天珣内网安全风险管理与审计系统白皮书

《天珣内网安全风险管理与审计系统白皮书》由会员分享，可在线阅读，更多相关《天珣内网安全风险管理与审计系统白皮书（29页珍藏版）》请在装配图网上搜索。

1、天珣内网安全风险管理和审计系统产品白皮书（6.6.9）北京启明星辰信息技术股份有限公司Beijing Venus Information Tech. Inc.2008年7月版权声明北京启明星辰信息技术有限公司版权所有，并保留对本文档及本声明的最 终解释权和修改权。本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内 容，除另有特别注明外,其着作权或其他相关权利均属于北京启明星辰信息技术 有限公司。未经北京启明星辰信息技术有限公司书面同意，任何人不得以任何方 式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其 它语言、将其全部或部分用于商业用途。“天珣”为启明星辰

2、信息技术有限公司的注册商标，不得侵犯。免责条款本文档依据现有信息制作，其内容如有更改，恕不另行通知。北京启明星辰信息技术有限公司在编写该文档的时候已尽最大努力保证其 内容准确可靠，但北京启明星辰信息技术有限公司不对本文档中的遗漏、不准确、 或错误导致的损失和损害承担责任信息反馈如有任何宝贵意见，请反馈：信箱：北京市海淀区东北旺西路 8 号中关村软件园21 号楼启明星辰大厦 邮编：100193您可以访问启明星辰网站：获得最新技术和产品信息。目录1 内网安全挑战根据 CSI/FBI 等权威机构公布的数据，在所有已经发生的安全事件中，超 过 80%的安全事件都发生在企业内网中，内网安全面临前所未有的

3、挑战。内网安 全面临的挑战，集中表现在以下两个方面：内网安全控制挑战1. 终端未经安全认证和授权即可随意接入内网；2. 内部终端存在的安全漏洞不能及时修复；3. 终端接入后对内网的非授权访问难以管理；4. 被动防御蠕虫病毒及木马的破坏和传播；5. 蠕虫攻击导致网络或系统瘫痪，影响核心业务的运作；6. 用户随意改动 IP 地址，对网络审计带来困难；7. 用户随意安装和运行软件，随意占用有限带宽资源。终端数据安全挑战1 终端使用未经认证的 U 盘等移动存储设备进行数据保存；2 通过 U 盘等进行数据交换，不受控制；3 未经认证的 U 盘成为病毒传播的载体；4 存有关键数据的 U 盘丢失或失窃造成严

4、重的泄密事故；5 终端用户可以轻易通过拨号、私设代理等非法外联手段，传 播内部重要数据或资料。终端行为审计内部关键数据失窃后，难以追查；通过网络共享交换数据不受控制；滥用打印机打印小说或保密资料。内网终端IT支持挑战1. 无法精确统计 IT 资产，确定每台电脑的硬件配置，确定软件的 安装情况；2. 无法跟踪资产的历史使用纪录，也不能及时掌握资产变动情况；3终端电脑的使用故障，需要IT维护人员赶到现场处理；4. 无法及时掌握终端进程运行情况，木马程序可能就混在其中；5. 需要合适的工具帮助管理员快速有效分发软件和补丁；6. 需要对PC外设如USB、Modem、无线设备等进行监控和管理;2 终端合

5、规管理，内网安全解决之道2.1 内网安全，合规先行“道高一尺，魔高一丈”，面对内网安全的巨大挑战，解决之道就是要找 出内网安全问题的根源和规律，从源头解决内网安全问题。内网安全问题的根源，存在于内网自身，尤其内网中数量巨大而分布很散 的终端电脑，由于缺少有效的终端集中安全管理系统，即使企业已经为内网安全 制定了严格的安全管理制度和流程，制度的执行主要依靠终端用户自觉完成，现 实是大部分用户的终端仅仅只依赖防病毒软件和个人防火墙进行安全保护，安全 管理执行力不足，安全管理制度形同虚设。现实中，经常会因个别终端疏于打安全补丁、防病毒软件未及时升级、防 火墙规则过于宽松、可以随意下载和安装不明软件、

6、滥用网络资源等等，这些终 端自身存在大量的安全漏洞和管理空白地带，使得威胁有了可乘之机，一有机会， 便被作为内网攻击的入口或跳板，不仅本身会受到攻击和破坏，更为严重的攻击， 会造成内网阻塞和瘫痪和内部关键数据或文件失窃，为企业带来巨大的损失。事实上，如果能将制定内网安全规范在每一台终端有效执行下去，通过有 效的安全控制手段，及时修复终端存在的漏洞、并实现终端用户的网络行为可控 制、可管理和可审计，使内网各项安全指标达到企业预设的安全管理标准和效果， 从而有效解决内网安全问题。Venus 通过多年的网络安全实践，发现内网安全问题，实质上不是因为威胁 高深莫测，而是在于内网安全管理有章不循，如果内

7、网安全管理规章制度能够有 效执行下去，内网安全问题将得到有效的解决。终端作为内网安全管理的主体， 是否能够达到内网安全管理规章要求，将是内网安全的关键，因此内网合规管理 的核心是终端合规管理。正是基于此，Venus围绕“合规管理”核心用户价值，推出了业界领先的内网合规管理产品：“天珣内网风险管理与审计系统”。2.2 Venus终端五维合规管理模型终端是否安全合规，就看是否能够很好回答以下几个问题：1、终端自身是否具备对外来的威胁和攻击的防御能力？2、终端的合规管理策略是否能够100%有效执行下去？3、终端的信息是否能够及时完全掌握？4、终端的数据是否具备足够的保密性、数据交换是否安全受 控？5

