启明星辰天珣实施方案.doc

启明星辰天珣实施方案启明星辰天珣实施方案 20132013 年年 2 2 月月 第 1 页 文档信息 文档名称启明星辰天珣实施方案(V6694) _20130306 保密级别公开文档版本编号V1.1 拟定人拟定日期 复审人复审日期 批准人批准日期 更改记录 日期修改章节类型*修改描述修改人 2011-3-31C模板建立张雷 2013-3-6M文档编写田雷 * 修改类型分为 C - CREATED M - MODIFIED D - DELETED 第 2 页 目 录 1 1项目概述项目概述.4 1.1项目背景.4 1.2建设目标.4 2 2项目管理项目管理.4 2.1项目组织.4 2.2分工界面.5 2.3实施计划.6 3 3项目实施项目实施.6 3.1基本网络架构.6 3.2实施需求.7 3.2.1设备需求.7 3.2.2网络需求.8 3.2.3人员需求.9 3.2.4策略需求.9 3.3系统部署示意.9 4 4实施步骤实施步骤.9 4.1确认实施环境.9 4.2到货验收.9 4.3安装调试.10 4.3.1服务器端安装.10 4.3.2基本配置.11 4.3.3客户端打包及分发.15 4.3.4客户端安装.16 4.3.5策略制定.17 4.3.6策略更新.20 4.4现场培训.21 4.5系统联调.22 4.6项目初验.22 4.7项目终验.22 5 5项目培训项目培训.22 第 3 页 5.1培训内容.22 5.2培训方式.23 5.3培训流程.23 5.4培训文档.24 5.5培训计划.24 5.6培训考核.24 6 6项目实施风险及常见问题项目实施风险及常见问题.26 6.1风险应对.26 6.2常见问题及解决方法.27 第 4 页 1项目概述 1.1 项目背景 随着 XX 信息化的不断发展，信息系统已具有比较大的规模，其核心业务对于信息 系统的依赖性越来越强，因此，新涌现出来的信息安全问题成为 XX 十分关注的焦点。 在过去几年中，XX 进行了大量的安全建设和投入，安全建设的主要内容是安全设备或 软件的采购、部署和管理，这些投入在过去有效的解决了某些局部的信息安全问题， 但仍存在一定的局限性。该项目是为了建立一个能够将业务系统、安全管理工作和安 全技术充分结合起来发挥他们总体效能的技术支撑平台。 。 。 1.2 建设目标 在 XXX 内网安装天珣内网管理系统，提供统一安全管理的功能。天珣内网管理系 统可配合安全管理运营中心系统，对相应监测到的数据进行相关的审计，为安全策略 的制定和完善提供参考；对严重的行为进行必要的报警响应，以便及时阻止恶意安全 事件的发生。为确保天珣内网管理系统的安全，将天珣内网管理系统的服务器部署在 安全管理域中。 2项目管理 2.1 项目组织 本项目的实施组织工作由 XX 领导组统一领导，项目领导组由科技司牵头成立，相 关单位领导作为组成成员，主要负责指导整个项目的实施工作；用户方项目实施组由 XX 具体负责，主要组织、协调项目实施工作。本项目中天珣内网管理产品的实施工作 主要由厂商实施小组负责，用户方项目实施组配合。 第 5 页 项目领导小组成员如下： 职职 责责姓姓 名名单单 位位职职 务务电电 话话 用户方项目实施组： 职职 责责姓姓 名名单单 位位电电 话话手手 机机 厂商项目实施组： 厂商名称厂商名称姓姓 名名职职 责责手手 机机 2.2 分工界面 本项目实施过程中有用户方和厂商参与该项目。把整个项目实施过程细分成多个 子任务，明确每一项子任务中各方的分工、职责。