网络准入控制和桌面安全管理系统整体解决方案建议书.doc

网络准入控制和桌面安全管理系统整体解决方案建议书网络准入控制和桌面安全管理系统整体解决方案建议书网络准入控制和桌面安全管理系统方案建议目 录1.建设网络准入控制和桌面安全管理系统的必要性42.解决方案总体设计思路方案设计原则52.1.方案设计原则52.2.统一的集成化管理平台62.3.支持多厂商/多平台73.UniAccessTM终端安全管理系统架构73.1.UniAccessTM的终端安全管理总体思路73.2.UniAccessTM的安全接入管理系统架构83.3.UniAccessTM安全接入管理系统主要功能简介114.UniAccessTM网络准入控制介绍及在XXXX部署建议124.1.UniAccessTM网络准入控制技术总体介绍124.1.1.准入控制系统部署后终端接入网络的流程134.1.2.准入控制系统部署后的影响134.1.3.UniAccessTM网络准入控制技术154.2.XXXX网络准入控制系统部署建议184.2.1.准入控制系统总体部署建议184.2.2.总部、地区总部网络准入控制建议184.2.3.中小型分支机构准入控制建议215.集中式桌面安全综合管理235.1.资产/IT设备统计235.1.1.资产信息自动采集235.1.2.设备快速定位（交换机端口定位）245.1.3.客户端设备注册255.1.4.客户端代理反卸载及管理员联机卸载275.1.5.未安装杀毒软件客户端报警275.1.6.配置变更管理305.1.7.未注册设备及注册程序卸载告警335.1.8.客户端组件在线升级345.1.9.Web方式客户端注册355.2.安全策略管理375.2.1.管理员权限管理和分组375.2.2.客户端流量异常管理控制385.2.3.客户端流量明细统计395.2.4.客户端安全漏洞检查405.2.5.软件许可监控（黑白名单）415.2.6.违规客户端远程阻断435.2.7.非授权外连435.2.8.终端的网络访问行为审计与控制445.2.9.支持穿透客户端防火墙445.2.10.报表和数据备份445.3.防止文件非法外传控制465.3.1.U盘/软盘控制465.3.2.MSN/QQ文件外传控制465.3.3.电子邮件方式外传控制475.3.4.WebMail方式外传控制475.3.5.文件共享方式外传控制475.3.6.离线控制475.4.补丁分发管理485.4.1.补丁断点续传485.4.2.补丁测试485.4.3.客户端用户手工安装补丁495.4.4.补丁自动分发安装505.5.软件分发管理515.5.1.断点续传515.5.2.分发模式525.5.3.软件分发过程监控525.6.远程协助与维护535.7.客户机软件部署545.7.1.UniAccessTM的客户机软件部署技术545.7.2.客户机软件部署建议556.服务器配置与系统安装、部署建议566.1.UniAccessTM安全接入管理系统的部署优势566.2.服务器部署建议566.2.1.UniAccessTM服务器硬件（1台，必选项目）586.2.2.Radius服务器（2台，必选1台）586.2.3.补丁下载服务器（1台，可选）596.2.4.探测器(1台，可选)596.3.UniAccessTM Agent的特点及其部署方法596.4.系统部署时间61第 71 页 共 71 页1. 建设网络准入控制和桌面安全管理系统的必要性随着证券行业信息化的飞速发展，业务和应用完全依赖于计算机网络和计算机终端。但是计算机病毒、黑客木马、间谍件进入桌面计算机，在计算机上安装非法软件，私自拨号上网，外来电脑接入XXXX计算机网络，这些行为非常容易导致桌面计算机和计算机网络系统的瘫痪。尤其是，最近几年来，网络安全威胁愈演愈烈，网络攻击工具越来越多样，越来越容易获得，所需要的技能越来越低，只需下载一个黑客程序就可以进行攻击，漏洞利用的时间越来越短。攻击的目的性，过去纯粹为了比技术，现在商业目的越来越明显。下面有一组数据，说明当前网络安全的严峻形势：据公安部2005年度针对1.2万家信息网络使用单位，涉及政府机关、电信广电、能源交通、金融证券、教育科研、商业和制造业等领域的全国信息网络安全状况暨计算机病毒疫情调查结果显示：l 2005年，感染过计算机病毒的用户数占被调查总数的80%l 多次感染计算机病毒的比率为54.7%l 2005年中国有将近90%的用户遭受间谍软件的袭击另根据中国国家计算机网络应急技术处理协调中心公布的数据：2005年6月9月国内发现较大规模僵尸网络59个，平均每天有3万台电脑被控制。XXXX计算机数量多，特别是员工个人使用的计算机，管理难度很大。计算机感染病毒，计算机被安装木马，部分员工使用BT下载工具等情况时有发生。由于难以发现有问题的电脑，难以对这些电脑进行定位，这些问题一旦发生，往往故障排查的时间非常长。如果同时有多台计算机感染网络病毒或者进行非法操作，非常容易导致网络拥塞，导致我单位的业务无法正常开展。