【正文】 部署G銀行使用4臺天珣策略服務(wù)器和Radius服務(wù)器，2套基于ISA代理服務(wù)器的策略網(wǎng)和僅2萬臺終端，構(gòu)成G銀行用戶實(shí)名制管理平臺核心。2. 可管理的規(guī)模無極限天珣具備業(yè)界領(lǐng)先的CSC體系架構(gòu)、多服務(wù)器管理架構(gòu)和優(yōu)良的系統(tǒng)性能，可管理的終端數(shù)量無極限。 系統(tǒng)安全可靠1. 分布式多服務(wù)器架構(gòu)，相互備份，無單點(diǎn)故障天珣支持多策略服務(wù)器架構(gòu)。2. 分布式策略執(zhí)行，始終保持策略的強(qiáng)制力度天珣的多層準(zhǔn)入控制，可獨(dú)立進(jìn)行策略檢查及控制，檢查效率高。分級管理的權(quán)限讓分支機(jī)構(gòu)的管理員可以定義個(gè)性化的策略，但必須執(zhí)行總部管理員制定的策略。下圖就是天珣典型安裝部署圖：圖8天珣典型安裝部署示意圖5 系統(tǒng)特性 領(lǐng)先的CSC系統(tǒng)架構(gòu)天珣不僅是一個(gè)管理工具，更是一個(gè)領(lǐng)先的架構(gòu)。天珣支持分布式多服務(wù)器架構(gòu)，集中管理全球范圍內(nèi)的任意多個(gè)策略服務(wù)器，分布式多服務(wù)器架構(gòu)使天珣具有優(yōu)秀的容錯(cuò)性、可伸縮性。 網(wǎng)站訪問審計(jì)與控制天珣提供終端用戶網(wǎng)站訪問審計(jì)與控制功能，可以針對網(wǎng)站關(guān)鍵字進(jìn)行審計(jì)，也可以通過網(wǎng)站關(guān)鍵字進(jìn)行網(wǎng)站訪問控制，設(shè)置網(wǎng)站白名單和黑名單，即只能訪問的網(wǎng)站和禁止訪問的網(wǎng)站。 移動存儲設(shè)備管理審計(jì)天珣提供移動存儲認(rèn)證、使用和數(shù)據(jù)共享全過程的審計(jì)，方便在發(fā)生意外時(shí)進(jìn)行查證。可以只認(rèn)證設(shè)備，不對其中保存數(shù)據(jù)進(jìn)行加密共享；也可以對認(rèn)證的設(shè)備選擇專用目錄或全盤加密共享，并可以對移動設(shè)備使用全過程進(jìn)行審計(jì)，方便在發(fā)生意外時(shí)進(jìn)行查證。在天珣GDM中所定義的紅名單、黑名單和白名單如下：紅名單：終端設(shè)備必須運(yùn)行的軟件。天珣補(bǔ)丁管理支持多種操作系統(tǒng)語言版本，為企業(yè)的不同國家或地區(qū)的員工提供良好的支持。 Help On Demand遠(yuǎn)程桌面天珣HOD系統(tǒng)在企業(yè)中心IT部門對在各園區(qū)的需要幫助的計(jì)算機(jī)進(jìn)行遠(yuǎn)程操作，幫助遠(yuǎn)程的客戶端進(jìn)行異地操作和檢查系統(tǒng)問題，充分發(fā)揮、共享中心IT部門的技術(shù)優(yōu)勢，為企業(yè)IT部門節(jié)省各園區(qū)駐地成本和交通成本，節(jié)省時(shí)間，提高運(yùn)維服務(wù)的效率，達(dá)到成本與服務(wù)質(zhì)量的雙重效益。 資產(chǎn)管理由于電腦硬件及軟件的更新和變化，IT維護(hù)人員和財(cái)務(wù)部門對企業(yè)的IT資產(chǎn)的管理和統(tǒng)計(jì)經(jīng)常處于一種無序及手工統(tǒng)計(jì)的狀態(tài)，當(dāng)IT資產(chǎn)更新頻繁時(shí)，原來的IT資產(chǎn)管理記錄往往由于管理的滯后和對實(shí)際情況的掌握程度不夠無法及時(shí)更新，從而造成IT資產(chǎn)管理的混亂，維護(hù)人員對于IT資產(chǎn)的最新情況不了解也對IT運(yùn)行服務(wù)造成了障礙。天珣可以根據(jù)用戶的登錄名或電腦MAC地址動態(tài)劃分VLAN，無論用戶移動到公司的哪個(gè)地點(diǎn)接入到網(wǎng)絡(luò)，都將可以自動屬于他被分配的VLAN，而不用管理員手工干預(yù)。如果對方電腦未安裝客戶端，或本機(jī)不符合安全策略要求，則拒絕其訪問。只有受天珣管理并且符合安全策略的電腦才允許訪問企業(yè)的這些系統(tǒng)及應(yīng)用。