【正文】 4. 被動(dòng)防御蠕蟲(chóng)病毒及木馬的破壞和傳播；5. 蠕蟲(chóng)攻擊導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)癱瘓，影響核心業(yè)務(wù)的運(yùn)作；6. 用戶(hù)隨意改動(dòng)IP地址，對(duì)網(wǎng)絡(luò)審計(jì)帶來(lái)困難；7. 用戶(hù)隨意安裝和運(yùn)行軟件，隨意占用有限帶寬資源?！疤飓憽睘閱⒚餍浅叫畔⒓夹g(shù)有限公司的注冊(cè)商標(biāo)，不得侵犯。天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理和審計(jì)系統(tǒng)產(chǎn)品白皮書(shū)（）北京啟明星辰信息技術(shù)股份有限公司Beijing Venus Information Tech. Inc.2008年7月32 / 36版權(quán)聲明北京啟明星辰信息技術(shù)有限公司版權(quán)所有，并保留對(duì)本文檔及本聲明的最終解釋權(quán)和修改權(quán)。免責(zé)條款本文檔依據(jù)現(xiàn)有信息制作，其內(nèi)容如有更改，恕不另行通知。終端數(shù)據(jù)安全挑戰(zhàn)1． 終端使用未經(jīng)認(rèn)證的U盤(pán)等移動(dòng)存儲(chǔ)設(shè)備進(jìn)行數(shù)據(jù)保存；2． 通過(guò)U盤(pán)等進(jìn)行數(shù)據(jù)交換，不受控制；3． 未經(jīng)認(rèn)證的U盤(pán)成為病毒傳播的載體；4． 存有關(guān)鍵數(shù)據(jù)的U盤(pán)丟失或失竊造成嚴(yán)重的泄密事故；5． 終端用戶(hù)可以輕易通過(guò)撥號(hào)、私設(shè)代理等非法外聯(lián)手段，傳播內(nèi)部重要數(shù)據(jù)或資料?，F(xiàn)實(shí)中，經(jīng)常會(huì)因個(gè)別終端疏于打安全補(bǔ)丁、防病毒軟件未及時(shí)升級(jí)、防火墻規(guī)則過(guò)于寬松、可以隨意下載和安裝不明軟件、濫用網(wǎng)絡(luò)資源等等，這些終端自身存在大量的安全漏洞和管理空白地帶，使得威脅有了可乘之機(jī)，一有機(jī)會(huì)，便被作為內(nèi)網(wǎng)攻擊的入口或跳板，不僅本身會(huì)受到攻擊和破壞，更為嚴(yán)重的攻擊，會(huì)造成內(nèi)網(wǎng)阻塞和癱瘓和內(nèi)部關(guān)鍵數(shù)據(jù)或文件失竊，為企業(yè)帶來(lái)巨大的損失。正是基于此，Venus圍繞“合規(guī)管理”核心用戶(hù)價(jià)值，推出了業(yè)界領(lǐng)先的內(nèi)網(wǎng)合規(guī)管理產(chǎn)品：“天珣內(nèi)網(wǎng)風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)”?！白烂婀芾怼保? 提供精確和完整的終端信息，為合規(guī)管理提供基礎(chǔ)數(shù)據(jù)保證。3 產(chǎn)品主要功能天珣內(nèi)網(wǎng)風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)，作為一套終端合規(guī)管理軟件產(chǎn)品，在Venus的“五維終端合規(guī)管理模型”框架下，并從用戶(hù)現(xiàn)實(shí)需求出發(fā)，產(chǎn)品也劃分為五個(gè)功能模塊，分別為：“終端安全控制”，“準(zhǔn)入控制”，“終端桌面管理”，“移動(dòng)存儲(chǔ)管理”和“終端審計(jì)”，覆蓋了終端合規(guī)五維領(lǐng)域。