内网安全风险评估管理和审计系统产品白皮书

内网安全风险评估管理和审计系统产品白皮书内网安全风险评估管理和审计系统产品白皮书PAGE内网安全风险评估管理和审计系统产品白皮书天珣内网安全风险管理和审计系统产品白皮书（V）北京启明星辰信息技术股份有限公司BeijingVenusInformationTech.Inc.2008年7月PAGEiii版权声明北京启明星辰信息技术有限公司版权所有，并保留对本文档及本声明的最终解释权和修改权。本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外,其著作权或其他相关权利均属于北京启明星辰信息技术有限公司。未经北京启明星辰信息技术有限公司书面同意，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。“天珣”为启明星辰信息技术有限公司的注册商标，不得侵犯。免责条款本文档依据现有信息制作，其内容如有更改，恕不另行通知。北京启明星辰信息技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠，但北京启明星辰信息技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任信息反馈如有任何宝贵意见，请反馈：信箱：北京市海淀区东北旺西路8号中关村软件园21号楼启明星辰大厦邮编：100193电话真可以访问启明星辰网站：获得最新技术和产品信息。目录版权声明 i免责条款 i信息反馈 i1 内网安全挑战 12 终端合规管理，内网安全解决之道 32.1 内网安全，合规先行 32.2 Venus终端五维合规管理模型 43 产品主要功能 63.1 终端安全控制 73.1.1 终端安全状态自动检测与强制修复 73.1.2 终端访问控制 73.1.3 终端异常流量抑制 83.1.4 终端基于网络行为模式的威胁主动防御 83.1.5 终端安全加固 83.1.6 IP管理 93.1.7 多网卡非法外联控制 93.2 业界领先的多层准入控制 93.2.1 基于802.1x的网络准入控制 113.2.2 基于EOU的网络准入控制 123.2.3 应用准入控制 133.2.4 客户端准入控制 143.2.5 网络准入增值应用 163.3 桌面管理功能 163.3.1 资产管理 173.3.2 HelpOnDemand远程桌面 173.3.3 补丁管理 183.3.4 进程管理 183.3.5 PC外设管理 193.3.6 软件分发 193.4 移动存储管理 203.4.1 移动存储设备认证 203.4.2 专用目录数据加密与共享授权 203.4.3 专用目录数据加密与共享授权 203.4.4 移动存储设备管理审计 213.5 终端审计 213.5.1 文件操作审计与控制 213.5.2 打印审计与控制 213.5.3 网站访问审计与控制 223.5.4 异常路由审计 223.5.5 终端Windows登录审计 224 体系架构与部署方式 234.1 CSC系统体系架构 234.2 部署方式 245 系统特性 265.1 领先的CSC系统架构 265.2 易于部署和管理 265.3 合规管理确定有效 275.4 系统安全可靠 285.5 系统优良的性能、伸缩性和可扩展性 286 成功案例 306.1 用户：某银行（代称：G银行） 306.1.1 需求 306.1.2 部署 306.1.3 收效 316.1.4 客户评价 31北京启明星辰信息技术股份有限公司PAGE32内网安全挑战根据CSI/FBI等权威机构公布的数据，在所有已经发生的安全事件中，超过80%的安全事件都发生在企业内网中，内网安全面临前所未有的挑战。内网安全面临的挑战，集中表现在以下两个方面：内网安全控制挑战终端未经安全认证和授权即可随意接入内网；内部终端存在的安全漏洞不能及时修复；终端接入后对内网的非授权访问难以管理；被动防御蠕虫病毒及木马的破坏和传播；蠕虫攻击导致网络或系统瘫痪，影响核心业务的运作；用户随意改动IP地址，对网络审计带来困难；用户随意安装和运行软件，随意占用有限带宽资源。终端数据安全挑战终端使用未经认证的U盘等移动存储设备进行数据保存；通过U盘等进行数据交换，不受控制；未经认证的U盘成为病毒传播的载体；存有关键数据的U盘丢失或失窃造成严重的泄密事故；终端用户可以轻易通过拨号、私设代理等非法外联手段，传播内部重要数据或资料。终端行为审计内部关键数据失窃后，难以追查；通过网络共享交换数据不受控制；滥用打印机打印小说或保密资料。