內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理和審計(jì)系統(tǒng)產(chǎn)品白皮書(shū)

天珣內(nèi)網(wǎng)安全風(fēng)險(xiǎn)治理和審計(jì)系統(tǒng)產(chǎn)品白皮書(shū)（V）北京啟明星辰信息技術(shù)股份有限公司BeijingVenusInformationTech.Inc.2008年7月版權(quán)聲明北京啟明星辰信息技術(shù)有限公司版權(quán)所有，并保留對(duì)本文檔及本聲明的最終解釋權(quán)和修改權(quán)。本文檔中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、照片、方法、過(guò)程等內(nèi)容，除另有特不注明外,其著作權(quán)或其他相關(guān)權(quán)利均屬于北京啟明星辰信息技術(shù)有限公司。未經(jīng)北京啟明星辰信息技術(shù)有限公司書(shū)面同意，任何人不得以任何方式或形式對(duì)本手冊(cè)內(nèi)的任何部分進(jìn)行復(fù)制、摘錄、備份、修改、傳播、翻譯成其它語(yǔ)言、將其全部或部分用于商業(yè)用途?！疤飓憽睘閱⒚餍浅叫畔⒓夹g(shù)有限公司的注冊(cè)商標(biāo)，不得侵犯。免責(zé)條款本文檔依據(jù)現(xiàn)有信息制作，其內(nèi)容如有更改，恕不另行通知。北京啟明星辰信息技術(shù)有限公司在編寫(xiě)該文檔的時(shí)候已盡最大努力保證其內(nèi)容準(zhǔn)確可靠，但北京啟明星辰信息技術(shù)有限公司不對(duì)本文檔中的遺漏、不準(zhǔn)確、或錯(cuò)誤導(dǎo)致的損失和損害承擔(dān)責(zé)任信息反饋如有任何寶貴意見(jiàn)，請(qǐng)反饋：信箱：北京市海淀區(qū)東北旺西路8號(hào)中關(guān)村軟件園21號(hào)樓啟明星辰大廈郵編：100193電話真能夠訪問(wèn)啟明星辰網(wǎng)站：獲得最新技術(shù)和產(chǎn)品信息。目錄版權(quán)聲明 i免責(zé)條款 i信息反饋 i1 內(nèi)網(wǎng)安全挑戰(zhàn) 12 終端合規(guī)治理，內(nèi)網(wǎng)安全解決之道 32.1 內(nèi)網(wǎng)安全，合規(guī)先行 32.2 Venus終端五維合規(guī)治理模型 43 產(chǎn)品要緊功能 63.1 終端安全操縱 73.1.1 終端安全狀態(tài)自動(dòng)檢測(cè)與強(qiáng)制修復(fù) 73.1.2 終端訪問(wèn)操縱 73.1.3 終端異常流量抑制 83.1.4 終端基于網(wǎng)絡(luò)行為模式的威脅主動(dòng)防備 83.1.5 終端安全加固 83.1.6 IP治理 93.1.7 多網(wǎng)卡非法外聯(lián)操縱 93.2 業(yè)界領(lǐng)先的多層準(zhǔn)入操縱 93.2.1 基于802.1x的網(wǎng)絡(luò)準(zhǔn)入操縱 113.2.2 基于EOU的網(wǎng)絡(luò)準(zhǔn)入操縱 123.2.3 應(yīng)用準(zhǔn)入操縱 133.2.4 客戶端準(zhǔn)入操縱 143.2.5 網(wǎng)絡(luò)準(zhǔn)入增值應(yīng)用 163.3 桌面治理功能 163.3.1 資產(chǎn)治理 173.3.2 HelpOnDemand遠(yuǎn)程桌面 173.3.3 補(bǔ)丁治理 183.3.4 進(jìn)程治理 183.3.5 PC外設(shè)治理 193.3.6 軟件分發(fā) 193.4 移動(dòng)存儲(chǔ)治理 203.4.1 移動(dòng)存儲(chǔ)設(shè)備認(rèn)證 203.4.2 專用目錄數(shù)據(jù)加密與共享授權(quán) 203.4.3 專用目錄數(shù)據(jù)加密與共享授權(quán) 203.4.4 移動(dòng)存儲(chǔ)設(shè)備治理審計(jì) 213.5 終端審計(jì) 213.5.1 文件操作審計(jì)與操縱 213.5.2 打印審計(jì)與操縱 213.5.3 網(wǎng)站訪問(wèn)審計(jì)與操縱 223.5.4 異常路由審計(jì) 223.5.5 終端Windows登錄審計(jì) 224 體系架構(gòu)與部署方式 234.1 CSC系統(tǒng)體系架構(gòu) 234.2 部署方式 245 系統(tǒng)特性 265.1 領(lǐng)先的CSC系統(tǒng)架構(gòu) 265.2 易于部署和治理 265.3 合規(guī)治理確定有效 275.4 系統(tǒng)安全可靠 285.5 系統(tǒng)優(yōu)良的性能、伸縮性和可擴(kuò)展性 286 成功案例 306.1 用戶：某銀行（代稱：G銀行） 306.1.1 需求 306.1.2 部署 306.1.3 收效 316.1.4 客戶評(píng)價(jià) 31內(nèi)網(wǎng)安全挑戰(zhàn)依照CSI/FBI等權(quán)威機(jī)構(gòu)公布的數(shù)據(jù)，在所有差不多發(fā)生的安全事件中，超過(guò)80%的安全事件都發(fā)生在企業(yè)內(nèi)網(wǎng)中，內(nèi)網(wǎng)安全面臨前所未有的挑戰(zhàn)。內(nèi)網(wǎng)安全面臨的挑戰(zhàn)，集中表現(xiàn)在以下兩個(gè)方面：內(nèi)網(wǎng)安全操縱挑戰(zhàn)終端未經(jīng)安全認(rèn)證和授權(quán)即可隨意接入內(nèi)網(wǎng)；內(nèi)部終端存在的安全漏洞不能及時(shí)修復(fù)；終端接入后對(duì)內(nèi)網(wǎng)的非授權(quán)訪問(wèn)難以治理；被動(dòng)防備蠕蟲(chóng)病毒及木馬的破壞和傳播；蠕蟲(chóng)攻擊導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)癱瘓，阻礙核心業(yè)務(wù)的運(yùn)作；用戶隨意改動(dòng)IP地址，對(duì)網(wǎng)絡(luò)審計(jì)帶來(lái)困難；用戶隨意安裝和運(yùn)行軟件，隨意占用有限帶寬資源。終端數(shù)據(jù)安全挑戰(zhàn)終端使用未經(jīng)認(rèn)證的U盤(pán)等移動(dòng)存儲(chǔ)設(shè)備進(jìn)行數(shù)據(jù)保存；通過(guò)U盤(pán)等進(jìn)行數(shù)據(jù)交換，不受操縱；未經(jīng)認(rèn)證的U盤(pán)成為病毒傳播的載體；存有關(guān)鍵數(shù)據(jù)的U盤(pán)丟失或失竊造成嚴(yán)峻的泄密事故；終端用戶能夠輕易通過(guò)撥號(hào)、私設(shè)代理等非法外聯(lián)手段，傳播內(nèi)部重要數(shù)據(jù)或資料。終端行為審計(jì)內(nèi)部關(guān)鍵數(shù)據(jù)失竊后，難以追查；通過(guò)網(wǎng)絡(luò)共享交換數(shù)據(jù)不受操縱；濫用打印機(jī)打印小講或保密資料。內(nèi)網(wǎng)終端IT支持挑戰(zhàn)無(wú)法精確統(tǒng)計(jì)IT資產(chǎn)，確定每臺(tái)電腦的硬件配置，確定軟件的安裝情況；無(wú)法跟蹤資產(chǎn)的歷史使用紀(jì)錄，也不能及時(shí)掌握資產(chǎn)變動(dòng)情況；終端電腦的使用故障，需要IT維護(hù)人員趕到現(xiàn)場(chǎng)處理；無(wú)法及時(shí)掌握終端進(jìn)程運(yùn)行情況，木馬程序可能就混在其中；需要合適的工具關(guān)心治理員快速有效分發(fā)軟件和補(bǔ)丁；需要對(duì)PC外設(shè)如USB、Modem、無(wú)線設(shè)備等進(jìn)行監(jiān)控和治理；終端合規(guī)治理，內(nèi)網(wǎng)安全解決之道內(nèi)網(wǎng)安全，合規(guī)先行“道高一尺，魔高一丈”，面對(duì)內(nèi)網(wǎng)安全的巨大挑戰(zhàn)，解決之道確實(shí)是要找出內(nèi)網(wǎng)安全問(wèn)題的根源和規(guī)律，從源頭解決內(nèi)網(wǎng)安全問(wèn)題。