中国第一重型机械集团公司
LanSecS v6.20
系统
项目实施方案
|
保密事宜
本文档包含北京圣博润高新技术股份有限公司专有商业信息和保密信息。
接受方同意维护本文档所提供信息的保密性,承诺不对其进行复制,或向评估小组以外、非直接相关的人员公开此信息。对于以下三种信息,接受方不向圣博润承担保密责任:
1. 接受方在接收该文档前,已经掌握的信息。
2. 可以通过与接受方无关的其他渠道公开获得的信息。
3. 可以从第三方无附加保密方式获得的信息。
|
适用范围
此文档是北京圣博润高新技术股份有限公司为中国第一重型机械集团公司提供的LanSecS V6.20系统项目实施方案。
文档信息
文档名称
|
中国第一重型机械集团公司LanSecS v6.20系统实施方案
|
保密级别
|
商密
|
文档版本号
|
V1.0
|
制作人
|
冯冲
|
制作日期
|
2008-12-10
|
审批人
|
|
审批日期
|
|
扩散范围
|
中国第一重型机械集团公司、北京国富安电子商务安全认证有限公司、北京圣博润高新技术股份有限公司
|
目
录
第一章 项目实施内容描述- 4
第二章 实施准备- 5
§1.1 描述
-
5
§1.2 主要任务
-
5
§1.3 参与人员
-
5
§1.4 机房设备工程界面
-
5
§1.5 提交文档
-
6
§1.6 质量控制点
-
7
第三章 项目实施阶段- 7
§2.1 描述
-
7
§2.2 主要任务
-
7
§2.3 参与人员
-
8
§2.4 提交文档
-
8
§2.5 质量控制点
-
8
§2.6 产品实施进度安排
-
8
§2.7 产品实施步骤
-
9
第四章 培训- 16
§3.1 描述
-
16
§3.2 主要任务
-
16
§3.3 参与人员
-
16
§3.4 所需文档
-
16
§3.5 质量控制点
-
17
第五章 后期服务- 17
附录A 一重网络拓扑结构- 19
附录B 一重LanSecS系统部署结构图- 22
附录C 员工信息表- 23
第一章 项目实施内容描述
北京圣博润高新技术股份有限公司(以下简称“北京圣博润”)作为安全产品厂商,深刻理解本期安全工程对中国第一重型机械集团公司的意义,我们将结合自身安全技术和服务经验,为中国第一重型机械集团公司提供包括内部网络安全方案设计与实施等内容的整网安全建设,协助中国第一重型机械集团公司建成具有符合保密要求的内部局域网络。通过本安全工程,使中国第一重型机械集团公司整体安全水平达到一个新的等级,能够为其的内部用户提供专业级的服务。
本次安全工程的主要实施对象为中国第一重型机械集团公司的专用网络。北京圣博润作为产品供应商将不仅承担主要的项目实施,维护和技术支持工作,项目进度,依照用户的要求完成中国第一重型机械集团公司本期的项目建设。
安全项目的主要工作内容:
1. 完成内网服务器
LanSecS系统数据库部署;
2. 完成内网服务器
LanSecS系统服务器的安装调试;
3. 完成内网服务器
LanSecS系统控制台安装调试;
4. 完成内网服务器
LanSecS系统约100点的客户端测试环境的安装;
5. 完成内网服务器
LanSecS系统策略优化;
6. 针对内网测试环境中客户端代理联调测试;
7. 重点测试“
802.1x网络接入认证”模块;
8. 完成内网环境
LanSecS系统全网客户端引擎的安装;
9. 内网环境下
LanSecS系统全网联调测试;
10.完成外网服务器
LanSecS系统的部署与调试;
11.完成外网环境
LanSecS系统全网客户端引擎的安装;
12.完成项目实施文档的整理工作;
13.LanSecS内网安全管理系统现场使用和维护培训;
14.完成
LanSecS内网安全管理系统项目验收。
第二章 实施准备
§1.1 描述
本阶段为中国第一重型机械集团公司项目实施做准备,保证项目正式启动后一切都能按计划进行,井然有序。
§1.2 主要任务
1)确认安全项目实施人员及各自的责任和义务。
2)确认系统实施结构和应用需求。
3)定义系统架构中性能、安全性及其他需求,从而综合地考虑系统架构。
4)定义整个系统相应的工作流需求:
确定在中国第一重型机械集团公司实际管理中的角色分配及在用户实际应用中的职责划分等问题。
5)确认系统安装所需硬件、软件、网络环境是否具备。
§1.3 参与人员
1) 中国第一重型机械集团公司信息中心主管领导;
2) 中国第一重型机械集团公司网络
/系统管理人员;
3) 北京国富安电子商务安全认证有限公司项目负责人;
4) 北京圣博润高新技术股份有限公司项目实施小组。
