【正文】 天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理和審計(jì)系統(tǒng)產(chǎn)品白皮書(shū)（）北京啟明星辰信息技術(shù)股份有限公司Beijing Venus Information Tech. Inc.2008年7月32 / 36版權(quán)聲明北京啟明星辰信息技術(shù)有限公司版權(quán)所有，并保留對(duì)本文檔及本聲明的最終解釋權(quán)和修改權(quán)。本文檔中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、照片、方法、過(guò)程等內(nèi)容，除另有特別注明外,其著作權(quán)或其他相關(guān)權(quán)利均屬于北京啟明星辰信息技術(shù)有限公司。未經(jīng)北京啟明星辰信息技術(shù)有限公司書(shū)面同意，任何人不得以任何方式或形式對(duì)本手冊(cè)內(nèi)的任何部分進(jìn)行復(fù)制、摘錄、備份、修改、傳播、翻譯成其它語(yǔ)言、將其全部或部分用于商業(yè)用途?！疤飓憽睘閱⒚餍浅叫畔⒓夹g(shù)有限公司的注冊(cè)商標(biāo)，不得侵犯。免責(zé)條款本文檔依據(jù)現(xiàn)有信息制作，其內(nèi)容如有更改，恕不另行通知。北京啟明星辰信息技術(shù)有限公司在編寫(xiě)該文檔的時(shí)候已盡最大努力保證其內(nèi)容準(zhǔn)確可靠，但北京啟明星辰信息技術(shù)有限公司不對(duì)本文檔中的遺漏、不準(zhǔn)確、或錯(cuò)誤導(dǎo)致的損失和損害承擔(dān)責(zé)任信息反饋如有任何寶貴意見(jiàn)，請(qǐng)反饋：信箱：北京市海淀區(qū)東北旺西路8號(hào)中關(guān)村軟件園21號(hào)樓啟明星辰大廈 郵編：100193電話：01082779088傳真：01082779000您可以訪問(wèn)啟明星辰網(wǎng)站：。目錄版權(quán)聲明 i免責(zé)條款 i信息反饋 i1 內(nèi)網(wǎng)安全挑戰(zhàn) 12 終端合規(guī)管理，內(nèi)網(wǎng)安全解決之道 3 內(nèi)網(wǎng)安全，合規(guī)先行 3 Venus終端五維合規(guī)管理模型 43 產(chǎn)品主要功能 6 終端安全控制 7 終端安全狀態(tài)自動(dòng)檢測(cè)與強(qiáng)制修復(fù) 7 終端訪問(wèn)控制 7 終端異常流量抑制 8 終端基于網(wǎng)絡(luò)行為模式的威脅主動(dòng)防御 8 終端安全加固 8 IP管理 9 多網(wǎng)卡非法外聯(lián)控制 9 業(yè)界領(lǐng)先的多層準(zhǔn)入控制 9 11 基于EOU的網(wǎng)絡(luò)準(zhǔn)入控制 12 應(yīng)用準(zhǔn)入控制 13 客戶端準(zhǔn)入控制 14 網(wǎng)絡(luò)準(zhǔn)入增值應(yīng)用 16 桌面管理功能 16 資產(chǎn)管理 17 Help On Demand遠(yuǎn)程桌面 17 補(bǔ)丁管理 18 進(jìn)程管理 18 PC外設(shè)管理 19 軟件分發(fā) 19 移動(dòng)存儲(chǔ)管理 20 移動(dòng)存儲(chǔ)設(shè)備認(rèn)證 20 專(zhuān)用目錄數(shù)據(jù)加密與共享授權(quán) 20 專(zhuān)用目錄數(shù)據(jù)加密與共享授權(quán) 20 移動(dòng)存儲(chǔ)設(shè)備管理審計(jì) 21 終端審計(jì) 21 文件操作審計(jì)與控制 21 打印審計(jì)與控制 21 網(wǎng)站訪問(wèn)審計(jì)與控制 22 異常路由審計(jì) 22 終端Windows登錄審計(jì) 224 體系架構(gòu)與部署方式 23 CSC系統(tǒng)體系架構(gòu) 23 部署方式 245 系統(tǒng)特性 26 領(lǐng)先的CSC系統(tǒng)架構(gòu) 26 易于部署和管理 26 合規(guī)管理確定有效 27 系統(tǒng)安全可靠 28 系統(tǒng)優(yōu)良的性能、伸縮性和可擴(kuò)展性 286 成功案例 30 用戶：某銀行（代稱：G銀行） 30 需求 30 部署 30 收效 31 客戶評(píng)價(jià) 311 內(nèi)網(wǎng)安全挑戰(zhàn)根據(jù)CSI/FBI等權(quán)威機(jī)構(gòu)公布的數(shù)據(jù)，在所有已經(jīng)發(fā)生的安全事件中，超過(guò)80%的安全事件都發(fā)生在企業(yè)內(nèi)網(wǎng)中，內(nèi)網(wǎng)安全面臨前所未有的挑戰(zhàn)。