8、、是否具备终端合规审计，促进合规管理持续改善？针对以上五个问题，Venus创造性提出了 “终端五维合规管理模型”，将终端合规管理归类为五部分，分别是：“主动防御”，“准入控制”，“终端防泄密”，“桌面管理”和“终端审计”。下图为终端五维合规管理模型示意图： 图1 Veuns终端五维合规管理模型其中：“主动防御”： 为终端提供“软猬甲”，使终端具备威胁主动防御 能力，保护终端免受攻击和破坏，最终保障内网安全 和不间断运行，并确保用户网络访问行为合规。“准入控制”： 全新构建内网“安检系统”，保证终端安全接入内 网，保证终端接入行为受控，保证合规管理策略100% 执行。“桌面管理”： 提供精确和完

9、整的终端信息，为合规管理提供基础 数据保证。“终端防泄密”： 需要同时解决终端数据保密性问题和数据传播途径受 控的问题。通过对终端关键数据进行加密和授权共享 管理，提升终端数据保密性，同时结合完善的非法外 联控制和移动存储管理技术，实现关键数据受控共 享。天珣提供的五维合规管理模型，彻底颠覆了以往内网安全管理被动和执行力低下的问题，并通过实现从“准入控制”、“主动防御”、“数据防泄密”、“桌面信息管理”和“终端审计”的动态闭环的内网合规管理体系，在应对内网 安全威胁的斗争中，掌握了主动权和制高点，只有依靠有限的安全控制手段，有 效应对无限的内网威胁。3 产品主要功能天珣内网风险管理与审计系统，

10、作为一套终端合规管理软件产品，在 Venus 的“五维终端合规管理模型”框架下，并从用户现实需求出发，产品也划分为五 个功能模块，分别为：“终端安全控制”，“准入控制”，“终端桌面管理”， “移动存储管理”和“终端审计”，覆盖了终端合规五维领域。其中： “终端安全控制”是在主动防御的目标下，实现了与合规管理密切相关的 终端安全控制，即终端内网访问控制、流量控制、网络行为模式控制、ARP欺骗 控制、非法外联控制等等终端安全控制手段，保证终端双向访问安全，行为受控。 同时天珣终端安全控制还能够有效监控和管理第三方防病毒软件等恶意代码查 杀工具软件，协同构建终端主动防御能力。“移动存储管理”是作为终

11、端防泄密控制中，针对终端通过移动存储进行 数据交换和共享安全性的要求，天珣单独将“移动存储管理”作为一个模块，通 过实现终端的移动存储的认证、数据加密和共享受控管理，并结合终端安全控制 模块和桌面管理模块所提供的非法外联控制手段，彻底解决了用户对防泄密控制 中通过移动存储进行数据安全交换和受控共享的迫切要求。下表是天珣功能模块及对应的功能列表：表 1 天珣产品功能列表序 号；模块名称功能类表1终端安全控制终端安全状态自动检测与强制修复终端访问控制分布式终端带宽管理终端基于网络行为模式的威胁主动防御终端加固IP管理终端多网卡控制2准入控制基于的网络准入控制基于EOU的网络准入控制应用准入控制终端

12、准入控制3桌面管理资产管理HOD远程桌面外设管理补丁管理软件分发4移动存储管理移动存储设备认证专用目录加密与共享授权全盘加密与共享授权移动存储管理审计5终端审计文件操作审计与控制打印审计与控制网站访问审计与控制异常路由审计终端Windows登录审计3.1 终端安全控制天珣就是这样一款集中管理的内网终端合规管理系统，其客户端内置强大 的终端安全控制引擎，通过预设策略，实现对终端的威胁主动防御和终端网络行 为控制，保证内网安全可靠。3.1.1终端安全状态自动检测与强制修复天珣监控终端的系统补丁、防病毒软件、运行软件、弱密码、可疑的注册 表等。如果桌面电脑没有安装规定的补丁，防病毒软件的运行状态和升

13、级状态不 符合要求，没有运行指定的软件、运行了禁止的软件、或运行的软件超出了规定 的范围，或有其他的安全漏洞，该终端的网络访问将被禁止。此时天珣启动自动 修复机制，或提示用户手工进行修复。待修复完成，终端将自动得到重新访问网 络的授权。3.1.2终端访问控制天珣内置强大的进程级访问控制内核，可以实现针对终端基于进程、端口 或协议的双向访问的最细粒度的访问控制。既可以实现特定终端某一个指定进程（例如IE）能够访问远程的某个IP、网段或网站；也可以实现两个子网内终端 之间的细粒度的访问控制，在不需要对原有的网络做任何调整的前提下，实现最 细粒度的内网安全域管理。访问控制策略由管理员集中定义，下发至

14、终端后，分 布式执行，简洁、高效。天珣通过对终端的网络行为进行集中管理，有效控制非授权访问。在连出 访问时，只有满足管理员制定的安全状态策略才允许连出，只能访问许可的地址， 只能访问许可的服务，只能由指定的程序访问。在连入时，只有满足管理员制定 的安全策略才允许接受连入，只接受指定地址的访问请求，只让指定的服务接受 指定地址的访问请求，只让指定的程序提供指定的服务。3.1.3终端异常流量抑制传统的带宽管理工具多是网关型的设备，不能对每一个具体的终端进行精 细的管理，一个终端就可能占用全部的有效带宽。天珣的分布式带宽管理可以精 细管理每个终端上的每个应用程序，每个端口的带宽。通过合理配置，能有效

