内网安全风险管理与审计系统实施策划方案

天珣内网安全风险治理与审计系统实施方案（VPatch66950000）启明星辰BeijingVenustechCybervisionCo.,Ltd.2014年10月目录1 系统实施原则 11.1 最大限度降低对用户的阻碍 11.2 全面细致规划，分步实施 11.3 安全策略从简到繁，安全级不步进式提高 22 实施打算 23 治理服务器部署 33.1 总部治理服务器部署 33.2 厂所独立治理服务器部署 43.3 部署实施建议 53.3.1 治理服务器与客户端通信要求 53.3.2 数据存储建议 93.3.3 治理员权限划分 93.3.4 服务器安装及数据治理 94 客户端部署 104.1 通过应用准入方式部署客户端 104.2 应用准入操纵部署 104.3 建设期客户端部署 114.4 维护期客户端部署 115 准入操纵实施 115.1 应用准入操纵实施 125.2 网络准入操纵实施 155.3 风险与灾备 215.4 客户端准入部署 275.5 客户端准入操纵部署建议 286 分工界面 297 附件一：服务器安装及数据治理 31系统实施原则最大限度降低对用户的阻碍部署终端安全治理系统的全然目的，是借助系统所提供的准入操纵的技术手段，确保接入的电脑是合法的和符合XX研究院安全策略要求的，最大限度降低不安全的客户端电脑对XX研究院网络和信息资源带来的风险和威胁，保证XX研究院每一个用户的电脑始终处于良好的运行状态，大大降低故障发生概率，从而保证每个用户都能够完全专注在自己的本职业务工作，并大大提高每一个用户的工作效率。因此，选择和部署终端安全治理系统时，在确保XX研究院安全策略的有效执行的前提下，要最大限度降低对电脑用户在日常工作中的阻碍，例如减少终端用户在系统的使用过程中的不必要的操作和介入，在用户违反安全策略时进行友好提示，尊重和爱护个人隐私，为用户安全网络访问和信息交换保驾护航。全面细致规划，分步实施终端安全治理系统，作为XX研究院网络安全的基础架构中特不重要的客户端电脑安全治理平台，将涉及到XX研究院内部每一台同意治理的电脑和每一个用户，涉及面广，阻碍面大。因此，为了全然上解决客户端电脑的安全治理问题，如此的系统的部署也势在必行，因此在系统部署前需要对系统的实施过程、安全策略的制定和安全治理制度的建立，进行全面系统地规划，并在实施过程中，依照实际环境进行适时调整，从而保证系统和安全策略在XX研究院内部顺利执行下去，实现项目预期的目标，保障内部网络具有更高可用性和客户端电脑的更高安全性。部署前需要规划的内容包括：内部网络和用户的安全分级和规划，系统部署的次序和周期，针对不同部门或用户角色的安全策略组合，系统安全策略的动态调整等等。安全不是一蹴而就的，由于该系统涉及面较广，因此系统的实施需要全面规划，分步实施，循序渐进，真正发挥系统的安全爱护和主动防备的功效。安全策略从简到繁，安全级不步进式提高由于XX研究院分支机构、部门和人员较多，对应每一个角色的安全爱护级不要求也层次各异，假如为了保证最高的安全性，使用同样一种严格的安全策略，或者为了降低安全治理的工作量，简单的执行一类差不多安全策略，差不多上不合适的。在规划中要预先基于用户角色确定每个部门、用户或分支机构，确定对应的最合适的安全策略组合，作为系统最终实现的安全治理目标。在实施过程中，再按照由简到繁的次序，先实施所有用户都必须遵守的安全策略，然后再依照不同分支机构、部门和用户，步进式下发和执行各级安全策略，从而实现安全级不步进式提高，构建立体的、混合模式的终端安全策略治理体系。实施打算内网终端合规治理提升是一个循序渐进和不断完善的过程，要兼顾“安全性”和“便利性”，合规治理应“先弱后强”，实施策略应“先易后难”的原则，消除来自业务部门和终端职员的抵触情绪和压力。因此在安装过程中，我们严格遵循天珣安装“三步走”原则，即：通过应用准入推动客户端部署安装，通过友好的提示界面以及强度稍弱的准入操纵方式，善意的提醒用户主动安装天珣客户端，并提供给用户下载地址，由其去下载和安装配置策略治理受控终端使其进行自身安全状态的完善，目标则是让内网受控终端成为合规安全的终端，保证内网安全建设成功而高效启用网络准入，在用户熟悉天珣准入操纵系统的特性后再启用网络准入，将会受到最小的阻力，最终完成整个准入体系的关键一步因此，也会有一些部门或区域的安全爱护等级要求没有这么高，这时我们能够对其采纳适合自己的准入操纵方式和安全策略，从而使的整个项目更加人性化。项目时刻表治理服务器部署总部治理服务器部署院本部内厂所内：两种方式部署治理服务器，一种是逻辑上的集中治理分级授权方式，另一种完全独立的策略治理服务器方式。天珣内网安全风险治理与审计系统支持多策略服务器架构。每个服务器服务一个或多个园区。而这些服务器能够相互备份，在一个统一的操纵台同意集中治理。假如一台服务器宕机，其服务的用户会自动被其他的服务器接管。每一个治理网段的电脑都有3次从服务器猎取规则的机会，它们首先会从Primary的策略服务器猎取规则，假如失败，则从Secondary的策略服务器猎取规则，假如再失败，则从中心服务器猎取规则，假如依旧失败，则使用客户端本地缓存的规则。分布式多服务器架构使天珣内网安全风险治理与审计系统具有优秀的容错性、可伸缩性，支持的客户端数量从数百个到数万以至更多，而部署极为平滑，性能不受阻碍。在本次实施中，需要部署三台策略服务器，一台中心服务器，两台本地服务器。