【正文】 行為審計內(nèi)部關(guān)鍵數(shù)據(jù)失竊后，難以追查；通過網(wǎng)絡(luò)共享交換數(shù)據(jù)不受控制；濫用打印機打印小說或保密資料。內(nèi)網(wǎng)安全問題的根源，存在于內(nèi)網(wǎng)自身，尤其內(nèi)網(wǎng)中數(shù)量巨大而分布很散的終端電腦，由于缺少有效的終端集中安全管理系統(tǒng)，即使企業(yè)已經(jīng)為內(nèi)網(wǎng)安全制定了嚴(yán)格的安全管理制度和流程，制度的執(zhí)行主要依靠終端用戶自覺完成，現(xiàn)實是大部分用戶的終端僅僅只依賴防病毒軟件和個人防火墻進行安全保護，安全管理執(zhí)行力不足，安全管理制度形同虛設(shè)。事實上，如果能將制定內(nèi)網(wǎng)安全規(guī)范在每一臺終端有效執(zhí)行下去，通過有效的安全控制手段，及時修復(fù)終端存在的漏洞、并實現(xiàn)終端用戶的網(wǎng)絡(luò)行為可控制、可管理和可審計，使內(nèi)網(wǎng)各項安全指標(biāo)達(dá)到企業(yè)預(yù)設(shè)的安全管理標(biāo)準(zhǔn)和效果，從而有效解決內(nèi)網(wǎng)安全問題。終端作為內(nèi)網(wǎng)安全管理的主體，是否能夠達(dá)到內(nèi)網(wǎng)安全管理規(guī)章要求，將是內(nèi)網(wǎng)安全的關(guān)鍵，因此內(nèi)網(wǎng)合規(guī)管理的核心是終端合規(guī)管理。 Venus終端五維合規(guī)管理模型終端是否安全合規(guī)，就看是否能夠很好回答以下幾個問題： 終端自身是否具備對外來的威脅和攻擊的防御能力？ 終端的合規(guī)管理策略是否能夠100%有效執(zhí)行下去？ 終端的信息是否能夠及時完全掌握？ 終端的數(shù)據(jù)是否具備足夠的保密性、數(shù)據(jù)交換是否安全受控？ 是否具備終端合規(guī)審計，促進合規(guī)管理持續(xù)改善？針對以上五個問題，Venus創(chuàng)造性提出了“終端五維合規(guī)管理模型”,將終端合規(guī)管理歸類為五部分，分別是：“主動防御”，“準(zhǔn)入控制”，“終端防泄密”，“桌面管理”和“終端審計”?！皽?zhǔn)入控制”： 全新構(gòu)建內(nèi)網(wǎng)“安檢系統(tǒng)”，保證終端安全接入內(nèi)網(wǎng)，保證終端接入行為受控，保證合規(guī)管理策略100%執(zhí)行?！敖K端防泄密”： 需要同時解決終端數(shù)據(jù)保密性問題和數(shù)據(jù)傳播途徑受控的問題。天珣提供的五維合規(guī)管理模型，徹底顛覆了以往內(nèi)網(wǎng)安全管理被動和執(zhí)行力低下的問題，并通過實現(xiàn)從“準(zhǔn)入控制”、“主動防御”、“數(shù)據(jù)防泄密”、“桌面信息管理”和“終端審計”的動態(tài)閉環(huán)的內(nèi)網(wǎng)合規(guī)管理體系，在應(yīng)對內(nèi)網(wǎng)安全威脅的斗爭中，掌握了主動權(quán)和制高點，只有依靠有限的安全控制手段，有效應(yīng)對無限的內(nèi)網(wǎng)威脅。其中：“終端安全控制”是在主動防御的目標(biāo)下，實現(xiàn)了與合規(guī)管理密切相關(guān)的終端安全控制，即終端內(nèi)網(wǎng)訪問控制、流量控制、網(wǎng)絡(luò)行為模式控制、ARP欺騙控制、非法外聯(lián)控制等等終端安全控制手段，保證終端雙向訪問安全，行為受控?！耙苿哟鎯芾怼笔亲鳛榻K端防泄密控制中，針對終端通過移動存儲進行數(shù)據(jù)交換和共享安全性的要求，天珣單獨將“移動存儲管理”作為一個模塊，通過實現(xiàn)終端的移動存儲的認(rèn)證、數(shù)據(jù)加密和共享受控管理，并結(jié)合終端安全控制模塊和桌面管理模塊所提供的非法外聯(lián)控制手段，徹底解決了用戶對防泄密控制中通過移動存儲進行數(shù)據(jù)安全交換和受控共享的迫切要求。 