中石油客户终端安全与行为审计解决方案培训资料

1、 H3C技术有限公司 ttp:/www.H3C.com第 PAGE 53 页拜中石油翱客户终端安全与碍行为审计解决方案笆H把3C捌技术有限公司安全产品行销部凹2006年07百月28日办中石油胺安全解决方案TOC o 1-3 h z u HYPERLINK l _Toc152384913 癌一、 细致入微佰的个人终端防护爸 PAGEREF _Toc152384913 h 八4 HYPERLINK l _Toc152384914 搬1.1.版熬中石油进行安全胺终端防护刻不容熬缓按 PAGEREF _Toc152384914 h 白4 HYPERLINK l _Toc152384915 肮1.1.1

2、.扒扒萨班斯法案与上鞍市企业需求概述拌 PAGEREF _Toc152384915 h 爸4 HYPERLINK l _Toc152384916 败1.1.2.埃安中石油终端安全碍现状邦 PAGEREF _Toc152384916 h 摆5 HYPERLINK l _Toc152384917 熬1.2.芭把“翱终端接入安全体奥系岸”安解决方案的组成哀部分八 PAGEREF _Toc152384917 h 矮6 HYPERLINK l _Toc152384918 按1.2.1.挨懊CAMS案安全策略服务器巴 PAGEREF _Toc152384918 h 笆7 HYPERLINK l _Toc1

3、52384919 拔1.2.2.扒扒修复服务器柏(按与防病毒系统联啊动百)背 PAGEREF _Toc152384919 h 隘8 HYPERLINK l _Toc152384920 敖1.2.3.背安安全联动设备蔼 PAGEREF _Toc152384920 h 背8 HYPERLINK l _Toc152384921 靶1.2.4.伴吧安全客户端摆 PAGEREF _Toc152384921 h 矮8 HYPERLINK l _Toc152384922 坝1.2.5.翱肮“敖终端接入安全体暗系邦”板与微软癌SMS埃联动方案靶 PAGEREF _Toc152384922 h 巴9 HYPER

4、LINK l _Toc152384923 斑1.3.扒暗应用模型哎 PAGEREF _Toc152384923 h 鞍11 HYPERLINK l _Toc152384924 哎1.3.1.奥叭安全准入应用模阿型叭 PAGEREF _Toc152384924 h 碍11 HYPERLINK l _Toc152384925 耙1.3.2.爱案安全准入工作流胺程霸 PAGEREF _Toc152384925 h 靶12 HYPERLINK l _Toc152384926 熬1.4.挨斑功能特点俺 PAGEREF _Toc152384926 h 皑14 HYPERLINK l _Toc1523849

5、27 扮1.4.1.碍坝安全状态评估捌 PAGEREF _Toc152384927 h 扳14 HYPERLINK l _Toc152384928 隘1.4.2.凹背用户权限管理埃 PAGEREF _Toc152384928 h 般15 HYPERLINK l _Toc152384929 办1.4.3.唉班用户行为监控瓣 PAGEREF _Toc152384929 h 皑15 HYPERLINK l搬 _Toc1拔5238493搬0翱 啊1.5.吧爱“傲终端接入安全体叭系安”绊解决方案的部署拔 PAGEREF _Toc152384930 h 吧16 HYPERLINK l _Toc152384

6、931 靶1.5.1.靶唉接入层准入控制暗 PAGEREF _Toc152384931 h 坝16 HYPERLINK l _Toc152384932 坝1.5.2.颁稗汇聚层准入控制安 PAGEREF _Toc152384932 h 搬18 HYPERLINK l 氨_Toc152安384933扒 百1.5.3.叭板Portal哀（吧Web邦）认证准入控制罢 PAGEREF _Toc152384933 h 岸20 HYPERLINK l _Toc152384934 耙1.5.4.办霸“办终端接入安全体疤系巴”岸应用模式笆 PAGEREF _Toc152384934 h 蔼21 HYPERLI

7、NK l _Toc152384935 皑1.6.敖氨XLOG岸日常行为审计唉 PAGEREF _Toc152384935 h 稗22 HYPERLINK l _Toc152384936 隘1.6.1.颁邦XLOG盎技术特点叭 PAGEREF _Toc152384936 h 蔼23 HYPERLINK l _Toc152384937 吧1.6.2.巴柏全面的日志收集瓣 PAGEREF _Toc152384937 h 罢23 HYPERLINK l _Toc152384938 盎1.6.3.罢吧强大的日志审计霸功能皑 PAGEREF _Toc152384938 h 拌23 HYPERLINK l

8、巴_Toc15板2384939挨埃 斑1.6.4.摆笆组网应用把 PAGEREF _Toc152384939 h 凹24 HYPERLINK l _Toc152384940 拜1.7.翱鞍终端安全防护与颁行为监控总结安 PAGEREF _Toc152384940 h 搬25 HYPERLINK l _Toc152384941 翱二、 全面的应背用体系防护败IPS邦 PAGEREF _Toc152384941 h 碍27 HYPERLINK l _Toc152挨384942背 拔2.1.跋澳中石油网络应用埃防护体系概述熬 PAGEREF _Toc152384942 h 叭27 HYPERLINK

9、 l _Toc152384943 摆2.2.蔼蔼IPS肮产品部署方案巴 PAGEREF _Toc152384943 h 哎27 HYPERLINK l _Toc152384944 芭2.3.昂敖IPS扳产品技术特色靶 PAGEREF _Toc152384944 h 伴28 HYPERLINK l _Toc152384945叭哀 懊2.3.1.敖胺虚拟软件补丁蔼 PAGEREF _Toc152384945 h 胺28 HYPERLINK l _Toc152384946 岸2.3.2.吧扮威胁抑制引擎（癌TSE佰）佰 PAGEREF _Toc152384946 h 爱29 HYPERLINK l

10、_Toc152384947 安2.3.3.艾唉无处不在的安全拔保护绊 PAGEREF _Toc152384947 h 般30 HYPERLINK l _Toc152384948 啊三、 防火墙部搬署需求分析啊 PAGEREF _Toc152384948 h 埃32 HYPERLINK l _Toc152384949 爱3.1.芭捌防火墙部署解决佰方案癌 PAGEREF _Toc152384949 h 吧32 HYPERLINK l _Toc152384950 翱3.1.1.皑笆数据中心防火墙奥部署耙 PAGEREF _Toc152384950 h 昂33 HYPERLINK l _Toc152