内网终端IT支持挑战无法精确统计IT资产，确定每台电脑的硬件配置，确定软件的安装情况；无法跟踪资产的历史使用纪录，也不能及时掌握资产变动情况；终端电脑的使用故障，需要IT维护人员赶到现场处理；无法及时掌握终端进程运行情况，木马程序可能就混在其中；需要合适的工具帮助管理员快速有效分发软件和补丁；需要对PC外设如USB、Modem、无线设备等进行监控和管理；终端合规管理，内网安全解决之道内网安全，合规先行“道高一尺，魔高一丈”，面对内网安全的巨大挑战，解决之道就是要找出内网安全问题的根源和规律，从源头解决内网安全问题。内网安全问题的根源，存在于内网自身，尤其内网中数量巨大而分布很散的终端电脑，由于缺少有效的终端集中安全管理系统，即使企业已经为内网安全制定了严格的安全管理制度和流程，制度的执行主要依靠终端用户自觉完成，现实是大部分用户的终端仅仅只依赖防病毒软件和个人防火墙进行安全保护，安全管理执行力不足，安全管理制度形同虚设。现实中，经常会因个别终端疏于打安全补丁、防病毒软件未及时升级、防火墙规则过于宽松、可以随意下载和安装不明软件、滥用网络资源等等，这些终端自身存在大量的安全漏洞和管理空白地带，使得威胁有了可乘之机，一有机会，便被作为内网攻击的入口或跳板，不仅本身会受到攻击和破坏，更为严重的攻击，会造成内网阻塞和瘫痪和内部关键数据或文件失窃，为企业带来巨大的损失。事实上，如果能将制定内网安全规范在每一台终端有效执行下去，通过有效的安全控制手段，及时修复终端存在的漏洞、并实现终端用户的网络行为可控制、可管理和可审计，使内网各项安全指标达到企业预设的安全管理标准和效果，从而有效解决内网安全问题。Venus通过多年的网络安全实践，发现内网安全问题，实质上不是因为威胁高深莫测，而是在于内网安全管理有章不循，如果内网安全管理规章制度能够有效执行下去，内网安全问题将得到有效的解决。终端作为内网安全管理的主体，是否能够达到内网安全管理规章要求，将是内网安全的关键，因此内网合规管理的核心是终端合规管理。正是基于此，Venus围绕“合规管理”核心用户价值，推出了业界领先的内网合规管理产品：“天珣内网风险管理与审计系统”。Venus终端五维合规管理模型终端是否安全合规，就看是否能够很好回答以下几个问题：终端自身是否具备对外来的威胁和攻击的防御能力？终端的合规管理策略是否能够100%有效执行下去？终端的信息是否能够及时完全掌握？终端的数据是否具备足够的保密性、数据交换是否安全受控？是否具备终端合规审计，促进合规管理持续改善？针对以上五个问题，Venus创造性提出了“终端五维合规管理模型”,将终端合规管理归类为五部分，分别是：“主动防御”，“准入控制”，“终端防泄密”，“桌面管理”和“终端审计”。下图为终端五维合规管理模型示意图：图1Veuns终端五维合规管理模型其中：“主动防御”：为终端提供“软猬甲”，使终端具备威胁主动防御能力，保护终端免受攻击和破坏，最终保障内网安全和不间断运行，并确保用户网络访问行为合规。“准入控制”：全新构建内网“安检系统”，保证终端安全接入内网，保证终端接入行为受控，保证合规管理策略100%执行。“桌面管理”：提供精确和完整的终端信息，为合规管理提供基础数据保证。“终端防泄密”：需要同时解决终端数据保密性问题和数据传播途径受控的问题。通过对终端关键数据进行加密和授权共享管理，提升终端数据保密性，同时结合完善的非法外联控制和移动存储管理技术，实现关键数据受控共享。天珣提供的五维合规管理模型，彻底颠覆了以往内网安全管理被动和执行力低下的问题，并通过实现从“准入控制”、“主动防御”、“数据防泄密”、“桌面信息管理”和“终端审计”的动态闭环的内网合规管理体系，在应对内网安全威胁的斗争中，掌握了主动权和制高点，只有依靠有限的安全控制手段，有效应对无限的内网威胁。产品主要功能天珣内网风险管理与审计系统，作为一套终端合规管理软件产品，在Venus的“五维终端合规管理模型”框架下，并从用户现实需求出发，产品也划分为五个功能模块，分别为：“终端安全控制”，“准入控制”，“终端桌面管理”，“移动存储管理”和“终端审计”，覆盖了终端合规五维领域。其中：“终端安全控制”是在主动防御的目标下，实现了与合规管理密切相关的终端安全控制，即终端内网访问控制、流量控制、网络行为模式控制、ARP欺骗控制、非法外联控制等等终端安全控制手段，保证终端双向访问安全，行为受控。同时天珣终端安全控制还能够有效监控和管理第三方防病毒软件等恶意代码查杀工具软件，协同构建终端主动防御能力。“移动存储管理”是作为终端防泄密控制中，针对终端通过移动存储进行数据交换和共享安全性的要求，天珣单独将“移动存储管理”作为一个模块，通过实现终端的移动存储的认证、数据加密和共享受控管理，并结合终端安全控制模块和桌面管理模块所提供的非法外联控制手段，彻底解决了用户对防泄密控制中通过移动存储进行数据安全交换和受控共享的迫切要求。