终端安全管理技术议书模板.docVIP

TSM终端安全管理 技术建议书模板 1 概述 5 1.1 项目背景介绍 5 1.2 网络现状分析 5 1.3 项目规模和范围 6 1.4 项目建设目标 7 2 系统建设解决方案 9 2.1 软硬件配置说明 21 2.1.1 服务器配置 21 2.1.2 安全网关配置 21 3 方案设计原则 22 4 网络准入控制方案 22 4.1 终端账号管理方案 23 4.2 设备自发现 24 4.3 安全准入控制 24 4.4 安全域划分 24 4.5 管理员管理方案 25 5 终端安全管理方案 25 5.1 终端加固管理 25 5.1.1 防病毒软件安全策略 25 5.1.2 强化补丁安装 26 5.1.3 超时自动锁屏 26 5.1.4 注册表配置管理 26 5.1.5 冗余账号检查 26 5.1.6 检查账号安全 26 5.1.7 检查端口策略 26 5.1.8 网络共享管理 27 5.1.9 监控非法应用和服务 27 5.2 终端行为管理 27 5.2.1 监控网站访问 27 5.2.2 软件安装标准化 27 5.2.3 IP访问和网络应用程序监控 28 5.2.4 终端入网审计 28 5.3 信息防泄密管理 28 5.3.1 外设接口管理 28 5.3.2 监控USB设备使用 28 5.3.3 拨号连接管理 29 5.3.4 防止违规假设PROXY/路由器等外联设备 29 5.3.5 文件操作审计 29 5.4 网络安全防护 29 5.4.1 监控网络异常流量 29 5.4.2 ARP防护 29 5.4.3 拨号连接管理 30 5.4.4 防止违规假设PROXY/路由器等外联设备 30 5.4.5 DHCP强制管理 30 5.4.6 网络准入安全防护 30 6 桌面管理方案 31 6.1 补丁管理 31 6.1.1 TSM与WSUS联动 31 6.1.2 补丁管理功能 32 6.2 资产管理 33 6.3 软件分发 33 6.4 公告下发 33 6.5 远程协助 34 6.6 网络安全报表 34 7 TSM系统组成介绍 34 8 TSM可靠性介绍 36 8.1 操作安全性 36 8.2 数据安全性 36 8.3 系统可靠性方案 37 8.3.1 逃生通道 37 8.3.2 SACG故障方案 37 8.3.3 服务器多资源池备份方案 37 9 方案特点及优势 37 概述 项目背景介绍 说明项目的背景情况。 【样例】 随着XX各项业务的迅猛发展，组织和网络规模的扩充、企业网络接入点的增加，使得网络中的安全风险成倍的增加。为了有效保证业务的安全有效运作，对企业IT信息系统的安全管理要求越来越高。 在企业当前复杂的网络环境下，如何有效保证接入企业网络的终端的安全可信，成为了信息安全建设的重中之重。身份认证、安全检查、补丁管理、重要网络资源的安全防护、终端行为管理、资产管理等一系列归一化的完整终端安全解决，成为企业IT安全管理人员追求的目标。 在前期安全项目的基础上，为了进一步加强技术手段对终端安全的管理，消除有可能出现的信息安全风险，有效保证XX的网络环境的安全性，充分加强终端的接入和安全管理成为XX当前办公信息安全的当务之急。 网络现状分析 在对现网结构介绍时最好附上网络拓扑图，标注清楚终端位置、各层网络设备类型、业务服务器部署位置等。需要说明现网已有的安全设备数量及类型，分析存在的安全问题，例如病毒泛滥，非法网络访问，资产被盗，非法无线接入等。 【样例】 XX企业网为典型的三层网络架构：核心层为核心交换机，汇聚层和接入层为低端交换机；核心层与汇聚层交换机均为双机热备。业务服务器均已经集中部署，通过一台汇聚交换机连接核心交换机处。 网络现只有一个互联网出口，已在出口处部署防火墙设备，终端通过Proxy代理服务器访问互联网。 XX企业网络拓扑图 从安全角度，XX企业网络面临以下问题： 外来机器和终端随意接入企业内网，导致内部网络的安全性岌岌可危； 目前大多数终端部署XX防病毒软件，少量安装了XXX防病毒软件，但没有集中管理，对于感染病毒和木马的终端无法进行控制其访问，只能通过管理手段要求分员工对终端进行杀毒等等，并且该工作是事后的工作，当一个未知病毒大面积爆发时有可以造成整个网络无法使用，对网络的安全稳定运行造成非常大的影响； 没有部署强制的补丁管理系统进行补丁统一管理，各终端不打、漏打系统补丁状况严重，而且没有办法强制安装，导致一旦某台终端感染病毒或恶意代码，则很快就会在内网泛滥； 员工安全意识薄弱，企业安全策略难以实施。主要表现在私自安装软件的情况比较严重，无法对终端的非法软件安装情况等进行检测和控制；非法外联行为严重，经常通过调制解调器、ISDN 拨号设备、ADSL 拨号设备、无线网卡等网络设备非法接入互联网，给网络的安全性