由于缺乏技术和管理手段，许多管理规定也难以执行。例如：在个人使用的计算机内安装BT下载软件，安装网络游戏软件，私自更改电脑的安全设置，将外部的电脑接入单位的内部网络等行为。这些行为违反了单位的管理规定，也影响的计算机网络的安全性，如果情况严重可能会导致网络瘫痪。由于桌面计算机的数量非常多，地理位置分散，给日常的管理维护带来了很大的困难，这些困难包括：l 难以对计算机的资产、配置进行统计；l 由于补丁、漏洞、升级等问题频繁，维护工作量很大；l 计算机的使用人员技能不一，有些很小的问题都需要维护人员现场解决，降低了维护的效率；l 无法对计算机进行批量维护，例如：批量安装软件、批量打补丁、批量设置计算机的安全设置。建立网络准入控制和桌面安全管理系统的意义在于：解决大批量的计算机安全管理问题。具体来说，这些问题包括：l 实现对网络内部所有的计算机接入网络进行准入控制，防止外来电脑或者不符合规定的电脑接入内部网络中；l 实时、动态掌握网络整体安全状况，建立实时安全评估体系，掌握内部各种接入设备（包括网络设备、安全设备、服务器、桌面电脑）的安全运行状况，为领导决策、部署安全工作任务提供支持，为安全维护工程师的提供管理维护便利；l 建立桌面电脑的集中式快速安全管理体系，对数量众多，最难以管理、监控的桌面电脑建立完善的安全评估、安全加固、集中维护体系，以提高桌面电脑的安全性及降低桌面电脑的日常维护工作量；l 确保单位的计算机使用制度得到落实，例如：拨号上网，使用外部邮箱，访问非法网站，将单位机密COPY、发送文件到外部等；l 资产管理和控制，实现对所有个人用计算机的资产管理和控制。2. 解决方案总体设计思路方案设计原则2.1. 方案设计原则首先，某认为有必要参考国际、国内的安全管理经验，来设计XXXX的“网络准入控制与终端安全管理系统”解决方案。BS7799作为英国政府颁发的一项信息系统安全管理规范，目前已经成为全球公认的安全管理最佳实践，成为全国大型机构在设计、管理信息系统安全时的实践指南。BS7799认为，设计信息安全系统时，必须掌握以下安全原则：p 相对安全原则 没有100%的信息安全，安全是相对的，在安全保护方面投入的资源是有限的 保护的目的是要使信息资产得以有效利用，不能为了保护而过度限制对信息资产的使用p 分级/分组保护原则 对信息系统分类，不同对象定义不同的安全级别 首先要保障安全级别高的对象p 全局性原则 解决安全问题不只是一个技术问题 要从组织、流程、管理上予以整体考虑、解决在设计XXXX“网络准入控制与终端安全管理系统”解决方案时，非常有必要参考BS7799中的有关重要安全原则。BS7799中，除了安全原则之外，给出了许多非常细致的安全管理指导规范。在BS7799中有一个非常有名的安全模型，称为PDCA安全模型。PDCA安全模型的核心思想是：信息系统的安全需求是不断变化的，要使得信息系统的安全能够满足业务需要，必须建立动态的“计划、设计和部署、监控评估、改进提高”管理方法，持续不断地改进信息系统的安全性。以下是图 1 PDCA安全模型。图 1 PDCA安全模型某认为，XXXX的终端安全管理，也将是一个持续、动态、不断改进的过程，UniAccessTM安全接入管理系统将为XXXX提供统一的、集成化的平台和工具，帮助XXXX对其终端进行统一的安全控制、安全评估、安全审计及安全改进策略部署。2.2. 统一的集成化管理平台XXXX的网络准入控制与终端安全管理系统必须提供统一的、集成化管理平台。解决方案要向IT系统管理员提供一个统一的登录入口，有整体的终端安全视图，呈现整个计算机网络系统中所有终端设备的安全运行状况。管理员不仅可以看到终端安全的运行状况，终端的安全设置，也能够看到终端的软件配置、硬件配置、终端的物理位置等信息。通过统一的集成化的管理平台，管理员可以完成所有与终端安全管理维护相关的各种任务，具体包括：l 网络准入控制管理；l 设备快速定位；l 终端资产管理；l 终端的软件分发；l 终端安全补丁管理；l 终端的远程管理和维护；l 终端安全策略设置，包括：主机安全漏洞策略、防病毒安全策略、非法外联策略、网络访问审计策略等的设置。统一的集成化管理平台对管理员的各种操作，应提供审计功能，以备事后审计。2.3. 支持多厂商/多平台解决方案设计的系统要能够实现对主流厂商的网络设备、多种桌面操作系统的支持，是一个采用国际、国家或者行业标准的开放系统，以便将来的网络扩容、系统升级。3. UniAccessTM终端安全管理系统架构3.1. UniAccessTM的终端安全管理总体思路我们建议XXXX选择某公司研发的UniAccessTM安全接入管理产品作为XXXX的网络准入控制与终端安全管理系统。UniAccessTM安全接入管理系统对电脑终端进行安全管理的总体思路是：首先，通过网络准入控制技术，确保接入网络的电脑终端符合如下要求：1） 必须安装Agent，如果是未安装Agent的电脑终端接入网络，其打开WEB浏览器访问任何Web site时，将被重定向到管理员指定的一个页面，提醒其安装Agent。