-实施方案模板-天珣内网安全风险管理与审计系统v6695Patch66950000

1、.：.；天珣内网平安风险管理与审计系统实施方案VPatch66950000启明星辰Beijing Venustech Cybervision Co., Ltd.2021 年 10月目录 TOC o 1-3 h z u HYPERLINK l _Toc339556590 1系统实施原那么 系统实施原那么最大限制降低对用户的影响部署终端平安管理系统的根本目的，是借助系统所提供的准入控制的技术手段，确保接入的电脑是合法的和符合XX研讨院平安战略要求的，最大限制降低不平安的客户端电脑对XX研讨院网络和信息资源带来的风险和要挟，保证XX研讨院每一个用户的电脑一直处于良好的运转形状，大大降低缺点发生概率，

2、从而保证每个用户都可以完全专注在本人的本职业务任务，并大大提高每一个用户的任务效率。因此，选择和部署终端平安管理系统时，在确保XX研讨院平安战略的有效执行的前提下，要最大限制降低对电脑用户在日常任务中的影响，例如减少终端用户在系统的运用过程中的不用要的操作和介入，在用户违反平安战略时进展友好提示，尊重和维护个人隐私，为用户平安网络访问和信息交换保驾护航。全面细致规划，分步实施终端平安管理系统，作为XX研讨院网络平安的根底架构中非常重要的客户端电脑平安管理平台，将涉及到XX研讨院内部每一台接受管理的电脑和每一个用户，涉及面广，影响面大。当然，为了根本上处理客户端电脑的平安管理问题，这样的系统的部

3、署也势在必行，因此在系统部署前需求对系统的实施过程、平安战略的制定和平安管理制度的建立，进展全面系统地规划，并在实施过程中，根据实践环境进展适时调整，从而保证系统和平安战略在XX研讨院内部顺利执行下去，实现工程预期的目的，保证内部网络具有更高可用性和客户端电脑的更高平安性。部署前需求规划的内容包括：内部网络和用户的平安分级和规划，系统部署的次序和周期，针对不同部门或用户角色的平安战略组合，系统平安战略的动态调整等等。平安不是一蹴而就的，由于该系统涉及面较广，因此系统的实施需求全面规划，分步实施，循序渐进，真正发扬系统的平安维护和自动防御的效果。平安战略从简到繁，平安级别步进式提高由于XX研讨院

4、分支机构、部门和人员较多，对应每一个角色的平安维护级别要求也层次各异，假设为了保证最高的平安性，运用同样一种严厉的平安战略，或者为了降低平安管理的任务量，简单的执行一类根本平安战略，都是不适宜的。在规划中要预先基于用户角色确定每个部门、用户或分支机构，确定对应的最适宜的平安战略组合，作为系统最终实现的平安管理目的。在实施过程中，再按照由简到繁的次序，先实施一切用户都必需遵守的平安战略，然后再根据不同分支机构、部门和用户，步进式下发和执行各级平安战略，从而实现平安级别步进式提高，构建立体的、混合方式的终端平安战略管理体系。实施方案内网终端合规管理提升是一个循序渐进和不断完善的过程，要兼顾“平安性

5、和“便利性，合规管理应“先弱后强，实施战略应“先易后难的原那么，消除业务部门和终端员工的抵触心情和压力。因此在安装过程中，我们严厉遵照天珣安装“三步走原那么，即：经过运用准入推进客户端部署安装，经过友好的提示界面以及强度稍弱的准入控制方式，好心的提示用户自动安装天珣客户端，并提供应用户下载地址，由其去下载和安装配置战略管理受控终端使其进展本身平安形状的完善，目的那么是让内网受控终端成为合规平安的终端，保证内网平安建立胜利而高效启用网络准入，在用户熟习天珣准入控制系统的特性后再启用网络准入，将会遭到最小的阻力，最终完成整个准入体系的关键一步当然，也会有一些部门或区域的平安维护等级要求没有这么高，

6、这时我们可以对其采用适宜本人的准入控制方式和平安战略，从而使的整个工程更加人性化。工程时间表管理效力器部署总部管理效力器部署院本部内厂所内：两种方式部署管理效力器，一种是逻辑上的集中管理分级授权方式，另一种完全独立的战略管理效力器方式。天珣内网平安风险管理与审计系统支持多战略效力器架构。每个效力器效力一个或多个园区。而这些效力器可以相互备份，在一个一致的控制台接受集中管理。假设一台效力器宕机，其效力的用户会自动被其他的效力器接纳。每一个管理网段的电脑都有3次从效力器获取规那么的时机，它们首先会从Primary的战略效力器获取规那么，假设失败，那么从Secondary的战略效力器获取规那么，假设

7、再失败，那么从中心效力器获取规那么，假设还是失败，那么运用客户端本地缓存的规那么。分布式多效力器架构使天珣内网平安风险管理与审计系统具有优秀的容错性、可伸缩性，支持的客户端数量从数百个到数万以致更多，而部署极为平滑，性能不受影响。在本次实施中，需求部署三台战略效力器，一台中心效力器，两台本地效力器。三台战略效力器都安装在中心机房，要求本次实施的一切的客户端电脑及战略网关都可以经过TCP/IP协议的7890端口访问到战略效力器。由于中心效力器有日常的管理负荷，建议中心效力器管理3000台终端电脑，本地效力器管理7000台终端电脑。对于任何一个管理网段，假设其Primary Server为其中一台