如下表所示： 工作内容工作内容厂商厂商用户用户 实施环境调查 PA 货品到货验收 PA 安装管理控制中心 PA 客户端软件安装 PA 审计策略配置和调试 PA 第 6 页 产品现场培训 PA 项目测试 PA P主要责任、A协助完成 2.3 实施计划 项目实施工作计划如下(根据具体情况写): 时间时间工作内容工作内容 实施环境调查 货品到货验收 网络布线 硬件设备上架 硬件设备接入网络 安装管理控制中心 设备配置和调试 审计策略配置和调试 产品现场培训 项目测试 项目验收 3项目实施 3.1 基本网络架构 网络拓扑情况说明 3.2 实施需求 3.2.1 设备需求 第 7 页 客户端（客户端（ClientsClients） ：客户端软件(也被称 CC)可以安装在 Windows 32 位系统之 上，包括 Windows2000 SP4, Windows Server 2003 SP1 和 Windows XP SP2, Windows XP SP3，Windows Vista, Windows Server 2008，Windows 7 数据库数据库：支持 32 位 Microsoft SQL Server 2000，32/64 位 Microsoft SQL Server 2005，支持 32 位 Microsoft SQL Server 2008 中心服务器（中心服务器（ServerServer）：）：是整个策略架构的管理中心、策略中心。必须运行 2003 SERVER SP1 (32/64) 或 2008 Server SP1 (32/64)的平台上。Windows 64 位服务器 对应用程序的支持不是特别完善，可能中心服务器运行过程中会出现不可预测的问题。 中心服务器通过 web 方式管理，要求安装 IIS 服务器。其对硬件要求的高低应根据所 管理的客户端数量的多少来定，其中，服务器安装要求的最低配置如下： 硬件： CPUPIII 1G 或以上 Memory1G 或以上 硬盘40G 空闲 软件： Windows 2003 Server SP1 以上 Internet Information Services 6.0 以上 Dot Net Framework2.0 MDAC 2.7 或以上 中心服务器、资产服务器和攻击告警服务器需要安装 SQL Server 数据库，可根据 现场环境选择独立安装或集中安装于中心服务器，若安装于中心服务器，请确保中心 服务器有足够的内存和硬盘空间。建议将数据库独立安装，这样既不会因为数据库读 写频繁影响中心服务器正常运行，也不会因为中心服务器负载过重影响数据库读写。 3.2.2 网络需求 部署中心服务器 1 台，需要以下的网络环境支持： IIPIP 地址应用地址应用设备数量设备数量IPIP 数量数量IPIP 地址及说明地址及说明 中心服务器 11 第 8 页 数据库 11 防火墙端口：防火墙端口：在中心服务器与客户端等产品组件之间需要打开相应的通讯端口， 保证通信畅通，具体见下表： 类类 别别 源源源端口源端口目标目标目标端口目标端口功能功能协议协议 中心服务器 any 客户端 7891 主动下发策略 UDP 中心服务器 any 客户端 7891 策略预检查 UDP 中心服务器 any 本地服务器 7892 主动同步服务器策略 TCP 中心服务器 any 策略网关代理 7893 同步代理策略 UDP 中心服务器 any radius 服务器 7897 更新 radius 策略 UDP 补丁同步服务器 any 外网补丁服务器 8800/80 同步补丁 TCP 策略网关代理 any 中心服务器 7890 获取代理策略 TCP radius 服务器 any 中心服务器 7890 获取 radius 策略 TCP 策略网关 any 策略网关代理 7893 拦截访问，通知代理 TCP 策略网关代理 any 客户端 7891 发送检查请求 UDP radius 服务器 any 交换机 1812-1813 发送认证结果 UDP 交换机 any radius 服务器 1812-1813 转发认证请求 UDP 交换机 any 客户端 1645-1646 下发 ACL UDP radius 服务器 any 