不安装Agent的电脑将无法访问内部网络（特殊电脑和访客电脑可以例外）。2） 必须符合网络接入安全管理规定，例如：拥有合法的访问帐号、安装了指定的防病毒软件、安装了指定的操作系统补丁等。如果不符合管理规定，将拒绝其接入，或者通过网络对该电脑进行自动隔离，并且指引其进行安全修复。然后，对安装了Agent的电脑终端，进行进一步的管理控制，包括：1） 安全设置检查、加固，非法操作的管理、限制2） 防止文件非法外传(U盘/软盘/共享/E-mail/QQ/MSN等)3） 电脑终端的集中式管理，例如，资产管理、软件分发、远程控制、补丁管理、分组策略分发、集中审计。再次，要防止电脑终端私自、非法卸载Agent或者停止Agent的运行,确保管理策略的执行。1） Agent自带反卸载、反非法中止、非法删除功能；2） 如果电脑终端私自卸载Agent（如重新安装操作系统）或者中止Agent的运行，UniAccessTM后台系统可以及时发现这种行为。企业可以依据有关安全管理规范对其进行警告或者处罚，防范这种行为的再次发生。3.2. UniAccessTM的安全接入管理系统架构下图是某公司的UniAccessTM安全接入管理系统架构。图 2 网络准入控制与终端安全管理系统架构首先，UniAccessTM安全接入管理系统，通过网络准入控制技术，对接入网络的电脑终端进行实时安全检查，检查的内容包括：1） 账户检查：用户名和密码p 防止外来人员私自安装一个相同的Agent后接入网络2） 安全设置规范检查: 终端的安全设置p 检查系统账户，包括：Guest账户和弱口令检查；p Windows域检查，检查终端是否加入指定的Windows域；p 检查可写共享设置，检查终端是否设置了可写或者没有权限限制的可写共享；p 检查终端操作系统补丁安装情况；p 检查终端的防病毒安装情况及其病毒特征库是否及时升级；p 检查终端是否有可疑的注册表项；p 检查终端是否有可疑的文件存在；p 检查终端是否安装了非法软件。3） 终端注册ID检查: 检查终端是否在内部网络注册登记过网络准入控制确保接入网络的电脑终端是合法的、符合接入安全管理规范的电脑终端，而且是接受管理电脑终端。其次，对接入网络的电脑终端，可以进行进一步的安全管理和控制，包括：1）安全加固，安全加固可以实现：对主机的账户口令、屏保口令、共享目录、自动运行的服务进行安全加固，如提示用户设置强口令、设置屏保口令，删除写共享目录，停止一些危险的服务进程等。强制接入网络的主机设备安装规定的防病毒软件，并且强制这些防病毒软件及时更新最新病毒，以加强主机设备的自身抗病毒能力。自动为客户端安装最新补丁包，加强客户端的抗攻击能力。2）安全评估，对电脑终端的安全设置和运行状态进行评估。管理员可以定义主机必须满足什么样的安全要求才能够具备较强的抗攻击能力，当不满足时就认为主机是有安全漏洞的，这样的主机是很容易受到安全攻击的。比如账户口令是否是强口令；目录是否有缺省可写共享；是否运行了一些危险进程；通过检查注册表发现是否有已知的间谍软件；是否安装了最新补丁包；是否安装了规定的防病毒软件并及时更新了病毒特征库。检测每个客户端的网络访问流量，确定是否有发送大量广播包、流量异常大、网络连接异常多的情况，对于这些异常情况及时向管理员报告，在大规模攻击出现之前找到根源。3）安全审计，对内部的桌面电脑的操作和网络访问行为进行审计。审计客户端访问Interent网、Email、文件拷贝、FTP等，防止企业机密信息泄漏。审计连接在内部网络的计算机是否同时打开一些组织不允许的方式，如Modem拨号、USB硬盘、同时跨内外网等。审计内部的计算机是否运行非法软件，是否未经许可更改计算机上的软件、硬件配置等。如果通过评估和审计发现问题，系统管理员可以通过集中式操作控制平台，对电脑终端进行集中式的管理和设置。通过集中式控制平台，也可以对电脑终端进行各种批量的查询和统计。例如：1） 策略分发。集中、批量、分组对桌面电脑进行安全设置、安全状态查询。2） 软件分发和补丁管理。集中软件分发和补丁管理减轻管理员的日常维护工作量，提高效率。如为某个部门的所有机器安装防病毒软件。3） 远程控制。远程控制可以让维护人员不用离开办公位置就能够维护远程计算机。4） 设备定位。对于不安全的接入网络的设备，管理员能够快速定位设备是连接在哪个网络交换机的哪个端口，是在什么物理位置、谁的设备，这样可以做出相应措施来控制攻击的扩散，如直接从网络断开这台设备。5） 资产管理。管理员可以一目了然地知道连接到网络上的设备都是什么样的软硬件配置、有多少设备。此外，UniAccessTM安全接入管理系统可以对电脑终端分组进行管理，例如，将财务部门的电脑和其它部门的电脑区别对待，将总经理办公室的电脑和其它部门的电脑区别对待。即：按组设置安全管理策略。对于不同级别的安全事件，采取不同的处理流程，确保重要的安全事件能够得到快速、有效的处理。