三台策略服务器都安装在中心机房，要求本次实施的所有的客户端电脑及策略网关都能够通过TCP/IP协议的7890端口访问到策略服务器。因为中心服务器有日常的治理负荷，建议中心服务器治理3000台终端电脑，本地服务器治理7000台终端电脑。关于任何一个治理网段，假如其PrimaryServer为其中一台，则其SecondaryServer将被设为另外一台。中心服务器中心服务器两台本地服务器治理网段一治理网段二PrimarySecondaryPrimarySecondary厂所独立治理服务器部署独立厂所：完全独立的策略治理服务器方式。在分布式多服务器架构下，中心服务器是整个系统策略集中存放的地点，本地服务器是进行日常的策略分发的地点。全系统只需要一个中心服务器，能够有多个本地服务器，中心服务器能够兼作本地服务器。在本次实施中，两台策略服务器都在院总部的直接治理下，由总部的治理员进行治理。在今后的实施中，能够在各下级厂所架设本地服务器，由总部的治理员进行全局操纵，而由各厂所的治理员进行本地化的治理。从投资成本上考虑，建议本项服务器都在集中部署在院总部信息中心更有利，院下属各厂所多集中在园区网内网络带宽足以满足集中心治理的需要，因此推举集中治理的部署方式。部署实施建议治理服务器与客户端通信要求CC与治理服务器的通信列表。类不源源端口目标目标端口功能协议服务器类中心服务器any客户端7891主动下发策略UDP中心服务器any客户端7891策略预检查UDP中心服务器any本地服务器7892主动同步服务器策略TCP中心服务器any策略网关代理7893同步代理策略UDP中心服务器anyradius服务器7897更新radius策略UDP补丁同步服务器any外网补丁服务器8800同步补丁TCP策略网关代理any中心服务器7890猎取代理策略TCPradius服务器any中心服务器7890猎取radius策略TCP策略网关any策略网关代理7893拦截访问，通知代理TCP策略网关代理any客户端7891发送检查请求UDPradius服务器any交换机1812-1813发送认证结果UDP交换机anyradius服务器1812-1813转发认证请求UDP交换机any客户端1645-1646下发ACLUDPradius服务器any域服务器443转发用户认证TCP中心服务器anyservermonitor7896收集系统组件运行状态TCP客户端类客户端any中心服务器7890心跳UDP客户端any中心服务器7890取策略TCP客户端any中心服务器7898SSL取策略TCP客户端any中心服务器7890;7898客户端注册TCP客户端any中心服务器8833web治理界面TCP客户端any软件分发服务器7901取分发任务TCP客户端any软件分发服务器7902取分发文件TCP客户端any资产服务器7891上报资产TCP客户端any攻击告警服务器7899上报攻击告警UDP客户端any补丁同步服务器8833下载补丁TCP客户端anyhod治理员5500;5400远程协助数据流TCP客户端any按需支援服务器7895发起支援请求TCPUTM类USGany客户端1080发送拦截页面TCP客户端anyUSG1080接收拦截页面TCPUSGany策略网关代理7893拦截访问，通知代理TCP数据存储建议采纳数据的集中存储模式，便于用户的数据的存储备份治理。本部及各分支机构的数据全部存储在一台固定的数据库服务器中，省去数据同步的苦恼，增加数据一致性。治理员权限划分三权分立治理在天珣内网安全风险治理与审计系统中，差不多设置的操作必须有全局治理员权限才能进行，而一般的策略配置只需要一般治理员权限就能够进行。一个一般治理员定义的策略，另外一个一般治理员不能看见，也不能使用。全局治理员定义的策略，其他一般治理员能够使用，但不能修改。全局治理员能够使用、修改任何一个一般治理员或全局治理员定义的策略。对全局治理员或一般治理员，都能够设置“只读”属性，该治理员只能读取策略信息，不能增加、修改或应用策略。在院总部，建议设置三种治理员。一种治理员是全局治理员，这类治理员由一至二个成员组成，他们负责进行差不多设置，或一些全局性的策略。第二种治理员是一般治理员，要紧由他们进行策略配置，他们定义的策略具有本地属性，当今后部署范围扩大，安装了更多的本地服务器，有更多的治理员参与策略系统治理时，他们定义的策略可不能被其他治理员使用。第三种治理员是只读治理员，一般对部门领导设置这种权限，他们能够查看系统，但不需要他们做策略配置。服务器安装及数据治理见附件一。