15、管 理终端的异常流量，即使有蠕虫病毒爆发，也不会导致网络瘫痪。3.1.4终端基于网络行为模式的威胁主动防御天珣内置基于终端网络行为模式的威胁主动防御机制，通过集中控制每个 客户端的网络行为，限定网络行为的主体、目标及服务，并结合终端的安全状态 控制网络访问，可以有效切断“独立进程型”蠕虫病毒的传播途径及木马及黑客 的攻击路线，弥补防病毒软件“防治滞后”的弱点。通过监控 TCP 同时连接数， 减缓蠕虫病毒对网络损害。通过监控 UDP 的发包行为，限制异常进程的网络访问。 通过检查 IP 数据包包头，确保数据包欺骗不能发生。通过监控网络行为的发起 进程，防止木马以隐藏进程方式进行网络访问。通过监控

16、ARP请求或应答包，自 动绑定网关MAC,拒绝延迟的ARP应答包等方式，防止内网ARP欺骗侵害。3.1.5终端安全加固天珣通过阻止网上邻居的匿名访问，禁止 Guest 帐号，检查指定的文件、 程序、注册表项来加固终端的安全，有效预防终端被蠕虫病毒和木马攻击。3.1.6IP 管理天珣的IP地址管理支持IP-MAC绑定，MAC-IP绑定，User-IP绑定。IP-MAC 绑定功能保护特定的 IP 地址只能由特定的 MAC 地址的电脑使用，这保护了服务 器、网络设备或重要用户的IP地址不被其他人随便使用MAC-IP绑定功能使指 定的电脑只能使用指定的IP地址，或强制使用DHCP。User-IP绑定确

17、保每个用 户使用专属于自己的IP地址，配合动态VLA N技术，User-IP绑定使用户在企业 内漫游时也能始终使用自己的 IP 地址。支持批量设置绑定，减轻管理员的工作 负荷。3.1.7多网卡非法外联控制可以设定只有与天珣系统通讯的网卡才能发送和接收数据，禁止其他任何 网卡发送和接收数据，包括多网卡、拨号连接，VPN连接等。避免通过注册表设 置禁用多网卡、拨号连接而易被破解。实现对通过网络的非法外联管理，3.2 业界领先的多层准入控制天珣终端准入控制，确保只有通过身份验证和安全检查的终端才能接入 内网并进行受控访问，对非法或存在安全隐患的终端进行隔离和修复，为内网构 建了一道“内网安检系统”，

18、彻底颠覆了传统内网安全管理被动管理的局面，并 为终端安全合规提供了强制性的保障能力。天珣采用业界最完善的多层准入控制机制，从终端到网络层，再到企业 应用服务器，提供了客户端准入、网络准入和应用准入控制手段，为企业提供最 灵活、最精确和最可靠的准入控制手段，确保每一个客户端都符合策略规则，也 确保企业 IT 网络的每一个角落都被天珣管理及保护。下图是天珣多层准入控制逻辑图：图 2 多层次准入控制图天珣多层准入控制，适应各种各样的网络环境，无论现实的网络环境有 多复杂，总可以找到适应该网络环境的一种或多种准入控制方式，构建“内网安 检系统”。表 2 是在不同的网络环境中，可以选择的准入控制类型：表

19、 2 不同网络环境可以选择的准入控制类可选准入类型网络准入应用准入客户端准入基于基于EOU不同网络环境汇聚层支持EOU协议，接入层交换机支持协议VVVV汇聚层支持EOU协议，接入层交换机不支持协议XVVV汇聚层不支持EOU协 议，接入层交换机支持 协议VXVV汇聚层不支持EOU协 议，接入层交换机不支 持协议XXVV天珣可以作为准入控制认证的所有条件，在实际部署中，如果所选择的 认证条件中一个或多个不满足时，天珣均会认为安全状态不符合要求，通过准入 控制手段，提示状态不符，并触发友好提示、重新认证或阻断其网络行为，直到 终端安全状态完全满足。表3 多因素准入控制认证准入控制 类型 认证条件不满

20、足网络准入应用准入客户端准入标准漫游IP 网段的EOU天珣客户端安装运拒绝接拒绝接禁止访禁止访禁止访行认证入入，问，提示安装问，提示安装问安全状态认证(补丁禁止访禁止访禁止访禁止访禁止访状态、进程状态、防问，提问，提问，提示问，提示问,提示病毒状态)示修复示修复修复修复修复用户认证拒绝接入拒绝接入禁止访问禁止访问不生效可信MAC认证拒绝接拒绝接禁止访禁止访禁止访入入问问问User+IP+认证有拒绝接改回设禁止访改回设改回设效期入定IP问定IP地定IP地地址址址组User+MAC+ 认证拒绝接拒绝接禁止访禁止访禁止访合有效期入入问问问认MAC+IP+认证有拒绝接改回设禁止访改回设改回设证效期入定

21、IP问定IP地定IP地地址址址User+IP+MAC+认拒绝接拒绝接禁止访禁止访禁止访证有效期入入问问问可匿名用户认证：当启用可匿名的用户认证，可以允许安装了客户端的 终端匿名登录，登录后将自动获取访客策略，使其对内网访问完全受控。利用该 认证方式，可实现对外来电脑的有效管理。3.2.1基于的网络准入控制天珣支持国际标准协议，与支持该协议的网络接入设备共同完成网络准入 控制。只有受天珣管理并且符合企业安全策略的电脑才允许接入企业网络，否则 被隔离在企业网络之外，或被自动划分到特定的VLAN当中进行修复。网络准入 控制从物理上保证只有经过身份认证和安全认证的电脑才能接入企业网络上，并 且使用者也