內(nèi)網(wǎng)安全問(wèn)題的根源，存在于內(nèi)網(wǎng)自身，尤其內(nèi)網(wǎng)中數(shù)量巨大而分布專門(mén)散的終端電腦，由于缺少有效的終端集中安全治理系統(tǒng)，即使企業(yè)差不多為內(nèi)網(wǎng)安全制定了嚴(yán)格的安全治理制度和流程，制度的執(zhí)行要緊依靠終端用戶自覺(jué)完成，現(xiàn)實(shí)是大部分用戶的終端僅僅只依靠防病毒軟件和個(gè)人防火墻進(jìn)行安全愛(ài)護(hù)，安全治理執(zhí)行力不足，安全治理制度形同虛設(shè)。現(xiàn)實(shí)中，經(jīng)常會(huì)因個(gè)不終端疏于打安全補(bǔ)丁、防病毒軟件未及時(shí)升級(jí)、防火墻規(guī)則過(guò)于寬松、能夠隨意下載和安裝不明軟件、濫用網(wǎng)絡(luò)資源等等，這些終端自身存在大量的安全漏洞和治理空白地帶，使得威脅有了可乘之機(jī)，一有機(jī)會(huì)，便被作為內(nèi)網(wǎng)攻擊的入口或跳板，不僅本身會(huì)受到攻擊和破壞，更為嚴(yán)峻的攻擊，會(huì)造成內(nèi)網(wǎng)堵塞和癱瘓和內(nèi)部關(guān)鍵數(shù)據(jù)或文件失竊，為企業(yè)帶來(lái)巨大的損失。事實(shí)上，假如能將制定內(nèi)網(wǎng)安全規(guī)范在每一臺(tái)終端有效執(zhí)行下去，通過(guò)有效的安全操縱手段，及時(shí)修復(fù)終端存在的漏洞、并實(shí)現(xiàn)終端用戶的網(wǎng)絡(luò)行為可操縱、可治理和可審計(jì)，使內(nèi)網(wǎng)各項(xiàng)安全指標(biāo)達(dá)到企業(yè)預(yù)設(shè)的安全治理標(biāo)準(zhǔn)和效果，從而有效解決內(nèi)網(wǎng)安全問(wèn)題。Venus通過(guò)多年的網(wǎng)絡(luò)安全實(shí)踐，發(fā)覺(jué)內(nèi)網(wǎng)安全問(wèn)題，實(shí)質(zhì)上不是因?yàn)橥{高深莫測(cè)，而是在于內(nèi)網(wǎng)安全治理有章不循，假如內(nèi)網(wǎng)安全治理規(guī)章制度能夠有效執(zhí)行下去，內(nèi)網(wǎng)安全問(wèn)題將得到有效的解決。終端作為內(nèi)網(wǎng)安全治理的主體，是否能夠達(dá)到內(nèi)網(wǎng)安全治理規(guī)章要求，將是內(nèi)網(wǎng)安全的關(guān)鍵，因此內(nèi)網(wǎng)合規(guī)治理的核心是終端合規(guī)治理。正是基于此，Venus圍繞“合規(guī)治理”核心用戶價(jià)值，推出了業(yè)界領(lǐng)先的內(nèi)網(wǎng)合規(guī)治理產(chǎn)品：“天珣內(nèi)網(wǎng)風(fēng)險(xiǎn)治理與審計(jì)系統(tǒng)”。Venus終端五維合規(guī)治理模型終端是否安全合規(guī)，就看是否能夠?qū)ｉT(mén)好回答以下幾個(gè)問(wèn)題：終端自身是否具備對(duì)外來(lái)的威脅和攻擊的防備能力？終端的合規(guī)治理策略是否能夠100%有效執(zhí)行下去？終端的信息是否能夠及時(shí)完全掌握？終端的數(shù)據(jù)是否具備足夠的保密性、數(shù)據(jù)交換是否安全受控？是否具備終端合規(guī)審計(jì)，促進(jìn)合規(guī)治理持續(xù)改善？針對(duì)以上五個(gè)問(wèn)題，Venus制造性提出了“終端五維合規(guī)治理模型”,將終端合規(guī)治理歸類為五部分，分不是：“主動(dòng)防備”，“準(zhǔn)入操縱”，“終端防泄密”，“桌面治理”和“終端審計(jì)”。下圖為終端五維合規(guī)治理模型示意圖：圖1Veuns終端五維合規(guī)治理模型其中：“主動(dòng)防備”：為終端提供“軟猬甲”，使終端具備威脅主動(dòng)防備能力，愛(ài)護(hù)終端免受攻擊和破壞，最終保障內(nèi)網(wǎng)安全和不間斷運(yùn)行，并確保用戶網(wǎng)絡(luò)訪問(wèn)行為合規(guī)?！皽?zhǔn)入操縱”：全新構(gòu)建內(nèi)網(wǎng)“安檢系統(tǒng)”，保證終端安全接入內(nèi)網(wǎng)，保證終端接入行為受控，保證合規(guī)治理策略100%執(zhí)行。“桌面治理”：提供精確和完整的終端信息，為合規(guī)治理提供基礎(chǔ)數(shù)據(jù)保證。“終端防泄密”：需要同時(shí)解決終端數(shù)據(jù)保密性問(wèn)題和數(shù)據(jù)傳播途徑受控的問(wèn)題。通過(guò)對(duì)終端關(guān)鍵數(shù)據(jù)進(jìn)行加密和授權(quán)共享治理，提升終端數(shù)據(jù)保密性，同時(shí)結(jié)合完善的非法外聯(lián)操縱和移動(dòng)存儲(chǔ)治理技術(shù)，實(shí)現(xiàn)關(guān)鍵數(shù)據(jù)受控共享。天珣提供的五維合規(guī)治理模型，完全顛覆了以往內(nèi)網(wǎng)安全治理被動(dòng)和執(zhí)行力低下的問(wèn)題，并通過(guò)實(shí)現(xiàn)從“準(zhǔn)入操縱”、“主動(dòng)防備”、“數(shù)據(jù)防泄密”、“桌面信息治理”和“終端審計(jì)”的動(dòng)態(tài)閉環(huán)的內(nèi)網(wǎng)合規(guī)治理體系，在應(yīng)對(duì)內(nèi)網(wǎng)安全威脅的斗爭(zhēng)中，掌握了主動(dòng)權(quán)和制高點(diǎn)，只有依靠有限的安全操縱手段，有效應(yīng)對(duì)無(wú)限的內(nèi)網(wǎng)威脅。產(chǎn)品要緊功能天珣內(nèi)網(wǎng)風(fēng)險(xiǎn)治理與審計(jì)系統(tǒng)，作為一套終端合規(guī)治理軟件產(chǎn)品，在Venus的“五維終端合規(guī)治理模型”框架下，并從用戶現(xiàn)實(shí)需求動(dòng)身，產(chǎn)品也劃分為五個(gè)功能模塊，分不為：“終端安全操縱”，“準(zhǔn)入操縱”，“終端桌面治理”，“移動(dòng)存儲(chǔ)治理”和“終端審計(jì)”，覆蓋了終端合規(guī)五維領(lǐng)域。其中：“終端安全操縱”是在主動(dòng)防備的目標(biāo)下，實(shí)現(xiàn)了與合規(guī)治理緊密相關(guān)的終端安全操縱，即終端內(nèi)網(wǎng)訪問(wèn)操縱、流量操縱、網(wǎng)絡(luò)行為模式操縱、ARP欺騙操縱、非法外聯(lián)操縱等等終端安全操縱手段，保證終端雙向訪問(wèn)安全，行為受控。同時(shí)天珣終端安全操縱還能夠有效監(jiān)控和治理第三方防病毒軟件等惡意代碼查殺工具軟件，協(xié)同構(gòu)建終端主動(dòng)防備能力。“移動(dòng)存儲(chǔ)治理”是作為終端防泄密操縱中，針對(duì)終端通過(guò)移動(dòng)存儲(chǔ)進(jìn)行數(shù)據(jù)交換和共享安全性的要求，天珣單獨(dú)將“移動(dòng)存儲(chǔ)治理”作為一個(gè)模塊，通過(guò)實(shí)現(xiàn)終端的移動(dòng)存儲(chǔ)的認(rèn)證、數(shù)據(jù)加密和共享受控治理，并結(jié)合終端安全操縱模塊和桌面治理模塊所提供的非法外聯(lián)操縱手段，完全解決了用戶對(duì)防泄密操縱中通過(guò)移動(dòng)存儲(chǔ)進(jìn)行數(shù)據(jù)安全交換和受控共享的迫切要求。