客户端部署通过应用准入方式部署客户端应用准入操纵部署关于无法实施网络准入操纵的区域，能够采纳应用准入。下图是采纳应用准入的部署图。分不在院的DNS服务器，ISA服务器，关键的Windows服务器，关键的Linux服务器等经常被访问的服务器上部署策略网关，当用户电脑访问这些服务器时，策略网关将会检查用户电脑是否运行了天珣内网安全风险治理与审计系统客户端软件，而且是否符合策略规则。假如不符合，策略网关将拒绝用户的访问，并给出友好的提示。在实际部署中，可依照情况增加或减少策略网关的部署数量。天珣差不多与启明星辰天清汉马USG实现准入操纵互动，由USG作为新的应用准入操纵类型。当终端需要通过USG进行访问时，由USG和天珣联动，只容许认证通过同时安全状态符合要求的终端通过USG进行访问。建设期客户端部署客户端部署要紧采纳客户自助安装、后台自动安装、或治理员辅助安装等部署方式。客户端自助安装可采纳策略网关提示安装，网上邻居预安装，邮件提示预安装等方式。后台自动安装可使用现有的软件分发工具，或用专门的后台安装工具进行安装。治理员辅助安装是在前面的安装手段对个不用户不能成功部署时采纳。客户端部署依部门顺序分时期进行，在对每个部门全面部署前，先进行一次终端应用情况调研，针对每个部门的终端使用情况进行详细调研，要紧包括：OS、版本、补丁、应用系统、重要数据等其它相关内容。假如有需要特不注意的地点，就需要制定特不的部署方案。维护期客户端部署新购置电脑关于少量新购置的电脑，建议在入网之前由治理部门安装天珣客户端；关于批量购置的电脑，建议与电脑厂商协商，在出厂时即安装天珣客户端。电脑重装操作系统天珣应用准入的一个重要功能是关心治理员部署客户端。关于间或重装操作系统的终端，可通过应用准入操纵由用户自助安装客户端程序。准入操纵实施

应用准入操纵实施应用准入介绍天珣系统中，具备其他同类软件不同的关键准入操纵组件——策略网关，那个组件能够安装在企业网中一个或多个关键业务系统服务器之上，执行应用层准入操纵，能够对来访的终端执行合规检查，假如来访终端非受控或不合规，将被拒绝访问该服务器或业务系统，同时也达到对这些关键服务器和业务系统增强爱护的效果。其中，基于DNS应用准入操纵，又依照模式的不同，又能够分为旁路式的DNS准入（现在DNS处于旁路监听模式，无需改变DNS服务器配置或者安装DNS策略网关）和在线DNS准入（在DNS服务器上部署DNS策略网关）。天珣能够与启明星辰天清汉马一体化安全网关（简称：天清汉马USG）组成UTM2合规治理方案，实现准入操纵联动，由天清汉马USG担当准入操纵网关，当计算机终端需要通过天清汉马USG进行访问时，确保只有受控和合规的才能通过天清汉马USG对USG所爱护的服务器进行访问。除此之外，天珣还能够提供能够与用户任意平台的B/S结构的业务系统无缝集成的Web准入操纵。集成的Web准入操纵，平台适应能力特不广泛，服务端能够在Windows、Linux、unix下使用。 性能优越，而且部署及其简单，只需把控件加入登录页面上，同时替换了用户名输入控件，进行小量的页面修改即可完成部署。应用准入的特点i)应用准入生效是在数据中心的服务器区，关于网络环境中因接入层交换机或汇聚层交换机不支持相应的网络准入认证协议，或者因内网终端合规治理的现实要求，临时不需要启用最严格的网络准入操纵的情况，应用准入将能够代替网络准入作为最佳的终端合规准入操纵手段。因此假如终端始终不去访问数据中心服务器，那么将可能无法对事实上施应用准入，因此前期对准入所使用的业务系统的选择将会特不关键。ii)独特功能：应用准入能够通过自动重定向，对未受控或者不合规的终端，进行个性化的友好提示，通过友好提示不仅能够关心最终用户了解无法访问业务服务器的缘故，为最终用户同意和适应新的终端合规治理提供关心，还能够通过该提示页面，发送执行合规治理的客户端软件，真正实现了最终用户“自助式”的客户端部署，不仅大幅度减少系统维护人员的工作量，也极大减少用户的厌烦和抵触行为，保证合规治理有效性的同时，在内网终端合规治理过程中，体现了人性关怀，有效增强了最终用户在内网合规治理系统实施中的积极性，促进内网合规更快获得良好收效。本项目中应用准入的实施主页或OA服务器上的中性策略网关在主页或OA服务器上安装天珣中性策略网关，受控终端访问主页或OA服务器时过程如下。开启准入检查的网段，对有针对性地检查特定的网段，对专门网段可设置使其不受策略网关的阻碍。DNS准入在内部DNS服务器上安装天珣DNS策略网关，当受控终端发送DNS请求时与DNS服务器交互过程如下：开启准入检查的网段，对有针对性地检查特定的网段，对专门网段可设置使其不受DNS准入的阻碍。网络准入操纵实施关于接入交换机支持802.1X协议的区域，采纳基于802.1x协议的网络准入操纵。下图是802.1x网络准入的部署图。802.1X认证的RadiusServer采纳天珣自带的RadiusServer，用户电脑安装天珣内网安全风险治理与审计系统客户端软件。天珣内网安全风险治理与审计系统支持分布式多服务器架构，建议每套天珣系统至少部署2个Radius服务器，以对802.1X提供互备的认证支持。基于可信MAC地址的802.1X准入认证在本次方案中，我们推举XXXX院实行基于可信MAC地址验证的802.1X准入。该认证模式能够和“差不多认证”、“扩展组合认证”组合成完善的准入模式。对接入电脑的MAC地址进行验证，假如不在同意接入的清单内，则拒绝该电脑的接入。关于新接入的电脑，该电脑的信息将即时报告给治理员，治理员能够在线决定是否同意该新电脑的接入。客户端的安装由于802.1X是二层协议，终端认证不成功将不能访问网络，故客户端的安装问题将阻碍用户的使用，客户端的安装请参见“客户端部署”章节。策略配置首先，在天珣WEB操纵台中添加一条RadiusServer策略，在那个地点配置radius认证服务器及其所使用的认证策略：我们配置“网络准入类型”为“标准802.1x”，差不多认证为“用户认证”，并选择电力集团的AD域作为认证域。接下来再把需要启用网络准入的交换机的IP加入到网络设备配置中，让radius服务器明白它将对哪些交换机的认证请求进行响应。注意：共享密钥必须与交换机中配置的key一致，否则将无法认证成功。