证通股份一期部署实施方案

证通股份一期项目实施方案

互联网桌面（访问互联网的桌面）：

? 只能访问互联网，禁止访问其他内部系统； ? 禁止使用U盘和其他各类外设； ? 与真实桌面相互隔离

2.4 系统逻辑结构

办公网安全桌面系统逻辑结构如下：

本项目采用明朝万达公司的Chinasec(安元)可信网络安全平台——安全桌面系统（以下简称安全桌面系统），该系统基于沙盒技术，在PC终端上虚拟出安全桌面，并且配合安全桌面网关设备（硬件），实现安全桌面与本地真实桌面的网络、外设、数据等进行隔离，在不影响用户办公操作，提供高可用性、扩展性强的终端安全桌面建设方案。

3 部署准备工作

3.1 服务器配置要求

本项目需在开发场所机房部署1台服务器（作用户认证、策略管理、日志存储用途），在电信托管机房安装1台安全网关，其中服务器的配置要求如下：

用途 主服务器 服务器配置要求 数量 操作系统 备注 1 windows 可采用虚拟server 2008 机，硬盘最低R2 x64 为1T 证通股份一期项目实施方案

3.2 网络准备要求

部署需要的IP地址配置和网络访问控制请详见部署方案中的具体内容。

3.3 员工PC机安装要求

安装客户端的PC机配置建议内存不少于2G。若内存配置较低，建议不安装客户端或提前进行硬件升级。客户端安装实施前，请提前做好以下准备工作：

? 提升员工PC机域帐户在本地系统的权限

因需大范围安装客户端软件，推荐用域推送的方式进行。请确认分行办公网PC机使用的域帐户是否已为PC机本地帐户的administrators组成员，否则，无法通过域推送的方式进行客户端安装。因此，请提前组织对域帐户在PC机本地帐户的提权工作，将域帐户加入到PC本地的administrators组里。

若无法采用域推方式进行客户端部署，则只能采取手工安装，如安全员或信息技术支持人员手工安装。

? 提前卸载兼容性冲突的软件

因安全机制原因，办公网安全桌面客户端与一些常用软件存在兼容性问题（部分软件本身与我行部署的软件存在冲突），会造成包括安全桌面无法正常运行、系统缓慢、系统蓝屏、网络访问异常等问题，因此，安装客户端软件前，各分行应尽可能确保PC机上已卸载以下软件，避免后续应用问题较多：

? 除趋势防病毒以外的其他防病毒软件，如百度杀毒、瑞星杀毒等； ? 360系列软件； ? 百度安全卫士；

证通股份一期项目实施方案

? 百度助手（造成虚拟桌面内无法删除和修改桌面文件）； ? 非统一安装的其他安全类软件。 ? 调整ISA代理服务器的配置

本项目实施后，PC机访问互联网通过互联网桌面与安全桌面网关通讯后，从ISA服务器看到的互联网访问请求地址均为安全桌面的网关地址，因此，如果ISA服务器上对单一来源IP的连接数进行了限制时，请提前变更ISA服务器上的该配置项，放开对单一IP的连接数限制，避免用户无法访问互联网。

4 部署方案

证通股份DLP数据防泄漏一期项目部署采用双桌面方案

4.1.1 部署网络拓扑示意图

4.1.2 IP地址配置

本项目需使用三个地址段（其中22.*.99网段在双桌面方案中为互联网备用，需保留），此地址段作为敏感数据保护工作专用网段，如已使用此地址段，请将现有设备迁移出此三个网段。

模块名 主机名 IP 分配 用途说明，是否需要地址转换 证通股份一期项目实施方案

4.1.3 网络访问控制

本方案所需的网络访问控制如下： 源系统信息 源系统名称 源主机IP地址 目标系统信息 目标系统名称

连接方式 目标主机IP地址 目标端口 5 部署实施工作计划

证通股份DLP数据防泄漏一期项目实施部署阶段工作计划如下：

序号 1 2 计划时间 7月22日 7月23日 实施步骤 安全网关的安装调试 V3服务器端的安装调试 策略的制定和下发及试点客户端的安装 3 7月24日-25日 试运行观察及 问题反馈修改 实施人员 实施结果