8、，那么其Secondary Server将被设为另外一台。中心效力器两台本地效力器管理网段一管理网段二PrimarySecondaryPrimarySecondary厂所独立管理效力器部署独立厂所：完全独立的战略管理效力器方式。在分布式多效力器架构下，中心效力器是整个系统战略集中存放的地方，本地效力器是进展日常的战略分发的地方。全系统只需求一个中心效力器，可以有多个本地效力器，中心效力器可以兼作本地效力器。在本次实施中，两台战略效力器都在院总部的直接纳理下，由总部的管理员进展管理。在今后的实施中，可以在各下级厂所架设本地效力器，由总部的管理员进展全局控制，而由各厂所的管理员进展本地化的管理。从

9、投资本钱上思索，建议本项效力器都在集中部署在院总部信息中心更有利，院下属各厂所多集中在园区网内网络带宽足以满足集中心管理的需求，因此引荐集中管理的部署方式。部署实施建议管理效力器与客户端通讯要求CC与管理效力器的通讯列表。类别源源端口目的目的端口功能协议效力器类中心效力器any客户端7891自动下发战略UDP中心效力器any客户端7891战略预检查UDP中心效力器any本地效力器7892自动同步效力器战略TCP中心效力器any战略网关代理7893同步代理战略UDP中心效力器anyradius效力器7897更新radius战略UDP补丁同步效力器any外网补丁效力器8800同步补丁TCP战略网关

10、代理any中心效力器7890获取代理战略TCPradius效力器any中心效力器7890获取radius战略TCP战略网关any战略网关代理7893拦截访问，通知代理TCP战略网关代理any客户端7891发送检查恳求UDPradius效力器any交换机1812-1813发送认证结果UDP交换机anyradius效力器1812-1813转发认证恳求UDP交换机any客户端1645-1646下发ACLUDPradius效力器any域效力器443转发用户认证TCP中心效力器anyserver monitor7896搜集系统组件运转形状TCP客户端类客户端any中心效力器7890心跳UDP客户端any

11、中心效力器7890取战略TCP客户端any中心效力器7898SSL取战略TCP客户端any中心效力器7890;7898客户端注册TCP客户端any中心效力器8833web管理界面TCP客户端any软件分发效力器7901取分发义务TCP客户端any软件分发效力器7902取分发文件TCP客户端any资产效力器7891上报资产TCP客户端any攻击告警效力器7899上报攻击告警UDP客户端any补丁同步效力器8833下载补丁TCP客户端anyhod管理员5500;5400远程协助数据流TCP客户端any按需援助效力器7895发起援助恳求TCPUTM类USGany客户端1080发送拦截页面TCP客户端

12、anyUSG1080接纳拦截页面TCPUSGany战略网关代理7893拦截访问，通知代理TCP数据存储建议采用数据的集中存储方式，便于用户的数据的存贮藏份管理。本部及各分支机构的数据全部存储在一台固定的数据库效力器中，省去数据同步的费事，添加数据一致性。管理员权限划分三权分立管理在天珣内网平安风险管理与审计系统中，根本设置的操作必需有全局管理员权限才干进展，而普通的战略配置只需求普通管理员权限就可以进展。一个普通管理员定义的战略，另外一个普通管理员不能看见，也不能运用。全局管理员定义的战略，其他普通管理员可以运用，但不能修正。全局管理员可以运用、修正任何一个普通管理员或全局管理员定义的战略。对

13、全局管理员或普通管理员，都可以设置“只读属性，该管理员只能读取战略信息，不能添加、修正或运用战略。在院总部，建议设置三种管理员。一种管理员是全局管理员，这类管理员由一至二个成员组成，他们担任进展根本设置，或一些全局性的战略。第二种管理员是普通管理员，主要由他们进展战略配置，他们定义的战略具有本地属性，当今后部署范围扩展，安装了更多的本地效力器，有更多的管理员参与战略系统管理时，他们定义的战略不会被其他管理员运用。第三种管理员是只读管理员，普通对部门指点设置这种权限，他们可以查看系统，但不需求他们做战略配置。效力器安装及数据管理见附件一。客户端部署经过运用准入方式部署客户端运用准入控制部署对于无

14、法实施网络准入控制的区域，可以采用运用准入。以下图是采用运用准入的部署图。分别在院的DNS效力器，ISA效力器，关键的Windows效力器，关键的Linux效力器等经常被访问的效力器上部署战略网关，当用户电脑访问这些效力器时，战略网关将会检查用户电脑能否运转了天珣内网平安风险管理与审计系统客户端软件，而且能否符合战略规那么。假设不符合，战略网关将回绝用户的访问，并给出友好的提示。在实践部署中，可根据情况添加或减少战略网关的部署数量。天珣曾经与启明星辰天清汉马USG实现准入控制互动，由USG作为新的运用准入控制类型。当终端需求经过USG进展访问时，由USG和天珣联动，只允许认证经过并且平安形状符

