内网安全风险管理与审计系统实施方案.doc

内网安全风险管理与审计系统实施方案 67 2020年5月29日 文档仅供参考 天珣内网安全风险管理与审计系统 实施方案 (V6.6.9.5Patch66950000) 启明星辰 Beijing Venustech Cybervision Co., Ltd. 年 10月 目录 1 系统实施原则 1 1.1 最大限度降低对用户的影响 1 1.2 全面细致规划,分步实施 1 1.3 安全策略从简到繁,安全级别步进式提高 2 2 实施计划 2 3 管理服务器部署 3 3.1 总部管理服务器部署 3 3.2 厂所独立管理服务器部署 4 3.3 部署实施建议 5 3.3.1 管理服务器与客户端通信要求 5 3.3.2 数据存储建议 9 3.3.3 管理员权限划分 9 3.3.4 服务器安装及数据管理 9 4 客户端部署 10 4.1 经过应用准入方式部署客户端 10 4.2 应用准入控制部署 10 4.3 建设期客户端部署 11 4.4 维护期客户端部署 11 5 准入控制实施 11 5.1 应用准入控制实施 12 5.2 网络准入控制实施 15 5.3 风险与灾备 21 5.4 客户端准入部署 27 5.5 客户端准入控制部署建议 28 6 分工界面 29 7 附件一:服务器安装及数据管理 31 1 系统实施原则 1.1 最大限度降低对用户的影响 部署终端安全管理系统的根本目的,是借助系统所提供的准入控制的技术手段,确保接入的电脑是合法的和符合XX研究院安全策略要求的,最大限度降低不安全的客户端电脑对XX研究院网络和信息资源带来的风险和威胁,保证XX研究院每一个用户的电脑始终处于良好的运行状态,大大降低故障发生概率,从而保证每个用户都能够完全专注在自己的本职业务工作,并大大提高每一个用户的工作效率。 因此,选择和部署终端安全管理系统时,在确保XX研究院安全策略的有效执行的前提下,要最大限度降低对电脑用户在日常工作中的影响,例如减少终端用户在系统的使用过程中的不必要的操作和介入,在用户违反安全策略时进行友好提示,尊重和保护个人隐私,为用户安全网络访问和信息交换保驾护航。 1.2 全面细致规划,分步实施 终端安全管理系统,作为XX研究院网络安全的基础架构中非常重要的客户端电脑安全管理平台,将涉及到XX研究院内部每一台接受管理的电脑和每一个用户,涉及面广,影响面大。当然,为了根本上解决客户端电脑的安全管理问题,这样的系统的部署也势在必行,因此在系统部署前需要对系统的实施过程、安全策略的制定和安全管理制度的建立,进行全面系统地规划,并在实施过程中,根据实际环境进行适时调整,从而保证系统和安全策略在XX研究院内部顺利执行下去,实现项目预期的目标,保障内部网络具有更高可用性和客户端电脑的更高安全性。 部署前需要规划的内容包括:内部网络和用户的安全分级和规划,系统部署的次序和周期,针对不同部门或用户角色的安全策略组合,系统安全策略的动态调整等等。 安全不是一蹴而就的,由于该系统涉及面较广,因此系统的实施需要全面规划,分步实施,循序渐进,真正发挥系统的安全保护和主动防御的功效。 1.3 安全策略从简到繁,安全级别步进式提高 由于XX研究院分支机构、部门和人员较多,对应每一个角色的安全保护级别要求也层次各异,如果为了保证最高的安全性,使用同样一种严格的安全策略,或者为了降低安全管理的工作量,简单的执行一类基本安全策略,都是不合适的。 在规划中要预先基于用户角色确定每个部门、用户或分支机构,确定对应的最合适的安全策略组合,作为系统最终实现的安全管理目标。在实施过程中,再按照由简到繁的次序,先实施所有用户都必须遵守的安全策略,然后再根据不同分支机构、部门和用户,步进式下发和执行各级安全策略,从而实现安全级别步进式提高,构建立体的、混合模式的终端安全策略管理体系。 2 实施计划 内网终端合规管理提升是一个循序渐进和不断完善的过程,要兼顾”安全性”和”便利性”,合规管理应”先弱后强”,实施策略应”先易后难”的原则,消除来自业务部门和终端员工的抵触情绪和压力。