【正文】 4. 被動防御蠕蟲病毒及木馬的破壞和傳播；5. 蠕蟲攻擊導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)癱瘓，影響核心業(yè)務(wù)的運作；6. 用戶隨意改動IP地址，對網(wǎng)絡(luò)審計帶來困難；7. 用戶隨意安裝和運行軟件，隨意占用有限帶寬資源?！疤飓憽睘閱⒚餍浅叫畔⒓夹g(shù)有限公司的注冊商標(biāo)，不得侵犯。天珣內(nèi)網(wǎng)安全風(fēng)險管理和審計系統(tǒng)產(chǎn)品白皮書（）北京啟明星辰信息技術(shù)股份有限公司Beijing Venus Information Tech. Inc.2008年7月32 / 36版權(quán)聲明北京啟明星辰信息技術(shù)有限公司版權(quán)所有，并保留對本文檔及本聲明的最終解釋權(quán)和修改權(quán)。免責(zé)條款本文檔依據(jù)現(xiàn)有信息制作，其內(nèi)容如有更改，恕不另行通知。終端數(shù)據(jù)安全挑戰(zhàn)1． 終端使用未經(jīng)認(rèn)證的U盤等移動存儲設(shè)備進(jìn)行數(shù)據(jù)保存；2． 通過U盤等進(jìn)行數(shù)據(jù)交換，不受控制；3． 未經(jīng)認(rèn)證的U盤成為病毒傳播的載體；4． 存有關(guān)鍵數(shù)據(jù)的U盤丟失或失竊造成嚴(yán)重的泄密事故；5． 終端用戶可以輕易通過撥號、私設(shè)代理等非法外聯(lián)手段，傳播內(nèi)部重要數(shù)據(jù)或資料?，F(xiàn)實中，經(jīng)常會因個別終端疏于打安全補丁、防病毒軟件未及時升級、防火墻規(guī)則過于寬松、可以隨意下載和安裝不明軟件、濫用網(wǎng)絡(luò)資源等等，這些終端自身存在大量的安全漏洞和管理空白地帶，使得威脅有了可乘之機，一有機會，便被作為內(nèi)網(wǎng)攻擊的入口或跳板，不僅本身會受到攻擊和破壞，更為嚴(yán)重的攻擊，會造成內(nèi)網(wǎng)阻塞和癱瘓和內(nèi)部關(guān)鍵數(shù)據(jù)或文件失竊，為企業(yè)帶來巨大的損失。正是基于此，Venus圍繞“合規(guī)管理”核心用戶價值，推出了業(yè)界領(lǐng)先的內(nèi)網(wǎng)合規(guī)管理產(chǎn)品：“天珣內(nèi)網(wǎng)風(fēng)險管理與審計系統(tǒng)”。“桌面管理”： 提供精確和完整的終端信息，為合規(guī)管理提供基礎(chǔ)數(shù)據(jù)保證。3 產(chǎn)品主要功能天珣內(nèi)網(wǎng)風(fēng)險管理與審計系統(tǒng)，作為一套終端合規(guī)管理軟件產(chǎn)品，在Venus的“五維終端合規(guī)管理模型”框架下，并從用戶現(xiàn)實需求出發(fā)，產(chǎn)品也劃分為五個功能模塊，分別為：“終端安全控制”，“準(zhǔn)入控制”，“終端桌面管理”，“移動存儲管理”和“終端審計”，覆蓋了終端合規(guī)五維領(lǐng)域。下表是天珣功能模塊及對應(yīng)的功能列表：表1 天珣產(chǎn)品功能列表序號模塊名稱功能類表1終端安全控制終端安全狀態(tài)自動檢測與強制修復(fù)終端訪問控制分布式終端帶寬管理終端基于網(wǎng)絡(luò)行為模式的威脅主動防御終端加固IP管理終端多網(wǎng)卡控制2準(zhǔn)入控制基于EOU的網(wǎng)絡(luò)準(zhǔn)入控制應(yīng)用準(zhǔn)入控制終端準(zhǔn)入控制3桌面管理資產(chǎn)管理HOD遠(yuǎn)程桌面外設(shè)管理補丁管理軟件分發(fā)4移動存儲管理移動存儲設(shè)備認(rèn)證專用目錄加密與共享授權(quán)全盤加密與共享授權(quán)移動存儲管理審計5終端審計文件操作審計與控制打印審計與控制網(wǎng)站訪問審計與控制異常路由審計終端Windows登錄審計 終端安全控制天珣就是這樣一款集中管理的內(nèi)網(wǎng)終端合規(guī)管理系統(tǒng)，其客戶端內(nèi)置強大的終端安全控制引擎，通過預(yù)設(shè)策略，實現(xiàn)對終端的威脅主動防御和終端網(wǎng)絡(luò)行為控制，保證內(nèi)網(wǎng)安全可靠。