15、合要求的终端经过USG进展访问。建立期客户端部署客户端部署主要采用客户自助安装、后台自动安装、或管理员辅助安装等部署方式。客户端自助安装可采用战略网关提示安装，网上邻居预安装，邮件提示预安装等方式。后台自动安装可运用现有的软件分发工具，或用专门的后台安装工具进展安装。管理员辅助安装是在前面的安装手段对个别用户不能胜利部署时采用。客户端部署依部门顺序分阶段进展，在对每个部门全面部署前，先进展一次终端运用情况调研，针对每个部门的终端运用情况进展详细调研，主要包括：OS、版本、补丁、运用系统、重要数据等其它相关内容。假设有需求特别留意的地方，就需求制定特别的部署方案。维护期客户端部署新购置电脑对于少

16、量新购置的电脑，建议在入网之前由管理部门安装天珣客户端；对于批量购置的电脑，建议与电脑厂商协商，在出厂时即安装天珣客户端。电脑重装操作系统天珣运用准入的一个重要功能是协助 管理员部署客户端。对于偶尔重装操作系统的终端，可经过运用准入控制由用户自助安装客户端程序。准入控制实施 运用准入控制实施运用准入引见天珣系统中，具备其他同类软件不同的关键准入控制组件战略网关，这个组件可以安装在企业网中一个或多个关键业务系统效力器之上，执行运用层准入控制，可以对来访的终端执行合规检查，假设来访终端非受控或不合规，将被回绝访问该效力器或业务系统，同时也到达对这些关键效力器和业务系统加强维护的效果。其中，基于DN

17、S运用准入控制，又根据方式的不同，又可以分为旁路式的DNS准入此时DNS处于旁路监听方式，无需改动DNS效力器配置或者安装DNS战略网关和在线DNS准入在DNS效力器上部署DNS战略网关。天珣可以与启明星辰天清汉马一体化平安网关简称：天清汉马USG组成UTM2合规管理方案，实现准入控制联动，由天清汉马USG担当准入控制网关，当计算机终端需求经过天清汉马USG进展访问时，确保只需受控和合规的才干经过天清汉马USG对USG所维护的效力器进展访问。除此之外，天珣还可以提供可以与用户恣意平台的B/S构造的业务系统无缝集成的Web准入控制。集成的Web准入控制，平台顺应才干非常广泛，效力端可以在Wind

18、ows、Linux、unix下运用。性能优越，而且部署及其简单，只需把控件参与登录页面上，并且交换了用户名输入控件，进展小量的页面修正即可完成部署。运用准入的特点i) 运用准入生效是在数据中心的效力器区，对于网络环境中因接入层交换机或会聚层交换机不支持相应的网络准入认证协议，或者因内网终端合规管理的现实要求，暂时不需求启用最严厉的网络准入控制的情况，运用准入将可以替代网络准入作为最正确的终端合规准入控制手段。当然假设终端一直不去访问数据中心效力器，那么将能够无法对其实施运用准入，因此前期对准入所运用的业务系统的选择将会非常关键。ii) 独特功能：运用准入可以经过自动重定向，对未受控或者不合规的

19、终端，进展个性化的友好提示，经过友好提示不仅可以协助 最终用户了解无法访问业务效力器的缘由，为最终用户接受和顺应新的终端合规管理提供协助 ，还可以经过该提示页面，发送执行合规管理的客户端软件，真正实现了最终用户“自助式的客户端部署，不仅大幅度减少系统维护人员的任务量，也极大减少用户的腻烦和抵触行为，保证合规管理有效性的同时，在内网终端合规管理过程中，表达了人性关怀，有效加强了最终用户在内网合规管理系统实施中的积极性，促进内网合规更快获得良好收效。本工程中运用准入的实施主页或OA效力器上的中性战略网关在主页或OA效力器上安装天珣中性战略网关，受控终端访问主页或OA效力器时过程如下。开启准入检查的

20、网段，对有针对性地检查特定的网段，对特殊网段可设置使其不受战略网关的影响。DNS准入在内部DNS效力器上安装天珣DNS战略网关，当受控终端发送DNS恳求时与DNS效力器交互过程如下：开启准入检查的网段，对有针对性地检查特定的网段，对特殊网段可设置使其不受DNS准入的影响。网络准入控制实施对于接入交换机支持802.1X协议的区域，采用基于802.1x协议的网络准入控制。以下图是802.1x网络准入的部署图。802.1X认证的Radius Server采用天珣自带的Radius Server，用户电脑安装天珣内网平安风险管理与审计系统客户端软件。天珣内网平安风险管理与审计系统支持分布式多效力器架构

21、，建议每套天珣系统至少部署2个Radius效力器，以对802.1X提供互备的认证支持。基于可信MAC地址的802.1X准入认证在本次方案中，我们引荐XXXX院实行基于可信MAC地址验证的802.1X准入。该认证方式可以和“根本认证、“扩展组合认证组合成完善的准入方式。对接入电脑的MAC地址进展验证，假设不在允许接入的清单内，那么回绝该电脑的接入。对于新接入的电脑，该电脑的信息将即时报告给管理员，管理员可以在线决议能否允许该新电脑的接入。客户端的安装由于802.1X是二层协议，终端认证不胜利将不能访问网络，故客户端的安装问题将影响用户的运用，客户端的安装请参见“客户端部署章节。战略配置首先，在天