11、384951 案3.1.2.扳哀Inte吧rnet阿边界安全防护爸 PAGEREF _Toc152384951 h 皑35 HYPERLINK l _Toc152384952 扮3.1.3.般靶大型网络内部隔傲离澳 PAGEREF _Toc152384952 h 肮38 HYPERLINK l _Toc152384953 懊3.2.癌安防火墙部署方案拜特点阿 PAGEREF _Toc152384953 h 办41 肮细致入微的个人胺终端防护昂中石油进行安全般终端防护刻不容岸缓邦基于萨班斯法案捌的严格限制，以扒及结合中石油的奥独特特点，我们拔认为在中石油内柏部实施内部控制阿体系，刻不容缓盎。鞍中

12、国石化从20懊02年下半年开懊始调研、准备工搬作，编制内控制败度，建立统一的百内控体系。20班04年10月，拔中国石化内部安控制手册由公绊司董事会正式审跋议通过，200摆5年1月开始在蔼股份公司全面实唉施。该手册依照懊萨班斯法案所推霸荐和要求对照的耙美国COSO（半反虚假财务报告办委员会的赞助组扮织委员会）报告摆的理论体系建立蔼内部控制体系，哎内容涉及共13爱大类业务、43柏个流程、862扳个控制点。总部搬专门召开电视电哀话会议推行该手搬册，要求各企业皑根据实际情况制肮定实施细则，在傲组织多层次培训巴的同时，派出检艾查小组，对65吧家企业内控制度跋的执行情况进行拌全面检查。针对吧萨班斯法案不断

13、皑细化的规则和新巴出台的指引、准叭则，中国石化对柏内部控制手册氨进行更新，修矮订了2006年耙版的内部控制挨手册，经董事拌会审议通过，于版2006年1月澳1日起隘正式下发执行。唉萨班斯法案与上板市企业需求懊概述版中石油碍跨全球企业唉萨班斯法案在美熬国的中国上市公敖司开始生效 绊各国相关法规都皑将越来越严格，哀加强公司治理尤澳其是IT治理将凹是企业的根本之哀道。 碍加强企业内部控靶制和风险管理将把是全球的趋势 埃目前大量的网络傲应用已经贯穿败中石油案的日常业务模型隘，对于瓣网络靶应用癌我们把它理解为隘一个请求、连接靶到交互的过程，蔼然后到完，这是扮会话的过程，这矮是双向的。所谓熬会话行为就是做挨

14、的一种操作类型啊，比方说访问网唉页，首发邮件、案传送邮件、即时佰通讯和稗文件传输等扮，这属于网络行阿为，会话内容就案是网页的内容、瓣邮件的内容、文耙件的内容，即时佰通讯的内容。对扮于安全审计类要哀求是会话行为审皑计，胺对于网络行为的俺审计实际上也是版萨班斯法案的一凹部分，为了避免搬因为信息而造成般的经济损失，日阿常行为审计成为澳了企业尤其是上艾市公司信息化建按设的重要组成部版分背对法规不熟悉、皑时间短促、内控耙基础薄弱是中国败上市公司面临的芭最大问题。白中石油芭也不例外，邦直到200懊5哀年年初，办中石油艾才开始着手布置熬萨班斯法案项目百。但是在实施过靶程中，大量的问爸题和矛盾暴露出爱来，涉及

15、制度完芭善、流程改造、百企业文化等各方澳面。短时间内完啊全建立完善的内绊控环境是不可能皑的。但从根本上矮来说，公司治理啊和IT治理的问搬题迟早需要去面按对和解决。绊中石油捌终端安全现状稗俺终端安全是个入翱手简单，想做好跋却很难的瓣工程，这也是这办么多年奥中石油奥没有着手建设这伴方面的一个重要埃原因挨。本次安全体系绊建设碍中石油佰考虑的很周全，绊除了我们经常能坝够想到的安全管背理制度以外、终扮端的认证问题、隘终端的安全监控盎、日后审计等均疤在考虑范围内。办袄中石油癌终端安全管理问斑题比较复杂，除傲了前面提到的地袄域分散意外，还哀有技术水平不高靶，难于监管等问稗题，这些都构成背了终端安全难以矮实现

16、的重要因素碍，基于上述原因扒，本次安全方案笆设计主要着中的绊是通过安全产品背的监控实现对员叭工日常行为的监按控敖，并通过技术手巴段实现对安全管巴理制度的补充，奥以及强化，通过肮技术手段保障安氨全管理制度的执俺行。昂隘在终端防护方面按我司有专门的安靶全解决方案吧“柏端点准入防御斑”埃能够提供一个全暗程的安全解决方八案。埃“终端接入安全芭体系”伴端点准入防御方皑案包括两个重要懊功能：安全防护熬和安全监控扳。肮安全防护主要是邦对终端接入网络艾进行认证，保证绊只有安全的终端案才能接入网络，岸对达不到安全要懊求的终端可以进吧行修复，保障终唉端和网络的安全邦；安全监控是指霸在上网过程中，扒系统实时监控用把

17、户终端的安全状唉态，并针对用户奥终端的安全事件捌采取相应的应对板措施，实时保障蔼网络安全。熬“捌终端接入安全体班系澳”盎解决方案的组成肮部分胺“终端接入安全笆体系”疤解决方案的实现扳思路，是通过将摆网络接入控制和背用户终端安全策皑略控制相结合，懊以用户终端对企盎业安全策略的符矮合度为条件，控艾制用户访问网络伴的接入权限，从斑而降低病毒、非阿法访问等安全威爱胁对企业网络带肮来的危害。为达蔼到以上目的，提啊出了包括检查扳隔离修复肮监控的整体胺解决思路。检查：班检查网络接入用奥户的身份；阿检查网络接入用版户的访问权限；袄检查网络接入用啊户终端的安全状办态；隔离：岸隔离非法用户终拜端和越权访问；叭隔离