22、经过了身份认证，将不安全的电脑和用户拒之门外，彻底消除蠕虫病 毒、木马的侵害及别有用心的偷窥和网络滥用。图3 基于网络准入控制示例图天珣支持主流网络厂商的交换机设备，支持的厂家包括CISCO、H3C、华为、 3COM、锐捷、DLink等业界主流网络厂商，并可以实现支持协议的多品牌厂商网 络设备混合网络准入控制，最大限度保护用户在网络设备的已有投资。天珣基于网络准入认证的内容，包括用户名/密码、IP地址、MAC地址、计 算机安全状态、接入有效期等一种或多种条件的组合。天珣在标准认证策略的基础上，创造性支持漫游IP网段准入控制扩展认证 功能，加入客户端归属网段概念。客户端漫游接入非归属网段，系统将

23、强制其通 过DHCP获取漫游网段的IP地址。3.2.2基于EOU的网络准入控制天珣支持思科NAC的EAP Over UDP网络准入，在接入交换机不支持的环境 下，如果汇聚层采用的是CISCO支持EOU协议的网络设备，依然可以验证终端的 安全状态，隔离不安全的终端，用户电脑无客户端程序则重定向用户的URL访问 到指定的网页进行安装，并修复其安全漏洞。天珣扩展了 EoU协议，支持在EoU 协议上的用户认证，只有经过用户认证才能继续进行安全验证。图4基于EOU的网络准入控制示例图3.2.3应用准入控制天珣采用多种策略网关，为企业的关键系统和应用提供准入控制手段。只 有受天珣管理并且符合安全策略的电脑

24、才允许访问企业的这些系统及应用。系统 及应用准入控制为企业关键的业务系统提供最后的安全保证，杜绝非授权访问或 黑客攻击。图5 应用准入控制示例图天珣已经支持的应用准入类型非常丰富，用户总能其中找到一种或几种适 合自己网络和合规管理要求的应用平台，在该平台上面同时启用应用准入。天珣已经支持的应用准入类型有：按应用系统分类：Web、Mail、DNS、ISA Proxy。按操作系统分类： Windows、Linux。下表是天珣已经具备针对不同的应用的策略网关类型，总可以从下面的表中，找到一种或几种适合的应用准入控制方案：表3针对不同应用天珣具备丰富的策略网关类型、策略网关类型 支持的应用类型、，、不

25、同平台下可选择的策略网关WindowsLinuxWeb应用IIS策略网关中性策略网关forLinuxProxy应用ISA策略网关中性策略网关forLinuxDNS应用中性策略网关forWindows中性策略网关forLinux其他应用类型中性策略网关forWindows中性策略网关forLinux除此之外，天珣能够启明星辰天清汉马USG实现准入控制互动，由USG担 当准入控制网关，当终端需要通过USG进行访问时，由USG和天珣联动，只容许 认证通过并且安全状态符合要求的终端通过USG进行访问。天珣应用准入控制可以单独只启用一种平台应用准入，也可以同时启用多个平台应用准入，也可以网络准入控制同时

26、启用，组成“网络准入+应用准入” 复合准入控制体系，全面覆盖用户内网每一个区域和角落。3.2.4客户端准入控制安装有天珣系统客户端的桌面电脑在接受访问时，可以根据管理员的配置 检查对方的电脑是否运行了天珣系统客户端，并检查自身的安全状态是否符合规 范。如果对方电脑未安装客户端，或本机不符合安全策略要求，则拒绝其访问。图 6 客户端准入控制示例图当天珣客户端电脑访问网络，也会先检查自身的安全状态是否合格，如果 不合格，将限制自身的网络访问。天珣客户端准入控制，创造性将每一台终端都成为准入控制点，保证每台 终端只接受安全可信的终端进行访问，并只在安全状态合格时访问网络，实现最 细粒度准入控制。天珣

27、客户端具备网络阻断功能，在客户端安全状态不符合要求时，客户端 自身能不依赖网络设备、不依赖网络上其他的电脑或设备独立执行网络访问阻断天珣更支持强大的选择性阻断，在客户端安全状态不符合要求时，客户端 能根据管理员的配置，通过进程、端口、目标地址等选择性地阻止部分非紧急业 务的网络访问，而允许其他紧急业务的网络访问。当启用基于网络准入时，选择性阻断技术保证客户端安全状态的改变不会 导致交换机端口状态的频繁切换或 VLAN 的频繁切换而影响交换机和网络的性 能；当启用基于EoU时，选择性阻断技术保证客户端安全状态的改变不会导致交 换机频繁下载ACL而影响交换机和网络的性能。当不启用网络准入时，选择性

28、阻 断保证客户端不依赖其他任何设备执行紧急业务和非紧急业务的分类阻断。3.2.5网络准入增值应用3.2.5.1 动态 VLANVLAN 在控制广播域的范围、网络安全、第三层地址的管理、和网络资源的 集中管理方面有重要的意义。传统的基于交换机端口划分VLAN的方式因为不灵 活以及对管理员的工作量太大而不能满足今天移动用户的VLAN管理需求。天珣 可以根据用户的登录名或电脑MAC地址动态划分VLAN，无论用户移动到公司的 哪个地点接入到网络，都将可以自动属于他被分配的VLAN，而不用管理员手工 干预。3.2.5.2 动态 ACL在交换机的传统ACL配置中，只能针对端口或IP地址设置ACL。天珣能够

29、 在EoU的环境下，针对登录用户名和电脑的MAC地址为每一台电脑下发动态ACL， 极大地扩展了交换机的配置能力。3.2.5.3 外来电脑管理对于外来电脑，企业有时很难要求其与本公司电脑启用相同的安全策略。 天珣可以通过支持的网络交换机将外来电脑自动划分到Guest VLAN，或通过启 用访客策略，严格限制外来电脑的访问权限，即使其安全状态不符合规范，甚至 有蠕虫病毒或木马，也不会对企业网络造成危害，同时杜绝了任何外来电脑的非 授权访问问题。3.3 桌面管理功能具备执行力的终端合规管理，要求精确和完整的终端信息作为合规管理基 础，因此合规管理系统需要精确和完整的桌面信息管理。天珣改变传统的桌面管

