天珣内网安全风险管理与审计系统

天珣内网安全风险管理与审计系统解决方案模板（直销版V6.6.9.2）启明星辰Beijing Venustech Cybervision Co., Ltd.2010 年 07月目 录1.综述11.1.内网安全面临严重挑战11.2.内网安全，合规先行21.3.现状和需求32.系统设计方案62.1.方案原则及总体规划62.1.1.可靠性62.1.2.有效性62.1.3.选择架构，而不仅仅是工具62.1.4.制定和实施统一的终端管理策略72.1.5.其他规划考虑72.2.需求分析72.3.系统主要功能82.3.1.业界领先的多层准入控制82.3.2.终端安全控制192.3.3.桌面合规管理242.3.4.移动存储管理292.3.5.终端审计313.系统实施与准入控制部署333.1.系统实施原则333.1.1.最大限度降低对用户的影响333.1.2.全面细致规划，分步实施343.1.3.安全策略从简到繁，安全级别步进式提高343.2.部署环境要求353.2.1.管理服务器要求353.2.2.客户端要求353.3.管理服务器的安装位置363.4.管理服务器分级策略373.5.管理员权限373.6.准入控制部署373.6.1.网络准入控制介绍383.6.2.应用准入控制介绍413.6.3.准入控制部署建议433.7.客户端部署453.8.实施终端合规管理策略453.8.1.构建终端安全基线453.8.2.扩展终端合规管理策略461. 综述1.1. 内网安全面临严重挑战根据CSI/FBI等权威机构公布的数据，超过80%的安全事件都发生在内网环境中，内网安全面临前所未有的挑战，集中表现在以下几个方面：内网计算机终端接入管理面临挑战1. 准入控制、安全防护面临挑战2. 计算机终端未经安全认证和授权即可随意接入内网。无法对接入的终端进行有效鉴别区分和管理。3. 计算机终端接入内网后对内网非授权访问难以管理。4. 计算机终端接入内网后，随意访问或扫描内网重要的应用及服务器资源；计算终端接入内网后，随意对内网中正常运行的终端进行扫描或非授权 访问。计算机终端存在的操作系统安全漏洞不能及时修复；内网计算机终端安全状况面临挑战1) 计算机终端存在的操作系统安全漏洞不能及时修复。2) 终端未按照要求安装指定防病毒软件或者未按照要求定期更新病毒定义码，使终端丧失或消弱对病毒的防御能力。3) 蠕虫攻击导致网络或系统瘫痪，影响核心业务正常运行。4) 终端安全安全级别设置过低，既没有禁用存在安全隐患的设置，例如没有禁用Guest账号，允许自动运行Autorun，也没有按规定空闲定时启用屏幕保护，留下安全隐患。图1. 用户随意安装和运行各种软件，随意占用有限的带宽资源；图2. 用户随意更改IP地址，对资产管理、网络审计等方面造成不便。计算机终端用户网络行为合规管理面临挑战1) 用户随意安装和运行各种软件，随意占用有限的带宽资源；2) 用户随意访问、复制、修改或删除终端中重要的文件或数据，恶意破坏或外泄重要的文件和数据外泄。3) 用户可以在工作时间，随意访问不安全的或者严重影响工作效率的网站，不仅降低的工作效率，还可能从不安全网站引入病毒和木马。4) 用户随意更改主机名、IP地址、MAC地址等信息，对资产管理、网络审计等方面造成不便。计算机终端数据安全面临挑战1) 计算机终端存储的关键数据失窃或外泄后，难以追查；2) 计算机终端滥用打印机打印小说或保密资料，难以追查；3) 计算机终端使用未经认证的移动存储设备进行数据交换，不受控制；4) 未经认证的移动存储设备成为病毒传播的载体；5) 存储关键数据的移动存储设备丢失或失窃，造成严重的泄密事故；6) 计算机终端用可以轻易通过拨号、私设代理、多网卡通讯等非法外联手段，造成内部机密外泄。计算机终端IT运维管理面临挑战支持管理面临挑战1) 无法精确统计IT资产，确定每台电脑的硬件配置及软件安装情况；2) 无法跟踪IT资产的历史使用纪录，也不能及时掌握资产变动情况；3) 计算机终端出现使用故障时，需要IT维护人员亲自赶赴现场处理；4) 无法及时掌握计算机终端进程运行情况，木马程序有可能“浑水摸鱼”；5) 计算机终端需要统一的管理手段快速统一分发软件和操作系统补丁；6) 需要针对计算机外设：如USB、Modem、无线设备等，进行有效监控和管理。7) 无法有效监控终端资源的使用情况，也无法及时发现并定位资源使用异常的终端。计算机终端数据安全面临挑战5. 计算机终端使用未经认证的移动存储设备进行数据交换，不受控制；6. 未经认证的移动存储设备成为病毒传播的载体；7. 存储关键数据的移动存储设备丢失或失窃，造成严重的泄密事故；8. 计算机终端用可以轻易通过拨号、私设代理、多网卡通讯等非法外联手段，造成内部机密外泄。以上任何一点内网安全隐患的日积月累、逐步扩散，就有可能会对办公网络的正常运营带来重大威胁，甚至是造成大量的经济财产损失。面对这些挑战，您和您的企业准备好了么？1.2. 内网安全，合规先行“道高一尺，魔高一丈”，面对内网安全面临的巨大挑战，解决之道就是要找出内网安全问题发生的根源和规律，从源头上规避内网安全风险隐患。内网安全问题的根源，来源于内网自身，尤其是内网中数量巨大且分散部署的计算机终端，由于缺乏科学有效的终端集中安全管理手段，即使企业已经针对内网安全制定了严格的安全管理制度和流程，但制度的执行主要还是依靠终端用户自觉完成，无法保证安全管理的执行力度，安全管理制度形同虚设。现实中，办公网络经常会存在个别计算机终端疏于打操作系统安全补丁、防病毒软件未及时升级、防火墙策略设置过于宽松、可以随意下载和安装不明软件、滥用网络资源等现象，这使得计算机终端自身存在大量的安全漏洞和管理真空地带。