内网安全风险管理与审计系统解决方案

1、天珣内网安全风险管理与审计系统解决方案目 录 TOC o 1-3 h z u HYPERLINK l _Toc528175353 1终端安全发展阶段和主要问题 PAGEREF _Toc528175353 h 1 HYPERLINK l _Toc528175354 1.1终端安全管理建设的四个阶段 PAGEREF _Toc528175354 h 1 HYPERLINK l _Toc528175355 1.2每个阶段面对的突出问题 PAGEREF _Toc528175355 h 3 HYPERLINK l _Toc528175356 1.3终端安全管理建设路线图 PAGEREF _Toc52817

2、5356 h 5 HYPERLINK l _Toc528175357 2天珣助力终端安全实现跨越式发展 PAGEREF _Toc528175357 h 7 HYPERLINK l _Toc528175358 3精细化终端运维管理 PAGEREF _Toc528175358 h 9 HYPERLINK l _Toc528175359 3.1终端资产管理 PAGEREF _Toc528175359 h 9 HYPERLINK l _Toc528175360 3.2远程桌面 PAGEREF _Toc528175360 h 10 HYPERLINK l _Toc528175361 3.3补丁管理 PA

3、GEREF _Toc528175361 h 11 HYPERLINK l _Toc528175362 3.4终端外设管理 PAGEREF _Toc528175362 h 12 HYPERLINK l _Toc528175363 3.5软件分发 PAGEREF _Toc528175363 h 12 HYPERLINK l _Toc528175364 3.6桌面自动化运维工具 PAGEREF _Toc528175364 h 13 HYPERLINK l _Toc528175365 3.6.1主机名规范 PAGEREF _Toc528175365 h 14 HYPERLINK l _Toc52817

4、5366 3.6.2短消息 PAGEREF _Toc528175366 h 14 HYPERLINK l _Toc528175367 3.6.3终端资源监控 PAGEREF _Toc528175367 h 15 HYPERLINK l _Toc528175368 3.6.4Windows防火墙例外排除 PAGEREF _Toc528175368 h 15 HYPERLINK l _Toc528175369 3.6.5终端实时操控 PAGEREF _Toc528175369 h 16 HYPERLINK l _Toc528175370 3.7主机防火墙 PAGEREF _Toc528175370

5、 h 16 HYPERLINK l _Toc528175371 3.7.1终端访问控制 PAGEREF _Toc528175371 h 16 HYPERLINK l _Toc528175372 3.7.2分布式流量带宽管理 PAGEREF _Toc528175372 h 17 HYPERLINK l _Toc528175373 3.7.3基于终端网络行为模式的威胁主动防御 PAGEREF _Toc528175373 h 18 HYPERLINK l _Toc528175374 3.7.4终端多网卡控制 PAGEREF _Toc528175374 h 19 HYPERLINK l _Toc528

6、175375 3.7.5终端安全域管理 PAGEREF _Toc528175375 h 19 HYPERLINK l _Toc528175376 4全方位终端合规管理 PAGEREF _Toc528175376 h 20 HYPERLINK l _Toc528175377 4.1终端审计 PAGEREF _Toc528175377 h 20 HYPERLINK l _Toc528175378 4.1.1安全策略事件审计 PAGEREF _Toc528175378 h 21 HYPERLINK l _Toc528175379 4.1.2文件操作审计与控制 PAGEREF _Toc52817537

7、9 h 21 HYPERLINK l _Toc528175380 4.1.3打印审计与控制 PAGEREF _Toc528175380 h 21 HYPERLINK l _Toc528175381 4.1.4网站访问审计与控制 PAGEREF _Toc528175381 h 21 HYPERLINK l _Toc528175382 4.1.5FTP审计与控制 PAGEREF _Toc528175382 h 22 HYPERLINK l _Toc528175383 4.1.6Windows操作系统登录审计 PAGEREF _Toc528175383 h 22 HYPERLINK l _Toc52

8、8175384 4.1.7主机名、IP、MAC变更审计 PAGEREF _Toc528175384 h 22 HYPERLINK l _Toc528175385 4.1.8应用程序使用审计 PAGEREF _Toc528175385 h 22 HYPERLINK l _Toc528175386 4.2多重防控，杜绝非法外联 PAGEREF _Toc528175386 h 22 HYPERLINK l _Toc528175387 4.3移动存储管理 PAGEREF _Toc528175387 h 23 HYPERLINK l _Toc528175388 4.3.1移动存储设备认证 PAGEREF

