【正文】 策略網(wǎng)關(guān)for Linux其他應(yīng)用類型中性策略網(wǎng)關(guān)for Windows中性策略網(wǎng)關(guān)for Linux除此之外，天珣能夠啟明星辰天清漢馬USG實現(xiàn)準(zhǔn)入控制互動，由USG擔(dān)當(dāng)準(zhǔn)入控制網(wǎng)關(guān)，當(dāng)終端需要通過USG進(jìn)行訪問時，由USG和天珣聯(lián)動，只容許認(rèn)證通過并且安全狀態(tài)符合要求的終端通過USG進(jìn)行訪問。當(dāng)不啟用網(wǎng)絡(luò)準(zhǔn)入時，選擇性阻斷保證客戶端不依賴其他任何設(shè)備執(zhí)行緊急業(yè)務(wù)和非緊急業(yè)務(wù)的分類阻斷。 桌面管理功能具備執(zhí)行力的終端合規(guī)管理，要求精確和完整的終端信息作為合規(guī)管理基礎(chǔ)，因此合規(guī)管理系統(tǒng)需要精確和完整的桌面信息管理。這些腳本可以由啟明星辰提供，也可由系統(tǒng)管理員根據(jù)自己的需要自己定制，這種靈活性是天珣通用桌面管理套件資產(chǎn)優(yōu)于其它系統(tǒng)的最主要特征。Agent模式：用戶端安裝天珣HOD Agent作為Service運(yùn)行。 進(jìn)程管理在企業(yè)網(wǎng)絡(luò)環(huán)境中，客戶端軟件環(huán)境的標(biāo)準(zhǔn)化能為桌面維護(hù)管理帶來多方面的效益。 軟件分發(fā) 支持多種安裝包格式：MSI安裝包、自定義打包格式安裝包、可執(zhí)行文件、批處理文件； 支持多種安裝方式：SMB直接安裝、HTTP下載安裝、SMB下載安裝 支持安裝、卸載、更新等操作； 支持多種操作系統(tǒng)：支持Windows系列操作系統(tǒng)，包括Windows98/ME、Windows NT、Windows2000/2003/XP 多用戶軟件分發(fā)，可以同時向多個客戶端分發(fā)軟件包； 靈活的分發(fā)時間控制：可以指定在某個時間范圍進(jìn)行軟件分發(fā)； 支持續(xù)傳機(jī)制，即如果在軟件分發(fā)過程中由于某種原因?qū)е路职l(fā)過程停止，則下次開始分發(fā)的時候可以從上次停止的地方繼續(xù)進(jìn)行軟件分發(fā)，直到完成為止； 分發(fā)過程中的實時狀態(tài)反饋，管理員可是實時查看所有分發(fā)任務(wù)進(jìn)行的狀態(tài)； 移動存儲管理天珣移動存儲管理，是解決終端通過移動存儲進(jìn)行數(shù)據(jù)交換和共享過程中，防泄密控制的要求，通過實現(xiàn)終端的移動存儲的認(rèn)證、數(shù)據(jù)加密和共享受控管理，徹底解決了用戶對防泄密控制中通過移動存儲進(jìn)行數(shù)據(jù)安全交換和受控共享的迫切要求。如果移動存儲設(shè)備意外丟失，保證存儲在專用加密目錄下的數(shù)據(jù)安全。 文件操作審計與控制天珣文件操作審計與控制功能，可對指定目錄文件或指定文件名后綴的讀、寫、新建、復(fù)制、刪除、改名、移動等操作進(jìn)行審計，對指定目錄文件或指定文件名后綴的讀、寫、新建、刪除、改名、移動等操作進(jìn)行阻斷。CSC體系架構(gòu)因具備了完整的控制控制檢查點，使天珣具備其他傳統(tǒng)意義的終端管理產(chǎn)品所不可能具備的100%的執(zhí)行力和卓越的可靠性、安全性、擴(kuò)展性和健壯性。包括天清漢馬USG在內(nèi)，天珣具備多種類型的策略網(wǎng)關(guān)和應(yīng)用準(zhǔn)入類型。靈活的分階段部署，部署過程盡在掌握。5. 自動升級隨著天珣的不斷升級，自動升級功能在不影響用戶的情況下，在后臺將最新的功能發(fā)送到成千上萬的現(xiàn)有用戶，而不需要重新安裝。