（风险管理)实施方案模板天珣内网安全风险管理与审计系统P

《（风险管理)实施方案模板天珣内网安全风险管理与审计系统P》由会员分享，可在线阅读，更多相关《（风险管理)实施方案模板天珣内网安全风险管理与审计系统P（49页珍藏版）》请在金锄头文库上搜索。

1、（风险管理）实施方案模板天珣内网安全风险管理与审计系统P天珣内网安全风险管理与审计系统实施方案（V6.6.9.5Patch66950000）启明星辰Beijing Venustech Cybervision Co., Ltd.2014 年 10月目录1系统实施原则11.1最大限度降低对用户的影响11.2全面细致规划，分步实施11.3安全策略从简到繁，安全级别步进式提高22实施计划23管理服务器部署33.1总部管理服务器部署33.2厂所独立管理服务器部署43.3部署实施建议53.3.1管理服务器与客户端通信要求53.3.2数据存储建议93.3.3管理员权限划分93.3.4服务器安装及数据管理94

2、客户端部署104.1通过应用准入方式部署客户端104.2应用准入控制部署104.3建设期客户端部署114.4维护期客户端部署115准入控制实施115.1应用准入控制实施125.2网络准入控制实施155.3风险与灾备215.4客户端准入部署275.5客户端准入控制部署建议286分工界面297附件一：服务器安装及数据管理311 系统实施原则1.1 最大限度降低对用户的影响部署终端安全管理系统的根本目的，是借助系统所提供的准入控制的技术手段，确保接入的电脑是合法的和符合XX研究院安全策略要求的，最大限度降低不安全的客户端电脑对XX研究院网络和信息资源带来的风险和威胁，保证XX研究院每一个用户的电脑始

3、终处于良好的运行状态，大大降低故障发生概率，从而保证每个用户都能够完全专注在自己的本职业务工作，并大大提高每一个用户的工作效率。因此，选择和部署终端安全管理系统时，在确保XX研究院安全策略的有效执行的前提下，要最大限度降低对电脑用户在日常工作中的影响，例如减少终端用户在系统的使用过程中的不必要的操作和介入，在用户违反安全策略时进行友好提示，尊重和保护个人隐私，为用户安全网络访问和信息交换保驾护航。1.2 全面细致规划，分步实施终端安全管理系统，作为XX研究院网络安全的基础架构中非常重要的客户端电脑安全管理平台，将涉及到XX研究院内部每一台接受管理的电脑和每一个用户，涉及面广，影响面大。当然，为

4、了根本上解决客户端电脑的安全管理问题，这样的系统的部署也势在必行，因此在系统部署前需要对系统的实施过程、安全策略的制定和安全管理制度的建立，进行全面系统地规划，并在实施过程中，根据实际环境进行适时调整，从而保证系统和安全策略在XX研究院内部顺利执行下去，实现项目预期的目标，保障内部网络具有更高可用性和客户端电脑的更高安全性。部署前需要规划的内容包括：内部网络和用户的安全分级和规划，系统部署的次序和周期，针对不同部门或用户角色的安全策略组合，系统安全策略的动态调整等等。安全不是一蹴而就的，由于该系统涉及面较广，因此系统的实施需要全面规划，分步实施，循序渐进，真正发挥系统的安全保护和主动防御的功效

5、。1.3 安全策略从简到繁，安全级别步进式提高由于XX研究院分支机构、部门和人员较多，对应每一个角色的安全保护级别要求也层次各异，如果为了保证最高的安全性，使用同样一种严格的安全策略，或者为了降低安全管理的工作量，简单的执行一类基本安全策略，都是不合适的。在规划中要预先基于用户角色确定每个部门、用户或分支机构，确定对应的最合适的安全策略组合，作为系统最终实现的安全管理目标。在实施过程中，再按照由简到繁的次序，先实施所有用户都必须遵守的安全策略，然后再根据不同分支机构、部门和用户，步进式下发和执行各级安全策略，从而实现安全级别步进式提高，构建立体的、混合模式的终端安全策略管理体系。2 实施计划内

6、网终端合规管理提升是一个循序渐进和不断完善的过程，要兼顾“安全性”和“便利性”，合规管理应“先弱后强”，实施策略应“先易后难”的原则，消除来自业务部门和终端员工的抵触情绪和压力。因此在安装过程中，我们严格遵循天珣安装“三步走”原则，即：a) 通过应用准入推动客户端部署安装，通过友好的提示界面以及强度稍弱的准入控制方式，善意的提醒用户主动安装天珣客户端，并提供给用户下载地址，由其去下载和安装b) 配置策略管理受控终端使其进行自身安全状态的完善，目标则是让内网受控终端成为合规安全的终端，保证内网安全建设成功而高效c) 启用网络准入，在用户熟悉天珣准入控制系统的特性后再启用网络准入，将会受到最小的阻

7、力，最终完成整个准入体系的关键一步当然，也会有一些部门或区域的安全保护等级要求没有这么高，这时我们可以对其采用适合自己的准入控制方式和安全策略，从而使的整个项目更加人性化。项目时间表3 管理服务器部署3.1 总部管理服务器部署院本部内厂所内：两种方式部署管理服务器，一种是逻辑上的集中管理分级授权方式，另一种完全独立的策略管理服务器方式。天珣内网安全风险管理与审计系统支持多策略服务器架构。每个服务器服务一个或多个园区。而这些服务器可以相互备份，在一个统一的控制台接受集中管理。如果一台服务器宕机，其服务的用户会自动被其他的服务器接管。每一个管理网段的电脑都有3次从服务器获取规则的机会，它们首先会从

