內網安全風險評估管理和審計系統(tǒng)產品白皮書

內網安全風險評估管理和審計系統(tǒng)產品白皮書內網安全風險評估管理和審計系統(tǒng)產品白皮書PAGE內網安全風險評估管理和審計系統(tǒng)產品白皮書天珣內網安全風險管理和審計系統(tǒng)產品白皮書（V）北京啟明星辰信息技術股份有限公司BeijingVenusInformationTech.Inc.2008年7月PAGEiii版權聲明北京啟明星辰信息技術有限公司版權所有，并保留對本文檔及本聲明的最終解釋權和修改權。本文檔中出現(xiàn)的任何文字敘述、文檔格式、插圖、照片、方法、過程等內容，除另有特別注明外,其著作權或其他相關權利均屬于北京啟明星辰信息技術有限公司。未經北京啟明星辰信息技術有限公司書面同意，任何人不得以任何方式或形式對本手冊內的任何部分進行復制、摘錄、備份、修改、傳播、翻譯成其它語言、將其全部或部分用于商業(yè)用途?！疤飓憽睘閱⒚餍浅叫畔⒓夹g有限公司的注冊商標，不得侵犯。免責條款本文檔依據現(xiàn)有信息制作，其內容如有更改，恕不另行通知。北京啟明星辰信息技術有限公司在編寫該文檔的時候已盡最大努力保證其內容準確可靠，但北京啟明星辰信息技術有限公司不對本文檔中的遺漏、不準確、或錯誤導致的損失和損害承擔責任信息反饋如有任何寶貴意見，請反饋：信箱：北京市海淀區(qū)東北旺西路8號中關村軟件園21號樓啟明星辰大廈郵編：100193電話真可以訪問啟明星辰網站：獲得最新技術和產品信息。目錄版權聲明 i免責條款 i信息反饋 i1 內網安全挑戰(zhàn) 12 終端合規(guī)管理，內網安全解決之道 32.1 內網安全，合規(guī)先行 32.2 Venus終端五維合規(guī)管理模型 43 產品主要功能 63.1 終端安全控制 73.1.1 終端安全狀態(tài)自動檢測與強制修復 73.1.2 終端訪問控制 73.1.3 終端異常流量抑制 83.1.4 終端基于網絡行為模式的威脅主動防御 83.1.5 終端安全加固 83.1.6 IP管理 93.1.7 多網卡非法外聯(lián)控制 93.2 業(yè)界領先的多層準入控制 93.2.1 基于802.1x的網絡準入控制 113.2.2 基于EOU的網絡準入控制 123.2.3 應用準入控制 133.2.4 客戶端準入控制 143.2.5 網絡準入增值應用 163.3 桌面管理功能 163.3.1 資產管理 173.3.2 HelpOnDemand遠程桌面 173.3.3 補丁管理 183.3.4 進程管理 183.3.5 PC外設管理 193.3.6 軟件分發(fā) 193.4 移動存儲管理 203.4.1 移動存儲設備認證 203.4.2 專用目錄數(shù)據加密與共享授權 203.4.3 專用目錄數(shù)據加密與共享授權 203.4.4 移動存儲設備管理審計 213.5 終端審計 213.5.1 文件操作審計與控制 213.5.2 打印審計與控制 213.5.3 網站訪問審計與控制 223.5.4 異常路由審計 223.5.5 終端Windows登錄審計 224 體系架構與部署方式 234.1 CSC系統(tǒng)體系架構 234.2 部署方式 245 系統(tǒng)特性 265.1 領先的CSC系統(tǒng)架構 265.2 易于部署和管理 265.3 合規(guī)管理確定有效 275.4 系統(tǒng)安全可靠 285.5 系統(tǒng)優(yōu)良的性能、伸縮性和可擴展性 286 成功案例 306.1 用戶：某銀行（代稱：G銀行） 306.1.1 需求 306.1.2 部署 306.1.3 收效 316.1.4 客戶評價 31北京啟明星辰信息技術股份有限公司PAGE32內網安全挑戰(zhàn)根據CSI/FBI等權威機構公布的數(shù)據，在所有已經發(fā)生的安全事件中，超過80%的安全事件都發(fā)生在企業(yè)內網中，內網安全面臨前所未有的挑戰(zhàn)。內網安全面臨的挑戰(zhàn)，集中表現(xiàn)在以下兩個方面：內網安全控制挑戰(zhàn)終端未經安全認證和授權即可隨意接入內網；內部終端存在的安全漏洞不能及時修復；終端接入后對內網的非授權訪問難以管理；被動防御蠕蟲病毒及木馬的破壞和傳播；蠕蟲攻擊導致網絡或系統(tǒng)癱瘓，影響核心業(yè)務的運作；用戶隨意改動IP地址，對網絡審計帶來困難；用戶隨意安裝和運行軟件，隨意占用有限帶寬資源。終端數(shù)據安全挑戰(zhàn)終端使用未經認證的U盤等移動存儲設備進行數(shù)據保存；通過U盤等進行數(shù)據交換，不受控制；未經認證的U盤成為病毒傳播的載體；存有關鍵數(shù)據的U盤丟失或失竊造成嚴重的泄密事故；終端用戶可以輕易通過撥號、私設代理等非法外聯(lián)手段，傳播內部重要數(shù)據或資料。終端行為審計內部關鍵數(shù)據失竊后，難以追查；通過網絡共享交換數(shù)據不受控制；濫用打印機打印小說或保密資料。內網終端IT支持挑戰(zhàn)無法精確統(tǒng)計IT資產，確定每臺電腦的硬件配置，確定軟件的安裝情況；無法跟蹤資產的歷史使用紀錄，也不能及時掌握資產變動情況；終端電腦的使用故障，需要IT維護人員趕到現(xiàn)場處理；無法及時掌握終端進程運行情況，木馬程序可能就混在其中；需要合適的工具幫助管理員快速有效分發(fā)軟件和補??