【正文】 網(wǎng)關(guān)MAC，拒絕延遲的ARP應(yīng)答包等方式，防止內(nèi)網(wǎng)ARP欺騙侵害。 終端異常流量抑制傳統(tǒng)的帶寬管理工具多是網(wǎng)關(guān)型的設(shè)備，不能對(duì)每一個(gè)具體的終端進(jìn)行精細(xì)的管理，一個(gè)終端就可能占用全部的有效帶寬。此時(shí)天珣啟動(dòng)自動(dòng)修復(fù)機(jī)制，或提示用戶手工進(jìn)行修復(fù)。天珣提供的五維合規(guī)管理模型，徹底顛覆了以往內(nèi)網(wǎng)安全管理被動(dòng)和執(zhí)行力低下的問(wèn)題，并通過(guò)實(shí)現(xiàn)從“準(zhǔn)入控制”、“主動(dòng)防御”、“數(shù)據(jù)防泄密”、“桌面信息管理”和“終端審計(jì)”的動(dòng)態(tài)閉環(huán)的內(nèi)網(wǎng)合規(guī)管理體系，在應(yīng)對(duì)內(nèi)網(wǎng)安全威脅的斗爭(zhēng)中，掌握了主動(dòng)權(quán)和制高點(diǎn)，只有依靠有限的安全控制手段，有效應(yīng)對(duì)無(wú)限的內(nèi)網(wǎng)威脅。終端作為內(nèi)網(wǎng)安全管理的主體，是否能夠達(dá)到內(nèi)網(wǎng)安全管理規(guī)章要求，將是內(nèi)網(wǎng)安全的關(guān)鍵，因此內(nèi)網(wǎng)合規(guī)管理的核心是終端合規(guī)管理。內(nèi)網(wǎng)安全面臨的挑戰(zhàn)，集中表現(xiàn)在以下兩個(gè)方面：內(nèi)網(wǎng)安全控制挑戰(zhàn)1. 終端未經(jīng)安全認(rèn)證和授權(quán)即可隨意接入內(nèi)網(wǎng)；2. 內(nèi)部終端存在的安全漏洞不能及時(shí)修復(fù)；3. 終端接入后對(duì)內(nèi)網(wǎng)的非授權(quán)訪問(wèn)難以管理；4. 被動(dòng)防御蠕蟲病毒及木馬的破壞和傳播；5. 蠕蟲攻擊導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)癱瘓，影響核心業(yè)務(wù)的運(yùn)作；6. 用戶隨意改動(dòng)IP地址，對(duì)網(wǎng)絡(luò)審計(jì)帶來(lái)困難；7. 用戶隨意安裝和運(yùn)行軟件，隨意占用有限帶寬資源。天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理和審計(jì)系統(tǒng)產(chǎn)品白皮書（）北京啟明星辰信息技術(shù)股份有限公司Beijing Venus Information Tech. Inc.2008年7月32 / 36版權(quán)聲明北京啟明星辰信息技術(shù)有限公司版權(quán)所有，并保留對(duì)本文檔及本聲明的最終解釋權(quán)和修改權(quán)。終端數(shù)據(jù)安全挑戰(zhàn)1． 終端使用未經(jīng)認(rèn)證的U盤等移動(dòng)存儲(chǔ)設(shè)備進(jìn)行數(shù)據(jù)保存；2． 通過(guò)U盤等進(jìn)行數(shù)據(jù)交換，不受控制；3． 未經(jīng)認(rèn)證的U盤成為病毒傳播的載體；4． 存有關(guān)鍵數(shù)據(jù)的U盤丟失或失竊造成嚴(yán)重的泄密事故；5． 終端用戶可以輕易通過(guò)撥號(hào)、私設(shè)代理等非法外聯(lián)手段，傳播內(nèi)部重要數(shù)據(jù)或資料。