下表是天珣功能模块及对应的功能列表：表1天珣产品功能列表序号模块名称功能类表1终端安全控制终端安全状态自动检测与强制修复终端访问控制分布式终端带宽管理终端基于网络行为模式的威胁主动防御终端加固IP管理终端多网卡控制2准入控制基于802.1x的网络准入控制基于EOU的网络准入控制应用准入控制终端准入控制3桌面管理资产管理HOD远程桌面外设管理补丁管理软件分发4移动存储管理移动存储设备认证专用目录加密与共享授权全盘加密与共享授权移动存储管理审计5终端审计文件操作审计与控制打印审计与控制网站访问审计与控制异常路由审计终端Windows登录审计终端安全控制天珣就是这样一款集中管理的内网终端合规管理系统，其客户端内置强大的终端安全控制引擎，通过预设策略，实现对终端的威胁主动防御和终端网络行为控制，保证内网安全可靠。终端安全状态自动检测与强制修复天珣监控终端的系统补丁、防病毒软件、运行软件、弱密码、可疑的注册表等。如果桌面电脑没有安装规定的补丁，防病毒软件的运行状态和升级状态不符合要求，没有运行指定的软件、运行了禁止的软件、或运行的软件超出了规定的范围，或有其他的安全漏洞，该终端的网络访问将被禁止。此时天珣启动自动修复机制，或提示用户手工进行修复。待修复完成，终端将自动得到重新访问网络的授权。终端访问控制天珣内置强大的进程级访问控制内核，可以实现针对终端基于进程、端口或协议的双向访问的最细粒度的访问控制。既可以实现特定终端某一个指定进程（例如IE）能够访问远程的某个IP、网段或网站；也可以实现两个子网内终端之间的细粒度的访问控制，在不需要对原有的网络做任何调整的前提下，实现最细粒度的内网安全域管理。访问控制策略由管理员集中定义，下发至终端后，分布式执行，简洁、高效。天珣通过对终端的网络行为进行集中管理，有效控制非授权访问。在连出访问时，只有满足管理员制定的安全状态策略才允许连出，只能访问许可的地址，只能访问许可的服务，只能由指定的程序访问。在连入时，只有满足管理员制定的安全策略才允许接受连入，只接受指定地址的访问请求，只让指定的服务接受指定地址的访问请求，只让指定的程序提供指定的服务。终端异常流量抑制传统的带宽管理工具多是网关型的设备，不能对每一个具体的终端进行精细的管理，一个终端就可能占用全部的有效带宽。天珣的分布式带宽管理可以精细管理每个终端上的每个应用程序，每个端口的带宽。通过合理配置，能有效管理终端的异常流量，即使有蠕虫病毒爆发，也不会导致网络瘫痪。终端基于网络行为模式的威胁主动防御天珣内置基于终端网络行为模式的威胁主动防御机制，通过集中控制每个客户端的网络行为，限定网络行为的主体、目标及服务，并结合终端的安全状态控制网络访问，可以有效切断“独立进程型”蠕虫病毒的传播途径及木马及黑客的攻击路线，弥补防病毒软件“防治滞后”的弱点。通过监控TCP同时连接数，减缓蠕虫病毒对网络损害。通过监控UDP的发包行为，限制异常进程的网络访问。通过检查IP数据包包头，确保数据包欺骗不能发生。通过监控网络行为的发起进程，防止木马以隐藏进程方式进行网络访问。通过监控ARP请求或应答包，自动绑定网关MAC，拒绝延迟的ARP应答包等方式，防止内网ARP欺骗侵害。终端安全加固天珣通过阻止网上邻居的匿名访问，禁止Guest帐号，检查指定的文件、程序、注册表项来加固终端的安全，有效预防终端被蠕虫病毒和木马攻击。IP管理天珣的IP地址管理支持IP-MAC绑定，MAC-IP绑定，User-IP绑定。IP-MAC绑定功能保护特定的IP地址只能由特定的MAC地址的电脑使用，这保护了服务器、网络设备或重要用户的IP地址不被其他人随便使用。MAC-IP绑定功能使指定的电脑只能使用指定的IP地址，或强制使用DHCP。User-IP绑定确保每个用户使用专属于自己的IP地址，配合动态VLAN技术，User-IP绑定使用户在企业内漫游时也能始终使用自己的IP地址。支持批量设置绑定，减轻管理员的工作负荷。多网卡非法外联控制可以设定只有与天珣系统通讯的网卡才能发送和接收数据，禁止其他任何网卡发送和接收数据，包括多网卡、拨号连接，VPN连接等。避免通过注册表设置禁用多网卡、拨号连接而易被破解。实现对通过网络的非法外联管理，业界领先的多层准入控制天珣终端准入控制，确保只有通过身份验证和安全检查的终端才能接入内网并进行受控访问，对非法或存在安全隐患的终端进行隔离和修复，为内网构建了一道“内网安检系统”，彻底颠覆了传统内网安全管理被动管理的局面，并为终端安全合规提供了强制性的保障能力。