；需要對PC外設如USB、Modem、無線設備等進行監(jiān)控和管理；終端合規(guī)管理，內網安全解決之道內網安全，合規(guī)先行“道高一尺，魔高一丈”，面對內網安全的巨大挑戰(zhàn)，解決之道就是要找出內網安全問題的根源和規(guī)律，從源頭解決內網安全問題。內網安全問題的根源，存在于內網自身，尤其內網中數(shù)量巨大而分布很散的終端電腦，由于缺少有效的終端集中安全管理系統(tǒng)，即使企業(yè)已經為內網安全制定了嚴格的安全管理制度和流程，制度的執(zhí)行主要依靠終端用戶自覺完成，現(xiàn)實是大部分用戶的終端僅僅只依賴防病毒軟件和個人防火墻進行安全保護，安全管理執(zhí)行力不足，安全管理制度形同虛設?，F(xiàn)實中，經常會因個別終端疏于打安全補丁、防病毒軟件未及時升級、防火墻規(guī)則過于寬松、可以隨意下載和安裝不明軟件、濫用網絡資源等等，這些終端自身存在大量的安全漏洞和管理空白地帶，使得威脅有了可乘之機，一有機會，便被作為內網攻擊的入口或跳板，不僅本身會受到攻擊和破壞，更為嚴重的攻擊，會造成內網阻塞和癱瘓和內部關鍵數(shù)據或文件失竊，為企業(yè)帶來巨大的損失。事實上，如果能將制定內網安全規(guī)范在每一臺終端有效執(zhí)行下去，通過有效的安全控制手段，及時修復終端存在的漏洞、并實現(xiàn)終端用戶的網絡行為可控制、可管理和可審計，使內網各項安全指標達到企業(yè)預設的安全管理標準和效果，從而有效解決內網安全問題。Venus通過多年的網絡安全實踐，發(fā)現(xiàn)內網安全問題，實質上不是因為威脅高深莫測，而是在于內網安全管理有章不循，如果內網安全管理規(guī)章制度能夠有效執(zhí)行下去，內網安全問題將得到有效的解決。終端作為內網安全管理的主體，是否能夠達到內網安全管理規(guī)章要求，將是內網安全的關鍵，因此內網合規(guī)管理的核心是終端合規(guī)管理。正是基于此，Venus圍繞“合規(guī)管理”核心用戶價值，推出了業(yè)界領先的內網合規(guī)管理產品：“天珣內網風險管理與審計系統(tǒng)”。Venus終端五維合規(guī)管理模型終端是否安全合規(guī)，就看是否能夠很好回答以下幾個問題：終端自身是否具備對外來的威脅和攻擊的防御能力？終端的合規(guī)管理策略是否能夠100%有效執(zhí)行下去？終端的信息是否能夠及時完全掌握？終端的數(shù)據是否具備足夠的保密性、數(shù)據交換是否安全受控？是否具備終端合規(guī)審計，促進合規(guī)管理持續(xù)改善？針對以上五個問題，Venus創(chuàng)造性提出了“終端五維合規(guī)管理模型”,將終端合規(guī)管理歸類為五部分，分別是：“主動防御”，“準入控制”，“終端防泄密”，“桌面管理”和“終端審計”。下圖為終端五維合規(guī)管理模型示意圖：圖1Veuns終端五維合規(guī)管理模型其中：“主動防御”：為終端提供“軟猬甲”，使終端具備威脅主動防御能力，保護終端免受攻擊和破壞，最終保障內網安全和不間斷運行，并確保用戶網絡訪問行為合規(guī)。“準入控制”：全新構建內網“安檢系統(tǒng)”，保證終端安全接入內網，保證終端接入行為受控，保證合規(guī)管理策略100%執(zhí)行?！白烂婀芾怼保禾峁┚_和完整的終端信息，為合規(guī)管理提供基礎數(shù)據保證。“終端防泄密”：需要同時解決終端數(shù)據保密性問題和數(shù)據傳播途徑受控的問題。通過對終端關鍵數(shù)據進行加密和授權共享管理，提升終端數(shù)據保密性，同時結合完善的非法外聯(lián)控制和移動存儲管理技術，實現(xiàn)關鍵數(shù)據受控共享。天珣提供的五維合規(guī)管理模型，徹底顛覆了以往內網安全管理被動和執(zhí)行力低下的問題，并通過實現(xiàn)從“準入控制”、“主動防御”、“數(shù)據防泄密”、“桌面信息管理”和“終端審計”的動態(tài)閉環(huán)的內網合規(guī)管理體系，在應對內網安全威脅的斗爭中，掌握了主動權和制高點，只有依靠有限的安全控制手段，有效應對無限的內網威脅。產品主要功能天珣內網風險管理與審計系統(tǒng)，作為一套終端合規(guī)管理軟件產品，在Venus的“五維終端合規(guī)管理模型”框架下，并從用戶現(xiàn)實需求出發(fā)，產品也劃分為五個功能模塊，分別為：“終端安全控制”，“準入控制”，“終端桌面管理”，“移動存儲管理”和“終端審計”，覆蓋了終端合規(guī)五維領域。其中：“終端安全控制”是在主動防御的目標下，實現(xiàn)了與合規(guī)管理密切相關的終端安全控制，即終端內網訪問控制、流量控制、網絡行為模式控制、ARP欺騙控制、非法外聯(lián)控制等等終端安全控制手段，保證終端雙向訪問安全，行為受控。同時天珣終端安全控制還能夠有效監(jiān)控和管理第三方防病毒軟件等惡意代碼查殺工具軟件，協(xié)同構建終端主動防御能力。