正是基于此，Venus圍繞“合規(guī)管理”核心用戶價(jià)值，推出了業(yè)界領(lǐng)先的內(nèi)網(wǎng)合規(guī)管理產(chǎn)品：“天珣內(nèi)網(wǎng)風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)”。3 產(chǎn)品主要功能天珣內(nèi)網(wǎng)風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)，作為一套終端合規(guī)管理軟件產(chǎn)品，在Venus的“五維終端合規(guī)管理模型”框架下，并從用戶現(xiàn)實(shí)需求出發(fā)，產(chǎn)品也劃分為五個(gè)功能模塊，分別為：“終端安全控制”，“準(zhǔn)入控制”，“終端桌面管理”，“移動(dòng)存儲(chǔ)管理”和“終端審計(jì)”，覆蓋了終端合規(guī)五維領(lǐng)域。待修復(fù)完成，終端將自動(dòng)得到重新訪問(wèn)網(wǎng)絡(luò)的授權(quán)。天珣的分布式帶寬管理可以精細(xì)管理每個(gè)終端上的每個(gè)應(yīng)用程序，每個(gè)端口的帶寬。 終端安全加固天珣通過(guò)阻止網(wǎng)上鄰居的匿名訪問(wèn)，禁止Guest帳號(hào)，檢查指定的文件、程序、注冊(cè)表項(xiàng)來(lái)加固終端的安全，有效預(yù)防終端被蠕蟲病毒和木馬攻擊。實(shí)現(xiàn)對(duì)通過(guò)網(wǎng)絡(luò)的非法外聯(lián)管理， 業(yè)界領(lǐng)先的多層準(zhǔn)入控制天珣終端準(zhǔn)入控制，確保只有通過(guò)身份驗(yàn)證和安全檢查的終端才能接入內(nèi)網(wǎng)并進(jìn)行受控訪問(wèn)，對(duì)非法或存在安全隱患的終端進(jìn)行隔離和修復(fù)，為內(nèi)網(wǎng)構(gòu)建了一道“內(nèi)網(wǎng)安檢系統(tǒng)”，徹底顛覆了傳統(tǒng)內(nèi)網(wǎng)安全管理被動(dòng)管理的局面，并為終端安全合規(guī)提供了強(qiáng)制性的保障能力。網(wǎng)絡(luò)準(zhǔn)入控制從物理上保證只有經(jīng)過(guò)身份認(rèn)證和安全認(rèn)證的電腦才能接入企業(yè)網(wǎng)絡(luò)上，并且使用者也經(jīng)過(guò)了身份認(rèn)證，將不安全的電腦和用戶拒之門外，徹底消除蠕蟲病毒、木馬的侵害及別有用心的偷窺和網(wǎng)絡(luò)濫用。圖4 基于EOU的網(wǎng)絡(luò)準(zhǔn)入控制示例圖 應(yīng)用準(zhǔn)入控制天珣采用多種策略網(wǎng)關(guān)，為企業(yè)的關(guān)鍵系統(tǒng)和應(yīng)用提供準(zhǔn)入控制手段。 客戶端準(zhǔn)入控制安裝有天珣系統(tǒng)客戶端的桌面電腦在接受訪問(wèn)時(shí)，可以根據(jù)管理員的配置檢查對(duì)方的電腦是否運(yùn)行了天珣系統(tǒng)客戶端，并檢查自身的安全狀態(tài)是否符合規(guī)范。傳統(tǒng)的基于交換機(jī)端口劃分VLAN的方式因?yàn)椴混`活以及對(duì)管理員的工作量太大而不能滿足今天移動(dòng)用戶的VLAN管理需求。與安全防護(hù)功能集成的桌面管理將使管理員有了全新的管理手段，并使管理手段擁有前所未有的執(zhí)行力。