待修復(fù)完成，終端將自動得到重新訪問網(wǎng)絡(luò)的授權(quán)。天珣通過對終端的網(wǎng)絡(luò)行為進(jìn)行集中管理，有效控制非授權(quán)訪問。天珣的分布式帶寬管理可以精細(xì)管理每個終端上的每個應(yīng)用程序，每個端口的帶寬。通過監(jiān)控UDP的發(fā)包行為，限制異常進(jìn)程的網(wǎng)絡(luò)訪問。 終端安全加固天珣通過阻止網(wǎng)上鄰居的匿名訪問，禁止Guest帳號，檢查指定的文件、程序、注冊表項來加固終端的安全，有效預(yù)防終端被蠕蟲病毒和木馬攻擊。UserIP綁定確保每個用戶使用專屬于自己的IP地址，配合動態(tài)VLAN技術(shù)，UserIP綁定使用戶在企業(yè)內(nèi)漫游時也能始終使用自己的IP地址。實現(xiàn)對通過網(wǎng)絡(luò)的非法外聯(lián)管理， 業(yè)界領(lǐng)先的多層準(zhǔn)入控制天珣終端準(zhǔn)入控制，確保只有通過身份驗證和安全檢查的終端才能接入內(nèi)網(wǎng)并進(jìn)行受控訪問，對非法或存在安全隱患的終端進(jìn)行隔離和修復(fù)，為內(nèi)網(wǎng)構(gòu)建了一道“內(nèi)網(wǎng)安檢系統(tǒng)”，徹底顛覆了傳統(tǒng)內(nèi)網(wǎng)安全管理被動管理的局面，并為終端安全合規(guī)提供了強制性的保障能力。表3多因素準(zhǔn)入控制認(rèn)證 準(zhǔn)入控制類型認(rèn)證條件不滿足網(wǎng)絡(luò)準(zhǔn)入應(yīng)用準(zhǔn)入客戶端準(zhǔn)入EOU天珣客戶端安裝運行認(rèn)證拒絕接入拒絕接入，禁止訪問，提示安裝禁止訪問，提示安裝禁止訪問安全狀態(tài)認(rèn)證（補丁狀態(tài)、進(jìn)程狀態(tài)、防病毒狀態(tài)…）禁止訪問，提示修復(fù)禁止訪問，提示修復(fù)禁止訪問，提示修復(fù)禁止訪問，提示修復(fù)禁止訪問，提示修復(fù)用戶認(rèn)證拒絕接入拒絕接入禁止訪問禁止訪問不生效可信MAC認(rèn)證拒絕接入拒絕接入禁止訪問禁止訪問禁止訪問組合認(rèn)證User+IP+認(rèn)證有效期拒絕接入改回設(shè)定IP地址禁止訪問改回設(shè)定IP地址改回設(shè)定IP地址User+MAC+認(rèn)證有效期拒絕接入拒絕接入禁止訪問禁止訪問禁止訪問MAC+IP+認(rèn)證有效期拒絕接入改回設(shè)定IP地址禁止訪問改回設(shè)定IP地址改回設(shè)定IP地址User+IP+MAC+認(rèn)證有效期拒絕接入拒絕接入禁止訪問禁止訪問禁止訪問可匿名用戶認(rèn)證：當(dāng)啟用可匿名的用戶認(rèn)證，可以允許安裝了客戶端的終端匿名登錄，登錄后將自動獲取訪客策略，使其對內(nèi)網(wǎng)訪問完全受控。網(wǎng)絡(luò)準(zhǔn)入控制從物理上保證只有經(jīng)過身份認(rèn)證和安全認(rèn)證的電腦才能接入企業(yè)網(wǎng)絡(luò)上，并且使用者也經(jīng)過了身份認(rèn)證，將不安全的電腦和用戶拒之門外，徹底消除蠕蟲病毒、木馬的侵害及別有用心的偷窺和網(wǎng)絡(luò)濫用?？