下表是天珣功能模塊及對(duì)應(yīng)的功能列表：表1天珣產(chǎn)品功能列表序號(hào)模塊名稱功能類表1終端安全操縱終端安全狀態(tài)自動(dòng)檢測(cè)與強(qiáng)制修復(fù)終端訪問(wèn)操縱分布式終端帶寬治理終端基于網(wǎng)絡(luò)行為模式的威脅主動(dòng)防備終端加固IP治理終端多網(wǎng)卡操縱2準(zhǔn)入操縱基于802.1x的網(wǎng)絡(luò)準(zhǔn)入操縱基于EOU的網(wǎng)絡(luò)準(zhǔn)入操縱應(yīng)用準(zhǔn)入操縱終端準(zhǔn)入操縱3桌面治理資產(chǎn)治理HOD遠(yuǎn)程桌面外設(shè)治理補(bǔ)丁治理軟件分發(fā)4移動(dòng)存儲(chǔ)治理移動(dòng)存儲(chǔ)設(shè)備認(rèn)證專用目錄加密與共享授權(quán)全盤(pán)加密與共享授權(quán)移動(dòng)存儲(chǔ)治理審計(jì)5終端審計(jì)文件操作審計(jì)與操縱打印審計(jì)與操縱網(wǎng)站訪問(wèn)審計(jì)與操縱異常路由審計(jì)終端Windows登錄審計(jì) 終端安全操縱天珣確實(shí)是如此一款集中治理的內(nèi)網(wǎng)終端合規(guī)治理系統(tǒng)，其客戶端內(nèi)置強(qiáng)大的終端安全操縱引擎，通過(guò)預(yù)設(shè)策略，實(shí)現(xiàn)對(duì)終端的威脅主動(dòng)防備和終端網(wǎng)絡(luò)行為操縱，保證內(nèi)網(wǎng)安全可靠。終端安全狀態(tài)自動(dòng)檢測(cè)與強(qiáng)制修復(fù)天珣監(jiān)控終端的系統(tǒng)補(bǔ)丁、防病毒軟件、運(yùn)行軟件、弱密碼、可疑的注冊(cè)表等。假如桌面電腦沒(méi)有安裝規(guī)定的補(bǔ)丁，防病毒軟件的運(yùn)行狀態(tài)和升級(jí)狀態(tài)不符合要求，沒(méi)有運(yùn)行指定的軟件、運(yùn)行了禁止的軟件、或運(yùn)行的軟件超出了規(guī)定的范圍，或有其他的安全漏洞，該終端的網(wǎng)絡(luò)訪問(wèn)將被禁止。現(xiàn)在天珣啟動(dòng)自動(dòng)修復(fù)機(jī)制，或提示用戶手工進(jìn)行修復(fù)。待修復(fù)完成，終端將自動(dòng)得到重新訪問(wèn)網(wǎng)絡(luò)的授權(quán)。終端訪問(wèn)操縱天珣內(nèi)置強(qiáng)大的進(jìn)程級(jí)訪問(wèn)操縱內(nèi)核，能夠?qū)崿F(xiàn)針對(duì)終端基于進(jìn)程、端口或協(xié)議的雙向訪問(wèn)的最細(xì)粒度的訪問(wèn)操縱。既能夠?qū)崿F(xiàn)特定終端某一個(gè)指定進(jìn)程（例如IE）能夠訪問(wèn)遠(yuǎn)程的某個(gè)IP、網(wǎng)段或網(wǎng)站；也能夠?qū)崿F(xiàn)兩個(gè)子網(wǎng)內(nèi)終端之間的細(xì)粒度的訪問(wèn)操縱，在不需要對(duì)原有的網(wǎng)絡(luò)做任何調(diào)整的前提下，實(shí)現(xiàn)最細(xì)粒度的內(nèi)網(wǎng)安全域治理。訪問(wèn)操縱策略由治理員集中定義，下發(fā)至終端后，分布式執(zhí)行，簡(jiǎn)潔、高效。天珣通過(guò)對(duì)終端的網(wǎng)絡(luò)行為進(jìn)行集中治理，有效操縱非授權(quán)訪問(wèn)。在連出訪問(wèn)時(shí)，只有滿足治理員制定的安全狀態(tài)策略才同意連出，只能訪問(wèn)許可的地址，只能訪問(wèn)許可的服務(wù)，只能由指定的程序訪問(wèn)。在連入時(shí)，只有滿足治理員制定的安全策略才同意同意連入，只同意指定地址的訪問(wèn)請(qǐng)求，只讓指定的服務(wù)同意指定地址的訪問(wèn)請(qǐng)求，只讓指定的程序提供指定的服務(wù)。終端異常流量抑制傳統(tǒng)的帶寬治理工具多是網(wǎng)關(guān)型的設(shè)備，不能對(duì)每一個(gè)具體的終端進(jìn)行精細(xì)的治理，一個(gè)終端就可能占用全部的有效帶寬。天珣的分布式帶寬治理能夠精細(xì)治理每個(gè)終端上的每個(gè)應(yīng)用程序，每個(gè)端口的帶寬。通過(guò)合理配置，能有效治理終端的異常流量，即使有蠕蟲(chóng)病毒爆發(fā)，也可不能導(dǎo)致網(wǎng)絡(luò)癱瘓。終端基于網(wǎng)絡(luò)行為模式的威脅主動(dòng)防備天珣內(nèi)置基于終端網(wǎng)絡(luò)行為模式的威脅主動(dòng)防備機(jī)制，通過(guò)集中操縱每個(gè)客戶端的網(wǎng)絡(luò)行為，限定網(wǎng)絡(luò)行為的主體、目標(biāo)及服務(wù)，并結(jié)合終端的安全狀態(tài)操縱網(wǎng)絡(luò)訪問(wèn)，能夠有效切斷“獨(dú)立進(jìn)程型”蠕蟲(chóng)病毒的傳播途徑及木馬及黑客的攻擊路線，彌補(bǔ)防病毒軟件“防治滯后”的弱點(diǎn)。通過(guò)監(jiān)控TCP同時(shí)連接數(shù)，減緩蠕蟲(chóng)病毒對(duì)網(wǎng)絡(luò)損害。通過(guò)監(jiān)控UDP的發(fā)包行為，限制異常進(jìn)程的網(wǎng)絡(luò)訪問(wèn)。通過(guò)檢查IP數(shù)據(jù)包包頭，確保數(shù)據(jù)包欺騙不能發(fā)生。通過(guò)監(jiān)控網(wǎng)絡(luò)行為的發(fā)起進(jìn)程，防止木馬以隱藏進(jìn)程方式進(jìn)行網(wǎng)絡(luò)訪問(wèn)。通過(guò)監(jiān)控ARP請(qǐng)求或應(yīng)答包，自動(dòng)綁定網(wǎng)關(guān)MAC，拒絕延遲的ARP應(yīng)答包等方式，防止內(nèi)網(wǎng)ARP欺騙侵害。終端安全加固天珣通過(guò)阻止網(wǎng)上鄰居的匿名訪問(wèn)，禁止Guest帳號(hào)，檢查指定的文件、程序、注冊(cè)表項(xiàng)來(lái)加固終端的安全，有效預(yù)防終端被蠕蟲(chóng)病毒和木馬攻擊。IP治理天珣的IP地址治理支持IP-MAC綁定，MAC-IP綁定，User-IP綁定。IP-MAC綁定功能愛(ài)護(hù)特定的IP地址只能由特定的MAC地址的電腦使用，這愛(ài)護(hù)了服務(wù)器、網(wǎng)絡(luò)設(shè)備或重要用戶的IP地址不被其他人隨便使用。MAC-IP綁定功能使指定的電腦只能使用指定的IP地址，或強(qiáng)制使用DHCP。User-IP綁定確保每個(gè)用戶使用專屬于自己的IP地址，配合動(dòng)態(tài)VLAN技術(shù)，User-IP綁定使用戶在企業(yè)內(nèi)漫游時(shí)也能始終使用自己的IP地址。支持批量設(shè)置綁定，減輕治理員的工作負(fù)荷。多網(wǎng)卡非法外聯(lián)操縱能夠設(shè)定只有與天珣系統(tǒng)通訊的網(wǎng)卡才能發(fā)送和接收數(shù)據(jù)，禁止其他任何網(wǎng)卡發(fā)送和接收數(shù)據(jù)，包括多網(wǎng)卡、撥號(hào)連接，VPN連接等。幸免通過(guò)注冊(cè)表設(shè)置禁用多網(wǎng)卡、撥號(hào)連接而易被破解。實(shí)現(xiàn)對(duì)通過(guò)網(wǎng)絡(luò)的非法外聯(lián)治理，業(yè)界領(lǐng)先的多層準(zhǔn)入操縱天珣終端準(zhǔn)入操縱，確保只有通過(guò)身份驗(yàn)證和安全檢查的終端才能接入內(nèi)網(wǎng)并進(jìn)行受控訪問(wèn)，對(duì)非法或存在安全隱患的終端進(jìn)行隔離和修復(fù)，為內(nèi)網(wǎng)構(gòu)建了一道“內(nèi)網(wǎng)安檢系統(tǒng)”，完全顛覆了傳統(tǒng)內(nèi)網(wǎng)安全治理被動(dòng)治理的局面，并為終端安全合規(guī)提供了強(qiáng)制性的保障能力。