因此在安装过程中,我们严格遵循天珣安装”三步走”原则,即: a) 经过应用准入推动客户端部署安装,经过友好的提示界面以及强度稍弱的准入控制方式,善意的提醒用户主动安装天珣客户端,并提供给用户下载地址,由其去下载和安装 b) 配置策略管理受控终端使其进行自身安全状态的完善,目标则是让内网受控终端成为合规安全的终端,保证内网安全建设成功而高效 c) 启用网络准入,在用户熟悉天珣准入控制系统的特性后再启用网络准入,将会受到最小的阻力,最终完成整个准入体系的关键一步 当然,也会有一些部门或区域的安全保护等级要求没有这么高,这时我们能够对其采用适合自己的准入控制方式和安全策略,从而使的整个项目更加人性化。 项目时间表 3 管理服务器部署 3.1 总部管理服务器部署 院本部内厂所内:两种方式部署管理服务器,一种是逻辑上的集中管理分级授权方式,另一种完全独立的策略管理服务器方式。 天珣内网安全风险管理与审计系统支持多策略服务器架构。每个服务器服务一个或多个园区。而这些服务器能够相互备份,在一个统一的控制台接受集中管理。如果一台服务器宕机,其服务的用户会自动被其它的服务器接管。每一个管理网段的电脑都有3次从服务器获取规则的机会,它们首先会从Primary的策略服务器获取规则,如果失败,则从Secondary的策略服务器获取规则,如果再失败,则从中心服务器获取规则,如果还是失败,则使用客户端本地缓存的规则。分布式多服务器架构使天珣内网安全风险管理与审计系统具有优秀的容错性、可伸缩性,支持的客户端数量从数百个到数万以至更多,而部署极为平滑,性能不受影响。 在本次实施中,需要部署三台策略服务器,一台中心服务器,两台本地服务器。三台策略服务器都安装在中心机房,要求本次实施的所有的客户端电脑及策略网关都能够经过TCP/IP协议的7890端口访问到策略服务器。因为中心服务器有日常的管理负荷,建议中心服务器管理3000台终端电脑,本地服务器管理7000台终端电脑。对于任何一个管理网段,如果其Primary Server为其中一台,则其Secondary Server将被设为另外一台。 中心服务器 两台 本地服务器 管理网段一 管理网段二 Primary Secondary Primary Secondary 3.2 厂所独立管理服务器部署 独立厂所:完全独立的策略管理服务器方式。 在分布式多服务器架构下,中心服务器是整个系统策略集中存放的地方,本地服务器是进行日常的策略分发的地方。全系统只需要一个中心服务器,能够有多个本地服务器,中心服务器能够兼作本地服务器。在本次实施中,两台策略服务器都在院总部的直接管理下,由总部的管理员进行管理。在今后的实施中,能够在各下级厂所架设本地服务器,由总部的管理员进行全局控制,而由各厂所的管理员进行本地化的管理。从投资成本上考虑,建议本项服务器都在集中部署在院总部信息中心更有利,院下属各厂所多集中在园区网内网络带宽足以满足集中心管理的需要,因此推荐集中管理的部署方式。 3.3 部署实施建议 3.3.1 管理服务器与客户端通信要求 CC与管理服务器的通信列表。 类别 源 源端口 目标 目标端口 功能 协议 服务器类 中心服务器 any 客户端 7891 主动下发策略 UDP 中心服务器 any 客户端 7891 策略预检查 UDP 中心服务器 any 本地服务器 7892 主动同步服务器策略 TCP 中心服务器 any 策略网关代理 7893 同步代理策略 UDP 中心服务器 any radius服务器 7897 更新radius策略 UDP 补丁同步服务器 any 外网补丁服务器 8800 同步补丁 TCP 策略网关代理 any 中心服务器 7890 获取代理策略 TCP radius服务器 any 中心服务器 7890 获取radius策略 TCP 策略网关 any 策略网关代理 7893 拦截访问,通知代理 TCP 策略网关代理 any 客户端 7891 发送检查请求 UDP radius服务器 any 交换机 1812-1813 发送认证结果 UDP 交换机 any radius服务器 1812-1813 转发认证请求 UDP 交换机 any 客户端 1645-1646 下发ACL UDP radius服务器 any 域服务器 443 转发用户认证 TCP 中心服务器 any server monitor 7896 收集系统组件运行状态 TCP 客户端类 