4. 自動防御，自動補(bǔ)救，防患于未然天珣的多層準(zhǔn)入控制體系對于蠕蟲病毒、木馬或黑客的攻擊能夠自動防御，切斷它們的傳播途徑，控制威脅的蔓延。圖9 分布式多服務(wù)器架構(gòu)示意圖2. 可靠性在單一企業(yè)超數(shù)萬用戶規(guī)模環(huán)境中驗證天珣可靠性已經(jīng)在嚴(yán)格的生產(chǎn)環(huán)境下經(jīng)過了多年的成熟應(yīng)用和驗證，包括航空公司機(jī)場值機(jī)柜臺、航空公司飛行控制系統(tǒng)、電信公司網(wǎng)維中心、電力公司電力調(diào)度系統(tǒng)上的應(yīng)用。因此G銀行迫切要求加強(qiáng)內(nèi)網(wǎng)終端安全管理，并規(guī)劃在內(nèi)網(wǎng)終端安全管理的基礎(chǔ)上，在銀行內(nèi)網(wǎng)實現(xiàn)用戶實名管理，建立從統(tǒng)一用戶管理、終端網(wǎng)絡(luò)行為受控和全程安全審計能力，從而建立其真正具備執(zhí)行力的內(nèi)網(wǎng)合規(guī)控制和管理系統(tǒng)，但因苦于沒有適合的手段來實現(xiàn)和執(zhí)行，一直沒有可執(zhí)行的解決方案。該項目07年3月份實施，實施和管理都簡潔方便，上線后一直穩(wěn)定運(yùn)行，已經(jīng)在G銀行中發(fā)揮巨大的作用，客戶也很滿意。6 成功案例 用戶：某銀行（代稱：G銀行） 需求G銀行一直非常重視內(nèi)網(wǎng)合規(guī)管理，已經(jīng)指定嚴(yán)格和完善的內(nèi)網(wǎng)安全管理規(guī)章制度，但仍然多次發(fā)生病毒爆發(fā)。如果一臺服務(wù)器宕機(jī)，其服務(wù)的用戶會自動被其他的服務(wù)器接管。3. 策略自適應(yīng)，滿足辦公，家庭等工作環(huán)境無論客戶端是在企業(yè)的哪一個企業(yè)園區(qū)，分公司，辦事處，還是在賓館，展會，家中；無論是直接連接還是通過VPN連接，天珣將自動適用客戶端所處環(huán)境的安全策略規(guī)則，以防范不同的安全風(fēng)險。通過認(rèn)證的用戶可以使用基于用戶的網(wǎng)絡(luò)訪問策略，為訪問控制提供高度靈活的手段。確保管理無盲點，具有無比的強(qiáng)制性。策略網(wǎng)關(guān)（Checkpoint）策略網(wǎng)關(guān)是執(zhí)行應(yīng)用準(zhǔn)入的強(qiáng)制組件。 終端Windows登錄審計天珣可以對每臺終端的Windows系統(tǒng)登錄情況進(jìn)行審計，掌握每臺終端用戶活躍情況，為優(yōu)化內(nèi)網(wǎng)合規(guī)管理，提供參考。天珣提供的終端審計功能，包括“文件操作審計與控制”，“打印審計與控制”，“網(wǎng)站訪問審計與控制”，“異常路由審計”和“終端Windows登錄審計”。保證只有經(jīng)過認(rèn)證的、確認(rèn)安全的移動存儲設(shè)備才能在內(nèi)網(wǎng)中使用，消除不明來歷的移動存儲通過終端接入內(nèi)網(wǎng)后，可能帶來的病毒傳播等隱患。 PC外設(shè)管理企業(yè)員工隨意使用PC周邊設(shè)備可能導(dǎo)致敏感資料外泄或病毒廣泛傳播。管理員可以通過報表查看網(wǎng)絡(luò)中每個電腦安裝的補(bǔ)丁情況，也可以查看每個補(bǔ)丁在網(wǎng)絡(luò)中的安裝情況。NULL客戶端模式：用戶端無需安裝任何軟件，用戶需要幫助時從企業(yè)內(nèi)部網(wǎng)上下載客戶端軟件，只能由用戶主動向管理員發(fā)起連接，管理員在管理端操作用戶的電腦，幫助用戶排除故障，故障排除后自動銷毀客戶端程序。