圖3 天珣支持主流網(wǎng)絡(luò)廠商的交換機(jī)設(shè)備，支持的廠家包括CISCO、H3C、華為、3COM、銳捷、DLink等業(yè)界主流網(wǎng)絡(luò)廠商，最大限度保護(hù)用戶在網(wǎng)絡(luò)設(shè)備的已有投資。天珣采用業(yè)界最完善的多層準(zhǔn)入控制機(jī)制，從終端到網(wǎng)絡(luò)層，再到企業(yè)應(yīng)用服務(wù)器，提供了客戶端準(zhǔn)入、網(wǎng)絡(luò)準(zhǔn)入和應(yīng)用準(zhǔn)入控制手段，為企業(yè)提供最靈活、最精確和最可靠的準(zhǔn)入控制手段，確保每一個(gè)客戶端都符合策略規(guī)則，也確保企業(yè)IT網(wǎng)絡(luò)的每一個(gè)角落都被天珣管理及保護(hù)。 IP管理天珣的IP地址管理支持IPMAC綁定，MACIP綁定，UserIP綁定。通過合理配置，能有效管理終端的異常流量，即使有蠕蟲病毒爆發(fā)，也不會導(dǎo)致網(wǎng)絡(luò)癱瘓。 終端訪問控制天珣內(nèi)置強(qiáng)大的進(jìn)程級訪問控制內(nèi)核，可以實(shí)現(xiàn)針對終端基于進(jìn)程、端口或協(xié)議的雙向訪問的最細(xì)粒度的訪問控制。其中：“終端安全控制”是在主動防御的目標(biāo)下，實(shí)現(xiàn)了與合規(guī)管理密切相關(guān)的終端安全控制，即終端內(nèi)網(wǎng)訪問控制、流量控制、網(wǎng)絡(luò)行為模式控制、ARP欺騙控制、非法外聯(lián)控制等等終端安全控制手段，保證終端雙向訪問安全，行為受控。 Venus終端五維合規(guī)管理模型終端是否安全合規(guī)，就看是否能夠很好回答以下幾個(gè)問題： 終端自身是否具備對外來的威脅和攻擊的防御能力？ 終端的合規(guī)管理策略是否能夠100%有效執(zhí)行下去？ 終端的信息是否能夠及時(shí)完全掌握？ 終端的數(shù)據(jù)是否具備足夠的保密性、數(shù)據(jù)交換是否安全受控？ 是否具備終端合規(guī)審計(jì)，促進(jìn)合規(guī)管理持續(xù)改善？針對以上五個(gè)問題，Venus創(chuàng)造性提出了“終端五維合規(guī)管理模型”,將終端合規(guī)管理歸類為五部分，分別是：“主動防御”，“準(zhǔn)入控制”，“終端防泄密”，“桌面管理”和“終端審計(jì)”。終端行為審計(jì)內(nèi)部關(guān)鍵數(shù)據(jù)失竊后，難以追查；通過網(wǎng)絡(luò)共享交換數(shù)據(jù)不受控制；濫用打印機(jī)打印小說或保密資料。本文檔中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明外,其著作權(quán)或其他相關(guān)權(quán)利均屬于北京啟明星辰信息技術(shù)有限公司。目錄版權(quán)聲明 i免責(zé)條款 i信息反饋 i1 內(nèi)網(wǎng)安全挑戰(zhàn) 12 終端合規(guī)管理，內(nèi)網(wǎng)安全解決之道 3 內(nèi)網(wǎng)安全，合規(guī)先行 3 Venus終端五維合規(guī)管理模型 43 產(chǎn)品主要功能 6 終端安全控制 7 終端安全狀態(tài)自動檢測與強(qiáng)制修復(fù) 7 終端訪問控制 7 終端異常流量抑制 8 終端基于網(wǎng)絡(luò)行為模式的威脅主動防御 8 終端安全加固 8 IP管理 9 多網(wǎng)卡非法外聯(lián)控制 9 業(yè)界領(lǐng)先的多層準(zhǔn)入控制 9 11 基于EOU的網(wǎng)絡(luò)準(zhǔn)入控制 12 應(yīng)用準(zhǔn)入控制 13 客戶端準(zhǔn)入控制 14 網(wǎng)絡(luò)準(zhǔn)入增值應(yīng)用 16 桌面管理功能 16 資產(chǎn)管理 17 Help On Demand遠(yuǎn)程桌面 17 補(bǔ)丁管理 18 進(jìn)程管理 18 PC外設(shè)管理 19 軟件分發(fā) 19 移動存儲管理 20 移動存儲設(shè)備認(rèn)證 20 