所以威胁便有了可乘之机，一有机会，这些安全漏洞便被作为内网攻击的入口或跳板，不仅计算机终端自身会遭受到攻击和破坏，更为严重的攻击，会造成内网阻塞并瘫痪、内部关键数据失窃，给企业带来巨大的经济损失。事实上，如果能够通过科学完善的技术管理手段，将企业已经制定的内网安全管理制度与流程在每一台计算机终端都有效贯彻和执行，及时修复计算机终端存在的安全漏洞、并实现计算机终端本地行为与网络行为的可控制、可管理和可审计，内网各项安全指标就可以达到企业所期望的安全管理目标和效果。同时也需要在强化管理手段的同时，在管理手段中融入科学的“人性化管理思想”，将“人治”与“法治”二者和谐统一，从而根本解决内网安全问题。 内网安全问题，实质上并不是因为威胁高深莫测，而是在于内网安全管理有章不循，如果内网安全管理规章制度能够科学有效执行下去，内网安全问题将得到根本解决。终端作为内网安全管理的主体，是否达到内网安全管理的目标要求，将是内网安全问题真正解决的关键，因此内网安全管理的核心是“针对计算机终端的合规管理”。正是基于此，启明星辰围绕“终端合规管理”为核心的客户价值目标，推出了业界领先的内网合规管理产品：“天珣内网安全风险管理与审计系统”。1.3. 现状和需求公司概况所属行业：是否有外地分公司和办事处：公司主要产品和市场：计算机终端数量：现有网络状况与管理措施接入层采用何种交换机，是否支持802.1x汇聚层采用何种交换机，是否支持Cisco EOU是否采用AD域等LDAP管理采用何种方式访问互联网，是否有代理服务器IP地址采用静态还是DHCP分配公司内部是否有DNS服务器公司内部是否有Exchange邮件服务器公司内部是否有员工日常工作必须要登录的应用服务器以上这些服务器的操作系统是什么已经部署了何种防病毒软件（Symantec防病毒、趋势防病毒、瑞星防病毒、Mcafee等）已经部署了何种客户端管理软件（补丁管理、资产管理、软件分发）目前终端安全管理仍存在哪些问题企业制定的安全策略难以执行；不受管理及不安全的电脑接入；电脑安全漏洞得不到及时修复；非授权访问难以管理；被动防御蠕虫病毒及木马；蠕虫攻击导致网络或系统瘫痪，影响核心业务的运作；用户随意改动IP地址，对网络审计带来困难；无法精确统计IT资产，确定每台电脑的硬件配置，确定软件的安装情况；接入终端数量统计，是否符合安全接入条件无法跟踪资产的历史使用纪录，也不能及时掌握资产变动情况；终端电脑的使用故障，需要IT维护人员赶到现场处理；无法及时掌握终端进程运行情况，木马程序可能就混在其中；需要合适的工具帮助管理员快速有效分发软件和补丁；需要对PC外设如USB、Modem、无线设备等进行监控和管理；无法控制移动存储设备的使用和审计；无法实现与内网合规管理紧密关联的终端审计；2. 系统设计方案2.1. 方案原则及总体规划为了实现上述功能目标，我们需要结合XX公司的网络和应用特点，本着保护投资，节约成本，和目标性能平衡的原则进行合理规划。对于XX公司终端管理管理模式和架构，我们建议遵循以下原则：2.1.1. 可靠性XX公司有超过X千的用户，终端安全管理系统与XX公司的每一个用户都直接相关，如果系统可靠性差导致影响业务，将产生非常负面的后果，因此系统的可靠性是最重要的。终端安全管理的客户端不能因为本身故障影响用户的正常使用电脑，服务器也不能有任何单点故障影响客户端的使用。2.1.2. 有效性终端安全管理系统因为要在用户电脑上安装客户端，容易遭到用户抵制而停用客户端软件，甚至卸载客户端软件，导致终端安全管理系统不能充分发挥作用，降低系统的有效性。终端安全管理应该使用准入控制技术，发现没有安装运行终端安全管理系统客户端的电脑，强制安装运行。并能使用强制手段，确保其他的安全策略可以被有效执行。2.1.3. 选择架构，而不仅仅是工具如果仅仅把网络管理及终端管理当成一个工具，就很难保证管理的有效性。如果管理工具不能充分发挥作用，只能成为另一个需要专人维护的软件，不仅不能帮助IT管理员减轻工作量，反而增加工作负担。只有用独特的架构才能保障管理的有效性。传统的管理工具一般是CS架构，这种架构对客户端的管理没有强制性，需要用户“自愿”配合才能进行管理。如果用户没有安装客户端或停用客户端，将成为管理的盲区。全新的基于可信任计算的CSC架构成为目前最适合做终端管理的系统架构。CSC架构在传统的CS架构基础上增加了Check Point（检查点）组件，Check Point组件强制保证用户电脑安装了客户端，并且符合管理员制定的管理策略。2.1.4. 制定和实施统一的终端管理策略作为一个有多个下级机构的单位，XX公司的终端管理策略必须由总部统一制定再贯彻下达全网，一来可以减轻管理员的负担，二来可以确保企业策略得到切实的贯彻实施，还可以确保全网的策略统一和均衡。2.1.5. 其他规划考虑为了提高总体性能和降低总拥有成本（TCO），还要兼顾以下目标：l n降低资金和运营成本l n减少管理投入l n尽量降低对总体性能的影响2.2. 需求分析通过对XX公司IT系统现状的分析和安全需求分析，归结起来，我们认为XX公司IT信息系统目前迫切需要解决以下几方面的安全问题：1)计算机终端未经安全认证和授权即可随意接入内网。2)计算机终端存在的操作系统安全漏洞不能及时修复。