【2022精编】实施方案模板天珣内网安全风险管理与审计系统v6695Patch66950000.docx

《【2022精编】实施方案模板天珣内网安全风险管理与审计系统v6695Patch66950000.docx》由会员分享，可在线阅读，更多相关《【2022精编】实施方案模板天珣内网安全风险管理与审计系统v6695Patch66950000.docx（56页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、天珣内网安全风险管理与审计系统实施方案（V6.6.9.5Patch66950000）启明星辰Beijing Venustech Cybervision Co., Ltd.2014 年 10月目录1系统实施原则11.1最大限度降低对用户的影响11.2全面细致规划，分步实施11.3安全策略从简到繁，安全级别步进式提高22实施计划23管理服务器部署33.1总部管理服务器部署33.2厂所独立管理服务器部署43.3部署实施建议53.3.1管理服务器与客户端通信要求53.3.2数据存储建议93.3.3管理员权限划分93.3.4服务器安装及数据管理94客户端部署104.1通过应用准入方式部署客户端104.2

2、应用准入控制部署104.3建设期客户端部署114.4维护期客户端部署115准入控制实施115.1应用准入控制实施125.2网络准入控制实施155.3风险与灾备215.4客户端准入部署275.5客户端准入控制部署建议286分工界面297附件一：服务器安装及数据管理311 系统实施原则1.1 最大限度降低对用户的影响部署终端安全管理系统的根本目的，是借助系统所提供的准入控制的技术手段，确保接入的电脑是合法的和符合XX研究院安全策略要求的，最大限度降低不安全的客户端电脑对XX研究院网络和信息资源带来的风险和威胁，保证XX研究院每一个用户的电脑始终处于良好的运行状态，大大降低故障发生概率，从而保证每个

3、用户都能够完全专注在自己的本职业务工作，并大大提高每一个用户的工作效率。因此，选择和部署终端安全管理系统时，在确保XX研究院安全策略的有效执行的前提下，要最大限度降低对电脑用户在日常工作中的影响，例如减少终端用户在系统的使用过程中的不必要的操作和介入，在用户违反安全策略时进行友好提示，尊重和保护个人隐私，为用户安全网络访问和信息交换保驾护航。1.2 全面细致规划，分步实施终端安全管理系统，作为XX研究院网络安全的基础架构中非常重要的客户端电脑安全管理平台，将涉及到XX研究院内部每一台接受管理的电脑和每一个用户，涉及面广，影响面大。当然，为了根本上解决客户端电脑的安全管理问题，这样的系统的部署也

4、势在必行，因此在系统部署前需要对系统的实施过程、安全策略的制定和安全管理制度的建立，进行全面系统地规划，并在实施过程中，根据实际环境进行适时调整，从而保证系统和安全策略在XX研究院内部顺利执行下去，实现项目预期的目标，保障内部网络具有更高可用性和客户端电脑的更高安全性。部署前需要规划的内容包括：内部网络和用户的安全分级和规划，系统部署的次序和周期，针对不同部门或用户角色的安全策略组合，系统安全策略的动态调整等等。安全不是一蹴而就的，由于该系统涉及面较广，因此系统的实施需要全面规划，分步实施，循序渐进，真正发挥系统的安全保护和主动防御的功效。1.3 安全策略从简到繁，安全级别步进式提高由于XX研

5、究院分支机构、部门和人员较多，对应每一个角色的安全保护级别要求也层次各异，如果为了保证最高的安全性，使用同样一种严格的安全策略，或者为了降低安全管理的工作量，简单的执行一类基本安全策略，都是不合适的。在规划中要预先基于用户角色确定每个部门、用户或分支机构，确定对应的最合适的安全策略组合，作为系统最终实现的安全管理目标。在实施过程中，再按照由简到繁的次序，先实施所有用户都必须遵守的安全策略，然后再根据不同分支机构、部门和用户，步进式下发和执行各级安全策略，从而实现安全级别步进式提高，构建立体的、混合模式的终端安全策略管理体系。2 实施计划内网终端合规管理提升是一个循序渐进和不断完善的过程，要兼顾