差異化傳輸客戶端在初次掃描時(shí)會(huì)將全部信息都傳輸給服務(wù)器，在以后的掃描及傳輸過(guò)程中，只對(duì)有變化的部分傳輸給服務(wù)器，這樣大大提高傳輸效率，減小傳輸過(guò)程對(duì)網(wǎng)絡(luò)的影響。 補(bǔ)丁管理Windows的Service Pack和各種安全更新是保護(hù)Windows免受黑客程序攻擊的最有效的屏障，Windows操作系統(tǒng)隨時(shí)會(huì)有新的Service Pack，或其他的安全更新，如何幫助員工及時(shí)安裝最新的Service Pack或安全更新？天珣補(bǔ)丁管理自動(dòng)幫助員工及時(shí)安裝最新的Service Pack或安全更新。天珣進(jìn)程管理通過(guò)定義終端設(shè)備進(jìn)程的紅名單，黑名單，白名單，實(shí)現(xiàn)自動(dòng)、高效的進(jìn)程管理功能，完全覆蓋用戶對(duì)進(jìn)程管理的要求。對(duì)于認(rèn)證過(guò)的的移動(dòng)存儲(chǔ)設(shè)備，可以根據(jù)防泄密控制要求的高低，可以選擇多種數(shù)據(jù)保存和共享授權(quán)方式。即使意外丟失，也可以保證所有保存在移動(dòng)存儲(chǔ)設(shè)備的重要數(shù)據(jù)安全。 打印審計(jì)與控制天珣打印審計(jì)與控制，可以實(shí)現(xiàn)通過(guò)內(nèi)網(wǎng)終端進(jìn)行本地打印或網(wǎng)絡(luò)打印的行為進(jìn)行審計(jì)；也可以直接通過(guò)天珣對(duì)終端打印進(jìn)行控制，禁止通過(guò)打印限制的終端進(jìn)行打印，保護(hù)用戶有限的打印資源。策略服務(wù)器（Server）策略服務(wù)器用于配置管理客戶端安全策略，分發(fā)策略給客戶端代理及策略網(wǎng)關(guān)，分發(fā)補(bǔ)丁、病毒定義碼或軟件以修補(bǔ)客戶端安全漏洞，并可從策略服務(wù)器查詢企業(yè)網(wǎng)絡(luò)任何一個(gè)終端的安全狀態(tài)。根據(jù)合規(guī)管理要求，定義和下發(fā)相應(yīng)策略安全策略到終端、策略網(wǎng)關(guān)和后臺(tái)功能服務(wù)器執(zhí)行。管理員從任何一個(gè)瀏覽器連接到Web控制臺(tái)，進(jìn)行安全策略的配置，將安全策略同步下發(fā)到企業(yè)全球網(wǎng)絡(luò)的策略服務(wù)器上，并分發(fā)到企業(yè)全球網(wǎng)絡(luò)的客戶端，并可以通過(guò)Web控制臺(tái)查看分布在企業(yè)全球網(wǎng)絡(luò)的任何一個(gè)客戶端的安全狀態(tài)，并提供詳盡的統(tǒng)計(jì)報(bào)表。 合規(guī)管理確定有效1. 強(qiáng)制保持終端安全狀態(tài)，無(wú)盲點(diǎn)，不妥協(xié)天珣強(qiáng)大的準(zhǔn)入控制能力，確保如果用戶電腦不符合企業(yè)安全策略，或者用戶電腦沒(méi)有安全天珣，該用戶電腦將不能訪問(wèn)網(wǎng)絡(luò)的任何資源，直到問(wèn)題被解決。5. 縮短安全事故反應(yīng)時(shí)間、減輕工作負(fù)荷傳統(tǒng)的維護(hù)方式總是依賴“發(fā)現(xiàn)—分析—解決”的流程，在問(wèn)題出現(xiàn)和問(wèn)題解決之間需要大量的時(shí)間和人力物力，天珣的策略定義使問(wèn)題的解決智能化、自動(dòng)化，縮短反應(yīng)時(shí)間，減輕管理員的工作負(fù)荷。