3)用户随意安装和运行各种软件，随意占用有限的带宽资源；4)存储关键数据的移动存储设备丢失或失窃，造成严重的泄密事故；5)无法精确统计IT资产，确定每台电脑的硬件配置及软件安装情况；6)无法跟踪IT资产的历史使用纪录，也不能及时掌握资产变动情况；在这种严峻的形势下，如何规划和建设内网安全管理体系，确保所建立的内网安全管理体系，即能够有效解决当前的紧迫问题，同时又兼顾未来内网安全管理发展的要求，保持所建立的内网安全管理体系，具备前瞻性，是内网安全管理建设的核心或关键。基于上述的情况，我公司提出了以天珣内网安全风险管理与审计系统为核心，建设XX公司IT系统终端集中安全管理系统的设计方案。下面首先对天珣系统的基本工作原理进行简单的介绍。2.3. 系统主要功能天珣内网安全风险管理与审计系统，在启明星辰“五维内网合规管理模型”框架下，从用户需求角度出发，划分为五个功能模块，分别为：“终端准入控制”，“终端安全控制”，“桌面合规管理”，“移动存储管理”和“终端审计”。天珣功能模型图2.3.1. 业界领先的多层准入控制天珣具备业界最完善的计算机终端准入控制机制，从终端层到网络层，再到应用层和边界层，提供了客户端准入、网络准入和应用准入等多种准入控制手段，确保只有通过身份验证和安全基线检查的计算机终端才能接入内网并进行受控访问，对非法的或存在安全隐患的计算机终端进行隔离和修复，构建出完善的“内网安检系统”，从源头上有效减少内网安全漏洞。终端试图通过交换机接入内网时：天珣能够在内网接入层，甚至内网汇聚层，与接入层或汇聚层的网络设备联动，对尝试联网的终端实施网络准入控制，执行身份验证和合规检查，保证只有合法的和安全的终端才能接入内网。对于不合规的终端，例如未受控终端、受控但安全状态不符合合规管理策略要求的终端，系统将自动对其进行隔离或者自动划入修复区。当接入网络的终端试图访问内网服务器或关键业务系统时：天珣具备其他同类软件不同的关键准入控制组件策略网关，这个组件可以安装在企业网中一个或多个关键业务系统服务器之上，执行应用层准入控制，可以对来访的终端执行合规检查，如果来访终端非受控或不合规，将被拒绝访问该服务器或业务系统，同时也达到对这些关键服务器和业务系统增强保护的效果。当两个终端相互之间进行访问时：合规受控的终端可以对来访的终端实施客户端准入控制，对来访的终端执行合规检查，只接受合规安全的终端的访问，杜绝不安全的终端进行非法访问，也有效切断感染蠕虫病毒的非受控终端对合规终端的病毒感染和传播。2.3.1.1.2.3.1.2. 基于802.1x的有线及无线网络准入控制天珣支持国际标准802.1x协议，与支持该协议的接入层交换机或者无线AP设备联动，共同完成网络准入控制（包含有线及无线局域网）。只有受天珣管理并且符合企业安全策略的计算机终端才允许接入企业内网，否则将被隔离在企业内网之外，或被自动划分到特定的VLAN中进行修复。网络准入控制从物理层面确保只有经过身份认证和安全认证的电脑才能接入企业内网，将不安全的计算机终端和用户拒之门外，彻底消除蠕虫病毒、木马侵害的源头以及别有用心的偷窥和网络滥用。天珣已经完全支持主流网络厂商的接入层交换机和无线AP设备，包括：CISCO、H3C、华为、3COM、锐捷、Aruba、DLink等主流网络厂商，并可以实现支持802.1x协议的多品牌厂商网络设备混合部署的网络准入控制，最大程度保护用户已有的网络投资。无论交换机使用Port-based的802.1x端口认证模式 ，还是MAC-based的802.1x的端口认证模式，天珣都能够透明支持。图4 基于802.1x的网络准入控制示例图天珣基于802.1x网络准入控制认证的内容，包括：用户名/密码、IP地址、MAC地址、计算机安全基线、接入有效期等一种或多种条件的组合。天珣在标准802.1x认证策略的基础上，创造性支持漫游IP网段准入控制扩展认证功能，加入客户端归属网段概念。安装天珣客户端的计算机终端如果漫游接入非归属网段，系统将强制其通过DHCP获取漫游网段的IP地址。2.3.1.3. 基于CISCO EoU的网络准入控制天珣支持基于CISCO NAC的EAP Over UDP（简称：EoU）网络准入控制，在接入层交换机不支持802.1x通用协议的环境下，如果汇聚层接入采用的是CISCO支持EoU协议的网络设备，即使接入层交换机或者AP不支持802.1x协议，依然可以通过基于EoU的网络准入控制验证计算机终端的安全基线、隔离不安全的终端，如果计算机终端未安装天珣客户端程序，则会被重新定向URL到指定的网页下载天珣客户端并进行安装，在此基础上修复安全漏洞。天珣扩展了EoU协议，支持在EoU协议基础上的用户认证，只有通过用户认证才能继续进行安全验证。图5 基于CISCO EoU的网络准入控制示例图2.3.1.4. 基于应用的网络准入控制天珣支持的应用准入策略网关类型非常丰富，用户总能找到一种或几种适合自己业务应用的策略网关，在相应的应用服务器上启用天珣的应用准入控制。只有安装天珣客户端程序、接受天珣管理并且符合企业安全策略的计算机终端才能被允许访问关键系统及应用。应用准入控制为企业的关键业务系统提供最后一道安全防线，有效杜绝非授权访问或黑客攻击。天珣支持的应用准入策略网关类型有：按应用系统分类：Web 、Mail、DNS、ISA Proxy。按操作系统分类：Windows、Linux。图6 基于策略网关的应用准入控制示例图下表是天珣具备的针对不同业务应用的策略网关类型列表，用户总可以从中找到一种或几种适合自己业务应用的应用准入控制解决方案：表3 天珣针对不同业务应用的策略网关类型列表 策略网关类型支持的应用类型不同平台下可选择的策略网关WindowsLinuxWeb应用IIS策略网关中性策略网关for LinuxProxy应用ISA策略网关中性策略网关for LinuxDNS应用中性策略网关for Windows中性策略网关for Linux其他应用类型中性策略网关for Windows中性策略网关for Linux其中，DNS应用准入控制，同时支持在线服务（Pass Through）和旁路监听（Pass By）两种模式。