客户端 any 中心服务器 7890 心跳 UDP 客户端 any 中心服务器 7890 取策略 TCP 客户端 any 中心服务器 7898 SSL取策略 TCP 客户端 any 中心服务器 7890;7898 客户端注册 TCP 客户端 any 中心服务器 8833 web管理界面 TCP 客户端 any 软件分发服务器 7901 取分发任务 TCP 客户端 any 软件分发服务器 7902 取分发文件 TCP 客户端 any 资产服务器 7891 上报资产 TCP 客户端 any 攻击告警服务器 7899 上报攻击告警 UDP 客户端 any 补丁同步服务器 8833 下载补丁 TCP 客户端 any hod管理员 5500;5400 远程协助数据流 TCP 客户端 any 按需支援服务器 7895 发起支援请求 TCP UTM类 USG any 客户端 1080 发送拦截页面 TCP 客户端 any USG 1080 接收拦截页面 TCP USG any 策略网关代理 7893 拦截访问,通知代理 TCP 3.3.2 数据存储建议 采用数据的集中存储模式,便于用户的数据的存储备份管理。本部及各分支机构的数据全部存储在一台固定的数据库服务器中,省去数据同步的麻烦,增加数据一致性。 3.3.3 管理员权限划分 三权分立管理 在天珣内网安全风险管理与审计系统中,基本设置的操作必须有全局管理员权限才能进行,而普通的策略配置只需要普通管理员权限就能够进行。一个普通管理员定义的策略,另外一个普通管理员不能看见,也不能使用。全局管理员定义的策略,其它普通管理员能够使用,但不能修改。全局管理员能够使用、修改任何一个普通管理员或全局管理员定义的策略。对全局管理员或普通管理员,都能够设置”只读”属性,该管理员只能读取策略信息,不能增加、修改或应用策略。 在院总部,建议设置三种管理员。一种管理员是全局管理员,这类管理员由一至二个成员组成,她们负责进行基本设置,或一些全局性的策略。第二种管理员是普通管理员,主要由她们进行策略配置,她们定义的策略具有本地属性,当今后部署范围扩大,安装了更多的本地服务器,有更多的管理员参与策略系统管理时,她们定义的策略不会被其它管理员使用。第三种管理员是只读管理员,一般对部门领导设置这种权限,她们能够查看系统,但不需要她们做策略配置。 3.3.4 服务器安装及数据管理 见附件一。 4 客户端部署 4.1 经过应用准入方式部署客户端 4.2 应用准入控制部署 对于无法实施网络准入控制的区域,能够采用应用准入。 下图是采用应用准入的部署图。 分别在院的DNS服务器,ISA服务器,关键的Windows服务器,关键的Linux服务器等经常被访问的服务器上部署策略网关,当用户电脑访问这些服务器时,策略网关将会检查用户电脑是否运行了天珣内网安全风险管理与审计系统客户端软件,而且是否符合策略规则。如果不符合,策略网关将拒绝用户的访问,并给出友好的提示。在实际部署中,可根据情况增加或减少策略网关的部署数量。 天珣已经与启明星辰天清汉马USG实现准入控制互动,由USG作为新的应用准入控制类型。当终端需要经过USG进行访问时,由USG和天珣联动,只容许认证经过而且安全状态符合要求的终端经过USG进行访问。 4.3 建设期客户端部署 客户端部署主要采用客户自助安装、后台自动安装、或管理员辅助安装等部署方式。客户端自助安装可采用策略网关提示安装,网上邻居预安装,邮件提示预安装等方式。后台自动安装可使用现有的软件分发工具,或用专门的后台安装工具进行安装。管理员辅助安装是在前面的安装手段对个别用户不能成功部署时采用。 客户端部署依部门顺序分阶段进行,在对每个部门全面部署前,先进行一次终端应用情况调研,针对每个部门的终端使用情况进行详细调研,主要包括:OS、版本、补丁、应用系统、重要数据等其它相关内容。如果有需要特别注意的地方,就需要制定特别的部署方案。 4.4 维护期客户端部署 新购置电脑 对于少量新购置的电脑,建议在入网之前由管理部门安装天珣客户端;对于批量购置的电脑,建议与电脑厂商协商,在出厂时即安装天珣客户端。 电脑重装操作系统 天珣应用准入的一个重要功能是帮助管理员部署客户端。对于偶然重装操作系统的终端,可经过应用准入控制由用户自助安装客户端程序。 