22、珣WEB控制台中添加一条Radius Server战略，在这里配置radius认证效力器及其所运用的认证战略：我们配置“网络准入类型为“规范802.1x，根本认证为“用户认证，并选择电力集团的AD域作为认证域。接下来再把需求启用网络准入的交换机的IP参与到网络设备配置中，让radius效力器知道它将对哪些交换机的认证恳求进展呼应。留意：共享密钥必需与交换机中配置的key一致，否那么将无法认证胜利。在网络设备配置完成后，将其运用到radius配置的“启用准入控制的网络设备中：另外，在页面战略配置完成后，务必点击更新radius效力器战略，否那么radius效力器将无法获取到最新的战略修正。交换机

23、配置对于交换机的配置，我们会对两种电力集团普遍运用的接入层cisco和华为交换机进展引见。CISCO交换机进入配置命令方式# config terminal配置Radius认证效力器启用认证# aaa new-model设置802.1X运用radius server组中的一切radius server进展认证# aaa authentication dot1x default group radius# aaa authorization network default group radius添加ias到radius server，其中host后面的IP地址为IAS效力器地址，auth-po

24、rt和acct-port为规范的Radius端口，key为交换机和Raidus效力器通讯密钥# radius-server host XX.XX.XX.XX auth-port 1812 acct-port 1813 key 123456启用802.1X# dot1x system-auth-control配置7号端口运用802.1X认证# interface FastEthernet0/7# switchport mode access# dot1x port-control auto# dot1x host-mode multi-host启用交换机端口的multiple-hosts方式，以

25、使交换机可下接hub进展认证# end配置7号端口的重认证周期可选项，配置802.1X重认证的周期，以秒为单位，默以为3600秒1小时，当重认证时，假设网络端口接入其他没有运转天珣内网平安风险管理与审计系统的计算机，端口会立刻封锁。# interface FastEthernet0/7# dot1x reauthentication# dot1x timeout reauth-period 3600# end保管当前配置作为启动配置# copy running-config startup-config留意：CISCO的交换机假设是远程运用telnet登陆到交换机进展配置的话，请千万记得配置a

26、aa authentication login default line命令不同型号交换机能够命令略有不同。此命令作用是将telnet时进展的认证放在交换机本地，假设不配置的话，假设以前telnet交换机只需求输入密码的话，那么在下次进展telnet登陆时，交换机将会提示要求输入用户名和密码进展认证。华为交换机# 设置802.1x用户的认证方法，目前提供3种认证方法：PAP认证、CHAP认证、EAP中继认证。缺省情况下，华为交换机802.1x用户认证方法为CHAP认证。此处需求修正设置为EAP认证。Quidway dot1x authentication-method eap# 创建RADIU

27、S 组dot1x 并进入其视图Quidway radius scheme dot1x# 设置主认证/计费RADIUS 效力器的IP 地址Quidway-radius-dot1x primary authentication XX.XX.XX.XX# 设置主认证/计费RADIUS 效力器的IP 地址Quidway-radius-dot1x primary accounting XX.XX.XX.XX# 设置系统与认证RADIUS 效力器交互报文时的加密密码Quidway -radius-dot1x key authentication 123456Quidway -radius-dot1x ke

28、y accounting 123456# 指示系统从用户名中去除用户域名后再将之传给RADIUS 效力器Quidway-radius-dot1x user-name-format without-domainQuidway-radius-dot1x quit# 创建用户域dot1x，并进入其视图Quidway domain dot1x# 指定“dot1x为该用户域的Radius方案Quidway-isp-dot1x radius-scheme dot1xQuidway-isp-dot1xquit# 指定交换机缺省的用户域为“dot1xQuidway domain default enable

29、dot1x# 开启E0/8的802.1x认证Quidway dot1x interface Ethernet 0/8# 开启全局802.1x 特性Quidway dot1x# 保管设置Quidway quit save 风险与灾备802.1X准入作为一种最严厉的准入控制手段具有其他准入控制措施不具有的优势，如认证流与数据流的分别、独立于运用之外、在严厉之余又具有很高的可扩展性等。该准入控制手段曾经大量运用于教育、金融行业，在近年来举行的艰苦赛事如广州亚运会，该准入控制手段也曾经全面运用。随着企业信息化越来越深化，在信息平安领域，准入控制，尤其是像802.1X这种严厉的准入控制手段曾经成为一个不

30、得不思索的选项。但这种严厉的准入控制技术也带来了不可忽视的断网风险。在对网络可用性要求极高的领域，如金融行业，大面积断网是不能容忍的一级事故。因此，一套完好的、可操作的风险预案便成了关键时辰的法宝。以下图是完成全面完成基于802.1X网络准入控制体系后，XXXX终端接入控制体系表示图。根据规范802.1X准入控制需求的三个实体，加上用户认证时需求的目录效力器以AD域控制器为例，我们分析了天珣作为准入控制处理方法能够产生的风险点如以下图标号所示。XXXX终端接入控制体系笼统图名词释义：天珣中心效力器：提供战略集中编辑、下发和集中报表的功能，管理和同步战略到本地效力器、Radius效力器等其他效力

