kok电子竞技

天珣内网安全风险管理与审计系统实行方案（VPatch66950000）启明星辰BeijingVenustechCybervisionCo.，Ltd.年10月目录1 系统实行原则 11.1 最大限度减少对顾客影响 11.2 全面细致规划，分步实行 11.3 安全方略从简到繁，安全级别步进式提高 22 实行筹划 23 管理服务器布置 33.1 总部管理服务器布置 33.2 厂所独立管理服务器布置 43.3 布置实行建议 53.3.1 管理服务器与客户端通信规定 53.3.2 数据存储建议 93.3.3 管理员权限划分 93.3.4 服务器安装及数据管理 94 客户端布置 104.1 通过应用准入方式布置客户端 104.2 应用准入控制布置 104.3 建设期客户端布置 114.4 维护期客户端布置 115 准入控制实行 115.1 应用准入控制实行 125.2 网络准入控制实行 155.3 风险与灾备 215.4 客户端准入布置 275.5 客户端准入控制布置建议 286 分工界面 297 附件一：服务器安装及数据管理 31系统实行原则最大限度减少对顾客影响布置终端安全管理系统主线目，是借助系统所提供准入控制技术手段，保证接入电脑是合法和符合XX研究院安全方略规定，最大限度减少不安全客户端电脑对XX研究院网络和信息资源带来风险和威胁，保证XX研究院每一种顾客电脑始终处在良好运营状态，大大减少故障发生概率，从而保证每个顾客都可以完全专注在自己本职业务工作，并大大提高每一种顾客工作效率。因而，选取和布置终端安全管理系统时，在保证XX研究院安全方略有效执行前提下，要最大限度减少对电脑顾客在寻常工作中影响，例如减少终端顾客在系统使用过程中不必要操作和介入，在顾客违背安全方略时进行和谐提示，尊重和保护个人隐私，为顾客安全网络访问和信息互换保驾护航。全面细致规划，分步实行终端安全管理系统，作为XX研究院网络安全基本架构中非常重要客户端电脑安全管理平台，将涉及到XX研究院内部每一台接受管理电脑和每一种顾客，涉及面广，影响面大。固然，为了主线上解决客户端电脑安全管理问题，这样系统布置也势在必行，因而在系统布置前需要对系统实行过程、安全方略制定和安全管理制度建立，进行全面系统地规划，并在实行过程中，依照实际环境进行适时调节，从而保证系统和安全方略在XX研究院内部顺利执行下去，实现项目预期目的，保障内部网络具备更高可用性和客户端电脑更高安全性。布置前需要规划内容涉及：内部网络和顾客安全分级和规划，系统布置顺序和周期，针对不同部门或顾客角色安全方略组合，系统安全方略动态调节等等。安全不是一蹴而就，由于该系统涉及面较广，因而系统实行需要全面规划，分步实行，循序渐进，真正发挥系统安全保护和积极防御功能。安全方略从简到繁，安全级别步进式提高由于XX研究院分支机构、部门和人员较多，相应每一种角色安全保护级别规定也层次各异，如果为了保证最高安全性，使用同样一种严格安全方略，或者为了减少安全管理工作量，简朴执行一类基本安全方略，都是不适当。在规划中要预先基于顾客角色拟定每个部门、顾客或分支机构，拟定相应最适当安全方略组合，作为系统最后实现安全管理目的。在实行过程中，再按照由简到繁顺序，先实行所有顾客都必要遵守安全方略，然后再依照不同分支机构、部门和顾客，步进式下发和执行各级安全方略，从而实现安全级别步进式提高，构建立体、混合模式终端安全方略管理体系。实行筹划内网终端合规管理提高是一种循序渐进和不断完善过程，要兼顾“安全性”和“便利性”，合规管理应“先弱后强”，实行方略应“先易后难”原则，消除来自业务部门和终端员工抵触情绪和压力。因而在安装过程中，咱们严格遵循天珣安装“三步走”原则，即：通过应用准入推动客户端布置安装，通过和谐提示界面以及强度稍弱准入控制方式，善意提示顾客积极安装天珣客户端，并提供应顾客下载地址，由其去下载和安装配备方略管理受控终端使其进行自身安全状态完善，目的则是让内网受控终端成为合规安全终端，保证内网安全建设成功而高效启用网络准入，在顾客熟悉天珣准入控制系统特性后再启用网络准入，将会受到最小阻力，最后完毕整个准入体系核心一步固然，也会有某些部门或区域安全保护级别规定没有这样高，这时咱们可以对其采用适合自己准入控制方式和安全方略，从而使整个项目更加人性化。项目时间表管理服务器布置总部管理服务器布置院本部内厂所内：两种方式布置管理服务器，一种是逻辑上集中管理分级授权方式，另一种完全独立方略管理服务器方式。天珣内网安全风险管理与审计系统支持多方略服务器架构。每个服务器服务一种或各种园区。而这些服务器可以互相备份，在一种统一控制台接受集中管理。如果一台服务器宕机，其服务顾客会自动被其她服务器接管。每一种管理网段电脑均有3次从服务器获取规则机会，它们一方面会从Primary方略服务器获取规则，如果失败，则从Secondary方略服务器获取规则，如果再失败，则从中心服务器获取规则，如果还是失败，则使用客户端本地缓存规则。分布式多服务器架构使天珣内网安全风险管理与审计系统具备先进容错性、可伸缩性，支持客户端数量从数百个到数万以至更多，而布置极为平滑，性能不受影响。在本次实行中，需要布置三台方略服务器，一台中心服务器，两台本地服务器。三台方略服务器都安装在中心机房，规定本次实行所有客户端电脑及方略网关都可以通过TCP/IP合同7890端口访问到方略服务器。由于中心服务器有寻常管理负荷，建议中心服务器管理3000台终端电脑，本地服务器管理7000台终端电脑。对于任何一种管理网段，如果其PrimaryServer为其中一台，则其SecondaryServer将被设为此外一台。中心服务器中心服务器两台本地服务器管理网段一管理网段二PrimarySecondaryPrimarySecondary厂所独立管理服务器布置独立厂所：完全独立方略管理服务器方式。在分布式多服务器架构下，中心服务器是整个系统方略集中存储地方，本地服务器是进行寻常方略分发地方。