“移動存儲管理”是作為終端防泄密控制中，針對終端通過移動存儲進行數(shù)據交換和共享安全性的要求，天珣單獨將“移動存儲管理”作為一個模塊，通過實現(xiàn)終端的移動存儲的認證、數(shù)據加密和共享受控管理，并結合終端安全控制模塊和桌面管理模塊所提供的非法外聯(lián)控制手段，徹底解決了用戶對防泄密控制中通過移動存儲進行數(shù)據安全交換和受控共享的迫切要求。下表是天珣功能模塊及對應的功能列表：表1天珣產品功能列表序號模塊名稱功能類表1終端安全控制終端安全狀態(tài)自動檢測與強制修復終端訪問控制分布式終端帶寬管理終端基于網絡行為模式的威脅主動防御終端加固IP管理終端多網卡控制2準入控制基于802.1x的網絡準入控制基于EOU的網絡準入控制應用準入控制終端準入控制3桌面管理資產管理HOD遠程桌面外設管理補丁管理軟件分發(fā)4移動存儲管理移動存儲設備認證專用目錄加密與共享授權全盤加密與共享授權移動存儲管理審計5終端審計文件操作審計與控制打印審計與控制網站訪問審計與控制異常路由審計終端Windows登錄審計終端安全控制天珣就是這樣一款集中管理的內網終端合規(guī)管理系統(tǒng)，其客戶端內置強大的終端安全控制引擎，通過預設策略，實現(xiàn)對終端的威脅主動防御和終端網絡行為控制，保證內網安全可靠。終端安全狀態(tài)自動檢測與強制修復天珣監(jiān)控終端的系統(tǒng)補丁、防病毒軟件、運行軟件、弱密碼、可疑的注冊表等。如果桌面電腦沒有安裝規(guī)定的補丁，防病毒軟件的運行狀態(tài)和升級狀態(tài)不符合要求，沒有運行指定的軟件、運行了禁止的軟件、或運行的軟件超出了規(guī)定的范圍，或有其他的安全漏洞，該終端的網絡訪問將被禁止。此時天珣啟動自動修復機制，或提示用戶手工進行修復。待修復完成，終端將自動得到重新訪問網絡的授權。終端訪問控制天珣內置強大的進程級訪問控制內核，可以實現(xiàn)針對終端基于進程、端口或協(xié)議的雙向訪問的最細粒度的訪問控制。既可以實現(xiàn)特定終端某一個指定進程（例如IE）能夠訪問遠程的某個IP、網段或網站；也可以實現(xiàn)兩個子網內終端之間的細粒度的訪問控制，在不需要對原有的網絡做任何調整的前提下，實現(xiàn)最細粒度的內網安全域管理。訪問控制策略由管理員集中定義，下發(fā)至終端后，分布式執(zhí)行，簡潔、高效。天珣通過對終端的網絡行為進行集中管理，有效控制非授權訪問。在連出訪問時，只有滿足管理員制定的安全狀態(tài)策略才允許連出，只能訪問許可的地址，只能訪問許可的服務，只能由指定的程序訪問。在連入時，只有滿足管理員制定的安全策略才允許接受連入，只接受指定地址的訪問請求，只讓指定的服務接受指定地址的訪問請求，只讓指定的程序提供指定的服務。終端異常流量抑制傳統(tǒng)的帶寬管理工具多是網關型的設備，不能對每一個具體的終端進行精細的管理，一個終端就可能占用全部的有效帶寬。天珣的分布式帶寬管理可以精細管理每個終端上的每個應用程序，每個端口的帶寬。通過合理配置，能有效管理終端的異常流量，即使有蠕蟲病毒爆發(fā)，也不會導致網絡癱瘓。終端基于網絡行為模式的威脅主動防御天珣內置基于終端網絡行為模式的威脅主動防御機制，通過集中控制每個客戶端的網絡行為，限定網絡行為的主體、目標及服務，并結合終端的安全狀態(tài)控制網絡訪問，可以有效切斷“獨立進程型”蠕蟲病毒的傳播途徑及木馬及黑客的攻擊路線，彌補防病毒軟件“防治滯后”的弱點。通過監(jiān)控TCP同時連接數(shù)，減緩蠕蟲病毒對網絡損害。通過監(jiān)控UDP的發(fā)包行為，限制異常進程的網絡訪問。通過檢查IP數(shù)據包包頭，確保數(shù)據包欺騙不能發(fā)生。通過監(jiān)控網絡行為的發(fā)起進程，防止木馬以隱藏進程方式進行網絡訪問。通過監(jiān)控ARP請求或應答包，自動綁定網關MAC，拒絕延遲的ARP應答包等方式，防止內網ARP欺騙侵害。終端安全加固天珣通過阻止網上鄰居的匿名訪問，禁止Guest帳號，檢查指定的文件、程序、注冊表項來加固終端的安全，有效預防終端被蠕蟲病毒和木馬攻擊。IP管理天珣的IP地址管理支持IP-MAC綁定，MAC-IP綁定，User-IP綁定。IP-MAC綁定功能保護特定的IP地址只能由特定的MAC地址的電腦使用，這保護了服務器、網絡設備或重要用戶的IP地址不被其他人隨便使用。MAC-IP綁定功能使指定的電腦只能使用指定的IP地址，或強制使用DHCP。User-IP綁定確保每個用戶使用專屬于自己的IP地址，配合動態(tài)VLAN技術，User-IP綁定使用戶在企業(yè)內漫游時也能始終使用自己的IP地址。支持批量設置綁定，減輕管理員的工作負荷。多網卡非法外聯(lián)控制可以設定只有與天珣系統(tǒng)通訊的網卡才能發(fā)送和接收數(shù)據，禁止其他任何網卡發(fā)送和接收數(shù)據，包括多網卡、撥號連接，VPN連接等。避免通過注冊表設置禁用多網卡、撥號連接而易被破解。實現(xiàn)對通過網絡的非法外聯(lián)管理，業(yè)界領先的多層準入控制天珣終端準入控制，確保只有通過身份驗證和安全檢查的終端才能接入內網并進行受控訪問，對非法或存在安全隱患的終端進行隔離和修復，為內網構建了一道“內網安檢系統(tǒng)”，徹底顛覆了傳統(tǒng)內網安全管理被動管理的局面，并為終端安全合規(guī)提供了強制性的保障能力。