蛻舳寺谓尤敕菤w屬網(wǎng)段，系統(tǒng)將強制其通過DHCP獲取漫游網(wǎng)段的IP地址。圖4 基于EOU的網(wǎng)絡(luò)準(zhǔn)入控制示例圖 應(yīng)用準(zhǔn)入控制天珣采用多種策略網(wǎng)關(guān)，為企業(yè)的關(guān)鍵系統(tǒng)和應(yīng)用提供準(zhǔn)入控制手段。天珣已經(jīng)支持的應(yīng)用準(zhǔn)入類型有：按應(yīng)用系統(tǒng)分類：Web、Mail、DNS、ISA Proxy。 客戶端準(zhǔn)入控制安裝有天珣系統(tǒng)客戶端的桌面電腦在接受訪問時，可以根據(jù)管理員的配置檢查對方的電腦是否運行了天珣系統(tǒng)客戶端，并檢查自身的安全狀態(tài)是否符合規(guī)范。天珣客戶端具備網(wǎng)絡(luò)阻斷功能，在客戶端安全狀態(tài)不符合要求時，客戶端自身能不依賴網(wǎng)絡(luò)設(shè)備、不依賴網(wǎng)絡(luò)上其他的電腦或設(shè)備獨立執(zhí)行網(wǎng)絡(luò)訪問阻斷天珣更支持強大的選擇性阻斷，在客戶端安全狀態(tài)不符合要求時，客戶端能根據(jù)管理員的配置，通過進(jìn)程、端口、目標(biāo)地址等選擇性地阻止部分非緊急業(yè)務(wù)的網(wǎng)絡(luò)訪問，而允許其他緊急業(yè)務(wù)的網(wǎng)絡(luò)訪問。傳統(tǒng)的基于交換機端口劃分VLAN的方式因為不靈活以及對管理員的工作量太大而不能滿足今天移動用戶的VLAN管理需求。 外來電腦管理對于外來電腦，企業(yè)有時很難要求其與本公司電腦啟用相同的安全策略。與安全防護(hù)功能集成的桌面管理將使管理員有了全新的管理手段，并使管理手段擁有前所未有的執(zhí)行力。開放靈活的架構(gòu)天珣通用桌面管理套件資產(chǎn)管理采用開放式架構(gòu)，使用Windows腳本技術(shù)，靈活動態(tài)收集企業(yè)資產(chǎn)信息。差異化傳輸客戶端在初次掃描時會將全部信息都傳輸給服務(wù)器，在以后的掃描及傳輸過程中，只對有變化的部分傳輸給服務(wù)器，這樣大大提高傳輸效率，減小傳輸過程對網(wǎng)絡(luò)的影響。NULL客戶端模式：用戶端無需安裝任何軟件，用戶需要幫助時從企業(yè)內(nèi)部網(wǎng)上下載客戶端軟件，只能由用戶主動向管理員發(fā)起連接，管理員在管理端操作用戶的電腦，幫助用戶排除故障，故障排除后自動銷毀客戶端程序。 補丁管理Windows的Service Pack和各種安全更新是保護(hù)Windows免受黑客程序攻擊的最有效的屏障，Windows操作系統(tǒng)隨時會有新的Service Pack，或其他的安全更新，如何幫助員工及時安裝最新的Service Pack或安全更新？天珣補丁管理自動幫助員工及時安裝最新的Service Pack或安全更新。管理員可以通過報表查看網(wǎng)絡(luò)中每個電腦安裝的補丁情況，也可以查看每個補丁在網(wǎng)絡(luò)中的安裝情況。天珣進(jìn)程管理通過定義終端設(shè)備進(jìn)程的紅名單，黑名單，白名單，實現(xiàn)自動、高效的進(jìn)程管理功能，完全覆蓋用戶對進(jìn)程管理的要求。 PC外設(shè)管理企業(yè)員工隨意使用PC周邊設(shè)備可能導(dǎo)致敏感資料外泄或病毒廣泛傳播。對于認(rèn)證過的的移動存儲設(shè)備，可以根據(jù)防泄密控制要求的高低，可以選擇多種數(shù)據(jù)保存和共享授權(quán)方式。保證只有經(jīng)過認(rèn)證的、確認(rèn)安全的移動存儲設(shè)備才能在內(nèi)網(wǎng)中使用，消除不明來歷的移動存