TSM终端安全管理技术建议书模板.docx

1、TSM终端安全管理技术建议书模板TSM终端安全管理技术建议书模板1 概述 51.1 项目背景介绍 51.2 网络现状分析 51.3 项目规模和范围 61.4 项目建设目标 72 系统建设解决方案 92.1 软硬件配置说明 212.1.1 服务器配置 212.1.2 安全网关配置 213 方案设计原则 224 网络准入控制方案 224.1 终端账号管理方案 234.2 设备自发现 244.3 安全准入控制 244.4 安全域划分 244.5 管理员管理方案 255 终端安全管理方案 255.1 终端加固管理 255.1.1 防病毒软件安全策略 255.1.2 强化补丁安装 265.1.3 超时自

2、动锁屏 265.1.4 注册表配置管理 265.1.5 冗余账号检查 265.1.6 检查账号安全 265.1.7 检查端口策略 265.1.8 网络共享管理 275.1.9 监控非法应用和服务 275.2 终端行为管理 275.2.1 监控网站访问 275.2.2 软件安装标准化 275.2.3 IP访问和网络应用程序监控 285.2.4 终端入网审计 285.3 信息防泄密管理 285.3.1 外设接口管理 285.3.2 监控USB设备使用 285.3.3 拨号连接管理 295.3.4 防止违规假设PROXY/路由器等外联设备 295.3.5 文件操作审计 295.4 网络安全防护 29

3、5.4.1 监控网络异常流量 295.4.2 ARP防护 295.4.3 拨号连接管理 305.4.4 防止违规假设PROXY/路由器等外联设备 305.4.5 DHCP强制管理 305.4.6 网络准入安全防护 306 桌面管理方案 316.1 补丁管理 316.1.1 TSM与WSUS联动 316.1.2 补丁管理功能 326.2 资产管理 336.3 软件分发 336.4 公告下发 336.5 远程协助 346.6 网络安全报表 347 TSM系统组成介绍 348 TSM可靠性介绍 368.1 操作安全性 368.2 数据安全性 368.3 系统可靠性方案 378.3.1 逃生通道 37

4、8.3.2 SACG故障方案 378.3.3 服务器多资源池备份方案 379 方案特点及优势 371 概述1.1 项目背景介绍说明项目的背景情况。【样例】随着XX各项业务的迅猛发展，组织和网络规模的扩充、企业网络接入点的增加，使得网络中的安全风险成倍的增加。为了有效保证业务的安全有效运作，对企业IT信息系统的安全管理要求越来越高。在企业当前复杂的网络环境下，如何有效保证接入企业网络的终端的安全可信，成为了信息安全建设的重中之重。身份认证、安全检查、补丁管理、重要网络资源的安全防护、终端行为管理、资产管理等一系列归一化的完整终端安全解决，成为企业IT安全管理人员追求的目标。 在前期安全项目的基础

5、上，为了进一步加强技术手段对终端安全的管理，消除有可能出现的信息安全风险，有效保证XX的网络环境的安全性，充分加强终端的接入和安全管理成为XX当前办公信息安全的当务之急。1.2 网络现状分析在对现网结构介绍时最好附上网络拓扑图，标注清楚终端位置、各层网络设备类型、业务服务器部署位置等。需要说明现网已有的安全设备数量及类型，分析存在的安全问题，例如病毒泛滥，非法网络访问，资产被盗，非法无线接入等。【样例】XX企业网为典型的三层网络架构：核心层为核心交换机，汇聚层和接入层为低端交换机；核心层与汇聚层交换机均为双机热备。业务服务器均已经集中部署，通过一台汇聚交换机连接核心交换机处。 网络现只有一个互

