式DNS策略网关将阻断其DNS请求，并给出提示信息。安装步骤天珣服务器的安装共有两种安装选项：快速安装和自定义安装。

51、插入光盘，自动运行安装光盘中的后出现以下主安装界面：快速安装快速安装默认安装服务器的以下组件：中心策略服务器、资产服务器、中心同步服务器、天珣服务状态监控服务、远程桌面服务器、攻击告警服务器、RADIUS服务器、策略网关代理、中性/DNS策略网关、软件分发服务器。快速安装选项的目的是一次安装所有服务器相关的组件及DNS准入控制组件，如果部署在网络出口，则可利用DNS准入达到即插即用的效果。对中小应用环境，我们的方案首推这种即插即用的部署。快速安装部署1 快速安装将天珣内网安全风险管理与审计系统安装光盘放入光驱，可直接进入安装选择界面。请点击“快速安装” 。2 进入天珣内网安全风险管理与审计系统

52、服务器的快速安装界面3 安装程序检测系统环境n 系统必须安装 “”,“IIS”和“Dot Net Framework 2.或者以上版本”。如果系统还未安装上述的系统组件，则不能进行下一步操作。可以点击旁边的“安装”按钮安装所需的系统组件。 n 系统组件所用的SQL Server 可以选择连接到本机或者其它机器的SQL Server。如果您想将系统组件所用的SQL Server部署在本机，本机又没有安装SQL Server。您可以选择安装SQL Server。您也可以选择点击检测界面SQL Server旁边的“安装”按钮，运行安装光盘带的里的SQL SERVER2005 EXPRESS版本。（注

53、意：SQL Server Express 2005是由微软公司开发的 SQL Server 2005的缩减版，这个版本是免费的，单个数据库大小限制为4G）。n 安装完SQL SERVER2005 EXPRESS之后，安装检测程序会自动开启SQL Server 的1433监听端口。（注意：如果系统已经安装SQL数据库, 天珣内网安全风险管理与审计系统安装程序是不会帮助SQL Server 打开1433监听端口的）。4 安装过程中，系统会提示用户选择安装的组件的路径，并需要管理员指定中心服务器IP地址、初始管理网段地址等信息。n 指定服务器的安装路径，安装组件所在盘符的空闲空间必须大于2G，默认安

54、装在C盘，用户可以根据自己硬盘大小和需求改变安装盘符和路径。n 指定中心服务器IP地址，系统默认选择正在运行安装程序的主机的IP地址为中心服务器IP地址。系统使用端口为8833，请确保8833端口未被其他应用占用；n 设置中心服务器中初始管理网段地址，系统预置是：运行本安装程序的服务器所在的网段。n 选择使用管理模式；Windows集成认证：在登录web管理界面时使用与windows系统帐号集成的认证方式，如windows默认系统管理员帐号为administrator，那么天珣登录web管理界面时也同样使用这个帐号及密码。当需要在天珣系统中创建其他管理帐号时，必须同时在windows系统帐号中

55、建立相同的帐号和相同的密码。三权分立模式：三权分立模式中，天珣系统默认管理员帐号/密码为administrator/12345678，使用此帐号登录后，再行创建系统操作员帐号，并使用系统操作员帐号登录web管理界面进行策略配置。此模式与windows系统帐号无关。n 设置所用的SQL Server 的连接的参数；请确认此处的SQL SERVER的IP地址和监听端口，以及正确的sa密码。（在安装SQL SERVER时，请千万记得使用混合认证，并设定sa密码，否则安装程序无法登录SQL SERVER数据库）n 填写创建数据库的用户的帐号。预置用户名是tx_usern 文件。点击“浏览”选择授权文件的路径，选择有效的授权文件n 安装检查完成，点击“安装”进行快速安装部署；5 快速安装的安装完各组件之后，安装程序会自动运行客户端打包程序