下表是天珣功能模塊及對(duì)應(yīng)的功能列表：表1 天珣產(chǎn)品功能列表序號(hào)模塊名稱(chēng)功能類(lèi)表1終端安全控制終端安全狀態(tài)自動(dòng)檢測(cè)與強(qiáng)制修復(fù)終端訪問(wèn)控制分布式終端帶寬管理終端基于網(wǎng)絡(luò)行為模式的威脅主動(dòng)防御終端加固IP管理終端多網(wǎng)卡控制2準(zhǔn)入控制基于EOU的網(wǎng)絡(luò)準(zhǔn)入控制應(yīng)用準(zhǔn)入控制終端準(zhǔn)入控制3桌面管理資產(chǎn)管理HOD遠(yuǎn)程桌面外設(shè)管理補(bǔ)丁管理軟件分發(fā)4移動(dòng)存儲(chǔ)管理移動(dòng)存儲(chǔ)設(shè)備認(rèn)證專(zhuān)用目錄加密與共享授權(quán)全盤(pán)加密與共享授權(quán)移動(dòng)存儲(chǔ)管理審計(jì)5終端審計(jì)文件操作審計(jì)與控制打印審計(jì)與控制網(wǎng)站訪問(wèn)審計(jì)與控制異常路由審計(jì)終端Windows登錄審計(jì) 終端安全控制天珣就是這樣一款集中管理的內(nèi)網(wǎng)終端合規(guī)管理系統(tǒng)，其客戶(hù)端內(nèi)置強(qiáng)大的終端安全控制引擎，通過(guò)預(yù)設(shè)策略，實(shí)現(xiàn)對(duì)終端的威脅主動(dòng)防御和終端網(wǎng)絡(luò)行為控制，保證內(nèi)網(wǎng)安全可靠。待修復(fù)完成，終端將自動(dòng)得到重新訪問(wèn)網(wǎng)絡(luò)的授權(quán)。天珣通過(guò)對(duì)終端的網(wǎng)絡(luò)行為進(jìn)行集中管理，有效控制非授權(quán)訪問(wèn)。天珣的分布式帶寬管理可以精細(xì)管理每個(gè)終端上的每個(gè)應(yīng)用程序，每個(gè)端口的帶寬。通過(guò)監(jiān)控UDP的發(fā)包行為，限制異常進(jìn)程的網(wǎng)絡(luò)訪問(wèn)。 終端安全加固天珣通過(guò)阻止網(wǎng)上鄰居的匿名訪問(wèn)，禁止Guest帳號(hào)，檢查指定的文件、程序、注冊(cè)表項(xiàng)來(lái)加固終端的安全，有效預(yù)防終端被蠕蟲(chóng)病毒和木馬攻擊。UserIP綁定確保每個(gè)用戶(hù)使用專(zhuān)屬于自己的IP地址，配合動(dòng)態(tài)VLAN技術(shù)，UserIP綁定使用戶(hù)在企業(yè)內(nèi)漫游時(shí)也能始終使用自己的IP地址。實(shí)現(xiàn)對(duì)通過(guò)網(wǎng)絡(luò)的非法外聯(lián)管理， 業(yè)界領(lǐng)先的多層準(zhǔn)入控制天珣終端準(zhǔn)入控制，確保只有通過(guò)身份驗(yàn)證和安全檢查的終端才能接入內(nèi)網(wǎng)并進(jìn)行受控訪問(wèn)，對(duì)非法或存在安全隱患的終端進(jìn)行隔離和修復(fù)，為內(nèi)網(wǎng)構(gòu)建了一道“內(nèi)網(wǎng)安檢系統(tǒng)”，徹底顛覆了傳統(tǒng)內(nèi)網(wǎng)安全管理被動(dòng)管理的局面，并為終端安全合規(guī)提供了強(qiáng)制性的保障能力。