6、联网出口，已在出口处部署防火墙设备，终端通过Proxy代理服务器访问互联网。XX企业网络拓扑图从安全角度，XX企业网络面临以下问题：（1） 外来机器和终端随意接入企业内网，导致内部网络的安全性岌岌可危；（2） 目前大多数终端部署XX防病毒软件，少量安装了XXX防病毒软件，但没有集中管理，对于感染病毒和木马的终端无法进行控制其访问，只能通过管理手段要求分员工对终端进行杀毒等等，并且该工作是事后的工作，当一个未知病毒大面积爆发时有可以造成整个网络无法使用，对网络的安全稳定运行造成非常大的影响；（3） 没有部署强制的补丁管理系统进行补丁统一管理，各终端不打、漏打系统补丁状况严重，而且没有办法强制安装

7、，导致一旦某台终端感染病毒或恶意代码，则很快就会在内网泛滥；（4） 员工安全意识薄弱，企业安全策略难以实施。主要表现在私自安装软件的情况比较严重，无法对终端的非法软件安装情况等进行检测和控制；非法外联行为严重，经常通过调制解调器、ISDN 拨号设备、ADSL 拨号设备、无线网卡等网络设备非法接入互联网，给网络的安全性等带来了极大的隐患；（5） 目前企业网络没有进行准入控制，任何终端只要插入网络就能够自由的访问整个网络，存在大量非法接入和非授权访问的状况，导致企业业务系统的破坏，以及关键信息资产的泄漏，已经成为了企业需要解决的重要风险。1.3 项目规模和范围项目终端主要集中在XXX，共计XXX终

8、端。序号地点终端数目1XX总部20002XX地区分公司50031.4 项目建设目标为了解决XX终端安全桌面安全管理问题，有效保障分行内部网络的畅通、终端的安全和公司信息数据的安全，TSM终端安全管理解决方案有效的帮助企业提供整合的内网安全管理思路，实现从终端到业务系统的控制和管理功能。内网安全解决方案将试图访问企业网络资源的用户进行身份认证和强制实施安全认证，通过双重检查保证接入网络终端的安全性，对不满足需求的终端自动引导进行安全修复和补丁安装，对满足需求的终端接入网络后，对其网络和终端行为进行实时监测和审计，保护终端软硬件资产，防止信息泄密，最大程度保障企业信息安全。终端接入企业内网的管理流

9、程如下所示：XX终端安全管理解决方案包括以下内容：1. 网络安全准入控制提供终端用户基于角色的安全接入检查和网络访问权限控制。通过不同准入控制方案配合，实现只允许符合企业安全规定的合法终端用户接入网络，防止内部合法但不安全的用户连接到企业内部网络以及防止外部非法用户访问企业内部网络。 及时发现外来设备接入网络 隔离存在重大安全隐患的终端 隔离未安装补丁的终端，防止感染病毒 隔离不符合安全策略要求的终端同时，对接入网络后的安全终端用户实现企业资源细粒度访问控制，针对企业不同级别的终端用户访问内部资源开放不同的资源访问权限。2. 终端系统安全性检查提供丰富的准入安全检查策略，实现接入企业内部网络终

10、端的安全性要求。包括操作系统补丁检查、软件黑白名单检查、端口检查、防病毒软件安全性检查、软件/进程/服务检查、共享目录检查、外设检查、账号合规性检查等。3. 有效阻断信息泄密行径有效封堵企业内部信息的泄密行为，通过终端外设管理策略，有效管理终端外设端口使用；提供移动存储设备写加密功能，实现拷贝资料的写加密处理；通过对上网路径的有效性检查，避免内部资源通过非法途径外泄的可能。网络访问管理、文件操作审计等多种措施配合，有效保证企业内部安全管理制度的落地。4. 加固终端的安全性协助企业下载基于Window操作系统的最新补丁包，帮助终端自动安装操作系统补丁、支持企业必备的软件网络推送功能，提供自动修复

11、和企业个性化修复建议。5. 资产管理资产管理模块实现对全网终端的硬件和软件资产进行自动收集、统一管理，减少IT维护工作量，实时上报资产变更和告警；自动发现网络中安装了代理的终端以及新接入的未安装代理终端，能够对新设备的接入和代理卸载事件进行告警响应。6. 运维管理通过在线趋势报表、安全策略趋势报表、违规策略TOPN等，方便管理者第一时间动态掌握整网的安全情况；7. 远程协助提供对远程终端用户的监视和控制功能，管理员可通过监控故障终端远程帮助终端用户进行系统的故障排除。2 方案设计原则方案以网络身份识别为基础，以准入控制为手段，以桌面管理为补充，构建一体化的内网安全解决方案。整体方案设计遵循以下