6、“安全性”和“便利性”，合规管理应“先弱后强”，实施策略应“先易后难”的原则，消除来自业务部门和终端员工的抵触情绪和压力。因此在安装过程中，我们严格遵循天珣安装“三步走”原则，即：a) 通过应用准入推动客户端部署安装，通过友好的提示界面以及强度稍弱的准入控制方式，善意的提醒用户主动安装天珣客户端，并提供给用户下载地址，由其去下载和安装b) 配置策略管理受控终端使其进行自身安全状态的完善，目标则是让内网受控终端成为合规安全的终端，保证内网安全建设成功而高效c) 启用网络准入，在用户熟悉天珣准入控制系统的特性后再启用网络准入，将会受到最小的阻力，最终完成整个准入体系的关键一步当然，也会有一些部门或

7、区域的安全保护等级要求没有这么高，这时我们可以对其采用适合自己的准入控制方式和安全策略，从而使的整个项目更加人性化。项目时间表3 管理服务器部署3.1 总部管理服务器部署院本部内厂所内：两种方式部署管理服务器，一种是逻辑上的集中管理分级授权方式，另一种完全独立的策略管理服务器方式。天珣内网安全风险管理与审计系统支持多策略服务器架构。每个服务器服务一个或多个园区。而这些服务器可以相互备份，在一个统一的控制台接受集中管理。如果一台服务器宕机，其服务的用户会自动被其他的服务器接管。每一个管理网段的电脑都有3次从服务器获取规则的机会，它们首先会从Primary的策略服务器获取规则，如果失败，则从Sec

8、ondary的策略服务器获取规则，如果再失败，则从中心服务器获取规则，如果还是失败，则使用客户端本地缓存的规则。分布式多服务器架构使天珣内网安全风险管理与审计系统具有优秀的容错性、可伸缩性，支持的客户端数量从数百个到数万以至更多，而部署极为平滑，性能不受影响。在本次实施中，需要部署三台策略服务器，一台中心服务器，两台本地服务器。三台策略服务器都安装在中心机房，要求本次实施的所有的客户端电脑及策略网关都可以通过TCP/IP协议的7890端口访问到策略服务器。因为中心服务器有日常的管理负荷，建议中心服务器管理3000台终端电脑，本地服务器管理7000台终端电脑。对于任何一个管理网段，如果其Prim

9、ary Server为其中一台，则其Secondary Server将被设为另外一台。中心服务器两台本地服务器管理网段一管理网段二PrimarySecondaryPrimarySecondary3.2 厂所独立管理服务器部署独立厂所：完全独立的策略管理服务器方式。在分布式多服务器架构下，中心服务器是整个系统策略集中存放的地方，本地服务器是进行日常的策略分发的地方。全系统只需要一个中心服务器，可以有多个本地服务器，中心服务器可以兼作本地服务器。在本次实施中，两台策略服务器都在院总部的直接管理下，由总部的管理员进行管理。在今后的实施中，可以在各下级厂所架设本地服务器，由总部的管理员进行全局控制，而

10、由各厂所的管理员进行本地化的管理。从投资成本上考虑，建议本项服务器都在集中部署在院总部信息中心更有利，院下属各厂所多集中在园区网内网络带宽足以满足集中心管理的需要，因此推荐集中管理的部署方式。3.3 部署实施建议3.3.1 管理服务器与客户端通信要求CC与管理服务器的通信列表。28类别源源端口目标目标端口功能协议服务器类中心服务器any客户端7891主动下发策略UDP中心服务器any客户端7891策略预检查UDP中心服务器any本地服务器7892主动同步服务器策略TCP中心服务器any策略网关代理7893同步代理策略UDP中心服务器anyradius服务器7897更新radius策略UDP补丁