天珣采用業(yè)界最完善的多層準入控制機制，從終端到網絡層，再到企業(yè)應用服務器，提供了客戶端準入、網絡準入和應用準入控制手段，為企業(yè)提供最靈活、最精確和最可靠的準入控制手段，確保每一個客戶端都符合策略規(guī)則，也確保企業(yè)IT網絡的每一個角落都被天珣管理及保護。下圖是天珣多層準入控制邏輯圖：圖2多層次準入控制圖天珣多層準入控制，適應各種各樣的網絡環(huán)境，無論現(xiàn)實的網絡環(huán)境有多復雜，總可以找到適應該網絡環(huán)境的一種或多種準入控制方式，構建“內網安檢系統(tǒng)”。表2是在不同的網絡環(huán)境中，可以選擇的準入控制類型：表2不同網絡環(huán)境可以選擇的準入控制類型可選準入類型不同網絡環(huán)境網絡準入應用準入客戶端準入基于802.1x基于EOU匯聚層支持EOU協(xié)議，接入層交換機支持802.1x協(xié)議√√√√匯聚層支持EOU協(xié)議，接入層交換機不支持802.1x協(xié)議×√√√匯聚層不支持EOU協(xié)議，接入層交換機支持802.1x協(xié)議√×√√匯聚層不支持EOU協(xié)議，接入層交換機不支持802.1x協(xié)議××√√天珣可以作為準入控制認證的所有條件，在實際部署中，如果所選擇的認證條件中一個或多個不滿足時，天珣均會認為安全狀態(tài)不符合要求，通過準入控制手段，提示狀態(tài)不符，并觸發(fā)友好提示、重新認證或阻斷其網絡行為，直到終端安全狀態(tài)完全滿足。表3多因素準入控制認證準入控制類型認證條件不滿足網絡準入應用準入客戶端準入標準802.1x漫游IP網段的802.1xEOU天珣客戶端安裝運行認證拒絕接入拒絕接入，禁止訪問，提示安裝禁止訪問，提示安裝禁止訪問安全狀態(tài)認證（補丁狀態(tài)、進程狀態(tài)、防病毒狀態(tài)…）禁止訪問，提示修復禁止訪問，提示修復禁止訪問，提示修復禁止訪問，提示修復禁止訪問，提示修復用戶認證拒絕接入拒絕接入禁止訪問禁止訪問不生效可信MAC認證拒絕接入拒絕接入禁止訪問禁止訪問禁止訪問組合認證User+IP+認證有效期拒絕接入改回設定IP地址禁止訪問改回設定IP地址改回設定IP地址User+MAC+認證有效期拒絕接入拒絕接入禁止訪問禁止訪問禁止訪問MAC+IP+認證有效期拒絕接入改回設定IP地址禁止訪問改回設定IP地址改回設定IP地址User+IP+MAC+認證有效期拒絕接入拒絕接入禁止訪問禁止訪問禁止訪問可匿名用戶認證：當啟用可匿名的用戶認證，可以允許安裝了客戶端的終端匿名登錄，登錄后將自動獲取訪客策略，使其對內網訪問完全受控。利用該認證方式，可實現(xiàn)對外來電腦的有效管理。基于802.1x的網絡準入控制天珣支持國際標準802.1X協(xié)議，與支持該協(xié)議的網絡接入設備共同完成網絡準入控制。只有受天珣管理并且符合企業(yè)安全策略的電腦才允許接入企業(yè)網絡，否則被隔離在企業(yè)網絡之外，或被自動劃分到特定的VLAN當中進行修復。網絡準入控制從物理上保證只有經過身份認證和安全認證的電腦才能接入企業(yè)網絡上，并且使用者也經過了身份認證，將不安全的電腦和用戶拒之門外，徹底消除蠕蟲病毒、木馬的侵害及別有用心的偷窺和網絡濫用。圖3基于802.1x網絡準入控制示例圖天珣支持主流網絡廠商的交換機設備，支持的廠家包括CISCO、H3C、華為、3COM、銳捷、DLink等業(yè)界主流網絡廠商，并可以實現(xiàn)支持802.1x協(xié)議的多品牌廠商網絡設備混合網絡準入控制，最大限度保護用戶在網絡設備的已有投資。天珣基于802.1x網絡準入認證的內容，包括用戶名/密碼、IP地址、MAC地址、計算機安全狀態(tài)、接入有效期等一種或多種條件的組合。天珣在標準802.1x認證策略的基礎上，創(chuàng)造性支持漫游IP網段準入控制擴展認證功能，加入客戶端歸屬網段概念?？蛻舳寺谓尤敕菤w屬網段，系統(tǒng)將強制其通過DHCP獲取漫游網段的IP地址?；贓OU的網絡準入控制天珣支持思科NAC的EAPOverUDP網絡準入，在接入交換機不支持802.1x的環(huán)境下，如果匯聚層采用的是CISCO支持EOU協(xié)議的網絡設備，依然可以驗證終端的安全狀態(tài)，隔離不安全的終端，用戶電腦無客戶端程序則重定向用戶的URL訪問到指定的網頁進行安裝，并修復其安全漏洞。天珣擴展了EoU協(xié)議，支持在EoU協(xié)議上的用戶認證，只有經過用戶認證才能繼續(xù)進行安全驗證。

