天融信网络安全产品-项目方案

天融信网络安全准入解决方案安全挑战计算机终端是用户办公和处理业务最重要的工具，对计算机终端的准入管理，可以有效地提高办公效率、减少信息安全隐患、提升网络安全，从而为用户创造更多的业务价值。

但目前，大部分终端处于松散化的管理，主要存在以下问题：接入终端的身份认证，是否为合法用户接入工作计算机终端的状态问题如下：操作系统漏洞导致安全事件的发生补丁没有及时更新工作终端外设随意接入，如U盘、蓝牙接口等外来人员或第三方公司开发人员使用移动笔记本电脑未经容许接入到业务专网或办公网系统工作终端的安全策略不统一，严重影响全局安全策略解决方案天融信针对上述安全挑战，提出了网络安全准入解决方案，采用CA数字证书系统、天融信终端安全管理系统TopDesk结合802.1X技术等，实现完善、可信的网络准入，如下图所示。

终端接安全准入过程如下：1） 网络准入控制组件通过802.1X 协议，将当前终端用户身份证书信息发 送到交换机。

2） 交换机将用户身份证书信息通过 RADIUS 协议，发送给RADIUS 认证组件。

3） RADIUS 组件通过CA 认证中心对用户身份证书进行有效性判定，并把 认证结果返回给交换机，交换机将认证结果传给网络准入控制组件。

4） 用户身份认证通过后，终端系统检测组件将根据准入策略管理组件制 定的安全准入策略，对终端安全状态进行检测。

5） 终端的安全状态符合安全策略的要求，则允许准入流控中心系统网络。

6） 如终端身份认证失败，网络准入控制组件通知交换机关闭端口；7） 如终端安全状态不符合安全策略要求，终端系统检测组件将隔离终端到非工作VLAN8） 在非工作VLAN 的终端，终端系统检测组件会自动进行终端安全状态的修复，在修复完成以后，系统自动将终端重新接入正常工作 Vian 丿匚［卫务徘F 丁咂*席.病并库悵羚睿工作门血loriuesk 卷丹端JJpHM "黑f Tup Desk Server :氏也件 1熬九乗咯忏理红件天融信网络安全准入解决方案图充分利用终端检测与防护技术终端防护系统对终端的安全状态和安全行为进行全面监管，检测并保障桌面系统的安全，统一制定、下发并执行安全策略，从而实现对终端的全方位保护、管理和维护，有效保障终端系统及有关敏感信息的安全。

天融信网络安全产品供货安装方案目录1天融信安全设备供货方案 (4)1.1供货计划和安排 (4)1.2运输安装计划 (4)1.3货物包装及标注 (6)1.4货物运输及交货 (6)2天融信安全产品安装部署方案 (7)2.1安全设备安装 (7)2.1.1安装步骤概述 (7)2.1.2安装准备工作确认 (8)2.1.3检查安装场所 (9)2.1.4安装计划 (11)2.1.5安装工具 (12)2.1.6设备安装流程 (13)2.1.7设备安装到指定位置 (13)2.1.8地线的连接 (14)2.1.9配置电缆的连接 (15)2.1.10安装中的布线推荐 (18)2.1.11安装中的电缆捆扎 (19)2.1.12安装后的检查 (22)2.2安全设备上线调试 (22)2.2.1产品上线过程 (22)2.2.2安全策略调试 (24)2.3系统集成割接 (25)2.3.1现有应用系统数据访问业务特点 (25)2.3.2割接时间点的选择 (27)2.3.3割接原则 (28)1 天融信安全设备供货方案正式合同签订后我方设备采购小组将按照合同中关于设备购货有关条款和议定的日期，组织设备软硬件的购置工作。

订购的设备在运抵用户指定安装现场后，我方将与用户方人员共同开箱验收。

验收时发现短缺、破损，我方将立即要求供货商补发或更换。

1.1 供货计划和安排1、到货时间我方承诺标书中要求中的到货日期内全部到达到货地点。

2、到货地点到货地点为用户的指定地点。

1.2 运输安装计划我方将在此次项目合同签订后，按照合同时限运至指定地点。

我方运货在途运输基本流程：1.3 货物包装及标注1、我方将提供货物送达合同规定的项目现场所需要的原厂包装，以防货物在运输中损坏，并提供原厂包装证明。

2、我方将以醒目的中文印刷字体在各包装箱上标明通用规范的运输标记或标志，如项目名称、货物名称与合同号、以及客户、我方双方名称等相关信息。

3、我方将在每个箱子侧面标明交货地点的全称；装箱单注明每个站点总数量；我方对包装箱内每件辅件进行标签，标明“备件”或“工具”及具体名称，并注明合同号、箱号及安装站。