終端安全狀態(tài)自動檢測與強制修復(fù)天珣監(jiān)控終端的系統(tǒng)補丁、防病毒軟件、運行軟件、弱密碼、可疑的注冊表等。此時天珣啟動自動修復(fù)機制，或提示用戶手工進行修復(fù)。 終端訪問控制天珣內(nèi)置強大的進程級訪問控制內(nèi)核，可以實現(xiàn)針對終端基于進程、端口或協(xié)議的雙向訪問的最細(xì)粒度的訪問控制。訪問控制策略由管理員集中定義，下發(fā)至終端后，分布式執(zhí)行，簡潔、高效。在連出訪問時，只有滿足管理員制定的安全狀態(tài)策略才允許連出，只能訪問許可的地址，只能訪問許可的服務(wù)，只能由指定的程序訪問。 終端異常流量抑制傳統(tǒng)的帶寬管理工具多是網(wǎng)關(guān)型的設(shè)備，不能對每一個具體的終端進行精細(xì)的管理，一個終端就可能占用全部的有效帶寬。通過合理配置，能有效管理終端的異常流量，即使有蠕蟲病毒爆發(fā)，也不會導(dǎo)致網(wǎng)絡(luò)癱瘓。通過監(jiān)控TCP同時連接數(shù)，減緩蠕蟲病毒對網(wǎng)絡(luò)損害。通過檢查IP數(shù)據(jù)包包頭，確保數(shù)據(jù)包欺騙不能發(fā)生。通過監(jiān)控ARP請求或應(yīng)答包，自動綁定網(wǎng)關(guān)MAC，拒絕延遲的ARP應(yīng)答包等方式，防止內(nèi)網(wǎng)ARP欺騙侵害。 IP管理天珣的IP地址管理支持IPMAC綁定，MACIP綁定，UserIP綁定。MACIP綁定功能使指定的電腦只能使用指定的IP地址，或強制使用DHCP。支持批量設(shè)置綁定，減輕管理員的工作負(fù)荷。避免通過注冊表設(shè)置禁用多網(wǎng)卡、撥號連接而易被破解。天珣采用業(yè)界最完善的多層準(zhǔn)入控制機制，從終端到網(wǎng)絡(luò)層，再到企業(yè)應(yīng)用服務(wù)器，提供了客戶端準(zhǔn)入、網(wǎng)絡(luò)準(zhǔn)入和應(yīng)用準(zhǔn)入控制手段，為企業(yè)提供最靈活、最精確和最可靠的準(zhǔn)入控制手段，確保每一個客戶端都符合策略規(guī)則，也確保企業(yè)IT網(wǎng)絡(luò)的每一個角落都被天珣管理及保護。表2是在不同的網(wǎng)絡(luò)環(huán)境中，可以選擇的準(zhǔn)入控制類型：表2不同網(wǎng)絡(luò)環(huán)境可以選擇的準(zhǔn)入控制類型可選準(zhǔn)入類型不同網(wǎng)絡(luò)環(huán)境網(wǎng)絡(luò)準(zhǔn)入應(yīng)用準(zhǔn)入客戶端準(zhǔn)入基于EOU匯聚層支持EOU協(xié)議，√√√√匯聚層支持EOU協(xié)議，√√√匯聚層不支持EOU協(xié)議，√√√匯聚層不支持EOU協(xié)議，√√天珣可以作為準(zhǔn)入控制認(rèn)證的所有條件，在實際部署中，如果所選擇的認(rèn)證條件中一個或多個不滿足時，天珣均會認(rèn)為安全狀態(tài)不符合要求，通過準(zhǔn)入控制手段，提示狀態(tài)不符，并觸發(fā)友好提示、重新認(rèn)證或阻斷其網(wǎng)絡(luò)行為，直到終端安全狀態(tài)完全滿足。利用該認(rèn)證方式，可實現(xiàn)對外來電腦的有效管理。只有受天珣管理并且符合企業(yè)安全策略的電腦才允許接入企業(yè)網(wǎng)絡(luò)，否則被隔離在企業(yè)網(wǎng)絡(luò)之外，或被自動劃分到特定的VLAN當(dāng)中進行修復(fù)。圖3 天珣支持主流網(wǎng)絡(luò)廠商的交換機設(shè)備，支持的廠家包括CISCO、H3C、華為、3COM、銳捷、DLink等業(yè)界主流網(wǎng)絡(luò)廠商，最大限度保護用戶在網(wǎng)絡(luò)設(shè)備的已有投資。，創(chuàng)造性支持漫游IP網(wǎng)段準(zhǔn)入控制擴展認(rèn)證功能，加入客戶端歸屬網(wǎng)段概念。 