圖4基于EOU的網絡準入控制示例圖應用準入控制天珣采用多種策略網關，為企業(yè)的關鍵系統(tǒng)和應用提供準入控制手段。只有受天珣管理并且符合安全策略的電腦才允許訪問企業(yè)的這些系統(tǒng)及應用。系統(tǒng)及應用準入控制為企業(yè)關鍵的業(yè)務系統(tǒng)提供最后的安全保證，杜絕非授權訪問或黑客攻擊。圖5應用準入控制示例圖天珣已經支持的應用準入類型非常豐富，用戶總能其中找到一種或幾種適合自己網絡和合規(guī)管理要求的應用平臺，在該平臺上面同時啟用應用準入。天珣已經支持的應用準入類型有：按應用系統(tǒng)分類：Web、Mail、DNS、ISAProxy。按操作系統(tǒng)分類：Windows、Linux。下表是天珣已經具備針對不同的應用的策略網關類型，總可以從下面的表中，找到一種或幾種適合的應用準入控制方案：表3針對不同應用天珣具備豐富的策略網關類型策略網關類型支持的應用類型不同平臺下可選擇的策略網關WindowsLinuxWeb應用IIS策略網關中性策略網關forLinuxProxy應用ISA策略網關中性策略網關forLinuxDNS應用中性策略網關forWindows中性策略網關forLinux其他應用類型中性策略網關forWindows中性策略網關forLinux除此之外，天珣能夠啟明星辰天清漢馬USG實現(xiàn)準入控制互動，由USG擔當準入控制網關，當終端需要通過USG進行訪問時，由USG和天珣聯(lián)動，只容許認證通過并且安全狀態(tài)符合要求的終端通過USG進行訪問。天珣應用準入控制可以單獨只啟用一種平臺應用準入，也可以同時啟用多個平臺應用準入，也可以網絡準入控制同時啟用，組成“網絡準入+應用準入”復合準入控制體系，全面覆蓋用戶內網每一個區(qū)域和角落?？蛻舳藴嗜肟刂瓢惭b有天珣系統(tǒng)客戶端的桌面電腦在接受訪問時，可以根據管理員的配置檢查對方的電腦是否運行了天珣系統(tǒng)客戶端，并檢查自身的安全狀態(tài)是否符合規(guī)范。如果對方電腦未安裝客戶端，或本機不符合安全策略要求，則拒絕其訪問。圖6客戶端準入控制示例圖當天珣客戶端電腦訪問網絡，也會先檢查自身的安全狀態(tài)是否合格，如果不合格，將限制自身的網絡訪問。天珣客戶端準入控制，創(chuàng)造性將每一臺終端都成為準入控制點，保證每臺終端只接受安全可信的終端進行訪問，并只在安全狀態(tài)合格時訪問網絡，實現(xiàn)最細粒度準入控制。天珣客戶端具備網絡阻斷功能，在客戶端安全狀態(tài)不符合要求時，客戶端自身能不依賴網絡設備、不依賴網絡上其他的電腦或設備獨立執(zhí)行網絡訪問阻斷天珣更支持強大的選擇性阻斷，在客戶端安全狀態(tài)不符合要求時，客戶端能根據管理員的配置，通過進程、端口、目標地址等選擇性地阻止部分非緊急業(yè)務的網絡訪問，而允許其他緊急業(yè)務的網絡訪問。當啟用基于802.1X網絡準入時，選擇性阻斷技術保證客戶端安全狀態(tài)的改變不會導致交換機端口狀態(tài)的頻繁切換或VLAN的頻繁切換而影響交換機和網絡的性能；當啟用基于EoU時，選擇性阻斷技術保證客戶端安全狀態(tài)的改變不會導致交換機頻繁下載ACL而影響交換機和網絡的性能。當不啟用網絡準入時，選擇性阻斷保證客戶端不依賴其他任何設備執(zhí)行緊急業(yè)務和非緊急業(yè)務的分類阻斷。網絡準入增值應用動態(tài)VLANVLAN在控制廣播域的范圍、網絡安全、第三層地址的管理、和網絡資源的集中管理方面有重要的意義。傳統(tǒng)的基于交換機端口劃分VLAN的方式因為不靈活以及對管理員的工作量太大而不能滿足今天移動用戶的VLAN管理需求。天珣可以根據用戶的登錄名或電腦MAC地址動態(tài)劃分VLAN，無論用戶移動到公司的哪個地點接入到網絡，都將可以自動屬于他被分配的VLAN，而不用管理員手工干預。動態(tài)ACL在交換機的傳統(tǒng)ACL配置中，只能針對端口或IP地址設置ACL。天珣能夠在EoU的環(huán)境下，針對登錄用戶名和電腦的MAC地址為每一臺電腦下發(fā)動態(tài)ACL，極大地擴展了交換機的配置能力。外來電腦管理對于外來電腦，企業(yè)有時很難要求其與本公司電腦啟用相同的安全策略。天珣可以通過支持802.1X的網絡交換機將外來電腦自動劃分到GuestVLAN，或通過啟用訪客策略，嚴格限制外來電腦的訪問權限，即使其安全狀態(tài)不符合規(guī)范，甚至有蠕蟲病毒或木馬，也不會對企業(yè)網絡造成危害，同時杜絕了任何外來電腦的非授權訪問問題。桌面管理功能具備執(zhí)行力的終端合規(guī)管理，要求精確和完整的終端信息作為合規(guī)管理基礎，因此合規(guī)管理系統(tǒng)需要精確和完整的桌面信息管理。天珣改變傳統(tǒng)的桌面管理軟件多是一種“盡力而為”的管理模式，即需要用戶配合安裝客戶端，運行客戶端，如果用戶卸載或停用客戶端，管理員將對客戶電腦失去管理，依托準入控制技術，確保100%的終端都部署和運行了客戶端軟件，第一次使管理員有了確定性的桌面管理手段，管理企業(yè)IT資產，管理桌面運行軟件，進行補丁管理，軟件分發(fā)，控制PC的外設使用，并使用創(chuàng)新的“按需支援（HOD:HelpOnDemand）”技術進行遠程桌面支持。與安全防護功能集成的桌面管理將使管理員有了全新的管理手段，并使管理手段擁有前所未有的執(zhí)行力。資產管理由于電腦硬件及軟件的更新和變化，IT維護人員和財務部門對企業(yè)的IT資產的管理和統(tǒng)計經常處于一種無序及手工統(tǒng)計的狀態(tài)，當IT資產更新頻繁時，原來的IT資產管理記錄往往由于管理的滯后和對實際情況的掌握程度不夠無法及時更新，從而造成IT資產管理的混亂，維護人員對于IT資產的最新情況不了解也對IT運行服務造成了障礙。