30、理软件多是一种“尽力而为”的管理模式，即需要 用户配合安装客户端，运行客户端，如果用户卸载或停用客户端，管理员将对客 户电脑失去管理，依托准入控制技术，确保 100%的终端都部署和运行了客户端 软件，第一次使管理员有了确定性的桌面管理手段，管理企业IT资产，管理桌 面运行软件，进行补丁管理，软件分发，控制PC的外设使用，并使用创新的“按 需支援(HOD : Help On Demand )技术进行远程桌面支持。与安全防护功能 集成的桌面管理将使管理员有了全新的管理手段，并使管理手段拥有前所未有的 执行力。3.3.1资产管理由于电脑硬件及软件的更新和变化，IT维护人员和财务部门对企业的IT 资产

31、的管理和统计经常处于一种无序及手工统计的状态，当IT资产更新频繁时, 原来的IT资产管理记录往往由于管理的滞后和对实际情况的掌握程度不够无法 及时更新，从而造成IT资产管理的混乱，维护人员对于IT资产的最新情况不了 解也对IT运行服务造成了障碍。天珣资产管理模块自动收集企业用户的IT设备的硬件配置，如客户端计算 机的BIOS参数、CPU型号、内存数量，硬盘类型，硬盘序列号，硬盘容量及分 区，主板序列号等，显卡类型，各种外设等信息；软件信息，如操作系统，安装 软件等；以及跟踪相关信息的变化。为管理员进行系统维护，技术支持，软件部 署，IT开支预算及统计提供及时的信息。开放灵活的架构天珣通用桌面管

32、理套件资产管理采用开放式架构，使用Windows脚本技术， 灵活动态收集企业资产信息。天珣策略系统的开放架构的脚本技术使资产收集脚 本规则化，系统不用更新客户端程序就能改变信息采集方式，改变数据库内容， 改变显示方式。这些脚本可以由启明星辰提供，也可由系统管理员根据自己的需 要自己定制，这种灵活性是天珣通用桌面管理套件资产优于其它系统的最主要特 征。集中的Web管理控制台管理员可以从一个中央控制台保存和追踪各系统的有关信息，例如处理器 类型、BIOS类型及序列号、显示适配器、内存、硬盘等。差异化传输客户端在初次扫描时会将全部信息都传输给服务器，在以后的扫描及传输 过程中，只对有变化的部分传输给

33、服务器，这样大大提高传输效率，减小传输过 程对网络的影响。3.3.2Help On Demand 远程桌面天珣HOD系统在企业中心IT部门对在各园区的需要帮助的计算机进行远程 操作，帮助远程的客户端进行异地操作和检查系统问题，充分发挥、共享中心 IT部门的技术优势，为企业IT部门节省各园区驻地成本和交通成本，节省时间， 提高运维服务的效率，达到成本与服务质量的双重效益。天珣HOD完全符合企业的现实需求，并独具有多种工作模式，可以完全覆 盖企业多种远程帮助和支持的情况。天珣HOD主要的工作模式：NULL客户端模式和Agent模式。NULL客户端模式：用户端无需安装任何软件，用户需要帮助时从企业内

34、部 网上下载客户端软件，只能由用户主动向管理员发起连接，管理员在管理端操作 用户的电脑，帮助用户排除故障，故障排除后自动销毁客户端程序。用户可以看 见管理员所有的操作，消除用户感觉被控制和被偷窥的“心理恐惧”。Agent模式：用户端安装天珣HODAgent作为Service运行。既可以由用户 端发起连接，也可以由管理员端发起连接。3.3.3补丁管理Windows的Service Pack和各种安全更新是保护Windows免受黑客程序攻 击的最有效的屏障，Windows操作系统随时会有新的Service Pack，或其他的安 全更新，如何帮助员工及时安装最新的Service Pack或安全更新？

35、天珣补丁管理自动帮助员工及时安装最新的Service Pack或安全更新。天 珣补丁管理支持多种操作系统语言版本，为企业的不同国家或地区的员工提供良 好的支持。管理员使用天珣补丁管理将获得更好的管理体验，更轻松的操作。在 天珣中，补丁的获得和配置都是自动的，并且提供多种补丁安装选项，比如自动 下载自动安装、自动下载手工安装、手工下载手工安装等。管理员可以通过报表 查看网络中每个电脑安装的补丁情况，也可以查看每个补丁在网络中的安装情 况。天珣支持与微软WSUS的联动，无需计算机加入域，自动下发补丁安装策略, 完成补丁的分发，保证计算机及时打上微软发布的最新补丁，防止安全漏洞被利 用。3.3.4进

36、程管理在企业网络环境中，客户端软件环境的标准化能为桌面维护管理带来多方 面的效益。能降低桌面维护的复杂程度，确保企业的关键软件应用能够贯彻实施， 通过禁止运行某些应用来提高工作效率等。天珣进程管理通过定义终端设备进程的红名单，黑名单，白名单，实现自 动、高效的进程管理功能，完全覆盖用户对进程管理的要求。在天珣GDM中所定 义的红名单、黑名单和白名单如下：红名单：终端设备必须运行的软件。黑名单：终端设备禁止运行的软件。白名单：终端设备只能运行的软件清单。3.3.5PC外设管理企业员工随意使用PC周边设备可能导致敏感资料外泄或病毒广泛传播。天 珣PC外设管理灵活控制用户电脑的硬件资源使用情况，比如