全系统只需要一种中心服务器，可以有各种本地服务器，中心服务器可以兼作本地服务器。在本次实行中，两台方略服务器都在院总部直接管理下，由总部管理员进行管理。在此后实行中，可以在各下级厂所架设本地服务器，由总部管理员进行全局控制，而由各厂所管理员进行本地化管理。从投资成本上考虑，建议本项服务器都在集中布置在院总部信息中心更有利，院下属各厂所多集中在园区网内网络带宽足以满足集中心管理需要，因而推荐集中管理布置方式。布置实行建议管理服务器与客户端通信规定CC与管理服务器通信列表。类别源源端口目的目的端口功能合同服务器类中心服务器any客户端7891积极下发方略UDP中心服务器any客户端7891方略预检查UDP中心服务器any本地服务器7892积极同步服务器方略TCP中心服务器any方略网关代理7893同步代理方略UDP中心服务器anyradius服务器7897更新radius方略UDP补丁同步服务器any外网补丁服务器8800同步补丁TCP方略网关代理any中心服务器7890获取代理方略TCPradius服务器any中心服务器7890获取radius方略TCP方略网关any方略网关代理7893拦截访问，告知代理TCP方略网关代理any客户端7891发送检查祈求UDPradius服务器any互换机1812-1813发送认证成果UDP互换机anyradius服务器1812-1813转发认证祈求UDP互换机any客户端1645-1646下发ACLUDPradius服务器any域服务器443转发顾客认证TCP中心服务器anyservermonitor7896收集系统组件运营状态TCP客户端类客户端any中心服务器7890心跳UDP客户端any中心服务器7890取方略TCP客户端any中心服务器7898SSL取方略TCP客户端any中心服务器7890;7898客户端注册TCP客户端any中心服务器8833web管理界面TCP客户端any软件分发服务器7901取分发任务TCP客户端any软件分发服务器7902取分发文献TCP客户端any资产服务器7891上报资产TCP客户端any袭击告警服务器7899上报袭击告警UDP客户端any补丁同步服务器8833下载补丁TCP客户端anyhod管理员5500;5400远程协助数据流TCP客户端any按需增援服务器7895发起增援祈求TCPUTM类USGany客户端1080发送拦截页面TCP客户端anyUSG1080接受拦截页面TCPUSGany方略网关代理7893拦截访问，告知代理TCP数据存储建议采用数据集中存储模式，便于顾客数据存储备份管理。本部及各分支机构数据所有存储在一台固定数据库服务器中，省去数据同步麻烦，增长数据一致性。管理员权限划分三权分立管理在天珣内网安全风险管理与审计系统中，基本设立操作必要有全局管理员权限才干进行，而普通方略配备只需要普通管理员权限就可以进行。一种普通管理员定义方略，此外一种普通管理员不能看见，也不能使用。全局管理员定义方略，其她普通管理员可以使用，但不能修改。全局管理员可以使用、修改任何一种普通管理员或全局管理员定义方略。对全局管理员或普通管理员，都可以设立“只读”属性，该管理员只能读取方略信息，不能增长、修改或应用方略。在院总部，建议设立三种管理员。一种管理员是全局管理员，此类管理员由一至二个成员构成，她们负责进行基本设立，或某些全局性方略。第二种管理员是普通管理员，重要由她们进行方略配备，她们定义方略具备本地属性，当此后布置范畴扩大，安装了更多本地服务器，有更多管理员参加方略系统管理时，她们定义方略不会被其她管理员使用。第三种管理员是只读管理员，普通对部门领导设立这种权限，她们可以查看系统，但不需要她们做方略配备。服务器安装及数据管理见附件一。

客户端布置通过应用准入方式布置客户端应用准入控制布置对于无法实行网络准入控制区域，可以采用应用准入。下图是采用应用准入布置图。分别在院DNS服务器，ISA服务器，核心Windows服务器，核心Linux服务器等经常被访问服务器上布置方略网关，当顾客电脑访问这些服务器时，方略网关将会检查顾客电脑与否运营了天珣内网安全风险管理与审计系统客户端软件，并且与否符合方略规则。如果不符合，方略网关将回绝顾客访问，并给出和谐提示。在实际布置中，可依照状况增长或减少方略网关布置数量。天珣已经与启明星辰天清汉马USG实现准入控制互动，由USG作为新应用准入控制类型。当终端需要通过USG进行访问时，由USG和天珣联动，只容许认证通过并且安全状态符合规定终端通过USG进行访问。建设期客户端布置客户端布置重要采用客户自助安装、后台自动安装、或管理员辅助安装等布置方式。客户端自助安装可采用方略网关提示安装，网上邻居预安装，邮件提示预安装等方式。后台自动安装可使用既有软件分发工具，或用专门后台安装工具进行安装。管理员辅助安装是在前面安装手段对个别顾客不能成功布置时采用。客户端布置依部门顺序分阶段进行，在对每个部门全面布置前，先进行一次终端应用状况调研，针对每个部门终端使用状况进行详细调研，重要涉及：OS、kok电子竞技本、补丁、应用系统、重要数据等其他有关内容。如果有需要特别注意地方，就需要制定特别布置方案。维护期客户端布置新购买电脑对于少量新购买电脑，建议在入网之前由管理部门安装天珣客户端；对于批量购买电脑，建议与电脑厂商协商，在出厂时即安装天珣客户端。电脑重装操作系统天珣应用准入一种重要功能是协助管理员布置客户端。对于偶尔重装操作系统终端，可通过应用准入控制由顾客自助安装客户端程序。准入控制实行