5 准入控制实施 5.1 应用准入控制实施 应用准入介绍 天珣系统中,具备其它同类软件不同的关键准入控制组件——策略网关,这个组件能够安装在企业网中一个或多个关键业务系统服务器之上,执行应用层准入控制,能够对来访的终端执行合规检查,如果来访终端非受控或不合规,将被拒绝访问该服务器或业务系统,同时也达到对这些关键服务器和业务系统增强保护的效果。 其中,基于DNS应用准入控制,又根据模式的不同,又能够分为旁路式的DNS准入(此时DNS处于旁路监听模式,无需改变DNS服务器配置或者安装DNS策略网关)和在线DNS准入(在DNS服务器上部署DNS策略网关)。 天珣能够与启明星辰天清汉马一体化安全网关(简称:天清汉马USG)组成UTM2合规管理方案,实现准入控制联动,由天清汉马USG担当准入控制网关,当计算机终端需要经过天清汉马USG进行访问时,确保只有受控和合规的才能经过天清汉马USG对USG所保护的服务器进行访问。 除此之外,天珣还能够提供能够与用户任意平台的B/S结构的业务系统无缝集成的Web准入控制。 集成的Web准入控制,平台适应能力非常广泛,服务端能够在Windows、Linux、unix下使用。 性能优越,而且部署及其简单,只需把控件加入登录页面上,而且替换了用户名输入控件,进行小量的页面修改即可完成部署。 应用准入的特点 i) 应用准入生效是在数据中心的服务器区,对于网络环境中因接入层交换机或汇聚层交换机不支持相应的网络准入认证协议,或者因内网终端合规管理的现实要求,暂时不需要启用最严格的网络准入控制的情况,应用准入将能够代替网络准入作为最佳的终端合规准入控制手段。当然如果终端始终不去访问数据中心服务器,那么将可能无法对其实施应用准入,因此前期对准入所使用的业务系统的选择将会非常关键。 ii) 独特功能:应用准入能够经过自动重定向,对未受控或者不合规的终端,进行个性化的友好提示,经过友好提示不但能够帮助最终用户了解无法访问业务服务器的原因,为最终用户接受和适应新的终端合规管理提供帮助,还能够经过该提示页面,发送执行合规管理的客户端软件,真正实现了最终用户”自助式”的客户端部署,不但大幅度减少系统维护人员的工作量,也极大减少用户的厌烦和抵触行为,保证合规管理有效性的同时,在内网终端合规管理过程中,体现了人性关怀,有效增强了最终用户在内网合规管理系统实施中的积极性,促进内网合规更快获得良好收效。 本项目中应用准入的实施 主页或OA服务器上的中性策略网关 在主页或OA服务器上安装天珣中性策略网关,受控终端访问主页或OA服务器时过程如下。 开启准入检查的网段,对有针对性地检查特定的网段,对特殊网段可设置使其不受策略网关的影响。 DNS准入 在内部DNS服务器上安装天珣DNS策略网关,当受控终端发送DNS请求时与DNS服务器交互过程如下: 开启准入检查的网段,对有针对性地检查特定的网段,对特殊网段可设置使其不受DNS准入的影响。 5.2 网络准入控制实施 对于接入交换机支持802.1X协议的区域,采用基于802.1x协议的网络准入控制。 下图是802.1x网络准入的部署图。 802.1X认证的Radius Server采用天珣自带的Radius Server,用户电脑安装天珣内网安全风险管理与审计系统客户端软件。天珣内网安全风险管理与审计系统支持分布式多服务器架构,建议每套天珣系统至少部署2个Radius服务器,以对802.1X提供互备的认证支持。 基于可信MAC地址的802.1X准入认证 在本次方案中,我们推荐XXXX院实行基于可信MAC地址验证的802.1X准入。该认证模式能够和”基本认证”、”扩展组合认证”组合成完善的准入模式。对接入电脑的MAC地址进行验证,如果不在允许接入的清单内,则拒绝该电脑的接入。对于新接入的电脑,该电脑的信息将即时报告给管理员,管理员能够在线决定是否允许该新电脑的接入。 客户端的安装 由于802.1X是二层协议,终端认证不成功将不能访问网络,故客户端的安装问题将影响用户的使用,客户端的安装请参见”客户端部署”章节。 n 策略配置 首先,在天珣WEB控制台中添加一条Radius Server策略,在这里配置radius认证服务器及其所使用的认证策略: 我们配置”网络准入类型”为”标准802.1x”,基本认证为”用户认证”,并选择电力集团的AD域作为认证域。