天珣采納業(yè)界最完善的多層準(zhǔn)入操縱機(jī)制，從終端到網(wǎng)絡(luò)層，再到企業(yè)應(yīng)用服務(wù)器，提供了客戶端準(zhǔn)入、網(wǎng)絡(luò)準(zhǔn)入和應(yīng)用準(zhǔn)入操縱手段，為企業(yè)提供最靈活、最精確和最可靠的準(zhǔn)入操縱手段，確保每一個(gè)客戶端都符合策略規(guī)則，也確保企業(yè)IT網(wǎng)絡(luò)的每一個(gè)角落都被天珣治理及愛(ài)護(hù)。下圖是天珣多層準(zhǔn)入操縱邏輯圖：圖2多層次準(zhǔn)入操縱圖天珣多層準(zhǔn)入操縱，適應(yīng)各種各樣的網(wǎng)絡(luò)環(huán)境，不管現(xiàn)實(shí)的網(wǎng)絡(luò)環(huán)境有多復(fù)雜，總能夠找到適應(yīng)該網(wǎng)絡(luò)環(huán)境的一種或多種準(zhǔn)入操縱方式，構(gòu)建“內(nèi)網(wǎng)安檢系統(tǒng)”。表2是在不同的網(wǎng)絡(luò)環(huán)境中，能夠選擇的準(zhǔn)入操縱類型：表2不同網(wǎng)絡(luò)環(huán)境能夠選擇的準(zhǔn)入操縱類型可選準(zhǔn)入類型不同網(wǎng)絡(luò)環(huán)境網(wǎng)絡(luò)準(zhǔn)入應(yīng)用準(zhǔn)入客戶端準(zhǔn)入基于802.1x基于EOU匯聚層支持EOU協(xié)議，接入層交換機(jī)支持802.1x協(xié)議√√√√匯聚層支持EOU協(xié)議，接入層交換機(jī)不支持802.1x協(xié)議×√√√匯聚層不支持EOU協(xié)議，接入層交換機(jī)支持802.1x協(xié)議√×√√匯聚層不支持EOU協(xié)議，接入層交換機(jī)不支持802.1x協(xié)議××√√天珣能夠作為準(zhǔn)入操縱認(rèn)證的所有條件，在實(shí)際部署中，假如所選擇的認(rèn)證條件中一個(gè)或多個(gè)不滿足時(shí)，天珣均會(huì)認(rèn)為安全狀態(tài)不符合要求，通過(guò)準(zhǔn)入操縱手段，提示狀態(tài)不符，并觸發(fā)友好提示、重新認(rèn)證或阻斷其網(wǎng)絡(luò)行為，直到終端安全狀態(tài)完全滿足。表3多因素準(zhǔn)入操縱認(rèn)證準(zhǔn)入操縱類型認(rèn)證條件不滿足網(wǎng)絡(luò)準(zhǔn)入應(yīng)用準(zhǔn)入客戶端準(zhǔn)入標(biāo)準(zhǔn)802.1x漫游IP網(wǎng)段的802.1xEOU天珣客戶端安裝運(yùn)行認(rèn)證拒絕接入拒絕接入，禁止訪問(wèn)，提示安裝禁止訪問(wèn)，提示安裝禁止訪問(wèn)安全狀態(tài)認(rèn)證（補(bǔ)丁狀態(tài)、進(jìn)程狀態(tài)、防病毒狀態(tài)…）禁止訪問(wèn)，提示修復(fù)禁止訪問(wèn)，提示修復(fù)禁止訪問(wèn)，提示修復(fù)禁止訪問(wèn)，提示修復(fù)禁止訪問(wèn)，提示修復(fù)用戶認(rèn)證拒絕接入拒絕接入禁止訪問(wèn)禁止訪問(wèn)不生效可信MAC認(rèn)證拒絕接入拒絕接入禁止訪問(wèn)禁止訪問(wèn)禁止訪問(wèn)組合認(rèn)證User+IP+認(rèn)證有效期拒絕接入改回設(shè)定IP地址禁止訪問(wèn)改回設(shè)定IP地址改回設(shè)定IP地址User+MAC+認(rèn)證有效期拒絕接入拒絕接入禁止訪問(wèn)禁止訪問(wèn)禁止訪問(wèn)MAC+IP+認(rèn)證有效期拒絕接入改回設(shè)定IP地址禁止訪問(wèn)改回設(shè)定IP地址改回設(shè)定IP地址User+IP+MAC+認(rèn)證有效期拒絕接入拒絕接入禁止訪問(wèn)禁止訪問(wèn)禁止訪問(wèn)可匿名用戶認(rèn)證：當(dāng)啟用可匿名的用戶認(rèn)證，能夠同意安裝了客戶端的終端匿名登錄，登錄后將自動(dòng)獵取訪客策略，使其對(duì)內(nèi)網(wǎng)訪問(wèn)完全受控。利用該認(rèn)證方式，可實(shí)現(xiàn)對(duì)外來(lái)電腦的有效治理。基于802.1x的網(wǎng)絡(luò)準(zhǔn)入操縱天珣支持國(guó)際標(biāo)準(zhǔn)802.1X協(xié)議，與支持該協(xié)議的網(wǎng)絡(luò)接入設(shè)備共同完成網(wǎng)絡(luò)準(zhǔn)入操縱。只有受天珣治理同時(shí)符合企業(yè)安全策略的電腦才同意接入企業(yè)網(wǎng)絡(luò)，否則被隔離在企業(yè)網(wǎng)絡(luò)之外，或被自動(dòng)劃分到特定的VLAN當(dāng)中進(jìn)行修復(fù)。網(wǎng)絡(luò)準(zhǔn)入操縱從物理上保證只有通過(guò)身份認(rèn)證和安全認(rèn)證的電腦才能接入企業(yè)網(wǎng)絡(luò)上，同時(shí)使用者也通過(guò)了身份認(rèn)證，將不安全的電腦和用戶拒之門(mén)外，完全消除蠕蟲(chóng)病毒、木馬的侵害及不有用心的偷窺和網(wǎng)絡(luò)濫用。圖3基于802.1x網(wǎng)絡(luò)準(zhǔn)入操縱示例圖天珣支持主流網(wǎng)絡(luò)廠商的交換機(jī)設(shè)備，支持的廠家包括CISCO、H3C、華為、3COM、銳捷、DLink等業(yè)界主流網(wǎng)絡(luò)廠商，并能夠?qū)崿F(xiàn)支持802.1x協(xié)議的多品牌廠商網(wǎng)絡(luò)設(shè)備混合網(wǎng)絡(luò)準(zhǔn)入操縱，最大限度愛(ài)護(hù)用戶在網(wǎng)絡(luò)設(shè)備的已有投資。天珣基于802.1x網(wǎng)絡(luò)準(zhǔn)入認(rèn)證的內(nèi)容，包括用戶名/密碼、IP地址、MAC地址、計(jì)算機(jī)安全狀態(tài)、接入有效期等一種或多種條件的組合。天珣在標(biāo)準(zhǔn)802.1x認(rèn)證策略的基礎(chǔ)上，制造性支持漫游IP網(wǎng)段準(zhǔn)入操縱擴(kuò)展認(rèn)證功能，加入客戶端歸屬網(wǎng)段概念。客戶端漫游接入非歸屬網(wǎng)段，系統(tǒng)將強(qiáng)制其通過(guò)DHCP獵取漫游網(wǎng)段的IP地址。基于EOU的網(wǎng)絡(luò)準(zhǔn)入操縱天珣支持思科NAC的EAPOverUDP網(wǎng)絡(luò)準(zhǔn)入，在接入交換機(jī)不支持802.1x的環(huán)境下，假如匯聚層采納的是CISCO支持EOU協(xié)議的網(wǎng)絡(luò)設(shè)備，依舊能夠驗(yàn)證終端的安全狀態(tài)，隔離不安全的終端，用戶電腦無(wú)客戶端程序則重定向用戶的URL訪問(wèn)到指定的網(wǎng)頁(yè)進(jìn)行安裝，并修復(fù)其安全漏洞。天珣擴(kuò)展了EoU協(xié)議，支持在EoU協(xié)議上的用戶認(rèn)證，只有通過(guò)用戶認(rèn)證才能接著進(jìn)行安全驗(yàn)證。