內(nèi)網(wǎng)安全面臨的挑戰(zhàn)，集中表現(xiàn)在以下兩個(gè)方面：內(nèi)網(wǎng)安全控制挑戰(zhàn)1. 終端未經(jīng)安全認(rèn)證和授權(quán)即可隨意接入內(nèi)網(wǎng)；2. 內(nèi)部終端存在的安全漏洞不能及時(shí)修復(fù)；3. 終端接入后對(duì)內(nèi)網(wǎng)的非授權(quán)訪問(wèn)難以管理；4. 被動(dòng)防御蠕蟲(chóng)病毒及木馬的破壞和傳播；5. 蠕蟲(chóng)攻擊導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)癱瘓，影響核心業(yè)務(wù)的運(yùn)作；6. 用戶隨意改動(dòng)IP地址，對(duì)網(wǎng)絡(luò)審計(jì)帶來(lái)困難；7. 用戶隨意安裝和運(yùn)行軟件，隨意占用有限帶寬資源。終端數(shù)據(jù)安全挑戰(zhàn)1． 終端使用未經(jīng)認(rèn)證的U盤(pán)等移動(dòng)存儲(chǔ)設(shè)備進(jìn)行數(shù)據(jù)保存；2． 通過(guò)U盤(pán)等進(jìn)行數(shù)據(jù)交換，不受控制；3． 未經(jīng)認(rèn)證的U盤(pán)成為病毒傳播的載體；4． 存有關(guān)鍵數(shù)據(jù)的U盤(pán)丟失或失竊造成嚴(yán)重的泄密事故；5． 終端用戶可以輕易通過(guò)撥號(hào)、私設(shè)代理等非法外聯(lián)手段，傳播內(nèi)部重要數(shù)據(jù)或資料。終端行為審計(jì)內(nèi)部關(guān)鍵數(shù)據(jù)失竊后，難以追查；通過(guò)網(wǎng)絡(luò)共享交換數(shù)據(jù)不受控制；濫用打印機(jī)打印小說(shuō)或保密資料。內(nèi)網(wǎng)終端IT支持挑戰(zhàn)1. 無(wú)法精確統(tǒng)計(jì)IT資產(chǎn)，確定每臺(tái)電腦的硬件配置，確定軟件的安裝情況；2. 無(wú)法跟蹤資產(chǎn)的歷史使用紀(jì)錄，也不能及時(shí)掌握資產(chǎn)變動(dòng)情況；3. 終端電腦的使用故障，需要IT維護(hù)人員趕到現(xiàn)場(chǎng)處理；4. 無(wú)法及時(shí)掌握終端進(jìn)程運(yùn)行情況，木馬程序可能就混在其中；5. 需要合適的工具幫助管理員快速有效分發(fā)軟件和補(bǔ)?。?. 需要對(duì)PC外設(shè)如USB、Modem、無(wú)線設(shè)備等進(jìn)行監(jiān)控和管理；2 終端合規(guī)管理，內(nèi)網(wǎng)安全解決之道 內(nèi)網(wǎng)安全，合規(guī)先行 “道高一尺，魔高一丈”，面對(duì)內(nèi)網(wǎng)安全的巨大挑戰(zhàn)，解決之道就是要找出內(nèi)網(wǎng)安全問(wèn)題的根源和規(guī)律，從源頭解決內(nèi)網(wǎng)安全問(wèn)題。內(nèi)網(wǎng)安全問(wèn)題的根源，存在于內(nèi)網(wǎng)自身，尤其內(nèi)網(wǎng)中數(shù)量巨大而分布很散的終端電腦，由于缺少有效的終端集中安全管理系統(tǒng)，即使企業(yè)已經(jīng)為內(nèi)網(wǎng)安全制定了嚴(yán)格的安全管理制度和流程，制度的執(zhí)行主要依靠終端用戶自覺(jué)完成，現(xiàn)實(shí)是大部分用戶的終端僅僅只依賴防病毒軟件和個(gè)人防火墻進(jìn)行安全保護(hù)，安全管理執(zhí)行力不足，安全管理制度形同虛設(shè)。現(xiàn)實(shí)中，經(jīng)常會(huì)因個(gè)別終端疏于打安全補(bǔ)丁、防病毒軟件未及時(shí)升級(jí)、防火墻規(guī)則過(guò)于寬松、可以隨意下載和安裝不明軟件、濫用網(wǎng)絡(luò)資源等等，這些終端自身存在大量的安全漏洞和管理空白地帶，使得威脅有了可乘之機(jī)，一有機(jī)會(huì)，便被作為內(nèi)網(wǎng)攻擊的入口或跳板，不僅本身會(huì)受到攻擊和破壞，更為嚴(yán)重的攻擊，會(huì)造成內(nèi)網(wǎng)阻塞和癱瘓和內(nèi)部關(guān)鍵數(shù)據(jù)或文件失竊，為企業(yè)帶來(lái)巨大的損失。