§1.4 机房设备工程界面
1) 本期项目由北京圣博润负责提供的内网安全管理系统产品与中国第一重型机械集团公司现有设备进行安装调试;
2) 机架及所需电缆和连接件,机房环境所需条件均由中国第一重型机械集团公司提供,包括电源到架。需要中国第一重型机械集团公司配合的工作;
3) 服务器:中国第一重型机械集团公司需具备一台单独的服务器作为LanSecS内网安全管理系统服务器,服务器软、硬件配置建议如下:
设备
|
硬件环境
|
软件环境
|
总控中心服务器
|
CPU
:Pentium IV 3.06GHz
内存:4G
网卡:1000M
硬盘:160G
|
Windows Server 2000/2003
SQL Server 2000 sp4
或者
SQL Server 2005 sp2
|
管理控制台
|
CPU
:Pentium IV 2.0GHz
内存:512M
网卡:10M/100M
硬盘:20G
|
Windows 2000 pro
以上
IE6
以上
Microsoft Office
|
4) 试运行环境:在中国第一重型机械集团公司技术中心/设计院大楼中准备出100台左右的客户端作为试点,建议选用一个非业务型部门;
5) 网络环境: 由于系统实施阶段涉及到802.1x网络接入认证模块,因此中国第一重型机械集团公司需提前确定网络内核心交换设备以及各接入交换设备均为可网管设备、开启SNMP协议,并且支持802.1x协议;
6) 在项目实施阶段,可能需要了解网络环境下服务器、终端计算机以及其它网络设备的登录帐户名和密码,需要中国第一重型机械集团公司安排相关人员随时配合实施过程;
7) 信息收集:确定在中国第一重型机械集团公司实际管理中的角色分配及在用户实际应用中的职责划分等系统实施结构和应用需求的问题。
§1.5 提交文档
1)《
LanSecS系统项目实施方案》
需客户签字认可;确定相关实施人员以及各自职责。
2)LanSecS产品硬件验收单
需客户签字认可;产品介质完好。
§1.6 质量控制点
1)审核项目三方实施相关人员是否到位;
2)确保需求文档中所有项目都能在技术方面完全、有效按时实施;
3) 确保产品硬件验收单能够顺利被客户签署,并在实施前反馈到实施工程师处,从而有效进入下一阶段。
第三章 项目实施阶段
§2.1 描述
中国第一重型机械集团公司项目实施阶段的主要工作在于产品产品实施和功能验收。在完成项目实施前的信息收集后,系统将被部署在中国第一重型机械集团公司的环境下试运行。最终,得到用户的认可,并完成验收。
由于中国第一重型机械集团公司具体的信息还需要和客户的工程师进一步交流,并且很多信息也需要到现场收集,所以此方案仅作为实施前的计划和准备,可能在具体实施时根据当地的情况做出相应的改动,特此说明。
§2.2 主要任务
1) 安装、配置并试运行内网环境LanSecS系统服务器端;
2) 安装内网环境测试客户端代理程序(约100点左右)的部署;
3) 针对内网环境测试客户端代理联调测试(重点测试“802.1x网络接入认证”模块);
4) 完成内网环境LanSecS系统全网客户端引擎的安装;
5) 安装、配置并试运行外网环境LanSecS系统服务器端;
6) 完成外网环境LanSecS系统全网客户端引擎的安装;
7) 内网安全管理系统全网联调测试(重点测试“802.1x网络接入认证”模块),完成系统初验工作;
8) 获得用户的确认,并完成最终验收测试。
§2.3 参与人员
1) 中国第一重型机械集团公司网络
/系统管理人员;
2) 北京国富安电子商务安全认证有限公司项目负责人;
3) 北京圣博润高新技术股份有限公司项目实施小组。
§2.4 提交文档
1)《
LanSecS系统初验报告》
2)《
LanSecS系统功能验收报告》
3)《
LanSecS系统用户使用手册》
4)《
LanSecS系统技术白皮书》
5)《
LanSecS系统维护手册》
6)《
LanSecS系统密码文档》
§2.5 质量控制点
在此阶段,质量控制主要集中在中国第一重型机械集团公司最终系统的配置,确保交付给中国第一重型机械集团公司一个能够完全正常运行的系统。
主要完成以下工作:
1
)检查安装软件的预置信息,确保按照解决方案框架文档配置。
2
)确保进行完善的试运行测试,设置两个典型策略。
§2.6 产品实施进度安排
l第一阶段:
控制台、服务器、数据库安装部署
1) 安装部署中国第一重型机械集团公司LanSecS服务器;
2) 完成LanSecS服务器端基础配置;