11、同步服务器any外网补丁服务器8800同步补丁TCP策略网关代理any中心服务器7890获取代理策略TCPradius服务器any中心服务器7890获取radius策略TCP策略网关any策略网关代理7893拦截访问，通知代理TCP策略网关代理any客户端7891发送检查请求UDPradius服务器any交换机1812-1813发送认证结果UDP交换机anyradius服务器1812-1813转发认证请求UDP交换机any客户端1645-1646下发ACLUDPradius服务器any域服务器443转发用户认证TCP中心服务器anyserver monitor7896收集系统组件运行状态TCP

12、客户端类客户端any中心服务器7890心跳UDP客户端any中心服务器7890取策略TCP客户端any中心服务器7898SSL取策略TCP客户端any中心服务器7890;7898客户端注册TCP客户端any中心服务器8833web管理界面TCP客户端any软件分发服务器7901取分发任务TCP客户端any软件分发服务器7902取分发文件TCP客户端any资产服务器7891上报资产TCP客户端any攻击告警服务器7899上报攻击告警UDP客户端any补丁同步服务器8833下载补丁TCP客户端anyhod管理员5500;5400远程协助数据流TCP客户端any按需支援服务器7895发起支援请求TC

13、PUTM类USGany客户端1080发送拦截页面TCP客户端anyUSG1080接收拦截页面TCPUSGany策略网关代理7893拦截访问，通知代理TCP3.3.2 数据存储建议采用数据的集中存储模式，便于用户的数据的存储备份管理。本部及各分支机构的数据全部存储在一台固定的数据库服务器中，省去数据同步的麻烦，增加数据一致性。3.3.3 管理员权限划分三权分立管理在天珣内网安全风险管理与审计系统中，基本设置的操作必须有全局管理员权限才能进行，而普通的策略配置只需要普通管理员权限就可以进行。一个普通管理员定义的策略，另外一个普通管理员不能看见，也不能使用。全局管理员定义的策略，其他普通管理员可以使

14、用，但不能修改。全局管理员可以使用、修改任何一个普通管理员或全局管理员定义的策略。对全局管理员或普通管理员，都可以设置“只读”属性，该管理员只能读取策略信息，不能增加、修改或应用策略。在院总部，建议设置三种管理员。一种管理员是全局管理员，这类管理员由一至二个成员组成，他们负责进行基本设置，或一些全局性的策略。第二种管理员是普通管理员，主要由他们进行策略配置，他们定义的策略具有本地属性，当今后部署范围扩大，安装了更多的本地服务器，有更多的管理员参与策略系统管理时，他们定义的策略不会被其他管理员使用。第三种管理员是只读管理员，一般对部门领导设置这种权限，他们可以查看系统，但不需要他们做策略配置。3

15、.3.4 服务器安装及数据管理见附件一。4 客户端部署4.1 通过应用准入方式部署客户端4.2 应用准入控制部署对于无法实施网络准入控制的区域，可以采用应用准入。下图是采用应用准入的部署图。分别在院的DNS服务器，ISA服务器，关键的Windows服务器，关键的Linux服务器等经常被访问的服务器上部署策略网关，当用户电脑访问这些服务器时，策略网关将会检查用户电脑是否运行了天珣内网安全风险管理与审计系统客户端软件，而且是否符合策略规则。如果不符合，策略网关将拒绝用户的访问，并给出友好的提示。在实际部署中，可根据情况增加或减少策略网关的部署数量。天珣已经与启明星辰天清汉马USG实现准入控制互动，

16、由USG作为新的应用准入控制类型。当终端需要通过USG进行访问时，由USG和天珣联动，只容许认证通过并且安全状态符合要求的终端通过USG进行访问。4.3 建设期客户端部署客户端部署主要采用客户自助安装、后台自动安装、或管理员辅助安装等部署方式。客户端自助安装可采用策略网关提示安装，网上邻居预安装，邮件提示预安装等方式。后台自动安装可使用现有的软件分发工具，或用专门的后台安装工具进行安装。管理员辅助安装是在前面的安装手段对个别用户不能成功部署时采用。客户端部署依部门顺序分阶段进行，在对每个部门全面部署前，先进行一次终端应用情况调研，针对每个部门的终端使用情况进行详细调研，主要包括：OS、版本、补