18、存在重大安般全问题或安全隐埃患的用户终端；修复：般帮助存在安全问胺题或安全隐患的懊用户终端进行安矮全修复，以便能俺够正常使用网络白；监控：埃实时监控在线用案户的终端安全状搬态，及时获取终般端安全信息瓣对非法用户、越埃权访问和存在安跋全问题的网络终绊端进行定位统计案，为网络安全管芭理提供依据；耙通过制定新的安靶全策略，持续保肮障网络的安全。懊为了有效实现用疤户终端安全准入绊控制，需要实现氨终端安全信息采坝集点、终端安全耙信息决策点和终案端安全信息执行扮点的分离，同时吧还需要提供有效按的技术手段，对稗用户终端存在的案安全问题进行修爱复，使之符合企邦业终端安全策略办，顺利接入网络叭进行工作。颁”终端

19、接入安全哀体系”半解决方案的组成暗部分见下图：百CAMS安全策背略服务器熬“终端接入安全把体系”疤方案的核心是整跋合与联动，而C傲AMS安全策略爸服务器是澳”终端接入安全芭体系”邦方案中的管理与熬控制中心，兼具哎用户管理、安全跋策略管理、安全凹状态评估、安全袄联动控制以及安背全事件审计等功百能。搬安全策略管理。半安全策略服务器盎定义了对用户终背端进行准入控制巴的一系列策略，吧包括用户终端安挨全状态评估配置埃、补丁检查项配八置、安全策略配罢置、终端修复配案置以及对终端用扒户的隔离方式配耙置等。班用户管理。企业昂网中，不同的用昂户、不同类型的班接入终端可能要瓣求不同级别的安敖全检查和控制。艾安全策

20、略服务器芭可以为不同用户皑提供基于身份的俺个性化安全配置疤和网络服务等级耙，方便管理员对碍网络用户制定差败异化的安全策略绊。爱安全联动控制。奥安全策略服务器摆负责评估安全客靶户端上报的安全斑状态，控制安全版联动设备对用户办的隔离与开放，爸下发用户终端的隘修复方式与安全盎策略。通过安全矮策略服务器的控唉制，安全客户端盎、安全联动设备般与埃修复哀服务器才可以协百同工作，配合完扒成端到端的安全般准入控制。矮日志审计。安全扒策略服务器收集拌由安全客户端上吧报的安全事件，昂并形成安全日志埃，可以为管理员稗追踪和监控网络吧的整个网络的安白全状态提供依据扒。氨修复服务器板(与防病毒系统熬联动)瓣在吧”终端接

21、入安全败体系”爸方案中，修复服柏务器可以是第三盎方厂商提供的蔼防扳病毒服务器、补碍丁服务器或用户熬自行架设的文件氨服务器。此类服拜务器通常放置于敖网络隔离区中，拔用于终端进行自艾我修复操作。网疤络版的防病毒服熬务器提供病毒库案升级服务，允许埃防病毒客户端进白行在线升级；补耙丁服务器则提供绊系统补丁升级服伴务，在用户终端暗的系统补丁不能胺满足安全要求时哀，用户终端可连罢接至补丁服务器俺进行补丁下载和百升级。熬目前的拜”罢终端接入安全体扒系扒”背解决方案中，我板们的认证体系可鞍以和瑞星、金山吧、江民、Sym芭antec等国昂内外大型防病毒柏厂商产品实现联安动，百同时由于开发式绊的系统设计，我绊们可

22、以很方便的芭整合其他的防病拜毒产品实现全网半认证与防病毒体颁系的完美结合。安全联动设备敖安全联动设备是奥企业网络中安全拔策略的实施点，袄起到强制用户准扳入认证、隔离不岸合格终端、为合佰法用户提供网络拜服务的作用。根挨据应用场合的不袄同，安全联动设叭备可以是交换机靶或BAS设备，翱分别实现不同认盎证方式（如80蔼2.1x或Po版rtal）的端哎点准入控制。不扒论是哪种接入设爱备或采用哪种认敖证方式，安全联蔼动设备均具有以昂下功能：板强制网络接入终佰端进行身份认证澳和安全状态评估罢。伴隔离不符合安全邦策略的用户终端跋。联动设备接收拔到安全策略服务佰器下发的隔离指把令后，目前可以矮通过动态ACL背方

23、式限制用户的阿访问权限；同样氨，收到解除用户颁隔离的指令后也蔼可以在线解除对绊用户终端的隔离绊。暗提供基于身份的皑网络服务。安全碍联动设备可以根癌据安全策略服务绊器下发的策略，百为用户提供个性昂化的网络服务，版如提供不同的Q跋oS、ACL、皑VLAN等。安全客户端伴H哀3C耙 懊客户端是安装在伴用户终端系统上芭的软件，是对用绊户终端进行身份半认证、安全状态鞍评估以及安全策暗略实施的主体，罢其主要功能包括安：耙提供802.1板X板、搬P拜ortal等多拜种认证方式，可摆以与盎 捌S3000、S般35扒00扒、S5000、颁S39爸00碍、S56埃00奥等系列交换机、岸华为MA吧5200F跋等设备

24、配合实现爱接入层、汇聚层扒的端点准入控制啊。柏检查用户终端的拜安全状态，包括班操作系统版本、八系统补丁、共享皑目录、已安装的哎软件、已启动的摆服务等用户终端扳信息；同时提供芭与防病毒客户端矮联动的接口，实艾现与第三方防病袄毒跋软件产品隘客户端的联动，扳检查用户终端的敖防病毒软件版本艾、病毒库版本、罢以及病毒查杀信岸息。这些信息将坝被传递到CAM鞍S安全策略服务斑器，执行端点准败入的判断与控制疤。败安全策略实施，斑接收安全策略服哀务器下发的安全百策略并强制用户扳终端执行，包括耙设置安全策略（颁是否监控邮件、艾注册表）、系统挨修复通知与实施岸（自动或手工升颁级补丁和病毒库爸）等功能。不按鞍要求实施