3.3. UniAccessTM安全接入管理系统主要功能简介具体来说，UniAccessTM安全接入管理系统采用集中式管理方式，提供了以下几个方面的管理功能： 网络准入控制，防止非法电脑接入支持基于802.1X的网络准入控制以及Cisco NAC网络准入控制技术，防止非法的或者不安全的终端接入内部网络系统（非法终端或不安全终端接入一方面会产生信息安全行为，另一方面会破坏网络的正常稳定运行）；UniAccessTM安全接入管理系统的准入控制解决方案，通过与网络设备的紧密集成（网络交换机、路由器），在不改变网络结构（例如：路由调整）、不降低网络性能和可靠性的情况下，可以支持对总部局域网接入、远程分支机构接入、VPN接入、无线AP接入方式的准入控制。由于和网络设备紧密集成，UniAccessTM安全接入管理系统的准入控制解决方案的另外一个特点是，电脑终端一接入网络，立刻接受管理和控制，在通过准入控制认证之前，不能访问其它的网络资源或者破坏网络的性能和稳定性。 防止文件非法外传及员工终端操作行为管理防止保存于电脑终端上信息机密文件被员工非法外传出去，包括：禁止/审计通过软盘、U盘、网络共享等方式COPY出去，或者禁止/审计通过Email、MSN/QQ等方式外传文件。对员工的各种不规范行为进行矫正，例如：使用非法软件（BT/e-Mule/MSN/QQ等）、访问非法网站、改变电脑终端的硬件配置等。 桌面终端的系统安全管理对桌面终端的安全状态进行主动评估，及时发现终端的安全漏洞和不安全的设置；对终端进行安全加固，自动为桌面终端安装补丁和进行安全设置；例如：检查桌面终端上是否有设置屏幕保护、口令、加入Windows域，检查是否有木马的注册表项目，防病毒软件及病毒特征库检查，以及对桌面终端设置Windows本地安全策略，打补丁等。 设备自动发现与资产管理自动发现网络上的所有接入设备，实现对桌面终端资产的自动管理。包括：软硬件资产统计，资产变更自动发现，资产的维护等。 桌面终端的批量管理，提高管理效率批量对桌面终端进行管理和维护，例如：集中式自动安装软件、远程监控和远程协助、快速设备定位，批量设置终端的安全选项等，可以提高终端的日常管理和维护效率。此外，UniAccessTM支持信息资产安全分级管理，各种安全管理策略可以按照：部门、IP网段、IP范围、设备组、操作系统类型、操作系统语言等条件定义安全管理策略的应用范围。4. UniAccessTM网络准入控制介绍及在XXXX部署建议4.1. UniAccessTM网络准入控制技术总体介绍UniAccessTM网络准入控制是UniAccessTM安全接入控制系统的一个管理组件。借助UniAccessTM网络准入控制技术，可以对接入网络的客户机设备进行控制，只有合法身份和满足安全要求的客户机才允许接入网络。UniAccessTM网络准入控制可以帮助用户很好地解决如下问题：l 防止非法的外来电脑接入网络，影响内部网络的安全；l 防止感染病毒、木马的桌面电脑和笔记本电脑直接接入内部网络，影响网络的正常运行；l 确保接入网络的客户机符合安全管理要求。l 帮助安全管理员解决内部用户私自接HUB、无线AP等不安全行为。UniAccessTM网络准入控制杜绝非法外来电脑接入内部网络；同时将有问题的客户机隔离或限制其访问，直到这些有问题的客户机修复为止，这样，一方面可以防止这些客户机成为蠕虫和病毒攻击的目标，还可以防止这些主机成为传播病毒的源头。4.1.1. 准入控制系统部署后终端接入网络的流程部署准入控制系统后，改变了电脑终端接入网络的行为模式。一般来说，电脑终端接入网络需要：l 注册登记内部终端要访问网络资源之前，需要在网络上注册登记（用户账户登记、终端ID注册等），取得接入网络的权限。l 接入检查终端在接入网络时，准入控制系统会检查其用户账户、安全设置状态、终端硬件合法性等。l 安全隔离如果在接入检查时，发现终端不符合安全规定，需要对终端进行隔离或拒绝其访问网络资源，例如：发现是外来终端则拒绝接入或进入“访客区”网段，或者是内部不符合安全规定的终端，则让其进入“修复区”。l 安全通知对被隔离的终端进行通知，告知其被隔离的原因。l 安全修复自动引导被隔离的终端，让其修复安全设置或者进行注册登记，使得其可以正常访问网络资源。一个完整的网络准入控制系统，应该包括以上五个方面的内容，缺少其中一个或者两个方面的内容，就不是完善的解决方案，会给准入控制系统的部署和推广带来问题。某科技的UniAccessTM网络准入控制解决方案是一个完整的准入控制方案，可以提供以上五个方面的所有内容。4.1.2. 准入控制系统部署后的影响部署网络准入控制服务之后，所有的桌面电脑接入计算机网络之前，都必须经过如下认证：1. 检查该电脑是否有合法的用户名密码（通过微软AD服务器验证）2. 检查该电脑是否是本单位内部的合法终端（检查电脑的硬件ID），合法的电脑硬件ID保存在管理服务器的数据库中。3. 检查该电脑是否符合安全管理规定：例如操作系统补丁是否安装、防病毒软件是否安装等。这些管理规定产生的安全策略保存在管理服务器的数据库中。