圖4基于EOU的網(wǎng)絡(luò)準(zhǔn)入操縱示例圖應(yīng)用準(zhǔn)入操縱天珣采納多種策略網(wǎng)關(guān)，為企業(yè)的關(guān)鍵系統(tǒng)和應(yīng)用提供準(zhǔn)入操縱手段。只有受天珣治理同時(shí)符合安全策略的電腦才同意訪問(wèn)企業(yè)的這些系統(tǒng)及應(yīng)用。系統(tǒng)及應(yīng)用準(zhǔn)入操縱為企業(yè)關(guān)鍵的業(yè)務(wù)系統(tǒng)提供最后的安全保證，杜絕非授權(quán)訪問(wèn)或黑客攻擊。圖5應(yīng)用準(zhǔn)入操縱示例圖天珣差不多支持的應(yīng)用準(zhǔn)入類型特不豐富，用戶總能其中找到一種或幾種適合自己網(wǎng)絡(luò)和合規(guī)治理要求的應(yīng)用平臺(tái)，在該平臺(tái)上面同時(shí)啟用應(yīng)用準(zhǔn)入。天珣差不多支持的應(yīng)用準(zhǔn)入類型有：按應(yīng)用系統(tǒng)分類：Web、Mail、DNS、ISAProxy。按操作系統(tǒng)分類：Windows、Linux。下表是天珣差不多具備針對(duì)不同的應(yīng)用的策略網(wǎng)關(guān)類型，總能夠從下面的表中，找到一種或幾種適合的應(yīng)用準(zhǔn)入操縱方案：表3針對(duì)不同應(yīng)用天珣具備豐富的策略網(wǎng)關(guān)類型策略網(wǎng)關(guān)類型支持的應(yīng)用類型不同平臺(tái)下可選擇的策略網(wǎng)關(guān)WindowsLinuxWeb應(yīng)用IIS策略網(wǎng)關(guān)中性策略網(wǎng)關(guān)forLinuxProxy應(yīng)用ISA策略網(wǎng)關(guān)中性策略網(wǎng)關(guān)forLinuxDNS應(yīng)用中性策略網(wǎng)關(guān)forWindows中性策略網(wǎng)關(guān)forLinux其他應(yīng)用類型中性策略網(wǎng)關(guān)forWindows中性策略網(wǎng)關(guān)forLinux除此之外，天珣能夠啟明星辰天清漢馬USG實(shí)現(xiàn)準(zhǔn)入操縱互動(dòng)，由USG擔(dān)當(dāng)準(zhǔn)入操縱網(wǎng)關(guān)，當(dāng)終端需要通過(guò)USG進(jìn)行訪問(wèn)時(shí)，由USG和天珣聯(lián)動(dòng)，只容許認(rèn)證通過(guò)同時(shí)安全狀態(tài)符合要求的終端通過(guò)USG進(jìn)行訪問(wèn)。天珣應(yīng)用準(zhǔn)入操縱能夠單獨(dú)只啟用一種平臺(tái)應(yīng)用準(zhǔn)入，也能夠同時(shí)啟用多個(gè)平臺(tái)應(yīng)用準(zhǔn)入，也能夠網(wǎng)絡(luò)準(zhǔn)入操縱同時(shí)啟用，組成“網(wǎng)絡(luò)準(zhǔn)入+應(yīng)用準(zhǔn)入”復(fù)合準(zhǔn)入操縱體系，全面覆蓋用戶內(nèi)網(wǎng)每一個(gè)區(qū)域和角落。客戶端準(zhǔn)入操縱安裝有天珣系統(tǒng)客戶端的桌面電腦在同意訪問(wèn)時(shí)，能夠依照治理員的配置檢查對(duì)方的電腦是否運(yùn)行了天珣系統(tǒng)客戶端，并檢查自身的安全狀態(tài)是否符合規(guī)范。假如對(duì)方電腦未安裝客戶端，或本機(jī)不符合安全策略要求，則拒絕其訪問(wèn)。圖6客戶端準(zhǔn)入操縱示例圖當(dāng)天珣客戶端電腦訪問(wèn)網(wǎng)絡(luò)，也會(huì)先檢查自身的安全狀態(tài)是否合格，假如不合格，將限制自身的網(wǎng)絡(luò)訪問(wèn)。天珣客戶端準(zhǔn)入操縱，制造性將每一臺(tái)終端都成為準(zhǔn)入操縱點(diǎn)，保證每臺(tái)終端只同意安全可信的終端進(jìn)行訪問(wèn)，并只在安全狀態(tài)合格時(shí)訪問(wèn)網(wǎng)絡(luò)，實(shí)現(xiàn)最細(xì)粒度準(zhǔn)入操縱。天珣客戶端具備網(wǎng)絡(luò)阻斷功能，在客戶端安全狀態(tài)不符合要求時(shí)，客戶端自身能不依靠網(wǎng)絡(luò)設(shè)備、不依靠網(wǎng)絡(luò)上其他的電腦或設(shè)備獨(dú)立執(zhí)行網(wǎng)絡(luò)訪問(wèn)阻斷天珣更支持強(qiáng)大的選擇性阻斷，在客戶端安全狀態(tài)不符合要求時(shí)，客戶端能依照治理員的配置，通過(guò)進(jìn)程、端口、目標(biāo)地址等選擇性地阻止部分非緊急業(yè)務(wù)的網(wǎng)絡(luò)訪問(wèn)，而同意其他緊急業(yè)務(wù)的網(wǎng)絡(luò)訪問(wèn)。當(dāng)啟用基于802.1X網(wǎng)絡(luò)準(zhǔn)入時(shí)，選擇性阻斷技術(shù)保證客戶端安全狀態(tài)的改變可不能導(dǎo)致交換機(jī)端口狀態(tài)的頻繁切換或VLAN的頻繁切換而阻礙交換機(jī)和網(wǎng)絡(luò)的性能；當(dāng)啟用基于EoU時(shí)，選擇性阻斷技術(shù)保證客戶端安全狀態(tài)的改變可不能導(dǎo)致交換機(jī)頻繁下載ACL而阻礙交換機(jī)和網(wǎng)絡(luò)的性能。當(dāng)不啟用網(wǎng)絡(luò)準(zhǔn)入時(shí)，選擇性阻斷保證客戶端不依靠其他任何設(shè)備執(zhí)行緊急業(yè)務(wù)和非緊急業(yè)務(wù)的分類阻斷。網(wǎng)絡(luò)準(zhǔn)入增值應(yīng)用動(dòng)態(tài)VLANVLAN在操縱廣播域的范圍、網(wǎng)絡(luò)安全、第三層地址的治理、和網(wǎng)絡(luò)資源的集中治理方面有重要的意義。傳統(tǒng)的基于交換機(jī)端口劃分VLAN的方式因?yàn)椴混`活以及對(duì)治理員的工作量太大而不能滿足今天移動(dòng)用戶的VLAN治理需求。天珣能夠依照用戶的登錄名或電腦MAC地址動(dòng)態(tài)劃分VLAN，不管用戶移動(dòng)到公司的哪個(gè)地點(diǎn)接入到網(wǎng)絡(luò)，都將能夠自動(dòng)屬于他被分配的VLAN，而不用治理員手工干預(yù)。動(dòng)態(tài)ACL在交換機(jī)的傳統(tǒng)ACL配置中，只能針對(duì)端口或IP地址設(shè)置ACL。天珣能夠在EoU的環(huán)境下，針對(duì)登錄用戶名和電腦的MAC地址為每一臺(tái)電腦下發(fā)動(dòng)態(tài)ACL，極大地?cái)U(kuò)展了交換機(jī)的配置能力。外來(lái)電腦治理關(guān)于外來(lái)電腦，企業(yè)有時(shí)專門(mén)難要求其與本公司電腦啟用相同的安全策略。天珣能夠通過(guò)支持802.1X的網(wǎng)絡(luò)交換機(jī)將外來(lái)電腦自動(dòng)劃分到GuestVLAN，或通過(guò)啟用訪客策略，嚴(yán)格限制外來(lái)電腦的訪問(wèn)權(quán)限，即使其安全狀態(tài)不符合規(guī)范，甚至有蠕蟲(chóng)病毒或木馬，也可不能對(duì)企業(yè)網(wǎng)絡(luò)造成危害，同時(shí)杜絕了任何外來(lái)電腦的非授權(quán)訪問(wèn)問(wèn)題。桌面治理功能具備執(zhí)行力的終端合規(guī)治理，要求精確和完整的終端信息作為合規(guī)治理基礎(chǔ)，因此合規(guī)治理系統(tǒng)需要精確和完整的桌面信息治理。天珣改變傳統(tǒng)的桌面治理軟件多是一種“盡力而為”的治理模式，即需要用戶配合安裝客戶端，運(yùn)行客戶端，假如用戶卸載或停用客戶端，治理員將對(duì)客戶電腦失去治理，依托準(zhǔn)入操縱技術(shù)，確保100%的終端都部署和運(yùn)行了客戶端軟件，第一次使治理員有了確定性的桌面治理手段，治理企業(yè)IT資產(chǎn)，治理桌面運(yùn)行軟件，進(jìn)行補(bǔ)丁治理，軟件分發(fā)，操縱PC的外設(shè)使用，并使用創(chuàng)新的“按需支援（HOD:HelpOnDemand）”技術(shù)進(jìn)行遠(yuǎn)程桌面支持。