在网络设备配置完成后，将其应用到radius配置的“启用准入操纵的网络设备”中：另外，在页面策略配置完成后，务必点击更新radius服务器策略，否则radius服务器将无法猎取到最新的策略修改。交换机配置关于交换机的配置，我们会对两种电力集团普遍使用的接入层cisco和华为交换机进行介绍。CISCO交换机进入配置命令模式#configterminal配置Radius认证服务器启用认证#aaanew-model设置802.1X使用radiusserver组中的所有radiusserver进行认证#aaaauthenticationdot1xdefaultgroupradius#aaaauthorizationnetworkdefaultgroupradius添加ias到radiusserver，其中host后面的IP地址为IAS服务器地址，auth-port和acct-port为标准的Radius端口，key为交换机和Raidus服务器通讯密钥#radius-serverhostXX.XX.XX.XXauth-port1812acct-port1813key123456启用802.1X#dot1xsystem-auth-control配置7号端口使用802.1X认证#interfaceFastEthernet0/7#switchportmodeaccess#dot1xport-controlauto#dot1xhost-modemulti-host（启用交换机端口的multiple-hosts模式，以使交换机可下接hub进行认证）#end配置7号端口的重认证周期可选项，配置802.1X重认证的周期，以秒为单位，默认为3600秒（1小时），当重认证时，假如网络端口接入其他没有运行天珣内网安全风险治理与审计系统的计算机，端口会赶忙封闭。#interfaceFastEthernet0/7#dot1xreauthentication#dot1xtimeoutreauth-period3600#end保存当前配置作为启动配置#copyrunning-configstartup-config注意：CISCO的交换机假如是远程使用telnet登陆到交换机进行配置的话，请千万记得配置aaaauthenticationlogindefaultline命令（不同型号交换机可能命令略有不同）。此命令作用是将telnet时进行的认证放在交换机本地，假如不配置的话，假如往常telnet交换机只需要输入密码的话，那么在下次进行telnet登陆时，交换机将会提示要求输入用户名和密码进行认证。华为交换机#设置802.1x用户的认证方法，目前提供3种认证方法：PAP认证、CHAP认证、EAP中继认证。缺省情况下，华为交换机802.1x用户认证方法为CHAP认证。此处需要修改设置为EAP认证。[Quidway]dot1xauthentication-methodeap#创建RADIUS组dot1x并进入其视图[Quidway]radiusschemedot1x#设置主认证/计费RADIUS服务器的IP地址[Quidway-radius-dot1x]primaryauthenticationXX.XX.XX.XX#设置主认证/计费RADIUS服务器的IP地址[Quidway-radius-dot1x]primaryaccountingXX.XX.XX.XX#设置系统与认证RADIUS服务器交互报文时的加密密码[Quidway-radius-dot1x]keyauthentication123456[Quidway-radius-dot1x]keyaccounting123456#指示系统从用户名中去除用户域名后再将之传给RADIUS服务器[Quidway-radius-dot1x]user-name-formatwithout-domain[Quidway-radius-dot1x]quit#创建用户域dot1x，并进入其视图[Quidway]domaindot1x#指定“dot1x”为该用户域的Radius方案[Quidway-isp-dot1x]radius-schemedot1x[Quidway-isp-dot1x]quit#指定交换机缺省的用户域为“dot1x”[Quidway]domaindefaultenabledot1x#开启E0/8的802.1x认证[Quidway]dot1xinterfaceEthernet0/8#开启全局802.1x特性[Quidway]dot1x#保存设置[Quidway]quit<Quidway>save风险与灾备802.1X准入作为一种最严格的准入操纵手段具有其他准入操纵措施不具有的优势，如认证流与数据流的分离、独立于应用之外、在严格之余又具有专门高的可扩展性等。该准入操纵手段差不多大量应用于教育、金融行业，在近年来举办的重大赛事如广州亚运会，该准入操纵手段也差不多全面应用。随着企业信息化越来越深入，在信息安全领域，准入操纵，尤其是像802.1X这种严格的准入操纵手段差不多成为一个不得不考虑的选项。但这种严格的准入操纵技术也带来了不可忽视的断网风险。在对网络可用性要求极高的领域，如金融行业，大面积断网是不能容忍的一级事故。因此，一套完整的、可操作的风险预案便成了关键时刻的法宝。下图是完成全面完成基于802.1X网络准入操纵体系后，XXXX终端接入操纵体系示意图。