网络交换机将准备接入网络的电脑终端所上传的以上各种信息转发给Radius服务器，由Radius服务器再去查询AD服务器和数据库服务器并将查询分析的结果返回给网络交换机。由于网络准入控制服务一旦发生故障，会导致电脑终端无法接入网络，因此必须保障网络准入控制的高度可靠。某科技提供的准入控制系统部署方案具有如下特征：l 和认证过程相关的设备和系统，不存在单点故障。即：单台服务器或者设备的暂时性故障，不会导致整个网络接入服务不可用；l 和准入控制系统相关的网络设备、服务器、数据库和软件故障，系统能够实现自动报警，向相关管理员发送手机短信息等；l 在特殊紧急情况下（例如：双机故障，或分支机构到总部的广域网线路中断）1）网络管理员可以通过执行脚本的方式，快速将网络接入设置为“不设防”状态（临时撤销所有准入控制措施），使得所有电脑终端能够正常接入网络。2）如果执行网络准入控制的网络设备是Cisco的交换机或者路由器，可以在网络设备上配置紧急模式。在紧急模式下，可以指定电脑终端可以访问哪些资源。通过以上手段，UniAccessTM可以保障网络接入服务的高度可用性。4.1.3. UniAccessTM网络准入控制技术在UniAccessTM的网络准入控制解决方案中，管理员可以将网络资源划分为不同的区域以便不同的终端访问不同区域的网络资源：访客区、修复区和正常工作区。划分方式可以是VLAN或者基于IP的访问控制列表。图 3 网络准入控制原理一般来说，访客区的网络资源是可以被任何用户的终端访问的，如Internet资源。一般外来用户的终端设备被限制只能访问访客区的网络资源。修复区网络资源是用来修复安全漏洞的，如补丁服务器、防病毒服务器、软件安装包服务器等，不符合组织安全策略要求的终端被限制在修复区中，强制它们进行安全修复。当终端设备被接入网络时，会被要求进行身份认证和安全策略检查。如果是来自外部的PC机试图接入网络，UniAccessTM将采取如下措施：（1） 拒绝外部终端设备接入网络，或者（2） 将外部终端设备设置到访客区中。如果是来自内部合法终端设备接入网络，UniAccessTM将采取如下控制措施：（1） 检查用户输入的用户名和口令是否合法；检查客户端是否满足安全策略要求。（2） 只有合法身份的用户以及满足组织安全规范的终端设备才能接入到网络中，否则系统会将此终端设备自动切换到修复区中，终端设备在此修复区中访问修复安全漏洞必须的网络资源；（3） 合法身份的用户以及满足组织安全规范的终端设备接入到网络时，系统会根据用户身份自动将终端设备切换到属于该用户的工作区中，从而实现不同权限的人可以访问不同的网络资源。UniAccessTM可以将用户和终端设备进行绑定，即某个用户只能通过某台终端设备接入到网络中，这样可以禁止内部员工私自将家里电脑接入到网络中。UniAccessTM采用以IEEE 802.1x认证和Cisco EoU认证为核心的网络准入控制架构，如下图所示。图 4 UniAccessTM网络准入控制架构UniAccessTM 网络准入控制架构提供了四种方法解决不同网络环境的网络准入控制：（1） IEEE802.1xUniAccessTM 网络准入控制的802.1x实现同时支持多厂商网络设备，如Cisco和华为3Com。支持IEEE802.1x的Single Host、Multi-host、Multi-Auth模式。特别是Mutli-Auth模式，在有Hub的网络环境中也可以实现准入控制。（2） Cisco NAC-IP-2和Cisco NAC-IP-3作为802.1x的补充，当网络中有支持Cisco NAC-IP-2和Cisco NAC-IP-3的网络设备存在时，连接在这部分网络设备下的终端可以通过Cicso NAC机制来实现准入控制。（3） ARP干扰与IEEE802.1x相结合，为未安装代理的终端设备提供URL重定向功能。这样可以提示这些终端设备为什么被限制访问网络资源。ARP干扰器只需要部署在访客区VLAN中。下图是UniAccessTM 网络准入控制技术中，基于802.1x认证和基于Cisco EoU认证的两种准入控制对比图。两种准入控制技术都可以控制对不安全终端或者外来终端对网络资源的访问。基于802.1x认证的准入控制通过VLAN动态切换，将不安全的终端切换到修复区，将外来终端切换到访客区，从而实现对这些终端的访问控制；基于Cisco EoU证准入控制通过动态ACL(访问控制列表)，直接限制外来终端或者不安全的终端对网络资源的访问。图 5 基于802.1x认证和Cisco EoU认证准入控制技术对比UniAccessTM 网络准入控制架构的突出特点是以网络设备为控制设备点，但又不局限于一家网络设备厂商，能够适应各种网络环境要求。UniAccessTM网络准入控制架构支持高可靠性，避免因为UniAccessTM服务宕机或者网络通讯故障导致终端设备不能接入网络的情况。4.2. XXXX网络准入控制系统部署建议4.2.1. 准入控制系统总体部署建议准入控制系统，大大提高了内部网络系统的安全性，但是同时，如果部署不当的话，也会给网络带来可靠性和可维护性问题。