【正文】 軟件產(chǎn)品，在Venus的“五維終端合規(guī)管理模型”框架下，并從用戶現(xiàn)實需求出發(fā)，產(chǎn)品也劃分為五個功能模塊，分別為：“終端安全控制”，“準(zhǔn)入控制”，“終端桌面管理”，“移動存儲管理”和“終端審計”，覆蓋了終端合規(guī)五維領(lǐng)域。其中：“終端安全控制”是在主動防御的目標(biāo)下，實現(xiàn)了與合規(guī)管理密切相關(guān)的終端安全控制，即終端內(nèi)網(wǎng)訪問控制、流量控制、網(wǎng)絡(luò)行為模式控制、ARP欺騙控制、非法外聯(lián)控制等等終端安全控制手段，保證終端雙向訪問安全，行為受控。同時天珣終端安全控制還能夠有效監(jiān)控和管理第三方防病毒軟件等惡意代碼查殺工具軟件，協(xié)同構(gòu)建終端主動防御能力?！耙苿哟鎯芾怼笔亲鳛榻K端防泄密控制中，針對終端通過移動存儲進(jìn)行數(shù)據(jù)交換和共享安全性的要求，天珣單獨將“移動存儲管理”作為一個模塊，通過實現(xiàn)終端的移動存儲的認(rèn)證、數(shù)據(jù)加密和共享受控管理，并結(jié)合終端安全控制模塊和桌面管理模塊所提供的非法外聯(lián)控制手段，徹底解決了用戶對防泄密控制中通過移動存儲進(jìn)行數(shù)據(jù)安全交換和受控共享的迫切要求。下表是天珣功能模塊及對應(yīng)的功能列表：表1 天珣產(chǎn)品功能列表序號模塊名稱功能類表1終端安全控制終端安全狀態(tài)自動檢測與強(qiáng)制修復(fù)終端訪問控制分布式終端帶寬管理終端基于網(wǎng)絡(luò)行為模式的威脅主動防御終端加固IP管理終端多網(wǎng)卡控制2準(zhǔn)入控制基于EOU的網(wǎng)絡(luò)準(zhǔn)入控制應(yīng)用準(zhǔn)入控制終端準(zhǔn)入控制3桌面管理資產(chǎn)管理HOD遠(yuǎn)程桌面外設(shè)管理補(bǔ)丁管理軟件分發(fā)4移動存儲管理移動存儲設(shè)備認(rèn)證專用目錄加密與共享授權(quán)全盤加密與共享授權(quán)移動存儲管理審計5終端審計文件操作審計與控制打印審計與控制網(wǎng)站訪問審計與控制異常路由審計終端Windows登錄審計 終端安全控制天珣就是這樣一款集中管理的內(nèi)網(wǎng)終端合規(guī)管理系統(tǒng)，其客戶端內(nèi)置強(qiáng)大的終端安全控制引擎，通過預(yù)設(shè)策略，實現(xiàn)對終端的威脅主動防御和終端網(wǎng)絡(luò)行為控制，保證內(nèi)網(wǎng)安全可靠。 終端安全狀態(tài)自動檢測與強(qiáng)制修復(fù)天珣監(jiān)控終端的系統(tǒng)補(bǔ)丁、防病毒軟件、運行軟件、弱密碼、可疑的注冊表等。如果桌面電腦沒有安裝規(guī)定的補(bǔ)丁，防病毒軟件的運行狀態(tài)和升級狀態(tài)不符合要求，沒有運行指定的軟件、運行了禁止的軟件、或運行的軟件超出了規(guī)定的范圍，或有其他的安全漏洞，該終端的網(wǎng)絡(luò)訪問將被禁止。此時天珣啟動自動修復(fù)機(jī)制，或提示用戶手工進(jìn)行修復(fù)。待修復(fù)完成，終端將自動得到重新訪問網(wǎng)絡(luò)的授權(quán)。 終端訪問控制天珣內(nèi)置強(qiáng)大的進(jìn)程級訪問控制內(nèi)核，可以實現(xiàn)針對終端基于進(jìn)程、端口或協(xié)議的雙向訪問的最細(xì)粒度的訪問控制。既可以實現(xiàn)特定終端某一個指定進(jìn)程（例如IE）能夠訪問遠(yuǎn)程的某個IP、網(wǎng)段或網(wǎng)站；也可以實現(xiàn)兩個子網(wǎng)內(nèi)終端之間的細(xì)粒度的訪問控制，在不需要對原有的網(wǎng)絡(luò)做任何調(diào)整的前提下，實現(xiàn)最細(xì)粒度的內(nèi)網(wǎng)安全域管理。