12、原则：1. 技术和管理并重安全防御“三分技术，七分管理”，除了企业安全技术手段外，需要配合企业的安全管理运作制度，强化各项安全策略和流程的有效执行；2. 遵从相关法律法规以安全法规为基础，遵从国家相关安全政策，创建全面动态安全策略；3. 适应企业信息安全现状以企业安全现状为基础，充分考虑企业存在的信息安全风险，完善企业IT内控管理；4. 管理方便、易于维护依照目前企业的管理机制和组织结构，保证系统架构明确、管理方便，节省维护成本；5. 安全可靠系统应具有安全保障体系，确保网络的安全和保密，采用先进的软硬件等技术手段，实现网络的传输安全、数据安全、接口安全；同时系统应具有高可靠性和冗余设计；3

13、系统部署整体方案3.1 接入控制方案目前XX企业的网络建设比较完善，但在内网中，基于交换机实现的IP的访问控制不仅配置管理不够灵活，而且还存在IP被仿冒等安全风险，无法彻底解决非法接入和越权访问的问题。TSM系统终端用户的身份认证，通过基于用户角色的网络访问权限管理，加强内网的网络访问控制，防止非法接入和非授权访问，保证企业内网的安全。本节根据现网情况介绍部署方案，需要针对具体的网络结构和客户需求，选择相应的部署方案【样例1SACG硬件网关方案】XX企业网络拓扑结构如图2-2所示：图2-1 XX企业网络拓扑结构图其网络架构特点如下： 网络层次清晰，为典型的三层网络架构； 存在数据中心，现网的业

14、务服务器已经集中部署在数据中心里； 终端较为集中，无分支机构或其他网络接入点；根据方案设计依据和设计原则，结合XX企业现网拓扑架构和客户的具体需求，建议TSM系统采取集中式部署，部署示意图如下：图2-2 XX企业TSM系统部署示意图部署说明：1） SACG（安全接入控制网关）硬件设备分别旁挂在核心交换机处，两台SACG之间做主备，以保证SACG的高可靠性；在核心交换机处启策略路由，将终端访问系统系统的上行流量引流至SACG进行控制。2） TSM系统服务器采取集中部署在现有业务系统区域，保证与SACG和所有终端路由可达。3） 将现有网络资源按照业务和安全等级划分为3个安全域： 认证前域：终端在身

15、份认证和安全检查通过前能够访问的网络资源，包括DHCP服务器、TSM系统服务器等； 隔离域：终端在通过身份认证但没有通过安全检查时处于被隔离状态，此时仅能够进行安全修复操作，包括防病毒软件病毒库升级服务器、补丁服务器等； 认证后域：终端在通过身份认证和安全检查后能够访问的网络资源，管理员可根据工作相关性和最小授权原则，将不同的终端用户授权访问相应的网络资源，有效防止非法访问和越权访问。【样例2802.1x方案】XX企业网络拓扑结构如图所示：图2-3 XX企业网络拓扑结构图其网络架构特点如下： 网络较新，交换机厂商较单一，多为华为交换机，少量为Cisco交换机，而且均支持802.1x协议； 现网

16、部署有DHCP服务器，全网均采用动态IP地址方式； 网络规模较小，终端较为集中，无分支机构或其他网络接入点；根据方案设计依据和设计原则，结合XX企业现网拓扑架构和客户的具体需求，建议TSM系统采取集中式部署，部署示意图如下：图2-4 XX企业TSM系统部署示意图部署说明：1） 在所有接入层交换机802.1x认证模式，交换机认证的Radius服务器地址指定为TSM服务器地址；2）在交换机上划分至少两个Vlan： 隔离Vlan：即终端没有安全检查时进入的Vlan，该Vlan只能访问指定的处在隔离域的网络资源，如补丁服务器、防病毒软件病毒库升级服务器等； 工作Vlan：即终端通过身份认证和安全检查时