天珣采用业界最完善的多层准入控制机制，从终端到网络层，再到企业应用服务器，提供了客户端准入、网络准入和应用准入控制手段，为企业提供最灵活、最精确和最可靠的准入控制手段，确保每一个客户端都符合策略规则，也确保企业IT网络的每一个角落都被天珣管理及保护。下图是天珣多层准入控制逻辑图：图2多层次准入控制图天珣多层准入控制，适应各种各样的网络环境，无论现实的网络环境有多复杂，总可以找到适应该网络环境的一种或多种准入控制方式，构建“内网安检系统”。表2是在不同的网络环境中，可以选择的准入控制类型：表2不同网络环境可以选择的准入控制类型可选准入类型不同网络环境网络准入应用准入客户端准入基于802.1x基于EOU汇聚层支持EOU协议，接入层交换机支持802.1x协议√√√√汇聚层支持EOU协议，接入层交换机不支持802.1x协议×√√√汇聚层不支持EOU协议，接入层交换机支持802.1x协议√×√√汇聚层不支持EOU协议，接入层交换机不支持802.1x协议××√√天珣可以作为准入控制认证的所有条件，在实际部署中，如果所选择的认证条件中一个或多个不满足时，天珣均会认为安全状态不符合要求，通过准入控制手段，提示状态不符，并触发友好提示、重新认证或阻断其网络行为，直到终端安全状态完全满足。表3多因素准入控制认证准入控制类型认证条件不满足网络准入应用准入客户端准入标准802.1x漫游IP网段的802.1xEOU天珣客户端安装运行认证拒绝接入拒绝接入，禁止访问，提示安装禁止访问，提示安装禁止访问安全状态认证（补丁状态、进程状态、防病毒状态…）禁止访问，提示修复禁止访问，提示修复禁止访问，提示修复禁止访问，提示修复禁止访问，提示修复用户认证拒绝接入拒绝接入禁止访问禁止访问不生效可信MAC认证拒绝接入拒绝接入禁止访问禁止访问禁止访问组合认证User+IP+认证有效期拒绝接入改回设定IP地址禁止访问改回设定IP地址改回设定IP地址User+MAC+认证有效期拒绝接入拒绝接入禁止访问禁止访问禁止访问MAC+IP+认证有效期拒绝接入改回设定IP地址禁止访问改回设定IP地址改回设定IP地址User+IP+MAC+认证有效期拒绝接入拒绝接入禁止访问禁止访问禁止访问可匿名用户认证：当启用可匿名的用户认证，可以允许安装了客户端的终端匿名登录，登录后将自动获取访客策略，使其对内网访问完全受控。利用该认证方式，可实现对外来电脑的有效管理。基于802.1x的网络准入控制天珣支持国际标准802.1X协议，与支持该协议的网络接入设备共同完成网络准入控制。只有受天珣管理并且符合企业安全策略的电脑才允许接入企业网络，否则被隔离在企业网络之外，或被自动划分到特定的VLAN当中进行修复。网络准入控制从物理上保证只有经过身份认证和安全认证的电脑才能接入企业网络上，并且使用者也经过了身份认证，将不安全的电脑和用户拒之门外，彻底消除蠕虫病毒、木马的侵害及别有用心的偷窥和网络滥用。图3基于802.1x网络准入控制示例图天珣支持主流网络厂商的交换机设备，支持的厂家包括CISCO、H3C、华为、3COM、锐捷、DLink等业界主流网络厂商，并可以实现支持802.1x协议的多品牌厂商网络设备混合网络准入控制，最大限度保护用户在网络设备的已有投资。天珣基于802.1x网络准入认证的内容，包括用户名/密码、IP地址、MAC地址、计算机安全状态、接入有效期等一种或多种条件的组合。天珣在标准802.1x认证策略的基础上，创造性支持漫游IP网段准入控制扩展认证功能，加入客户端归属网段概念。客户端漫游接入非归属网段，系统将强制其通过DHCP获取漫游网段的IP地址。基于EOU的网络准入控制天珣支持思科NAC的EAPOverUDP网络准入，在接入交换机不支持802.1x的环境下，如果汇聚层采用的是CISCO支持EOU协议的网络设备，依然可以验证终端的安全状态，隔离不安全的终端，用户电脑无客户端程序则重定向用户的URL访问到指定的网页进行安装，并修复其安全漏洞。天珣扩展了EoU协议，支持在EoU协议上的用户认证，只有经过用户认证才能继续进行安全验证。