如果将DNS策略网关部署在DNS服务器上，此时将自动工作在线服务模式，对需要通过该DNS服务器进行DNS解析的终端执行准入控制检查；也可以将DNS策略网关部署在交换机监听端口，此DNS策略网关将工作在旁路监听模式，对DNS请求进行旁路监听并执行准入控制检查，无需改变现有网络拓扑，也无需改变数据流向，即可对内网计算机终端的天珣客户端安装状况及计算机终端安全状况做全面的监控，实现了真正的即插即用的应用准入控制。天珣能够与启明星辰天清汉马一体化安全网关（简称：天清汉马USG）组成UTM2合规管理方案，实现准入控制联动，由天清汉马USG担当准入控制网关，当计算机终端需要通过天清汉马USG进行访问时，确保只有受控和合规的才能通过天清汉马USG对USG所保护的服务器进行访问。图4.2-3 基于UTM2的应用准入控制示意图除此之外，天珣还能够提供可以与用户任意平台的B/S结构的业务系统无缝集成的Web准入控制。图4.2-4 集成Web应用准入控制示意图集成的Web准入控制，平台适应能力非常广泛，服务端能够在Windows、Linux、unix下使用。性能优越，而且部署及其简单，只需把控件加入登录页面上，并且替换了用户名输入控件，进行小量的页面修改即可完成部署。天珣应用准入控制可以单独只启用一种平台进行应用准入控制，也可以同时启用多个平台进行应用准入控制，也可以与网络准入控制同时启用，组成“网络准入+应用准入”的复合准入控制体系。更可以与启明星辰天清汉马一体化网关进行准入控制联动，通过多种准入控制手段的组合，全面覆盖企业内网每一个区域和角落，有效保证计算机终端始终安装天珣客户端程序并接受天珣管理。2.3.1.5. 客户端准入控制安装有天珣客户端程序的计算机终端在接受访问时，可以根据管理员预先配置的安全策略检查来访的计算机终端是否运行了天珣客户端程序，并检查其安全基线是否符合要求。如果来访的计算机终端未安装天珣客户端程序，或不符合安全策略要求，则拒绝其访问。图7 客户端准入控制示例图当安装天珣客户端程序的计算机终端访问网络时，天珣客户端也会先检查其自身的安全基线是否合格，如果不合格，将限制其对网络的访问。天珣客户端准入控制，创造性将每一台计算机终端都变成准入控制点，保证每台计算机终端只接受安全可信的计算机终端进行访问，并只能在安全基线合格时访问网络，实现最细粒度的准入控制。天珣客户端具备网络阻断功能，在计算机终端安全基线不符合要求时，天珣客户端能不依赖网络设备及网络上其他终端或设备独立执行网络访问阻断。天珣客户端更支持选择性阻断，在计算机终端安全基线不符合要求时，天珣客户端能根据管理员预先配置的安全策略，通过进程、端口、目标地址等条件，选择性地阻止部分非紧急业务的网络访问，而允许其他紧急业务的网络访问。当启用基于802.1x的网络准入控制时，天珣客户端的选择性阻断技术保证计算机终端安全基线的改变不会导致交换机端口状态的频繁切换或VLAN的频繁切换，从而影响交换机和网络的性能；当启用基于EoU的网络准入控制时，天珣客户端的选择性阻断技术保证客户端安全基线的改变不会导致交换机频繁下载ACL，从而影响交换机和网络的性能。当不启用网络准入控制时，天珣客户端的选择性阻断技术保证天珣客户端不依赖其他任何设备执行紧急业务和非紧急业务的分类阻断。2.3.1.6. 多层准入，层层设防通过天珣提供的内网终端多层准入控制，可以在终端接入的内网边界、数据中心关键服务器或业务系统和每个终端周围，构建起立体、无缝的内网终端准入控制体系，形成终端多重 “内网终端安检系统”，保证所有内网终端都必须接受管理，并通过强制合规特性，确保内网终端有效执行内网终端合规管理策略，实现内网终端合规管理无盲区，不妥协的管理目标。图3 天珣多层准入控制逻辑图天珣的多层准入控制手段可灵活组合，无论现实的用户网络环境有多复杂，总可以找到适应该网络环境的一种或多种准入控制手段，构建“内网安检系统”。表1是在不同的网络环境中，用户可以选择的天珣准入控制组合列表：表1 不同网络环境中可以选择的准入控制组合列表可选准入类型不同网络环境网络准入应用准入客户端准入基于802.1x基于EOU汇聚层支持EOU协议，接入层交换机支持802.1x协议汇聚层支持EOU协议，接入层交换机不支持802.1x协议汇聚层不支持EOU协议，接入层交换机支持802.1x协议汇聚层不支持EOU协议，接入层交换机不支持802.1x协议天珣准入控制支持多因素条件组合认证，结合多层准入控制手段，天珣可以为计算机终端设定多种接入企业内网的认证条件。所支持的认证要素包括：终端计算机的IP地址、MAC地址、终端登录用户的用户名/密码、VLAN，认证有效期、数字证书和终端的安全状态，每一个认证要素都可以单独作为认证条件，也可以多个认证要素绑定作为组合认证条件。在实际应用中，如果计算机终端存在一个或多个认证条件不满足的情况，天珣均会认为计算机终端的安全基线不符合要求，通过准入控制机制，触发友好提示、重新认证或阻断其网络行为，直到计算机终端安全基线完全达到要求后，方可再次通过认证合法接入企业内网。