25、安全策蔼略的用户终端将扒被限制在隔离区癌。跋实时监控系统安隘全状态，包括是唉否更改安全设置按、是否发现新病肮毒等，并将安全罢事件定时上报到叭安全策略服务器笆，用于事后进行叭安全审计。皑“拜终端接入安全体搬系哀”瓣与微软SMS联肮动方案特性简介袄端点准入防御（癌”肮终端接入安全体啊系跋”案）解决方案从网半络用户终端准入败控制入手，整合佰网络接入控制与案终端安全产品，笆通过安全客户端疤、安全策略服务澳器、网络设备以矮及第三方软件的疤联动，可以对接叭入网络的用户终捌端强制实施企业芭安全策略，严格碍控制终端用户的碍网络使用行为，哀加强网络用户终哀端的主动防御能邦力，保护网络安佰全。懊企业网中，对系哀统

26、补丁的管理问隘题一直难以解决吧。我们经常见到艾的情况是，新的隘补丁发布，却无巴人理会，任由系案统漏洞的存在。罢即使采用了微软笆的WSUS、S班MS等补丁管理爱工具，此类工具癌也无法强制用户背进行系统补丁升挨级，给企业网络挨安全带来诸多隐靶患；更严重的情耙况是，用户刚装背好操作系统，还耙没来得及打补丁颁就被病毒感染或版受到攻击。如果拜能将微软的补丁熬管理系统与的俺”隘终端接入安全体伴系敖”靶端点准入防御方瓣案集成，就可以傲彻底解决系统补颁丁管理的问题。懊这个集成方案就白被称为补丁联动隘方案，该方案需摆要埃”佰终端接入安全体斑系肮”岸与软件补丁更新版服务器协同工作挨：软件补丁更新俺服务器负责对端啊

27、点用户的计算机肮进行补丁状态检绊查、判断是否合疤格以及不合格时柏自动更新所缺少肮的补丁，拜”蔼终端接入安全体澳系霸”稗则负责决定何时哀发起补丁状态检拌查操作，并负责熬控制补丁状态检拔查不合格的端点蔼用户只能访问隔板离区内的资源，安待端点用户的计佰算机的补丁状态俺检查合格后才解白除对该用户计算板机的隔离。板注1：蔼隔离区蔼是指端点用户在坝通过安全认证之班前允许访问的一般组主机的集合。傲一般地，隔离区澳可能包含防病毒般软件安装升级服啊务器（防病毒管败理中心）、软件摆补丁更新服务器暗和摆”奥终端接入安全体瓣系爱”翱管理代理服务器扮。隔离区具体包拜含哪些主机一般半在接入设备上配邦置。扮注2：隘补丁状态

28、检查盎是指对接入用户扳/端点用户的计昂算机进行软件补巴丁是否符合安全半要求的检查，检颁查不合格时列举隘出所有缺少的软澳件补丁。昂注3：奥补丁更新背是指从补丁服务爱器下载软件补丁芭到客户机，并进氨行安装与生效处皑理的全过程。埃系统架构与基本熬交互流程系统架构把“懊终端接入安全体埃系跋”叭是一个融合网络蔼设备、用户终端昂和第三方安全产拔品的客户端准入疤安全框架，与补伴丁管理服务器的鞍联动主要通过昂”凹终端接入安全体芭系暗”矮客户端与补丁升昂级客户端之间的邦API接口实现岸，其部署图如下扮：系统结构图奥在接入用户的终败端需要同时安装版”袄终端接入安全体傲系爸”凹客户端和补丁客扮户端。笆”凹终端接入安

29、全体岸系艾”叭客户端负责完成邦与皑”爸终端接入安全体摆系颁”芭策略服务器的交跋互；补丁客户端俺是微软发布的与哀相应的补丁服务岸器配合的SUS扒（WSUS）或奥SMS客户端。奥”胺终端接入安全体翱系班”霸客户端与补丁客扳户端通过微软提唉供的API接口袄完成补丁检查与跋安全准入的融合把。埃这种方式下，八”哀终端接入安全体扒系岸”奥系统与微软补丁稗系统是相互独立拌的，可以不依赖唉于对方而完成自哀有功能。但可以芭通过API来实扒现两个系统之间扒的联动，弥补各拌自的不足，完善版补丁管理和安全案准入方案。特性的优点靶联动的松散耦合埃性：充分利用微拌软成熟的补丁管矮理工具，扒”班终端接入安全体按系哀”坝不需

30、要管理各种笆Windows败环境的用户机器案缺少哪些补丁等摆繁琐事务；巴补丁更新的安全柏性：用户机器的半补丁状态不符合霸安全要求时，其吧访问范围控制在把隔离区，即补丁阿更新是在隔离区啊进行的；颁补丁更新的自动熬性：补丁更新过靶程是自动完成的拌（机器需要重启阿时会提示用户确安认），无需用户按手工下载和安装熬补丁程序；白补丁更新的即时坝性：用户机器的班补丁状态检查不搬合格后马上转入埃补丁自动更新过唉程；啊补丁更新的强制癌性：不完成补丁耙更新的用户机器氨只能访问隔离区斑内的网络资源，俺要访问更多资源矮，只有完成补丁皑更新。应用模型巴安全准入应用模凹型扒“终端接入安全摆体系”叭解决方案安全准八入主要是

31、通过身哎份认证和安全策敖略检查的方式，捌对未通过身份认扳证或不符合安全矮策略的用户终端扳进行网络隔离，败并帮助终端进行搬安全修复，以达败到防范不安全网扮络用户终端给安芭全网络带来安全挨威胁的目的。办安全准入工作流版程芭身份验证：哀用户终端接入网摆络时，首先进行板用户身份认证，胺非法用户将被拒捌绝接入网络。目瓣前昂”终端接入安全绊体系”俺解决方案支持8皑02.1x和P皑ortal认证傲。爸安全检查：鞍身份认证通过后肮进行终端安全检埃查，由CAMS把安全策略服务器柏验证用户终端的澳安全状态（包括绊补丁版本、病毒霸库版本、软件安扮装等）是否合格熬。摆安全隔离：跋不合格的终端将埃被安全联动设备盎通过A

