【正文】 天珣內(nèi)網(wǎng)安全風險管理和審計系統(tǒng)產(chǎn)品白皮書（）北京啟明星辰信息技術股份有限公司Beijing Venus Information Tech. Inc.2008年7月32 / 36版權聲明北京啟明星辰信息技術有限公司版權所有，并保留對本文檔及本聲明的最終解釋權和修改權。本文檔中出現(xiàn)的任何文字敘述、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明外,其著作權或其他相關權利均屬于北京啟明星辰信息技術有限公司。未經(jīng)北京啟明星辰信息技術有限公司書面同意，任何人不得以任何方式或形式對本手冊內(nèi)的任何部分進行復制、摘錄、備份、修改、傳播、翻譯成其它語言、將其全部或部分用于商業(yè)用途?！疤飓憽睘閱⒚餍浅叫畔⒓夹g有限公司的注冊商標，不得侵犯。免責條款本文檔依據(jù)現(xiàn)有信息制作，其內(nèi)容如有更改，恕不另行通知。北京啟明星辰信息技術有限公司在編寫該文檔的時候已盡最大努力保證其內(nèi)容準確可靠，但北京啟明星辰信息技術有限公司不對本文檔中的遺漏、不準確、或錯誤導致的損失和損害承擔責任信息反饋如有任何寶貴意見，請反饋：信箱：北京市海淀區(qū)東北旺西路8號中關村軟件園21號樓啟明星辰大廈 郵編：100193電話：01082779088傳真：01082779000您可以訪問啟明星辰網(wǎng)站：。目錄版權聲明 i免責條款 i信息反饋 i1 內(nèi)網(wǎng)安全挑戰(zhàn) 12 終端合規(guī)管理，內(nèi)網(wǎng)安全解決之道 3 內(nèi)網(wǎng)安全，合規(guī)先行 3 Venus終端五維合規(guī)管理模型 43 產(chǎn)品主要功能 6 終端安全控制 7 終端安全狀態(tài)自動檢測與強制修復 7 終端訪問控制 7 終端異常流量抑制 8 終端基于網(wǎng)絡行為模式的威脅主動防御 8 終端安全加固 8 IP管理 9 多網(wǎng)卡非法外聯(lián)控制 9 業(yè)界領先的多層準入控制 9 11 基于EOU的網(wǎng)絡準入控制 12 應用準入控制 13 客戶端準入控制 14 網(wǎng)絡準入增值應用 16 桌面管理功能 16 資產(chǎn)管理 17 Help On Demand遠程桌面 17 補丁管理 18 進程管理 18 PC外設管理 19 軟件分發(fā) 19 移動存儲管理 20 移動存儲設備認證 20 專用目錄數(shù)據(jù)加密與共享授權 20 專用目錄數(shù)據(jù)加密與共享授權 20 移動存儲設備管理審計 21 終端審計 21 文件操作審計與控制 21 打印審計與控制 21 網(wǎng)站訪問審計與控制 22 異常路由審計 22 終端Windows登錄審計 224 體系架構與部署方式 23 CSC系統(tǒng)體系架構 23 部署方式 245 系統(tǒng)特性 26 領先的CSC系統(tǒng)架構 26 易于部署和管理 26 合規(guī)管理確定有效 27 系統(tǒng)安全可靠 28 系統(tǒng)優(yōu)良的性能、伸縮性和可擴展性 286 成功案例 30 用戶：某銀行（代稱：G銀行） 30 需求 30 部署 30 收效 31 客戶評價 311 內(nèi)網(wǎng)安全挑戰(zhàn)根據(jù)CSI/FBI等權威機構公布的數(shù)據(jù)，在所有已經(jīng)發(fā)生的安全事件中，超過80%的安全事件都發(fā)生在企業(yè)內(nèi)網(wǎng)中，內(nèi)網(wǎng)安全面臨前所未有的挑戰(zhàn)。