訪問控制策略由管理員集中定義，下發(fā)至終端后，分布式執(zhí)行，簡潔、高效。天珣通過對終端的網(wǎng)絡(luò)行為進(jìn)行集中管理，有效控制非授權(quán)訪問。在連出訪問時，只有滿足管理員制定的安全狀態(tài)策略才允許連出，只能訪問許可的地址，只能訪問許可的服務(wù)，只能由指定的程序訪問。在連入時，只有滿足管理員制定的安全策略才允許接受連入，只接受指定地址的訪問請求，只讓指定的服務(wù)接受指定地址的訪問請求，只讓指定的程序提供指定的服務(wù)。 終端異常流量抑制傳統(tǒng)的帶寬管理工具多是網(wǎng)關(guān)型的設(shè)備，不能對每一個具體的終端進(jìn)行精細(xì)的管理，一個終端就可能占用全部的有效帶寬。天珣的分布式帶寬管理可以精細(xì)管理每個終端上的每個應(yīng)用程序，每個端口的帶寬。通過合理配置，能有效管理終端的異常流量，即使有蠕蟲病毒爆發(fā)，也不會導(dǎo)致網(wǎng)絡(luò)癱瘓。 終端基于網(wǎng)絡(luò)行為模式的威脅主動防御天珣內(nèi)置基于終端網(wǎng)絡(luò)行為模式的威脅主動防御機(jī)制，通過集中控制每個客戶端的網(wǎng)絡(luò)行為，限定網(wǎng)絡(luò)行為的主體、目標(biāo)及服務(wù)，并結(jié)合終端的安全狀態(tài)控制網(wǎng)絡(luò)訪問，可以有效切斷“獨立進(jìn)程型”蠕蟲病毒的傳播途徑及木馬及黑客的攻擊路線，彌補(bǔ)防病毒軟件“防治滯后”的弱點。通過監(jiān)控TCP同時連接數(shù)，減緩蠕蟲病毒對網(wǎng)絡(luò)損害。通過監(jiān)控UDP的發(fā)包行為，限制異常進(jìn)程的網(wǎng)絡(luò)訪問。通過檢查IP數(shù)據(jù)包包頭，確保數(shù)據(jù)包欺騙不能發(fā)生。通過監(jiān)控網(wǎng)絡(luò)行為的發(fā)起進(jìn)程，防止木馬以隱藏進(jìn)程方式進(jìn)行網(wǎng)絡(luò)訪問。通過監(jiān)控ARP請求或應(yīng)答包，自動綁定網(wǎng)關(guān)MAC，拒絕延遲的ARP應(yīng)答包等方式，防止內(nèi)網(wǎng)ARP欺騙侵害。 終端安全加固天珣通過阻止網(wǎng)上鄰居的匿名訪問，禁止Guest帳號，檢查指定的文件、程序、注冊表項來加固終端的安全，有效預(yù)防終端被蠕蟲病毒和木馬攻擊。 IP管理天珣的IP地址管理支持IPMAC綁定，MACIP綁定，UserIP綁定。IPMAC綁定功能保護(hù)特定的IP地址只能由特定的MAC地址的電腦使用，這保護(hù)了服務(wù)器、網(wǎng)絡(luò)設(shè)備或重要用戶的IP地址不被其他人隨便使用。MACIP綁定功能使指定的電腦只能使用指定的IP地址，或強(qiáng)制使用DHCP。UserIP綁定確保每個用戶使用專屬于自己的IP地址，配合動態(tài)VLAN技術(shù)，UserIP綁定使用戶在企業(yè)內(nèi)漫游時也能始終使用自己的IP地址。支持批量設(shè)置綁定，減輕管理員的工作負(fù)荷。 多網(wǎng)卡非法外聯(lián)控制可以設(shè)定只有與天珣系統(tǒng)通訊的網(wǎng)卡才能發(fā)送和接收數(shù)據(jù)，禁止其他任何網(wǎng)卡發(fā)送和接收數(shù)據(jù)，包括多網(wǎng)卡、撥號連接，VPN連接等。避免通過注冊表設(shè)置禁用多網(wǎng)卡、撥號連接而易被破解。實現(xiàn)對通過網(wǎng)絡(luò)的非法外聯(lián)管理， 業(yè)界領(lǐng)先的多層準(zhǔn)入控制天珣終端準(zhǔn)入控制，確保只有通過身份驗證和安全檢查的終端才能接入內(nèi)網(wǎng)并進(jìn)行受控訪問，對非法或存在安全隱患的終端進(jìn)行隔離和修復(fù)，為內(nèi)網(wǎng)構(gòu)建了一道“內(nèi)網(wǎng)安檢系統(tǒng)”，徹底顛覆了傳統(tǒng)內(nèi)網(wǎng)安全管理被動管理的局面，并為終端安全合規(guī)提供了強(qiáng)制性的保障能力。