3) 完成客户端安装程序包和客户端卸载程序包的生成;
l第二阶段:内网测试环境客户端的安装
部署
实施步骤:采用集中、分散方式进行部署,即在中国第一重型机械集团公司技术中心大楼以及其它下属厂区进行本地局域网的本地化部署。
客户端部署方式:自动和手动安装相结合,主要以手动安装为主。
主要任务:
安装本地控制台并设定LanSecS系统管理员帐户和管理权限;
安装测试环境客户端代理程序(约100点左右)的部署;
测试环境客户端安装部署完成后,对内网联通进行测试。
l第三阶段:系统联调及
测试运行
对整个试运行环境联通进行测试联调,使之符合测试规定的要求。解决以上所有阶段遗留的问题。在试运行阶段,整个系统工程将一起接受时间和环境的考验,不但要考察功能特性,更要考察系统运行的性能是否符合预期目标。
l第四阶段:全网环境客户端的安装部署、系统联调以及初验
将根据系统运行的实际情况,对系统进行优化,使系统达到最佳运行状态。在运行期间须对系统管理人员进行严格考核,测试运行结束时完成初验报告。
l第五阶段:系统最终验收
由中国第一重型机械集团公司单位相关人员,针对项目实施过程中所涉及的安装、运行情况、管理功能、升级、软件功能、技术服务、项目管理文档、项目实施进度与计划的一致性等方面进行,测试正式验收后,整体项目结束,进入交付使用及后期维护阶段。
§2.7 产品实施步骤
1.
产品实施准备
根据中国第一重型机械集团公司实际情况,LanSecS内网安全管理系统实施前需做如下的准备工作:
l 确定LanSecS内网安全管理系统服务器客户端程序的部署方式;
l 确定服务器与下属管理控制台所需要管理系统的帐户和权限;
l 定义系统下属各单位的规则策略;
2.
产品实施过程
当安装内网安全管理系统时,遵循如下步骤:
l 首先配置统一服务器的工作组、管理员账户和管理员登录密码;
l 安装配置服务器的软件平台;
l 安装配置服务器的SQL Server数据库;
l 安装客户端程序。
下面具体描述内网安全管理系统的具体实施步骤(考虑到有分支节点问题,而且总部于分支节点之间有防火墙进行隔离,要保证控制台能够正常的管理,防火墙必须要进行端口开放):
Ø 配置统一LanSecS服务器的工作组、管理员账户以及管理员登录密码
目的:方便在项目实施阶段对服务器的配置以及调试工作。
服务器根据中国第一重型机械集团公司下属个部门名称定义工作组名称;
统一配置服务器的操作系统administrator账户的密码、SQL Server 2000 sa账户的密码(参见
《LanSecS系统密码文档》
)。
Ø 安装配置SQL Server 2005数据库
目的:安装SQL Server 2005。
在LanSecS内网安全管理系统中,使用SQL Server 2005作为后台数据库,存储系统日志信息和相关数据。
注意:Windows Server系统应安装SQL Server 企业版,Windows 2000 Professional 与 Windows XP 系统应安装SQL Server个人版。我们建议安装在Windows Server 系统上。
(注:SQL Server 2000安装完成后必须打SQL Server 2000 SP 4补丁,
SQL Server 2005安装完成后必须打SQL Server 2005 SP 2补丁)。
Ø 安装总控中心服务器
服务器是整个系统的核心,所有的控制台命令都是通过服务器来完成的,它所做的工作为启用多个线程读取SNMP设备的Mib信息库,获取其中的ARP表、ROUTE表中的各项信息,为网络拓扑图提供数据;搜索PC;为客户端发送各项策略规则、分发补丁、软件;收集各种审计日志等。
目的:安装LanSecS服务器。
注意:服务器工作时需要SQL Server配合,服务器与SQL Server可安装在同一台服务器上,也可分别安装在不同机器上,视使用者的具体环境而定。
Ø 安装管理控制台
控制台是整个系统的控制中心。其主要功能是通过服务器搜索网络中的交换机、路由器、PC等各种设备,动态生成网络物理连接拓扑图,对各种事件进行响应,收集交换机基本配置信息和各种动态信息,定制客户端的审计控制规则,采集受控终端的各种审计日志,生成丰富实用的统计报表和图表,为管理员和操作员维护监控网络及其设备的正常运行提供方便实用的工具。
目的:
安装控制台。
注意:
多个管理员安装控制台的时候,只有第一个管理员可以进行网管数据库的初始化,其余的管理员安装控制台的时候不要再执行“初始化数据库”操作!!因为再次的初始化操作会造成网管数据库数据丢失!切记!!