应用准入控制实行应用准入简介天珣系统中，具备其她同类软件不同核心准入控制组件——方略网关，这个组件可以安装在公司网中一种或各种核心业务系统服务器之上，执行应用层准入控制，可以对来访终端执行合规检查，如果来访终端非受控或不合规，将被回绝访问该服务器或业务系统，同步也达到对这些核心服务器和业务系统增强保护效果。其中，基于DNS应用准入控制，又依照模式不同，又可以分为旁路式DNS准入（此时DNS处在旁路监听模式，无需变化DNS服务器配备或者安装DNS方略网关）和在线DNS准入（在DNS服务器上布置DNS方略网关）。天珣可以与启明星辰天清汉马一体化安全网关（简称：天清汉马USG）构成UTM2合规管理方案，实现准入控制联动，由天清汉马USG担当准入控制网关，当计算机终端需要通过天清汉马USG进行访问时，保证只有受控和合规才干通过天清汉马USG对USG所保护服务器进行访问。除此之外，天珣还可以提供可以与顾客任意平台B/S构造业务系统无缝集成Web准入控制。集成Web准入控制，平台适应能力非常广泛，服务端可以在Windows、Linux、unix下使用。 性能优越，并且布置及其简朴，只需把控件加入登录页面上，并且替代了顾客名输入控件，进行小量页面修改即可完毕布置。应用准入特点i)应用准入生效是在数据中心服务器区，对于网络环境中因接入层互换机或汇聚层互换机不支持相应网络准入认证合同，或者因内网终端合规管理现实规定，暂时不需要启用最严格网络准入控制状况，应用准入将可以代替网络准入作为最佳终端合规准入控制手段。固然如果终端始终不去访问数据中心服务器，那么将也许无法对其实行应用准入，因而前期对准入所使用业务系统选取将会非：诵。ii)独特功能：应用准入可以通过自动重定向，对未受控或者不合规终端，进行个性化和谐提示，通过和谐提示不但可以协助最后顾客理解无法访问业务服务器因素，为最后顾客接受和适应新终端合规管理提供协助，还可以通过该提示页面，发送执行合规管理客户端软件，真正实现了最后顾客“自助式”客户端布置，不但大幅度减少系统维护人员工作量，也极大减少顾客厌烦和抵触行为，保证合规管理有效性同步，在内网终端合规管理过程中，体现了人性关怀，有效增强了最后顾客在内网合规管理系统实行中积极性，增进内网合规更快获得良好收效。本项目中应用准入实行主页或OA服务器上中性方略网关在主页或OA服务器上安装天珣中性方略网关，受控终端访问主页或OA服务器时过程如下。启动准入检查网段，对有针对性地检查特定网段，对特殊网段可设立使其不受方略网关影响。DNS准入在内部DNS服务器上安装天珣DNS方略网关，当受控终端发送DNS祈求时与DNS服务器交互过程如下：启动准入检查网段，对有针对性地检查特定网段，对特殊网段可设立使其不受DNS准入影响。网络准入控制实行对于接入互换机支持802.1X合同区域，采用基于802.1x合同网络准入控制。下图是802.1x网络准入布置图。802.1X认证RadiusServer采用天珣自带RadiusServer，顾客电脑安装天珣内网安全风险管理与审计系统客户端软件。天珣内网安全风险管理与审计系统支持分布式多服务器架构，建议每套天珣系统至少布置2个Radius服务器，以对802.1X提供互备认证支持。基于可信MAC地址802.1X准入认证在本次方案中，咱们推荐XXXX院实行基于可信MAC地址验证802.1X准入。该认证模式可以和“基本认证”、“扩展组合认证”组合成完善准入模式。对接入电脑MAC地址进行验证，如果不在容许接入清单内，则回绝该电脑接入。对于新接入电脑，该电脑信息将即时kok电子竞技给管理员，管理员可以在线决定与否容许该新电脑接入。客户端安装由于802.1X是二层合同，终端认证不成功将不能访问网络，故客户端安装问题将影响顾客使用，客户端安装请参见“客户端布置”章节。方略配备一方面，在天珣WEB控制台中添加一条RadiusServer方略，在这里配备radius认证服务器及其所使用认证方略：咱们配备“网络准入类型”为“原则802.1x”，基本认证为“顾客认证”，并选取电力集团AD域作为认证域。接下来再把需要启用网络准入互换机IP加入到网络设备配备中，让radius服务器懂得它将对哪些互换机认证祈求进行响应。注意：共享密钥必要与互换机中配备key一致，否则将无法认证成功。在网络设备配备完毕后，将其应用到radius配备“启用准入控制网络设备”中：此外，在页面方略配备完毕后，务必点击更新radius服务器方略，否则radius服务器将无法获取到最新方略修改。互换机配备对于互换机配备，咱们会对两种电力集团普遍使用接入层cisco和华为互换机进行简介。CISCO互换机进入配备命令模式#configterminal配备Radius认证服务器启用认证#aaanew-model设立802.1X使用radiusserver组中所有radiusserver进行认证#aaaauthenticationdot1xdefaultgroupradius#aaaauthorizationnetworkdefaultgroupradius添加ias到radiusserver，其中host背面IP地址为IAS服务器地址，auth-port和acct-port为原则Radius端口，key为互换机和Raidus服务器通讯密钥#radius-serverhostXX.XX.XX.XXauth-port1812acct-port1813key123456启用802.1X#dot1xsystem-auth-control配备7号端口使用802.1X认证#interfaceFastEthernet0/7#switchportmodeaccess#dot1xport-controlauto#dot1xhost-modemulti-host（启用互换机端口multiple-hosts模式，以使互换机可下接hub进行认证）#end配备7号端口重认证周期可选项，配备802.1X重认证周期，以秒为单位，默以为3600秒（1小时），当重认证时，如果网络端口接入其她没有运营天珣内网安全风险管理与审计系记录算机，端口会立即封闭。