_实施方案模板_天珣内网安全风险管理与审计系统v6.6.9.5Patch66950000概述.doc

天珣内网安全风险管理与审计系统 实施方案 （VPatc 启明星辰 Beijing Venustech Cybervision Co., Ltd. 2014 年 10月 目录 1 系统实施原则 1 1.1 最大限度降低对用户的影响 1 1.2 全面细致规划，分步实施 1 1.3 安全策略从简到繁，安全级别步进式提高 2 2 实施计划 2 3 管理服务器部署 3 3.1 总部管理服务器部署 3 3.2 厂所独立管理服务器部署 4 3.3 部署实施建议 5 3.3.1 管理服务器与客户端通信要求 5 3.3.2 数据存储建议 9 3.3.3 管理员权限划分 9 3.3.4 服务器安装及数据管理 9 4 客户端部署 10 4.1 通过应用准入方式部署客户端 10 4.2 应用准入控制部署 10 4.3 建设期客户端部署 11 4.4 维护期客户端部署 11 5 准入控制实施 11 5.1 应用准入控制实施 12 5.2 网络准入控制实施 15 5.3 风险与灾备 21 5.4 客户端准入部署 27 5.5 客户端准入控制部署建议 28 6 分工界面 29 7 附件一：服务器安装及数据管理 31 系统实施原则 最大限度降低对用户的影响 部署终端安全管理系统的根本目的，是借助系统所提供的准入控制的技术手段，确保接入的电脑是合法的和符合XX研究院安全策略要求的，最大限度降低不安全的客户端电脑对XX研究院网络和信息资源带来的风险和威胁，保证XX研究院每一个用户的电脑始终处于良好的运行状态，大大降低故障发生概率，从而保证每个用户都能够完全专注在自己的本职业务工作，并大大提高每一个用户的工作效率。 因此，选择和部署终端安全管理系统时，在确保XX研究院安全策略的有效执行的前提下，要最大限度降低对电脑用户在日常工作中的影响，例如减少终端用户在系统的使用过程中的不必要的操作和介入，在用户违反安全策略时进行友好提示，尊重和保护个人隐私，为用户安全网络访问和信息交换保驾护航。 全面细致规划，分步实施 终端安全管理系统，作为XX研究院网络安全的基础架构中非常重要的客户端电脑安全管理平台，将涉及到XX研究院内部每一台接受管理的电脑和每一个用户，涉及面广，影响面大。当然，为了根本上解决客户端电脑的安全管理问题，这样的系统的部署也势在必行，因此在系统部署前需要对系统的实施过程、安全策略的制定和安全管理制度的建立，进行全面系统地规划，并在实施过程中，根据实际环境进行适时调整，从而保证系统和安全策略在XX研究院内部顺利执行下去，实现项目预期的目标，保障内部网络具有更高可用性和客户端电脑的更高安全性。 部署前需要规划的内容包括：内部网络和用户的安全分级和规划，系统部署的次序和周期，针对不同部门或用户角色的安全策略组合，系统安全策略的动态调整等等。 安全不是一蹴而就的，由于该系统涉及面较广，因此系统的实施需要全面规划，分步实施，循序渐进，真正发挥系统的安全保护和主动防御的功效。 安全策略从简到繁，安全级别步进式提高 由于XX研究院分支机构、部门和人员较多，对应每一个角色的安全保护级别要求也层次各异，如果为了保证最高的安全性，使用同样一种严格的安全策略，或者为了降低安全管理的工作量，简单的执行一类基本安全策略，都是不合适的。 在规划中要预先基于用户角色确定每个部门、用户或分支机构，确定对应的最合适的安全策略组合，作为系统最终实现的安全管理目标。在实施过程中，再按照由简到繁的次序，先实施所有用户都必须遵守的安全策略，然后再根据不同分支机构、部门和用户，步进式下发和执行各级安全策略，从而实现安全级别步进式提高，构建立体的、混合模式的终端安全策略管理体系。 实施计划 内网终端合规管理提升是一个循序渐进和不断完善的过程，要兼顾“安全性”和“便利性”，合规管理应“先弱后强”，实施策略应“先易后难”的原则，消除来自业务部门和终端员工的抵触情绪和压力。因此在安装过程中，我们严格遵循天珣安装“三步走”原则，即： 通过应用准入推动客户端部署安装，通过友好的提示界面以及强度稍弱的准入控制方式，善意的提醒用户主动安装天珣客户端，并提供给用户下载地址，由其去下载和安装 配置策略管理受控终端使其进行自身安全状态的完善，目标则是让内网受控终端成为合规安全的终端，保证内网安全建设成功而高效 启用网络准入，在用户熟悉天珣准入控制系统的特性后再启用网络准入，将会受到最小的阻力，最终完成整个准入体系的关键一步 当然，也会有一些部门或区域的安全保护等级要求没有这么高，这时我们可以对其采用适合自己的准入控制方式和安全策略，从而使的整个项目更加人性化。 项目时间表 管理服务器部署 总部管理服务器部署 院本部内厂所内：两种方式部署管理服务器，一种是逻辑上的集中