Ø 系统管理员初始化系统
LanSecS
服务器和管理控制台部署完成后均需进行系统的初始化配置,主要包括:
1) 编辑单位
;
一级服务器建立单位为“中国第一重型机械集团公司”,
注
:编辑单位界面时“内网地址”、“外网地址”均填写服务器本地ip地址。
2) 新建部门
;
根据中国第一重型机械集团公司个下所属各机构分别建立部门(如:有限公司、军工分厂等等)。
3) 系统操作员角色的添加
;
定义系统操作员角色,对之前所建立的各部门进行角色授权。
4) 系统操作员用户的添加
;
5) 服务器模块的部署
;
Ø 系统操作员部署代理运行策略
1) 设置安全代理运行策略;
针对代理的安装与卸载进行策略部署。
2) 全局设置;
3) 设置主机安全级别;
4) 修改部门——代理运行策略;
配置完成代理运行策略,重点配置“服务器地址”以及“服务器名称”。
5) 生
成客户端安装程序包以及卸载程序包。
客户端安装程序包分为“静默安装包”和“非静默安装包”以及卸载程序包。
Ø 安装客户端代理
客户端代理部署方案:
由于一重网络改造二期工程将于近期对内网计算机ip地址进行重新规划,因此为了保证一重大规模部署客户端程序顺利高效的进行,依照一重关于实施方面的要求,以及结合一重目前实际网络环境,以下将提出客户端部署的方案:
LanSecS
系统提供两种客户端安装包:
1、非静默安装包:安装或卸载时客户端时有安装界面,需要手工输入“员工姓名”,选择“所属部门”等配置信息。
2、静默安装包:安装或卸载时客户端时无安装界面,双击运行即可,能实现代理的自动安装与卸载。但是在安装部署客户端之前,系统管理员必须得提前收集员工信息(比如“员工姓名”“ip”、“mac”等),根据静默安装所需要的匹配方式,将收集完成的员工信息导入至服务器后台数据库当中。
方案一:客户端非静默方式部署;
1) 提供客户端非静默安装包;
2) 一重下属各单位信息员在对计算机重新分配设置ip地址时,同时安装配置客户端程序;
方案二:客户端静默方式部署;
1) 提供客户端静默安装包;
2) 一重下属各单位信息员在对计算机重新分配ip地址时,同时统计各自单位“员工姓名+ip地址”报表;
3) 将各单位统计完成的“员工姓名+ip地址”报表汇总后导入LanSecS服务器后台数据库,生成客户端静默安装包;
4) 将静默安装包发布于一重web服务器上,由员工自行下载安装。
上级部门名称*
|
部门名称*
|
主机IP*
|
员工名称*
|
|
|
“员工姓名+ip地址”报表模板
方案三:客户端静默方式部署;
1) 提供客户端静默安装包;
2) 一重下属各单位信息员先将各自单位所有使用计算机的员工的“员工姓名”统计完成,并生成“员工姓名”报表。
3) 将各单位统计完成的“员工姓名”报表汇总后,由技术中心相关人员对所有员工规划ip地址,最终生成“员工姓名+ip地址”报表;
4) 将规划完成的“员工姓名+ip地址”报表导入LanSecS服务器后台数据库,生成客户端静默安装包;
5) 一重下属各单位信息员依照技术中心提供的“员工姓名+ip地址”报表,对各自单位计算机分配ip地址,同时安装部署客户端程序。
“员工姓名”报表模板
建议方案:
部署第一阶段:客户端非静默方式部署:
1) 提供客户端非静默安装包;
2) 一重下属各单位信息员在对计算机重新分配设置ip地址时,同时安装配置客户端程序;
3) 形成“
中国第一重型机械集团公司员工信息表
”(详见附录)
部署第二阶段:客户端静默方式部署:
1) 为防止下属员工采用覆盖安装客户端以更改客户端注册信息的现象,在第一阶段部署完成后,提供客户端静默安装包;
2) 服务器端代理安装策略采用“mac绑定”方式;
3) 在LanSecS系统后期维护时,下属各单位信息员采用“静默安装包”的方式部署客户端。
下面描述客户端安装包的安装过程,
(1)运行系统操作员打包生成的安装代理客户端,“LssAgentSetup.exe”,弹出安装页面:
选择代理绑定网卡,点击下一步,
(
2)填写代理员工注册信息,点击“下一步”:
填写代理员工注册信息,完成后点击“下一步”。