內(nèi)網(wǎng)安全面臨的挑戰(zhàn)，集中表現(xiàn)在以下兩個方面：內(nèi)網(wǎng)安全控制挑戰(zhàn)1. 終端未經(jīng)安全認證和授權即可隨意接入內(nèi)網(wǎng)；2. 內(nèi)部終端存在的安全漏洞不能及時修復；3. 終端接入后對內(nèi)網(wǎng)的非授權訪問難以管理；4. 被動防御蠕蟲病毒及木馬的破壞和傳播；5. 蠕蟲攻擊導致網(wǎng)絡或系統(tǒng)癱瘓，影響核心業(yè)務的運作；6. 用戶隨意改動IP地址，對網(wǎng)絡審計帶來困難；7. 用戶隨意安裝和運行軟件，隨意占用有限帶寬資源。終端數(shù)據(jù)安全挑戰(zhàn)1． 終端使用未經(jīng)認證的U盤等移動存儲設備進行數(shù)據(jù)保存；2． 通過U盤等進行數(shù)據(jù)交換，不受控制；3． 未經(jīng)認證的U盤成為病毒傳播的載體；4． 存有關鍵數(shù)據(jù)的U盤丟失或失竊造成嚴重的泄密事故；5． 終端用戶可以輕易通過撥號、私設代理等非法外聯(lián)手段，傳播內(nèi)部重要數(shù)據(jù)或資料。終端行為審計內(nèi)部關鍵數(shù)據(jù)失竊后，難以追查；通過網(wǎng)絡共享交換數(shù)據(jù)不受控制；濫用打印機打印小說或保密資料。內(nèi)網(wǎng)終端IT支持挑戰(zhàn)1. 無法精確統(tǒng)計IT資產(chǎn)，確定每臺電腦的硬件配置，確定軟件的安裝情況；2. 無法跟蹤資產(chǎn)的歷史使用紀錄，也不能及時掌握資產(chǎn)變動情況；3. 終端電腦的使用故障，需要IT維護人員趕到現(xiàn)場處理；4. 無法及時掌握終端進程運行情況，木馬程序可能就混在其中；5. 需要合適的工具幫助管理員快速有效分發(fā)軟件和補??；6. 需要對PC外設如USB、Modem、無線設備等進行監(jiān)控和管理；2 終端合規(guī)管理，內(nèi)網(wǎng)安全解決之道 內(nèi)網(wǎng)安全，合規(guī)先行 “道高一尺，魔高一丈”，面對內(nèi)網(wǎng)安全的巨大挑戰(zhàn)，解決之道就是要找出內(nèi)網(wǎng)安全問題的根源和規(guī)律，從源頭解決內(nèi)網(wǎng)安全問題。內(nèi)網(wǎng)安全問題的根源，存在于內(nèi)網(wǎng)自身，尤其內(nèi)網(wǎng)中數(shù)量巨大而分布很散的終端電腦，由于缺少有效的終端集中安全管理系統(tǒng)，即使企業(yè)已經(jīng)為內(nèi)網(wǎng)安全制定了嚴格的安全管理制度和流程，制度的執(zhí)行主要依靠終端用戶自覺完成，現(xiàn)實是大部分用戶的終端僅僅只依賴防病毒軟件和個人防火墻進行安全保護，安全管理執(zhí)行力不足，安全管理制度形同虛設。現(xiàn)實中，經(jīng)常會因個別終端疏于打安全補丁、防病毒軟件未及時升級、防火墻規(guī)則過于寬松、可以隨意下載和安裝不明軟件、濫用網(wǎng)絡資源等等，這些終端自身存在大量的安全漏洞和管理空白地帶，使得威脅有了可乘之機，一有機會，便被作為內(nèi)網(wǎng)攻擊的入口或跳板，不僅本身會受到攻擊和破壞，更為嚴重的攻擊，會造成內(nèi)網(wǎng)阻塞和癱瘓和內(nèi)部關鍵數(shù)據(jù)或文件失竊，為企業(yè)帶來巨大的損失。