表2 天珣多因素准入控制认证列表准入控制类型认证条件不满足网络准入应用准入客户端准入标准802.1x漫游IP网段的802.1xEOU天珣客户端安装运行认证拒绝接入拒绝接入禁止访问，提示安装禁止访问，提示安装禁止访问安全基线认证（补丁状态、进程状态、防病毒状态）禁止访问，提示修复禁止访问，提示修复禁止访问，提示修复禁止访问，提示修复禁止访问，提示修复用户认证拒绝接入拒绝接入禁止访问禁止访问不生效可信MAC认证拒绝接入拒绝接入禁止访问禁止访问禁止访问组合认证User+IP+认证有效期拒绝接入改回设定IP地址禁止访问改回设定IP地址改回设定IP地址User+MAC+认证有效期拒绝接入拒绝接入禁止访问禁止访问禁止访问MAC+IP+认证有效期拒绝接入改回设定IP地址禁止访问改回设定IP地址改回设定IP地址User+IP+MAC+认证有效期拒绝接入拒绝接入禁止访问禁止访问禁止访问可匿名用户认证：当启用可匿名的用户认证时，可以允许安装了天珣客户端的计算机终端匿名登录，登录后将自动获取访客策略，使其对内网访问完全受控。利用该认证方式，可实现对外来计算机终端的有效管理。2.3.2. 基于802.1x的有线及无线网络准入控制2.3.3. 天珣支持国际标准802.1x协议，与支持该协议的网络层接入设备共同完成网络准入控制（包含有线及无线局域网）。只有受天珣管理并且符合企业安全策略的计算机终端才允许接入企业内网，否则将被隔离在企业内网之外，或被自动划分到特定的VLAN中进行修复。网络准入控制从物理层面确保只有经过身份认证和安全认证的电脑才能接入企业内网，将不安全的计算机终端和用户拒之门外，彻底消除蠕虫病毒、木马侵害的源头以及别有用心的偷窥和网络滥用。2.3.4. 天珣支持主流网络厂商的接入层交换机设备，包括：CISCO、H3C、华为、3COM、锐捷、DLink等主流网络厂商，并可以实现支持802.1x协议的多品牌厂商网络设备混合部署的网络准入控制，最大程度保护用户已有的网络投资。2.3.5.2.3.6. 图4 基于802.1x的网络准入控制示例图2.3.7.2.3.8. 天珣基于802.1x网络准入控制认证的内容，包括：用户名/密码、IP地址、MAC地址、计算机安全基线、接入有效期等一种或多种条件的组合。2.3.9. 天珣在标准802.1x认证策略的基础上，创造性支持漫游IP网段准入控制扩展认证功能，加入客户端归属网段概念。安装天珣客户端的计算机终端如果漫游接入非归属网段，系统将强制其通过DHCP获取漫游网段的IP地址。2.3.10. 基于CISCO EoU的网络准入控制2.3.11. 天珣支持基于CISCO NAC的EAP Over UDP（简称：EoU）网络准入控制，在接入层交换机不支持802.1x通用协议的环境下，如果汇聚层接入采用的是CISCO支持EoU协议的网络设备，依然可以通过基于EoU的网络准入控制验证计算机终端的安全基线、隔离不安全的终端，如果计算机终端未安装天珣客户端程序，则会被重新定向URL到指定的网页下载天珣客户端并进行安装，在此基础上修复安全漏洞。天珣扩展了EoU协议，支持在EoU协议基础上的用户认证，只有通过用户认证才能继续进行安全验证。2.3.12.2.3.13.2.3.14.2.3.15. 图5 基于CISCO EoU的网络准入控制示例图2.3.16. 基于策略网关的应用准入控制2.3.17. 天珣内置多种应用层策略网关，为企业的关键系统及应用提供准入控制手段。只有安装天珣客户端程序、接受天珣管理并且符合企业安全策略的计算机终端才能被允许访问关键系统及应用。应用准入控制为企业的关键业务系统提供最后一道安全防线，有效杜绝非授权访问或黑客攻击。2.3.18.2.3.19.2.3.20. 图6 基于策略网关的应用准入控制示例图2.3.21.2.3.22. 天珣支持的应用准入策略网关类型非常丰富，用户总能找到一种或几种适合自己业务应用的策略网关，在相应的应用服务器上启用天珣的应用准入控制。2.3.23. 天珣支持的应用准入策略网关类型有：2.3.24. 按应用系统分类：Web、Mail、DNS、ISA Proxy。2.3.25. 按操作系统分类：Windows、Linux。2.3.26. 下表是天珣具备的针对不同业务应用的策略网关类型列表，用户总可以从中找到一种或几种适合自己业务应用的应用准入控制解决方案：2.3.27.2.3.28. 表3 天珣针对不同业务应用的策略网关类型列表2.3.29. 策略网关类型2.3.30.2.3.31. 支持的应用类型2.3.32. 不同平台下可选择的策略网关2.3.33. Windows2.3.34. Linux2.3.35. Web应用2.3.36. IIS策略网关2.3.37. 中性策略网关for Linux2.3.38. Proxy应用2.3.39. ISA策略网关2.3.40. 中性策略网关for Linux2.3.41. DNS应用2.3.42. 中性策略网关for Windows2.3.43. 中性策略网关for Linux2.3.44. 其他应用类型2.3.45. 中性策略网关for Windows2.3.46. 中性策略网关for Linux2.3.46.1.2.3.46.2. 其中，DNS应用准入控制，同时支持在线服务（Pass Through）和旁路监听（Pass By）两种模式。如果将DNS策略网关部署在DNS服务器上，此时将自动工作在线服务模式，对需要通过该DNS服务器进行DNS解析的终端执行准入控制检查；也可以将DNS策略网关部署在交换机监听端口，此DNS策略网关将工作在旁路监听模式，对DNS请求进行旁路监听并执行准入控制检查，无需改变现有网络拓扑，也无需改变数据流向，即可对内网计算机终端的天珣客户端安装状况及计算机终端安全状况做全面的监控，实现了真正的即插即用的应用准入控制。2.3.46.3. 