计算机网络是一个分层次的拓扑结构，因此网络的安全防护也需采用分层次的拓扑防护措施。

即一个完整的网络信息安全解决方案应该覆盖网络的各个层次，并且与安全管理相结合。

以该思想为出发点，北京天融信公司提出了"网络信息安全解决方案"。

一、网络信息安全系统设计原则• 1.1满足Internet分级管理需求• 1.2需求、风险、代价平衡的原则• 1.3综合性、整体性原则• 1.4可用性原则• 1.5分步实施原则目前，对于新建网络及已投入运行的网络，必须尽快解决网络的安全保密问题，考虑技术难度及经费等因素，设计时应遵循如下思想：（1）大幅度地提高系统的安全性和保密性；（2）保持网络原有的性能特点，即对网络的协议和传输具有很好的透明性；11（3）易于操作、维护，并便于自动化管理，而不增加或少增加附加操作；（4）尽量不影响原网络拓扑结构，便于系统及系统功能的扩展；（5）安全保密系统具有较好的性能价格比，一次性投资，可以长期使用；（6）安全与密码产品具有合法性，并便于安全管理单位与密码管理单位的检查与监督。

基于上述思想，网络信息安全系统应遵循如下设计原则：1．1 满足因特网的分级管理需求根据Internet网络规模大、用户众多的特点，对Internet/Intranet信息安全实施分级管理的解决方案，将对它的控制点分为三级实施安全管理。

第一级：中心级网络，主要实现内外网隔离；内外网用户的访问控制；内部网的监控；内部网传输数据的备份与稽查。

第二级：部门级，主要实现内部网与外部网用户的访问控制；同级部门间的访问控制；部门网内部的安全审计。

第三级：终端/个人用户级，实现部门网内部主机的访问控制；数据库及终端信息资源的安全保护。

1．2 需求、风险、代价平衡的原则对任一网络，绝对安全难以达到，也不一定是必要的。

对一个网络进行实际额研究（包括任务、性能、结构、可靠性、可维护性等），并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。

天融信防毒墙实施方案一、引言。

随着网络攻击日益频繁和复杂化，企业面临着越来越大的网络安全威胁。

作为企业网络安全的重要组成部分，防毒墙在保障企业网络安全方面发挥着重要作用。

天融信防毒墙作为一种专业的网络安全设备，其实施方案对于企业网络安全具有重要意义。

本文将就天融信防毒墙的实施方案进行详细介绍，旨在帮助企业更好地部署和使用天融信防毒墙，提高网络安全防护能力。

二、天融信防毒墙概述。

天融信防毒墙是一种基于硬件的网络安全设备，主要用于检测和阻止网络中的恶意流量和攻击，保障企业网络的安全稳定运行。

其主要功能包括入侵检测、应用层防火墙、反病毒、反垃圾邮件等，能够有效防范各类网络攻击和威胁。

天融信防毒墙采用了先进的威胁情报和安全防护技术，能够及时发现和应对最新的网络安全威胁，为企业网络安全提供了强有力的保障。

三、天融信防毒墙实施方案。

1. 网络环境评估。

在部署天融信防毒墙之前，首先需要对企业的网络环境进行评估。

评估内容包括网络拓扑结构、网络流量特点、业务应用需求等，以便确定天融信防毒墙的部署位置和参数配置。

2. 部署位置选择。

根据网络环境评估结果，选择合适的部署位置是天融信防毒墙实施的关键。

一般来说，天融信防毒墙可以部署在企业网络的边界处，作为内外网之间的安全防护设备，也可以部署在关键业务系统的前端，对其进行专门的安全防护。

3. 参数配置优化。

在部署天融信防毒墙时，需要根据实际网络环境和安全需求进行参数配置优化。

包括安全策略的制定、漏洞和威胁情报的更新、安全日志的监控和分析等，以确保天融信防毒墙能够有效地发现和阻止各类网络攻击和威胁。

4. 安全培训和演练。

在天融信防毒墙实施完成后，企业需要对相关人员进行安全培训和演练，提高其对天融信防毒墙的使用和管理能力，增强网络安全防护意识。

5. 定期维护和更新。

天融信防毒墙作为一种网络安全设备，需要定期进行维护和更新，以确保其能够及时应对最新的网络安全威胁。

包括安全补丁的安装、威胁情报的更新、安全日志的审计等，保障天融信防毒墙的持续有效运行。

1产品概述1.1平安接入的应用趋势随着电子政务和电子商务信息化建设的快速推动和发展，越来越多的政府、企事业单位已经依托互联网构建了自己的网上办公系统和业务应用系统，从而使内部办公人员通过网络可以快速地获得信息，使远程办公和移动办公模式得以逐步实现，同时使合作伙伴也能够访问到相应的信息资源。