17、进入的Vlan，该Vlan可以正常访问相应的网络资源。2） TSM系统服务器采取集中部署在现有业务系统区域，保证与启用802.1x认证的交换机和所有终端路由可达；此部署方案中，需要在所有接入终端安装TSM系统的客户端Agent，通过TSM Agent进行身份认证和安全检查；TSM服务器根据终端身份认证和安全检查的结果，通知终端接入交换机动态切换对应端口所处的Vlan，从而实现对终端接入网络的控制。【样例3软件SACG方案】XX企业网络拓扑结构如图所示：图2-5 XX企业网络拓扑结构图其网络架构特点如下： 网络部署时间较长，交换机品牌较多，相当一部分交换机不支持802.1x协议； 网络规模较小，

18、终端较为集中，无分支机构或VPN等其他网络接入点；根据方案设计依据和设计原则，结合XX企业现网拓扑架构和客户的具体需求，建议TSM系统采取集中式部署，部署示意图如下：图2-6 XX企业TSM系统部署示意图部署说明：1） 在所有接入终端安装TSM系统的客户端Agent；2） TSM系统服务器部署在现有业务系统区域，保证与所有终端路由可达；3） 在TSM系统管理界面启用基于主机防火墙的准入控制功能，并将现有网络资源按照业务和安全等级划分为3个安全域： 认证前域：终端在身份认证和安全检查通过前能够访问的网络资源，包括DHCP服务器、TSM系统服务器等； 隔离域：终端在通过身份认证但没有通过安全检查时

19、处于被隔离状态，此时仅能够进行安全修复操作，包括防病毒软件病毒库升级服务器、补丁服务器等； 认证后域：终端在通过身份认证和安全检查后能够访问的网络资源，管理员可根据工作相关性和最小授权原则，将不同的终端用户授权访问相应的网络资源，有效防止非法访问和越权访问。此部署方案中，需要在所有接入终端安装TSM系统的客户端Agent，通过TSM Agent集成的主机防火墙对终端接入网络进行准入控制。TSM服务器根据终端身份认证和安全检查的结果，通知终端上的客户端Agent允许或拒绝接入企业网络，从而实现对终端接入网络的控制。【样例4硬件SACG+软件SACG方案】XX企业网络拓扑结构如图所示：图2-7 X

20、X企业网络拓扑结构图其网络架构特点如下： 网络部署时间较长，经过多次扩容，交换机品牌较多，扩容之前的一部分交换机不支持802.1x协议； 网络架构层次清楚，服务器集中放置在数据中心统一进行管理；根据方案设计依据和设计原则，结合XX企业现网拓扑架构和客户的具体需求，建议TSM系统采取集中式部署，部署示意图如下：图2-8 XX企业TSM系统部署示意图部署说明：1） 在所有接入终端安装TSM系统的客户端Agent；2） 在核心交换机处侧挂TSM系统的SACG硬件安全接入控制网关设备，通过策略路由将所有访问业务服务器区域的上行引流至SACG进行控制；2） TSM系统服务器部署在现有业务系统区域，保证与

21、所有终端路由可达；3） 在TSM系统管理界面启用基于主机防火墙的准入控制功能，并将现有网络资源按照业务和安全等级划分为3个安全域： 认证前域：终端在身份认证和安全检查通过前能够访问的网络资源，包括DHCP服务器、TSM系统服务器等； 隔离域：终端在通过身份认证但没有通过安全检查时处于被隔离状态，此时仅能够进行安全修复操作，包括防病毒软件病毒库升级服务器、补丁服务器等； 认证后域：终端在通过身份认证和安全检查后能够访问的网络资源，管理员可根据工作相关性和最小授权原则，将不同的终端用户授权访问相应的网络资源，有效防止非法访问和越权访问。此部署方案中，需要在所有接入终端安装TSM系统的客户端Agen