接下来再把需要启用网络准入的交换机的IP加入到网络设备配置中,让radius服务器知道它将对哪些交换机的认证请求进行响应。 注意:共享密钥必须与交换机中配置的key一致,否则将无法认证成功。 在网络设备配置完成后,将其应用到radius配置的”启用准入控制的网络设备”中: 另外,在页面策略配置完成后,务必点击更新radius服务器策略,否则radius服务器将无法获取到最新的策略修改。 n 交换机配置 对于交换机的配置,我们会对两种电力集团普遍使用的接入层cisco和华为交换机进行介绍。 CISCO交换机 进入配置命令模式 # config terminal 配置Radius认证服务器 启用认证 # aaa new-model 设置802.1X使用radius server组中的所有radius server进行认证 # aaa authentication dot1x default group radius # aaa authorization network default group radius 添加ias到radius server,其中host后面的IP地址为IAS服务器地址,auth-port和acct-port为标准的Radius端口,key为交换机和Raidus服务器通讯密钥 # radius-server host XX.XX.XX.XX auth-port 1812 acct-port 1813 key 123456 启用802.1X # dot1x system-auth-control 配置7号端口使用802.1X认证 # interface FastEthernet0/7 # switchport mode access # dot1x port-control auto # dot1x host-mode multi-host(启用交换机端口的multiple-hosts模式,以使交换机可下接hub进行认证) # end 配置7号端口的重认证周期 可选项,配置802.1X重认证的周期,以秒为单位,默认为3600秒(1小时),当重认证时,如果网络端口接入其它没有运行天珣内网安全风险管理与审计系统的计算机,端口会马上封闭。 # interface FastEthernet0/7 # dot1x reauthentication # dot1x timeout reauth-period 3600 # end 保存当前配置作为启动配置 # copy running-config startup-config 注意:CISCO的交换机如果是远程使用telnet登陆到交换机进行配置的话,请千万记得配置aaa authentication login default line命令(不同型号交换机可能命令略有不同)。此命令作用是将telnet时进行的认证放在交换机本地,如果不配置的话,假如以前telnet交换机只需要输入密码的话,那么在下次进行telnet登陆时,交换机将会提示要求输入用户名和密码进行认证。 华为交换机 # 设置802.1x用户的认证方法,当前提供3种认证方法:PAP认证、CHAP认证、EAP中继认证。缺省情况下,华为交换机802.1x用户认证方法为CHAP认证。此处需要修改设置为EAP认证。 [Quidway] dot1x authentication-method eap # 创立RADIUS 组dot1x 并进入其视图 [Quidway] radius scheme dot1x # 设置主认证/计费RADIUS 服务器的IP 地址 [Quidway-radius-dot1x] primary authentication XX.XX.XX.XX # 设置主认证/计费RADIUS 服务器的IP 地址 [Quidway-radius-dot1x] primary accounting XX.XX.XX.XX # 设置系统与认证RADIUS 服务器交互报文时的加密密码 [Quidway -radius-dot1x] key authentication 123456 [Quidway -radius-dot1x] key accounting 123456 # 指示系统从用户名中去除用户域名后再将之传给RADIUS 服务器 [Quidway-radius-dot1x] user-name-format without-domain [Quidway-radius-dot1x] quit # 创立用户域dot1x,并进入其视图 [Quidway] domain dot1x # 指定”dot1x”为该用户域的Radius方案 [Quidway-isp-dot1x] radius-scheme dot1x [Quidway-isp-dot1x]quit # 指定交换机缺省的用户域为”dot1x” [Quidway] domain default enable dot1x # 开启E0/8的802.1x认证 [Quidway] dot1x interface Ethernet 0/8 # 开启全局802.1x 特性 [Quidway] dot1x # 保存设置 [Quidway] quit <Quidway> save 5.3 风险与灾备 802.1X准入作为一种最严格的准入控制手段具有其它准入控制措施不具有的优势,如认证流与数据流的分离、独立于应用之外、在严格之余又具有很高的可扩展性等。该准入控制手段已经大量应用于教育、金融行业,在近年来举办的重大赛事如广州亚运会,该准入控制手段也已经全面应用。随着企业信息化越来越深入,在信息安全领域,准入控制,特别是像802.1X这种严格的准入控制手段已经成为一个不得不考虑的选项。 但这种严格的准入控制技术也带来了不可忽视的断网风险。在对网络可用性要求极高的领域,如金融行业,大面积断网是不能容忍的一级事故。因此,一套完整的、可操作的风险预案便成了关键时刻的法宝。 下图是完成全面完成基于802.1X网络准入控制体系后,XXXX终端接入控制体系示意图。根据标准802.1X准入控制需要的三个实体,加上用户认证时需要的目录服务器(以AD域控制器为例),我们分析了天珣作为准入控制解决方法可能产生的风险点如下图标号所示。 XXXX终端接入控制体系抽象图 名词释义: 天珣中心服务器:提供策略集中编辑、下发和集中报表的功能,管理和同步策略到本地服务器、Radius服务器等其它服务器组件,并能够直接管理指定范围的终端的服务器; 天珣本地服务器:提供对指定范围终端进行管理的服务器,并能够管理和同步策略到Radius服务器。 Radius认证服务器:与Swich联动,提供对客户端及用户进行网络准入控制认证服务器。 AD域服务器:终端用户账号/密码的集中管理和认证服务器。 接入交换机(Switch):与Radius联动,提供对客户端及用户进行网络准入控制的接入层网络设备。 客户端(Clients):运行在每一台终端电脑上,执行终端安全管理策略,发起认证请求。 按照天珣系统的设计原理,以上组件中,除了中心服务器和本地服务器之外,其它任意组件,例如无备份的单一Radius服务器、目录服务器(本方案中的AD域服务器)、交换机、客户端,只要其中之一出现影响认证的故障,都将会导致终端网络准入认证失败。 每个组件对网络准入的影响,如下图所示: 从图中能够看出,每个组件都存在影响到网络准入失败的可能。可是,结合组件的作用和她们之间的相互关系,以下四个环节的风险最为突出: 策略服务器异常时,Radius无法主动获取正确策略。 AD域服务器异常或网络中断,导致AD域不可达,用户认证失败。 Radius服务器异常或网络中断,导致认证无法正常进行。 客户端异常,导致认证无法正常进行。 针对上述风险,天珣为该准入控制拟定了以下风险预案: 1、 风险 一种稳定的准入控制手段不有必要经常改变准入条件,如我们没有必要经常在仅验证客户端和可匿名登陆的用户认证两种方案间切换。但即使如此,天珣的Radius服务器(天珣自有的RADIUS服务器,不使用微软IAS等第三方产品)在每次收到准入控制策略后都会缓存该策略,直到服务器通知其更改,在此期间,天珣的RADIUS服务器不依赖中心服务器和本地服务器,即使服务器宕机,RADIUS服务器依然能够正常工作。在天珣系统中,这种风险已经能够忽略。 