域服务器 443 转发用户认证 TCP 服 务 器 类 中心服务器 anyserver monitor7896 收集系统组件运行状态 TCP 客户端 any 中心服务器 7890 心跳 UDP 客户端 any 中心服务器 7890 取策略 TCP 客户端 any 中心服务器 7898 SSL 取策略 TCP 客户端 any 中心服务器 7890;7898 客户端注册 TCP 客户端 any 中心服务器 8833 web 管理界面 TCP 客户端 any 软件分发服务器 7901 取分发任务 TCP 客户端 any 软件分发服务器 7902 取分发文件 TCP 客户端 any 资产服务器 7891 上报资产 TCP 客户端 any 攻击告警服务器 7899 上报攻击告警 UDP 客户端 any 补丁同步服务器 8833 下载补丁 TCP 客户端 any hold 管理员 5500;5400 远程协助数据流 TCP 客户端 any 启用 EOU 认证的设备 21862 进行认证 UDP 客 户 端 类 客户端 any 按需支援服务器 7895 发起支援请求 TCP USGany 客户端 1080 发送拦截页面 TCP 客户端 anyUSG1080 接收拦截页面 TCP UTM 类 USGany 策略网关代理 7893 拦截访问，通知代理 TCP 第 9 页 3.2.3 人员需求 由于此次施工需要用户方网管人员、安全管理人员和其他相关人员的协调配合。 3.2.4 策略需求 满足客户功能的策略列表。 3.3 系统部署示意 4实施步骤 4.1 确认实施环境 在项目开始实施之前，需要用户技术人员配合实施人员对实施的环境进行检查， 确认是否具备实施条件。 4.2 到货验收 根据合同要求，需要对送达现场的产品进行到货验收，保证送达产品符合合同要 求。产品在接收后，保持外包装的完整性。在厂商的工程师到达现场后，共同进行产 品的到货验收。设备到货验收标准如下： 开箱前，检查产品外包装是否良好 产品型号是否正确 产品数量是否正确 产品配件是否齐全 产品版本是否正确 4.3 安装调试 在本项目实施过程中，安装调试工作的主要内容包括 第 10 页 4.3.1 服务器端安装 对中小应用环境，服务器端安装推荐使用快速安装。快速安装默认安装服务器的 以下组件：中心策略服务器、资产服务器、中心同步服务器、天珣服务状态监控服务、 远程桌面服务器、攻击告警服务器、RADIUS 服务器、策略网关代理、中性/DNS 策略 网关、软件分发服务器。 快速安装选项的目的是一次安装所有服务器相关的组件及 DNS 准入控制组件，如 果部署在网络出口，则可利用 DNS 准入达到即插即用的效果。安装主要步骤如下： 1. 安装程序检测系统环境。 系统必须安装 “MDAC2.7 或以上版本”,“IIS”和“Dot Net Framework 2.或者 以上版本” 。如果系统还未安装上述的系统组件，则不能进行下一步操作。可以点击 旁边的“安装”按钮安装所需的系统组件。 系统组件所用的 SQL Server 可以选择连接到本机或者其它机器的 SQL Server。 也可以选择点击检测界面 SQL Server 旁边的“安装”按钮，运行安装光盘带的里的 SQL SERVER2005 EXPRESS 版本。 （注意：SQL Server Express 2005 是由微软公司开 发的 SQL Server 2005 的缩减版，单个数据库大小限制为 4G） 在安装 SQL SERVER 时，必须使用混合认证，并设定 sa 密码，否则安装程序无法 登录 SQL SERVER 数据库。 2. 安装过程中，系统会提示用户选择安装的组件的路径，并需要管理员指定中 心服务器 IP 地址、初始管理网段地址等信息。 3. 