22、t，通过TSM Agent集成的主机防火墙和硬件SACG网关相配合，对终端接入网络进行准入控制：主机防火墙负责二层的准入控制，硬件SACG网关负责保护核心业务服务器区域。TSM服务器根据终端身份认证和安全检查的结果，对终端接入网络的控制。【样例5分布式部署方案】XX企业网络拓扑结构如图所示：图2-9 XX企业网络拓扑结构图其网络架构特点如下： 网络规模较大，除了总部本地的局域网，在其他地方还有多个分支机构，分支机构通过专线接入总部； 网络部署时间较长，经过多次扩容，交换机品牌较多，扩容之前的一部分交换机不支持802.1x协议； 网络架构层次清楚，服务器集中放置在数据中心统一进行管理；根据方案设

23、计依据和设计原则，结合XX企业现网拓扑架构和客户的具体需求，建议TSM系统采取分布式部署，部署示意图如下：图2-10 XX企业TSM系统部署示意图部署说明：1） 在所有接入终端安装TSM系统的客户端Agent；2） 在总部及各分支机构的汇聚交换机处侧挂TSM系统的SACG硬件安全接入控制网关设备，通过策略路由将所有访问业务服务器区域的上行引流至SACG进行控制；2） TSM系统管理服务器（SM）部署在总部现有业务系统区域，TSM系统控制服务器（SC）分布式部署在总部和各分支机构，负责当地终端的身份认证和安全检查，所有的控制器统一由总部的管理服务器进行管理；3） 在TSM系统管理界面启用基于主机

24、防火墙的准入控制功能，并将现有网络资源按照业务和安全等级划分为3个安全域： 认证前域：终端在身份认证和安全检查通过前能够访问的网络资源，包括DHCP服务器、TSM系统服务器等； 隔离域：终端在通过身份认证但没有通过安全检查时处于被隔离状态，此时仅能够进行安全修复操作，包括防病毒软件病毒库升级服务器、补丁服务器等； 认证后域：终端在通过身份认证和安全检查后能够访问的网络资源，管理员可根据工作相关性和最小授权原则，将不同的终端用户授权访问相应的网络资源，有效防止非法访问和越权访问。此部署方案中，需要在所有接入终端安装TSM系统的客户端Agent，通过TSM服务器与SACG网关设备的联动，根据终端身

25、份认证和安全检查的结果由TSM服务器通知相应的SACG开放指定终端的网络访问权限。【样例6分级式部署方案】XX企业网络拓扑结构如图所示：图2-11 XX企业网络拓扑结构图其网络架构特点如下： 网络规模较大，除了总部本地的局域网，在其他地方还有多个分支机构，分支机构通过专线接入总部； 需要总部的统一规划管理和分支机构在继承总部策略前提下的个性化管理； 网络部署时间较长，经过多次扩容，交换机品牌较多，扩容之前的一部分交换机不支持802.1x协议； 网络架构层次清晰，服务器集中放置在数据中心统一进行管理；根据方案设计依据和设计原则，结合XX企业现网拓扑架构和客户的具体需求，建议TSM系统采取分布式部

26、署，部署示意图如下：图2-12 XX企业TSM系统部署示意图部署说明：1） 在所有接入终端安装TSM系统的客户端Agent；2） 在总部及各分支机构的汇聚交换机处侧挂TSM系统的SACG硬件安全接入控制网关设备，通过策略路由将所有访问业务服务器区域的上行引流至SACG进行控制；2） TSM系统管理中心（TMC）部署在总部现有业务系统区域，TSM系统管理节点（SM+SC）分布式部署在总部和各分支机构，负责各个地区策略制定以及终端的身份认证和安全检查，所有的TSM系统管理节点统一由总部的管理服务器进行管理；3） 在TSM系统管理界面启用基于主机防火墙的准入控制功能，并将现有网络资源按照业务和安全等