依照标准802.1X准入操纵需要的三个实体，加上用户认证时需要的目录服务器（以AD域操纵器为例），我们分析了天珣作为准入操纵解决方法可能产生的风险点如下图标号所示。XXXX终端接入操纵体系抽象图名词释义：天珣中心服务器：提供策略集中编辑、下发和集中报表的功能，治理和同步策略到本地服务器、Radius服务器等其他服务器组件，并能够直接治理指定范围的终端的服务器；天珣本地服务器：提供对指定范围终端进行治理的服务器，并能够治理和同步策略到Radius服务器。Radius认证服务器：与Swich联动，提供对客户端及用户进行网络准入操纵认证服务器。AD域服务器：终端用户账号/密码的集中治理和认证服务器。接入交换机（Switch）：与Radius联动，提供对客户端及用户进行网络准入操纵的接入层网络设备。客户端（Clients）：运行在每一台终端电脑上，执行终端安全治理策略，发起认证请求。按照天珣系统的设计原理，以上组件中，除了中心服务器和本地服务器之外，其他任意组件，例如无备份的单一Radius服务器、目录服务器（本方案中的AD域服务器）、交换机、客户端，只要其中之一出现阻碍认证的故障，都将会导致终端网络准入认证失败。每个组件对网络准入的阻碍，如下图所示：从图中能够看出，每个组件都存在阻碍到网络准入失败的可能。然而，结合组件的作用和他们之间的相互关系，以下四个环节的风险最为突出： 策略服务器异常时，Radius无法主动猎取正确策略。AD域服务器异常或网络中断，导致AD域不可达，用户认证失败。Radius服务器异常或网络中断，导致认证无法正常进行。客户端异常，导致认证无法正常进行。针对上述风险，天珣为该准入操纵拟定了以下风险预案：风险一种稳定的准入操纵手段不有必要经常改变准入条件，如我们没有必要经常在仅验证客户端和可匿名登陆的用户认证两种方案间切换。但即使如此，天珣的Radius服务器（天珣自有的RADIUS服务器，不使用微软IAS等第三方产品）在每次收到准入操纵策略后都会缓存该策略，直到服务器通知其更改，在此期间，天珣的RADIUS服务器不依靠中心服务器和本地服务器，即使服务器宕机，RADIUS服务器依旧能够正常工作。在天珣系统中，这种风险差不多能够忽略。风险预案天珣能够同时使用多台主备的目录服务器，但即使如此，网络状况以及目录服务器的可用性依旧构成较大的挑战。实行用户认证需要保证AD域始终可达，但不常发生的断电和网络故障让我们不能忽略极少发生的AD域不可达的可能性。为此，天珣提供了AD域的Radiusbypass工具，当AD域不可达时，该工具可赶忙取消所有终端的用户认证，使准入操纵方案变成仅“验证客户端的802.1X准入”，从而消除因AD域故障导致的网络准入认证失败的问题。天珣目录服务RadiusBypass工具界面如下：风险预案Radius服务器是802.1X网络准入的重中之重，在准入操纵方案中，单台RADIUS服务器是巨大的风险点，正是基于此，网络设备厂商在标准配置中，都会为每台交换机配置双Radius服务器以做互备。从天珣实施的案例中，双RADIUS服务器年故障时刻小于5分钟。在配置了双RADIUS服务器的情况下，尤其是异地备份，该风险差不多大大降低。但这始终可不能成为我们松懈的理由，天珣建议将Radius作为核心服务器重点监控和爱护，以消除Radius服务器的单点故障和Radius可能遭受到的网络攻击或机房环境阻碍。同时，部分网络设备厂商也考虑了该问题，在交换机的配置方面有不同的使用方案。如，H3C的交换机能够配置多个认证选项，先使用radius认证，radius不可达则使用local或者使用none。这些手段均能够大大减少故障压力。但作为最可靠的解决手段，取消交换机的802.1X准入是最后的法宝，也是最让人放心的措施。假如企业内部有统一的网络设备治理平台，可通过配置网管平台取消交换机的认证，若没有则可借助某些自定义的脚本。本方案中有以下脚本取消交换机的全局802.1X准入，以思科交换机为例：@echooffechosetsh=WScript.CreateObject("WScript.Shell")>telnet_tmp.vbsechoWScript.Sleep3>>telnet_tmp.vbsechosh.SendKeys"open">>telnet_tmp.vbsechoWScript.Sleep3>>telnet_tmp.vbsechosh.SendKeys"{ENTER}">>telnet_tmp.vbsechoWScript.Sleep3>>telnet_tmp.vbsechosh.SendKeys"!QAZ2wsx{ENTER}">>telnet_tmp.vbsechoWScript.Sleep3>>telnet_tmp.vbsechosh.SendKeys"en{ENTER}">>telnet_tmp.vbsechoWScript.Sleep3>>telnet_tmp.vbsechosh.SendKeys"!QAZ2wsx{ENTER}">>telnet_tmp.vbsechoWScript.Sleep3>>telnet_tmp.vbsechosh.SendKeys"conft{ENTER}">>telnet_tmp.vbsechoWScript.Sleep3>>telnet_tmp.vbsechosh.SendKeys"nodot1xsys{ENTER}">>telnet_tmp.vbsechoWScript.Sleep3>>telnet_tmp.vbsechosh.SendKeys"end{ENTER}">>telnet_tmp.vbsechoWScript.Sleep3>>telnet_tmp.vbsechosh.SendKeys"exit{ENTER}">>telnet_tmp.vbsechoWScript.Sleep3>>telnet_tmp.vbsstarttelnetcscript//nologotelnet_tmp.vbs风险预案由于网络准入操纵认证需要由安装在终端的天珣客户端来执行，假如客户端不能正常运行，将直接导致认证无法进行。