图4基于EOU的网络准入控制示例图应用准入控制天珣采用多种策略网关，为企业的关键系统和应用提供准入控制手段。只有受天珣管理并且符合安全策略的电脑才允许访问企业的这些系统及应用。系统及应用准入控制为企业关键的业务系统提供最后的安全保证，杜绝非授权访问或黑客攻击。图5应用准入控制示例图天珣已经支持的应用准入类型非常丰富，用户总能其中找到一种或几种适合自己网络和合规管理要求的应用平台，在该平台上面同时启用应用准入。天珣已经支持的应用准入类型有：按应用系统分类：Web、Mail、DNS、ISAProxy。按操作系统分类：Windows、Linux。下表是天珣已经具备针对不同的应用的策略网关类型，总可以从下面的表中，找到一种或几种适合的应用准入控制方案：表3针对不同应用天珣具备丰富的策略网关类型策略网关类型支持的应用类型不同平台下可选择的策略网关WindowsLinuxWeb应用IIS策略网关中性策略网关forLinuxProxy应用ISA策略网关中性策略网关forLinuxDNS应用中性策略网关forWindows中性策略网关forLinux其他应用类型中性策略网关forWindows中性策略网关forLinux除此之外，天珣能够启明星辰天清汉马USG实现准入控制互动，由USG担当准入控制网关，当终端需要通过USG进行访问时，由USG和天珣联动，只容许认证通过并且安全状态符合要求的终端通过USG进行访问。天珣应用准入控制可以单独只启用一种平台应用准入，也可以同时启用多个平台应用准入，也可以网络准入控制同时启用，组成“网络准入+应用准入”复合准入控制体系，全面覆盖用户内网每一个区域和角落。客户端准入控制安装有天珣系统客户端的桌面电脑在接受访问时，可以根据管理员的配置检查对方的电脑是否运行了天珣系统客户端，并检查自身的安全状态是否符合规范。如果对方电脑未安装客户端，或本机不符合安全策略要求，则拒绝其访问。图6客户端准入控制示例图当天珣客户端电脑访问网络，也会先检查自身的安全状态是否合格，如果不合格，将限制自身的网络访问。天珣客户端准入控制，创造性将每一台终端都成为准入控制点，保证每台终端只接受安全可信的终端进行访问，并只在安全状态合格时访问网络，实现最细粒度准入控制。天珣客户端具备网络阻断功能，在客户端安全状态不符合要求时，客户端自身能不依赖网络设备、不依赖网络上其他的电脑或设备独立执行网络访问阻断天珣更支持强大的选择性阻断，在客户端安全状态不符合要求时，客户端能根据管理员的配置，通过进程、端口、目标地址等选择性地阻止部分非紧急业务的网络访问，而允许其他紧急业务的网络访问。当启用基于802.1X网络准入时，选择性阻断技术保证客户端安全状态的改变不会导致交换机端口状态的频繁切换或VLAN的频繁切换而影响交换机和网络的性能；当启用基于EoU时，选择性阻断技术保证客户端安全状态的改变不会导致交换机频繁下载ACL而影响交换机和网络的性能。当不启用网络准入时，选择性阻断保证客户端不依赖其他任何设备执行紧急业务和非紧急业务的分类阻断。网络准入增值应用动态VLANVLAN在控制广播域的范围、网络安全、第三层地址的管理、和网络资源的集中管理方面有重要的意义。传统的基于交换机端口划分VLAN的方式因为不灵活以及对管理员的工作量太大而不能满足今天移动用户的VLAN管理需求。天珣可以根据用户的登录名或电脑MAC地址动态划分VLAN，无论用户移动到公司的哪个地点接入到网络，都将可以自动属于他被分配的VLAN，而不用管理员手工干预。动态ACL在交换机的传统ACL配置中，只能针对端口或IP地址设置ACL。天珣能够在EoU的环境下，针对登录用户名和电脑的MAC地址为每一台电脑下发动态ACL，极大地扩展了交换机的配置能力。外来电脑管理对于外来电脑，企业有时很难要求其与本公司电脑启用相同的安全策略。天珣可以通过支持802.1X的网络交换机将外来电脑自动划分到GuestVLAN，或通过启用访客策略，严格限制外来电脑的访问权限，即使其安全状态不符合规范，甚至有蠕虫病毒或木马，也不会对企业网络造成危害，同时杜绝了任何外来电脑的非授权访问问题。桌面管理功能具备执行力的终端合规管理，要求精确和完整的终端信息作为合规管理基础，因此合规管理系统需要精确和完整的桌面信息管理。天珣改变传统的桌面管理软件多是一种“尽力而为”的管理模式，即需要用户配合安装客户端，运行客户端，如果用户卸载或停用客户端，管理员将对客户电脑失去管理，依托准入控制技术，确保100%的终端都部署和运行了客户端软件，第一次使管理员有了确定性的桌面管理手段，管理企业IT资产，管理桌面运行软件，进行补丁管理，软件分发，控制PC的外设使用，并使用创新的“按需支援（HOD:HelpOnDemand）”技术进行远程桌面支持。与安全防护功能集成的桌面管理将使管理员有了全新的管理手段，并使管理手段拥有前所未有的执行力。资产管理由于电脑硬件及软件的更新和变化，IT维护人员和财务部门对企业的IT资产的管理和统计经常处于一种无序及手工统计的状态，当IT资产更新频繁时，原来的IT资产管理记录往往由于管理的滞后和对实际情况的掌握程度不够无法及时更新，从而造成IT资产管理的混乱，维护人员对于IT资产的最新情况不了解也对IT运行服务造成了障碍。