37、控制电脑的并口， 串口，USB 口，移动存储设备，MODEM拨号，在敏感的环境中保护公司的机密， 确保公司员工与外界的信息交换在管理人员的控制下进行，防止通过终端外设进 行非法外联，并减小病毒传播风险。3.3.6软件分发1、支持多种安装包格式：MSI安装包、自定义打包格式安装包、可执行 文件、批处理文件；2、支持多种安装方式：SMB直接安装、HTTP下载安装、SMB下载安装3、支持安装、卸载、更新等操作；4、支持多种操作系统：支持 Windows 系列操作系统，包括 Windows98/ME、Windows NT、Windows2000/2003/XP5、多用户软件分发，可以同时向多个客户端分

38、发软件包；6、灵活的分发时间控制：可以指定在某个时间范围进行软件分发；7、支持续传机制，即如果在软件分发过程中由于某种原因导致分发过 程停止，则下次开始分发的时候可以从上次停止的地方继续进行软件分发， 直到完成为止；8、分发过程中的实时状态反馈，管理员可是实时查看所有分发任务进 行的状态；3.4 移动存储管理天珣移动存储管理，是解决终端通过移动存储进行数据交换和共享过程中， 防泄密控制的要求，通过实现终端的移动存储的认证、数据加密和共享受控管理， 彻底解决了用户对防泄密控制中通过移动存储进行数据安全交换和受控共享的 迫切要求。天珣移动存储管理，可以实现移动存储设备的认证和设备使用授权，只有 认

39、证的移动存储存储设备和具有使用权限的用户才能使用。对于认证过的的移动 存储设备，可以根据防泄密控制要求的高低，可以选择多种数据保存和共享授权 方式。可以只认证设备，不对其中保存数据进行加密共享；也可以对认证的设备 选择专用目录或全盘加密共享，并可以对移动设备使用全过程进行审计，方便在 发生意外时进行查证。3.4.1移动存储设备认证在内网终端启用天珣移动存储设备认证后，当未经授权的移动存储设备（例 如U盘、移动硬盘等），通过USB接口接入电脑，天珣将自动弹出认证提示框， 要求用户填写相关信息后，发送给管理控制台，经管理员确认并按照移动存储管 理规章对该移动存储进行确认和相应授权后，该移动存储设备

40、才可使用。通过认证的设备可赋予指定用户读、写、加密写等权限。保证只有经过认 证的、确认安全的移动存储设备才能在内网中使用，消除不明来历的移动存储通 过终端接入内网后，可能带来的病毒传播等隐患。3.4.2专用目录数据加密与共享授权如果需要通过天珣认证过的移动存储设备，进行对重要数据的共享传播， 可以在认证时，启用专用目录数据加密，所有保存在专用目录下的数据将自动被 加密，然后可以对专用目录中保密数据进行共享授权，确保只能在受控终端由具 有访问权限的用户共享。如果移动存储设备意外丢失，保证存储在专用加密目录 下的数据安全。3.4.3专用目录数据加密与共享授权对于通过天珣认证过的移动存储设备，也可以

41、选择全盘数据加密，所有保 存在移动存储上面的数据将被自动被加密，然后可以对专用目录中保密数据进行 共享授权，确保只能在受控终端由具有访问权限的用户共享。即使意外丢失，也 可以保证所有保存在移动存储设备的重要数据安全。3.4.4移动存储设备管理审计天珣提供移动存储认证、使用和数据共享全过程的审计，方便在发生意外 时进行查证。3.5 终端审计审计在内网合规管理中，具有非常重要的意义，不仅可以检验合规管理效 果，而且也是促进内网安全状况动态持续改善。围绕内网合规管理要求，天珣提 供与内网合规管理紧密关联的终端审计功能，实现内网安全状况持续改善提供保 证。天珣提供的终端审计功能，包括“文件操作审计与控

42、制”，“打印审计与 控制”，“网站访问审计与控制”，“异常路由审计”和“终端Windows登录审 计”。天珣在上述五类终端审计对象中，所审计的内容只是跟内网安全合规相关 的信息，不对涉及终端用户的个人隐私信息，例如网上聊天记录、上网浏览的内 容、打印文件的内容、登录用户的密码等等进行审计，保证在达到合规管理的审 计要求的前提下，保护终端用户个人私隐。3.5.1文件操作审计与控制天珣文件操作审计与控制功能，可对指定目录文件或指定文件名后缀的读、 写、新建、复制、删除、改名、移动等操作进行审计，对指定目录文件或指定文 件名后缀的读、写、新建、删除、改名、移动等操作进行阻断。对于终端共享目 录的访问

43、以及用户访问网络文件也可进行详尽的审计。3.5.2打印审计与控制天珣打印审计与控制，可以实现通过内网终端进行本地打印或网络打印的 行为进行审计；也可以直接通过天珣对终端打印进行控制，禁止通过打印限制的 终端进行打印，保护用户有限的打印资源。3.5.3网站访问审计与控制天珣提供终端用户网站访问审计与控制功能，可以针对网站关键字进行审 计，也可以通过网站关键字进行网站访问控制，设置网站白名单和黑名单，即只 能访问的网站和禁止访问的网站。天珣还可以审计和控制终端通过 http 代理网 站访问，规范终端用户上网行为。3.5.4异常路由审计天珣内置的异常路由审计功能，可以通过审计内网终端路由异常，发现终