依照天珣以往的经验，导致客户端上线后不能运行的缘故更多来自于与终端上安装的其他安全软件或工具误杀、误拦或冲突。针对这种情况，天珣差不多紧跟各杀毒软件和安全软件厂商更新情况，做好后方的沟通和兼容检测工作，最大限度消除相互阻碍带来的风险。天珣RADIUS服务器状态告警在综合考虑了上述所有可能产生风险的故障点之后，天珣并没有停止对风险防范的考虑，RADIUS服务器状态告警组件便是我们最近的成果。在RADIUS所在服务器出现莫名故障时（Windows服务器操作系统不可幸免），该组件能够即时报告其服务的可用状态，这种监视不是简单的进程爱护，而是其内部流程的即时体现，包括它所依靠的所有第三方服务提供如目录服务。其报警结果能够为企业内部正在使用的综合告警平台所检测，通过企业现有的告警方式，如短信、邮件、电话等，及时通知治理员，以期获得最快的响应时刻。天珣RADIUS告警组件界面如下：客户端准入部署安装有天珣客户端程序的计算机终端在同意访问时，能够依照治理员预先配置的安全策略检查来访的计算机终端是否运行了天珣客户端程序，并检查其安全基线是否符合要求。假如来访的计算机终端未安装天珣客户端程序，或不符合安全策略要求，则拒绝其访问。客户端准入操纵示例图当安装天珣客户端程序的计算机终端访问网络时，天珣客户端也会先检查其自身的安全基线是否合格，假如不合格，将限制其对网络的访问。天珣客户端准入操纵，制造性将每一台计算机终端都变成准入操纵点，保证每台计算机终端只同意安全可信的计算机终端进行访问，并只能在安全基线合格时访问网络，实现最细粒度的准入操纵。天珣客户端具备网络阻断功能，在计算机终端安全基线不符合要求时，天珣客户端能不依靠网络设备及网络上其他终端或设备独立执行网络访问阻断。天珣客户端更支持选择性阻断，在计算机终端安全基线不符合要求时，天珣客户端能依照治理员预先配置的安全策略，通过进程、端口、目标地址等条件，选择性地阻止部分非紧急业务的网络访问，而同意其他紧急业务的网络访问。客户端准入操纵部署建议客户端准入是天珣的策略之一，客户端全部完装完毕之后通过下发一条简直的策略即可实现。本方案中建议开启治理网段内的客户端准入，同时注意在IP组中排除网络打印机、IP电话等专门网络设备，使其不阻碍用户对这些设备的使用。分工界面项目时期项目任务任务子项责任方职责分工启明星辰XXXX院项目预备组建项目组XXXX院、启明星辰售前售后交接、指定专门的售后服务人员、项目经理和实施人员指派项目配合人员工程实施前预备制定实施打算XXXX院、启明星辰提出部署要求安排人员配合实施，确认场地、网络环境预备XXXX院提出场地、环境要求确认、支持实施时期现场验收启明星辰对到货设备进行开箱清点验收对到货设备进行清点验收设备安装调试设备上架启明星辰规划好物理位置、进行设备上架安排人员配合设备加电启明星辰对设备进行加电测试系统部署启明星辰提出部署要求并按要求进行系统部署安排人员配合项目进度报告启明星辰对项目进度做出及时的汇总和报告现场培训启明星辰对XXXX院技术人员进行现场培训同意培训初步验收提交验收方案启明星辰提交方案和流程确认进行设备验收（到货验收）XXXX院、启明星辰参与到货验收试运行系统联合调试启明星辰提供必要的协助提出需求故障响应启明星辰对系统问题进行响应并设备故障进行排除对故障进行申报系统终验系统竣工验收验收方案提交启明星辰提交方案和流程对方案和流程进行确认竣工验收XXXX院、启明星辰参与验收组织验收保修期启明星辰三年技术支撑服务对故障进行申报

附件一：服务器安装及数据治理服务器安装策略服务器包括中心服务器、本地服务器、补丁分发服务器、资产治理服务器、radius服务器、告警服务器等组件，所有功能服务器集中治理，组件可依照具体情况增减。数据库采纳SQLSERVER，统一治理报警日志及审计等数据。安装环境及要求客户端（Clients）计算机没有专门高的系统要求。客户端软件(也被称CC)能够被安装在Windows32位系统之上，包括Windows2000SP4,WindowsServer2003SP1和WindowsXPSP2,WindowsXPSP3，WindowsVista,WindowsServer2008，Windows7数据库 支持32位MicrosoftSQLServer2000，32/64位MicrosoftSQLServer2005，支持32位MicrosoftSQLServer2008中心服务器（Server）是整个策略架构的治理中心、策略中心。必须运行2003SERVERSP1(32/64)或2008ServerSP1(32/64)的平台上。Windows64位服务器对应用程序的支持不是特不完善，可能中心服务器运行过程中会出现不可预测的问题。