天珣资产管理模块自动收集企业用户的IT设备的硬件配置，如客户端计算机的BIOS参数、CPU型号、内存数量，硬盘类型，硬盘序列号，硬盘容量及分区，主板序列号等，显卡类型，各种外设等信息；软件信息，如操作系统，安装软件等；以及跟踪相关信息的变化。为管理员进行系统维护，技术支持，软件部署，IT开支预算及统计提供及时的信息。开放灵活的架构天珣通用桌面管理套件资产管理采用开放式架构，使用Windows脚本技术，灵活动态收集企业资产信息。天珣策略系统的开放架构的脚本技术使资产收集脚本规则化，系统不用更新客户端程序就能改变信息采集方式，改变数据库内容，改变显示方式。这些脚本可以由启明星辰提供，也可由系统管理员根据自己的需要自己定制，这种灵活性是天珣通用桌面管理套件资产优于其它系统的最主要特征。集中的Web管理控制台管理员可以从一个中央控制台保存和追踪各系统的有关信息，例如处理器类型、BIOS类型及序列号、显示适配器、内存、硬盘等。差异化传输客户端在初次扫描时会将全部信息都传输给服务器，在以后的扫描及传输过程中，只对有变化的部分传输给服务器，这样大大提高传输效率，减小传输过程对网络的影响。HelpOnDemand远程桌面天珣HOD系统在企业中心IT部门对在各园区的需要帮助的计算机进行远程操作，帮助远程的客户端进行异地操作和检查系统问题，充分发挥、共享中心IT部门的技术优势，为企业IT部门节省各园区驻地成本和交通成本，节省时间，提高运维服务的效率，达到成本与服务质量的双重效益。天珣HOD完全符合企业的现实需求，并独具有多种工作模式，可以完全覆盖企业多种远程帮助和支持的情况。天珣HOD主要的工作模式：NULL客户端模式和Agent模式。NULL客户端模式：用户端无需安装任何软件，用户需要帮助时从企业内部网上下载客户端软件，只能由用户主动向管理员发起连接，管理员在管理端操作用户的电脑，帮助用户排除故障，故障排除后自动销毁客户端程序。用户可以看见管理员所有的操作，消除用户感觉被控制和被偷窥的“心理恐惧”。Agent模式：用户端安装天珣HODAgent作为Service运行。既可以由用户端发起连接，也可以由管理员端发起连接。补丁管理Windows的ServicePack和各种安全更新是保护Windows免受黑客程序攻击的最有效的屏障，Windows操作系统随时会有新的ServicePack，或其他的安全更新，如何帮助员工及时安装最新的ServicePack或安全更新？天珣补丁管理自动帮助员工及时安装最新的ServicePack或安全更新。天珣补丁管理支持多种操作系统语言版本，为企业的不同国家或地区的员工提供良好的支持。管理员使用天珣补丁管理将获得更好的管理体验，更轻松的操作。在天珣中，补丁的获得和配置都是自动的，并且提供多种补丁安装选项，比如自动下载自动安装、自动下载手工安装、手工下载手工安装等。管理员可以通过报表查看网络中每个电脑安装的补丁情况，也可以查看每个补丁在网络中的安装情况。天珣支持与微软WSUS的联动，无需计算机加入域，自动下发补丁安装策略，完成补丁的分发，保证计算机及时打上微软发布的最新补丁，防止安全漏洞被利用。进程管理在企业网络环境中，客户端软件环境的标准化能为桌面维护管理带来多方面的效益。能降低桌面维护的复杂程度，确保企业的关键软件应用能够贯彻实施，通过禁止运行某些应用来提高工作效率等。天珣进程管理通过定义终端设备进程的红名单，黑名单，白名单，实现自动、高效的进程管理功能，完全覆盖用户对进程管理的要求。在天珣GDM中所定义的红名单、黑名单和白名单如下：红名单：终端设备必须运行的软件。黑名单：终端设备禁止运行的软件。白名单：终端设备只能运行的软件清单。PC外设管理企业员工随意使用PC周边设备可能导致敏感资料外泄或病毒广泛传播。天珣PC外设管理灵活控制用户电脑的硬件资源使用情况，比如控制电脑的并口，串口，USB口，移动存储设备，MODEM拨号，在敏感的环境中保护公司的机密，确保公司员工与外界的信息交换在管理人员的控制下进行，防止通过终端外设进行非法外联，并减小病毒传播风险。软件分发支持多种安装包格式：MSI安装包、自定义打包格式安装包、可执行文件、批处理文件；支持多种安装方式：SMB直接安装、HTTP下载安装、SMB下载安装支持安装、卸载、更新等操作；支持多种操作系统：支持Windows系列操作系统，包括Windows98/ME、WindowsNT、Windows2000/2003/XP多用户软件分发，可以同时向多个客户端分发软件包；灵活的分发时间控制：可以指定在某个时间范围进行软件分发；支持续传机制，即如果在软件分发过程中由于某种原因导致分发过程停止，则下次开始分发的时候可以从上次停止的地方继续进行软件分发，直到完成为止；分发过程中的实时状态反馈，管理员可是实时查看所有分发任务进行的状态；移动存储管理天珣移动存储管理，是解决终端通过移动存储进行数据交换和共享过程中，防泄密控制的要求，通过实现终端的移动存储的认证、数据加密和共享受控管理，彻底解决了用户对防泄密控制中通过移动存储进行数据安全交换和受控共享的迫切要求。