17、丁、应用系统、重要数据等其它相关内容。如果有需要特别注意的地方，就需要制定特别的部署方案。4.4 维护期客户端部署新购置电脑对于少量新购置的电脑，建议在入网之前由管理部门安装天珣客户端；对于批量购置的电脑，建议与电脑厂商协商，在出厂时即安装天珣客户端。电脑重装操作系统天珣应用准入的一个重要功能是帮助管理员部署客户端。对于偶尔重装操作系统的终端，可通过应用准入控制由用户自助安装客户端程序。5 准入控制实施 5.1 应用准入控制实施应用准入介绍天珣系统中，具备其他同类软件不同的关键准入控制组件策略网关，这个组件可以安装在企业网中一个或多个关键业务系统服务器之上，执行应用层准入控制，可以对来访的终端

18、执行合规检查，如果来访终端非受控或不合规，将被拒绝访问该服务器或业务系统，同时也达到对这些关键服务器和业务系统增强保护的效果。其中，基于DNS应用准入控制，又根据模式的不同，又可以分为旁路式的DNS准入（此时DNS处于旁路监听模式，无需改变DNS服务器配置或者安装DNS策略网关）和在线DNS准入（在DNS服务器上部署DNS策略网关）。天珣能够与启明星辰天清汉马一体化安全网关（简称：天清汉马USG）组成UTM2合规管理方案，实现准入控制联动，由天清汉马USG担当准入控制网关，当计算机终端需要通过天清汉马USG进行访问时，确保只有受控和合规的才能通过天清汉马USG对USG所保护的服务器进行访问。除

19、此之外，天珣还能够提供可以与用户任意平台的B/S结构的业务系统无缝集成的Web准入控制。集成的Web准入控制，平台适应能力非常广泛，服务端能够在Windows、Linux、unix下使用。性能优越，而且部署及其简单，只需把控件加入登录页面上，并且替换了用户名输入控件，进行小量的页面修改即可完成部署。应用准入的特点i) 应用准入生效是在数据中心的服务器区，对于网络环境中因接入层交换机或汇聚层交换机不支持相应的网络准入认证协议，或者因内网终端合规管理的现实要求，暂时不需要启用最严格的网络准入控制的情况，应用准入将可以代替网络准入作为最佳的终端合规准入控制手段。当然如果终端始终不去访问数据中心服务器

20、，那么将可能无法对其实施应用准入，因此前期对准入所使用的业务系统的选择将会非常关键。ii) 独特功能：应用准入可以通过自动重定向，对未受控或者不合规的终端，进行个性化的友好提示，通过友好提示不仅可以帮助最终用户了解无法访问业务服务器的原因，为最终用户接受和适应新的终端合规管理提供帮助，还可以通过该提示页面，发送执行合规管理的客户端软件，真正实现了最终用户“自助式”的客户端部署，不仅大幅度减少系统维护人员的工作量，也极大减少用户的厌烦和抵触行为，保证合规管理有效性的同时，在内网终端合规管理过程中，体现了人性关怀，有效增强了最终用户在内网合规管理系统实施中的积极性，促进内网合规更快获得良好收效。本

21、项目中应用准入的实施主页或OA服务器上的中性策略网关在主页或OA服务器上安装天珣中性策略网关，受控终端访问主页或OA服务器时过程如下。开启准入检查的网段，对有针对性地检查特定的网段，对特殊网段可设置使其不受策略网关的影响。DNS准入在内部DNS服务器上安装天珣DNS策略网关，当受控终端发送DNS请求时与DNS服务器交互过程如下：开启准入检查的网段，对有针对性地检查特定的网段，对特殊网段可设置使其不受DNS准入的影响。5.2 网络准入控制实施对于接入交换机支持802.1X协议的区域，采用基于802.1x协议的网络准入控制。下图是802.1x网络准入的部署图。802.1X认证的Radius Ser