事實(shí)上，如果能將制定內(nèi)網(wǎng)安全規(guī)范在每一臺(tái)終端有效執(zhí)行下去，通過(guò)有效的安全控制手段，及時(shí)修復(fù)終端存在的漏洞、并實(shí)現(xiàn)終端用戶的網(wǎng)絡(luò)行為可控制、可管理和可審計(jì)，使內(nèi)網(wǎng)各項(xiàng)安全指標(biāo)達(dá)到企業(yè)預(yù)設(shè)的安全管理標(biāo)準(zhǔn)和效果，從而有效解決內(nèi)網(wǎng)安全問(wèn)題。 Venus通過(guò)多年的網(wǎng)絡(luò)安全實(shí)踐，發(fā)現(xiàn)內(nèi)網(wǎng)安全問(wèn)題，實(shí)質(zhì)上不是因?yàn)橥{高深莫測(cè)，而是在于內(nèi)網(wǎng)安全管理有章不循，如果內(nèi)網(wǎng)安全管理規(guī)章制度能夠有效執(zhí)行下去，內(nèi)網(wǎng)安全問(wèn)題將得到有效的解決。終端作為內(nèi)網(wǎng)安全管理的主體，是否能夠達(dá)到內(nèi)網(wǎng)安全管理規(guī)章要求，將是內(nèi)網(wǎng)安全的關(guān)鍵，因此內(nèi)網(wǎng)合規(guī)管理的核心是終端合規(guī)管理。正是基于此，Venus圍繞“合規(guī)管理”核心用戶價(jià)值，推出了業(yè)界領(lǐng)先的內(nèi)網(wǎng)合規(guī)管理產(chǎn)品：“天珣內(nèi)網(wǎng)風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)”。 Venus終端五維合規(guī)管理模型終端是否安全合規(guī)，就看是否能夠很好回答以下幾個(gè)問(wèn)題： 終端自身是否具備對(duì)外來(lái)的威脅和攻擊的防御能力？ 終端的合規(guī)管理策略是否能夠100%有效執(zhí)行下去？ 終端的信息是否能夠及時(shí)完全掌握？ 終端的數(shù)據(jù)是否具備足夠的保密性、數(shù)據(jù)交換是否安全受控？ 是否具備終端合規(guī)審計(jì)，促進(jìn)合規(guī)管理持續(xù)改善？針對(duì)以上五個(gè)問(wèn)題，Venus創(chuàng)造性提出了“終端五維合規(guī)管理模型”,將終端合規(guī)管理歸類(lèi)為五部分，分別是：“主動(dòng)防御”，“準(zhǔn)入控制”，“終端防泄密”，“桌面管理”和“終端審計(jì)”。下圖為終端五維合規(guī)管理模型示意圖：圖1 Veuns終端五維合規(guī)管理模型其中：“主動(dòng)防御”： 為終端提供“軟猬甲”，使終端具備威脅主動(dòng)防御能力，保護(hù)終端免受攻擊和破壞，最終保障內(nèi)網(wǎng)安全和不間斷運(yùn)行，并確保用戶網(wǎng)絡(luò)訪問(wèn)行為合規(guī)。“準(zhǔn)入控制”： 全新構(gòu)建內(nèi)網(wǎng)“安檢系統(tǒng)”，保證終端安全接入內(nèi)網(wǎng)，保證終端接入行為受控，保證合規(guī)管理策略100%執(zhí)行?！白烂婀芾怼保? 提供精確和完整的終端信息，為合規(guī)管理提供基礎(chǔ)數(shù)據(jù)保證。“終端防泄密”： 需要同時(shí)解決終端數(shù)據(jù)保密性問(wèn)題和數(shù)據(jù)傳播途徑受控的問(wèn)題。通過(guò)對(duì)終端關(guān)鍵數(shù)據(jù)進(jìn)行加密和授權(quán)共享管理，提升終端數(shù)據(jù)保密性，同時(shí)結(jié)合完善的非法外聯(lián)控制和移動(dòng)存儲(chǔ)管理技術(shù)，實(shí)現(xiàn)關(guān)鍵數(shù)據(jù)受控共享。天珣提供的五維合規(guī)管理模型，徹底顛覆了以往內(nèi)網(wǎng)安全管理被動(dòng)和執(zhí)行力低下的問(wèn)題，并通過(guò)實(shí)現(xiàn)從“準(zhǔn)入控制”、“主動(dòng)防御”、“數(shù)據(jù)防泄密”、“桌面信息管理”和“終端審計(jì)”的動(dòng)態(tài)閉環(huán)的內(nèi)網(wǎng)合規(guī)管理體系，在應(yīng)對(duì)內(nèi)網(wǎng)安全威脅的斗爭(zhēng)中，掌握了主動(dòng)權(quán)和制高點(diǎn)，只有依靠有限的安全控制手段，有效應(yīng)對(duì)無(wú)限的內(nèi)網(wǎng)威脅。3 產(chǎn)品主要功能天珣內(nèi)網(wǎng)風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)，作為一套終端合規(guī)管理