除此之外，天珣能够与启明星辰天清汉马一体化安全网关（简称：天清汉马USG）联动，实现准入控制互动，由天清汉马USG担当准入控制网关，当计算机终端需要通过天清汉马USG进行访问时，由天清汉马USG和天珣联动，确保只有安装天珣客户端程序、接受天珣管理并且符合企业安全策略的计算机终端才能通过天清汉马USG进行访问。2.3.46.4. 天珣应用准入控制可以单独只启用一种平台进行应用准入控制，也可以同时启用多个平台进行应用准入控制，也可以与网络准入控制同时启用，组成“网络准入+应用准入”的复合准入控制体系。更可以与启明星辰天清汉马一体化网关进行准入控制联动，通过多种准入控制手段的组合，全面覆盖企业内网每一个区域和角落，有效保证计算机终端始终安装天珣客户端程序并接受天珣管理。2.3.46.5. 客户端准入控制2.3.46.6. 安装有天珣客户端程序的计算机终端在接受访问时，可以根据管理员预先配置的安全策略检查来访的计算机终端是否运行了天珣客户端程序，并检查其安全基线是否符合要求。如果来访的计算机终端未安装天珣客户端程序，或不符合安全策略要求，则拒绝其访问。2.3.46.7.2.3.46.8.2.3.46.9. 图7 客户端准入控制示例图2.3.46.10.2.3.46.11. 当安装天珣客户端程序的计算机终端访问网络时，天珣客户端也会先检查其自身的安全基线是否合格，如果不合格，将限制其对网络的访问。2.3.46.12. 天珣客户端准入控制，创造性将每一台计算机终端都变成准入控制点，保证每台计算机终端只接受安全可信的计算机终端进行访问，并只能在安全基线合格时访问网络，实现最细粒度的准入控制。2.3.46.13. 天珣客户端具备网络阻断功能，在计算机终端安全基线不符合要求时，天珣客户端能不依赖网络设备及网络上其他终端或设备独立执行网络访问阻断。2.3.46.14. 天珣客户端更支持选择性阻断，在计算机终端安全基线不符合要求时，天珣客户端能根据管理员预先配置的安全策略，通过进程、端口、目标地址等条件，选择性地阻止部分非紧急业务的网络访问，而允许其他紧急业务的网络访问。2.3.46.15. 当启用基于802.1x的网络准入控制时，天珣客户端的选择性阻断技术保证计算机终端安全基线的改变不会导致交换机端口状态的频繁切换或VLAN的频繁切换，从而影响交换机和网络的性能；当启用基于EoU的网络准入控制时，天珣客户端的选择性阻断技术保证客户端安全基线的改变不会导致交换机频繁下载ACL，从而影响交换机和网络的性能。当不启用网络准入控制时，天珣客户端的选择性阻断技术保证天珣客户端不依赖其他任何设备执行紧急业务和非紧急业务的分类阻断。2.3.46.16. 动态VLANVLAN在控制广播域范围、网络安全、第三层地址管理和网络资源集中管理等方面具有重要的意义。传统的基于交换机端口划分VLAN的方式因为不灵活、以及对管理员的工作量大而不能满足今天移动用户的VLAN管理需求。天珣可以根据用户的登录名或计算机终端MAC地址动态划分VLAN，无论用户移动到企业的任何地点接入网络，都可以被自动分配到他所归属的VLAN，而不用管理员手工干预，不仅灵活，而且降低了管理员的工作量。2.3.46.17. 动态ACL在交换机传统的ACL配置中，只能针对端口或IP地址设置ACL。天珣能够在CISCO EoU的环境下，针对登录用户名和计算机终端的MAC地址为每一台电脑下发动态ACL，极大地扩展了交换机的配置能力。2.3.46.18. 外来电脑管理对于外来计算机终端，企业有时很难要求其与内部计算机终端执行相同的安全策略。天珣可以通过支持802.1x的网络交换机将外来计算机终端自动划分到Guest VLAN，或通过启用访客策略，严格限制外来计算机终端的访问权限，即使其安全基线不符合要求，甚至藏有蠕虫病毒或木马，也不会对企业网络造成任何危害，同时杜绝了任何外来计算机的非授权访问问题。2.3.46.19. 多层准入，保护用户投资天珣提供多种网络准入控制手段，从终端通过交换机接入内网，到终端访问内网业务应用服务器，再到终端之间的互访，全面覆盖了终端在网络行为的每一个环节。天珣支持业界多种品牌和型号的网络设备，提供丰富的应用准入控制类型，用户总可以从天珣提供的多种准入控制手段，找到满足自己现实需求的准入控制解决方案，而无需对网络和系统进行改造升级，最大限度保护用户投资。2.3.46.20. 应用准入，提供更佳的准入控制伸缩性和适应能力基于应用准入生效是在数据中心的服务器区，对于网络环境中因接入层交换机或汇聚层交换机不支持相应的网络准入认证协议，或者因内网终端合规管理的现实要求，暂时不需要启用最严格的网络准入控制的情况，应用准入将可以代替网络准入作为最佳的终端合规准入控制手段。当然如果终端始终不去访问数据中心服务器，那么将可能无法对其实施应用准入，因此前期对准入所使用的业务系统的选择将会非常关键。2.3.46.21. 应用准入，创造客户端“自助安装”新模式应用准入可以通过自动重定向，对未受控或者不合规的终端，进行个性化的友好提示，通过友好提示不仅可以帮助最终用户了解无法访问业务服务器的原因，为最终用户接受和适应新的终端合规管理提供帮助，还可以通过该提示页面，发送执行合规管理的客户端软件，真正实现了最终用户“自助式”的客户端部署，不仅大幅度减少系统维护人员的工作量，也极大减少用户的厌烦和抵触行为，保证合规管理有效性的同时，在内网终端合规管理过程中，体现了人性关怀，有效增强了最终用户在内网合规管理系统实施中的积极性，促进内网合规更快获得良好收效。2.3.47. 