天珣移动存储管理，可以实现移动存储设备的认证和设备使用授权，只有认证的移动存储存储设备和具有使用权限的用户才能使用。对于认证过的的移动存储设备，可以根据防泄密控制要求的高低，可以选择多种数据保存和共享授权方式。可以只认证设备，不对其中保存数据进行加密共享；也可以对认证的设备选择专用目录或全盘加密共享，并可以对移动设备使用全过程进行审计，方便在发生意外时进行查证。移动存储设备认证在内网终端启用天珣移动存储设备认证后，当未经授权的移动存储设备（例如U盘、移动硬盘等），通过USB接口接入电脑，天珣将自动弹出认证提示框，要求用户填写相关信息后，发送给管理控制台，经管理员确认并按照移动存储管理规章对该移动存储进行确认和相应授权后，该移动存储设备才可使用。通过认证的设备可赋予指定用户读、写、加密写等权限。保证只有经过认证的、确认安全的移动存储设备才能在内网中使用，消除不明来历的移动存储通过终端接入内网后，可能带来的病毒传播等隐患。专用目录数据加密与共享授权如果需要通过天珣认证过的移动存储设备，进行对重要数据的共享传播，可以在认证时，启用专用目录数据加密，所有保存在专用目录下的数据将自动被加密，然后可以对专用目录中保密数据进行共享授权，确保只能在受控终端由具有访问权限的用户共享。如果移动存储设备意外丢失，保证存储在专用加密目录下的数据安全。专用目录数据加密与共享授权对于通过天珣认证过的移动存储设备，也可以选择全盘数据加密，所有保存在移动存储上面的数据将被自动被加密，然后可以对专用目录中保密数据进行共享授权，确保只能在受控终端由具有访问权限的用户共享。即使意外丢失，也可以保证所有保存在移动存储设备的重要数据安全。移动存储设备管理审计天珣提供移动存储认证、使用和数据共享全过程的审计，方便在发生意外时进行查证。终端审计审计在内网合规管理中，具有非常重要的意义，不仅可以检验合规管理效果，而且也是促进内网安全状况动态持续改善。围绕内网合规管理要求，天珣提供与内网合规管理紧密关联的终端审计功能，实现内网安全状况持续改善提供保证。天珣提供的终端审计功能，包括“文件操作审计与控制”，“打印审计与控制”，“网站访问审计与控制”，“异常路由审计”和“终端Windows登录审计”。天珣在上述五类终端审计对象中，所审计的内容只是跟内网安全合规相关的信息，不对涉及终端用户的个人隐私信息，例如网上聊天记录、上网浏览的内容、打印文件的内容、登录用户的密码等等进行审计，保证在达到合规管理的审计要求的前提下，保护终端用户个人私隐。文件操作审计与控制天珣文件操作审计与控制功能，可对指定目录文件或指定文件名后缀的读、写、新建、复制、删除、改名、移动等操作进行审计，对指定目录文件或指定文件名后缀的读、写、新建、删除、改名、移动等操作进行阻断。对于终端共享目录的访问以及用户访问网络文件也可进行详尽的审计。打印审计与控制天珣打印审计与控制，可以实现通过内网终端进行本地打印或网络打印的行为进行审计；也可以直接通过天珣对终端打印进行控制，禁止通过打印限制的终端进行打印，保护用户有限的打印资源。网站访问审计与控制天珣提供终端用户网站访问审计与控制功能，可以针对网站关键字进行审计，也可以通过网站关键字进行网站访问控制，设置网站白名单和黑名单，即只能访问的网站和禁止访问的网站。天珣还可以审计和控制终端通过http代理网站访问，规范终端用户上网行为。异常路由审计天珣内置的异常路由审计功能，可以通过审计内网终端路由异常，发现终端可能存在非法外联，帮助用户及时发现和修补合规管理漏洞。终端Windows登录审计天珣可以对每台终端的Windows系统登录情况进行审计，掌握每台终端用户活跃情况，为优化内网合规管理，提供参考。体系架构与部署方式CSC系统体系架构天珣使用目前最适合做桌面管理的系统架构的基于可信任计算的CSC架构（CSC=Clients+Server+Checkpoint，其中Checkpoint中文名称是准入控制检查点，是天珣准入生效和执行点，具体在系统中是指应用准入和网络准入生效的服务器或网络设备）。CSC体系架构因具备了完整的控制控制检查点，使天珣具备其他传统意义的终端管理产品所不可能具备的100%的执行力和卓越的可靠性、安全性、扩展性和健壮性。确保管理无盲点，具有无比的强制性。策略服务器（Server）策略服务器用于配置管理客户端安全策略，分发策略给客户端代理及策略网关，分发补丁、病毒定义码或软件以修补客户端安全漏洞，并可从策略服务器查询企业网络任何一个终端的安全状态。