选择使用的管理模式 第 11 页 建议选择三权分立模式：三权分立模式中，天珣系统默认管理员帐号/密码为 administrator/12345678，使用此帐号登录后，再创建系统操作员帐号，并使用系统 操作员帐号登录 web 管理界面进行策略配置。此模式与 windows 系统帐号无关。 4. 安装程序将提示您选择授权文件 License.dat 的路径。点击“浏览”选择授 权文件的路径，选择有效的授权文件。 5. 快速安装在安装完各组件之后，安装程序会自动运行客户端打包程序进行客 户端安装包的制作。说明：打包客户端工具的使用以 winrar 软件为前提，在安装客 户端打包工具前请确保操作系统中已经安装有 winrar 软件。 6. 提示重启时，重启操作系统。 7. 安装完后的具体检查项，请参见产品安装配置手册中快速安装部署一节。 4.3.2 基本配置 1. 使用默认管理员帐号登录 三权分立模式下，使用 administrator 默认帐号，默认密码为 12345678，登录 天珣内网管理系统（http:/服务器 IP:8833） 。 第 12 页 2. 创建系统操作员 点击“系统操作员”菜单，并点击“添加” 。只有在创建了一个系统操作员之后， 使用系统操作员登录才能正常进入策略配置界面。 由帐号管理员建立的系统操作员，分为全局管理员和权限受限的普通管理员。全 局管理员具有添加策略服务器和管理网段等一些普通管理员不具备的权限。 3. 使用新建的系统操作员登录天珣内网管理系统（http:/服务器 IP:8833） 4. 修改全局参数 第 13 页 控制设置天珣内网安全风险管理与审计系统服务器和客户端的一些开关性质的内 容和最基本的参数，此处的参数决定策略系统的运行方式和后台交互的频度，以及全 局范围内的默认设置。 说明：一般初步测试时，只需更改如下两项的参数，其余参数可按需修改或保持 默认值。 客户端启动后发送报表时间：这个时间决定了客户端最少多长时间向 Primary Server 发送一次报表（如果需要发送） 。默认时间为 15 分钟。一般在测试中可设置为 稍短的时间，例如 2 分钟，这样可尽快看到测试效果。 安全防护相关设置：在访问控制策略中，如果没有指定操作类型，则以此处设定 的操作类型为准，一般设为放行。 5. 添加策略服务器 天珣内网管理系统支持分布式多服务器架构。天珣内网管理系统需要一个中心服 务器，也只需一个中心服务器。同时也至少需要一个本地服务器，本地服务器可由中 心服务器兼任。所以中心服务器同时也是一个本地服务器。当您配置中心服务器时， 同时也是在配置其兼任的本地服务器，请在其“中心服务器 IP 地址”栏位上填写自 己的 IP 地址。 （快速安装模式和自定义安装中心服务器都已经默认配置中心策略服务 器的参数） 。 第 14 页 6. 添加管理网段 管理网段一般配置一个大的网段，包括一个企业园区，或一个办公区域；管理网 段可以包含很多小的网段，比如开发部的子网段等，这些小网段共享相同的本地服务 器，下载服务器，补丁安装策略。例如：0-52 点击管理网段设置，显示所有的 server，用户选中一个 server，进入该 server 的管理网段的管理。先显示这个 server 的所有的管理网段。 权限：普通用户只能修改自己所管理的管理网段的下载服务器信息，其他信息由 全局管理员进行配置。 点击添加可添加不同的管理网段。可以为不同的管理网段指定不同的下载服务器， 默认的下载服务器位于 Primary Server 上的 http:/localserver:8833/download/。 7. 添加 IP 组 IP 是管理网段的一个子网段，天珣内网管理系统的策略作用对象分别为 IP 地址 和用户，IP 组是 IP 地址策略作用的最小单位。点击“IP 组” ，用户可选择按照服务 器及管理网段分类查看 IP 组。每个用户可以添加 IP 组，修改、删除自己所管理的 IP 组。 点击“添加” ，添加 IP 组。 