22、ver采用天珣自带的Radius Server，用户电脑安装天珣内网安全风险管理与审计系统客户端软件。天珣内网安全风险管理与审计系统支持分布式多服务器架构，建议每套天珣系统至少部署2个Radius服务器，以对802.1X提供互备的认证支持。基于可信MAC地址的802.1X准入认证在本次方案中，我们推荐XXXX院实行基于可信MAC地址验证的802.1X准入。该认证模式可以和“基本认证”、“扩展组合认证”组合成完善的准入模式。对接入电脑的MAC地址进行验证，如果不在允许接入的清单内，则拒绝该电脑的接入。对于新接入的电脑，该电脑的信息将即时报告给管理员，管理员可以在线决定是否允许该新电脑的接入。客户

23、端的安装由于802.1X是二层协议，终端认证不成功将不能访问网络，故客户端的安装问题将影响用户的使用，客户端的安装请参见“客户端部署”章节。n 策略配置首先，在天珣WEB控制台中添加一条Radius Server策略，在这里配置radius认证服务器及其所使用的认证策略：我们配置“网络准入类型”为“标准802.1x”，基本认证为“用户认证”，并选择电力集团的AD域作为认证域。接下来再把需要启用网络准入的交换机的IP加入到网络设备配置中，让radius服务器知道它将对哪些交换机的认证请求进行响应。注意：共享密钥必须与交换机中配置的key一致，否则将无法认证成功。在网络设备配置完成后，将其应用到r

24、adius配置的“启用准入控制的网络设备”中：另外，在页面策略配置完成后，务必点击更新radius服务器策略，否则radius服务器将无法获取到最新的策略修改。n 交换机配置对于交换机的配置，我们会对两种电力集团普遍使用的接入层cisco和华为交换机进行介绍。CISCO交换机进入配置命令模式# config terminal配置Radius认证服务器启用认证# aaa new-model设置802.1X使用radius server组中的所有radius server进行认证# aaa authentication dot1x default group radius# aaa authori

25、zation network default group radius添加ias到radius server，其中host后面的IP地址为IAS服务器地址，auth-port和acct-port为标准的Radius端口，key为交换机和Raidus服务器通讯密钥# radius-server host XX.XX.XX.XX auth-port 1812 acct-port 1813 key 123456启用802.1X# dot1x system-auth-control配置7号端口使用802.1X认证# interface FastEthernet0/7# switchport mode

26、access# dot1x port-control auto# dot1x host-mode multi-host（启用交换机端口的multiple-hosts模式，以使交换机可下接hub进行认证）# end配置7号端口的重认证周期可选项，配置802.1X重认证的周期，以秒为单位，默认为3600秒（1小时），当重认证时，如果网络端口接入其他没有运行天珣内网安全风险管理与审计系统的计算机，端口会立刻封闭。# interface FastEthernet0/7# dot1x reauthentication# dot1x timeout reauth-period 3600# end保存当前配

27、置作为启动配置# copy running-config startup-config注意：CISCO的交换机如果是远程使用telnet登陆到交换机进行配置的话，请千万记得配置aaa authentication login default line命令（不同型号交换机可能命令略有不同）。此命令作用是将telnet时进行的认证放在交换机本地，如果不配置的话，假如以前telnet交换机只需要输入密码的话，那么在下次进行telnet登陆时，交换机将会提示要求输入用户名和密码进行认证。华为交换机# 设置802.1x用户的认证方法，目前提供3种认证方法：PAP认证、CHAP认证、EAP中继认证。缺省情

28、况下，华为交换机802.1x用户认证方法为CHAP认证。此处需要修改设置为EAP认证。Quidway dot1x authentication-method eap# 创建RADIUS 组dot1x 并进入其视图Quidway radius scheme dot1x# 设置主认证/计费RADIUS 服务器的IP 地址Quidway-radius-dot1x primary authentication XX.XX.XX.XX# 设置主认证/计费RADIUS 服务器的IP 地址Quidway-radius-dot1x primary accounting XX.XX.XX.XX# 设置系统与认证