27、级划分为3个安全域： 认证前域：终端在身份认证和安全检查通过前能够访问的网络资源，包括DHCP服务器、TSM系统服务器等； 隔离域：终端在通过身份认证但没有通过安全检查时处于被隔离状态，此时仅能够进行安全修复操作，包括防病毒软件病毒库升级服务器、补丁服务器等； 认证后域：终端在通过身份认证和安全检查后能够访问的网络资源，管理员可根据工作相关性和最小授权原则，将不同的终端用户授权访问相应的网络资源，有效防止非法访问和越权访问。该部署方案中需要在所有接入终端安装TSM系统的客户端Agent，通过TSM服务器与SACG网关设备的联动，根据终端身份认证和安全检查的结果由TSM服务器通知相应的接入控制和

28、终端安全解决方案。3.2 身份认证方案TSM系统建立了完善的接入用户身份认证机制，支持系统内置账号和外部数据源方式。系统内置账号包括普通账号、MAC账号，外部数据源账号支持从AD账号、LDAP账号和CA账号等第三方的用户系统中同步账号，实现终端的网络准入前的身份认证过程。客户是否已经部署AD域服务器或者其他LDAP服务器，根据此情况具体说明终端用户的账号如何管理TSM系统中，终端用户是以终端角色来进行安全策略和网络访问权限管理的，终端只有完成身份认证才能接入企业内网，因此本次实施方案需完成终端用户的认证账号配置。TSM系统参考现有企业的组织和管理结构，采用树状结构的多级管理方式，账号数据源支持

29、系统内置账号和外部数据源方式。系统内置账号包括普通账号、MAC账号，外部数据源账号支持从AD账号、LDAP账号和CA账号等第三方用户系统中同步账号，完成TSM系统的接入认证。【样例1AD/LDAP/CA联动认证方式】由于XX已经部署了微软的AD域服务器进行用户管理，可利用TSM系统支持与AD域服务器进行认证联动功能，因此，这里推荐使用TSM系统的“AD联动认证”方式。在本方案里，建议部署的TSM系统里用户组与现有AD域服务器里的OU结构保持一致，建立一一对应的关系，定时与AD域服务器进行用户信息同步。部署以后，终端用户通过域账号登陆操作系统后，TSM系统的客户端代理程序会自动获取当前用户的AD

30、域账号信息，通过TSM服务器与AD服务器之间的联动实现认证。管理员配置安全检查策略时，仅对TSM系统里的用户信息进行配置，对原有AD域的信息不造成任何的影响。整个认证过程对客户现有使用习惯没有任何的影响。【样例2账号名密码方式】针对XX现网情况，本方案推荐使用TSM系统的“用户名/密码”方式。终端用户的账号可由现有的人事系统、邮箱系统或者其他数据库中导出，然后通过TSM系统提供的Excel模板统一批量导入到TSM系统里，导入时可对用户账号进行分组，以保证TSM系统里的组织结构与现有的组织机构完全一致，保证每个员工都有网内唯一的认证账号。TSM的用户账号可与IP/MAC地址绑定的功能，当进行IP

31、或者MAC地址绑定后，必须在指定的终端上进行认证。3.3 外来访客管理方案为规范外来访客对内网资源的的访问，建议启用访客管理功能。当外部人员来到公司，需要临时使用公司的网络的时候，接待人员可以根据不同的业务需要，通过访客账号申请流程协助外部人员获得网络接入权限。管理员可以根据企业的管理制度，定义来访客户能够获得的网络访问权限。通过接待人员对合作人员进行管理，简化了外来人员管理的复杂度，提升管理效率。3.4 设备自发现现网网络规模较大，接入内网的设备较多，管理员很难及时动态滴了解网络设备的接入情况。建议启用TSM系统的自动网络扫描功能，扫描并自动分类网络中的接入设备，如交换路由设备、PC设备、服务器、IP电话、网络打印机等，同时保证能够及时发现网络中出现的新设备，对未安装TSM代理的外来终端的接入行为进行告警，方便管理员了解网络终端的接入情况。3.5 软硬件配置说明描