#interfaceFastEthernet0/7#dot1xreauthentication#dot1xtimeoutreauth-period3600#end保存当前配备作为启动配备#copyrunning-configstartup-config注意：CISCO互换机如果是远程使用telnet登陆到互换机进行配备话，请千万记得配备aaaauthenticationlogindefaultline命令（不同型号互换机也许命令略有不同）。此命令作用是将telnet时进行认证放在互换机本地，如果不配备话，如果此前telnet互换机只需要输入密码话，那么在下次进行telnet登陆时，互换机将会提示规定输入顾客名和密码进行认证。华为互换机#设立802.1x顾客认证办法，当前提供3种认证办法：PAP认证、CHAP认证、EAP中继认证。缺省状况下，华为互换机802.1x顾客认证办法为CHAP认证。此处需要修改设立为EAP认证。[Quidway]dot1xauthentication-methodeap#创立RADIUS组dot1x并进入其视图[Quidway]radiusschemedot1x#设立主认证/计费RADIUS服务器IP地址[Quidway-radius-dot1x]primaryauthenticationXX.XX.XX.XX#设立主认证/计费RADIUS服务器IP地址[Quidway-radius-dot1x]primaryaccountingXX.XX.XX.XX#设立系统与认证RADIUS服务器交互报文时加密密码[Quidway-radius-dot1x]keyauthentication123456[Quidway-radius-dot1x]keyaccounting123456#批示系统从顾客名中去除顾客域名后再将之传给RADIUS服务器[Quidway-radius-dot1x]user-name-formatwithout-domain[Quidway-radius-dot1x]quit#创立顾客域dot1x，并进入其视图[Quidway]domaindot1x#指定“dot1x”为该顾客域Radius方案[Quidway-isp-dot1x]radius-schemedot1x[Quidway-isp-dot1x]quit#指定互换机缺省顾客域为“dot1x”[Quidway]domaindefaultenabledot1x#启动E0/8802.1x认证[Quidway]dot1xinterfaceEthernet0/8#启动全局802.1x特性[Quidway]dot1x#保存设立[Quidway]quit<Quidway>save风险与灾备802.1X准入作为一种最严格准入控制手段具备其她准入控制办法不具备优势，如认证流与数据流分离、独立于应用之外、在严格之余又具备很高可扩展性等。该准入控制手段已经大量应用于教诲、金融行业，在近年来举办重大赛事如广州亚运会，该准入控制手段也已经全面应用。随着公司信息化越来越进一步，在信息安全领域，准入控制，特别是像802.1X这种严格准入控制手段已经成为一种不得不考虑选项。但这种严格准入控制技术也带来了不可忽视断网风险。在对网络可用性规定极高领域，如金融行业，大面积断网是不能容忍一级事故。因而，一套完整、可操作风险预案便成了核心时刻法宝。下图是完毕全面完毕基于802.1X网络准入控制体系后，XXXX终端接入控制体系示意图。依照原则802.1X准入控制需要三个实体，加上顾客认证时需要目录服务器（以AD域控制器为例），咱们分析了天珣作为准入控制解决办法也许产生风险点如下图标号所示。XXXX终端接入控制体系抽象图名词释义：天珣中心服务器：提供方略集中编辑、下发和集中报表功能，管理和同步方略到本地服务器、Radius服务器等其她服务器组件，并可以直接管理指定范畴终端服务器；天珣本地服务器：提供对指定范畴终端进行管理服务器，并可以管理和同步方略到Radius服务器。Radius认证服务器：与Swich联动，提供对客户端及顾客进行网络准入控制认证服务器。AD域服务器：终端顾客账号/密码集中管理和认证服务器。接入互换机（Switch）：与Radius联动，提供对客户端及顾客进行网络准入控制接入层网络设备。客户端（Clients）：运营在每一台终端电脑上，执行终端安全管理方略，发起认证祈求。按照天珣系统设计原理，以上组件中，除了中心服务器和本地服务器之外，其她任意组件，例如无备份单一Radius服务器、目录服务器（本方案中AD域服务器）、互换机、客户端，只要其中之一浮现影响认证故障，都将会导致终端网络准入认证失败。每个组件对网络准入影响，如下图所示：从图中可以看出，每个组件都存在影响到网络准入失败也许。但是，结合组件作用和她们之间互有关系，如下四个环节风险最为突出： 方略服务器异常时，Radius无法积极获取对的方略。AD域服务器异常或网络中断，导致AD域不可达，顾客认证失败。Radius服务器异常或网络中断，导致认证无法正常进行。客户端异常，导致认证无法正常进行。针对上述风险，天珣为该准入控制拟定了如下风险预案：风险一种稳定准入控制手段不有必要经常变化准入条件，如咱们没有必要经常在仅验证客户端和可匿名登陆顾客认证两种方案间切换。但虽然如此，天珣Radius服务器（天珣自有RADIUS服务器，不使用微软IAS等第三方产品）在每次收到准入控制方略后都会缓存该方略，直到服务器告知其更改，在此期间，天珣RADIUS服务器不依赖中心服务器和本地服务器，虽然服务器宕机，RADIUS服务器依然可以正常工作。在天珣系统中，这种风险已经可以忽视。风险预案天珣可以同步使用多台主备目录服务器，但虽然如此，网络状况以及目录服务器可用性依然构成较大挑战。实行顾客认证需要保证AD域始终可达，但不常发生断电和网络故障让咱们不能忽视很少发生AD域不可达也许性。为此，天珣提供了AD域Radiusbypass工具，当AD域不可达时，该工具可立即取消所有终端顾客认证，使准入控制方案变成仅“验证客户端802.1X准入”，从而消除因AD域故障导致网络准入认证失败问题。