31、器组件，并可以直接纳理指定范围的终端的效力器；天珣本地效力器：提供对指定范围终端进展管理的效力器，并可以管理和同步战略到Radius效力器。Radius认证效力器：与Swich联动，提供对客户端及用户进展网络准入控制认证效力器。AD域效力器：终端用户账号/密码的集中管理和认证效力器。接入交换机Switch：与Radius联动，提供对客户端及用户进展网络准入控制的接入层网络设备。客户端Clients：运转在每一台终端电脑上，执行终端平安管理战略，发起认证恳求。按照天珣系统的设计原理，以上组件中，除了中心效力器和本地效力器之外，其他恣意组件，例如无备份的单一Radius效力器、目录效力器本方案中的

32、AD域效力器、交换机、客户端，只需其中之一出现影响认证的缺点，都将会导致终端网络准入认证失败。每个组件对网络准入的影响，如以下图所示：从图中可以看出，每个组件都存在影响到网络准入失败的能够。但是，结合组件的作用和他们之间的相互关系，以下四个环节的风险最为突出：战略效力器异常时，Radius无法自动获取正确战略。AD域效力器异常或网络中断，导致AD域不可达，用户认证失败。Radius效力器异常或网络中断，导致认证无法正常进展。客户端异常，导致认证无法正常进展。针对上述风险，天珣为该准入控制拟定了以下风险预案：风险一种稳定的准入控制手段不有必要经常改动准入条件，如我们没有必要经常在仅验证客户端和可

33、匿名登陆的用户认证两种方案间切换。但即使如此，天珣的Radius效力器天珣自有的RADIUS效力器，不运用微软IAS等第三方产品在每次收到准入控制战略后都会缓存该战略，直到效力器通知其更改，在此期间，天珣的RADIUS效力器不依赖中心效力器和本地效力器，即使效力器宕机，RADIUS效力器依然可以正常任务。在天珣系统中，这种风险曾经可以忽略。风险预案天珣可以同时运用多台主备的目录效力器，但即使如此，网络情况以及目录效力器的可用性依然构成较大的挑战。实行用户认证需求保证AD域一直可达，但不常发生的断电和网络缺点让我们不能忽略极少发生的AD域不可达的能够性。为此，天珣提供了AD域的Radius by

34、pass工具，当AD域不可达时，该工具可立刻取消一切终端的用户认证，使准入控制方案变成仅“验证客户端的802.1X准入，从而消除因AD域缺点导致的网络准入认证失败的问题。天珣目录效力RadiusBypass工具界面如下：风险预案Radius效力器是802.1X网络准入的重中之重，在准入控制方案中，单台RADIUS效力器是宏大的风险点，正是基于此，网络设备厂商在规范配置中，都会为每台交换机配置双Radius效力器以做互备。从天珣实施的案例中，双RADIUS效力器年缺点时间小于5分钟。在配置了双RADIUS效力器的情况下，尤其是异地备份，该风险曾经大大降低。但这一直不会成为我们松懈的理由，天珣建议

35、将Radius作为中心效力器重点监控和维护，以消除Radius效力器的单点缺点和Radius能够遭遭到的网络攻击或机房环境影响。同时，部分网络设备厂商也思索了该问题，在交换机的配置方面有不同的运用方案。如，H3C的交换机可以配置多个认证选项，先运用radius认证，radius不可达那么运用local或者运用none。这些手段均可以大大减少缺点压力。但作为最可靠的处理手段，取消交换机的802.1X准入是最后的法宝，也是最让人放心的措施。假设企业内部有一致的网络设备管理平台，可经过配置网管平台取消交换机的认证，假设没有那么可借助某些自定义的脚本。本方案中有以下脚本取消交换机的全局802.1X准入

36、，以思科交换机为例：echo offecho set sh=WScript.CreateObject(WScript.Shell) telnet_tmp.vbsecho WScript.Sleep 3 telnet_tmp.vbsecho sh.SendKeys open telnet_tmp.vbsecho WScript.Sleep 3 telnet_tmp.vbsecho sh.SendKeys ENTER telnet_tmp.vbsecho WScript.Sleep 3 telnet_tmp.vbsecho sh.SendKeys !QAZ2wsxENTER telnet_tmp.

37、vbsecho WScript.Sleep 3 telnet_tmp.vbsecho sh.SendKeys enENTER telnet_tmp.vbsecho WScript.Sleep 3 telnet_tmp.vbsecho sh.SendKeys !QAZ2wsxENTER telnet_tmp.vbsecho WScript.Sleep 3 telnet_tmp.vbsecho sh.SendKeys conf tENTER telnet_tmp.vbsecho WScript.Sleep 3 telnet_tmp.vbsecho sh.SendKeys no dot1x sysE

38、NTER telnet_tmp.vbsecho WScript.Sleep 3 telnet_tmp.vbsecho sh.SendKeys endENTER telnet_tmp.vbsecho WScript.Sleep 3 telnet_tmp.vbsecho sh.SendKeys exitENTER telnet_tmp.vbsecho WScript.Sleep 3 telnet_tmp.vbsstart telnetcscript /nologo telnet_tmp.vbs风险预案由于网络准入控制认证需求由安装在终端的天珣客户端来执行，假设客户端不能正常运转，将直接导致认证无法