天珣采用業(yè)界最完善的多層準(zhǔn)入控制機(jī)制，從終端到網(wǎng)絡(luò)層，再到企業(yè)應(yīng)用服務(wù)器，提供了客戶端準(zhǔn)入、網(wǎng)絡(luò)準(zhǔn)入和應(yīng)用準(zhǔn)入控制手段，為企業(yè)提供最靈活、最精確和最可靠的準(zhǔn)入控制手段，確保每一個客戶端都符合策略規(guī)則，也確保企業(yè)IT網(wǎng)絡(luò)的每一個角落都被天珣管理及保護(hù)。下圖是天珣多層準(zhǔn)入控制邏輯圖：圖2 多層次準(zhǔn)入控制圖天珣多層準(zhǔn)入控制，適應(yīng)各種各樣的網(wǎng)絡(luò)環(huán)境，無論現(xiàn)實的網(wǎng)絡(luò)環(huán)境有多復(fù)雜，總可以找到適應(yīng)該網(wǎng)絡(luò)環(huán)境的一種或多種準(zhǔn)入控制方式，構(gòu)建“內(nèi)網(wǎng)安檢系統(tǒng)”。表2是在不同的網(wǎng)絡(luò)環(huán)境中，可以選擇的準(zhǔn)入控制類型：表2不同網(wǎng)絡(luò)環(huán)境可以選擇的準(zhǔn)入控制類型可選準(zhǔn)入類型不同網(wǎng)絡(luò)環(huán)境網(wǎng)絡(luò)準(zhǔn)入應(yīng)用準(zhǔn)入客戶端準(zhǔn)入基于EOU匯聚層支持EOU協(xié)議，√√√√匯聚層支持EOU協(xié)議，√√√匯聚層不支持EOU協(xié)議，√√√匯聚層不支持EOU協(xié)議，√√天珣可以作為準(zhǔn)入控制認(rèn)證的所有條件，在實際部署中，如果所選擇的認(rèn)證條件中一個或多個不滿足時，天珣均會認(rèn)為安全狀態(tài)不符合要求，通過準(zhǔn)入控制手段，提示狀態(tài)不符，并觸發(fā)友好提示、重新認(rèn)證或阻斷其網(wǎng)絡(luò)行為，直到終端安全狀態(tài)完全滿足。表3多因素準(zhǔn)入控制認(rèn)證 準(zhǔn)入控制類型認(rèn)證條件不滿足網(wǎng)絡(luò)準(zhǔn)入應(yīng)用準(zhǔn)入客戶端準(zhǔn)入EOU天珣客戶端安裝運行認(rèn)證拒絕接入拒絕接入，禁止訪問，提示安裝禁止訪問，提示安裝禁止訪問安全狀態(tài)認(rèn)證（補(bǔ)丁狀態(tài)、進(jìn)程狀態(tài)、防病毒狀態(tài)…）禁止訪問，提示修復(fù)禁止訪問，提示修復(fù)禁止訪問，提示修復(fù)禁止訪問，提示修復(fù)禁止訪問，提示修復(fù)用戶認(rèn)證拒絕接入拒絕接入禁止訪問禁止訪問不生效可信MAC認(rèn)證拒絕接入拒絕接入禁止訪問禁止訪問禁止訪問組合認(rèn)證User+IP+認(rèn)證有效期拒絕接入改回設(shè)定IP地址禁止訪問改回設(shè)定IP地址改回設(shè)定IP地址User+MAC+認(rèn)證有效期拒絕接入拒絕接入禁止訪問禁止訪問禁止訪問MAC+IP+認(rèn)證有效期拒絕接入改回設(shè)定IP地址禁止訪問改回設(shè)定IP地址改回設(shè)定IP地址User+IP+MAC+認(rèn)證有效期拒絕接入拒絕接入禁止訪問禁止訪問禁止訪問可匿名用戶認(rèn)證：當(dāng)啟用可匿名的用戶認(rèn)證，可以允許安裝了客戶端的終端匿名登錄，登錄后將自動獲取訪客策略，使其對內(nèi)網(wǎng)訪問完全受控。利用該認(rèn)證方式，可實現(xiàn)對外來電腦的有效管理。 ，與支持該協(xié)議的網(wǎng)絡(luò)接入設(shè)備共同完成網(wǎng)絡(luò)準(zhǔn)入控制。只有受天珣管理并且符合企業(yè)安全策略的電腦才允許接入企業(yè)網(wǎng)絡(luò)，否則被隔離在企業(yè)網(wǎng)絡(luò)之外，或被自動劃分到