天珣資產管理模塊自動收集企業(yè)用戶的IT設備的硬件配置，如客戶端計算機的BIOS參數(shù)、CPU型號、內存數(shù)量，硬盤類型，硬盤序列號，硬盤容量及分區(qū)，主板序列號等，顯卡類型，各種外設等信息；軟件信息，如操作系統(tǒng)，安裝軟件等；以及跟蹤相關信息的變化。為管理員進行系統(tǒng)維護，技術支持，軟件部署，IT開支預算及統(tǒng)計提供及時的信息。開放靈活的架構天珣通用桌面管理套件資產管理采用開放式架構，使用Windows腳本技術，靈活動態(tài)收集企業(yè)資產信息。天珣策略系統(tǒng)的開放架構的腳本技術使資產收集腳本規(guī)則化，系統(tǒng)不用更新客戶端程序就能改變信息采集方式，改變數(shù)據庫內容，改變顯示方式。這些腳本可以由啟明星辰提供，也可由系統(tǒng)管理員根據自己的需要自己定制，這種靈活性是天珣通用桌面管理套件資產優(yōu)于其它系統(tǒng)的最主要特征。集中的Web管理控制臺管理員可以從一個中央控制臺保存和追蹤各系統(tǒng)的有關信息，例如處理器類型、BIOS類型及序列號、顯示適配器、內存、硬盤等。差異化傳輸客戶端在初次掃描時會將全部信息都傳輸給服務器，在以后的掃描及傳輸過程中，只對有變化的部分傳輸給服務器，這樣大大提高傳輸效率，減小傳輸過程對網絡的影響。HelpOnDemand遠程桌面天珣HOD系統(tǒng)在企業(yè)中心IT部門對在各園區(qū)的需要幫助的計算機進行遠程操作，幫助遠程的客戶端進行異地操作和檢查系統(tǒng)問題，充分發(fā)揮、共享中心IT部門的技術優(yōu)勢，為企業(yè)IT部門節(jié)省各園區(qū)駐地成本和交通成本，節(jié)省時間，提高運維服務的效率，達到成本與服務質量的雙重效益。天珣HOD完全符合企業(yè)的現(xiàn)實需求，并獨具有多種工作模式，可以完全覆蓋企業(yè)多種遠程幫助和支持的情況。天珣HOD主要的工作模式：NULL客戶端模式和Agent模式。NULL客戶端模式：用戶端無需安裝任何軟件，用戶需要幫助時從企業(yè)內部網上下載客戶端軟件，只能由用戶主動向管理員發(fā)起連接，管理員在管理端操作用戶的電腦，幫助用戶排除故障，故障排除后自動銷毀客戶端程序。用戶可以看見管理員所有的操作，消除用戶感覺被控制和被偷窺的“心理恐懼”。Agent模式：用戶端安裝天珣HODAgent作為Service運行。既可以由用戶端發(fā)起連接，也可以由管理員端發(fā)起連接。補丁管理Windows的ServicePack和各種安全更新是保護Windows免受黑客程序攻擊的最有效的屏障，Windows操作系統(tǒng)隨時會有新的ServicePack，或其他的安全更新，如何幫助員工及時安裝最新的ServicePack或安全更新？天珣補丁管理自動幫助員工及時安裝最新的ServicePack或安全更新。天珣補丁管理支持多種操作系統(tǒng)語言版本，為企業(yè)的不同國家或地區(qū)的員工提供良好的支持。管理員使用天珣補丁管理將獲得更好的管理體驗，更輕松的操作。在天珣中，補丁的獲得和配置都是自動的，并且提供多種補丁安裝選項，比如自動下載自動安裝、自動下載手工安裝、手工下載手工安裝等。管理員可以通過報表查看網絡中每個電腦安裝的補丁情況，也可以查看每個補丁在網絡中的安裝情況。天珣支持與微軟WSUS的聯(lián)動，無需計算機加入域，自動下發(fā)補丁安裝策略，完成補丁的分發(fā)，保證計算機及時打上微軟發(fā)布的最新補丁，防止安全漏洞被利用。進程管理在企業(yè)網絡環(huán)境中，客戶端軟件環(huán)境的標準化能為桌面維護管理帶來多方面的效益。能降低桌面維護的復雜程度，確保企業(yè)的關鍵軟件應用能夠貫徹實施，通過禁止運行某些應用來提高工作效率等。天珣進程管理通過定義終端設備進程的紅名單，黑名單，白名單，實現(xiàn)自動、高效的進程管理功能，完全覆蓋用戶對進程管理的要求。在天珣GDM中所定義的紅名單、黑名單和白名單如下：紅名單：終端設備必須運行的軟件。黑名單：終端設備禁止運行的軟件。白名單：終端設備只能運行的軟件清單。PC外設管理企業(yè)員工隨意使用PC周邊設備可能導致敏感資料外泄或病毒廣泛傳播。天珣PC外設管理靈活控制用戶電腦的硬件資源使用情況，比如控制電腦的并口，串口，USB口，移動存儲設備，MODEM撥號，在敏感的環(huán)境中保護公司的機密，確保公司員工與外界的信息交換在管理人員的控制下進行，防止通過終端外設進行非法外聯(lián)，并減小病毒傳播風險。軟件分發(fā)支持多種安裝包格式：MSI安裝包、自定義打包格式安裝包、可執(zhí)行文件、批處理文件；支持多種安裝方式：SMB直接安裝、HTTP下載安裝、SMB下載安裝支持安裝、卸載、更新等操作；支持多種操作系統(tǒng)：支持Windows系列操作系統(tǒng)，包括Windows98/ME、WindowsNT、Windows2000/2003/XP多用戶軟件分發(fā)，可以同時向多個客戶端分發(fā)軟件包；靈活的分發(fā)時間控制：可以指定在某個時間范圍進行軟件分發(fā)；支持續(xù)傳機制，即如果在軟件分發(fā)過程中由于某種原因導致分發(fā)過程停止，則下次開始分發(fā)的時候可以從上次停止的地方繼續(xù)進行軟件分發(fā)，直到完成為止；分發(fā)過程中的實時狀態(tài)反饋，管理員可是實時查看所有分發(fā)任務進行的狀態(tài)；移動存儲管理天珣移動存儲管理，是解決終端通過移動存儲進行數(shù)據交換和共享過程中，防泄密控制的要求，通過實現(xiàn)終端的移動存儲的認證、數(shù)據加密和共享受控管理，徹底解決了用戶對防泄密控制中通過移動存儲進行數(shù)據安全交換和受控共享的迫切要求。