【正文】 軟件產品，在Venus的“五維終端合規(guī)管理模型”框架下，并從用戶現(xiàn)實需求出發(fā)，產品也劃分為五個功能模塊，分別為：“終端安全控制”，“準入控制”，“終端桌面管理”，“移動存儲管理”和“終端審計”，覆蓋了終端合規(guī)五維領域。其中：“終端安全控制”是在主動防御的目標下，實現(xiàn)了與合規(guī)管理密切相關的終端安全控制，即終端內網訪問控制、流量控制、網絡行為模式控制、ARP欺騙控制、非法外聯(lián)控制等等終端安全控制手段，保證終端雙向訪問安全，行為受控。同時天珣終端安全控制還能夠有效監(jiān)控和管理第三方防病毒軟件等惡意代碼查殺工具軟件，協(xié)同構建終端主動防御能力。“移動存儲管理”是作為終端防泄密控制中，針對終端通過移動存儲進行數(shù)據(jù)交換和共享安全性的要求，天珣單獨將“移動存儲管理”作為一個模塊，通過實現(xiàn)終端的移動存儲的認證、數(shù)據(jù)加密和共享受控管理，并結合終端安全控制模塊和桌面管理模塊所提供的非法外聯(lián)控制手段，徹底解決了用戶對防泄密控制中通過移動存儲進行數(shù)據(jù)安全交換和受控共享的迫切要求。下表是天珣功能模塊及對應的功能列表：表1 天珣產品功能列表序號模塊名稱功能類表1終端安全控制終端安全狀態(tài)自動檢測與強制修復終端訪問控制分布式終端帶寬管理終端基于網絡行為模式的威脅主動防御終端加固IP管理終端多網卡控制2準入控制基于EOU的網絡準入控制應用準入控制終端準入控制3桌面管理資產管理HOD遠程桌面外設管理補丁管理軟件分發(fā)4移動存儲管理移動存儲設備認證專用目錄加密與共享授權全盤加密與共享授權移動存儲管理審計5終端審計文件操作審計與控制打印審計與控制網站訪問審計與控制異常路由審計終端Windows登錄審計 終端安全控制天珣就是這樣一款集中管理的內網終端合規(guī)管理系統(tǒng)，其客戶端內置強大的終端安全控制引擎，通過預設策略，實現(xiàn)對終端的威脅主動防御和終端網絡行為控制，保證內網安全可靠。 終端安全狀態(tài)自動檢測與強制修復天珣監(jiān)控終端的系統(tǒng)補丁、防病毒軟件、運行軟件、弱密碼、可疑的注冊表等。如果桌面電腦沒有安裝規(guī)定的補丁，防病毒軟件的運行狀態(tài)和升級狀態(tài)不符合要求，沒有運行指定的軟件、運行了禁止的軟件、或運行的軟件超出了規(guī)定的范圍，或有其他的安全漏洞，該終端的網絡訪問將被禁止。此時天珣啟動自動修復機制，或提示用戶手工進行修復。待修復完成，終端將自動得到重新訪問網絡的授權。 終端訪問控制天珣內置強大的進程級訪問控制內核，可以實現(xiàn)針對終端基于進程、端口或協(xié)議的雙向訪問的最細粒度的訪問控制。既可以實現(xiàn)特定終端某一個指定進程（例如IE）能夠訪問遠程的某個IP、網段或網站；也可以實現(xiàn)兩個子網內終端之間的細粒度的訪問控制，在不需要對原有的網絡做任何調整的前提下，實現(xiàn)最細粒度的內網安全域管理。訪問控制策略由管理員集中定義，下發(fā)至終端后，分布式執(zhí)行，簡潔、高效。天珣通過對終端的網絡行為進行集中管理，有效控制非授權訪問。在連出訪問時，只有滿足管理員制定的安全狀態(tài)策略才允許連出，只能訪問許可的地址，只能訪問許可的服務，只能由指定的程序訪問。在連入時，只有滿足管理員制定的安全策略才允許接受連入，只接受指定地址的訪問請求，只讓指定的服務接受指定地址的訪問請求，只讓指定的程序提供指定的服務。 終端異常流量抑制傳統(tǒng)的帶寬管理工具多是網關型的設備，不能對每一個具體的終端進行精細的管理，一個終端就可能占用全部的有效帶寬。天珣的分布式帶寬管理可以精細管理每個終端上的每個應用程序，每個端口的帶寬。通過合理配置，能有效管理終端的異常流量，即使有蠕蟲病毒爆發(fā)，也不會導致網絡癱瘓。 終端基于網絡行為模式的威脅主動防御天珣內置基于終端網絡行為模式的威脅主動防御機制，通過集中控制每個客戶端的網絡行為，限定網絡行為的主體、目標及服務，并結合終端的安全狀態(tài)控制網絡訪問，可以有效切斷“獨立進程型”蠕蟲病毒的傳播途徑及木馬及黑客的攻擊路線，彌補防病毒軟件“防治滯后”的弱點。通過監(jiān)控TCP同時連接數(shù)，減緩蠕蟲病毒對網絡損害。通過監(jiān)控UDP的發(fā)包行為，限制異常進程的網絡訪問。