與安全防護(hù)功能集成的桌面治理將使治理員有了全新的治理手段，并使治理手段擁有前所未有的執(zhí)行力。資產(chǎn)治理由于電腦硬件及軟件的更新和變化，IT維護(hù)人員和財(cái)務(wù)部門(mén)對(duì)企業(yè)的IT資產(chǎn)的治理和統(tǒng)計(jì)經(jīng)常處于一種無(wú)序及手工統(tǒng)計(jì)的狀態(tài)，當(dāng)IT資產(chǎn)更新頻繁時(shí)，原來(lái)的IT資產(chǎn)治理記錄往往由于治理的滯后和對(duì)實(shí)際情況的掌握程度不夠無(wú)法及時(shí)更新，從而造成IT資產(chǎn)治理的混亂，維護(hù)人員關(guān)于IT資產(chǎn)的最新情況不了解也對(duì)IT運(yùn)行服務(wù)造成了障礙。天珣資產(chǎn)治理模塊自動(dòng)收集企業(yè)用戶的IT設(shè)備的硬件配置，如客戶端計(jì)算機(jī)的BIOS參數(shù)、CPU型號(hào)、內(nèi)存數(shù)量，硬盤(pán)類型，硬盤(pán)序列號(hào)，硬盤(pán)容量及分區(qū)，主板序列號(hào)等，顯卡類型，各種外設(shè)等信息；軟件信息，如操作系統(tǒng)，安裝軟件等；以及跟蹤相關(guān)信息的變化。為治理員進(jìn)行系統(tǒng)維護(hù)，技術(shù)支持，軟件部署，IT開(kāi)支預(yù)算及統(tǒng)計(jì)提供及時(shí)的信息。開(kāi)放靈活的架構(gòu)天珣通用桌面治理套件資產(chǎn)治理采納開(kāi)放式架構(gòu)，使用Windows腳本技術(shù)，靈活動(dòng)態(tài)收集企業(yè)資產(chǎn)信息。天珣策略系統(tǒng)的開(kāi)放架構(gòu)的腳本技術(shù)使資產(chǎn)收集腳本規(guī)則化，系統(tǒng)不用更新客戶端程序就能改變信息采集方式，改變數(shù)據(jù)庫(kù)內(nèi)容，改變顯示方式。這些腳本能夠由啟明星辰提供，也可由系統(tǒng)治理員依照自己的需要自己定制，這種靈活性是天珣通用桌面治理套件資產(chǎn)優(yōu)于其它系統(tǒng)的最要緊特征。集中的Web治理操縱臺(tái)治理員能夠從一個(gè)中央操縱臺(tái)保存和追蹤各系統(tǒng)的有關(guān)信息，例如處理器類型、BIOS類型及序列號(hào)、顯示適配器、內(nèi)存、硬盤(pán)等。差異化傳輸客戶端在初次掃描時(shí)會(huì)將全部信息都傳輸給服務(wù)器，在以后的掃描及傳輸過(guò)程中，只對(duì)有變化的部分傳輸給服務(wù)器，如此大大提高傳輸效率，減小傳輸過(guò)程對(duì)網(wǎng)絡(luò)的阻礙。HelpOnDemand遠(yuǎn)程桌面天珣HOD系統(tǒng)在企業(yè)中心IT部門(mén)對(duì)在各園區(qū)的需要關(guān)心的計(jì)算機(jī)進(jìn)行遠(yuǎn)程操作，關(guān)心遠(yuǎn)程的客戶端進(jìn)行異地操作和檢查系統(tǒng)問(wèn)題，充分發(fā)揮、共享中心IT部門(mén)的技術(shù)優(yōu)勢(shì)，為企業(yè)IT部門(mén)節(jié)約各園區(qū)駐地成本和交通成本，節(jié)約時(shí)刻，提高運(yùn)維服務(wù)的效率，達(dá)到成本與服務(wù)質(zhì)量的雙重效益。天珣HOD完全符合企業(yè)的現(xiàn)實(shí)需求，并獨(dú)具有多種工作模式，能夠完全覆蓋企業(yè)多種遠(yuǎn)程關(guān)心和支持的情況。天珣HOD要緊的工作模式：NULL客戶端模式和Agent模式。NULL客戶端模式：用戶端無(wú)需安裝任何軟件，用戶需要關(guān)心時(shí)從企業(yè)內(nèi)部網(wǎng)上下載客戶端軟件，只能由用戶主動(dòng)向治理員發(fā)起連接，治理員在治理端操作用戶的電腦，關(guān)心用戶排除故障，故障排除后自動(dòng)銷毀客戶端程序。用戶能夠看見(jiàn)治理員所有的操作，消除用戶感受被操縱和被偷窺的“心理恐懼”。Agent模式：用戶端安裝天珣HODAgent作為Service運(yùn)行。既能夠由用戶端發(fā)起連接，也能夠由治理員端發(fā)起連接。補(bǔ)丁治理Windows的ServicePack和各種安全更新是愛(ài)護(hù)Windows免受黑客程序攻擊的最有效的屏障，Windows操作系統(tǒng)隨時(shí)會(huì)有新的ServicePack，或其他的安全更新，如何關(guān)心職員及時(shí)安裝最新的ServicePack或安全更新？天珣補(bǔ)丁治理自動(dòng)關(guān)心職員及時(shí)安裝最新的ServicePack或安全更新。天珣補(bǔ)丁治理支持多種操作系統(tǒng)語(yǔ)言版本，為企業(yè)的不同國(guó)家或地區(qū)的職員提供良好的支持。治理員使用天珣補(bǔ)丁治理將獲得更好的治理體驗(yàn)，更輕松的操作。在天珣中，補(bǔ)丁的獲得和配置差不多上自動(dòng)的，同時(shí)提供多種補(bǔ)丁安裝選項(xiàng)，比如自動(dòng)下載自動(dòng)安裝、自動(dòng)下載手工安裝、手工下載手工安裝等。治理員能夠通過(guò)報(bào)表查看網(wǎng)絡(luò)中每個(gè)電腦安裝的補(bǔ)丁情況，也能夠查看每個(gè)補(bǔ)丁在網(wǎng)絡(luò)中的安裝情況。天珣支持與微軟WSUS的聯(lián)動(dòng)，無(wú)需計(jì)算機(jī)加入域，自動(dòng)下發(fā)補(bǔ)丁安裝策略，完成補(bǔ)丁的分發(fā)，保證計(jì)算機(jī)及時(shí)打上微軟公布的最新補(bǔ)丁，防止安全漏洞被利用。進(jìn)程治理在企業(yè)網(wǎng)絡(luò)環(huán)境中，客戶端軟件環(huán)境的標(biāo)準(zhǔn)化能為桌面維護(hù)治理帶來(lái)多方面的效益。能降低桌面維護(hù)的復(fù)雜程度，確保企業(yè)的關(guān)鍵軟件應(yīng)用能夠貫徹實(shí)施，通過(guò)禁止運(yùn)行某些應(yīng)用來(lái)提高工作效率等。天珣進(jìn)程治理通過(guò)定義終端設(shè)備進(jìn)程的紅名單，黑名單，白名單，實(shí)現(xiàn)自動(dòng)、高效的進(jìn)程治理功能，完全覆蓋用戶對(duì)進(jìn)程治理的要求。在天珣GDM中所定義的紅名單、黑名單和白名單如下：紅名單：終端設(shè)備必須運(yùn)行的軟件。黑名單：終端設(shè)備禁止運(yùn)行的軟件。白名單：終端設(shè)備只能運(yùn)行的軟件清單。PC外設(shè)治理企業(yè)職員隨意使用PC周邊設(shè)備可能導(dǎo)致敏感資料外泄或病毒廣泛傳播。天珣PC外設(shè)治理靈活操縱用戶電腦的硬件資源使用情況，比如操縱電腦的并口，串口，USB口，移動(dòng)存儲(chǔ)設(shè)備，MODEM撥號(hào)，在敏感的環(huán)境中愛(ài)護(hù)公司的機(jī)密，確保公司職員與外界的信息交換在治理人員的操縱下進(jìn)行，防止通過(guò)終端外設(shè)進(jìn)行非法外聯(lián)，并減小病毒傳播風(fēng)險(xiǎn)。