39、进展。根据天珣以往的阅历，导致客户端上线后不能运转的缘由更多于与终端上安装的其他平安软件或工具误杀、误拦或冲突。针对这种情况，天珣曾经紧跟各杀毒软件和平安软件厂商更新情况，做好后方的沟通和兼容检测任务，最大限制消除相互影响带来的风险。天珣RADIUS效力器形状告警在综合思索了上述一切能够产生风险的缺点点之后，天珣并没有停顿对风险防备的思索，RADIUS效力器形状告警组件便是我们最近的成果。在RADIUS所在效力器出现莫名缺点时Windows效力器操作系统不可防止，该组件可以即时报告其效力的可用形状，这种监视不是简单的进程维护，而是其内部流程的即时表达，包括它所依赖的一切第三方效力提供如目录效力

40、。其报警结果可以为企业内部正在运用的综合告警平台所检测，经过企业现有的告警方式，如短信、邮件、等，及时通知管理员，以期获得最快的呼应时间。天珣RADIUS告警组件界面如下：客户端准入部署安装有天珣客户端程序的计算机终端在接受访问时，可以根据管理员预先配置的平安战略检查来访的计算机终端能否运转了天珣客户端程序，并检查其平安基线能否符合要求。假设来访的计算机终端未安装天珣客户端程序，或不符合平安战略要求，那么回绝其访问。客户端准入控制例如图当安装天珣客户端程序的计算机终端访问网络时，天珣客户端也会先检查其本身的平安基线能否合格，假设不合格，将限制其对网络的访问。天珣客户端准入控制，发明性将每一台计

41、算机终端都变成准入控制点，保证每台计算机终端只接受平安可信的计算机终端进展访问，并只能在平安基线合格时访问网络，实现最细粒度的准入控制。天珣客户端具备网络阻断功能，在计算机终端平安基线不符合要求时，天珣客户端能不依赖网络设备及网络上其他终端或设备独立执行网络访问阻断。天珣客户端更支持选择性阻断，在计算机终端平安基线不符合要求时，天珣客户端能根据管理员预先配置的平安战略，经过进程、端口、目的地址等条件，选择性地阻止部分非紧急业务的网络访问，而允许其他紧急业务的网络访问。客户端准入控制部署建议客户端准入是天珣的战略之一，客户端全部完装终了之后经过下发一条几乎的战略即可实现。本方案中建议开启管理网段

42、内的客户端准入，同时留意在IP组中排除网络打印机、IP等特殊网络设备，使其不影响用户对这些设备的运用。分工界面工程阶段工程义务义务子项责任方职责分工启明星辰XXXX院工程预备组建工程组XXXX院、启明星辰售前售后交接、指定专门的售后效力人员、工程经理和实施人员指派工程配合人员工程实施前预备制定实施方案XXXX院、启明星辰提出部署要求安排人员配合实施，确认场地、网络环境预备XXXX院提出场地、环境要求确认、支持实施阶段现场验收启明星辰对到货设备进展开箱清点验收对到货设备进展清点验收 设备安装调试设备上架启明星辰规划好物理位置、进展设备上架安排人员配合设备加电启明星辰对设备进展加电测试系统部署启明

43、星辰提出部署要求并按要求进展系统部署安排人员配合工程进度报告启明星辰对工程进度做出及时的汇总和报告现场培训启明星辰对XXXX院技术人员进展现场培训接受培训初步验收提交验收方案启明星辰提交方案和流程确认进展设备验收到货验收XXXX院、启明星辰参与到货验收试运转系统结合调试启明星辰提供必要的协助提出需求缺点呼应启明星辰对系统问题进展呼应并设备缺点进展排除对缺点进展申报系统终验系统开工验收验收方案提交启明星辰提交方案和流程对方案和流程进展确认开工验收XXXX院、启明星辰参与验收组织验收保修期启明星辰三年技术支撑效力对缺点进展申报附件一：效力器安装及数据管理效力器安装战略效力器包括中心效力器、本地效力

44、器、补丁分发效力器、资产管理效力器、radius效力器、告警效力器等组件，一切功能效力器集中管理，组件可根据详细情况增减。数据库采用SQL SERVER，一致管理报警日志及审计等数据。安装环境及要求客户端Clients 计算机没有很高的系统要求。客户端软件(也被称CC)可以被安装在Windows 32位系统之上，包括 Windows2000 SP4, Windows Server 2003 SP1 和Windows XP SP2, Windows XP SP3，Windows Vista, Windows Server 2021，Windows 7 数据库支持32位 Microsoft SQL

45、 Server 2000，32/64位 Microsoft SQL Server 2005，支持32位Microsoft SQL Server 2021中心效力器Server 是整个战略架构的管理中心、战略中心。必需运转2003 SERVER SP1 (32/64) 或 2021 Server SP1 (32/64)的平台上。Windows 64位效力器对运用程序的支持不是特别完善，能够中心效力器运转过程中会出现不可预测的问题。中心效力器经过web方式管理，要求安装IIS效力器。其对硬件要求的高低应根据所管理的客户端数量的多少来定，其中，效力器安装要求的最低配置如下：硬件：CPUPIII 1G