32、CL策略爱限制在隔离区进邦行安全修复。搬安全修复：捌进入隔离区的用暗户可以进行补丁跋、病毒库的升级艾、卸载非法软件佰和停止非法服务摆等操作，直到安哎全状态合格。癌动态授权：伴如果用户身份验岸证、安全检查都稗通过，则CAM岸S安全策略服务八器将预先配置的版该用户的权限信爱息（包括网络访背问权限、用户带啊宽限制参数、用败户优先级等QO傲S参数、用户组绊播权限等等）下捌发给安全联动设盎备，由安全联动搬设备实现按用户巴身份的权限控制叭。岸实时监控：俺在用户网络使用般过程柏中斑，安全客户端根矮据安全策略服务办器下发的监控策碍略，实时监控用隘户终端的安全状耙态，一旦发现用稗户终端安全状态肮不符合企业安全盎

33、策略，则向CA啊MS安全策略服班务器上报安全事巴件，由CAMS版安全策略服务器扮按照预定义的安背全策略，采取相斑应的控制措施，按比如通知安全联傲动设备隔离用户扮。碍具体部署方式如俺下：扒在区域二中部署俺中心认证服务器捌一台，推荐中石半油使用基于CA斑证书的认证系统鞍，这样在安全性百会板比简单的用户名盎密码要高；八在服务器与客户氨端上均部署终端柏安全认证体系客奥户端，保证服务傲器系统能够强制碍进行系统补丁和拌病毒库的升级；澳终端客户端进行瓣强制病毒库、系拔统补丁的升级，柏在用户接入网络巴的同时对其日常哎网络使用行为进敖行监控；捌在终端部署支持坝802.1x认昂证的交换设备与熬终端用户认证体柏系进

34、行联动；阿在区域二部署日艾志服务器XLO霸G一台，进行日暗常用户行为访问氨的记录；哎通过用户终端行阿为记录以及网络熬行为监控，记录爱用户日常网络使阿用行为，并作为霸日后审计的依据耙。半在中心认证服务暗器上部署安全策板略，对违规行为巴进行定义，下发按到客户端，提高跋客户端对于重要蔼安全策略的响应暗，最大限度的减案少误操作给中石哀油带来的经济、颁信息损失。功能特点阿“终端接入安全啊体系”案解决方案已实现捌以下功能规格，搬在具体应用部署啊时，可根据用户盎网络的实际使用矮需求，确定芭”终端接入安全搬体系”颁的应用模式和部哀署方案。安全状态评估耙终端补丁检测：巴评估客户端的补敖丁安装是否合格矮，可以检测

35、的补笆丁包括：操作系岸统(Windo拌ws 2000伴/XP等，不包哀括Window疤s 98)等符拌合微软补丁规范百的热补丁安。爱安全客户端版本氨检测：胺可以检测安全客拔户端昂H办3C靶 Client哀的版本，防止使唉用不具备安全检稗测能力的客户端拔接入网络。同时岸支持客户端自动拌升级。疤安全状态定时评哀估：哎安全客户端可以般定时检测用户安败全状态,防止用疤户上网过程中因巴安全状态发生变爱化而造成的与安白全策略的不一致笆。安自动补丁管理：袄提供与微软WS埃US/SMS（懊全称：Wind唉ows Ser安ver Upd扳ate Ser按vices/S叭ystem M半anageme傲nt Se

36、rv邦er）协同的自绊动补丁管理，当霸用户补丁不合格爱时，自动安装补挨丁氨。靶终端运行状态实跋时检测：绊可以对上线用户癌终端的系统信息安进行实时检测，袄包括已安装程序伴列表、已安装补盎丁列表、已运行耙进程列表、共享矮目录信息、分区扮表、屏保设置和哎已启动服务列表傲等。百防病毒联动：跋主要包含两个方傲面，一是端点用隘户接入网络时，啊检查其计算机上懊防病毒软件的安笆装运行情况以及碍病毒库和扫描引笆擎版本是否符合摆安全要求等，不把符合安全要求可案以根据策略阻止盎用户接入网络或绊将其访问限制在稗隔离区；二是端耙点用户接入网络拌后，邦”终端接入安全耙体系”奥定期检查防病毒拌软件的运行状态摆，如果发现不符

37、敖合安全要求可以百根据策略强制让扳用户下线或将其巴访问限制在隔离百区。阿联动方式目前包拜括强AV联动和案弱AV联动，强坝AV联动需要防巴病毒软件厂商提胺供联动插件，哀”终端接入安全懊体系”澳客户端通过该联熬动插件完成对防靶病毒软件的运行皑状态检查以及行拔为控制。弱AV熬联动不需要防病般毒厂商提供联动吧插件，背”终端接入安全哀体系”稗客户端通过其他斑方式实现对防病扒毒软件的运行状肮态检查以及行为唉控制。当前支持凹的强AV联动支袄持的防病毒软件岸有：瑞星、金山笆和江民。当前支拌持的弱AV联动敖支持的防病毒软澳件有：诺顿、趋版势、McAfe佰e 暗和安暗博士。用户权限管理安强身份认证：罢在用户身份认

38、证暗时，可绑定用户扮接入IP、MA唉C、接入设备I懊P、端口和VL版AN等信息，进岸行强身份认证，芭防止帐号盗用、皑限定帐号所使用扮的终端，确保接爱入用户的身份安霸全。背“危险”用户隔叭离：矮对于安全状态评碍估不合格的用户爸，可以限制其访盎问权限（通过A败CL隔离），使拌其只能访问鞍防伴病毒服务器、补霸丁服务器等用于摆系统修复的网络罢资源。耙“危险”用户在扳线隔离：胺用户上网过程中案安全状态发生变哎化造成与安全策拜略不一致时(如百感染不能杀除的俺病毒)，CAM搬S可以在线隔离瓣并通知用户。凹软件安装和运行拜检测：俺检测终端软件的百安装和运行状态凹。可以限制接入氨网络的用户必须吧安装、运行或禁瓣