44、端可能存在非法外联，帮助用户及时发现和修补合规管理漏洞。3.5.5 终端 Windows 登录审计天珣可以对每台终端的 Windows 系统登录情况进行审计，掌握每台终端用户活跃情况，为优化内网合规管理，提供参考。4 体系架构与部署方式4.1 CSC 系统体系架构天珣使用目前最适合做桌面管理的系统架构的基于可信任计算的 CSC 架构 （CSC二Clients+Server+Checkpoint,其中 Checkpoint 中文名称是准入控制检查 点，是天珣准入生效和执行点，具体在系统中是指应用准入和网络准入生效的服 务器或网络设备）。CSC 体系架构因具备了完整的控制控制检查点,使天珣具备其他

45、传统意义的 终端管理产品所不可能具备的 100%的执行力和卓越的可靠性、安全性、扩展性 和健壮性。确保管理无盲点,具有无比的强制性。策略服务器（Server）策略服务器用于配置管理客户端安全策略,分发策略给客户端代理及策略 网关,分发补丁、病毒定义码或软件以修补客户端安全漏洞,并可从策略服务器 查询企业网络任何一个终端的安全状态。天珣支持分布式多服务器架构,集中管理全球范围内的任意多个策略服务 器,分布式多服务器架构使天珣具有优秀的容错性、可伸缩性。客户端代理（Clients）客户端代理从策略服务器获取策略规则,在客户端执行策略规则,检查其 安全状态,执行终端综合防护,并将客户端安全状态报告给

46、策略服务器。天珣客 户端是模块化的组件,支持多种模块化的组件,以满足用户以一个客户端完成多 种安全或管理的需求。策略网关（Checkpoin t）策略网关是执行应用准入的强制组件。策略网关从策略服务器获取策略规 则,以准入控制手段强制执行企业安全策略,拒绝不符合安全策略的终端访问企 业的关键系统及应用。包括天清汉马 USG 在内,天珣具备多种类型的策略网关和 应用准入类型。图 7 天珣架构示意图4.2 部署方式天珣一般部署方式如下：1、根据所要管理的终端数量、区域划分配置和部署一到多台天珣策略服务器（其中也可以同时安装资产管理服务器、Radius服务器等天珣功 能服务器），构一级或多级服务器管

47、理架构；2、至少要在一个应用服务器部署策略网关，并启用应用准入，作为准入 控制检查点；3、借助应用准入提供的客户端安装检测和部署能力，用户自助部署客户端；4、如果需要启用网络准入，需要先对支持或 EOU 的网络设备启用相应的 网络准入配置选项。5、根据合规管理要求，定义和下发相应策略安全策略到终端、策略网关 和后台功能服务器执行。下图就是天珣典型安装部署图：图 8 天珣典型安装部署示意图5 系统特性5.1领先的CSC系统架构天珣不仅是一个管理工具，更是一个领先的架构。天珣使用目前最适合做 桌面管理的系统架构的基于可信任计算的CSC架构。CSC架构使天珣更健壮，可 靠，安全，扩展性好。确保管理无

48、盲点，具有无比的强制性。5.2 易于部署和管理1. 客户端主动部署 借助天珣强大的准入控制技术，管理员只需简单定义，系统自动将客户端 安装包推到用户桌面，自动完成系统安装和配置。灵活的分阶段部署，部署过程 尽在掌握。2. 集中管理、分级控制、满足对跨地域的分支机构的集中管理 天珣在统一的 Web 控制台集中管理整个网络的安全策略，灵活管理策略客户端、策略服务器、策略网关。管理员从任何一个浏览器连接到Web控制台，进 行安全策略的配置，将安全策略同步下发到企业全球网络的策略服务器上，并分 发到企业全球网络的客户端，并可以通过Web控制台查看分布在企业全球网络的 任何一个客户端的安全状态，并提供详

49、尽的统计报表。分级管理的权限让分支机 构的管理员可以定义个性化的策略，但必须执行总部管理员制定的策略。3. 基于策略组的管理，管理方式丰富灵活可以基于用户、IP、IP段或IP组进行管理，可以依照用户组或IP组划分 策略组，不同的策略组可以使用不同的策略，也就是同时支持以 IP 地址为对象 的策略和以用户为对象的策略，为部署和管理带来巨大的灵活性。4. Pass-Through 方式的 LDAP 用户认证天珣支持主流的LDAP用户认证，比如AD域、iPlanet, OpenLDAP等。通过 认证的用户可以使用基于用户的网络访问策略，为访问控制提供高度灵活的手 段。天珣支持 Pass-Throug

50、h 认证方式，使用企业现有的目录服务，不需要导入 任何用户数据库，使系统更具实时性，减轻管理员的工作量。5. 自动升级随着天珣的不断升级，自动升级功能在不影响用户的情况下，在后台将最 新的功能发送到成千上万的现有用户，而不需要重新安装。6. 丰富的报表，终端合规状况一目了然。5.3 合规管理确定有效1. 强制保持终端安全状态，无盲点，不妥协天珣强大的准入控制能力，确保如果用户电脑不符合企业安全策略，或者 用户电脑没有安全天珣，该用户电脑将不能访问网络的任何资源，直到问题被解 决。2. 分布式策略执行，始终保持策略的强制力度 天珣的多层准入控制，可独立进行策略检查及控制，检查效率高。某一层 次的

51、检查失效不影响策略的完整性及可靠性，并确保策略控制无盲点。策略服务 器只是分发策略规则，策略检查由多层准入控制机制完成，策略检查时不依赖策 略服务器，使系统由极高的可靠性，消除单点故障。3. 策略自适应，满足办公，家庭等工作环境 无论客户端是在企业的哪一个企业园区，分公司，办事处，还是在宾馆， 展会，家中；无论是直接连接还是通过VPN连接，天珣将自动适用客户端所处环 境的安全策略规则，以防范不同的安全风险。当用户在不同的环境漫游时，安全 策略将自动切换，无需管理员和用户干预。4. 自动防御，自动补救，防患于未然天珣的多层准入控制体系对于蠕虫病毒、木马或黑客的攻击能够自动防御， 切断它们的传播途