UniAccessTM的网络准入控制解决方案，充分考虑了多种应用场景下的可靠性和可维护性问题。一般来说，某建议有大量分支机构的客户采取如下部署方案：l 对于总部或地区总部，部署专门的准入控制服务器（包括：Radius和后台管理与数据库服务器）；l 对于中小型的分支机构，一般情况下，不建议部署专用的准入控制服务器。总部或者地区总部，往往电脑终端的数量比较多，有专职的信息安全系统管理员，部署专门的准入控制服务器一方面可以提高性能，另外也便于管理和维护。中小型分支机构，由于电脑终端的数量比较少，往往也缺乏专职的技术人员来维护准入控制系统及其服务器，以及从降低成本的角度考虑，不用配备专用的准入控制服务器。一般来说，电脑终端的数量小于150台可以算作中小型分支机构。4.2.2. 总部、地区总部网络准入控制建议解决方案一（基于802.1X的准入控制方案）如果所有接入层交换机均支持802.1x协议，某建议选择基于802.1x的网络准入控制方案。基于802.1x网络准入控制方案本质上是依据接入网络的桌面PC机的身份和是否满足组织安全策略，由UniAccessTM控制网络交换机，让网络交换机动态控制端口是否打开以及动态切换端口所属的VLAN。不同的VLAN有不同的网络资源，实现了网络资源的访问控制。UniAccessTM可以支持所有主流的网络设备，包括思科、华为、3Com和北电等，可以在有多家网络设备共存的环境中实现基于802.1x的网络准入控制。在基于802.1x的网络准入控制方案中，每个内部合法用户的客户机上安装的UniAccessTM客户端软件是一个兼容802.1x的代理。管理员需要为整个网络划分不同的VLAN，并将这些VLAN分配给不同的部门、用户组或者是用户。有两个特殊的VLAN：一个是修复区VLAN，这个VLAN中主要有一些文件服务器，供不满足组织安全策略要求的客户端打补丁、安装防病毒软件、更新防病毒软件特征库等；另一个是访客区VLAN，这个VLAN中主要是一些可以公共访问的资源，如对外的网站服务器等。如果是来自内部合法的桌面PC接入网络，UniAccessTM将采取如下控制措施：（1） 检查用户输入的用户名和口令是否合法；检查客户端是否满足安全策略要求。（2） 只有合法身份的用户以及满足组织安全规范的桌面PC才能接入到网络中，否则系统会将此桌面PC机（包括没有安装客户端代理的桌面PC机）自动切换到一个修复VLAN中，客户端在此修复VLAN中访问修复安全漏洞必须的网络资源；（3） 合法身份的用户以及满足组织安全规范的桌面PC接入到网络时，系统会根据用户身份自动将桌面PC机切换到属于该用户的工作VLAN中，从而实现不同权限的人可以访问不同的网络资源。如果是来自外部的PC机试图接入网络，UniAccessTM系统将采取如下措施：（1） 拒绝外部非法PC机接入网络，或者（2） 将外部PC机设置到访客区VLAN中。UniAccessTM可以到AD服务器、邮件服务器或者UniAccessTM内部用户数据库中验证桌面PC机的用户身份信息。图 6 基于802.1x的端口级准入控制方案基于802.1x的网络准入控制方案中，所有的PC接入都需要通过UniAccessTM服务器予以验证其是否符合安全要求，为避免UniAccessTM服务器成为单点故障，建议配置两台UniAccessTM服务器，两台UniAccessTM服务器可以相互备份。解决方案二（基于Cisco EoU认证的准入控制方案）如果接入层网络设备存在大量的不可网管交换机、HUB或不支持802.1x协议的交换机，某建议选择采用基于Cisco EoU认证的准入控制方案。采用Cisco EoU认证的准入控制解决方案要求汇聚层或者接入层交换机必须是Cisco Catalyst 3550及其以上型号的网络交换机。和基于802.1x的准入控制技术不同，Cisco EoU认证准入控制技术通过动态ACL(基于IP的访问控制列表)来控制接入设备对网络资源的访问。图 7 基于Cisco EoU认证的准入控制4.2.3. 中小型分支机构准入控制建议XXXX在全国拥有数量众多的分支机构，对于中小型分支机构，建议不用配置专门的准入控制服务器，可以利用上级网络（总部或者地区总部）中的准入控制服务器做认证控制。这样一方面可以减少服务器的数量降低成本，更重要的是减少了维护工作量和维护成本。针对中小型分支机构，某有两种准入控制建议。解决方案一（基于Cisco EoU认证的准入控制方案）如果分支机构有Cisco Catalyst 3550或更高型号的网络交换机，某优先建议选用基于Cisco EoU认证的准入控制。因为，分支机构没有配备专门的Radius认证服务器，一旦广域网线路中断，采用802.1x的准入控制，很容易导致所有电脑终端无法接入网络。Cisco EoU认证的准入控制，允许在网络设备上配备紧急模式，一旦网络设备与Radius服务器之间的通信中断，可以利用预先设置的紧急策略，允许电脑接入分支机构的网络。