【正文】 ，是否能夠達(dá)到內(nèi)網(wǎng)安全管理規(guī)章要求，將是內(nèi)網(wǎng)安全的關(guān)鍵，因此內(nèi)網(wǎng)合規(guī)管理的核心是終端合規(guī)管理。此時天珣啟動自動修復(fù)機(jī)制，或提示用戶手工進(jìn)行修復(fù)。通過監(jiān)控ARP請求或應(yīng)答包，自動綁定網(wǎng)關(guān)MAC，拒絕延遲的ARP應(yīng)答包等方式，防止內(nèi)網(wǎng)ARP欺騙侵害。只有受天珣管理并且符合企業(yè)安全策略的電腦才允許接入企業(yè)網(wǎng)絡(luò)，否則被隔離在企業(yè)網(wǎng)絡(luò)之外，或被自動劃分到特定的VLAN當(dāng)中進(jìn)行修復(fù)。天珣應(yīng)用準(zhǔn)入控制可以單獨(dú)只啟用一種平臺應(yīng)用準(zhǔn)入，也可以同時啟用多個平臺應(yīng)用準(zhǔn)入，也可以網(wǎng)絡(luò)準(zhǔn)入控制同時啟用，組成“網(wǎng)絡(luò)準(zhǔn)入+應(yīng)用準(zhǔn)入”復(fù)合準(zhǔn)入控制體系，全面覆蓋用戶內(nèi)網(wǎng)每一個區(qū)域和角落。天珣改變傳統(tǒng)的桌面管理軟件多是一種“盡力而為”的管理模式，即需要用戶配合安裝客戶端，運(yùn)行客戶端，如果用戶卸載或停用客戶端，管理員將對客戶電腦失去管理，依托準(zhǔn)入控制技術(shù)，確保100%的終端都部署和運(yùn)行了客戶端軟件，第一次使管理員有了確定性的桌面管理手段，管理企業(yè)IT資產(chǎn)，管理桌面運(yùn)行軟件，進(jìn)行補(bǔ)丁管理，軟件分發(fā)，控制PC的外設(shè)使用，并使用創(chuàng)新的“按需支援（HOD : Help On Demand ）”技術(shù)進(jìn)行遠(yuǎn)程桌面支持。既可以由用戶端發(fā)起連接，也可以由管理員端發(fā)起連接。天珣移動存儲管理，可以實現(xiàn)移動存儲設(shè)備的認(rèn)證和設(shè)備使用授權(quán)，只有認(rèn)證的移動存儲存儲設(shè)備和具有使用權(quán)限的用戶才能使用。對于終端共享目錄的訪問以及用戶訪問網(wǎng)絡(luò)文件也可進(jìn)行詳盡的審計。圖7天珣架構(gòu)示意圖 部署方式天珣一般部署方式如下：根據(jù)所要管理的終端數(shù)量、區(qū)域劃分配置和部署一到多臺天珣策略服務(wù)器（其中也可以同時安裝資產(chǎn)管理服務(wù)器、Radius服務(wù)器等天珣功能服務(wù)器），構(gòu)一級或多級服務(wù)器管理架構(gòu)；至少要在一個應(yīng)用服務(wù)器部署策略網(wǎng)關(guān)，并啟用應(yīng)用準(zhǔn)入，作為準(zhǔn)入控制檢查點；借助應(yīng)用準(zhǔn)入提供的客戶端安裝檢測和部署能力，用戶自助部署客戶端；如果需要啟用網(wǎng)絡(luò)準(zhǔn)入。6. 豐富的報表，終端合規(guī)狀況一目了然。 系統(tǒng)優(yōu)良的性能、伸縮性和可擴(kuò)展性1. 占用系統(tǒng)資源少，適應(yīng)從低端到高端各種終端硬件環(huán)境天珣具備良好的安裝適應(yīng)特性和優(yōu)良的性能。 客戶評價天珣產(chǎn)品首次試用時，由G銀行科技處領(lǐng)導(dǎo)親自操作使用，測試了過程中就對天珣所提供強(qiáng)大合規(guī)管理執(zhí)行力所折服，實際的效果也非常明顯，很快即表示G銀行需要的就是此類產(chǎn)品。而這些服務(wù)器可以相互備份，在一個統(tǒng)一的控制臺接受集中管理。 4. PassThrough方式的LDAP用戶認(rèn)證天珣支持主流的LDAP用戶認(rèn)證，比如AD域、iPlanet，OpenLDAP等。天珣客戶端是模塊化的組件，支持多種模塊化的組件，以滿足用戶以一個客戶端完成多種安全或管理的需求。圍繞內(nèi)網(wǎng)合規(guī)管理要求，天珣提供與內(nèi)網(wǎng)合規(guī)管理緊密關(guān)聯(lián)的終端審計功能，實現(xiàn)內(nèi)網(wǎng)安全狀況持續(xù)改善提供保證。