9、 _Toc528175388 h 24 HYPERLINK l _Toc528175389 4.3.2分区表加扰与共享授权 PAGEREF _Toc528175389 h 25 HYPERLINK l _Toc528175390 4.3.3专用目录数据加密与共享授权 PAGEREF _Toc528175390 h 25 HYPERLINK l _Toc528175391 4.3.4全盘数据加密与共享授权 PAGEREF _Toc528175391 h 25 HYPERLINK l _Toc528175392 4.3.5使用未认证设备计算机授权 PAGEREF _Toc528175392 h 2

10、5 HYPERLINK l _Toc528175393 4.3.6移动存储全过程审计 PAGEREF _Toc528175393 h 26 HYPERLINK l _Toc528175394 4.4终端数据防泄密 PAGEREF _Toc528175394 h 26 HYPERLINK l _Toc528175395 4.4.1涉密信息发现 PAGEREF _Toc528175395 h 26 HYPERLINK l _Toc528175396 4.4.2涉密拷贝审计 PAGEREF _Toc528175396 h 27 HYPERLINK l _Toc528175397 4.4.3涉密剪贴板

11、审计 PAGEREF _Toc528175397 h 27 HYPERLINK l _Toc528175398 4.4.4涉密打印审计 PAGEREF _Toc528175398 h 27 HYPERLINK l _Toc528175399 4.4.5刻录审计 PAGEREF _Toc528175399 h 27 HYPERLINK l _Toc528175400 4.4.6邮件外发审计 PAGEREF _Toc528175400 h 28 HYPERLINK l _Toc528175401 4.4.7QQ外发审计 PAGEREF _Toc528175401 h 28 HYPERLINK l

12、_Toc528175402 4.4.8WEB外发审计 PAGEREF _Toc528175402 h 28 HYPERLINK l _Toc528175403 4.4.9自定义外发审计 PAGEREF _Toc528175403 h 28 HYPERLINK l _Toc528175404 4.4.10涉密外发告警 PAGEREF _Toc528175404 h 29 HYPERLINK l _Toc528175405 5多层准入，主动防御 PAGEREF _Toc528175405 h 30 HYPERLINK l _Toc528175406 5.1业界领先的多层准入控制 PAGEREF _

13、Toc528175406 h 30 HYPERLINK l _Toc528175407 5.1.1基于802.1x的有线网络准入控制 PAGEREF _Toc528175407 h 30 HYPERLINK l _Toc528175408 5.1.2基于802.1x的无线网络准入控制 PAGEREF _Toc528175408 h 31 HYPERLINK l _Toc528175409 5.1.3基于CISCO EoU的网络准入控制 PAGEREF _Toc528175409 h 32 HYPERLINK l _Toc528175410 5.1.4基于应用的准入控制 PAGEREF _Toc

14、528175410 h 33 HYPERLINK l _Toc528175411 5.1.5客户端准入控制 PAGEREF _Toc528175411 h 36 HYPERLINK l _Toc528175412 5.1.6多层准入，层层设防 PAGEREF _Toc528175412 h 37 HYPERLINK l _Toc528175413 5.1.7准入控制的增值应用 PAGEREF _Toc528175413 h 39 HYPERLINK l _Toc528175414 5.2终端安全基线管理 PAGEREF _Toc528175414 h 41 HYPERLINK l _Toc52

15、8175415 5.2.1终端安全基线自动检测与强制修复 PAGEREF _Toc528175415 h 41 HYPERLINK l _Toc528175416 5.2.2终端安全加固 PAGEREF _Toc528175416 h 42 HYPERLINK l _Toc528175417 5.2.3进程红白黑名单管理 PAGEREF _Toc528175417 h 43 HYPERLINK l _Toc528175418 5.2.4终端安装软件管理 PAGEREF _Toc528175418 h 43 HYPERLINK l _Toc528175419 5.2.5防病毒软件管理 PAGER

16、EF _Toc528175419 h 44 HYPERLINK l _Toc528175420 5.2.6Windows服务管理 PAGEREF _Toc528175420 h 45 HYPERLINK l _Toc528175421 5.2.7Windows本地策略 PAGEREF _Toc528175421 h 45 HYPERLINK l _Toc528175422 5.2.8Windows帐户策略 PAGEREF _Toc528175422 h 45 HYPERLINK l _Toc528175423 5.2.9Windows密码保护策略 PAGEREF _Toc528175423 h