開放靈活的架構(gòu)天珣通用桌面管理套件資產(chǎn)管理采用開放式架構(gòu)，使用Windows腳本技術(shù)，靈活動態(tài)收集企業(yè)資產(chǎn)信息。 外來電腦管理對于外來電腦，企業(yè)有時很難要求其與本公司電腦啟用相同的安全策略。天珣客戶端具備網(wǎng)絡(luò)阻斷功能，在客戶端安全狀態(tài)不符合要求時，客戶端自身能不依賴網(wǎng)絡(luò)設(shè)備、不依賴網(wǎng)絡(luò)上其他的電腦或設(shè)備獨立執(zhí)行網(wǎng)絡(luò)訪問阻斷天珣更支持強(qiáng)大的選擇性阻斷，在客戶端安全狀態(tài)不符合要求時，客戶端能根據(jù)管理員的配置，通過進(jìn)程、端口、目標(biāo)地址等選擇性地阻止部分非緊急業(yè)務(wù)的網(wǎng)絡(luò)訪問，而允許其他緊急業(yè)務(wù)的網(wǎng)絡(luò)訪問。天珣已經(jīng)支持的應(yīng)用準(zhǔn)入類型有：按應(yīng)用系統(tǒng)分類：Web、Mail、DNS、ISA Proxy?？蛻舳寺谓尤敕菤w屬網(wǎng)段，系統(tǒng)將強(qiáng)制其通過DHCP獲取漫游網(wǎng)段的IP地址。表3多因素準(zhǔn)入控制認(rèn)證 準(zhǔn)入控制類型認(rèn)證條件不滿足網(wǎng)絡(luò)準(zhǔn)入應(yīng)用準(zhǔn)入客戶端準(zhǔn)入EOU天珣客戶端安裝運(yùn)行認(rèn)證拒絕接入拒絕接入，禁止訪問，提示安裝禁止訪問，提示安裝禁止訪問安全狀態(tài)認(rèn)證（補(bǔ)丁狀態(tài)、進(jìn)程狀態(tài)、防病毒狀態(tài)…）禁止訪問，提示修復(fù)禁止訪問，提示修復(fù)禁止訪問，提示修復(fù)禁止訪問，提示修復(fù)禁止訪問，提示修復(fù)用戶認(rèn)證拒絕接入拒絕接入禁止訪問禁止訪問不生效可信MAC認(rèn)證拒絕接入拒絕接入禁止訪問禁止訪問禁止訪問組合認(rèn)證User+IP+認(rèn)證有效期拒絕接入改回設(shè)定IP地址禁止訪問改回設(shè)定IP地址改回設(shè)定IP地址User+MAC+認(rèn)證有效期拒絕接入拒絕接入禁止訪問禁止訪問禁止訪問MAC+IP+認(rèn)證有效期拒絕接入改回設(shè)定IP地址禁止訪問改回設(shè)定IP地址改回設(shè)定IP地址User+IP+MAC+認(rèn)證有效期拒絕接入拒絕接入禁止訪問禁止訪問禁止訪問可匿名用戶認(rèn)證：當(dāng)啟用可匿名的用戶認(rèn)證，可以允許安裝了客戶端的終端匿名登錄，登錄后將自動獲取訪客策略，使其對內(nèi)網(wǎng)訪問完全受控。UserIP綁定確保每個用戶使用專屬于自己的IP地址，配合動態(tài)VLAN技術(shù)，UserIP綁定使用戶在企業(yè)內(nèi)漫游時也能始終使用自己的IP地址。通過監(jiān)控UDP的發(fā)包行為，限制異常進(jìn)程的網(wǎng)絡(luò)訪問。天珣通過對終端的網(wǎng)絡(luò)行為進(jìn)行集中管理，有效控制非授權(quán)訪問。下表是天珣功能模塊及對應(yīng)的功能列表：表1 天珣產(chǎn)品功能列表序號模塊名稱功能類表1終端安全控制終端安全狀態(tài)自動檢測與強(qiáng)制修復(fù)終端訪問控制分布式終端帶寬管理終端基于網(wǎng)絡(luò)行為模式的威脅主動防御終端加固IP管理終端多網(wǎng)卡控制2準(zhǔn)入控制基于EOU的網(wǎng)絡(luò)準(zhǔn)入控制應(yīng)用準(zhǔn)入控制終端準(zhǔn)入控制3桌面管理資產(chǎn)管理HOD遠(yuǎn)程桌面外設(shè)管理補(bǔ)丁管理軟件分發(fā)4移動存儲管理移動存儲設(shè)備認(rèn)證專用目錄加密與共享授權(quán)全盤加密與共享授權(quán)移動存儲