天珣移動存儲管理，可以實現(xiàn)移動存儲設備的認證和設備使用授權，只有認證的移動存儲存儲設備和具有使用權限的用戶才能使用。對于認證過的的移動存儲設備，可以根據防泄密控制要求的高低，可以選擇多種數(shù)據保存和共享授權方式?？梢灾徽J證設備，不對其中保存數(shù)據進行加密共享；也可以對認證的設備選擇專用目錄或全盤加密共享，并可以對移動設備使用全過程進行審計，方便在發(fā)生意外時進行查證。移動存儲設備認證在內網終端啟用天珣移動存儲設備認證后，當未經授權的移動存儲設備（例如U盤、移動硬盤等），通過USB接口接入電腦，天珣將自動彈出認證提示框，要求用戶填寫相關信息后，發(fā)送給管理控制臺，經管理員確認并按照移動存儲管理規(guī)章對該移動存儲進行確認和相應授權后，該移動存儲設備才可使用。通過認證的設備可賦予指定用戶讀、寫、加密寫等權限。保證只有經過認證的、確認安全的移動存儲設備才能在內網中使用，消除不明來歷的移動存儲通過終端接入內網后，可能帶來的病毒傳播等隱患。專用目錄數(shù)據加密與共享授權如果需要通過天珣認證過的移動存儲設備，進行對重要數(shù)據的共享傳播，可以在認證時，啟用專用目錄數(shù)據加密，所有保存在專用目錄下的數(shù)據將自動被加密，然后可以對專用目錄中保密數(shù)據進行共享授權，確保只能在受控終端由具有訪問權限的用戶共享。如果移動存儲設備意外丟失，保證存儲在專用加密目錄下的數(shù)據安全。專用目錄數(shù)據加密與共享授權對于通過天珣認證過的移動存儲設備，也可以選擇全盤數(shù)據加密，所有保存在移動存儲上面的數(shù)據將被自動被加密，然后可以對專用目錄中保密數(shù)據進行共享授權，確保只能在受控終端由具有訪問權限的用戶共享。即使意外丟失，也可以保證所有保存在移動存儲設備的重要數(shù)據安全。移動存儲設備管理審計天珣提供移動存儲認證、使用和數(shù)據共享全過程的審計，方便在發(fā)生意外時進行查證。終端審計審計在內網合規(guī)管理中，具有非常重要的意義，不僅可以檢驗合規(guī)管理效果，而且也是促進內網安全狀況動態(tài)持續(xù)改善。圍繞內網合規(guī)管理要求，天珣提供與內網合規(guī)管理緊密關聯(lián)的終端審計功能，實現(xiàn)內網安全狀況持續(xù)改善提供保證。天珣提供的終端審計功能，包括“文件操作審計與控制”，“打印審計與控制”，“網站訪問審計與控制”，“異常路由審計”和“終端Windows登錄審計”。天珣在上述五類終端審計對象中，所審計的內容只是跟內網安全合規(guī)相關的信息，不對涉及終端用戶的個人隱私信息，例如網上聊天記錄、上網瀏覽的內容、打印文件的內容、登錄用戶的密碼等等進行審計，保證在達到合規(guī)管理的審計要求的前提下，保護終端用戶個人私隱。文件操作審計與控制天珣文件操作審計與控制功能，可對指定目錄文件或指定文件名后綴的讀、寫、新建、復制、刪除、改名、移動等操作進行審計，對指定目錄文件或指定文件名后綴的讀、寫、新建、刪除、改名、移動等操作進行阻斷。對于終端共享目錄的訪問以及用戶訪問網絡文件也可進行詳盡的審計。打印審計與控制天珣打印審計與控制，可以實現(xiàn)通過內網終端進行本地打印或網絡打印的行為進行審計；也可以直接通過天珣對終端打印進行控制，禁止通過打印限制的終端進行打印，保護用戶有限的打印資源。網站訪問審計與控制天珣提供終端用戶網站訪問審計與控制功能，可以針對網站關鍵字進行審計，也可以通過網站關鍵字進行網站訪問控制，設置網站白名單和黑名單，即只能訪問的網站和禁止訪問的網站。天珣還可以審計和控制終端通過http代理網站訪問，規(guī)范終端用戶上網行為。異常路由審計天珣內置的異常路由審計功能，可以通過審計內網終端路由異常，發(fā)現(xiàn)終端可能存在非法外聯(lián)，幫助用戶及時發(fā)現(xiàn)和修補合規(guī)管理漏洞。終端Windows登錄審計天珣可以對每臺終端的Windows系統(tǒng)登錄情況進行審計，掌握每臺終端用戶活躍情況，為優(yōu)化內網合規(guī)管理，提供參考。體系架構與部署方式CSC系統(tǒng)體系架構天珣使用目前最適合做桌面管理的系統(tǒng)架構的基于可信任計算的CSC架構（CSC=Clients+Server+Checkpoint，其中Checkpoint中文名稱是準入控制檢查點，是天珣準入生效和執(zhí)行點，具體在系統(tǒng)中是指應用準入和網絡準入生效的服務器或網絡設備）。CSC體系架構因具備了完整的控制控制檢查點，使天珣具備其他傳統(tǒng)意義的終端管理產品所不可能具備的100%的執(zhí)行力和卓越的可靠性、安全性、擴展性和健壯性。確保管理無盲點，具有無比的強制性。策略服務器（Server）策略服務器用于配置管理客戶端安全策略，分發(fā)策略給客戶端代理及策略網關，分發(fā)補丁、病毒定義碼或軟件以修補客戶端安全漏洞，并可從策略服務器查詢企業(yè)網絡任何一個終端的安全狀態(tài)。