计算机终端网络准入管理规定,网络准入与终端安全.doc

网络准入与终端安全

XXXX

网络准入与终端安全管理技术方案

亿阳信通

2011-08-03目 录

目 录- 1 -

图表目录- 4 -

1日趋突出的统一安全管理系统需要- 1 -

1.1XXXX面临的网络安全挑战- 1 -

1.2XXXX网络安全管理需求分析- 2 -

1.3建立统一的IT安全运维管理系统- 3 -

2解决方案总体概述5

2.1解决方案总体设计思路5

2.1.1方案设计原则5

2.1.2统一的集成化管理平台7

2.1.3与网络紧密集成的终端管理7

2.1.4人、计算机统一管理8

2.1.5开放性8

2.2“亿阳IT安全运维管理系统”体系架构8

2.2.1TSMS的终端安全管理总体思路8

2.2.2TSMS终端安全管理系统的系统架构9

2.2.3TSMS终端安全管理系统简介12

3网络准入控制实现16

3.1准入控制系统部署方案总体说明16

3.1.1准入控制系统部署的目的16

3.1.2准入控制系统部署后终端接入网络的流程16

3.1.3准入控制系统部署后的影响17

3.2TSMS网络准入控制方案介绍18

3.2.1TSMS网络准入控制技术介绍18

3.2.2网络准入控制部署方案建议21

3.2.3TSMS支持的网络准入控制策略23

3.2.4准入控制后用户接入网络的时间估计24

3.3网络准入控制部署建议25

3.3.1总体部署建议25

3.3.2准入控制高可靠性保障措施建议(消除单点故障)26

3.3.3准入控制灾难恢复与“一键式”复原技术27

3.3.4分步部署建议27

4集中式终端安全管理实现29

4.1二层拓扑自动发现29

4.2设备快速定位(交换机端口定位)30

4.3安全策略管理30

4.3.1安全漏洞检查30

4.3.2防止ARP网关、DHCP欺骗31

4.3.3网络异常监控32

4.3.4流量明细统计33

4.3.5非法外联控制34

4.3.6网络行为审计与控制34

4.3.7个人防火墙35

4.3.8软件许可监控(黑白名单)36

4.3.9Windows本地安全策略38

4.3.10违规客户端远程阻断39

4.3.11支持穿透客户端防火墙39

4.4防止文件非法外传控制39

4.4.1U盘/软盘控制39

4.4.2MSN/QQ文件外传控制40

4.4.3电子邮件方式外传控制40

4.4.4WebMail方式外传控制40

4.4.5文件共享方式外传控制40

4.4.6离线控制41

4.5补丁分发管理41

4.5.1补丁断点续传41

4.5.2补丁测试41

4.5.3客户端用户手工安装补丁42

4.5.4补丁自动分发安装44

4.6软件分发管理45

4.6.1断点续传45

4.6.2分发模式45

4.6.3软件分发过程监控45

4.7IT资产管理47

4.7.1资产自动采集47

4.7.2配置变更管理47

4.8远程支持50

4.9消息广播51

4.10全局管理功能52

4.10.1设备分组52

4.10.2管理员权限管理和分组52

4.10.3管理员日志审计53

4.10.4报表和数据备份54

4.11客户机软件部署56

4.11.1TSMS Agent特性56

4.11.2TSMS的客户机软件部署技术57

4.11.3客户机软件部署建议57

5项目实施方案59

5.1系统部署59

5.1.1TSMS系统部署优势59

5.1.2TSMS服务器部署59

5.2软硬件配置清单61

5.2.1TSMS服务器硬件(2台，必选项目)61

5.2.2补丁下载服务器(1台，可选)62

5.2.3服务器软件配置62

5.3实施计划62

5.4项目实施小组63

图表目录

图 1 PDCA安全模型6

图 2 TSMS终端安全管理系统架构10

图 3 TSMS网络准入控制架构19

图 4 基于802.1x认证和Cisco EoU认证准入控制技术对比20

图 5部署连接示意图21

图 6 准入控制部署方案建议22

图 7 二层网络拓扑图29

图 8 客户端安全漏洞扫描31

图 9 反ARP、反DHCP欺骗策略32

图 10 网络异常检测配置33

图 11 客户机流量统计明细表34

图 12 个人防火墙功能36

图 13 主机进程安全策略定义界面38

图 14 Windows本地策略设置39

图 15 补丁信息42

图 16 客户端界面显示的补丁信息43

图