天珣目录服务RadiusBypass工具界面如下：风险预案Radius服务器是802.1X网络准入重中之重，在准入控制方案中，单台RADIUS服务器是巨大风险点，正是基于此，网络设备厂商在原则配备中，都会为每台互换机配备双Radius服务器以做互备。从天珣实行案例中，双RADIUS服务器年故障时间不大于5分钟。在配备了双RADIUS服务器状况下，特别是异地备份，该风险已经大大减少。但这始终不会成为咱们松懈理由，天珣建议将Radius作为核心服务器重点监控和保护，以消除Radius服务器单点故障和Radius也许遭受到网络袭击或机房环境影响。同步，某些网络设备厂商也考虑了该问题，在互换机配备方面有不同使用方案。如，H3C互换机可以配备各种认证选项，先使用radius认证，radius不可达则使用local或者使用none。这些手段均可以大大减少故障压力。但作为最可靠解决手段，取消互换机802.1X准入是最后法宝，也是最让人放心办法。如果公司内部有统一网络设备管理平台，可通过配备网管平台取消互换机认证，若没有则可借助某些自定义脚本。本方案中有如下脚本取消互换机全局802.1X准入，以思科互换机为例：@echooffechosetsh=WScript.CreateObject("WScript.Shell")>telnet_tmp.vbsechoWScript.Sleep3>>telnet_tmp.vbsechosh.SendKeys"open">>telnet_tmp.vbsechoWScript.Sleep3>>telnet_tmp.vbsechosh.SendKeys"{ENTER}">>telnet_tmp.vbsechoWScript.Sleep3>>telnet_tmp.vbsechosh.SendKeys"!QAZ2wsx{ENTER}">>telnet_tmp.vbsechoWScript.Sleep3>>telnet_tmp.vbsechosh.SendKeys"en{ENTER}">>telnet_tmp.vbsechoWScript.Sleep3>>telnet_tmp.vbsechosh.SendKeys"!QAZ2wsx{ENTER}">>telnet_tmp.vbsechoWScript.Sleep3>>telnet_tmp.vbsechosh.SendKeys"conft{ENTER}">>telnet_tmp.vbsechoWScript.Sleep3>>telnet_tmp.vbsechosh.SendKeys"nodot1xsys{ENTER}">>telnet_tmp.vbsechoWScript.Sleep3>>telnet_tmp.vbsechosh.SendKeys"end{ENTER}">>telnet_tmp.vbsechoWScript.Sleep3>>telnet_tmp.vbsechosh.SendKeys"exit{ENTER}">>telnet_tmp.vbsechoWScript.Sleep3>>telnet_tmp.vbsstarttelnetcscript//nologotelnet_tmp.vbs风险预案由于网络准入控制认证需要由安装在终端天珣客户端来执行，如果客户端不能正常运营，将直接导致认证无法进行。依照天珣以往经验，导致客户端上线后不能运营因素更多来自于与终端上安装其她安全软件或工具误杀、误拦或冲突。针对这种状况，天珣已经紧跟各杀毒软件和安全软件厂商更新状况，做好后方沟通和兼容检测工作，最大限度消除互相影响带来风险。天珣RADIUS服务器状态告警在综合考虑了上述所有也许产生风险故障点之后，天珣并没有停止对风险防范思考，RADIUS服务器状态告警组件便是咱们近来成果。在RADIUS所在服务器浮现莫名故障时（Windows服务器操作系统不可避免），该组件可以即时kok电子竞技其服务可用状态，这种监视不是简朴进程保护，而是其内部流程即时体现，涉及它所依赖所有第三方服务提供如目录服务。其报警成果可觉得公司内部正在使用综合告警平台所检测，通过公司既有告警方式，如短信、邮件、电话等，及时告知管理员，以期获得最快响应时间。天珣RADIUS告警组件界面如下：客户端准入布置安装有天珣客户端程序计算机终端在接受访问时，可以依照管理员预先配备安全方略检查来访计算机终端与否运营了天珣客户端程序，并检查其安全基线与否符合规定。如果来访计算机终端未安装天珣客户端程序，或不符合安全方略规定，则回绝其访问。客户端准入控制示例图当安装天珣客户端程序计算机终端访问网络时，天珣客户端也会先检查其自身安全基线与否合格，如果不合格，将限制其对网络访问。天珣客户端准入控制，创造性将每一台计算机终端都变成准入控制点，保证每台计算机终端只接受安全可信计算机终端进行访问，并只能在安全基线合格时访问网络，实现最细粒度准入控制。天珣客户端具备网络阻断功能，在计算机终端安全基线不符合规定期，天珣客户端能不依赖网络设备及网络上其她终端或设备独立执行网络访问阻断。天珣客户端更支持选取性阻断，在计算机终端安全基线不符合规定期，天珣客户端能依照管理员预先配备安全方略，通过进程、端口、目的地址等条件，选取性地制止某些非紧急业务网络访问，而容许其她紧急业务网络访问。客户端准入控制布置建议客户端准入是天珣方略之一，客户端所有完装完毕之后通过下发一条简直方略即可实现。本方案中建议启动管理网段内客户端准入，同步注旨在IP组中排除网络打印机、IP电话等特殊网络设备，使其不影响顾客对这些设备使用。