白名單：終端設(shè)備只能運(yùn)行的軟件清單。天珣HOD主要的工作模式：NULL客戶端模式和Agent模式。天珣能夠在EoU的環(huán)境下，針對登錄用戶名和電腦的MAC地址為每一臺電腦下發(fā)動態(tài)ACL，極大地擴(kuò)展了交換機(jī)的配置能力。圖5 應(yīng)用準(zhǔn)入控制示例圖天珣已經(jīng)支持的應(yīng)用準(zhǔn)入類型非常豐富，用戶總能其中找到一種或幾種適合自己網(wǎng)絡(luò)和合規(guī)管理要求的應(yīng)用平臺，在該平臺上面同時啟用應(yīng)用準(zhǔn)入。表2是在不同的網(wǎng)絡(luò)環(huán)境中，可以選擇的準(zhǔn)入控制類型：表2不同網(wǎng)絡(luò)環(huán)境可以選擇的準(zhǔn)入控制類型可選準(zhǔn)入類型不同網(wǎng)絡(luò)環(huán)境網(wǎng)絡(luò)準(zhǔn)入應(yīng)用準(zhǔn)入客戶端準(zhǔn)入基于EOU匯聚層支持EOU協(xié)議，√√√√匯聚層支持EOU協(xié)議，√√√匯聚層不支持EOU協(xié)議，√√√匯聚層不支持EOU協(xié)議，√√天珣可以作為準(zhǔn)入控制認(rèn)證的所有條件，在實際部署中，如果所選擇的認(rèn)證條件中一個或多個不滿足時，天珣均會認(rèn)為安全狀態(tài)不符合要求，通過準(zhǔn)入控制手段，提示狀態(tài)不符，并觸發(fā)友好提示、重新認(rèn)證或阻斷其網(wǎng)絡(luò)行為，直到終端安全狀態(tài)完全滿足。通過監(jiān)控TCP同時連接數(shù)，減緩蠕蟲病毒對網(wǎng)絡(luò)損害?！耙苿哟鎯芾怼笔亲鳛榻K端防泄密控制中，針對終端通過移動存儲進(jìn)行數(shù)據(jù)交換和共享安全性的要求，天珣單獨(dú)將“移動存儲管理”作為一個模塊，通過實現(xiàn)終端的移動存儲的認(rèn)證、數(shù)據(jù)加密和共享受控管理，并結(jié)合終端安全控制模塊和桌面管理模塊所提供的非法外聯(lián)控制手段，徹底解決了用戶對防泄密控制中通過移動存儲進(jìn)行數(shù)據(jù)安全交換和受控共享的迫切要求。內(nèi)網(wǎng)安全問題的根源，存在于內(nèi)網(wǎng)自身，尤其內(nèi)網(wǎng)中數(shù)量巨大而分布很散的終端電腦，由于缺少有效的終端集中安全管理系統(tǒng)，即使企業(yè)已經(jīng)為內(nèi)網(wǎng)安全制定了嚴(yán)格的安全管理制度和流程，制度的執(zhí)行主要依靠終端用戶自覺完成，現(xiàn)實是大部分用戶的終端僅僅只依賴防病毒軟件和個人防火墻進(jìn)行安全保護(hù)，安全管理執(zhí)行力不足，安全管理制度形同虛設(shè)。免責(zé)條款本文檔依據(jù)現(xiàn)有信息制作，其內(nèi)容如有更改，恕不另行通知。“桌面管理”： 提供精確和完整的終端信息，為合規(guī)管理提供基礎(chǔ)數(shù)據(jù)保證。天珣通過對終端的網(wǎng)絡(luò)行為進(jìn)行集中管理，有效控制非授權(quán)訪問。UserIP綁定確保每個用戶使用專屬于自己的IP地址，配合動態(tài)VLAN技術(shù)，UserIP綁定使用戶在企業(yè)內(nèi)漫游時也能始終使用自己的IP地址。客戶端漫游接入非歸屬網(wǎng)段，系統(tǒng)將強(qiáng)制其通過DHCP獲取漫游網(wǎng)段的IP地址。天珣客戶端具備網(wǎng)絡(luò)阻斷功能，在客戶端安全狀態(tài)不符合要求時，客戶端自身能不依賴網(wǎng)絡(luò)設(shè)備、不依賴網(wǎng)絡(luò)上其他的電腦或設(shè)備獨(dú)立執(zhí)行網(wǎng)絡(luò)訪問阻斷天珣更支持強(qiáng)大的選擇性阻斷，在客戶端安全狀態(tài)不符合要求時，客戶端能根據(jù)管理員的配置，通過進(jìn)程、端口、目標(biāo)地址等選擇性地阻止部分非緊急業(yè)務(wù)的網(wǎng)絡(luò)訪問，而允許其他緊急業(yè)務(wù)的網(wǎng)絡(luò)訪問。