17、 46 HYPERLINK l _Toc528175424 5.2.10Windows事件日志管理 PAGEREF _Toc528175424 h 46 HYPERLINK l _Toc528175425 5.2.11SYN攻击防护 PAGEREF _Toc528175425 h 47 HYPERLINK l _Toc528175426 5.2.12终端IP地址管理 PAGEREF _Toc528175426 h 47 HYPERLINK l _Toc528175427 5.2.13终端IE设置 PAGEREF _Toc528175427 h 47 HYPERLINK l _Toc528175

18、428 5.2.14终端屏幕保护策略 PAGEREF _Toc528175428 h 47 HYPERLINK l _Toc528175429 5.2.15终端共享资源管理 PAGEREF _Toc528175429 h 47 HYPERLINK l _Toc528175430 5.3增强身份认证# PAGEREF _Toc528175430 h 48 HYPERLINK l _Toc528175431 5.3.1天珣CA# PAGEREF _Toc528175431 h 48 HYPERLINK l _Toc528175432 5.3.2单点登录# PAGEREF _Toc528175432

19、 h 48 HYPERLINK l _Toc528175433 5.3.3终端Ukey绑定管理# PAGEREF _Toc528175433 h 49 HYPERLINK l _Toc528175434 6系统体系架构与典型部署 PAGEREF _Toc528175434 h 50 HYPERLINK l _Toc528175435 6.1CSC体系架构 PAGEREF _Toc528175435 h 50 HYPERLINK l _Toc528175436 6.2典型部署方式 PAGEREF _Toc528175436 h 51 HYPERLINK l _Toc528175437 7系统特性

20、 PAGEREF _Toc528175437 h 53 HYPERLINK l _Toc528175438 7.1系统功能特性 PAGEREF _Toc528175438 h 53 HYPERLINK l _Toc528175439 7.2系统管理特性 PAGEREF _Toc528175439 h 54 HYPERLINK l _Toc528175440 7.3系统部署特性 PAGEREF _Toc528175440 h 56 终端安全发展阶段和主要问题终端安全管理建设的四个阶段终端安全作为架构企业网络安全的核心组成部分，其重要性已经被业界广泛接受和认可。但是，由于终端安全范畴涉及到终端桌面

21、运维管理、内网接入管理、终端安全加固、终端威胁主动防御、终端用户网络行为规范、终端信息防泄密、终端审计等一系列广泛的问题，对到底如何才能做好终端安全管理建设，业界对其的解读和实践，却各有不同。终端安全管理是一项系统工程，涉及到各个领域相关性很强，相互依存，相互影响，并非解决某一个领域的问题，终端安全问题就可以高枕无忧了。终端安全管理建设也不是一蹴而就，一劳永逸，需要根据实际的问题，对症下药，循序渐进，才能建立起高效、可靠的终端管理体系。基于对终端安全管理的实践，启明星辰总结出终端安全管理建设的四个阶段，这四个阶段分别是：阶段一：基础认证及运维阶段阶段二：合规管理建设阶段阶段三：主动防御及强制阶

22、段阶段四：安全运营阶段下图为终端安全健身的四个阶段示意图：图1 终端安全管理建设的四个阶段以上这四个阶段，概括了企业终端安全管理建设的发展路线图，每个企业在进行终端安全管理建设，都需要经历以上四个阶段，循序渐进，与企业核心业务的发展同步，系统解决终端面临的安全威胁和管理问题，保障和促进企业核心业务的持续、稳定和健康发展。企业终端安全管理建设必须经历的四个阶段，每个阶段都具有鲜明的特征，每个阶段具备的特征表现如下：1、基础认知及运维阶段 :基础认证及运维阶段，是对终端在业务中的角色和终端自身特征的认证阶段，在了解到终端对保障业务持续稳定运行的重要性之后，围绕终端运行维护相关问题，企业逐步引入一定