專用目錄數(shù)據(jù)加密與共享授權(quán) 20 專用目錄數(shù)據(jù)加密與共享授權(quán) 20 移動存儲設(shè)備管理審計(jì) 21 終端審計(jì) 21 文件操作審計(jì)與控制 21 打印審計(jì)與控制 21 網(wǎng)站訪問審計(jì)與控制 22 異常路由審計(jì) 22 終端Windows登錄審計(jì) 224 體系架構(gòu)與部署方式 23 CSC系統(tǒng)體系架構(gòu) 23 部署方式 245 系統(tǒng)特性 26 領(lǐng)先的CSC系統(tǒng)架構(gòu) 26 易于部署和管理 26 合規(guī)管理確定有效 27 系統(tǒng)安全可靠 28 系統(tǒng)優(yōu)良的性能、伸縮性和可擴(kuò)展性 286 成功案例 30 用戶：某銀行（代稱：G銀行） 30 需求 30 部署 30 收效 31 客戶評價(jià) 311 內(nèi)網(wǎng)安全挑戰(zhàn)根據(jù)CSI/FBI等權(quán)威機(jī)構(gòu)公布的數(shù)據(jù)，在所有已經(jīng)發(fā)生的安全事件中，超過80%的安全事件都發(fā)生在企業(yè)內(nèi)網(wǎng)中，內(nèi)網(wǎng)安全面臨前所未有的挑戰(zhàn)。 Venus通過多年的網(wǎng)絡(luò)安全實(shí)踐，發(fā)現(xiàn)內(nèi)網(wǎng)安全問題，實(shí)質(zhì)上不是因?yàn)橥{高深莫測，而是在于內(nèi)網(wǎng)安全管理有章不循，如果內(nèi)網(wǎng)安全管理規(guī)章制度能夠有效執(zhí)行下去，內(nèi)網(wǎng)安全問題將得到有效的解決。通過對終端關(guān)鍵數(shù)據(jù)進(jìn)行加密和授權(quán)共享管理，提升終端數(shù)據(jù)保密性，同時(shí)結(jié)合完善的非法外聯(lián)控制和移動存儲管理技術(shù)，實(shí)現(xiàn)關(guān)鍵數(shù)據(jù)受控共享。如果桌面電腦沒有安裝規(guī)定的補(bǔ)丁，防病毒軟件的運(yùn)行狀態(tài)和升級狀態(tài)不符合要求，沒有運(yùn)行指定的軟件、運(yùn)行了禁止的軟件、或運(yùn)行的軟件超出了規(guī)定的范圍，或有其他的安全漏洞，該終端的網(wǎng)絡(luò)訪問將被禁止。在連入時(shí)，只有滿足管理員制定的安全策略才允許接受連入，只接受指定地址的訪問請求，只讓指定的服務(wù)接受指定地址的訪問請求，只讓指定的程序提供指定的服務(wù)。通過監(jiān)控網(wǎng)絡(luò)行為的發(fā)起進(jìn)程，防止木馬以隱藏進(jìn)程方式進(jìn)行網(wǎng)絡(luò)訪問。 多網(wǎng)卡非法外聯(lián)控制可以設(shè)定只有與天珣系統(tǒng)通訊的網(wǎng)卡才能發(fā)送和接收數(shù)據(jù)，禁止其他任何網(wǎng)卡發(fā)送和接收數(shù)據(jù)，包括多網(wǎng)卡、撥號連接，VPN連接等。 ，與支持該協(xié)議的網(wǎng)絡(luò)接入設(shè)備共同完成網(wǎng)絡(luò)準(zhǔn)入控制。天珣擴(kuò)展了EoU協(xié)議，支持在EoU協(xié)議上的用戶認(rèn)證，只有經(jīng)過用戶認(rèn)證才能繼續(xù)進(jìn)行安全驗(yàn)證。下表是天珣已經(jīng)具備針對不同的應(yīng)用的策略網(wǎng)關(guān)類型，總可以從下面的表中，找到一種或幾種適合的應(yīng)用準(zhǔn)入控制方案：表3針對不同應(yīng)用天珣具備豐富的策略網(wǎng)關(guān)類型 策略網(wǎng)關(guān)類型支持的應(yīng)用類型不同平臺下可選擇的策略網(wǎng)關(guān)WindowsLinuxWeb應(yīng)用IIS策略網(wǎng)關(guān)中性策略網(wǎng)關(guān)for LinuxProxy應(yīng)用ISA策略網(wǎng)關(guān)中性策略網(wǎng)關(guān)for LinuxDNS應(yīng)用中性策略網(wǎng)關(guān)for Windows中性