天珣支持分布式多服務器架構，集中管理全球范圍內的任意多個策略服務器，分布式多服務器架構使天珣具有優(yōu)秀的容錯性、可伸縮性?？蛻舳舜恚–lients）客戶端代理從策略服務器獲取策略規(guī)則，在客戶端執(zhí)行策略規(guī)則，檢查其安全狀態(tài)，執(zhí)行終端綜合防護，并將客戶端安全狀態(tài)報告給策略服務器。天珣客戶端是模塊化的組件，支持多種模塊化的組件，以滿足用戶以一個客戶端完成多種安全或管理的需求。策略網關（Checkpoint）策略網關是執(zhí)行應用準入的強制組件。策略網關從策略服務器獲取策略規(guī)則，以準入控制手段強制執(zhí)行企業(yè)安全策略，拒絕不符合安全策略的終端訪問企業(yè)的關鍵系統(tǒng)及應用。包括天清漢馬USG在內，天珣具備多種類型的策略網關和應用準入類型。圖7天珣架構示意圖部署方式天珣一般部署方式如下：1、根據所要管理的終端數(shù)量、區(qū)域劃分配置和部署一到多臺天珣策略服務器（其中也可以同時安裝資產管理服務器、Radius服務器等天珣功能服務器），構一級或多級服務器管理架構；2、至少要在一個應用服務器部署策略網關，并啟用應用準入，作為準入控制檢查點；3、借助應用準入提供的客戶端安裝檢測和部署能力，用戶自助部署客戶端；4、如果需要啟用網絡準入，需要先對支持802.1x或EOU的網絡設備啟用相應的網絡準入配置選項。5、根據合規(guī)管理要求，定義和下發(fā)相應策略安全策略到終端、策略網關和后臺功能服務器執(zhí)行。下圖就是天珣典型安裝部署圖：圖8天珣典型安裝部署示意圖系統(tǒng)特性領先的CSC系統(tǒng)架構天珣不僅是一個管理工具，更是一個領先的架構。天珣使用目前最適合做桌面管理的系統(tǒng)架構的基于可信任計算的CSC架構。CSC架構使天珣更健壯，可靠，安全，擴展性好。確保管理無盲點，具有無比的強制性。易于部署和管理客戶端主動部署借助天珣強大的準入控制技術，管理員只需簡單定義，系統(tǒng)自動將客戶端安裝包推到用戶桌面，自動完成系統(tǒng)安裝和配置。靈活的分階段部署，部署過程盡在掌握。集中管理、分級控制、滿足對跨地域的分支機構的集中管理天珣在統(tǒng)一的Web控制臺集中管理整個網絡的安全策略，靈活管理策略客戶端、策略服務器、策略網關。管理員從任何一個瀏覽器連接到Web控制臺，進行安全策略的配置，將安全策略同步下發(fā)到企業(yè)全球網絡的策略服務器上，并分發(fā)到企業(yè)全球網絡的客戶端，并可以通過Web控制臺查看分布在企業(yè)全球網絡的任何一個客戶端的安全狀態(tài)，并提供詳盡的統(tǒng)計報表。分級管理的權限讓分支機構的管理員可以定義個性化的策略，但必須執(zhí)行總部管理員制定的策略?；诓呗越M的管理，管理方式豐富靈活可以基于用戶、IP、IP段或IP組進行管理，可以依照用戶組或IP組劃分策略組，不同的策略組可以使用不同的策略，也就是同時支持以IP地址為對象的策略和以用戶為對象的策略，為部署和管理帶來巨大的靈活性。Pass-Through方式的LDAP用戶認證天珣支持主流的LDAP用戶認證，比如AD域、iPlanet，OpenLDAP等。通過認證的用戶可以使用基于用戶的網絡訪問策略，為訪問控制提供高度靈活的手段。天珣支持Pass-Through認證方式，使用企業(yè)現(xiàn)有的目錄服務，不需要導入任何用戶數(shù)據庫，使系統(tǒng)更具實時性，減輕管理員的工作量。自動升級隨著天珣的不斷升級，自動升級功能在不影響用戶的情況下，在后臺將最新的功能發(fā)送到成千上萬的現(xiàn)有用戶，而不需要重新安裝。豐富的報表，終端合規(guī)狀況一目了然。合規(guī)管理確定有效強制保持終端安全狀態(tài)，無盲點，不妥協(xié)天珣強大的準入控制能力，確保如果用戶電腦不符合企業(yè)安全策略，或者用戶電腦沒有安全天珣，該用戶電腦將不能訪問網絡的任何資源，直到問題被解決。分布式策略執(zhí)行，始終保持策略的強制力度天珣的多層準入控制，可獨立進行策略檢查及控制，檢查效率高。某一層次的檢查失效不影響策略的完整性及可靠性，并確保策略控制無盲點。策略服務器只是分發(fā)策略規(guī)則，策略檢查由多層準入控制機制完成，策略檢查時不依賴策略服務器，使系統(tǒng)由極高的可靠性，消除單點故障。策略自適應，滿足辦公，家庭等工作環(huán)境無論客戶端是在企業(yè)的哪一個企業(yè)園區(qū)，分公司，辦事處，還是在賓館，展會，家中；無論是直接連接還是通過VPN連接，天珣將自動適用客戶端所處環(huán)境的安全策略規(guī)則，以防范不同的安全風險。當用戶在不同的環(huán)境漫游時，安全策略將自動切換，無需管理員和用戶干預。自動防御，自動補救，防患于未然天珣的多層準入控制體系對于蠕蟲病毒、木馬或黑客的攻擊能夠自動防御，切斷它們的傳播途徑，控制威脅的蔓延。對不符合安全策略的電腦實施自動補救，幫助其安裝Windows補丁，升級訪病毒軟件病毒碼，限制有安全隱患的應用程序的運行，或提示用戶運行其他必要的軟件?？s短安全事故反應時間、減輕工作負荷傳統(tǒng)的維