XX集团网路安全与管理项目建设建议书(网络准入控制).doc

XX集团 网路安全与管理建设建议书 子方案（一）：上网准入 2012年月 关于终端入网管理系统项目的特别说明 4 第一章 技术方案 5 1.1 项目背景 5 1.2 技术设计的指导思想 6 1.2.1 终端入网管理系统部署的目的 6 1.2.2 终端入网管理系统部署的指导方针 6 1.2.3 终端入网管理系统解决方案设计原则 7 1.3 技术设计方案 8 1.3.1 方案概述 8 1.3.2 终端入网管理系统部署后的影响 13 1.3.3 主要业务流程 14 第二章 产品介绍 16 2.1 能够对人员和设备提供双实名认证 16 2.2 能够提供来宾管理功能 16 2.3 能够提供用户与设备的“人机对应”负责制 16 2.4 多种杀毒软件厂商支持，快速补丁扫描与修复 17 2.5 提供有贵单位特色的安全检查规范库 17 2.6 能够对漏洞设备进行“一键式”智能修复 17 2.7 能够基于人员角色进行动态授权 17 2.8 提供无客户端agentless的准入部署模式 18 2.9 能够提供实名制日志审计报表 18 2.10 能够提供及时的报警响应 18 2.11 多个3000点以上的大规模部署案例 18 2.12 终端入网管理系统主要功能及特点说明 18 2.12.1 创新的安全策略引擎 18 2.12.2 贴身的行业管理规范 19 2.12.3 全面的网络环境支持 19 2.12.4 快速的系统实施部署 19 2.12.5 智能的违规引导修复 20 2.12.6 丰富的管理要求规则 20 第三章 项目效果 22 3.1 入网流程 22 3.1.1 入网引导 22 3.1.2 身份验证 23 3.1.3 安全性评估与修复 24 3.1.4 安全报表 25 3.2 平台建设收益 26 3.3 其他安全贴士 27 3.4 总体安全效果图 28 附件A： 29 关于终端入网管理系统项目的特别说明 本次项目的重点是什么？ 本次项目的重点主要是能够建立一套“终端入网管理”的统一平台，从终端的注册接入(身份认证(终端安全规范性检查(提供终端后台智能(或傻瓜式)修复。这是一个系统性项目，需要“统一规划、分步实施”，采用螺旋式上升“PDCA”的项目管理思路去建设。 第一阶段，基础平台建设。可以根据需要，先把集团终端入网管理建设起来，实现外来的电脑没有得到允许不准接入网络；员工办公电脑也必须通过身份认证才能进入网络。 第二阶段，基本规范应用。根据管理需求进行调整，可以增加基本的入网终端的规范，比如增加必须安装防病毒软件、补丁必须安全可靠地安装。 第三阶段，扩展应用叠加。随着终端用户的安全意识提高，对入网控制系统的接受，可以根据上级的要求或实际的管理需要，叠加安全规范。比如做到根据每个可信用户的具体工作职权来划分不同的权限，将其限定在职权范围允许访问的网络、数据资源集中。 项目应该关注的重点问题 系统安全、可靠，有完备的故障逃生方案。 终端用户的安全检验要从简单到高级应用，不断培养他们的安全意识。 补丁修复要安全可靠，最好和360同步。 系统是可扩展的平台，产品是可不断发展的。 不要在终端安装代理Agent客户端，影响终端性能和用户体验。 技术支持是否可以急时响应。 是否提供前台安全检查或者后台安全检查两种模式，并且支持管理平台定义模式选择。 技术方案 项目背景 XX微电子股份有限公司（以下简称XX集团）成立于1983年，1995年在深交所上市(股票代码000050),是专业生产、经营液晶显示器（LCD）及液晶显示模块（LCM）的高科技企业。经过二十多年的发展，现已发展成为一家集液晶显示器的研发、设计、生产、销售和服务为一体的大型公众上市公司。成员企业包括深圳XX、上海XX、成都XX、武汉XX、欧洲XX、美国XX、韩国XX等。拥有STN-LCD、CSTN-LCD、TFT-LCD及CF生产线及模块工厂。公司营销网络遍布全球，产品广泛应用于移动电话、MP3/MP4、车载显示、仪器仪表、家用电器等领域。在技术水平、产品质量、产品档次及市场占有率等方面均居国内同行业前列，已成为中小尺寸显示领域的领军企业。 XX集团经过多年的发展，已经建立了一套完整的业务信息化办公服务。但随着公司不断发展，公司网络越来越庞杂、所承载的生产办公的压力也越来越大，且办公终端分散、数目众多。目前为适应信息安全的要求，规范IT 安全管理，特提出本次网络安全管理项目建设目标。通过采用合适的技术手段对单位网络的信息安全规范进行综合管理，让XX集团能够实现对整个网络进行统一授权管理，以及对办公终端的使用情况进行实时跟踪和有效控制，有效地避免各类违规事件的发生，提高网络的整体维护效率和管理力度，符合相关信息安全管理规范要求。 概括来说，XX集团通过终端入网管理的安全体系建设，将实现以