事實上，如果能將制定內(nèi)網(wǎng)安全規(guī)范在每一臺終端有效執(zhí)行下去，通過有效的安全控制手段，及時修復終端存在的漏洞、并實現(xiàn)終端用戶的網(wǎng)絡行為可控制、可管理和可審計，使內(nèi)網(wǎng)各項安全指標達到企業(yè)預設的安全管理標準和效果，從而有效解決內(nèi)網(wǎng)安全問題。 Venus通過多年的網(wǎng)絡安全實踐，發(fā)現(xiàn)內(nèi)網(wǎng)安全問題，實質(zhì)上不是因為威脅高深莫測，而是在于內(nèi)網(wǎng)安全管理有章不循，如果內(nèi)網(wǎng)安全管理規(guī)章制度能夠有效執(zhí)行下去，內(nèi)網(wǎng)安全問題將得到有效的解決。終端作為內(nèi)網(wǎng)安全管理的主體，是否能夠達到內(nèi)網(wǎng)安全管理規(guī)章要求，將是內(nèi)網(wǎng)安全的關鍵，因此內(nèi)網(wǎng)合規(guī)管理的核心是終端合規(guī)管理。正是基于此，Venus圍繞“合規(guī)管理”核心用戶價值，推出了業(yè)界領先的內(nèi)網(wǎng)合規(guī)管理產(chǎn)品：“天珣內(nèi)網(wǎng)風險管理與審計系統(tǒng)”。 Venus終端五維合規(guī)管理模型終端是否安全合規(guī)，就看是否能夠很好回答以下幾個問題： 終端自身是否具備對外來的威脅和攻擊的防御能力？ 終端的合規(guī)管理策略是否能夠100%有效執(zhí)行下去？ 終端的信息是否能夠及時完全掌握？ 終端的數(shù)據(jù)是否具備足夠的保密性、數(shù)據(jù)交換是否安全受控？ 是否具備終端合規(guī)審計，促進合規(guī)管理持續(xù)改善？針對以上五個問題，Venus創(chuàng)造性提出了“終端五維合規(guī)管理模型”,將終端合規(guī)管理歸類為五部分，分別是：“主動防御”，“準入控制”，“終端防泄密”，“桌面管理”和“終端審計”。下圖為終端五維合規(guī)管理模型示意圖：圖1 Veuns終端五維合規(guī)管理模型其中：“主動防御”： 為終端提供“軟猬甲”，使終端具備威脅主動防御能力，保護終端免受攻擊和破壞，最終保障內(nèi)網(wǎng)安全和不間斷運行，并確保用戶網(wǎng)絡訪問行為合規(guī)?！皽嗜肟刂啤保? 全新構建內(nèi)網(wǎng)“安檢系統(tǒng)”，保證終端安全接入內(nèi)網(wǎng)，保證終端接入行為受控，保證合規(guī)管理策略100%執(zhí)行?！白烂婀芾怼保? 提供精確和完整的終端信息，為合規(guī)管理提供基礎數(shù)據(jù)保證。“終端防泄密”： 需要同時解決終端數(shù)據(jù)保密性問題和數(shù)據(jù)傳播途徑受控的問題。通過對終端關鍵數(shù)據(jù)進行加密和授權共享管理，提升終端數(shù)據(jù)保密性，同時結合完善的非法外聯(lián)控制和移動存儲管理技術，實現(xiàn)關鍵數(shù)據(jù)受控共享。天珣提供的五維合規(guī)管理模型，徹底顛覆了以往內(nèi)網(wǎng)安全管理被動和執(zhí)行力低下的問題，并通過實現(xiàn)從“準入控制”、“主動防御”、“數(shù)據(jù)防泄密”、“桌面信息管理”和“終端審計”的動態(tài)閉環(huán)的內(nèi)網(wǎng)合規(guī)管理體系，在應對內(nèi)網(wǎng)安全威脅的斗爭中，掌握了主動權和制高點，只有依靠有限的安全控制手段，有效應對無限的內(nèi)網(wǎng)威脅。3 產(chǎn)品主要功能天珣內(nèi)網(wǎng)風險管理與審計系統(tǒng)，作為一套終端合規(guī)管理