39、止安装、运行其办中某些软件。对按于不符合安全策笆略的用户可以记邦录日志、提醒或扮隔离。阿支持匿名认证：邦安全客户端和C白AMS提供匿名阿认证用户，用户袄不需要输入用户懊名、密码即可完坝成身份认证和安坝全认证。凹接入时间、区域氨控制：唉可以限制用户只盎能在允许的时间芭和地点（接入设靶备和端口）上网败。班限制终端用户使罢用多网卡和拨号爸网络：半防止用户终端成败为内外网互访的癌桥梁扳，瓣避免因此可能造敖成的信息安全问氨题矮。斑代理限制：斑可以限制用户使办用和设置代理服碍务器袄。用户行为监控艾终端强制或提醒把修复：颁强制或提醒不符靶合安全策略的终胺端用户主机进行罢防病毒软件升级昂，病毒库升级，唉补丁安

40、装；目前靶只支持手工方式芭（金山的客户端爱可以与系统中心拜做自动升级）。唉安全状态监控：碍定时监控终端用摆户的安全状态，扮发现感染病毒后拌根据安全策略可哎将其限制到隔离翱区。摆安全日志审计：拜定时收集客户端白的实时安全状态版并记录日志；查按询用户的安全状瓣态日志、安全事案件日志以及在线凹用户的安全状态艾。办强制用户下线：哎管理员可以强制搬行为“可疑”的胺用户下线安。靶“靶终端接入安全体爱系柏”班解决方案的部署接入层准入控制芭将懊接入层霸设备作为安全准版入控制点，对试背图接入网络的用罢户终端进行安全拌检查，强制用户败终端进行防病毒把、操作系统补丁巴等企业定义的安把全策略检查，防扒止非法用户和不邦

41、符合企业安全策盎略的终端接入网哀络，降低病毒、八蠕虫等安全威胁班在企业扩散的风胺险。组网图示瓣图表 SEQ 图表 * ARABIC 疤5熬 接入层百”终端接入安全安体系”俺应用组网组网设备摆目前S3000敖以上系列接入层拔交换机多款交换隘机支持疤”终端接入安全埃体系”肮解决方案，主要哎包括：S3050C矮S3026E/胺C/G/T岸S5012/2版4S3900系列方案说明埃用户终端必须安阿装H把3C按客户端，在上网拌前首先要进行扮802.1X熬和安全认证，否瓣则将不能接入网俺络或者只能访问熬隔离区的资源。案其中，隔离区是隘指在S30/5搬0系列交换机中把配置的一组AC肮L，一般包括邦CAMS碍

42、安全代理矮服务器暗、补丁服务器、败防办病毒服务器、D办NS、DHCP岸等服务器的IP靶地址。芭在胺接入叭交换机（爱S哎30/39/5把0系列交换机）蔼中要部署八802.1X把认证和安全认证阿，强制进行基于按用户的背802.1X奥认证半和动态ACL、半VLAN控制。搬CAMS中配置啊用户的服务策略瓣、接入策略、安按全策略，用户进邦行阿802.1X邦认证时，CAM按S验证用户身份伴的合法性，并基斑于用户角色（服矮务）向安全客户氨端下发安全评估版策略（如检查病敖毒库版本、补丁氨安装情况等），白完成身份和安全佰评估后，由CA办MS确定用户的袄ACL、VLA按N以及病毒监控澳策略等。拔CAMS自助服柏务

43、器（可选）可哀以为用户提供基白于WEB的自助办服务，如修改密拌码、查看上网明艾细等，建议部署般于隔离区。懊CAMS安全代伴理服务器必须部霸署于隔离区，可摆以与CAMS自鞍助服务器共用一按台主机。摆补丁服务器（可盎选）必须部署于胺隔离区，可以与霸CAMS安全代颁理共用一台主机霸。胺防病毒服务器（拔可选）必须部署伴于隔离区，可以唉与补丁服务器、跋CAMS安全代矮理共用一台主机案，可以选择瑞星柏杀毒软件200安5网络版、金山蔼毒霸2005企斑业版以及江民K八V 2005网拔络版。流程说明斑“终端接入安全吧体系”靶方案可以依据角哎色对网络接入用啊户实施不同的安叭全检查策略并授癌予不同的网络访把问权限。

44、其原理坝性的流程如下：爱用户上网前必须昂首先进行身份认班证，确认是合法背用户后，安全客艾户端还要检测病袄毒软件和补丁安啊装情况，上报C坝AMS。敖CAMS检测补案丁安装、病毒库按版本等是否合格岸，如果合格进入跋步骤7，如果不绊合格昂，进入步骤3。斑CAMS通知接安入设备（S30佰/39/50系俺列或其他霸支持凹”终端接入安全疤体系”搬解决方案胺的交换机），将熬该用户的访问权碍限限制到隔离区岸内。此时，用户爱只能访问补丁服邦务器、巴防稗病毒服务器等安背全资源，因此不摆会受到外部病毒稗和攻击的威胁。哀安全客户端通知百用户进行补丁和稗病毒库的升级操拌作。佰用户升级完成后奥，可重新进行安搬全认证。如果

45、合扒格则解除隔离，百进入步骤7。昂如果用户补丁升袄级不成功，用户啊仍然无法访问其邦他网络资源，回办到步骤4哎用户可以正常访胺问其他授权（A百CL、VLAN佰）的网络资源。实施效果爸由于搬S拜30/39/5背0系列接入层交百换机对端口部署稗了802.1x按认证，所有非法摆用户将不能访问芭企业内部网络。班并且认证通过前半，用户终端之间搬无法实现互访。案合法用户接入网岸络后，其访问权坝限受哎S拔30/39/5袄0系列交换机中芭的ACL控制。哎特定的服务器只颁能由被授权的用佰户访问。伴合法用户接入网爱络后，其互访权熬限受耙S搬30/39/5叭0系列交换机中版的VLAN控制敖。不同角色的用爱户分属不同的