開放靈活的架構(gòu)天珣通用桌面管理套件資產(chǎn)管理采用開放式架構(gòu)，使用Windows腳本技術(shù)，靈活動態(tài)收集企業(yè)資產(chǎn)信息。管理員可以通過報表查看網(wǎng)絡(luò)中每個電腦安裝的補(bǔ)丁情況，也可以查看每個補(bǔ)丁在網(wǎng)絡(luò)中的安裝情況。保證只有經(jīng)過認(rèn)證的、確認(rèn)安全的移動存儲設(shè)備才能在內(nèi)網(wǎng)中使用，消除不明來歷的移動存儲通過終端接入內(nèi)網(wǎng)后，可能帶來的病毒傳播等隱患。 終端Windows登錄審計天珣可以對每臺終端的Windows系統(tǒng)登錄情況進(jìn)行審計，掌握每臺終端用戶活躍情況，為優(yōu)化內(nèi)網(wǎng)合規(guī)管理，提供參考。確保管理無盲點，具有無比的強(qiáng)制性。3. 策略自適應(yīng)，滿足辦公，家庭等工作環(huán)境無論客戶端是在企業(yè)的哪一個企業(yè)園區(qū)，分公司，辦事處，還是在賓館，展會，家中；無論是直接連接還是通過VPN連接，天珣將自動適用客戶端所處環(huán)境的安全策略規(guī)則，以防范不同的安全風(fēng)險。6 成功案例 用戶：某銀行（代稱：G銀行） 需求G銀行一直非常重視內(nèi)網(wǎng)合規(guī)管理，已經(jīng)指定嚴(yán)格和完善的內(nèi)網(wǎng)安全管理規(guī)章制度，但仍然多次發(fā)生病毒爆發(fā)。因此G銀行迫切要求加強(qiáng)內(nèi)網(wǎng)終端安全管理，并規(guī)劃在內(nèi)網(wǎng)終端安全管理的基礎(chǔ)上，在銀行內(nèi)網(wǎng)實現(xiàn)用戶實名管理，建立從統(tǒng)一用戶管理、終端網(wǎng)絡(luò)行為受控和全程安全審計能力，從而建立其真正具備執(zhí)行力的內(nèi)網(wǎng)合規(guī)控制和管理系統(tǒng)，但因苦于沒有適合的手段來實現(xiàn)和執(zhí)行，一直沒有可執(zhí)行的解決方案。4. 自動防御，自動補(bǔ)救，防患于未然天珣的多層準(zhǔn)入控制體系對于蠕蟲病毒、木馬或黑客的攻擊能夠自動防御，切斷它們的傳播途徑，控制威脅的蔓延。靈活的分階段部署，部署過程盡在掌握。CSC體系架構(gòu)因具備了完整的控制控制檢查點，使天珣具備其他傳統(tǒng)意義的終端管理產(chǎn)品所不可能具備的100%的執(zhí)行力和卓越的可靠性、安全性、擴(kuò)展性和健壯性。如果移動存儲設(shè)備意外丟失，保證存儲在專用加密目錄下的數(shù)據(jù)安全。 進(jìn)程管理在企業(yè)網(wǎng)絡(luò)環(huán)境中，客戶端軟件環(huán)境的標(biāo)準(zhǔn)化能為桌面維護(hù)管理帶來多方面的效益。這些腳本可以由啟明星辰提供，也可由系統(tǒng)管理員根據(jù)自己的需要自己定制，這種靈活性是天珣通用桌面管理套件資產(chǎn)優(yōu)于其它系統(tǒng)的最主要特征。當(dāng)不啟用網(wǎng)絡(luò)準(zhǔn)入時，選擇性阻斷保證客戶端不依賴其他任何設(shè)備執(zhí)行緊急業(yè)務(wù)和非緊急業(yè)務(wù)的分類阻斷。天珣擴(kuò)展了EoU協(xié)議，支持在EoU協(xié)議上的用戶認(rèn)證，只有經(jīng)過用戶認(rèn)證才能繼續(xù)進(jìn)行安全驗證。 多網(wǎng)卡非法外聯(lián)控制可以設(shè)定只有與天珣系統(tǒng)通訊的網(wǎng)卡才能發(fā)送和接收數(shù)據(jù)，禁止其他任何網(wǎng)卡發(fā)送和接收數(shù)據(jù)，包括多網(wǎng)卡、撥號連接，VPN連接等。在連入時，只有滿足管理員制定的安全策略才允許接受連入，只接受指定地址的訪問請求，只讓指定的服務(wù)接受指定地址的訪問請求，只讓指定的程序提供指定的服務(wù)。通過對終端關(guān)鍵數(shù)據(jù)進(jìn)行加密和授權(quán)共享管理，提升終端數(shù)據(jù)保密性，同時結(jié)合完善的非法外聯(lián)控制和移動存儲管理技術(shù)，實現(xiàn)關(guān)鍵數(shù)據(jù)受控共享。目錄版權(quán)