2、 风险预案 天珣能够同时使用多台主备的目录服务器,但即使如此,网络状况以及目录服务器的可用性依然构成较大的挑战。实行用户认证需要保证AD域始终可达,但不常发生的断电和网络故障让我们不能忽略极少发生的AD域不可达的可能性。为此,天珣提供了AD域的Radius bypass工具,当AD域不可达时,该工具可马上取消所有终端的用户认证,使准入控制方案变成仅”验证客户端的802.1X准入”,从而消除因AD域故障导致的网络准入认证失败的问题。 天珣目录服务RadiusBypass工具界面如下: 3、 风险预案 Radius服务器是802.1X网络准入的重中之重,在准入控制方案中,单台RADIUS服务器是巨大的风险点,正是基于此,网络设备厂商在标准配置中,都会为每台交换机配置双Radius服务器以做互备。从天珣实施的案例中,双RADIUS服务器年故障时间小于5分钟。在配置了双RADIUS服务器的情况下,特别是异地备份,该风险已经大大降低。但这始终不会成为我们松懈的理由,天珣建议将Radius作为核心服务器重点监控和保护,以消除Radius服务器的单点故障和Radius可能遭受到的网络攻击或机房环境影响。 同时,部分网络设备厂商也考虑了该问题,在交换机的配置方面有不同的使用方案。如,H3C的交换机能够配置多个认证选项,先使用radius认证,radius不可达则使用local或者使用none。这些手段均能够大大减少故障压力。 但作为最可靠的解决手段,取消交换机的802.1X准入是最后的法宝,也是最让人放心的措施。如果企业内部有统一的网络设备管理平台,可经过配置网管平台取消交换机的认证,若没有则可借助某些自定义的脚本。本方案中有以下脚本取消交换机的全局802.1X准入,以思科交换机为例: @echo off echo set sh=WScript.CreateObject("WScript.Shell") >telnet_tmp.vbs echo WScript.Sleep 3 >>telnet_tmp.vbs echo sh.SendKeys "open 172.25.99.1" >>telnet_tmp.vbs echo WScript.Sleep 3 >>telnet_tmp.vbs echo sh.SendKeys "{ENTER}" >>telnet_tmp.vbs echo WScript.Sleep 3 >>telnet_tmp.vbs echo sh.SendKeys "!QAZ2wsx{ENTER}" >>telnet_tmp.vbs echo WScript.Sleep 3 >>telnet_tmp.vbs echo sh.SendKeys "en{ENTER}" >>telnet_tmp.vbs echo WScript.Sleep 3 >>telnet_tmp.vbs echo sh.SendKeys "!QAZ2wsx{ENTER}" >>telnet_tmp.vbs echo WScript.Sleep 3 >>telnet_tmp.vbs echo sh.SendKeys "conf t{ENTER}" >>telnet_tmp.vbs echo WScript.Sleep 3 >>telnet_tmp.vbs echo sh.SendKeys "no dot1x sys{ENTER}" >>telnet_tmp.vbs echo WScript.Sleep 3 >>telnet_tmp.vbs echo sh.SendKeys "end{ENTER}" >>telnet_tmp.vbs echo WScript.Sleep 3 >>telnet_tmp.vbs echo sh.SendKeys "exit{ENTER}" >>telnet_tmp.vbs echo WScript.Sleep 3 >>telnet_tmp.vbs start telnet cscript //nologo telnet_tmp.vbs 4、 风险预案 由于网络准入控制认证需要由安装在终端的天珣客户端来执行,如果客户端不能正常运行,将直接导致认证无法进行。根据天珣以往的经验,导致客户端上线后不能运行的原因更多来自于与终端上安装的其它安全软件或工具误杀、误拦或冲突。 