XX集团终端入网管理建方案书.doc

浙江XX集团 终端入网管理管理方案 2011年11月10日 目 录 关于终端入网管理系统项目的特别说明 3 第一章 技术方案 4 1.1 项目背景 4 1.2 技术设计的指导思想 5 1.2.1 终端入网管理系统部署的目的 5 1.2.2 终端入网管理系统部署的指导方针 6 1.2.3 终端入网管理系统解决方案设计原则 7 1.3 技术设计方案 8 1.3.1 方案概述 8 1.3.2 终端入网管理系统部署后的影响? 10 1.3.3 主要业务流程 11 第二章 产品介绍 13 2.1 能够对人员和设备提供双实名认证 13 2.2 能够提供来宾管理功能 13 2.3 能够提供用户与设备的“人机对应”负责制 13 2.4 多种杀毒软件厂商支持，快速补丁扫描与修复 14 2.5 提供有贵单位特色的安全检查规范库 14 2.6 能够对漏洞设备进行“一键式”智能修复 14 2.7 能够基于人员角色进行动态授权 14 2.8 提供无客户端agentless的准入部署模式 15 2.9 能够提供实名制日志审计报表 15 2.10 能够提供及时的报警响应 15 2.11 多个3000点以上的大规模部署案例 15 2.12 终端入网管理系统主要功能及特点说明 15 2.12.1 创新的安全策略引擎 15 2.12.2 贴身的行业管理规范 16 2.12.3 全面的网络环境支持 16 2.12.4 快速的系统实施部署 16 2.12.5 智能的违规引导修复 17 2.12.6 丰富的管理要求规则 17 第三章 项目效果 19 3.1 入网流程 19 3.1.1 入网引导 19 3.1.2 身份验证 20 3.1.3 安全性评估与修复 21 3.1.4 安全报表 22 3.2 平台建设收益 23 3.3 其他安全贴士 24 3.4 总体安全效果图 25 关于终端入网管理系统项目的特别说明 本次项目的重点是什么？ 本次项目的重点主要是能够建立一套“终端入网管理”的统一平台，从终端的注册接入(身份认证(终端安全规范性检查(提供终端后台智能(或傻瓜式)修复。这是一个系统性项目，需要“统一规划、分步实施”，采用螺旋式上升“PDCA”的项目管理思路去建设。 第一阶段，基础平台建设。可以根据需要，先把集团终端入网管理建设起来，实现外来的电脑没有得到允许不准接入网络；员工办公电脑也必须通过身份认证才能进入网络。 第二阶段，基本规范应用。根据管理需求进行调整，可以增加基本的入网终端的规范，比如增加必须安装防病毒软件、补丁必须安全可靠地安装。 第三阶段，扩展应用叠加。随着终端用户的安全意识提高，对入网控制系统的接受，可以根据上级的要求或实际的管理需要，叠加安全规范。比如做到根据每个可信用户的具体工作职权来划分不同的权限，将其限定在职权范围允许访问的网络、数据资源集中。 项目应该关注的重点问题 系统安全、可靠，有完备的故障逃生方案。 终端用户的安全检验要从简单到高级应用，不断培养他们的安全意识。 补丁修复要安全可靠，最好和360同步。 系统是可扩展的平台，产品是可不断发展的。 不要在终端安装代理Agent客户端，影响终端性能和用户体验。 技术支持是否可以急时响应。 是否提供前台安全检查或者后台安全检查两种模式，并且支持管理平台定义模式选择。 技术方案 项目背景 浙江XX控股有限公司（以下简称：XX集团）是一家以染料化工为主业的国家大型企业，下辖化工、钢铁、房地产三大块业务，为中国民营企业500强、中国制造业500强、中国非国有企业百强企业。并在行业中率先通过ISO9001国际质量管理体系认证和ISO14001环境体系认证。 XX集团经过多年的发展，已经建立了一套完整的业务信息化办公服务。但随着公司不断发展，公司网络越来越庞杂、所承载的生产办公的压力也越来越大，且办公终端分散、数目众多。目前为适应信息安全的要求，规范IT 安全管理，特提出本次网络安全管理项目建设目标。通过采用合适的技术手段对单位网络的信息安全规范进行综合管理，让XX集团能够实现对整个网络进行统一授权管理，以及对办公终端的使用情况进行实时跟踪和有效控制，有效地避免各类违规事件的发生，提高网络的整体维护效率和管理力度，符合相关信息安全管理规范要求。 概括来说，XX集团通过终端入网管理的安全体系建设，将实现以下的目标： 保障业务应用的连续性，促进办公网应用稳定发展（根本目标） 保证办公网终端的安全性、可控性、统一管理性、稳定并可扩展性（直接目标） 构建技术与管理相结合的全方位、多层次、可动态发展的全网终端安全使用规范体系 针对XX集团的项目情况，提出了采用“集中平台、分域自治、子承父控、策略同步”的设计原则的网络安全准入控制的解决方案。