分工界面项目阶段项目任务任务子项责任方职责分工启明星辰XXXX院项目准备组建项目组XXXX院、启明星辰售前售后交接、指定专门售后服务人员、项目经理和实行人员指派项目配合人员工程实行前准备制定实行筹划XXXX院、启明星辰提出布置规定安排人员配合实行，确认场地、网络环境准备XXXX院提出场地、环境规定确认、支持实行阶段现场验收启明星辰对到货设备进行开箱清点验收对到货设备进行清点验收设备安装调试设备上架启明星辰规划好物理位置、进行设备上架安排人员配合设备加电启明星辰对设备进行加电测试系统布置启明星辰提出布置规定并按规定进行系统布置安排人员配合项目进度kok电子竞技启明星辰对项目进度做出及时汇总和kok电子竞技现场培训启明星辰对XXXX院技术人员进行现场培训接受培训初步验收提交验收方案启明星辰提交方案和流程确认进行设备验收（到货验收）XXXX院、启明星辰参加到货验收试运营系统联合调试启明星辰提供必要协助提出需求故障响应启明星辰对系统问题进行响应并设备故障进行排除对故障进行申报系统终验系统竣工验收验收方案提交启明星辰提交方案和流程对方案和流程进行确认竣工验收XXXX院、启明星辰参加验收组织验收保修期启明星辰三年技术支撑服务对故障进行申报

附件一：服务器安装及数据管理服务器安装方略服务器涉及中心服务器、本地服务器、补丁分发服务器、资产管理服务器、radius服务器、告警服务器等组件，所有功能服务器集中管理，组件可依照详细状况增减。数据库采用SQLSERVER，统一管理报警日记及审计等数据。安装环境及规定客户端（Clients）计算机没有很高系统规定。客户端软件(也被称CC)可以被安装在Windows32位系统之上，涉及WindowsSP4，WindowsServerSP1和WindowsXPSP2，WindowsXPSP3，WindowsVista，WindowsServer，Windows7数据库 支持32位MicrosoftSQLServer，32/64位MicrosoftSQLServer，支持32位MicrosoftSQLServer中心服务器（Server）是整个方略架构管理中心、方略中心。必要运营SERVERSP1(32/64)或ServerSP1(32/64)平台上。Windows64位服务器相应用程序支持不是特别完善，也许中心服务器运营过程中会浮现不可预测问题。中心服务器通过web方式管理，规定安装IIS服务器。其对硬件规定高低应依照所管理客户端数量多少来定，其中，服务器安装规定最低配备如下：硬件：CPU PIII1G或以上Memory 1G或以上硬盘 40G空闲软件：WindowsServerSP1以上InternetInformationServices6.0以上DotNetFramework2.0MDAC2.7或以上中心服务器、资产服务器和袭击告警服务器需要安装SQLServer数据库，可依照现场环境选取独立安装或集中安装于中心服务器，若安装于中心服务器，请保证中心服务器有足够内存和硬盘空间。建议将数据库独立安装，这样既不会由于数据库读写频繁影响中心服务器正常运营，也不会由于中心服务器负载过重影响数据库读写。服务器组件中心方略服务器所有方略集中存储地方，系统中唯一Web管理控制台也与中心服务器集成在一起。管理员从Web管理控制台登录到CenterServer，进行方略配备，报表查询。CenterServer同步兼作一种LocalServer。本地方略服务器本地方略服务器是客户端寻常取方略地方，也是客户端发送报表目地。本地方略服务器从CenterServer同步得到方略。设立本地方略服务器目是为了适应公司大区域分布式分级管理架构。本地方略服务器从中心方略服务器获取方略，客户端直接与本地方略服务器通讯。资产管理服务器资产管理是对电脑软硬件资产进行记录分析，并跟踪记录设备变更信息，达到对IT资产高效、便捷管理。Radius服务器Radius服务器是天珣内网安全风险管理与审计系统网络准入必要组件。结合各类LDAP认证，使用802.1x合同或EOU合同在互换机网络端口实行网络准入认证，保证只有通过认证客户端接入并访问网络。袭击告警服务器袭击告警服务器兼作为袭击日记告警服务器和终端审计日记服务器，收集由客户端发来袭击告警信息和终端审计信息。并在中心服务器管理界面，可进行记录和分类查询。软件分发服务器通过软件分发服务器可建立软件安装包，可依照目的地址或地址段、指定期间段分发MSI软件包或自定义应用软件包。HOD远程桌面服务器HOD远程桌面服务器用于记录在线远程桌面管理员有关信息，为其关联管理网段后，管理网段内顾客就可使用客户端集成远程桌面客户端，向在线管理员发起远程桌面协助祈求。方略网关组件作为系统及应用准入准入控制点，检查访问者客户端运营状态，与客户端配合强制顾客满足方略。方略网关从方略网关代理上取方略网关方略。有时方略网关方略又叫插件方略。方略网关分为中性方略网关和IIS、ISAProxy、Email、DNS等插件方略网关。方略网关代理方略网关管理者。所有方略网关都直接连接到方略网关代理，从方略网关代理获取方略，接受管理。而方略网关代理直接指向方略服务器，并从方略服务器获取方略。连接到同一种方略网关代理所有方略网关使用相似方略。设立方略网关代理这个角色目是简化方略网关配备，由于有时一种公司需要安装各种方略网关，而每个方略网关方略相似。同步，各个插件方略网关可互相共享CC状态，如CC1在插件1上通过了认证，那么通过插件2访问时就无需第2次认证，提高系统性能。中性方略网关中性方略网关，也叫做中性插件，是安装在任意X32位Windows//服务器或Linux服务器上，执行应用准入控制，它与安装服务器操作系统关于，而与该服务器运营何种应用无关。当终端访问到该服务器，都需要进行安全基线检查，若不符合安全方略，将被回绝访问该服务器，并给出提示信息（只有基于http访问，才干对的提示）。其中安全基线涉及与否安装客户端软件、安装客户端软件终端与否达到安全方略规定。IIS方略网关布置在IIS服务器上，对所有访问该WEB服务器终端实行应用准入控制，检查终端与否符合安全方略，若不符合方略，则回绝访问，并给出提示信息。