表3多因素準(zhǔn)入控制認(rèn)證 準(zhǔn)入控制類(lèi)型認(rèn)證條件不滿(mǎn)足網(wǎng)絡(luò)準(zhǔn)入應(yīng)用準(zhǔn)入客戶(hù)端準(zhǔn)入EOU天珣客戶(hù)端安裝運(yùn)行認(rèn)證拒絕接入拒絕接入，禁止訪問(wèn)，提示安裝禁止訪問(wèn)，提示安裝禁止訪問(wèn)安全狀態(tài)認(rèn)證（補(bǔ)丁狀態(tài)、進(jìn)程狀態(tài)、防病毒狀態(tài)…）禁止訪問(wèn)，提示修復(fù)禁止訪問(wèn)，提示修復(fù)禁止訪問(wèn)，提示修復(fù)禁止訪問(wèn)，提示修復(fù)禁止訪問(wèn)，提示修復(fù)用戶(hù)認(rèn)證拒絕接入拒絕接入禁止訪問(wèn)禁止訪問(wèn)不生效可信MAC認(rèn)證拒絕接入拒絕接入禁止訪問(wèn)禁止訪問(wèn)禁止訪問(wèn)組合認(rèn)證User+IP+認(rèn)證有效期拒絕接入改回設(shè)定IP地址禁止訪問(wèn)改回設(shè)定IP地址改回設(shè)定IP地址User+MAC+認(rèn)證有效期拒絕接入拒絕接入禁止訪問(wèn)禁止訪問(wèn)禁止訪問(wèn)MAC+IP+認(rèn)證有效期拒絕接入改回設(shè)定IP地址禁止訪問(wèn)改回設(shè)定IP地址改回設(shè)定IP地址User+IP+MAC+認(rèn)證有效期拒絕接入拒絕接入禁止訪問(wèn)禁止訪問(wèn)禁止訪問(wèn)可匿名用戶(hù)認(rèn)證：當(dāng)啟用可匿名的用戶(hù)認(rèn)證，可以允許安裝了客戶(hù)端的終端匿名登錄，登錄后將自動(dòng)獲取訪客策略，使其對(duì)內(nèi)網(wǎng)訪問(wèn)完全受控。網(wǎng)絡(luò)準(zhǔn)入控制從物理上保證只有經(jīng)過(guò)身份認(rèn)證和安全認(rèn)證的電腦才能接入企業(yè)網(wǎng)絡(luò)上，并且使用者也經(jīng)過(guò)了身份認(rèn)證，將不安全的電腦和用戶(hù)拒之門(mén)外，徹底消除蠕蟲(chóng)病毒、木馬的侵害及別有用心的偷窺和網(wǎng)絡(luò)濫用?？蛻?hù)端漫游接入非歸屬網(wǎng)段，系統(tǒng)將強(qiáng)制其通過(guò)DHCP獲取漫游網(wǎng)段的IP地址。圖4 基于EOU的網(wǎng)絡(luò)準(zhǔn)入控制示例圖 應(yīng)用準(zhǔn)入控制天珣采用多種策略網(wǎng)關(guān)，為企業(yè)的關(guān)鍵系統(tǒng)和應(yīng)用提供準(zhǔn)入控制手段。天珣已經(jīng)支持的應(yīng)用準(zhǔn)入類(lèi)型有：按應(yīng)用系統(tǒng)分類(lèi)：Web、Mail、DNS、ISA Proxy。 客戶(hù)端準(zhǔn)入控制安裝有天珣系統(tǒng)客戶(hù)端的桌面電腦在接受訪問(wèn)時(shí)，可以根據(jù)管理員的配置檢查對(duì)方的電腦是否運(yùn)行了天珣系統(tǒng)客戶(hù)端，并檢查自身的安全狀態(tài)是否符合規(guī)范。