填入 IP 组的名称和 IP 地址。选择所属的服务器和管理网段。 第 15 页 排除的 IP 地址：填写在 IP 地址段中不需要包含的 IP 地址。 工作时间：选择已设定好的工作时间范围来定义何时为工作时间何时为下班时间。 本 IP 组应用的策略：通过查看及编辑按钮进行此 IP 组的相应策略配置。若此 IP 组还没有设置策略的话，则会在此处提示用户“还没有应用策略” 。 4.3.3 客户端打包及分发 客户端打包总共可设置三种安装模式，以普通模式安装时会出现提示对话框，需 由用户进行“确认用户许可” 、 “选择安装目录”等操作；以自动模式安装时会出现 安装界面，但不需要用户进行任何操作，客户端将自动安装至默认目录；以静默模式 安装时，正常情况下客户端安装过程中不会有任何提示，客户端将自动安装至默认目 录，如果安装的是带防火墙模块的客户端则安装完毕后会有重新启动计算机的提示。 此外该打包程序还提供了多种选择，用户可灵活选择客户端安装包是否包含 802.1x 交换机认证模块。 通过客户端打包程序生成的客户端安装包放在这个目录之下： C:ProgramFilesVenustechEndpoint SecurityESServerCCClientOutputClientSetup.exe； 第 16 页 点击“将客户端安装包复制到中心服务器的下载目录” ，会将打包好的客户端程 序复制到 C:ProgramFilesVenustechEndpointSecurityESServerDownload 目录 其中客户端安装包：ClientSetup.exe，可以通过天珣独有的应用准入进行分发 和终端用户自助安装（具体实现配置，请参考用户手册应用准入相关的内容） 。管理 员也可以选择其他传统的 U 盘、邮件分发、网络共享等方式，分发到终端进行手工安 装。 4.3.4 客户端安装 客户端机器可通过 WEB 方式连到天珣系统服务器(http:/服务器 IP:8833/download/)，下载天珣客户端安装程序进行安装。 当运行客户端的 Setup 程序，按照提示一步步完成客户端的安装。安装完成后需 重新启动计算机即可，期间终端用户无须进行任何其他设置，客户端的配置都将自动 完成。 在默认情况下，安装程序已预先设好了一个中心服务器的地址，作为客户端第一 次取策略的地址。第一次取策略成功后，系统会自动取得 Primary 以及 Secondary 服 务器的地址。以后客户端取策略时将按照 Primary-Secondary-CenterServer 的顺 序去尝试连接 ES Server，客户端将从第一个连接成功的 Server 上取得策略，并将取 得的策略在本地保持一个缓存备份。如果全部不能连接成功，则从本地缓存取得上次 保存的策略。 如果预先设置的 Center Server 的地址不是正确的地址，右击控制程序的图标， 第 17 页 点击配置，在中心服务器地址文本框中输入正确的地址，确定后重新启动服务程序。 4.3.5 策略制定 1. 安全基线 安全基线是每一台受控终端必须满足的最基本的安全规范。只有满足安全基线的 终端才能正常接入网络，才会被认为是网络内的合格终端，否则，客户端将会给出提 示要求修复。订制安全基线是通过以下几个策略来实现的：补丁策略，进程策略，软 件安装策略，防病毒软件策略，终端安全加固策略，保留 IP 地址，屏幕保护策略等。 “补丁强制策略补丁强制策略”：强制要求客户端必须打指定补丁，确保客户端的操作系统的 漏洞及时修复。比如打一个比较大的 ServicePack 或单个的补丁。 “进程管理策略进程管理策略”：对客户端运行的软件和进程进行限制。包括红名单，黑名单 和白名单。红名单是必须运行的进程列表，黑名单是不能运行的进程列表，白名单是 允许运行的进程列表。 “软件安装策略软件安装策略”：软件安装管理可以制定软件安装的红、黑、白名单，确定用 户客户端必须安装的软件，禁止非法安装未经许可的应用软件，规定只能安装的软件 清单。 “Windows“Windows 服务管理服务管理”：Windows 服务管理能够对用户客户端的服务进行启用、禁 第 18 页 用管理；对于已经启用的服务可以通过策略使其禁用，对于已经禁用的服务也可以配 置相应的策略使其启用。需要注意一点，具有依存关系的两个服务或者是多个服务， 若要禁用或启用其中的一个时，必须同时配置其他服务的禁用和启用，策略才能生效。 “防病毒软件策略防病毒软件策略”： 通过检查客户端安装的杀毒软件的病毒码，对其所安装的 防病毒软件的病毒库更新进行监控。目前支持的防病毒软件品牌包括 Symantec，趋势， 瑞星，McAfee，微软等。 “终端安全加固策略终端安全加固策略”：通过修改注册表和组策略的方式，强制使不安全的客户 端满足加固策略要求。例如检查是否加入域，强制禁用 guest 帐号，注册表保护等。 “保留保留 IPIP 地址地址”： 是需要受保护的重要服务或系统的 IP 地址，通过在天珣设置 “保留 IP 地址”策略，确保终端不能将自己的 IP 地址私自修改为受保护的 IP 地址， 从而避免 IP 冲突造成的严重后果。如果确实有中断尝试修改使用保留 IP 地址，将会 被提示无法修改并用回原 IP。 “屏幕保护策略屏幕保护策略”： 通过定制和下发屏幕保护策略，自动修改客户端的屏保等待 时间及启用时间等信息。 “共享资源管理共享资源管理”： 设定策略对终端共享资源控制和管理，此功能限制资源的 随意共享和使用。通过定制策略取消已经共享的资源，并禁止 windows 共享功能。 “密码保护策略密码保护策略”： 可以通过配置密码保护策略，下发到终端，当终端密码过 期时，此策略会影响到新密码的长度和有效期。 2. 其它策略 其它策略包括准入控制、安全防护、补丁管理、非法外联、移动存储管理、终端 审计、桌面运维。 “准入控制准入控制”：天珣具备业界最完善的计算机终端准入控制机制，从终端到网络 层，再到应用层和边界层，提供了客户端准入、网络准入和应用准入等多种准入控制 手段，确保只有通过身份验证和安全状态检查的计算机终端才能接入内网并进行受控 访问，对非法的或存在安全隐患的计算机终端进行隔离和修复。 “安全防护安全防护”：通过天珣内置的进程级访问控制内核，可以实现针对终端基于进 程、端口或协议的双向访问的最细粒度的访问控制；有效管理终端带宽，并通过监控 TCP 及 UDP 的连接，对异常流量进行控制，对 ARP 欺骗进行有效的控制。 第 19 页 “补丁管理补丁管理”：是由天珣策略服务器提供的补丁管理方案，可以通过“在线补丁 源”或“WSUS 补丁源”为各终端补丁修复。 “非法外联非法外联”：分五个层面：“非法外联监控” 、 “多网卡限制” 、 “拨号限制” 、 “外设管理”及“异常路由审计” 。 “移动存储管理移动存储管理”：移动存储管理与外设管理共同对移动存储设备进行控制。未 启用“移动存储”管理的网段使用移动存储设备不受限制。对启用“移动存储”管理 的网段，设置基本的参数。对于每一个移动存储设备的认证和授权，在“设备授权” -“移动存储设备授权”中设置。 “终端审计终端审计”：包括文件审计及控制：关于系统磁盘资源，网络资源相关的审计 策略配置和各资源内容控制策略的配置。打印审计及控制：可以对共享打印机、网络 打印机等行为控制或审计，但不审计打印内容，审计的信息包括：打印机名称、文档 名称、IP 地址、MAC 地址、主机名、用户名、页数和打印时间。网站审计及控制：即 基于 HTTP 原语，对 URL 信息做控制与审计。可以对 URL 的关键字控制与审计，但不 能对 WEB 页面内容做审计。可以控制 WEB 代理的行为，也可以对合法 WEB 代理做例外 排除。FTP 审计及控制：对是否可以进行 FTP 协议的访问进行控制，并细化到端口及 服务器列表。