通過檢查IP數(shù)據(jù)包包頭，確保數(shù)據(jù)包欺騙不能發(fā)生。通過監(jiān)控網絡行為的發(fā)起進程，防止木馬以隱藏進程方式進行網絡訪問。通過監(jiān)控ARP請求或應答包，自動綁定網關MAC，拒絕延遲的ARP應答包等方式，防止內網ARP欺騙侵害。 終端安全加固天珣通過阻止網上鄰居的匿名訪問，禁止Guest帳號，檢查指定的文件、程序、注冊表項來加固終端的安全，有效預防終端被蠕蟲病毒和木馬攻擊。 IP管理天珣的IP地址管理支持IPMAC綁定，MACIP綁定，UserIP綁定。IPMAC綁定功能保護特定的IP地址只能由特定的MAC地址的電腦使用，這保護了服務器、網絡設備或重要用戶的IP地址不被其他人隨便使用。MACIP綁定功能使指定的電腦只能使用指定的IP地址，或強制使用DHCP。UserIP綁定確保每個用戶使用專屬于自己的IP地址，配合動態(tài)VLAN技術，UserIP綁定使用戶在企業(yè)內漫游時也能始終使用自己的IP地址。支持批量設置綁定，減輕管理員的工作負荷。 多網卡非法外聯(lián)控制可以設定只有與天珣系統(tǒng)通訊的網卡才能發(fā)送和接收數(shù)據(jù)，禁止其他任何網卡發(fā)送和接收數(shù)據(jù)，包括多網卡、撥號連接，VPN連接等。避免通過注冊表設置禁用多網卡、撥號連接而易被破解。實現(xiàn)對通過網絡的非法外聯(lián)管理， 業(yè)界領先的多層準入控制天珣終端準入控制，確保只有通過身份驗證和安全檢查的終端才能接入內網并進行受控訪問，對非法或存在安全隱患的終端進行隔離和修復，為內網構建了一道“內網安檢系統(tǒng)”，徹底顛覆了傳統(tǒng)內網安全管理被動管理的局面，并為終端安全合規(guī)提供了強制性的保障能力。天珣采用業(yè)界最完善的多層準入控制機制，從終端到網絡層，再到企業(yè)應用服務器，提供了客戶端準入、網絡準入和應用準入控制手段，為企業(yè)提供最靈活、最精確和最可靠的準入控制手段，確保每一個客戶端都符合策略規(guī)則，也確保企業(yè)IT網絡的每一個角落都被天珣管理及保護。下圖是天珣多層準入控制邏輯圖：圖2 多層次準入控制圖天珣多層準入控制，適應各種各樣的網絡環(huán)境，無論現(xiàn)實的網絡環(huán)境有多復雜，總可以找到適應該網絡環(huán)境的一種或多種準入控制方式，構建“內網安檢系統(tǒng)”。表2是在不同的網絡環(huán)境中，可以選擇的準入控制類型：表2不同網絡環(huán)境可以選擇的準入控制類型可選準入類型不同網絡環(huán)境網絡準入應用準入客戶端準入基于EOU匯聚層支持EOU協(xié)議，√√√√匯聚層支持EOU協(xié)議，√√√匯聚層不支持EOU協(xié)議，√√√匯聚層不支持EOU協(xié)議，√√天珣可以作為準入控制認證的所有條件，在實際部署中，如果所選擇的認證條件中一個或多個不滿足時，天珣均會認為安全狀態(tài)不符合要求，通過準入控制手段，提示狀態(tài)不符，并觸發(fā)友好提示、重新認證或阻斷其網絡行為，直到終端安全狀態(tài)完全滿足。表3多因素準入控制認證 準入控制類型認證條件不滿足網絡準入應用準入客戶端準入EOU天珣客戶端安裝運行認證拒絕接入拒絕接入，禁止訪問，提示安裝禁止訪問，提示安裝禁止訪問安全狀態(tài)認證（補丁狀態(tài)、進程狀態(tài)、防病毒狀態(tài)…）禁止訪問，提示修復禁止訪問，提示修復禁止訪問，提示修復禁止訪問，提示修復禁止訪問，提示修復用戶認證拒絕接入拒絕接入禁止訪問禁止訪問不生效可信MAC認證拒絕接入拒絕接入禁止訪問禁止訪問禁止訪問組合認證User+IP+認證有效期拒絕接入改回設定IP地址禁止訪問改回設定IP地址改回設定IP地址User+MAC+認證有效期拒絕接入拒絕接入禁止訪問禁止訪問禁止訪問MAC+IP+認證有效期拒絕接入改回設定IP地址禁止訪問改回設定IP地址改回設定IP地址User+IP+MAC+認證有效期拒絕接入拒絕接入禁止訪問禁止訪問禁止訪問可匿名用戶認證：當啟用可匿名的用戶認證，可以允許安裝了客戶端的終端匿名登錄，登錄后將自動獲取訪客策略，使其對內網訪問完全受控。利用該認證方式，可實現(xiàn)對外來電腦的有效管理。 ，與支持該協(xié)議的網絡接入設備共同完成網絡準入控制。只有受天珣管理并且符合企業(yè)安全策略的電腦才允許接入企業(yè)網絡，否則被隔離在企業(yè)網絡之外，或被自動劃分到