29、RADIUS 服务器交互报文时的加密密码Quidway -radius-dot1x key authentication 123456Quidway -radius-dot1x key accounting 123456# 指示系统从用户名中去除用户域名后再将之传给RADIUS 服务器Quidway-radius-dot1x user-name-format without-domainQuidway-radius-dot1x quit# 创建用户域dot1x，并进入其视图Quidway domain dot1x# 指定“dot1x”为该用户域的Radius方案Quidway-isp-dot1

30、x radius-scheme dot1xQuidway-isp-dot1xquit# 指定交换机缺省的用户域为“dot1x”Quidway domain default enable dot1x# 开启E0/8的802.1x认证Quidway dot1x interface Ethernet 0/8# 开启全局802.1x 特性Quidway dot1x# 保存设置Quidway quit save 5.3 风险与灾备802.1X准入作为一种最严格的准入控制手段具有其他准入控制措施不具有的优势，如认证流与数据流的分离、独立于应用之外、在严格之余又具有很高的可扩展性等。该准入控制手段已经大量应

31、用于教育、金融行业，在近年来举办的重大赛事如广州亚运会，该准入控制手段也已经全面应用。随着企业信息化越来越深入，在信息安全领域，准入控制，尤其是像802.1X这种严格的准入控制手段已经成为一个不得不考虑的选项。但这种严格的准入控制技术也带来了不可忽视的断网风险。在对网络可用性要求极高的领域，如金融行业，大面积断网是不能容忍的一级事故。因此，一套完整的、可操作的风险预案便成了关键时刻的法宝。下图是完成全面完成基于802.1X网络准入控制体系后，XXXX终端接入控制体系示意图。根据标准802.1X准入控制需要的三个实体，加上用户认证时需要的目录服务器（以AD域控制器为例），我们分析了天珣作为准入控

32、制解决方法可能产生的风险点如下图标号所示。XXXX终端接入控制体系抽象图名词释义：天珣中心服务器：提供策略集中编辑、下发和集中报表的功能，管理和同步策略到本地服务器、Radius服务器等其他服务器组件，并可以直接管理指定范围的终端的服务器；天珣本地服务器：提供对指定范围终端进行管理的服务器，并可以管理和同步策略到Radius服务器。Radius认证服务器：与Swich联动，提供对客户端及用户进行网络准入控制认证服务器。AD域服务器：终端用户账号/密码的集中管理和认证服务器。接入交换机（Switch）：与Radius联动，提供对客户端及用户进行网络准入控制的接入层网络设备。客户端（Clients

33、）：运行在每一台终端电脑上，执行终端安全管理策略，发起认证请求。按照天珣系统的设计原理，以上组件中，除了中心服务器和本地服务器之外，其他任意组件，例如无备份的单一Radius服务器、目录服务器（本方案中的AD域服务器）、交换机、客户端，只要其中之一出现影响认证的故障，都将会导致终端网络准入认证失败。每个组件对网络准入的影响，如下图所示：从图中可以看出，每个组件都存在影响到网络准入失败的可能。但是，结合组件的作用和他们之间的相互关系，以下四个环节的风险最为突出：策略服务器异常时，Radius无法主动获取正确策略。AD域服务器异常或网络中断，导致AD域不可达，用户认证失败。Radius服务器异常或

34、网络中断，导致认证无法正常进行。客户端异常，导致认证无法正常进行。针对上述风险，天珣为该准入控制拟定了以下风险预案：1、 风险一种稳定的准入控制手段不有必要经常改变准入条件，如我们没有必要经常在仅验证客户端和可匿名登陆的用户认证两种方案间切换。但即使如此，天珣的Radius服务器（天珣自有的RADIUS服务器，不使用微软IAS等第三方产品）在每次收到准入控制策略后都会缓存该策略，直到服务器通知其更改，在此期间，天珣的RADIUS服务器不依赖中心服务器和本地服务器，即使服务器宕机，RADIUS服务器依然可以正常工作。在天珣系统中，这种风险已经可以忽略。2、 风险预案天珣可以同时使用多台主备的目录