46、或以上Memory1G或以上硬盘40G空闲软件：Windows 2003 Server SP1以上Internet Information Services 6.0以上Dot Net Framework2.0MDAC 2.7或以上中心效力器、资产效力器和攻击告警效力器需求安装SQL Server数据库，可根据现场环境选择独立安装或集中安装于中心效力器，假设安装于中心效力器，请确保中心效力器有足够的内存和硬盘空间。建议将数据库独立安装，这样既不会由于数据库读写频繁影响中心效力器正常运转，也不会由于中心效力器负载过重影响数据库读写。效力器组件中心战略效力器一切战略集中存放的地方，系统中独一的Web

47、管理控制台也与中心效力器集成在一同。管理员从Web管理控制台登录到Center Server，进展战略配置，报表查询。Center Server同时兼作一个Local Server。本地战略效力器本地战略效力器是客户端日常取战略的地方，也是客户端发送报表的目的地。本地战略效力器从Center Server同步得到战略。设置本地战略效力器的目的是为了顺应企业大区域的分布式分级管理架构。本地战略效力器从中心战略效力器获取战略，客户端直接与本地战略效力器通讯。资产管理效力器资产管理是对电脑的软硬件资产进展统计分析，并跟踪记录设备变卦的信息，到达对IT资产的高效、便利的管理。Radius效力器Radi

48、us效力器是天珣内网平安风险管理与审计系统网络准入的必需组件。结合各类LDAP认证，运用802.1x协议或EOU协议在交换机网络端口实施网络准入认证，确保只需经过认证的客户端接入并访问网络。攻击告警效力器攻击告警效力器兼作为攻击日志告警效力器和终端审计日志效力器，搜集由客户端发来的攻击告警信息和终端审计信息。并在中心效力器管理界面，可进展统计和分类查询。软件分发效力器经过软件分发效力器可建立软件安装包，可根据目的地址或地址段、指定时间段分发MSI软件包或自定义的运用软件包。HOD远程桌面效力器HOD远程桌面效力器用于记录在线的远程桌面管理员的相关信息，为其关联管理网段后，管理网段内的用户就可运

49、用客户端集成的远程桌面客户端，向在线管理员发起远程桌面协助 恳求。战略网关组件作为系统及运用准入的准入控制点，检查访问者的客户端运转形状，与客户端配合强迫用户满足战略。战略网关从战略网关代理上取战略网关战略。有时战略网关战略又叫插件战略。战略网关分为中性战略网关和IIS、ISA Proxy、DNS等插件战略网关。战略网关代理战略网关的管理者。一切的战略网关都直接衔接到战略网关代理，从战略网关代理获取战略，接受管理。而战略网关代理直接指向战略效力器，并从战略效力器获取战略。衔接到同一个战略网关代理的一切战略网关运用一样的战略。设置战略网关代理这个角色的目的是简化战略网关的配置，由于有时一个企业需

50、求安装多个战略网关，而每个战略网关的战略一样。同时，各个插件战略网关可相互共享CC的形状，如CC1在插件1上经过了认证，那么经过插件2访问时就无需第2次认证，提高系统性能。中性战略网关中性战略网关，也叫做中性插件，是安装在恣意的X32位的Windows 2000 /2003/2021效力器或Linux的效力器上，执行运用准入控制，它与安装的效力器操作系统有关，而与该效力器运转何种运用无关。当终端访问到该效力器，都需求进展平安基线检查，假设不符合平安战略，将被回绝访问该效力器，并给出提示信息只需基于http访问，才干正确提示。其中平安基线包括能否安装客户端软件、安装客户端软件的终端能否到达平安战

51、略要求。IIS战略网关部署在IIS效力器上，对一切访问该WEB效力器的终端实施运用准入控制，检查终端能否符合平安战略，假设不符合战略，那么回绝访问，并给出提示信息。ISA战略网关对一切经过ISA效力器上网的终端，实施运用准入控制，假设不符合平安战略，那么不允许终端经过ISA访问INTERNET，并给出提示信息。EXCHANGE战略网关部署在Exchange邮件效力器上，对访问EXCHANGE邮件效力器的终端实施运用准入控制，检查客户端能否符合平安战略。对于不符合平安战略的终端，Exchange战略网关将阻断其邮件效力，并给出提示信息。只支持EXCHANGE 2003邮件效力器DNS战略网关及旁

52、路监听式DNS战略网关普通DNS战略网关部署在DNS效力器上，对需求进展DNS域名解析的终端实施准入控制，检查终端能否符合平安战略，对于不符合平安战略的终端，DNS战略网关将阻断其DNS恳求，并给出提示信息。假设是旁路监听式DNS战略网关，那么可部署在DNS效力器上也可部署在互联网出口的某台效力器上对一切DNS恳求进展监听。假设是在DNS效力器上，那么功能与传统DNS战略网关一样，假设不是，那么旁听式的DNS网关必需安装在链接互联网出口交换机上的某台交换机上，对这台交换机上的其他端口的DNS恳求进展镜像，并在旁听式DNS网关的端口上进展监听，对需求进展DNS解析的终端实施准入控制，检查终端能否