基于EOU的網(wǎng)絡(luò)準(zhǔn)入控制天珣支持思科NAC的EAP Over UDP網(wǎng)絡(luò)準(zhǔn)入，如果匯聚層采用的是CISCO支持EOU協(xié)議的網(wǎng)絡(luò)設(shè)備，依然可以驗證終端的安全狀態(tài)，隔離不安全的終端，用戶電腦無客戶端程序則重定向用戶的URL訪問到指定的網(wǎng)頁進行安裝，并修復(fù)其安全漏洞。只有受天珣管理并且符合安全策略的電腦才允許訪問企業(yè)的這些系統(tǒng)及應(yīng)用。圖5 應(yīng)用準(zhǔn)入控制示例圖天珣已經(jīng)支持的應(yīng)用準(zhǔn)入類型非常豐富，用戶總能其中找到一種或幾種適合自己網(wǎng)絡(luò)和合規(guī)管理要求的應(yīng)用平臺，在該平臺上面同時啟用應(yīng)用準(zhǔn)入。按操作系統(tǒng)分類：Windows、Linux。天珣應(yīng)用準(zhǔn)入控制可以單獨只啟用一種平臺應(yīng)用準(zhǔn)入，也可以同時啟用多個平臺應(yīng)用準(zhǔn)入，也可以網(wǎng)絡(luò)準(zhǔn)入控制同時啟用，組成“網(wǎng)絡(luò)準(zhǔn)入+應(yīng)用準(zhǔn)入”復(fù)合準(zhǔn)入控制體系，全面覆蓋用戶內(nèi)網(wǎng)每一個區(qū)域和角落。如果對方電腦未安裝客戶端，或本機不符合安全策略要求，則拒絕其訪問。天珣客戶端準(zhǔn)入控制，創(chuàng)造性將每一臺終端都成為準(zhǔn)入控制點，保證每臺終端只接受安全可信的終端進行訪問，并只在安全狀態(tài)合格時訪問網(wǎng)絡(luò)，實現(xiàn)最細(xì)粒度準(zhǔn)入控制。，選擇性阻斷技術(shù)保證客戶端安全狀態(tài)的改變不會導(dǎo)致交換機端口狀態(tài)的頻繁切換或VLAN的頻繁切換而影響交換機和網(wǎng)絡(luò)的性能；當(dāng)啟用基于EoU時，選擇性阻斷技術(shù)保證客戶端安全狀態(tài)的改變不會導(dǎo)致交換機頻繁下載ACL而影響交換機和網(wǎng)絡(luò)的性能。 網(wǎng)絡(luò)準(zhǔn)入增值應(yīng)用 動態(tài)VLANVLAN在控制廣播域的范圍、網(wǎng)絡(luò)安全、第三層地址的管理、和網(wǎng)絡(luò)資源的集中管理方面有重要的意義。天珣可以根據(jù)用戶的登錄名或電腦MAC地址動態(tài)劃分VLAN，無論用戶移動到公司的哪個地點接入到網(wǎng)絡(luò)，都將可以自動屬于他被分配的VLAN，而不用管理員手工干預(yù)。天珣能夠在EoU的環(huán)境下，針對登錄用戶名和電腦的MAC地址為每一臺電腦下發(fā)動態(tài)ACL，極大地擴展了交換機的配置能力。 VLAN，或通過啟用訪客策略，嚴(yán)格限制外來電腦的訪問權(quán)限，即使其安全狀態(tài)不符合規(guī)范，甚至有蠕蟲病毒或木馬，也不會對企業(yè)網(wǎng)絡(luò)造成危害，同時杜絕了任何外來電腦的非授權(quán)訪問問題。天珣改變傳統(tǒng)的桌面管理軟件多是一種“盡力而為”的管理模式，即需要用戶配合安裝客戶端，運行客戶端，如果用戶卸載或停用客戶端，管理員將對客戶電腦失去管理，依托準(zhǔn)入控制技術(shù)，確保100%的終端都部署和運行了客戶端軟件，第一次使管理員有了確定性的桌面管理手段，管理企業(yè)IT資產(chǎn)，管理桌面運行軟件，進行補丁管理，軟件分發(fā)，控制PC的外設(shè)使用，并使用創(chuàng)新的“按需支援（HOD : Help On Demand ）”技術(shù)進行遠(yuǎn)程桌面支持。 資產(chǎn)管理由于電腦硬件及軟件的更新和變化，IT維護人員和財務(wù)部門對企業(yè)的IT資產(chǎn)的管理和統(tǒng)計經(jīng)常處于一種無序及手工統(tǒng)計的狀態(tài)，當(dāng)IT資產(chǎn)更新頻繁時，原來的IT資產(chǎn)管理記錄往往由于管理的滯后和對實際情況的掌握程度不夠無法及時更新，從而造成IT資產(chǎn)管理的混亂，維