35、服务器，但即使如此，网络状况以及目录服务器的可用性依然构成较大的挑战。实行用户认证需要保证AD域始终可达，但不常发生的断电和网络故障让我们不能忽略极少发生的AD域不可达的可能性。为此，天珣提供了AD域的Radius bypass工具，当AD域不可达时，该工具可立刻取消所有终端的用户认证，使准入控制方案变成仅“验证客户端的802.1X准入”，从而消除因AD域故障导致的网络准入认证失败的问题。天珣目录服务RadiusBypass工具界面如下：3、 风险预案Radius服务器是802.1X网络准入的重中之重，在准入控制方案中，单台RADIUS服务器是巨大的风险点，正是基于此，网络设备厂商在标准配置中

36、，都会为每台交换机配置双Radius服务器以做互备。从天珣实施的案例中，双RADIUS服务器年故障时间小于5分钟。在配置了双RADIUS服务器的情况下，尤其是异地备份，该风险已经大大降低。但这始终不会成为我们松懈的理由，天珣建议将Radius作为核心服务器重点监控和保护，以消除Radius服务器的单点故障和Radius可能遭受到的网络攻击或机房环境影响。同时，部分网络设备厂商也考虑了该问题，在交换机的配置方面有不同的使用方案。如，H3C的交换机可以配置多个认证选项，先使用radius认证，radius不可达则使用local或者使用none。这些手段均可以大大减少故障压力。但作为最可靠的解决手段

37、，取消交换机的802.1X准入是最后的法宝，也是最让人放心的措施。如果企业内部有统一的网络设备管理平台，可通过配置网管平台取消交换机的认证，若没有则可借助某些自定义的脚本。本方案中有以下脚本取消交换机的全局802.1X准入，以思科交换机为例：echo offecho set sh=WScript.CreateObject(WScript.Shell) telnet_tmp.vbsecho WScript.Sleep 3 telnet_tmp.vbsecho sh.SendKeys open 172.25.99.1 telnet_tmp.vbsecho WScript.Sleep 3 telne

38、t_tmp.vbsecho sh.SendKeys ENTER telnet_tmp.vbsecho WScript.Sleep 3 telnet_tmp.vbsecho sh.SendKeys !QAZ2wsxENTER telnet_tmp.vbsecho WScript.Sleep 3 telnet_tmp.vbsecho sh.SendKeys enENTER telnet_tmp.vbsecho WScript.Sleep 3 telnet_tmp.vbsecho sh.SendKeys !QAZ2wsxENTER telnet_tmp.vbsecho WScript.Sleep 3

39、 telnet_tmp.vbsecho sh.SendKeys conf tENTER telnet_tmp.vbsecho WScript.Sleep 3 telnet_tmp.vbsecho sh.SendKeys no dot1x sysENTER telnet_tmp.vbsecho WScript.Sleep 3 telnet_tmp.vbsecho sh.SendKeys endENTER telnet_tmp.vbsecho WScript.Sleep 3 telnet_tmp.vbsecho sh.SendKeys exitENTER telnet_tmp.vbsecho WS

40、cript.Sleep 3 telnet_tmp.vbsstart telnetcscript /nologo telnet_tmp.vbs4、 风险预案由于网络准入控制认证需要由安装在终端的天珣客户端来执行，如果客户端不能正常运行，将直接导致认证无法进行。根据天珣以往的经验，导致客户端上线后不能运行的原因更多来自于与终端上安装的其他安全软件或工具误杀、误拦或冲突。针对这种情况，天珣已经紧跟各杀毒软件和安全软件厂商更新情况，做好后方的沟通和兼容检测工作，最大限度消除相互影响带来的风险。5、 天珣RADIUS服务器状态告警在综合考虑了上述所有可能产生风险的故障点之后，天珣并没有停止对风险防范的思