8、Primary的策略服务器获取规则，如果失败，则从Secondary的策略服务器获取规则，如果再失败，则从中心服务器获取规则，如果还是失败，则使用客户端本地缓存的规则。分布式多服务器架构使天珣内网安全风险管理与审计系统具有优秀的容错性、可伸缩性，支持的客户端数量从数百个到数万以至更多，而部署极为平滑，性能不受影响。在本次实施中，需要部署三台策略服务器，一台中心服务器，两台本地服务器。三台策略服务器都安装在中心机房，要求本次实施的所有的客户端电脑及策略网关都可以通过TCP/IP协议的7890端口访问到策略服务器。因为中心服务器有日常的管理负荷，建议中心服务器管理3000台终端电脑，本地服务器管理

9、7000台终端电脑。对于任何一个管理网段，如果其Primary Server为其中一台，则其Secondary Server将被设为另外一台。3.2 厂所独立管理服务器部署独立厂所：完全独立的策略管理服务器方式。在分布式多服务器架构下，中心服务器是整个系统策略集中存放的地方，本地服务器是进行日常的策略分发的地方。全系统只需要一个中心服务器，可以有多个本地服务器，中心服务器可以兼作本地服务器。在本次实施中，两台策略服务器都在院总部的直接管理下，由总部的管理员进行管理。在今后的实施中，可以在各下级厂所架设本地服务器，由总部的管理员进行全局控制，而由各厂所的管理员进行本地化的管理。从投资成本上考虑，

10、建议本项服务器都在集中部署在院总部信息中心更有利，院下属各厂所多集中在园区网内网络带宽足以满足集中心管理的需要，因此推荐集中管理的部署方式。3.3 部署实施建议3.3.1 管理服务器与客户端通信要求CC与管理服务器的通信列表。服务器类中心服务器any客户端7891主动下发策略UDP中心服务器any客户端7891策略预检查UDP中心服务器any本地服务器7892主动同步服务器策略TCP中心服务器any策略网关代理7893同步代理策略UDP中心服务器anyradius服务器7897更新radius策略UDP补丁同步服务器any外网补丁服务器8800同步补丁TCP策略网关代理any中心服务器7890

11、获取代理策略TCPradius服务器any中心服务器7890获取radius策略TCP策略网关any策略网关代理7893拦截访问，通知代理TCP策略网关代理any客户端7891发送检查请求UDPradius服务器any交换机1812-1813发送认证结果UDP交换机anyradius服务器1812-1813转发认证请求UDP交换机any客户端1645-1646下发ACLUDPradius服务器any域服务器443转发用户认证TCP中心服务器anyserver monitor7896收集系统组件运行状态TCP客户端类客户端any中心服务器7890心跳UDP客户端any中心服务器7890取策略TC

12、P客户端any中心服务器7898SSL取策略TCP客户端any中心服务器7890;7898客户端注册TCP客户端any中心服务器8833web管理界面TCP客户端any软件分发服务器7901取分发任务TCP客户端any软件分发服务器7902取分发文件TCP客户端any资产服务器7891上报资产TCP客户端any攻击告警服务器7899上报攻击告警UDP客户端any补丁同步服务器8833下载补丁TCP客户端anyhod管理员5500;5400远程协助数据流TCP客户端any按需支援服务器7895发起支援请求TCPUTM类USGany客户端1080发送拦截页面TCP客户端anyUSG1080接收拦截

13、页面TCPUSGany策略网关代理7893拦截访问，通知代理TCP3.3.2 数据存储建议采用数据的集中存储模式，便于用户的数据的存储备份管理。本部及各分支机构的数据全部存储在一台固定的数据库服务器中，省去数据同步的麻烦，增加数据一致性。3.3.3 管理员权限划分三权分立管理在天珣内网安全风险管理与审计系统中，基本设置的操作必须有全局管理员权限才能进行，而普通的策略配置只需要普通管理员权限就可以进行。一个普通管理员定义的策略，另外一个普通管理员不能看见，也不能使用。全局管理员定义的策略，其他普通管理员可以使用，但不能修改。全局管理员可以使用、修改任何一个普通管理员或全局管理员定义的策略。对全局

14、管理员或普通管理员，都可以设置“只读”属性，该管理员只能读取策略信息，不能增加、修改或应用策略。在院总部，建议设置三种管理员。一种管理员是全局管理员，这类管理员由一至二个成员组成，他们负责进行基本设置，或一些全局性的策略。第二种管理员是普通管理员，主要由他们进行策略配置，他们定义的策略具有本地属性，当今后部署范围扩大，安装了更多的本地服务器，有更多的管理员参与策略系统管理时，他们定义的策略不会被其他管理员使用。第三种管理员是只读管理员，一般对部门领导设置这种权限，他们可以查看系统，但不需要他们做策略配置。3.3.4 服务器安装及数据管理见附件一。4 客户端部署4.1 通过应用准入方式部署客户端4.2 应用准入控制部署对于无法实施网络准入控制的区域，可以采用应用准入。下图是采用应用准入的部署图。分别在院的DNS服务器，ISA服务器，关键的Windows服务器，关键的Linux服务器等经常被访问的服务器上部署策略网关，当用户电脑访问这些服务器时，策略网关将会检查用户电脑是否运行了天珣内网安全风险管理与审计系统客