终端安全控制天珣客户端围绕“主动防御”的合规管理目标，内置强大的终端安全控制引擎，采用访问控制、流量控制、ARP欺骗控制、网络行为模式控制、非法外联控制等手段，实现了针对计算机终端的威胁主动防御和网络行为控制，从而保证计算机终端双向访问安全、行为受控；同时，天珣能够监控和管理第三方防病毒软件等恶意代码查杀工具，协同构建终端主动防御体系。天珣不仅能够自动修复计算机终端的安全漏洞、确保计算机终端处于健康状态，更可配置多种主动防御策略，有效防护疑似攻击和未知病毒对企业内网造成的危害。2.3.47.1. 终端安全基线自动检测与强制修复天珣能够监控计算机终端的操作系统补丁、防病毒软件、软件进程、登录口令、注册表等方面的运行情况。如果计算机终端没有安装规定的操作系统补丁、防病毒软件的运行状态和病毒库更新状态不符合要求、没有运行指定的软件或运行了禁止运行的软件，或者有其它的安全基线不能满足要求的情况，该计算机终端的网络访问将被禁止。此时天珣启动自动修复机制，或提示终端用户手工进行修复。待修复完成后，计算机终端将自动得到重新访问网络的授权。 终端安全基线检测与修复示例图2.3.47.2. 终端访问控制天珣内置强大的进程级访问控制内核，可以针对计算机终端实现基于进程、端口或协议的双向访问的细粒度访问控制。既可以实现指定终端某一指定进程（例如IE）能够访问远程的某个IP、网段或网站，也可以实现两个子网内终端之间的细粒度访问控制，在不需要对原有的网络做任何调整的前提下，实现最细粒度的内网安全域管理。访问控制策略由管理员集中定义，下发至计算机终端后，分布式执行，简洁、高效。天珣通过对计算机终端的网络行为进行集中管理，有效控制非授权访问。在连出访问时，只有满足管理员制定的安全策略的访问才允许连出，只能访问许可的地址、许可的服务，只能由指定的程序访问。在连入时，只有满足管理员制定的安全策略的访问才允许接受连入，可以只接受指定地址的访问请求，只让指定的服务接受指定地址的访问请求，只让指定的程序提供指定的服务。天珣能够对终端PING行为进行有效控制，有效保护受控终端被PING，也可以禁止终端对网络进行PING操作。2.3.47.3. 分布式流量带宽管理传统的网络带宽管理系统大多是网关型设备，不能针对每一台具体的计算机终端进行细粒度的带宽管理，有时一台计算机终端就可能占用企业内网的全部有效带宽。天珣的分布式带宽管理功能可以精细管理单台计算机终端上单个应用程序、单个端口的带宽。通过合理配置，能够有效管控计算机终端的异常流量，即使有蠕虫病毒爆发，也不会导致网络瘫痪。分布式流量带宽管理示例图2.3.47.4. 基于终端网络行为模式的威胁主动防御天珣具备基于终端网络行为模式的威胁主动防御机制，通过集中控制每个计算机终端的网络行为，限定网络行为的主体、目标及服务，并结合计算机终端的安全基线控制网络访问，可以有效切断“独立进程型”蠕虫病毒的传播途径及木马及黑客的攻击路线，弥补防病毒软件“防治滞后”的弱点。通过监控TCP并发连接数，减缓蠕虫病毒对网络造成的损害。通过监控UDP的发包行为，限制异常进程的网络访问。通过检查IP数据包包头，确保数据包欺骗不能发生。通过监控网络行为的发起进程，防止木马以隐藏进程方式进行网络访问。通过监控ARP请求或应答包，自动绑定网关MAC，拒绝延迟的ARP应答包等方式，防止内网ARP欺骗侵害。2.3.47.5. 终端安全加固天珣通过阻止网上邻居的匿名访问、禁用Guest帐号、检测计算机弱口令、检测当前用户的屏保设置并自动修正到管理员预先设置的参数，有效预防蠕虫病毒和木马对计算机终端带来的攻击。2.3.47.6. 进程红白黑名单管理在企业网络环境中，计算机终端软件环境的标准化能为桌面运维管理带来多方面的效益：能够降低桌面维护的复杂程度，确保关键软件在计算机终端的强制安装与使用，同时通过禁止运行某些软件来提高工作效率。天珣进程管理通过定义计算机终端进程运行的红、白、黑名单，实现自动、高效的进程管理功能，完全覆盖用户对进程管理的要求。图11 进程红白黑名单管理功能框架图在天珣进程管理中所定义的红名单、白名单和黑名单的详细定义如下：进程红名单：计算机终端必须运行的进程清单，是“进程白名单”的子集；进程白名单：计算机终端能够运行的进程清单；进程黑名单：计算机终端禁止运行的进程清单。2.3.47.7. 终端安装软件管理天珣终端安装软件管理，可以定义计算机终端安装软件的的红、白、黑名单，有效对终端软件安装进行规范和管理，降低随意软件安装可能带来的风险。在天珣安装软件管理中所定义的红名单、白名单和黑名单的详细定义如下：安装软件红名单：计算机终端必须安装的进程清单，能够确保必须安装指定的软件。能够选择对软件名进行精确匹配或模糊匹配，防止修改软件名称逃避安全检查。安装软件白名单：计算机终端能够安装的进程清单，确保用户只能安装指定的软件。安装软件黑名单：计算机终端禁止安装的进程清单，能够有效禁止安装与工作无关的软件。2.3.47.8. 终端IP地址管理天珣的IP地址管理支持IP-MAC绑定、MAC-IP绑定、User-IP绑定。IP-MAC绑定功能保护特定的IP地址只能由特定MAC地址的计算机终端使用，保护了服务器、网络设备或重要用户的IP地址不被其他人随便使用。MAC-IP绑定功能使指定的电脑只能使用指定的IP地址，或强制使用DHCP。User-IP绑定确保每个用户使用专属于自己的IP地址，配合动态VLAN技术，User-IP绑定使用户在企业内漫游时也能始终使用自己的IP地址。支持批量设置绑定，减轻管理员的工作负荷。2.3.47.9. 多网卡非法外联控制可以设定只有与天珣系统通讯的网卡才能发送和接收数据，除此之外禁止其他任何网卡发送和接收数据，包括多网卡、拨号连接，VPN连接等。