但是通过互联网接入来访问企业内部网络信息资源，会面临着信息窃取、非法篡改、非法访问、网络攻击等越来越多的来自网络外部的平安威逼。

而且我们目前所运用的操作系统、网络协议和应用系统等，都不行避开地存在着平安漏洞。

因此，在通过Internet构建企业网络应用系统时，必须要保证关键应用和数据信息在开放网络环境中的平安，同时还需尽量降低实施和维护的成本。

1.2平安接入的技术趋势目前通过公用网络进行平安接入和组网一般采纳VPN技术。

常见的VPN接入技术有多种，它们所处的协议层次、解决的主要问题都不尽相同，而且每种技术都有其适用范围和优缺点，主流的VPN技术主要有以下三种：1．L2TP/PPTP VPNL2TP/PPTP VPN属于二层VPN技术。

在windows主流的操作系统中都集成了L2TP/PPTP VPN客户端软件，因此其无需安装任何客户端软件，部署和运用比较简洁；但是由于协议自身的缺陷，没有高强度的加密和认证手段，平安性较低；同时这种VPN 技术仅解决了移动用户的VPN访问需求，对于LAN-TO-LAN的VPN应用无法解决。

2．IPSEC VPNIPSEC VPN属于三层VPN技术，协议定义了完整的平安机制，对用户数据的完整性和私密性都有完善的爱护措施；同时工作在网络协议的三层，对应用程序是透亮的，能够无缝支持各种C/S、B/S应用；既能够支持移动用户的VPN应用，也能支持LAN-TO-LAN 的VPN组网；组网方式敏捷，支持多种网络拓扑结构。

其缺点是网络协议比较困难，配置和管理须要较多的专业学问；而且须要在移动用户的机器上安装单独的客户端软件。

天融信产品白皮书网络卫士终端管理系统TSM-TopDesk系列网络卫士终端管理系统 TSM终端安全管理平台 TopDesk作为网络卫士安全管理系统（TSM）的重要组成部分，TopDesk终端管理系统（简称TopDesk）是一款综合性的终端管理软件产品，能对局域网内部的网络行为进行全面监管，检测和维护桌面系统的安全。

TopDesk通过对行为监管、系统监管和安全状态检测，采用统一策略下发并强制策略执行的机制，实现对局域网内部桌面系统的管理和维护，从而有效地保护用户系统安全和机密数据安全。

集中策略管理依据自身网络状况，制定并有效地实施全局、局部功能策略，实现真正的全局安全策略统一。

对终端接收的策略进行强制执行，如果没有有效策略，则终端不能正常使用网络，有效避免威胁产生。

与TopAnalyzer系统的联动能够与TopAnalyzer无缝结合。

既可以将TopDesk的报警事件统一发送给TopAnalyzer，由TopAnalyzer进行深度的自动关联分析；也可以接收并执行TopAnalyzer发送给TopDesk 的智能联动指令，使终端可以自动响应全局的安全策略。

基于角色的权限管理支持多用户、多角色管理机制。

通过设置不同的系统角色，实现对系统资源的分权限管理，不同的用户角色拥有不同的管理权限。

审记、管理两权平等，互为监督，互不干涉，互不管理。

系统认证具备自我防护和审记能力，能够有效地防止蛮力攻击等。

企业级补丁自动部署方案通过设置补丁策略，能够实时、方便的实现对企业网络内终端系统的补丁进行自动检测，并能够实现推或拉两种方式的自动部署安装，极大减轻系统管理员的工作强度。

全面的外存设备管理TopDesk能够限制终端系统上的软驱、光驱、U盘、移动硬盘等外存设备的使用，对使用操作进行详细记录，能有效避免机密外泄。

详细的文件操作监视TopDesk能够对终端系统上所有机密文件读写、拷贝、删除等操作进行实时监控，详细记录对机密文件的操作，为企业的审计工作提供帮助。