天珣客戶(hù)端具備網(wǎng)絡(luò)阻斷功能，在客戶(hù)端安全狀態(tài)不符合要求時(shí)，客戶(hù)端自身能不依賴(lài)網(wǎng)絡(luò)設(shè)備、不依賴(lài)網(wǎng)絡(luò)上其他的電腦或設(shè)備獨(dú)立執(zhí)行網(wǎng)絡(luò)訪問(wèn)阻斷天珣更支持強(qiáng)大的選擇性阻斷，在客戶(hù)端安全狀態(tài)不符合要求時(shí)，客戶(hù)端能根據(jù)管理員的配置，通過(guò)進(jìn)程、端口、目標(biāo)地址等選擇性地阻止部分非緊急業(yè)務(wù)的網(wǎng)絡(luò)訪問(wèn)，而允許其他緊急業(yè)務(wù)的網(wǎng)絡(luò)訪問(wèn)。傳統(tǒng)的基于交換機(jī)端口劃分VLAN的方式因?yàn)椴混`活以及對(duì)管理員的工作量太大而不能滿(mǎn)足今天移動(dòng)用戶(hù)的VLAN管理需求。 外來(lái)電腦管理對(duì)于外來(lái)電腦，企業(yè)有時(shí)很難要求其與本公司電腦啟用相同的安全策略。與安全防護(hù)功能集成的桌面管理將使管理員有了全新的管理手段，并使管理手段擁有前所未有的執(zhí)行力。開(kāi)放靈活的架構(gòu)天珣通用桌面管理套件資產(chǎn)管理采用開(kāi)放式架構(gòu)，使用Windows腳本技術(shù)，靈活動(dòng)態(tài)收集企業(yè)資產(chǎn)信息。差異化傳輸客戶(hù)端在初次掃描時(shí)會(huì)將全部信息都傳輸給服務(wù)器，在以后的掃描及傳輸過(guò)程中，只對(duì)有變化的部分傳輸給服務(wù)器，這樣大大提高傳輸效率，減小傳輸過(guò)程對(duì)網(wǎng)絡(luò)的影響。NULL客戶(hù)端模式：用戶(hù)端無(wú)需安裝任何軟件，用戶(hù)需要幫助時(shí)從企業(yè)內(nèi)部網(wǎng)上下載客戶(hù)端軟件，只能由用戶(hù)主動(dòng)向管理員發(fā)起連接，管理員在管理端操作用戶(hù)的電腦，幫助用戶(hù)排除故障，故障排除后自動(dòng)銷(xiāo)毀客戶(hù)端程序。 補(bǔ)丁管理Windows的Service Pack和各種安全更新是保護(hù)Windows免受黑客程序攻擊的最有效的屏障，Windows操作系統(tǒng)隨時(shí)會(huì)有新的Service Pack，或其他的安全更新，如何幫助員工及時(shí)安裝最新的Service Pack或安全更新？天珣補(bǔ)丁管理自動(dòng)幫助員工及時(shí)安裝最新的Service Pack或安全更新。管理員可以通過(guò)報(bào)表查看網(wǎng)絡(luò)中每個(gè)電腦安裝的補(bǔ)丁情況，也可以查看每個(gè)補(bǔ)丁在網(wǎng)絡(luò)中的安裝情況。天珣進(jìn)程管理通過(guò)定義終端設(shè)備進(jìn)程的紅名單，黑名單，白名單，實(shí)現(xiàn)自動(dòng)、高效的進(jìn)程管理功能，完全覆蓋用戶(hù)對(duì)進(jìn)程管理的要求。 PC外設(shè)管理企業(yè)員工隨意使用PC周邊設(shè)備可能導(dǎo)致敏感資料外泄或病毒廣泛傳播。對(duì)于認(rèn)證過(guò)的的移動(dòng)存儲(chǔ)設(shè)備，可以根據(jù)防泄密控制要求的高低，可以選擇多種數(shù)據(jù)保存和共享授權(quán)方式。保證只有經(jīng)過(guò)認(rèn)證的、確認(rèn)安全的移動(dòng)存儲(chǔ)設(shè)備才能在內(nèi)網(wǎng)中使用，消除不明來(lái)歷的移動(dòng)存