軟件分發(fā)支持多種安裝包格式：MSI安裝包、自定義打包格式安裝包、可執(zhí)行文件、批處理文件；支持多種安裝方式：SMB直接安裝、HTTP下載安裝、SMB下載安裝支持安裝、卸載、更新等操作；支持多種操作系統(tǒng)：支持Windows系列操作系統(tǒng)，包括Windows98/ME、WindowsNT、Windows2000/2003/XP多用戶軟件分發(fā)，能夠同時(shí)向多個(gè)客戶端分發(fā)軟件包；靈活的分發(fā)時(shí)刻操縱：能夠指定在某個(gè)時(shí)刻范圍進(jìn)行軟件分發(fā)；支持續(xù)傳機(jī)制，即假如在軟件分發(fā)過(guò)程中由于某種緣故導(dǎo)致分發(fā)過(guò)程停止，則下次開(kāi)始分發(fā)的時(shí)候能夠從上次停止的地點(diǎn)接著進(jìn)行軟件分發(fā)，直到完成為止；分發(fā)過(guò)程中的實(shí)時(shí)狀態(tài)反饋，治理員但是實(shí)時(shí)查看所有分發(fā)任務(wù)進(jìn)行的狀態(tài)；移動(dòng)存儲(chǔ)治理天珣移動(dòng)存儲(chǔ)治理，是解決終端通過(guò)移動(dòng)存儲(chǔ)進(jìn)行數(shù)據(jù)交換和共享過(guò)程中，防泄密操縱的要求，通過(guò)實(shí)現(xiàn)終端的移動(dòng)存儲(chǔ)的認(rèn)證、數(shù)據(jù)加密和共享受控治理，完全解決了用戶對(duì)防泄密操縱中通過(guò)移動(dòng)存儲(chǔ)進(jìn)行數(shù)據(jù)安全交換和受控共享的迫切要求。天珣移動(dòng)存儲(chǔ)治理，能夠?qū)崿F(xiàn)移動(dòng)存儲(chǔ)設(shè)備的認(rèn)證和設(shè)備使用授權(quán)，只有認(rèn)證的移動(dòng)存儲(chǔ)存儲(chǔ)設(shè)備和具有使用權(quán)限的用戶才能使用。關(guān)于認(rèn)證過(guò)的的移動(dòng)存儲(chǔ)設(shè)備，能夠依照防泄密操縱要求的高低，能夠選擇多種數(shù)據(jù)保存和共享授權(quán)方式。能夠只認(rèn)證設(shè)備，不對(duì)其中保存數(shù)據(jù)進(jìn)行加密共享；也能夠?qū)φJ(rèn)證的設(shè)備選擇專用目錄或全盤(pán)加密共享，并能夠?qū)σ苿?dòng)設(shè)備使用全過(guò)程進(jìn)行審計(jì)，方便在發(fā)生意外時(shí)進(jìn)行查證。移動(dòng)存儲(chǔ)設(shè)備認(rèn)證在內(nèi)網(wǎng)終端啟用天珣移動(dòng)存儲(chǔ)設(shè)備認(rèn)證后，當(dāng)未經(jīng)授權(quán)的移動(dòng)存儲(chǔ)設(shè)備（例如U盤(pán)、移動(dòng)硬盤(pán)等），通過(guò)USB接口接入電腦，天珣將自動(dòng)彈出認(rèn)證提示框，要求用戶填寫(xiě)相關(guān)信息后，發(fā)送給治理操縱臺(tái)，經(jīng)治理員確認(rèn)并按照移動(dòng)存儲(chǔ)治理規(guī)章對(duì)該移動(dòng)存儲(chǔ)進(jìn)行確認(rèn)和相應(yīng)授權(quán)后，該移動(dòng)存儲(chǔ)設(shè)備才可使用。通過(guò)認(rèn)證的設(shè)備可給予指定用戶讀、寫(xiě)、加密寫(xiě)等權(quán)限。保證只有通過(guò)認(rèn)證的、確認(rèn)安全的移動(dòng)存儲(chǔ)設(shè)備才能在內(nèi)網(wǎng)中使用，消除不明來(lái)歷的移動(dòng)存儲(chǔ)通過(guò)終端接入內(nèi)網(wǎng)后，可能帶來(lái)的病毒傳播等隱患。專用目錄數(shù)據(jù)加密與共享授權(quán)假如需要通過(guò)天珣認(rèn)證過(guò)的移動(dòng)存儲(chǔ)設(shè)備，進(jìn)行對(duì)重要數(shù)據(jù)的共享傳播，能夠在認(rèn)證時(shí)，啟用專用目錄數(shù)據(jù)加密，所有保存在專用目錄下的數(shù)據(jù)將自動(dòng)被加密，然后能夠?qū)Ｓ媚夸浿斜Ｃ軘?shù)據(jù)進(jìn)行共享授權(quán)，確保只能在受控終端由具有訪問(wèn)權(quán)限的用戶共享。假如移動(dòng)存儲(chǔ)設(shè)備意外丟失，保證存儲(chǔ)在專用加密目錄下的數(shù)據(jù)安全。專用目錄數(shù)據(jù)加密與共享授權(quán)關(guān)于通過(guò)天珣認(rèn)證過(guò)的移動(dòng)存儲(chǔ)設(shè)備，也能夠選擇全盤(pán)數(shù)據(jù)加密，所有保存在移動(dòng)存儲(chǔ)上面的數(shù)據(jù)將被自動(dòng)被加密，然后能夠?qū)Ｓ媚夸浿斜Ｃ軘?shù)據(jù)進(jìn)行共享授權(quán)，確保只能在受控終端由具有訪問(wèn)權(quán)限的用戶共享。即使意外丟失，也能夠保證所有保存在移動(dòng)存儲(chǔ)設(shè)備的重要數(shù)據(jù)安全。移動(dòng)存儲(chǔ)設(shè)備治理審計(jì)天珣提供移動(dòng)存儲(chǔ)認(rèn)證、使用和數(shù)據(jù)共享全過(guò)程的審計(jì)，方便在發(fā)生意外時(shí)進(jìn)行查證。終端審計(jì)審計(jì)在內(nèi)網(wǎng)合規(guī)治理中，具有特不重要的意義，不僅能夠檢驗(yàn)合規(guī)治理效果，而且也是促進(jìn)內(nèi)網(wǎng)安全狀況動(dòng)態(tài)持續(xù)改善。圍繞內(nèi)網(wǎng)合規(guī)治理要求，天珣提供與內(nèi)網(wǎng)合規(guī)治理緊密關(guān)聯(lián)的終端審計(jì)功能，實(shí)現(xiàn)內(nèi)網(wǎng)安全狀況持續(xù)改善提供保證。天珣提供的終端審計(jì)功能，包括“文件操作審計(jì)與操縱”，“打印審計(jì)與操縱”，“網(wǎng)站訪問(wèn)審計(jì)與操縱”，“異常路由審計(jì)”和“終端Windows登錄審計(jì)”。天珣在上述五類終端審計(jì)對(duì)象中，所審計(jì)的內(nèi)容只是跟內(nèi)網(wǎng)安全合規(guī)相關(guān)的信息，不對(duì)涉及終端用戶的個(gè)人隱私信息，例如網(wǎng)上談天記錄、上網(wǎng)掃瞄的內(nèi)容、打印文件的內(nèi)容、登錄用戶的密碼等等進(jìn)行審計(jì)，保證在達(dá)到合規(guī)治理的審計(jì)要求的前提下，愛(ài)護(hù)終端用戶個(gè)人私隱。文件操作審計(jì)與操縱天珣文件操作審計(jì)與操縱功能，可對(duì)指定目錄文件或指定文件名后綴的讀、寫(xiě)、新建、復(fù)制、刪除、改名、移動(dòng)等操作進(jìn)行審計(jì)，對(duì)指定目錄文件或指定文件名后綴的讀、寫(xiě)、新建、刪除、改名、移動(dòng)等操作進(jìn)行阻斷。關(guān)于終端共享目錄的訪問(wèn)以及用戶訪問(wèn)網(wǎng)絡(luò)文件也可進(jìn)行詳盡的審計(jì)。打印審計(jì)與操縱天珣打印審計(jì)與操縱，能夠?qū)崿F(xiàn)通過(guò)內(nèi)網(wǎng)終端進(jìn)行本地打印或網(wǎng)絡(luò)打印的行為進(jìn)行審計(jì)；也能夠直接通過(guò)天珣對(duì)終端打印進(jìn)行操縱，禁止通過(guò)打印限制的終端進(jìn)行打印，愛(ài)護(hù)用戶有限的打印資源。網(wǎng)站訪問(wèn)審計(jì)與操縱天珣提供終端用戶網(wǎng)站訪問(wèn)審計(jì)與操縱功能，能夠針對(duì)網(wǎng)站關(guān)鍵字進(jìn)行審計(jì)，也能夠通過(guò)網(wǎng)站關(guān)鍵字進(jìn)行網(wǎng)站訪問(wèn)操縱，設(shè)置網(wǎng)站白名單和黑名單，即只能訪問(wèn)的網(wǎng)站和禁止訪問(wèn)的網(wǎng)站。天珣還能夠?qū)徲?jì)和操縱終端通過(guò)http代理網(wǎng)站訪問(wèn)，規(guī)范終端用戶上網(wǎng)行為。異常路由審計(jì)天珣內(nèi)置的異常路由審計(jì)功能，能夠通過(guò)審計(jì)內(nèi)網(wǎng)終端路由異常，發(fā)覺(jué)終端可能存在非法外聯(lián)，關(guān)心用戶及時(shí)發(fā)覺(jué)和修補(bǔ)合規(guī)治理漏洞。