_实施方案模板_天珣内网安全风险管理与审计系统v6695Patch66950000

天珣内网安全风险管理与审计系统实施方案（V6.6.9.5Patch66950000）启明星辰BeijingVenustechCybervisionCo.,Ltd.2014年10月目录1系统实施原则.........................................................................................................11.1最大限度降低对用户的影响......................................................................11.2全面细致规划，分步实施..........................................................................11.3安全策略从简到繁，安全级别步进式提高..............................................22实施计划.................................................................................................................23管理服务器部署.....................................................................................................33.1总部管理服务器部署..................................................................................33.2厂所独立管理服务器部署..........................................................................43.3部署实施建议..............................................................................................53.3.1管理服务器与客户端通信要求........................................................53.3.2数据存储建议....................................................................................93.3.3管理员权限划分................................................................................93.3.4服务器安装及数据管理....................................................................94客户端部署...........................................................................................................104.1通过应用准入方式部署客户端................................................................104.2应用准入控制部署....................................................................................104.3建设期客户端部署....................................................................................114.4维护期客户端部署....................................................................................115准入控制实施.......................................................................................................115.1应用准入控制实施....................................................................................125.2网络准入控制实施....................................................................................155.3风险与灾备................................................................................................215.4客户端准入部署........................................................................................275.5客户端准入控制部署建议........................................................................286分工界面...............................................................................................................297附件一：服务器安装及数据管理.......................................................................3111系统实施原则1.1最大限度降低对用户的影响部署终端安全管理系统的根本目的，是借助系统所提供的准入控制的技术手段，确保接入的电脑是合法的和符合XX研究院安全策略要求的，最大限度降低不安全的客户端电脑对XX研究院网络和信息资源带来的风险和威胁，保证XX研究院每一个用户的电脑始终处于良好的运行状态，大大降低故障发生概率，从而保证每个用户都能够完全专注在自己的本职业务工作，并大大提高每一个用户的工作效率。因此，选择和部署终端安全管理系统时，在确保XX研究院安全策略的有效执行的前提下，要最大限度降低对电脑用户在日常工作中的影响，例如减少终端用户在系统的使用过程中的不必要的操作和介入，在用户违反安全策略时进行友好提示，尊重和保护个人隐私，为用户安全网络访问和信息交换保驾护航。1.2全面细致规划，分步实施终端安全管理系统，作为XX研究院网络安全的基础架构中非常重要的客户端电脑安全管理平台，将涉及到XX研究院内部每一台接受管理的电脑和每一个用户，涉及面广，影响面大。当然，为了根本上解决客户端电脑的安全管理问题，这样的系统的部署也势在必行，因此在系统部署前需要对系统的实施过程、安全策略的制定和安全管理制度的建立，进行全面系统地规划，并在实施过程中，根据实际环境进行适时调整，从而保证系统和安全策略在XX研究院内部顺利执行下去，实现项目预期的目标，保障内部网络具有更高可用性和客户端电脑的更高安全性。部署前需要规划的内容包括：内部网络和用户的安全分级和规划，系统部署的次序和周期，针对不同部门或用户角色的安全策略组合，系统安全策略的动态调整等等。安全不是一蹴而就的，由于该系统涉及面较广，因此系统的实施需要全面规2划，分步实施，循序渐进，真正发挥系统的安全保护和主动防御的功效。1.3安全策略从简到繁，安全级别步进式提高由于XX研究院分支机构、部门和人员较多，对应每一个角色的安全保护级别要求也层次各异，如果为了保证最高的安全性，使用同样一种严格的安全策略，或者为了降低安全管理的工作量，简单的执行一类基本安全策略，都是不合适的。在规划中要预先基于用户角色确定每个部门、用户或分支机构，确定对应的最合适的安全策略组合，作为系统最终实现的安全管理目标。在实施过程中，再按照由简到繁的次序，先实施所有用户都必须遵守的安全策略，然后再根据不同分支机构、部门和用户，步进式下发和执行各级安全策略，从而实现安全级别步进式提高，构建立体的、混合模式的终端安全策略管理体系。2实施计划内网终端合规管理提升是一个循序渐进和不断完善的过程，要兼顾“安全性”和“便利性”，合规管理应“先弱后强”，实施策略应“先易后难”的原则，消除来自业务部门和终端员工的抵触情绪和压力。因此在安装过程中，我们严格遵循天珣安装“三步走”原则，即：a)通过应用准入推动客户端部署安装，通过友好的提示界面以及强度稍弱的准入控制方式，善意的提醒用户主动安装天珣客户端，并提供给用户下载地址，由其去下载和安装b)配置策略管理受控终端使其进行自身安全状态的完善，目标则是让内网受控终端成为合规安全的终端，保证内网安全建设成功而高效c)启用网络准入，在用户熟悉天珣准入控制系统的特性后再启用网络准入，将会受到最小的阻力，最终完成整个准入体系的关键一步当然，也会有一些部门或区域的安全保护等级要求没有这么高，这时我们可以对其采用适合自己的准入控制方式和安全策略，从而使的整个项目更加人性化。项目时间表33管理服务器部署3.1总部管理服务器部署院本部内厂所内：两种方式部署管理服务器，一种是逻辑上的集中管理分级授权方式，另一种完全独立的策略管理服务器方式。天珣内网安全风险管理与审计系统支持多策略服务器架构。每个服务器服务一个或多个园区。而这些服务器可以相互备份，在一个统一的控制台接受集中管理。如果一台服务器宕机，其服务的用户会自动被其他的服务器接管。每一个管理网段的电脑都有3次从服务器获取规则的机会，它们首先会从Primary的策略服务器获取规则，如果失败，则从Secondary的策略服务器获取规则，如果再失败，则从中心服务器获取规则，如果还是失败，则使用客户端本地缓存的规则。分布式多服务器架构使天珣内网安全风险管理与审计系统具有优秀的容错性、可伸缩性，支持的客户端数量从数百个到数万以至更多，而部署极为平滑，性能不受影响。4在本次实施中，需要部署三台策略服务器，一台中心服务器，两台本地服务器。三台策略服务器都安装在中心机房，要求本次实施的所有的客户端电脑及策略网关都可以通过TCP/IP协议的7890端口访问到策略服务器。因为中心服务器有日常的管理负荷，建议中心服务器管理3000台终端电脑，本地服务器管理7000台终端电脑。对于任何一个管理网段，如果其PrimaryServer为其中一台，则其SecondaryServer将被设为另外一台。3.2厂所独立管理服务器部署独立厂所：完全独立的策略管理服务器方式。在分布式多服务器架构下，中心服务器是整个系统策略集中存放的地方，本地服务器是进行日常的策略分发的地方。全系统只需要一个中心服务器，可以有多个本地服务器，中心服务器可以兼作本地服务器。在本次实施中，两台策略服务器都在院总部的直接管理下，由总部的管理员进行管理。在今后的实施中，可以在各下级厂所架设本地服务器，由总部的管理员进行全局控制，而由各厂所的管理员进行本地化的管理。从投资成本上考虑，建议本项服务器都在集中部署在院总部信息中心更有利，院下属各厂所多集中在园区网内网络带宽足以满足集中心管理的需要，因此推荐集中管理的部署方式。中心服务器两台本地服务器管理网段一管理网段二PrimarySecondaryPrimarySecondary53.3部署实施建议3.3.1管理服务器与客户端通信要求CC与管理服务器的通信列