如果分支机构的电脑终端数量较少，例如：不足20台，可以考虑利用广域网接入路由器（要求是Cisco某些型号的路由器，例如2600XM或者更新型号的设备）实现准入控制。解决方案二（基于802.1X的准入控制方案）如果分支机构的接入层交换机支持802.1x协议的交换机，也可以选用基于802.1x的准入控制方案。下图是分支机构的终端接入示意图。图 8 分支机构终端接入控制示意图由于分支机构的网络规模比较少，没有独立的防病毒服务器或者补丁服务器，分支机构的终端往往需要通过总部的防病毒服务器、补丁服务器来进行自我修复。因此，如果终端存在安全隐患，接入交换机需要将其隔离（自动设置到修复区VLAN），我们通过在网络层的ACL访问控制列表，限制修复区VLAN的终端直接访问后台的应用服务器，只允许这些不安全的终端访问防病毒服务器和补丁服务器等必要的修复用服务器。基于802.1x的准入控制，如果网络交换机和Radius之间的通信中断，很可能导致网络无法接入。5. 集中式桌面安全综合管理5.1. 资产/IT设备统计5.1.1. 资产信息自动采集 UniAccessTM的二层拓扑发现功能可以发现网络中的所有IT设备，包括网络设备、主机设备、网络打印机、终端设备等。UniAccessTM二层拓扑发现功能支持大型网络的拓扑发现，可以跨网络、跨路由发现设备，支持不同厂商网络设备混合构建的异构网络设备发现。通过二层拓扑发现，能够获得网络设备之间、主机和网络设备之间的物理连接关系，获得设备的基本信息如IP地址、MAC地址、设备名、在线时间、离线时间、IP地址历史使用信息等。图 10 二层网络拓扑图UniAccessTM的二层拓扑发现功能为终端设备管理构建了一个基线数据库，即所有资产的全集和概要信息。对于安装了UniAccessTM代理的终端设备，可以采集到终端详细的软硬件配置信息，硬件信息包括： CPU信息 主板信息：包括BIOS信息、PCI插槽信息 内存信息：物理内存大小、具体的内存条信息 硬盘信息：硬盘大小、速度、厂商、型号 光驱信息：光驱速度、厂商、型号 网卡信息 外设信息：通过串口、并口、USB口连接的设备信息，Modem状态信息 操作系统信息软件配置信息包括： 安装的软件名 软件厂商 版本 语言 安装日期所有这些信息都被保存在数据库中，管理员可以在线浏览或者输出各种资产报表。5.1.2. 设备快速定位（交换机端口定位）某原创的设备发现技术，可以快速发现接入网络的所有设备（无需准入控制），无论接入网络的终端是否安装个人防火墙，均可以对其快速发现并予以定位。一般情况下，一台终端接入网络只需23分钟的时间即可被系统发现并予以定位。管理员可以通过以下信息查询接入设备的位置（所连接的网络交换机及其端口）：l 接入设备的MAC地址；l 接入设备的IP地址l 接入设备的主机名5.1.3. 客户端设备注册UniAccessTM的客户端代理支持通过Web方式安装。当客户端用户输入安装URL后，UniAccessTM会显示如下图所示界面，让用户输入注册信息。图 11 客户端注册界面 客户端只有注册后才能安装UniAccessTM代理，显示如下图所示的UniAccessTM代理安装界面。图 12 客户端注册后显示的代理安装选项页面客户端用户输入的注册信息被作为组织架构信息的一部分保存在数据库中。管理员可以通过如下界面浏览客户端注册信息。图 13 客户端注册信息查看5.1.4. 客户端代理反卸载及管理员联机卸载UniAccessTM代理具有自我保护功能，可以防止客户端用户随意卸载、停止代理或者删除代理的安装目录下文件。但UniAccessTM为管理员提供了集中卸载客户端代理功能，允许有权限的管理员能够非常方便地批量卸载掉客户端代理。客户端代理联机卸载界面如下图所示。图 14 客户端代理联机卸载和更新此界面列出了所有安装了客户端代理的终端设备，管理员可以按条件进行查询，然后在查询结果中选择需要联机卸载的一个或者多个客户端代理进行集中卸载。5.1.5. 未安装杀毒软件客户端报警UniAccessTM主机安全漏洞检测功能可以检查终端设备是否存在安全漏洞，包括指定版本的防病毒软件是否安装、防病毒软件的病毒特征库是否为最新的。管理员可以配置一个防病毒软件检测策略，界面如下：图 15 杀毒软件检测策略配置当检查出规定杀毒软件未安装或者病毒特征库不是最新时，将产生告警事件，并可以按照管理员定义的事件处理流程通知管理员，也可以通过客户端界面显示给终端用户。UniAccessTM事件处理流程预案是全局性的配置，管理员可以单独配置好需要的事件流程预案，然后将其与具体的安全策略绑定起来。下图是事件处理预案的配置界面。图 16 事件处理预案定义界面管理员可以定义告警事件发生时应该按什么流程来处理告警事件，如Email通知、短信通知、Message通知、通知到客户端代理，也可以与防火墙、网络交换机进行联动控制客户端。当告警事件恢复时，也可以按流程进行处理。当定义安全策略时，可以指定违反该安全策略产生的告警事件采用什么事件处理流程进行处理，如下图所示。图 17 将安全策略与事件处理流程绑定5.1.6. 