46、V昂LAN，跨VL奥AN的用户不能疤互访（受组网方败式限制）。唉用户正常接入网把络前，必须通过挨安全客户端的安叭全检查，确保没啊有感染病毒且病肮毒库版本和补丁捌得到及时升级。哎降低了病毒和远懊程攻击对企业网邦带来的安全风险岸。斑通过使用H坝3C罢客户端，可对用爱户的终端使用行伴为进行严格管理半，比如禁止设置半代理服务器、禁蔼用双网卡、禁止安拨号等。汇聚层准入控制翱当网络中接入层熬设备不支持佰”绊终端接入安全体坝系拔”半特性时，可以傲将汇聚层设备作挨为安全准入控制癌点，实施凹”终端接入安全半体系”百解决方案，斑这样岸可简化盎”终端接入安全跋体系”吧解决方案的应用办部署。尤其是在捌对用户原有企业稗

47、网络进行改造，半实施拔”终端接入安全案体系”隘解决方案时，可办以将原有汇聚层扒设备替换为支持扳”终端接入安全傲体系”哀解决方案的汇聚傲层设备，实现埃”终端接入安全暗体系”隘解决方案的应用笆。组网图示扮图表 SEQ 图表 * ARABIC 翱6霸 汇聚层袄”终端接入安全摆体系”哀应用组网组网设备唉实际上没有严格霸的接入层和汇聚绊层设备之分，通芭常用于汇聚的爱交换机均实现了隘对坝”终端接入安全稗体系”奥解决方案的支持哀，包括阿以下设备爱：吧S3526E/案C系列捌S3528/5佰2系列S5600系列S6500系列埃根据网络规模不案同，这些设备通爸常也可以作为接肮入层设备使用。方案说明败在白汇聚巴交

48、换机中要部署鞍802.疤1x认证和安全安认证，强制进行昂基于用户的拌802.1X扮和动态ACL控背制。板其余同接入层准疤入控制流程说明皑同接入层准入控澳制方案用户认证鞍流程。实施效果安实施效果鞍同接入层准入控拜制癌相同胺，但是网络改造扮费用降低、系统敖部署简单。汇聚凹层百”终端接入安全傲体系”把应用组网模式下霸，认证设备下挂颁接入层设备，如懊果接入层拌设备背端口不作VLA把N划分，用户终扒端之间将可实现按互访。建议在严板格控制用户之间芭互访的情况下，拔接入层设备在不吧同端口之间划分坝不同的VLAN稗。捌Portal（耙Web）澳认证准入控制稗“终端接入安全稗体系”按 解决方案也支啊持Web认证

49、方凹式下的端点准入昂控制。Web认版证同802.1罢x认证相比，具搬有应用简单的优疤势。许多企业对般于企业网络用户吧访问外网的安全扳非常关注，要求凹在网络用户访问哀外网时，进行严伴格的身份认证和盎终端安全检查，蔼保证只有授权的昂用户才能访问外昂网，并且用户终胺端不存在系统漏袄洞，安装并运行败了企业要求的防爱病毒软件，不致般成为网络黑客、癌非法访问者攻击斑企业内部网络的般跳板。在企业网办络的核心层部署傲”终端接入安全颁体系”板应用，并且使用斑Web认证方式傲，能够很好的满柏足此类需求。组网图示白图表 SEQ 图表 * ARABIC 澳7跋 核心层埃”终端接入安全氨体系”氨应用组网组网设备艾支持W

50、eb认证鞍，并支持叭”终端接入安全把体系”把解决方案的设备稗包括以下系列：懊S3528/扳52G版/P系列癌MA癌5200F版/G系列方案说明靶使用S3528案/52系列设备埃配合组网，设备岸通常放置在网络拔汇聚层，并在S敖3528/52翱设备上开启Po柏rtal认证。摆使用MA肮5200F安/G系列设备配扮合组网，设备通笆常放置在网络出案口，并在设备上蔼开启Porta唉l认证功能。在耙用户希望对原有邦网络改动最小的伴情况下，可以将扳MA5200旁败挂在网络出口核捌心设备上，提供绊用户接入控制功案能。坝CAMS服务器奥需要安装Por翱tal认证组件八，拌P俺ortal认证懊页面上，提供安懊全客

51、户端的下载般链接。用户可下瓣载并安装H傲3霸C啊客户端后，发起安认证请求。颁隔离区的设置、矮第三方服务器的搬设置、CAMS翱自助服务器和C般AMS安全代理胺服务器的设置等啊信息同接入层准瓣入控制。流程说明跋在Web认证方肮式下，用户的身败份认证、访问控暗制和安全认证流爱程同接入层准入岸控制基本相同。爸区别在于：耙用户进行网络登哀录认证之前，可扒以访问Port安al服务器等U拔RL。埃H笆3C澳安全认证客户端罢可以在认证前从扮Portal认熬证页面下载并安暗装。简化了客户凹端分发工作。实施效果懊由于在网络出口鞍设备上部署了P跋ortal认证翱，所有非授权用瓣户将不能访问外吧网。靶合法用户通过身叭

52、份认证、安全认扳证后，其访问权挨限受接入设备的按ACL控制。用胺户的外部访问权鞍限受控。盎其余同接入层准敖入控制。罢“终端接入安全按体系”熬应用模式袄“终端接入安全耙体系”罢解决方案按照应案用模式可分为隔班离模式、警告模肮式、监控模式，哎三种模式对于实爸现的终端安全状罢态监控功能各有颁不同，对安全设蔼备的要求也不相皑同。隔离模式胺对于需要严格控盎制用户终端安全按状态的应用环境颁，比如银行系统隘的生产网，可以袄采用隔离模式来敖应用背”终端接入安全坝体系”啊解决方案。具体瓣来说，就是一旦背用户终端安全状埃态不合格，就限跋制其网络访问区霸域为隔离区，在爱进行修复操作，盎满足企业终端安案全策略要求后，

53、蔼才能重新发起认昂证，正常接入网唉络。隔离模式要拔求安全联动设备扮必须支持动态A佰CL特性，能够盎实时应用CAM皑S安全策略服务胺器下发的ACL瓣规格，并应用于隘用户连接。警告模式案某些应用环境下稗，不需要根据用百户终端的安全状傲态严格控制用户叭终端的访问权限昂，可以采用警告疤模式部署背”终端接入安全稗体系”靶解决方案的应用爸。在警告模式下扒，安全客户端检靶查用户终端的安阿全状态信息，并叭将不合格项以弹氨出窗口的形式提扮供给终端用户，板同时提供修复指颁导和相关链接。罢用户的网络访问笆权限不因终端安艾全状态不合格而翱被更改。监控模式八监控模式同警告耙模式的实现流程袄基本相同，区别跋在于监控模式下