针对这种情况,天珣已经紧跟各杀毒软件和安全软件厂商更新情况,做好后方的沟通和兼容检测工作,最大限度消除相互影响带来的风险。 5、 天珣RADIUS服务器状态告警 在综合考虑了上述所有可能产生风险的故障点之后,天珣并没有停止对风险防范的思考,RADIUS服务器状态告警组件便是我们最近的成果。 在RADIUS所在服务器出现莫名故障时(Windows服务器操作系统不可避免),该组件能够即时报告其服务的可用状态,这种监视不是简单的进程保护,而是其内部流程的即时体现,包括它所依赖的所有第三方服务提供如目录服务。其报警结果能够为企业内部正在使用的综合告警平台所检测,经过企业现有的告警方式,如短信、邮件、电话等,及时通知管理员,以期获得最快的响应时间。 天珣RADIUS告警组件界面如下: 5.4 客户端准入部署 安装有天珣客户端程序的计算机终端在接受访问时,能够根据管理员预先配置的安全策略检查来访的计算机终端是否运行了天珣客户端程序,并检查其安全基线是否符合要求。如果来访的计算机终端未安装天珣客户端程序,或不符合安全策略要求,则拒绝其访问。 客户端准入控制示例图 当安装天珣客户端程序的计算机终端访问网络时,天珣客户端也会先检查其自身的安全基线是否合格,如果不合格,将限制其对网络的访问。 天珣客户端准入控制,创造性将每一台计算机终端都变成准入控制点,保证每台计算机终端只接受安全可信的计算机终端进行访问,并只能在安全基线合格时访问网络,实现最细粒度的准入控制。 天珣客户端具备网络阻断功能,在计算机终端安全基线不符合要求时,天珣客户端能不依赖网络设备及网络上其它终端或设备独立执行网络访问阻断。 天珣客户端更支持选择性阻断,在计算机终端安全基线不符合要求时,天珣客户端能根据管理员预先配置的安全策略,经过进程、端口、目标地址等条件,选择性地阻止部分非紧急业务的网络访问,而允许其它紧急业务的网络访问。 5.5 客户端准入控制部署建议 客户端准入是天珣的策略之一,客户端全部完装完毕之后经过下发一条简直的策略即可实现。本方案中建议开启管理网段内的客户端准入,同时注意在IP组中排除网络打印机、IP电话等特殊网络设备,使其不影响用户对这些设备的使用。 6 分工界面 项目阶段 项目任务 任务子项 责任方 职责分工 启明星辰 XXXX院 项目准备 组建项目组 　 XXXX院、 启明星辰 售前售后交接、指定专门的售后服务人员、项目经理和实施人员 指派项目配合人员 工程实施前准备 制定实施计划 XXXX院、启明星辰 提出部署要求 安排人员配合实施,确认 场地、网络环境准备 XXXX院 提出场地、环境要求 确认、支持 实施阶段 现场验收 　 启明星辰 对到货设备进行开箱清点验收 对到货设备进行清点验收 设备安装调试 设备上架 启明星辰 规划好物理位置、进行设备上架 安排人员配合 设备加电 启明星辰 对设备进行加电测试 　 系统部署 启明星辰 提出部署要求并按要求进行系统部署 安排人员配合 项目进度报告 启明星辰 对项目进度做出及时的汇总和报告 　 现场培训 　 启明星辰 对XXXX院技术人员进行现场培训 接受培训 初步验收 提交验收方案 启明星辰 提交方案和流程 确认 进行设备验收(到货验收) XXXX院、启明星辰 参与到货验收 　 试运行 系统联合调试 　 启明星辰 提供必要的协助 提出需求 故障响应 　 启明星辰 对系统问题进行响应并设备故障进行排除 对故障进行申报 系统终验 系统竣工验收 验收方案提交 启明星辰 提交方案和流程 对方案和流程进行确认 竣工验收 XXXX院、启明星辰 参与验收 组织验收 保修期 　 启明星辰 三年技术支撑服务 对故障进行申报 7 附件一:服务器安装及数据管理 服务器安装 策略服务器包括中心服务器、本地服务器、补丁分发服务器、资产管理服务器、radius服务器、告警服务器等组件,所有功能服务器集中管理,组件可根据具体情况增减。数据库采用SQL SERVER,统一管理报警日志及审计等数据。 安装环境及要求 客户端(Clients) 计算机没有很高的系统要求。客户端软件(也被称CC)能够被安装在Windows 32位系统之上,包括 Windows SP4, Windows Server SP1 和Windows XP SP2, Wind