ISA方略网关对所有通过ISA服务器上网终端，实行应用准入控制，若不符合安全方略，则不容许终端通过ISA访问INTERNET，并给出提示信息。EXCHANGE方略网关布置在Exchange邮件服务器上，对访问EXCHANGE邮件服务器终端实行应用准入控制，检查客户端与否符合安全方略。对于不符合安全方略终端，Exchange方略网关将阻断其邮件服务，并给出提示信息。（只支持EXCHANGE邮件服务器）DNS方略网关及旁路监听式DNS方略网关普通DNS方略网关布置在DNS服务器上，对需要进行DNS域名解析终端实行准入控制，检查终端与否符合安全方略，对于不符合安全方略终端，DNS方略网关将阻断其DNS祈求，并给出提示信息。如果是旁路监听式DNS方略网关，则可布置在DNS服务器上也可布置在互联网出口某台服务器上对所有DNS祈求进行监听。如果是在DNS服务器上，那么功能与老式DNS方略网关相似，如果不是，那么旁听式DNS网关必要安装在链接互联网出口互换机上某台互换机上，对这台互换机上其她端口DNS祈求进行镜像，并在旁听式DNS网关端口上进行监听，对需要进行DNS解析终端实行准入控制，检查终端与否符合安全方略，对于不符合安全方略终端，旁听式DNS方略网关将阻断其DNS祈求，并给出提示信息。安装环节天珣服务器安装共有两种安装选项：迅速安装和自定义安装。插入光盘，自动运营安装光盘中Autorun.exe后浮现如下主安装界面：迅速安装迅速安装默认安装服务器如下组件：中心方略服务器、资产服务器、中心同步服务器、天珣服务状态监控服务、远程桌面服务器、袭击告警服务器、RADIUS服务器、方略网关代理、中性/DNS方略网关、软件分发服务器。迅速安装选项目是一次安装所有服务器有关组件及DNS准入控制组件，如果布置在网络出口，则可运用DNS准入达到即插即用效果。对中小应用环境，咱们方案首推这种即插即用布置。迅速安装布置迅速安装将天珣内网安全风险管理与审计系统安装光盘放入光驱，可直接进入安装选取界面。请点击“迅速安装”。进入天珣内网安全风险管理与审计系统服务器迅速安装界面安装程序检测系统环境系统必要安装“MDAC2.7或以上kok电子竞技本”,“IIS”和“DotNetFramework2.或者以上kok电子竞技本”。如果系统尚未安装上述系统组件，则不能进行下一步操作。可以点击旁边“安装”按钮安装所需系统组件。系统组件所用SQLServer可以选取连接到本机或者其他机器SQLServer。如果您想将系统组件所用SQLServer布置在本机，本机又没有安装SQLServer。您可以选取安装SQLServer。您也可以选取点击检测界面SQLServer旁边“安装”按钮，运营安装光盘带里SQLSERVEREXPRESSkok电子竞技本。（注意：SQLServerExpress是由微软公司开发SQLServer缩减kok电子竞技，这个kok电子竞技本是免费，单个数据库大小限制为4G）。安装完SQLSERVEREXPRESS之后，安装检测程序会自动启动SQLServer1433监听端口。（注意：如果系统已经安装SQL数据库，天珣内网安全风险管理与审计系统安装程序是不会协助SQLServer打开1433监听端口）。安装过程中，系统会提示顾客选取安装组件途径，并需要管理员指定中心服务器IP地址、初始管理网段地址等信息。指定服务器安装途径，安装组件所在盘符空闲空间必要不不大于2G，默认安装在C盘，顾客可以依照自己硬盘大小和需求变化安装盘符和途径。指定中心服务器IP地址，系统默认选取正在运营安装程序主机IP地址为中心服务器IP地址。系统使用端口为8833，请保证8833端口未被其她应用占用；设立中心服务器中初始管理网段地址，系统预置是：运营本安装程序服务器所在网段。选取使用管理模式；Windows集成认证：在登录web管理界面时使用与windows系统帐号集成认证方式，如windows默认系统管理员帐号为administrator，那么天珣登录web管理界面时也同样使用这个帐号及密码。当需要在天珣系统中创立其她管理帐号时，必要同步在windows系统帐号中建立相似帐号和相似密码。三权分立模式：三权分立模式中，天珣系统默认管理员帐号/密码为administrator/12345678，使用此帐号登录后，再行创立系统操作员帐号，并使用系统操作员帐号登录web管理界面进行方略配备。此模式与windows系统帐号无关。设立所用SQLServer连接参数；请确认此处SQLSERVERIP地址和监听端口，以及对的sa密码。（在安装SQLSERVER时，请千万记得使用混合认证，并设定sa密码，否则安装程序无法登录SQLSERVER数据库）填写创立数据库顾客帐号。预置顾客名是tx_user安装程序将提示您选取授权文献License.dat途径。License.dat文献请与启明星辰联系获取最新授权文献。点击“浏览”选取授权文献途径，选取有效授权文献安装检查完毕，点击“安装”进行迅速安装布置；迅速安装安装完各组件之后，安装程序会自动运营客户端打包程序进行客户端安装包制作；其中可以自行设立中心服务器地址，指定客户端安装目录以及客户端安装模式。总共可设立三种安装模式，以普通模式安装时会浮现提示对话框，需由顾客进行“确认顾客允许”、“选取安装目录”等操作；以自动模式安装时会浮现安装界面，不需要顾客进行任何操作，客户端将自动安装至默认目录；以静默模式安装时，正常状况下客户端安装过程中不会有任何提示，也不会有安装界面浮现，客户端将自动安装至默认目录，如果安装是带防火墙模块客户端则安装完毕后会有重新启动计算机提示。此外该打包程序还提供了各种选。丝涂闪榛钛∪】突Ф税沧鞍敕癜802.1x互换机认证模块。阐明：打包客户端工具使用以winrar软件为前提，在安装客户端打包工具前请保证操作系统中已经安装有winrar软件。制作客户端包完毕之后。关掉客户端打包工具程序。