52、径，控制威胁的蔓延。对不符合安全策略的电脑实施自动补救， 帮助其安装 Windows 补丁，升级访病毒软件病毒码，限制有安全隐患的应用程 序的运行，或提示用户运行其他必要的软件。5. 缩短安全事故反应时间、减轻工作负荷 传统的维护方式总是依赖“发现分析解决”的流程，在问题出现和问题解决之间需要大量的时间和人力物力，天珣的策略定义使问题的解决智能化、 自动化，缩短反应时间，减轻管理员的工作负荷。5.4 系统安全可靠1. 分布式多服务器架构，相互备份，无单点故障 天珣支持多策略服务器架构。每个服务器服务一个或多个园区。而这些服 务器可以相互备份，在一个统一的控制台接受集中管理。如果一台服务器宕机，

53、 其服务的用户会自动被其他的服务器接管。分布式多服务器架构使天珣具有优秀 的容错性、可伸缩性，支持的客户端数量从数百个到数万以至更多，而部署极为 平滑，性能不受影响。图 9 分布式多服务器架构示意图2. 可靠性在单一企业超数万用户规模环境中验证 天珣可靠性已经在严格的生产环境下经过了多年的成熟应用和验证，包括 航空公司机场值机柜台、航空公司飞行控制系统、电信公司网维中心、电力公司 电力调度系统上的应用。5.5 系统优良的性能、伸缩性和可扩展性1. 占用系统资源少，适应从低端到高端各种终端硬件环境 天珣具备良好的安装适应特性和优良的性能。客户端可以适应从低端到高 端硬件环境，客户端占用资源很少，

54、正常运行时，占用的内部不足7M, CPU占有 率1%，对网络几乎没有影响，支持 Windows 全系列操作系统平台。2. 可管理的规模无极限天珣具备业界领先的 CSC 体系架构、多服务器管理架构和优良的系统性能， 可管理的终端数量无极限。3. 适应复杂的网络环境，不依赖特定的网络设备 天珣具备提供业界全完善的准入控制和终端合规控制平台，可以适应各种复杂的网络环境，准入控制不依赖特定的网络设备，多种准入控制方式可灵活组 合，在全面提升用户内规管理水平的同时，同时最大限度保护用户已有的网络建 设投资。4. 可扩充的安全策略定义 天珣特有的模块化、可扩充策略定义结构，除了支持运行软件策略，操作系统补

55、丁策略，防病毒软件策略，防火墙策略，弱密码策略，带宽策略，随着用 户需求的不断变化，可持续不断地扩充新的安全策略，及时应对未来的可能任何 新的内网安全威胁。6 成功案例6.1用户：某银行（代称：G银行）6.1.1需求G银行一直非常重视内网合规管理，已经指定严格和完善的内网安全管理规 章制度，但仍然多次发生病毒爆发。曾经由于内网爆发ARP欺骗病毒，造成网络 堵塞严重，严重影响到银行业务的正常运行。因此G银行迫切要求加强内网终端安全管理，并规划在内网终端安全管理 的基础上，在银行内网实现用户实名管理，建立从统一用户管理、终端网络行为 受控和全程安全审计能力，从而建立其真正具备执行力的内网合规控制和

56、管理系 统，但因苦于没有适合的手段来实现和执行，一直没有可执行的解决方案。后来，G银行在了解到天珣强大的内网终端合规管理能力后，发现真是他们 寻找的解决方案，最终G银行选择天珣作为其内网实名制管理核心的支撑平台， 在解决内网终端安全控制和合规管理发挥巨大的作用。G银行在终端合规管理方面，最关注的功能主要集中以下4个方面：1. 终端内网合规准入控制，实现只有认证和安全的终端才能接入内 网；2. 终端接入内网后，其身份标示不可更改，并且访问全程受控；3. 每个终端用户只能获得与自己角色相符的内网和Internet的访问控制权限；4. 终端自身安全加固和漏洞动态修复。6.1.2部署G银行使用4台天珣

57、策略服务器和Radius服务器，2套基于ISA代理服务 器的策略网和仅2万台终端，构成G银行用户实名制管理平台核心。系统部署如 下图所示：图10. G银行天珣系统部署示意图6.1.3收效G 银行部署了天珣后，在以下几个方面取得了明显的成效：1、 通过实现终端内网准入控制，不仅保证只有合法和安全的终端接入 内网，同时借助天珣确保每个接入的终端用户身份不可更改和网络 行为受控；2、 实现终端分级安全管理，保证每个终端用户只能获得与自己角色相 符的内网和 Internet 的访问控制权限；3、通过天珣提供终端安全加固和安全控制功能，全面提高内网终端安 全健康状况和威胁抵御能力，因病毒导致的网络阻塞再也没有发生 过；4、依托天珣内网风险管理与审计系统，实现用户网络实名制管理，使 G 银行获得了业界最强的内网合规管理执行力。6.1.4客户评价天珣产品首次试用时，由 G 银行科技处领导亲自操作使用，测试了过程中就 对天珣所提供强大合规管理执行力所折服，实际的效果也非常明显，很快即表示 G 银行需要的就是此类产品。该项目07 年 3 月份实施，实施和管理都简洁方便 上线后一直稳定运行，已经在 G 银行中发挥巨大的作用，客户也很满意。