(3)安装成功
系统进行复制文件,安装服务,初始化运行参数,启动服务弹出下面对话框:
点击“完成”按钮,完成代理的安装。
注意:
(1) 安装客户端时,用户必须是administrator管理员组帐户。
(2) 安装完客户端,可以用“netstat -an”命令查看计算机开启的网络服务端口。如果出现UDP 40000端口,则表示安装成功,客户端程序已经启动。客户端安装好后不须设置即可使用。或者在系统服务中能看到一个SecAgent Service服务。
Ø 制定并下发规则策略
针对不同的工作组(部门)合理有效的制定规则并下发规则策略。
Ø 802.1x网络接入认证测试流程
(1) 针对一重内网所有客户端发送“网络接入认证”策略(仅发策略,不对交换机开启802.1x协议)
(2) 15
号针对一重技术中心大楼测试环境启用“网络接入认证”测试;
(3) 22
号针对一重全厂启用“网络接入认证”;
(4) 全厂启用“网络接入认证”后维持运行2~4天,查找未安装客户端的计算机;
(5) 26
号全厂均停止“网络接入认证”;
(6) 12
月26号至该项目最终验收期间选择性开启“网络接入认证”,重点解决测试初期遗留问题。
第四章 培训
§3.1 描述
在中国第一重型机械集团公司项目实施完成以后,在实施现场对网管及相关人员进行产品的培训。人员培训是安全管理信息系统实施成功的关键,为了充分发挥系统的效益,将根据产品系列的划分,安排深入全面的技术培训。
§3.2 主要任务
1) 介绍
LanSecS内网安全管理产品基本概念;
2) 介绍
LanSecS内网安全管理系统部署方案;
3) 介绍
LanSecS内网安全管理系统的安装、配置和管理;
4) 介绍维护及常见问题说明。
§3.3 参与人员
1)所有需要参与LanSecS项目实施以及管理的人员;
2)北京圣博润高新技术股份有限公司项目培训人员。
§3.4 所需文档
1) 《LanSecS系统用户手册》
2) 《LanSecS系统维护手册》
§3.5 质量控制点
管理员获得配置、维护本安全管理系统的必要知识和经验,使系统管理员能够对一般使用者进行使用培训及能够快速解决使用中可能遇到的问题,使其能够具有独立管理的能力。
第五章 后期服务
圣博润公司将本着
“质量第一、信誉第一、用户第一”的服务宗旨,不仅为用户提供优质的产品,更为您提供及时、周到的服务。针对此项目,圣博润公司将提供如下基本服务:
1、免费服务内容
对于中国第一重型机械集团公司信息安全基础系统项目,圣博润公司将提供以下免费服务:
■免费维护期限:圣博润公司提供的本公司产品提供一年的免费维护服务。主要包括圣博润
LanSecS系统。合同上有明文规定的,按照合同执行。
■免费维护的对象:保修期内,保证在中国第一重型机械集团公司单位正常使用圣博润公司所销售的产品。
2、售后服务方式
针对中国第一重型机械集团公司信息安全基础系统项目,北京圣博润公司对所有由我们提供的产品提供及时的售后服务,合同上有明文规定的,按照合同执行。具体的服务方式有:
■热线技术支持
我公司将设置用户技术服务热线,能够无阻塞地响应用户的服务需求并及时提供操作指导和热线技术咨询,保持和用户有关技术人员定期和不定期的密切联络
, 并且提供全天候(24*7)的热线电话响应服务。
■故障的电话响应
在保修期内,用户网络系统在出现问题并初步判断为我方所提供的设备故障时,可立即以电话及传真方式通知我方要求快速响应技术服务。我方技术人员在接到通知后,将及时了解情况并对问题做出初步判断,指导用户技术人员尽快排除故障。技术咨询响应时间不超过
2小时。
■技术回访约定
:
在中国第一重型机械集团公司信息安全基础系统建设项目实施结束后,我方将根据实际情况进行相应技术回访,以保证技术服务质量
, 每1个月必须提供不少于一次的例行巡检服务.
■故障响应
针对中国第一重型机械集团公司信息安全基础系统建设项目,圣博润所提供的产品发生较为严重的故障后,公司接报后派技术人员到达现场解决问题。
本文出自 “IT网络技术交流” 博客,转载请与作者联系!