終端Windows登錄審計(jì)天珣能夠?qū)γ颗_(tái)終端的Windows系統(tǒng)登錄情況進(jìn)行審計(jì)，掌握每臺(tái)終端用戶活躍情況，為優(yōu)化內(nèi)網(wǎng)合規(guī)治理，提供參考。體系架構(gòu)與部署方式CSC系統(tǒng)體系架構(gòu)天珣使用目前最適合做桌面治理的系統(tǒng)架構(gòu)的基于可信任計(jì)算的CSC架構(gòu)（CSC=Clients+Server+Checkpoint，其中Checkpoint中文名稱是準(zhǔn)入操縱檢查點(diǎn)，是天珣準(zhǔn)入生效和執(zhí)行點(diǎn)，具體在系統(tǒng)中是指應(yīng)用準(zhǔn)入和網(wǎng)絡(luò)準(zhǔn)入生效的服務(wù)器或網(wǎng)絡(luò)設(shè)備）。CSC體系架構(gòu)因具備了完整的操縱操縱檢查點(diǎn)，使天珣具備其他傳統(tǒng)意義的終端治理產(chǎn)品所不可能具備的100%的執(zhí)行力和卓越的可靠性、安全性、擴(kuò)展性和健壯性。確保治理無(wú)盲點(diǎn)，具有無(wú)比的強(qiáng)制性。策略服務(wù)器（Server）策略服務(wù)器用于配置治理客戶端安全策略，分發(fā)策略給客戶端代理及策略網(wǎng)關(guān)，分發(fā)補(bǔ)丁、病毒定義碼或軟件以修補(bǔ)客戶端安全漏洞，并可從策略服務(wù)器查詢企業(yè)網(wǎng)絡(luò)任何一個(gè)終端的安全狀態(tài)。天珣支持分布式多服務(wù)器架構(gòu)，集中治理全球范圍內(nèi)的任意多個(gè)策略服務(wù)器，分布式多服務(wù)器架構(gòu)使天珣具有優(yōu)秀的容錯(cuò)性、可伸縮性?？蛻舳舜恚–lients）客戶端代理從策略服務(wù)器獵取策略規(guī)則，在客戶端執(zhí)行策略規(guī)則，檢查其安全狀態(tài)，執(zhí)行終端綜合防護(hù)，并將客戶端安全狀態(tài)報(bào)告給策略服務(wù)器。天珣客戶端是模塊化的組件，支持多種模塊化的組件，以滿足用戶以一個(gè)客戶端完成多種安全或治理的需求。策略網(wǎng)關(guān)（Checkpoint）策略網(wǎng)關(guān)是執(zhí)行應(yīng)用準(zhǔn)入的強(qiáng)制組件。策略網(wǎng)關(guān)從策略服務(wù)器獵取策略規(guī)則，以準(zhǔn)入操縱手段強(qiáng)制執(zhí)行企業(yè)安全策略，拒絕不符合安全策略的終端訪問(wèn)企業(yè)的關(guān)鍵系統(tǒng)及應(yīng)用。包括天清漢馬USG在內(nèi)，天珣具備多種類型的策略網(wǎng)關(guān)和應(yīng)用準(zhǔn)入類型。圖7天珣架構(gòu)示意圖部署方式天珣一般部署方式如下：1、依照所要治理的終端數(shù)量、區(qū)域劃分配置和部署一到多臺(tái)天珣策略服務(wù)器（其中也能夠同時(shí)安裝資產(chǎn)治理服務(wù)器、Radius服務(wù)器等天珣功能服務(wù)器），構(gòu)一級(jí)或多級(jí)服務(wù)器治理架構(gòu)；2、至少要在一個(gè)應(yīng)用服務(wù)器部署策略網(wǎng)關(guān)，并啟用應(yīng)用準(zhǔn)入，作為準(zhǔn)入操縱檢查點(diǎn)；3、借助應(yīng)用準(zhǔn)入提供的客戶端安裝檢測(cè)和部署能力，用戶自助部署客戶端；4、假如需要啟用網(wǎng)絡(luò)準(zhǔn)入，需要先對(duì)支持802.1x或EOU的網(wǎng)絡(luò)設(shè)備啟用相應(yīng)的網(wǎng)絡(luò)準(zhǔn)入配置選項(xiàng)。5、依照合規(guī)治理要求，定義和下發(fā)相應(yīng)策略安全策略到終端、策略網(wǎng)關(guān)和后臺(tái)功能服務(wù)器執(zhí)行。下圖確實(shí)是天珣典型安裝部署圖：圖8天珣典型安裝部署示意圖系統(tǒng)特性領(lǐng)先的CSC系統(tǒng)架構(gòu)天珣不僅是一個(gè)治理工具，更是一個(gè)領(lǐng)先的架構(gòu)。天珣使用目前最適合做桌面治理的系統(tǒng)架構(gòu)的基于可信任計(jì)算的CSC架構(gòu)。CSC架構(gòu)使天珣更健壯，可靠，安全，擴(kuò)展性好。確保治理無(wú)盲點(diǎn)，具有無(wú)比的強(qiáng)制性。易于部署和治理客戶端主動(dòng)部署借助天珣強(qiáng)大的準(zhǔn)入操縱技術(shù)，治理員只需簡(jiǎn)單定義，系統(tǒng)自動(dòng)將客戶端安裝包推到用戶桌面，自動(dòng)完成系統(tǒng)安裝和配置。靈活的分時(shí)期部署，部署過(guò)程盡在掌握。集中治理、分級(jí)操縱、滿足對(duì)跨地域的分支機(jī)構(gòu)的集中治理天珣在統(tǒng)一的Web操縱臺(tái)集中治理整個(gè)網(wǎng)絡(luò)的安全策略，靈活治理策略客戶端、策略服務(wù)器、策略網(wǎng)關(guān)。治理員從任何一個(gè)掃瞄器連接到Web操縱臺(tái)，進(jìn)行安全策略的配置，將安全策略同步下發(fā)到企業(yè)全球網(wǎng)絡(luò)的策略服務(wù)器上，并分發(fā)到企業(yè)全球網(wǎng)絡(luò)的客戶端，并能夠通過(guò)Web操縱臺(tái)查看分布在企業(yè)全球網(wǎng)絡(luò)的任何一個(gè)客戶端的安全狀態(tài)，并提供詳盡的統(tǒng)計(jì)報(bào)表。分級(jí)治理的權(quán)限讓分支機(jī)構(gòu)的治理員能夠定義個(gè)性化的策略，但必須執(zhí)行總部治理員制定的策略。基于策略組的治理，治理方式豐富靈活能夠基于用戶、IP、IP段或IP組進(jìn)行治理，能夠依照用戶組或IP組劃分策略組，不同的策略組能夠使用不同的策略，也確實(shí)是同時(shí)支持以IP地址為對(duì)象的策略和以用戶為對(duì)象的策略，為部署和治理帶來(lái)巨大的靈活性。Pass-Through方式的LDAP用戶認(rèn)證天珣支持主流的LDAP用戶認(rèn)證，比如AD域、iPlanet，OpenLDAP等。通過(guò)認(rèn)證的用戶能夠使用基于用戶的網(wǎng)絡(luò)訪問(wèn)策略，為訪問(wèn)操縱提供高度靈活的手段。天珣支持Pass-Through認(rèn)證方式，使用企業(yè)現(xiàn)有的目錄服務(wù)，不需要導(dǎo)入任何用戶數(shù)據(jù)庫(kù)，使系統(tǒng)更具實(shí)時(shí)性，減輕治理員的工作量。自動(dòng)升級(jí)隨著天珣的不斷升級(jí)，自動(dòng)升級(jí)功能在不阻礙用戶的情況下，在后臺(tái)將最新的功能發(fā)送到成千上萬(wàn)的現(xiàn)有用戶，而不需要重新安裝。豐富的報(bào)表，終端合規(guī)狀況一目了然。合規(guī)治理確定有效強(qiáng)制保持終端安全狀態(tài)，無(wú)盲點(diǎn)，不妥協(xié)天珣強(qiáng)大的準(zhǔn)入操縱能力，確保假如用戶電腦不符合企業(yè)安全策略，或者用戶電腦沒(méi)有安全天珣，該用戶電腦將不能訪問(wèn)網(wǎng)絡(luò)的任何資源，直到問(wèn)題被解決。分布式策略執(zhí)行，始終保持策略的強(qiáng)制力度天珣的多層準(zhǔn)入操縱，可獨(dú)立進(jìn)行策略檢查及操縱，檢查效率高。某一層次的檢查失效不阻礙策略的完整性及可靠性，并確保策略操縱無(wú)盲點(diǎn)。策略服務(wù)器只是分發(fā)策略規(guī)則，策略檢查由多層準(zhǔn)入操縱機(jī)制完成，策略檢查時(shí)不依靠策略服務(wù)器，使系統(tǒng)由極高的可靠性，消除單點(diǎn)故障。策略自適應(yīng)，滿足辦公，家庭等工作環(huán)境不管客戶端是