53、符合平安战略，对于不符合平安战略的终端，旁听式DNS战略网关将阻断其DNS恳求，并给出提示信息。安装步骤天珣效力器的安装共有两种安装选项：快速安装和自定义安装。插入光盘，自动运转安装光盘中的Autorun.exe后出现以下主安装界面：快速安装快速安装默许安装效力器的以下组件：中心战略效力器、资产效力器、中心同步效力器、天珣效力形状监控效力、远程桌面效力器、攻击告警效力器、RADIUS效力器、战略网关代理、中性/DNS战略网关、软件分发效力器。快速安装选项的目的是一次安装一切效力器相关的组件及DNS准入控制组件，假设部署在网络出口，那么可利用DNS准入到达即插即用的效果。对中小运用环境，我们的方

54、案首推这种即插即用的部署。快速安装部署快速安装将天珣内网平安风险管理与审计系统安装光盘放入光驱，可直接进入安装选择界面。请点击“快速安装 。进入天珣内网平安风险管理与审计系统效力器的快速安装界面安装程序检测系统环境系统必需安装 “MDAC2.7或以上版本,“IIS和“Dot Net Framework 2.或者以上版本。假设系统还未安装上述的系统组件，那么不能进展下一步操作。可以点击旁边的“安装按钮安装所需的系统组件。 系统组件所用的SQL Server 可以选择衔接到本机或者其它机器的SQL Server。假设您想将系统组件所用的SQL Server部署在本机，本机又没有安装SQL Serv

55、er。您可以选择安装SQL Server。您也可以选择点击检测界面SQL Server旁边的“安装按钮，运转安装光盘带的里的SQL SERVER2005 EXPRESS版本。留意：SQL Server Express 2005是由微软公司开发的 SQL Server 2005的缩减版，这个版本是免费的，单个数据库大小限制为4G。安装完SQL SERVER2005 EXPRESS之后，安装检测程序会自动开启SQL Server 的1433监听端口。留意：假设系统曾经安装SQL数据库, 天珣内网平安风险管理与审计系统安装程序是不会协助 SQL Server 翻开1433监听端口的。安装过程中，系统

56、会提示用户选择安装的组件的途径，并需求管理员指定中心效力器IP地址、初始管理网段地址等信息。指定效力器的安装途径，安装组件所在盘符的空闲空间必需大于2G，默许安装在C盘，用户可以根据本人硬盘大小和需求改动安装盘符和途径。指定中心效力器IP地址，系统默许选择正在运转安装程序的主机的IP地址为中心效力器IP地址。系统运用端口为8833，请确保8833端口未被其他运用占用；设置中心效力器中初始管理网段地址，系统预置是：运转本安装程序的效力器所在的网段。选择运用管理方式；Windows集成认证：在登录web管理界面时运用与windows系统帐号集成的认证方式，如windows默许系统管理员帐号为adm

57、inistrator，那么天珣登录web管理界面时也同样运用这个帐号及密码。当需求在天珣系统中创建其他管理帐号时，必需同时在windows系统帐号中建立一样的帐号和一样的密码。三权分立方式：三权分立方式中，天珣系统默许管理员帐号/密码为administrator/12345678，运用此帐号登录后，再行创建系统操作员帐号，并运用系统操作员帐号登录web管理界面进展战略配置。此方式与windows系统帐号无关。设置所用的SQL Server 的衔接的参数；请确认此处的SQL SERVER的IP地址和监听端口，以及正确的sa密码。在安装SQL SERVER时，请千万记得运用混合认证，并设定sa密码

58、，否那么安装程序无法登录SQL SERVER数据库填写创建数据库的用户的帐号。预置用户名是tx_user安装程序将提示您选择授权文件License.dat的途径。License.dat文件请与启明星辰联络获取最新的授权文件。点击“阅读选择授权文件的途径，选择有效的授权文件安装检查完成，点击“安装进展快速安装部署；快速安装的安装完各组件之后，安装程序会自动运转客户端打包程序进展客户端安装包的制造； 其中可以自行设置中心效力器地址，指定客户端的安装目录以及客户端的安装方式。总共可设置三种安装方式，以普通方式安装时会出现提示对话框，需由用户进展“确认用户答应 、“选择安装目录等操作；以自动方式安装时

59、会出现安装界面，不需求用户进展任何操作，客户端将自动安装至默许目录；以静默方式安装时，正常情况下客户端安装过程中不会有任何提示，也不会有安装界面出现，客户端将自动安装至默许目录，假设安装的是带防火墙模块的客户端那么安装终了后会有重新启动计算机的提示。此外该打包程序还提供了多种选择，用户可灵敏选择客户端安装包能否包含802.1x交换机认证模块。阐明：打包客户端工具的运用以winrar软件为前提，在安装客户端打包工具前请确保操作系统中曾经安装有winrar软件。制造客户端包完成之后。关掉客户端打包工具程序。即弹出要求系统重启的界面。重启系统。此时快速安装部署天珣内网平安风险管理与审计系统曾经完成。

60、安装完成后，请先检查%InstallFolder%configdatabase目录的平安属性，确定该目录及目录下的文件能被System用户及从Web登录的管理员修正或者已赋予everyone用户完全控制权限。然后请进入效力控制器，假设系统曾经自动添加并运转“ES Center Server效力，那么阐明中心效力器曾经安装配置胜利。在天珣内网平安风险管理与审计系统中心效力器的默许安装目录C:Program FilesVenustechEndpoint SecurityESServer中，Config目录是天珣内网平安风险管理与审计系统的Web管理站点主目录；Download目录是下载效力的根目录