中心服务器通过web方式治理，要求安装IIS服务器。其对硬件要求的高低应依照所治理的客户端数量的多少来定，其中，服务器安装要求的最低配置如下：硬件：CPU PIII1G或以上Memory 1G或以上硬盘 40G空闲软件：Windows2003ServerSP1以上InternetInformationServices6.0以上DotNetFramework2.0MDAC2.7或以上中心服务器、资产服务器和攻击告警服务器需要安装SQLServer数据库，可依照现场环境选择独立安装或集中安装于中心服务器，若安装于中心服务器，请确保中心服务器有足够的内存和硬盘空间。建议将数据库独立安装，如此既可不能因为数据库读写频繁阻碍中心服务器正常运行，也可不能因为中心服务器负载过重阻碍数据库读写。服务器组件中心策略服务器所有策略集中存放的地点，系统中唯一的Web治理操纵台也与中心服务器集成在一起。治理员从Web治理操纵台登录到CenterServer，进行策略配置，报表查询。CenterServer同时兼作一个LocalServer。本地策略服务器本地策略服务器是客户端日常取策略的地点，也是客户端发送报表的目的地。本地策略服务器从CenterServer同步得到策略。设置本地策略服务器的目的是为了适应企业大区域的分布式分级治理架构。本地策略服务器从中心策略服务器猎取策略，客户端直接与本地策略服务器通讯。资产治理服务器资产治理是对电脑的软硬件资产进行统计分析，并跟踪记录设备变更的信息，达到对IT资产的高效、便捷的治理。Radius服务器Radius服务器是天珣内网安全风险治理与审计系统网络准入的必须组件。结合各类LDAP认证，使用802.1x协议或EOU协议在交换机网络端口实施网络准入认证，确保只有通过认证的客户端接入并访问网络。攻击告警服务器攻击告警服务器兼作为攻击日志告警服务器和终端审计日志服务器，收集由客户端发来的攻击告警信息和终端审计信息。并在中心服务器治理界面，可进行统计和分类查询。软件分发服务器通过软件分发服务器可建立软件安装包，可依照目标地址或地址段、指定时刻段分发MSI软件包或自定义的应用软件包。HOD远程桌面服务器HOD远程桌面服务器用于记录在线的远程桌面治理员的相关信息，为其关联治理网段后，治理网段内的用户就可使用客户端集成的远程桌面客户端，向在线治理员发起远程桌面关心请求。策略网关组件作为系统及应用准入的准入操纵点，检查访问者的客户端运行状态，与客户端配合强制用户满足策略。策略网关从策略网关代理上取策略网关策略。有时策略网关策略又叫插件策略。策略网关分为中性策略网关和IIS、ISAProxy、Email、DNS等插件策略网关。策略网关代理策略网关的治理者。所有的策略网关都直接连接到策略网关代理，从策略网关代理猎取策略，同意治理。而策略网关代理直接指向策略服务器，并从策略服务器猎取策略。连接到同一个策略网关代理的所有策略网关使用相同的策略。设置策略网关代理那个角色的目的是简化策略网关的配置，因为有时一个企业需要安装多个策略网关，而每个策略网关的策略相同。同时，各个插件策略网关可相互共享CC的状态，如CC1在插件1上通过了认证，那么通过插件2访问时就无需第2次认证，提高系统性能。中性策略网关中性策略网关，也叫做中性插件，是安装在任意的X32位的Windows2000/2003/2008服务器或Linux的服务器上，执行应用准入操纵，它与安装的服务器操作系统有关，而与该服务器运行何种应用无关。当终端访问到该服务器，都需要进行安全基线检查，若不符合安全策略，将被拒绝访问该服务器，并给出提示信息（只有基于http访问，才能正确提示）。其中安全基线包括是否安装客户端软件、安装客户端软件的终端是否达到安全策略要求。IIS策略网关部署在IIS服务器上，对所有访问该WEB服务器的终端实施应用准入操纵，检查终端是否符合安全策略，若不符合策略，则拒绝访问，并给出提示信息。ISA策略网关对所有通过ISA服务器上网的终端，实施应用准入操纵，若不符合安全策略，则不同意终端通过ISA访问INTERNET，并给出提示信息。EXCHANGE策略网关部署在Exchange邮件服务器上，对访问EXCHANGE邮件服务器的终端实施应用准入操纵，检查客户端是否符合安全策略。关于不符合安全策略的终端，Exchange策略网关将阻断其邮件服务，并给出提示信息。（只支持EXCHANGE2003邮件服务器）DNS策略网关及旁路监听式DNS策略网关一般DNS策略网关部署在DNS服务器上，对需要进行DNS域名解析的终端实施准入操纵，检查终端是否符合安全策略，关于不符合安全策略的终端，DNS策略网关将阻断其DNS请求，并给出提示信息。假如是旁路监听式DNS策略网关，则可部署在DNS服务器上也可部署在互联网出口的某台服务器上对所有DNS请求进行监听。假如是在DNS服务器上，那么功能与传统DNS策略网关相同，假如不是，那么旁听式的DNS网关必须安装在链接互联网出口交换机上的某台交换机上，对这台交换机上的其他端口的DNS请求进行镜像，并在旁听式DNS网关的端口上进行监听，对需要进行DNS解析的终端实施准入操纵，检查终端是否符合安全策略，关于不符合安全策略的终端，旁听式DNS策略网关将阻断其DNS请求，并给出提示信息。安装步骤天珣服务器的安装共有两种安装选项：快速安装和自定义安装。