41、考，RADIUS服务器状态告警组件便是我们最近的成果。在RADIUS所在服务器出现莫名故障时（Windows服务器操作系统不可避免），该组件可以即时报告其服务的可用状态，这种监视不是简单的进程保护，而是其内部流程的即时体现，包括它所依赖的所有第三方服务提供如目录服务。其报警结果可以为企业内部正在使用的综合告警平台所检测，通过企业现有的告警方式，如短信、邮件、电话等，及时通知管理员，以期获得最快的响应时间。天珣RADIUS告警组件界面如下：5.4 客户端准入部署安装有天珣客户端程序的计算机终端在接受访问时，可以根据管理员预先配置的安全策略检查来访的计算机终端是否运行了天珣客户端程序，并检查其安全

42、基线是否符合要求。如果来访的计算机终端未安装天珣客户端程序，或不符合安全策略要求，则拒绝其访问。客户端准入控制示例图当安装天珣客户端程序的计算机终端访问网络时，天珣客户端也会先检查其自身的安全基线是否合格，如果不合格，将限制其对网络的访问。天珣客户端准入控制，创造性将每一台计算机终端都变成准入控制点，保证每台计算机终端只接受安全可信的计算机终端进行访问，并只能在安全基线合格时访问网络，实现最细粒度的准入控制。天珣客户端具备网络阻断功能，在计算机终端安全基线不符合要求时，天珣客户端能不依赖网络设备及网络上其他终端或设备独立执行网络访问阻断。天珣客户端更支持选择性阻断，在计算机终端安全基线不符合要

43、求时，天珣客户端能根据管理员预先配置的安全策略，通过进程、端口、目标地址等条件，选择性地阻止部分非紧急业务的网络访问，而允许其他紧急业务的网络访问。5.5 客户端准入控制部署建议客户端准入是天珣的策略之一，客户端全部完装完毕之后通过下发一条简直的策略即可实现。本方案中建议开启管理网段内的客户端准入，同时注意在IP组中排除网络打印机、IP电话等特殊网络设备，使其不影响用户对这些设备的使用。编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第54页 共56页6 分工界面项目阶段项目任务任务子项责任方职责分工启明星辰XXXX院项目准备组建项目组XXXX院、启明星辰售前售后交接、指定专

44、门的售后服务人员、项目经理和实施人员指派项目配合人员工程实施前准备制定实施计划XXXX院、启明星辰提出部署要求安排人员配合实施，确认场地、网络环境准备XXXX院提出场地、环境要求确认、支持实施阶段现场验收启明星辰对到货设备进行开箱清点验收对到货设备进行清点验收 设备安装调试设备上架启明星辰规划好物理位置、进行设备上架安排人员配合设备加电启明星辰对设备进行加电测试系统部署启明星辰提出部署要求并按要求进行系统部署安排人员配合项目进度报告启明星辰对项目进度做出及时的汇总和报告现场培训启明星辰对XXXX院技术人员进行现场培训接受培训初步验收提交验收方案启明星辰提交方案和流程确认进行设备验收（到货验收）

45、XXXX院、启明星辰参与到货验收试运行系统联合调试启明星辰提供必要的协助提出需求故障响应启明星辰对系统问题进行响应并设备故障进行排除对故障进行申报系统终验系统竣工验收验收方案提交启明星辰提交方案和流程对方案和流程进行确认竣工验收XXXX院、启明星辰参与验收组织验收保修期启明星辰三年技术支撑服务对故障进行申报7 附件一：服务器安装及数据管理服务器安装策略服务器包括中心服务器、本地服务器、补丁分发服务器、资产管理服务器、radius服务器、告警服务器等组件，所有功能服务器集中管理，组件可根据具体情况增减。数据库采用SQL SERVER，统一管理报警日志及审计等数据。安装环境及要求客户端（Clients） 计算机没有很高的系统要求。客户端软件(也被称CC)可以被安装在Windows 32位系统之上，包括 Windows2000 SP4, Windows Server 2003 SP1 和Windows XP SP2