客戶端可以適應(yīng)從低端到高端硬件環(huán)境，客戶端占用資源很少，正常運(yùn)行時(shí)，占用的內(nèi)部不足7M，CPU占有率1%，對(duì)網(wǎng)絡(luò)幾乎沒(méi)有影響，支持Windows全系列操作系統(tǒng)平臺(tái)。G銀行在終端合規(guī)管理方面，最關(guān)注的功能主要集中以下4個(gè)方面：1. 終端內(nèi)網(wǎng)合規(guī)準(zhǔn)入控制，實(shí)現(xiàn)只有認(rèn)證和安全的終端才能接入內(nèi)網(wǎng)；2. 終端接入內(nèi)網(wǎng)后，其身份標(biāo)示不可更改，并且訪問(wèn)全程受控；3. 每個(gè)終端用戶只能獲得與自己角色相符的內(nèi)網(wǎng)和Internet的訪問(wèn)控制權(quán)限；4. 終端自身安全加固和漏洞動(dòng)態(tài)修復(fù)。系統(tǒng)部署如下圖所示：圖10. G銀行天珣系統(tǒng)部署示意圖 收效G銀行部署了天珣后，在以下幾個(gè)方面取得了明顯的成效： 通過(guò)實(shí)現(xiàn)終端內(nèi)網(wǎng)準(zhǔn)入控制，不僅保證只有合法和安全的終端接入內(nèi)網(wǎng)，同時(shí)借助天珣確保每個(gè)接入的終端用戶身份不可更改和網(wǎng)絡(luò)行為受控； 實(shí)現(xiàn)終端分級(jí)安全管理，保證每個(gè)終端用戶只能獲得與自己角色相符的內(nèi)網(wǎng)和Internet的訪問(wèn)控制權(quán)限； 通過(guò)天珣提供終端安全加固和安全控制功能，全面提高內(nèi)網(wǎng)終端安全健康狀況和威脅抵御能力，因病毒導(dǎo)致的網(wǎng)絡(luò)阻塞再也沒(méi)有發(fā)生過(guò)； 依托天珣內(nèi)網(wǎng)風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)，實(shí)現(xiàn)用戶網(wǎng)絡(luò)實(shí)名制管理，使G銀行獲得了業(yè)界最強(qiáng)的內(nèi)網(wǎng)合規(guī)管理執(zhí)行力。3. 適應(yīng)復(fù)雜的網(wǎng)絡(luò)環(huán)境，不依賴特定的網(wǎng)絡(luò)設(shè)備天珣具備提供業(yè)界全完善的準(zhǔn)入控制和終端合規(guī)控制平臺(tái)，可以適應(yīng)各種復(fù)雜的網(wǎng)絡(luò)環(huán)境，準(zhǔn)入控制不依賴特定的網(wǎng)絡(luò)設(shè)備，多種準(zhǔn)入控制方式可靈活組合，在全面提升用戶內(nèi)規(guī)管理水平的同時(shí)，同時(shí)最大限度保護(hù)用戶已有的網(wǎng)絡(luò)建設(shè)投資。每個(gè)服務(wù)器服務(wù)一個(gè)或多個(gè)園區(qū)。某一層次的檢查失效不影響策略的完整性及可靠性，并確保策略控制無(wú)盲點(diǎn)。3. 基于策略組的管理，管理方式豐富靈活可以基于用戶、IP、IP段或IP組進(jìn)行管理，可以依照用戶組或IP組劃分策略組，不同的策略組可以使用不同的策略，也就是同時(shí)支持以IP地址為對(duì)象的策略和以用戶為對(duì)象的策略，為部署和管理帶來(lái)巨大的靈活性。天珣使用目前最適合做桌面管理的系統(tǒng)架構(gòu)的基于可信任計(jì)算的CSC架構(gòu)?？蛻舳舜恚–lients）客戶端代理從策略服務(wù)器獲取策略規(guī)則，在客戶端執(zhí)行策略規(guī)則，