天珣支持分布式多服务器架构，集中管理全球范围内的任意多个策略服务器，分布式多服务器架构使天珣具有优秀的容错性、可伸缩性。客户端代理（Clients）客户端代理从策略服务器获取策略规则，在客户端执行策略规则，检查其安全状态，执行终端综合防护，并将客户端安全状态报告给策略服务器。天珣客户端是模块化的组件，支持多种模块化的组件，以满足用户以一个客户端完成多种安全或管理的需求。策略网关（Checkpoint）策略网关是执行应用准入的强制组件。策略网关从策略服务器获取策略规则，以准入控制手段强制执行企业安全策略，拒绝不符合安全策略的终端访问企业的关键系统及应用。包括天清汉马USG在内，天珣具备多种类型的策略网关和应用准入类型。图7天珣架构示意图部署方式天珣一般部署方式如下：1、根据所要管理的终端数量、区域划分配置和部署一到多台天珣策略服务器（其中也可以同时安装资产管理服务器、Radius服务器等天珣功能服务器），构一级或多级服务器管理架构；2、至少要在一个应用服务器部署策略网关，并启用应用准入，作为准入控制检查点；3、借助应用准入提供的客户端安装检测和部署能力，用户自助部署客户端；4、如果需要启用网络准入，需要先对支持802.1x或EOU的网络设备启用相应的网络准入配置选项。5、根据合规管理要求，定义和下发相应策略安全策略到终端、策略网关和后台功能服务器执行。下图就是天珣典型安装部署图：图8天珣典型安装部署示意图系统特性领先的CSC系统架构天珣不仅是一个管理工具，更是一个领先的架构。天珣使用目前最适合做桌面管理的系统架构的基于可信任计算的CSC架构。CSC架构使天珣更健壮，可靠，安全，扩展性好。确保管理无盲点，具有无比的强制性。易于部署和管理客户端主动部署借助天珣强大的准入控制技术，管理员只需简单定义，系统自动将客户端安装包推到用户桌面，自动完成系统安装和配置。灵活的分阶段部署，部署过程尽在掌握。集中管理、分级控制、满足对跨地域的分支机构的集中管理天珣在统一的Web控制台集中管理整个网络的安全策略，灵活管理策略客户端、策略服务器、策略网关。管理员从任何一个浏览器连接到Web控制台，进行安全策略的配置，将安全策略同步下发到企业全球网络的策略服务器上，并分发到企业全球网络的客户端，并可以通过Web控制台查看分布在企业全球网络的任何一个客户端的安全状态，并提供详尽的统计报表。分级管理的权限让分支机构的管理员可以定义个性化的策略，但必须执行总部管理员制定的策略。基于策略组的管理，管理方式丰富灵活可以基于用户、IP、IP段或IP组进行管理，可以依照用户组或IP组划分策略组，不同的策略组可以使用不同的策略，也就是同时支持以IP地址为对象的策略和以用户为对象的策略，为部署和管理带来巨大的灵活性。Pass-Through方式的LDAP用户认证天珣支持主流的LDAP用户认证，比如AD域、iPlanet，OpenLDAP等。通过认证的用户可以使用基于用户的网络访问策略，为访问控制提供高度灵活的手段。天珣支持Pass-Through认证方式，使用企业现有的目录服务，不需要导入任何用户数据库，使系统更具实时性，减轻管理员的工作量。自动升级随着天珣的不断升级，自动升级功能在不影响用户的情况下，在后台将最新的功能发送到成千上万的现有用户，而不需要重新安装。丰富的报表，终端合规状况一目了然。合规管理确定有效强制保持终端安全状态，无盲点，不妥协天珣强大的准入控制能力，确保如果用户电脑不符合企业安全策略，或者用户电脑没有安全天珣，该用户电脑将不能访问网络的任何资源，直到问题被解决。分布式策略执行，始终保持策略的强制力度天珣的多层准入控制，可独立进行策略检查及控制，检查效率高。某一层次的检查失效不影响策略的完整性及可靠性，并确保策略控制无盲点。策略服务器只是分发策略规则，策略检查由多层准入控制机制完成，策略检查时不依赖策略服务器，使系统由极高的可靠性，消除单点故障。策略自适应，满足办公，家庭等工作环境无论客户端是在企业的哪一个企业园区，分公司，办事处，还是在宾馆，展会，家中；无论是直接连接还是通过VPN连接，天珣将自动适用客户端所处环境的安全策略规则，以防范不同的安全风险。当用户在不同的环境漫游时，安全策略将自动切换，无需管理员和用户干预。自动防御，自动补救，防患于未然天珣的多层准入控制体系对于蠕虫病毒、木马或黑客的攻击能够自动防御，切断它们的传播途径，控制威胁的蔓延。对不符合安全策略的电脑实施自动补救，帮助其安装Windows补丁，升级访病毒软件病毒码，限制有安全隐患的应用程序的运行，或提示用户运行其他必要的软件。缩短安全事故反应时间、减轻工作负荷传统的维