即弹出规定系统重启界面。重启系统。此时迅速安装布置天珣内网安全风险管理与审计系统已经完毕。安装完毕后，请先检查%InstallFolder%\config\database目录安全属性，拟定该目录及目录下文献能被System顾客及从Web登录管理员修改或者已赋予everyone顾客完全控制权限。然后请进入服务控制器，若系统已经自动添加并运营“ESCenterServer”服务，则表白中心服务器已经安装配备成功。在天珣内网安全风险管理与审计系统中心服务器默认安装目录C:\ProgramFiles\Venustech\EndpointSecurity\ESServer中，Config目录是天珣内网安全风险管理与审计系统Web管理站点主目录；Download目录是下载服务根目录，用于存储天珣内网安全风险管理与审计系统客户端安装包、系统补丁等有关文献。安装程序会自动创立一种虚拟主机“天珣内网安全风险管理与审计系统配备服务”，这个虚拟主机相应上文所提到“C:\ProgramFiles\Venustech\EndpointSecurity\ESServer\config”目录，相应TCP端口则为8833。注意：由于系统8833端口也许事先被占用等因素，也许会导致方略服务器安装设立虚拟站点不成功，在这种状况下请手动设立IIS，创立天珣内网安全风险管理与审计系统配备服务虚拟站点：修改%InstallFolder%\config\database目录安全属性，使该目录及目录下文献能被System顾客及从Web登录管理员修改或者赋予everyone顾客完全控制权限。创立一种虚拟站点，作为web管理界面入口。打开Internet服务管理器，右击服务器名称，点击“新建Web站点”。依照提示进行到“IP地址和端口设立”，将端口变为“8833”，其她设立保存为默认。天珣内网安全风险管理与审计系统Web管理端口默认是8833，不可修改。在指定Web站点主目录时将目录设为%InstallFolder%\ESServer\config，并将“容许匿名访问此Web站点”选项去除。完毕后续环节完毕虚拟站点配备。从服务控制器中启动ESCenterServerService，安装配备中心Server完毕。安装成功后，请在浏览器输入网址（如http://localhost:8833），进入天珣内网安全风险管理与审计系统配备服务虚拟站点，进行方略等有关设立。数据库服务器安装默认状况下资产信息，告警信息，RADIUS认证信息，软件分发数据信息和有关报表存储在SQL数据库中，建议安装SQLSERVER，以得到更好性能和可靠性。如下简介微软SQLSERVER安装配备过程，涉及了资产信息和告警信息数据库。安装SQLSERVER安装SQLServer数据库，可以是EXPERESSkok电子竞技本，点击运营SQLEXPR_ADV.EXE程序：进行解压缩，压缩完毕后将如下图：点击下一步，进行组件配备配备完毕请点击next,进行数据库安装：点击下一步，可以看到配备组件成功，继而就可以安装数据库了。输入顾客名和公司名，再点击下一步：注意：为安装以便，请将数据库所有组件均选中，进行完全安装，数据库建议使用6g磁盘空间，因此请选取恰当磁盘。选取认证模式为混合模式，并输入密码，点击下一步；选取模式设立，点击下一步；点击安装并等待安装完毕。配备SQLSERVER数据库打开SQL数据库配备管理工具（SQLServerConfigurationManager）配备SQLEXPRESSip合同为tcp1433（固然也可以更改端口）如下：双击TCP/IP，弹出下图，配备如下图：Enabled选项默以为“No”，修改为“Yes”。注意：ip地址为安装数据库实际ip地址，TCPPort请填写“1433”。点击应用并重新启动sql数据库服务。备份与恢复数据库备份与恢复方略数据库备份与恢复天珣所有方略配备数据所有存储在服务器安装目录下abc.mdb中，如需要对方略进行备份，那么请点击web控制台“更新方略”-“server方略kok电子竞技本”-“备份当前方略”在“方略历史记录”中可以看到你备份数据库时间和文献名此文献在服务器安装目录下可找到，详细途径为D:\ProgramFiles\Venustech\EndpointSecurity\ESServer\EPolDataBak，当服务器需要进行重装时，请将此文献保存，待服务器重装完毕后，将此方略文献导回即可恢复原服务器配备方略。重装完毕后，将此文献改名为abc.mdb，然后复制到D:\ProgramFiles\Venustech\EndpointSecurity\ESServer\Config\Database目录覆盖原始文献即可。注意：如果在恢复时现天珣服务器kok电子竞技本与旧kok电子竞技本不一致，请谨慎使用此功能，由于也许kok电子竞技本升级之后，abc.mdb数据库中表构造会发生变化。袭击告警、资产等数据库备份与恢复原则上，袭击告警及资产和审计等数据库信息是不需要做备份，由于资产是可再生资源，只要客户端在就会再次上报，袭击告警和审计等也同理。固然，如果需要备份此类数据库，请点击web控制台“系统维护”-“数据库自动维护”在此配备压缩、清除和备份数据库条件和执行时间，实现至少每月自动备份数据库。压缩数据库：将数据库中暂时文献清除，保持数据库稳定运营清除数据库：将至少1个月数据保存，其她数据所有清除，保证有足够空间备份数据库：将数据库文献备份，以达到恢复目数据库备份时选取备份途径，将需要保存数据库文献备份到你需要途径下，供后来恢复时调用。备份和恢复均使用是SQL数据库自带功能实现。服务器备份与恢复在不考虑kok电子竞技本更新前提下，服务器如果要重装，只需要备份上述两种数据库即可，各组件及主程序只要重新安装完毕，并将备份数据库恢复回去即可。注意：重装时服务器ip和数据库ip等基本条件不能更改，否则请重新配备方略和数据库。