文件涉密信息审计：对特定文档类型中的关键字进行审计，关键字支持 多种组合方式。应用程序使用审计：对进程的执行情况进行审计。刻录审计：是否运 行刻录，并对刻录时刻录的文件名进行审计。用户权限变更审计：windows 本地账号 变更审计。 “桌面运维桌面运维”：经常用于终端故障的排除，可以确认网络中发包过多的终端有哪 些进程，发起了多少个网络连接，如果发现问题进程则强行杀除该进程以及对客户端 进行软件分发等操作。 “认证管理认证管理”：包含第三方 CA 机构和天珣 CA 机构两钟方式。第三方 CA 机构页面 用于实现导入第三方 CA 机构根证书即其相关信息的功能，可用于在登录天珣用户控 制的时候验证该 CA 机构颁发的用户证书。天珣 CA 机构是天珣系统自带轻量级的 CA， 支持证书的生成、颁发，并且可以将证书颁发到 UKEY 介质中。 策略的详细配置步骤请参见天珣用户手册。 3. 项目中需要配置的安全策略如下表所示：（根据实际情况填写） 编号编号目标目标目的目的策略策略报警方式报警方式 第 20 页 1三员管理进行人员三员管理 系统安装时设置三员管 理方式 审计日志 2 计算机外设 控制 可以控制终端外设设 备 禁止外设包括软驱、串 口、以及 USB 接口等所 挂接的设备 3 网络准入控 制 防止总局以外的设备 接入网内 天珣 web 管理平台下发 网络准入策略、在交换 机配置 802.1x 认证 安全日志 4离线控制 如果用户私自离开网 络，软件防火墙自动 启用，阻止网口通讯 用户终端离开 XX 网， 终端软件防火墙自动增 加策略，只允许此终端 访问 网段 5 屏幕保护控 制 当用户 5 分钟没有对 PC 有任何操作时，会 自动锁定 当系统 5 分钟内没有操 作，启动屏保程序，用 户需要通过 USK key 重 新认证进入系统 6 文件输入输 出监控与审 计 审计用户操作文件 对终端用户、时间、IP 地址、文件名、目录等 信息进行监控和审计。 并把此审计信息上报到 安全管理系统，安全管 理系统产生报警信息 安全日志 7 操作行为监 控和审计 监控文件的创建、修 改、更名、移动、删 除等，数据拷贝行为 监控文件的创建、修改、 更名、移动、删除等， 数据拷贝行为，管理员 可以在服务器上审查， 立即向安全管理人员发 送警告信息，进行重点 记录。审计内容：包括 操作时间、操作者、文 件名称、文件类型、操 作类型等 安全日志 8 终端硬件变 化 监控终端硬件变化 终端安装天珣客户端后 通过查询可以检查终端 硬件变化 安全日志 4.3.6 策略更新 管理员配置了新的安全策略，并要求所有客户端均需及时同步，则应当及时更新 CC（天珣客户端）策略，步骤如下： 第 21 页 1. 增加策略版本,点击“增加策略版本”如下图： 2. 选择更新 CC 策略页面，选择管理网段名称，如下图： 3. 点击“更新 CC 策略” ，如下图： 4.4 现场培训 安装调试结束后，厂商工程师为用户技术人员培训本次项目中涉及产品的原理、 功能、日常维护。通过培训让用户的管理员了解产品的相关知识，更好的与实施工程 师共同制定合理的安全策略。 4.5 系统联调 各地市节点完成安装调试后，进行与所在省中心进行连调 第 22 页 4.6 项目初验 用户和实施工程师进行工程初验工作，主要工作内容有：产品功能验收、文档签 署。 验收标准： 产品功能测试是否正常； 系统运行是否正常。 文档要求：根据初验结果填写初验报告 4.7 项目终验 在试运行结束后进行项目终验，验收标准： 试运行期间系统运行是否正常； 设置的安全策略是否发挥了的作用。 5项目培训 (根据项目实际情况编写或去掉) 5.1 培训内容 启明星辰公司提供如下安全培训的内容，并列举了安全培训的培训目标，供项目 选择： 1) 漏洞扫描技术培训 理解漏洞扫描原理，明确操作系统漏洞和网络协议漏洞产生原因，能处理 UNIX.NT 系统漏洞带来的安全威胁 2) 应急响应与灾难恢复培训 了解应急响应的背景，掌握保持业务持续的实施方法，了解应急响应体系的建立 及执行流程和相关案例。