插入光盘，自动运行安装光盘中的Autorun.exe后出现以下主安装界面：快速安装快速安装默认安装服务器的以下组件：中心策略服务器、资产服务器、中心同步服务器、天珣服务状态监控服务、远程桌面服务器、攻击告警服务器、RADIUS服务器、策略网关代理、中性/DNS策略网关、软件分发服务器。快速安装选项的目的是一次安装所有服务器相关的组件及DNS准入操纵组件，假如部署在网络出口，则可利用DNS准入达到即插即用的效果。对中小应用环境，我们的方案首推这种即插即用的部署。快速安装部署快速安装将天珣内网安全风险治理与审计系统安装光盘放入光驱，可直接进入安装选择界面。请点击“快速安装”。进入天珣内网安全风险治理与审计系统服务器的快速安装界面安装程序检测系统环境系统必须安装“MDAC2.7或以上版本”,“IIS”和“DotNetFramework2.或者以上版本”。假如系统还未安装上述的系统组件，则不能进行下一步操作。能够点击旁边的“安装”按钮安装所需的系统组件。系统组件所用的SQLServer能够选择连接到本机或者其它机器的SQLServer。假如您想将系统组件所用的SQLServer部署在本机，本机又没有安装SQLServer。您能够选择安装SQLServer。您也能够选择点击检测界面SQLServer旁边的“安装”按钮，运行安装光盘带的里的SQLSERVER2005EXPRESS版本。（注意：SQLServerExpress2005是由微软公司开发的SQLServer2005的缩减版，那个版本是免费的，单个数据库大小限制为4G）。安装完SQLSERVER2005EXPRESS之后，安装检测程序会自动开启SQLServer的1433监听端口。（注意：假如系统差不多安装SQL数据库,天珣内网安全风险治理与审计系统安装程序是可不能关心SQLServer打开1433监听端口的）。安装过程中，系统会提示用户选择安装的组件的路径，并需要治理员指定中心服务器IP地址、初始治理网段地址等信息。指定服务器的安装路径，安装组件所在盘符的空闲空间必须大于2G，默认安装在C盘，用户能够依照自己硬盘大小和需求改变安装盘符和路径。指定中心服务器IP地址，系统默认选择正在运行安装程序的主机的IP地址为中心服务器IP地址。系统使用端口为8833，请确保8833端口未被其他应用占用；设置中心服务器中初始治理网段地址，系统预置是：运行本安装程序的服务器所在的网段。选择使用治理模式；Windows集成认证：在登录web治理界面时使用与windows系统帐号集成的认证方式，如windows默认系统治理员帐号为administrator，那么天珣登录web治理界面时也同样使用那个帐号及密码。当需要在天珣系统中创建其他治理帐号时，必须同时在windows系统帐号中建立相同的帐号和相同的密码。三权分立模式：三权分立模式中，天珣系统默认治理员帐号/密码为administrator/12345678，使用此帐号登录后，再行创建系统操作员帐号，并使用系统操作员帐号登录web治理界面进行策略配置。此模式与windows系统帐号无关。设置所用的SQLServer的连接的参数；请确认此处的SQLSERVER的IP地址和监听端口，以及正确的sa密码。（在安装SQLSERVER时，请千万记得使用混合认证，并设定sa密码，否则安装程序无法登录SQLSERVER数据库）填写创建数据库的用户的帐号。预置用户名是tx_user安装程序将提示您选择授权文件License.dat的路径。License.dat文件请与启明星辰联系猎取最新的授权文件。点击“扫瞄”选择授权文件的路径，选择有效的授权文件安装检查完成，点击“安装”进行快速安装部署；快速安装的安装完各组件之后，安装程序会自动运行客户端打包程序进行客户端安装包的制作；其中能够自行设置中心服务器地址，指定客户端的安装目录以及客户端的安装模式。总共可设置三种安装模式，以一般模式安装时会出现提示对话框，需由用户进行“确认用户许可”、“选择安装目录”等操作；以自动模式安装时会出现安装界面，不需要用户进行任何操作，客户端将自动安装至默认目录；以静默模式安装时，正常情况下客户端安装过程中可不能有任何提示，也可不能有安装界面出现，客户端将自动安装至默认目录，假如安装的是带防火墙模块的客户端则安装完毕后会有重新启动计算机的提示。此外该打包程序还提供了多种选择，用户可灵活选择客户端安装包是否包含802.1x交换机认证模块。讲明：打包客户端工具的使用以winrar软件为前提，在安装客户端打包工具前请确保操作系统中差不多安装有winrar软件。制作客户端包完成之后。关掉客户端打包工具程序。即弹出要求系统重启的界面。重启系统。现在快速安装部署天珣内网安全风险治理与审计系统差不多完成。安装完成后，请先检查%InstallFolder%\config\database目录的安全属性，确定该目录及目录下的文件能被System用户及从Web登录的治理员修改或者已给予everyone用户完全操纵权限。然后请进入服务操纵器，若系统差不多自动添加并运行“ESCenterServer”服务，则表明中心服务器差不多安装配置成功。在天珣内网安全风险治理与审计系统中心服务器的默认安装目录C:\ProgramFiles\Venustech\EndpointSecurity\ESServer中，Config目录是天珣内网安全风险治理与审计系统的Web治理站点主目录；Download目录是下载服务的根目录，用于存放天珣