配置变更管理UniAccessTM可以对终端设备的软硬件配置变化进行监控。当终端用户新增、卸载一个硬件配置或者软件式，UniAccessTM系统会记录详细配置变更信息，包括什么时间、哪个终端设备、哪个用户、变更的配置项、变化前的配置、变化后的配置。另外，UniAccessTM还可以产生配置变更告警事件，及时通知管理员。下图是配置变更策略配置界面。图 18 配置变更策略从图中可以看到，UniAccessTM可以监控的硬件配置有CPU、主板、内存、硬盘、网卡，UniAccessTM可以监控的软件配置有所有软件变化、指定软件变化、除指定软件外的其他软件变化、除微软操作系统外的其他软件变化。管理员可以从终端设备的详细信息界面看到该终端的配置历史变化过程，如下图所示。图 19 单台终端的配置变更历史UniAccessTM系统也为管理员提供配置变更报表，管理员可以生成某个时间段、指定范围机器、指定或者所有配置项变化的报表信息，如下图所示。图 20 配置变更报表5.1.7. 未注册设备及注册程序卸载告警UniAccessTM可以设置主机安全漏洞策略来检查接入到网络的终端设备是否安装了客户端代理，当未安装客户端代理或者客户端代理被卸载的终端设备接入到网络时，可以自动产生告警事件，通知系统管理员。安全策略配置界面如下图所示。图 21 客户端代理安装检测策略5.1.8. 客户端组件在线升级UniAccessTM支持客户端代理在线升级，管理员可以配置升级策略，定时间、定范围地升级客户端代理，并可以查看到代理升级结果。下图是客户端代理升级策略配置界面。图 22 客户端代理升级配置界面管理员可以设置指定要升级哪个版本、升级时间、客户端必须满足的软件安装条件、需要升级的目标客户端。另外，在大型网络环境中，也支持通过中继方式进行客户端升级。5.1.9. Web方式客户端注册UniAccessTM采用web方式进行客户端注册，在第4.1.2节有详细描述。UniAccessTM的网络准入控制机制可以保证未注册客户端在访问网络时自动弹出注册页面。在UniAccessTM网络准入控制架构中有两种机制来实现此功能：（1） ARP干扰。UniAccessTM探测器模块可以检测，网络中未注册的终端接入到网络，当这些设备访问web资源时，会被自动重定向到“客户端注册”页面，强制提醒终端用户需要进行注册并安装UniAccessTM代理。UniAccessTM探测器模块的URL重定向界面如下图所示。图 23 UniAccessTM探测器的重定向URL配置（2） Cisco NAC L2-IP和Cisco NAC L3-IP。UniAccessTM支持Cisco NAC L2-IP和Cisco NAC L3-IP网络准入控制机制。当网络中部署了支持这两种协议的网络交换机或者路由器时，UniAccessTM可以控制让未注册客户端访问web资源时重定向到指定URL中。下图为UniAccessTM网络准入控制的重定向配置界面。图 24 UniAccessTM网络准入控制URL重定向5.2. 安全策略管理5.2.1. 管理员权限管理和分组UniAccessTM实现管理员权限管理，可以为每个管理员定义不同的管理权限。UniAccessTM管理员权限是二维的：管理员可以使用的菜单功能和可以管理的设备。基于这种二维权限机制，可以实现管理员的分级，如：可以为每个分行的管理员可以使用所有菜单功能但只能管理本分行的终端设备。UniAccessTM的权限分配是基于用户组的，即为每个用户组分配权限，然后将设置管理员属于哪个用户组。下图是管理员权限分配界面。图 25 管理员权限设置界面5.2.2. 客户端流量异常管理控制UniAccessTM实现对终端设备流量大小、广播包、TCP连接数进行监控，监测是否有异常，当异常时产生告警事件通知管理员。管理员可以通过安全策略来设置终端设备正常的流量范围、广播包数和TCP连接数，设置统计时间段。为了避免偶然峰值引起误报，如拷贝大文件，UniAccessTM可以统计连续多个采用周期的平均值来判断。下图是UniAccessTM网络流量异常配置界面。图 26 网络流量异常配置UniAccessTM可以向管理员展示所有终端设备的某个时间流量统计、流量排名和TCP连接数，并且提示管理员终端设备是否有可疑的TCP连接、流量是否可以、广播包是否可疑。5.2.3. 客户端流量明细统计管理员可以设置统计客户端与网络上其它主机的流量明细。并且可以按照时段、IP地址等进行查询。图 27 客户机流量统计明细表5.2.4. 客户端安全漏洞检查UniAccessTM可以对客户端操作系统漏洞进行扫描，包括是否存在弱口令账号、是否启用Guest账号、账号口令是否很长时间没有修改、是否没有设置屏保口令、是否存在可写的共享目录、是否为加入到规定AD域、是否存在已知的黑客程序、是否安装了违禁软件、是否未安装必须安装的软件如防病毒软件、是否启用违禁进程等。所有这些漏洞信息都会在客户端按如下界面显示，提醒用户自己机器存在的安全漏