掌握灾难恢复的方法及等级划分 3) 黑客攻击与渗透测试培训 第 23 页 了解如何模拟黑客使用的攻击技术和漏洞发现技术，对目标系统的安全作深入的 探测，发现系统最脆弱的环节；了解网络中所面临的问题。 4) Web 应用安全培训 了解 WEB 安全漏洞；了解典型的针对 WEB 安全漏洞的攻击，例如 SQL 注入攻击、 跨站脚本攻击（XSS）等。 5) 信息安全管理培训 严格来讲，完整的“信息安全”概念应包括信息的保密性、完整性、可用性三大 内容. 对一个机构、一个企业而言,要达到这三大要求，先进的信息安全技术是必须 的,但要保障信息安全，仅仅依靠技术上的优势是远远不够的。只有建立一套科学的 信息安全管理体系，才能从管理上、程序上确保信息的安全。通过一个科学的信息安 全管理体系的运转，使风险的发生概率和结果降低到可接受的水平，并采取措施保证 业务不会以风险的发生而中断。为了使用户相关人员能够掌握信息安全管理体系的建 立方法，我们将结合我们长期的安全工程经验来讲述如何建立一套行之有效的信息安 全管理体系。 5.2 培训方式 启明星辰将根据客户的需求，指定安全服务实践经验丰富安全专家为客户提供安 全培训服务。特别注重在项目“交钥匙”前的一对一培训，实现项目知识的顺利转移 与平滑过渡。 5.3 培训流程 在用户提出培训申请后，启明星辰项目负责人将根据与客户沟通的结果制定安全 培训方案、选择培训教材，并提交给用户负责人审核，审核通过后启明星辰将安排进 行安全培训，并进行安全培训的考核。 5.4 培训文档 启明星辰将根据用户的需求以及沟通交流的结果制定安全培训计划 ，并为客 户提供安全培训教材供审核，在培训授课结束后对学员进行考核，最终整理、提 第 24 页 交安全培训考核结果 。 安全培训提交的文档包括： 安全培训计划 安全培训教材 安全培训考核结果 5.5 培训计划 项目阶段内容/任务完成时间 启动准备阶段实施方法培训1 天 调研分析阶段产品基础培训1 天 接口开发与实施阶段接口开发数据结构定义培训 1 天 系统运行维护培训及整体安全培训5 天 试运行及验收关闭阶段 项目移交培训1 天 5.6 培训考核 每次培训前，参加培训人员应提前到培训地点，并签到，签到表将成为学员的考 勤记录。 每次培训完成后，参加培训人员应按附件一格式认真填写培训反馈表，以保证培 训的效果，启明星辰将根据当天的培训反馈表统计的结果进行汇总分析，调整后续的 培训内容或方式，以保证培训质量，达到最优的培训效果。 培训负责人员会将签到表、培训反馈表、学员考试成绩汇总，提交给即刻搜索， 作为培训的验收依据。 培训考核表 课程设置是否合理？很合理 还可以 一般 不合理 第 25 页 如不合理，建议： 很好 还可以 一般 很不得当 讲解方式是否得当？ 如不得当，建议： 很满意 还可以 一般 不满意 对辅导是否满意？ 其它建议： 很满意 还可以 一般 不满意 对上机的环境是否满意？ 如不满意,希望： 是否有其它建议？ 如每期的人数，培训的学时，培训的新的教学方式等等 考试 很满意 还可以 一般 不满意 对考试环境是否满意？ 如不满意，建议： 很简单 还可以 一般 很难 试题难易程度 建议难度加深或降低： 第 26 页 对本次培训的组织 很满意 还可以 一般 不满意 对本次培训的组织方式 如不满意，建议： 很满意 还可以 一般 不满意 对日常服务是否满意如不满意，建议： 总体评价 建议和希望 6项目实施风险及常见问题 6.1 风险应对 项目中可能存在的风险及应对措施： 风险事例风险事例应对措施应对措施 产品没有按时到货提前协商到货日期并关注产品发货 由于技术问题引起的产品功能异常 提供常见问题处理办法，同时工程师