XX单位 - 计算机准入控制及安全管理解决方案XXX单位 - 计算机准入控制及安全管理解决方案.docVIP

XXX单位 目 录 1. 等级保护需求响应说明 5 2. XXX单位如何实现安全准入和管理 6 2.1. 系统架构图 6 2.2. 终端安全管理总体思路 6 2.3. 准入控制系统部署后的影响 8 2.4. 准入控制帮助用户解决的问题 9 3. 计算机准入控制方案建议 10 3.1. 基础环境准备 10 3.1.1. 准入技术的选择 10 3.1.2. 网络环境调整 10 3.2. 计算机准入控制技术实现 11 3.2.1. 实现原理及建议 11 3.2.2. 系统部署方式（参考） 11 4. 计算机安全加固及防护方案建议 13 4.1. 客户端安全漏洞检查 13 4.2. 未安装杀毒软件客户端报警 13 4.3. 外设管理（如U盘等） 13 4.4. 终端软件使用控制 14 4.5. 终端防火墙 14 4.6. 上网行为管理 14 4.7. 客户端流量异常管理控制 15 4.8. 补丁管理 15 4.9. 非授权外连 16 5. 计算机资产管理方案建议 17 5.1. 资产信息自动采集 17 5.2. 软件分发 18 5.3. 远程桌面管控 19 6. 审计报表和故障处理 20 6.1. 日志及报表管理 20 6.2. 智能化故障处理 21 7. 系统部署建议 22 7.1. 管理服务器冗余备份 22 7.2. Radius服务器冗余备份 22 7.3. 后台数据库冗余备份 22 7.4. 安全性、可靠性保障措施 23 7.5. 身份验证源采用Ukey证书的规划 23 7.6. 无Agent终端准入管理 24 7.6.1. 基于IP或MAC作例外 24 7.6.2. 基于MAC作验证 24 7.7. 客户端部署方式及预期部署效率 25 7.7.1. UniAccess Agent的特点 25 7.7.2. UniAccess Agent支持的操作系统 25 7.7.3. UniAccess Agent的部署 25 7.8. 系统可靠性设计及说明 26 7.9. 系统安全性设计及说明 27 8. 联软准入控制系统特点 28 9. 附录：产品功能清单 29 关键字定义： 1、联软终端准入软件产品全称：LeagView Uniaccess 等级保护需求响应说明 计算机管控 实行IP地址、MAC地址和准入端口绑定，有效防范非授权计算机准入网络。 应答： 本方案可以通过基于交换机802.1x和准入控制系统结合实现本项等保要求。 准入控制 部署用户身份管理系统，为每名用户颁发数字证书，实行用户统一注册管理；按需分配用户准入权限，使用硬件设备或生物识别技术进行用户身份、权限鉴别、严密防范非授权用户登录、准入。 应答： 本方案可以实现基于硬件Ukey证书的身份验证系统，并且可对终端实现安全检查、合规性检查等，使不符合要求的计算机无法准入网络。 技术服务 部署漏洞扫描系统，及时查找发现网络隐患漏洞；部署补丁分发系统，及时修补系统漏洞。 应答： 本方案包括计算机安全扫描以及补丁分发系统，并可结合准入控制，使存在安全漏洞的计算机无法准入网络，直至修复安全漏洞。 XXX单位如何实现安全准入和管理 系统架构图 终端安全管理总体思路 LeagView UniAccess对电脑终端进行安全管理的总体思路是： 联软科技的网络准入控制系统流程与普通旅客登录飞机的流程可相媲美： 均是国际认可的安全管理标准； 均具备访客区、修复区、工作区的概念； 均具备强身份检查和安检流程； 以上过程完全满足网络准入控制的目的和意义：能确保合法的、健康的终端准入内部网络准入被授权的资源。 首先，通过网络准入控制技术，确保准入网络的电脑终端符合如下要求： 常规准入，对于内部员工、合作支持厂商及外来访客等人员的常规网络准入，必须符合网络常规准入管理规定，例如：拥有合法的准入帐号、安装了指定的杀毒软件等。如果不符合管理规定，将拒绝其准入，或者通过网络对该电脑进行自动隔离。通过操作系统自带验证功能实现终端准入的初级管理，非授权终端不能准入网络，准入成功的终端可以准入日常办公区域和互联网等。 安全准入，对于内部员工、合作支持厂商及业务相关人员的特殊或涉密网络准入，必须安装Agent，如果是未安装Agent的电脑终端准入网络，其打开WEB浏览器准入任何Web site时，将被重定向到管理员指定的一个页面，提醒其安装Agent。不安装Agent的电脑将无法准入制定网络（特殊电脑可以例外）。安装了Agent的终端必须符合网络安全准入管理规定，例如：拥有合法的准入帐号、安装了指定的防病毒软件、安装了指定的操作系统补丁等。如果不符合管理规定，将拒绝其准入，或者通过网络对该电脑进行自动隔离，并且指引其进行安全修复。通过客户端Agent实现终端准入的高级管理，保证准入制定区域