很好解决了业界通常采用的通过设置注册表禁用多网卡、拨号连接易被破解的缺陷，实现了基于网络通讯侦测的多网卡非法外联管理。启用了终端多网卡控制之后，仍然可以通过策略设定是否允许终端用户自行在多个网络连接中进行切换，确保终端不会发生同时连通两个网络的前提下，方便确实需要在不同时间或场景中切换网络的用户。2.3.47.10. 终端IE设置能够自动为终端添加和设置IE代理的例外主机和网段列表，减轻了管理员的维护管理工作。能够自动为终端IE浏览器设置可信站点列表或者将指定站点从可信站点列表中移除，减轻管理员管理工作。2.3.47.11. 终端屏幕保护策略可以定义和下发终端屏保策略，强制终端启用终端屏保功能。能够设置屏保恢复时显示登陆界面，设置启用屏保的等待时间，并可以通过策略禁止使用Windows欢迎界面和使用快速切换用户。2.3.47.12. 终端实时操控能够针对终端进行点对点操作，实时查询终端的服务运行情况，并可以通过管理控制台远程对服务进行启动、停止和重启，也可以远程设置服务的启动方式，方便管理员对在线终端进行远程维护。 能够针对终端进行点对点操作，实时查询终端的进程运行运行情况，并可以通过管理控制台远程结束进程，方便管理员对在线终端进行远程维护。 能够针对终端进行点对点操作，实时查询终端的网络连接状态，并可以通过管理控制台断开进程的网络连接，方便管理员对在线终端进行远程维护。能够针对终端进行点对点操作，实时查询终端的补丁安装情况，方便管理员对在线终端进行远程维护。能够实时对指定终端IE浏览器插件进行管理，启用、禁用或删除制定的控件，提高终端网络访问的安全性。能够实时对终端进行远程终端锁屏和解锁，也可设置终端本地解锁密码，锁屏后可以通过输入解锁密码进行屏幕解锁。能够通过管理控制台，在线卸载客户端，方便管理员对在线终端进行远程维护。2.3.48. 桌面合规管理传统的内网安全管理系统在运行时，一旦用户停用或卸载客户端程序，系统将丧失对终端的管理能力，而天珣依托准入控制机制打造出的桌面合规管理体系，改变了传统产品“尽力而为”式的管理模式，与终端安全控制功能有机配合，确保100%的终端部署并运行天珣客户端软件，使得管理员始终拥有具备执行力的管理手段，实现对企业IT资产、操作系统补丁、终端主机名规范、终端资源进行监控和管理。同时，天珣使用创新的“按需支援（Help On Demand）”技术，能够按需对终端操作系统运行的各个方面进行远程桌面支持。2.3.48.1. 终端资产管理由于计算机终端硬件及软件的更新和变化，IT维护人员和财务部门对企业IT资产的管理和统计经常处于一种无序及手工统计的状态，当IT资产更新频繁时，原来的IT资产管理记录往往由于管理的滞后以及对实际情况的掌握程度不够无法及时更新，从而造成IT资产管理的混乱，IT维护人员对于IT资产的最新情况不了解也对IT运行服务造成了障碍。天珣资产管理模块自动收集企业用户IT设备的软、硬件配置信息，并自动与终端注册信息进行绑定。支持的硬件信息包括：计算机终端的BIOS参数、CPU型号、内存数量、硬盘序列号、硬盘类型、硬盘容量及分区、主板序列号、显卡类型、各种外设等信息；软件信息包括操作系统、安装软件等；并能够及时提供终端软件和硬件变更事件并进行告警。能够自动识别和区分终端类型是台式机或笔记本电脑，方便用户根据终端类型进行分类管理和查询与统计。能够自动识别和区分存在多网卡的终端，方便用户对非法外联行为进行控制。为管理员进行系统维护、技术支持、软件部署、IT开支预算及统计提供及时准确的信息。开放灵活的架构天珣通用桌面管理套件采用开放式架构，使用Windows脚本技术，灵活动态收集企业IT资产信息。天珣开放架构的脚本技术使得资产收集脚本规则化，系统不用更新客户端程序就能改变信息采集方式、数据库内容以及显示方式。这些脚本可以由启明星辰提供，也可由系统管理员根据自己的需要自行修改脚本，这种灵活性是天珣通用桌面管理套件资产优于其它桌面管理系统的最主要特征。集中的Web管理控制台管理员可以从一个中央控制台保存和追踪所有计算机终端的相关信息，例如处理器类型、BIOS 类型及序列号、显示适配器、内存、硬盘等。差异化传输天珣客户端在初次扫描时会将计算机终端的全部信息都传输给服务器，在以后的扫描及传输过程中，只将有变化的信息传输给服务器，这样能大大提高传输效率，减小传输过程对网络的影响。2.3.48.2. Help On Demand远程桌面企业IT管理部门可以利用天珣HOD系统对企业网内需要帮助的计算机终端进行远程维护操作，帮助远程计算机终端进行异地操作和检查系统问题，充分发挥与共享IT管理部门的技术优势，为IT管理部门节省各园区驻地成本和交通成本，节省时间、提高运维服务的效率，达到成本与服务质量的双重效益。天珣HOD完全符合企业的现实需求，并独具有多种工作模式，可以完全覆盖企业各种远程帮助和支持需求：NULL客户端模式：计算机终端无需安装任何软件，用户需要帮助时从企业内网下载客户端软件，只能由用户主动向管理员发起连接，管理员在管理端远程维护用户的电脑，帮助用户排除故障，故障排除后自动销毁客户端程序。用户可以看见管理员所有的操作，消除用户感觉被控制和被偷窥的“心理恐惧”。Agent模式：计算机终端安装天珣HOD Agent作为Service运行。既可以由计算机终端发起连接，也可以由管理员端发起连接。HOD远程桌面管理示例图2.3.48.3. Windows操作系统补丁管理Windows操作系统的Service Pack和各种安全更新是保护Windows操作系统免受黑客程序攻击的最有效屏障，Microsoft随时