54、袄，安全客户端不绊会吧弹出窗口，向用盎户提示终端的不绊合格项。网络管笆理员可在CAM翱S安全策略服务败器的管理界面中肮实现对用户终端扒安全状态的监控坝，了解用户终端靶的安全信息。在爱某些对用户终端爸进行集中管理、案不允许终端用户巴进行软件安装等扒操作的应用场景扒下，可使用监控伴模式。同时，对版于重要的网络用拔户，比如公司老隘板，管理员对其败网络访问的管理耙也可应用监控模佰式。伴XLOG日常行败为审计伴XLog用户行熬为审计系统是公瓣司推出的一种高癌性能、可扩展的八网络分析系统，拔通过与多种网络昂设备共同组网，昂用来对终端用户爸的上网行为进行皑事后审计，追查埃用户的非法网络斑行为，满足相关般部门

55、对用户网络把访问日志进行审巴计的硬性要求。邦XLog用户行斑为审计系统提供稗NAT1.0日蔼志，FLOW1袄.0日志，Ne盎tStream按V5日志，DI盎G流日志以及D霸IG摘要日志的鞍查询审计功能，般网络管理员可以伴根据网络日志对袄上网用户的网络靶行为进行审计。案XLOG技术特捌点全面的日志收集安用户行为审计系懊统可支持多种网办络日志的采集（哎包括NAT1.奥0、FlOW1坝.0、NetS翱tream V靶5），对于不支班持上述日志的设盎备，可以通过设唉备的镜像端口或摆TAP分流器采坝集网络流量生成佰DIG1.0格办式的日志。俺同时用户行为审岸计系统采用分布巴式的体系结构，白支持多点采集，

56、柏可以同时采集多啊个设备的日志信背息，为网络管理捌员监控网络提供跋了灵活有效的支拔持。叭强大的日志审计敖功能案用户行为审计系熬统可根据用户需跋要，通过各种条胺件的组合对网络般日志进行快速分凹析。针对不同的扮日志类型，管理肮员可以获得不同伴的用户行为审计翱信息：隘NAT1.0日拌志：包括经过N案AT转换前的源胺IP地址、源端俺口，经过NAT疤转换后的源IP澳地址、源端口，昂所访问的目的I跋P、目的端口、暗协议号、开始时颁间、结束时间等霸关键信息。暗FLOW1.0跋日志：包括源I捌P、目的IP、背源端口、目的端昂口、流起始时间鞍、结束时间等关八键信息。哀DIG1.0日佰志：探针型采集唉器直接从交换

57、机白的镜像端口采集奥用户的上网信息扳，对用户访问外柏部网络的流进行扒分类统计，并生敖成探针（DIG隘）日志记录。坝DIG1.0日爱志包含两种格式奥日志，DIGF碍LOW1.0和碍DIGEST1瓣.0。DIGF鞍LOW1.0日昂志内容为IP层柏数据报文信息，熬其中包含数据报凹文的流量信息和拔协议类型信息，蔼而DIGEST熬1.0日志内容鞍为应用层协议数靶据报文信息，包唉含数据报文的摘办要信息。两种格埃式的DIG1.啊0日志在采集器俺进行日志采集时翱同时生成。利用傲DIG1.0日摆志的记录信息，把可以实现对用户半网络行为的监控岸，审查用户的访般问信息、使用的般应用信息等，全罢面审查用户的网氨络使用

58、行为。盎DIGFLOW爱1.0日志记录阿包含以下内容：鞍开始时间、结束唉时间、源IP地暗址、目的IP地柏址、源端口号、暗目的端口号、协暗议类型（目前区盎分TCP、UD哎P和ICMP三耙种协议）、输入唉包个数、输出包碍个数、输入字节搬数、输出字节数熬；霸DIGEST1笆.0日志记录包绊含以下内容：开般始时间、结束时摆间、源IP地址爱、目的IP地址办、目的端口号、肮摘要信息（目前安支持HTTP协俺议、FTP协议耙、SMTP协议八报文）。半NetStre鞍am V5日志笆：包括日志的开把始时间、结束时靶间、协议类型、阿源IP地址、目肮的IP地址、服叭务类型、入接口案、出接口、报文皑数、字节数、流板数

59、、总激活时间板、操作字、日志蔼类型等信息。通颁过NetStr八eam日志的分澳析，可以使网络版管理员深入地了版解当前数据网络鞍中的报文所包含板的各种有价值的败信息，可以实现俺网络监控、应用案监控、用户监控芭等功能，并为网稗络规划提供重要凹参考。澳通过用户行为审扳计系统网络管理绊员可以从海量的按网络日志中精确捌审计终端用户的伴上网行为。终端白用户何时访问了八某网站、何时访霸问了某网页、发安送了哪些Ema奥il、向外发送坝了哪些文件等信奥息均可通过日志昂审计得出结果。组网应用罢NetStre澳am/NAT/邦FLOW日志审碍计组网方式跋该组网可以为叭中石油内网用户凹提供办网络日志审计功艾能，以便于

60、跟踪挨访问非法站点的艾用户行为。该组哎网方式非常灵活芭，可以根据运营矮商或教育网等不耙同的运营特点，袄实现多种方式的鞍日志记录与审计爱能力。例如，如背果在Inter斑net出口需要霸作NAT转换，澳并且使用了设备疤的NAT功能，懊用户行为审计系奥统就可以接收N胺AT日志进行处癌理。如果在In瓣ternet出碍口不需要做NA佰T转换，则可以耙通过FLOW格氨式或NetSt捌ream V5八格式的日志记录坝用户的上网行为案。该组网方式下皑，需要配套设备鞍支持NAT、F敖LOW或Net柏Stream日隘志输出。盎DIG探针组网矮方式翱探针式采集器能啊够与任何支持端啊口镜象功能的交奥换机或集线器配百合