23、技术手段，准确掌握终端信息和终端运行状况，完善和加强终端运行维护管理。2、合规管理建设阶段 在解决对终端的基础认知问题，并建立起终端运行维护体系后，终端安全管理建设就可以迈入第二个阶段，即合规管理建设阶段。合规管理建设阶段，核心是要实现终端安全管理的制度化和规范化，依据指定的规章制度有针对性地实施和完善终端安全管理。3、主动防御及强制阶段终端管理完成合规管理建设阶段之后，终端安全管理体系规范也初具规模，终端安全管理也将具备上升到第三个阶段的条件。终端安全管理的第三个阶段，是终端主动防御及强制管理阶段，这个阶段的主要特征，就是终端安全管理不再是被动防御和管理，而是需要根据潜在的威胁和安全隐患，主

24、动调整终端安全管理体系和制度，实现终端安全主动管理，将终端面临的风险抑制在未起之时。4、安全运营阶段 终端安全运营阶段，是终端安全管理建设的最终阶段，在完成以上三个阶段的安全管理建设之后，终端安全管理将进入到安全运营阶段。进入安全运营阶段，终端安全管理已经不能简单应对和解决终端面临的具体安全威胁，而要站在企业风险管理的层面，从终端风险管理的角度，建立终端风险集中管理与监控生态体系，随终端面临的风险更迭，动态调整终端风险管理体系、制度、架构和需要采用的技术手段，全面提升针对终端风险管理的驾驭能力，促进企业核心业务持续、健康发展。以上的四个阶段，概括了企业终端安全管理建设发展的全过程，是企业终端安

25、全管理建设的必由之路。每个阶段面对的突出问题终端安全管理建设的四个阶段，也是解决终端安全管理面临的问题的过程，由于每个阶段的特征不同，因此每个阶段所面对和需要解决的问题也存在明显的不同。具体每个阶段所面对的主要问题分述如下：1、基础认知及运维阶段面对的突出问题:终端基本信息难以获得及维护，导致信息认知困难 终端数量巨大、地理分散，导致终端运维支持困难 无法精确统计IT资产，确定每台电脑的硬件配置及软件安装情况无法跟踪IT资产的历史使用纪录，也不能及时掌握资产变动情况计算机终端需要统一的管理手段快速统一分发软件和操作系统补丁需要针对计算机外设：如USB、Modem、无线设备等，进行有效监控和管理

26、计算终端随意访问或扫描内网重要的应用及服务器资源计算终端随意对内网中正常运行的终端进行扫描或非授权访问病毒、木马的攻击，带来终端及网络的可用性的挑战 无法及时掌握计算机终端进程运行情况，木马程序有可能“浑水摸鱼无法有效监控终端资源的使用情况，也无法及时发现并定位资源使用异常的终端计算机终端出现使用故障时，需要IT维护人员亲自赶赴现场处理2、合规管理建设阶段面对的突出问题 不合规的电脑操作行为，导致工作效率降低或安全风险 敏感信息的外泄，导致组织核心利益受损 用户随意安装和运行各种软件，随意占用有限的带宽资源用户随意访问、复制、修改或删除终端中重要的文件或数据，恶意破坏或外泄重要的文件和数据外泄

27、用户可以在工作时间，随意访问不安全的或者严重影响工作效率的网站，不仅降低的工作效率，还可能从不安全网站引入病毒和木马用户随意更改主机名、IP地址、MAC地址等信息，对资产管理、网络审计等方面造成不便计算机终端存储的关键数据失窃或外泄后，难以追查计算机终端滥用打印机打印小说或保密资料，难以追查计算机终端使用未经认证的移动存储设备进行数据交换，不受控制未经认证的移动存储设备成为病毒传播的载体存储关键数据的移动存储设备丢失或失窃，造成严重的泄密事故计算机终端用可以轻易通过拨号、私设代理、多网卡通讯等非法外联手段，造成内部机密外泄3、主动防御及强制阶段面对的突出问题已有的安全防范手段不能发挥作用 被动

28、防御，问题层出不穷 计算机终端未经安全认证和授权即可随意接入内网无法对接入的终端进行有效鉴别区分和管理计算机终端接入内网后对内网非授权访问难以管理计算机终端存在的操作系统安全漏洞不能及时修复终端未按照要求安装指定防病毒软件或者未按照要求定期更新病毒定义码，使终端丧失或削弱对病毒的防御能力蠕虫攻击导致网络或系统瘫痪，影响核心业务正常运行终端安全级别设置过低，既没有禁用存在安全隐患的设置，例如没有禁用Guest账号，允许自动运行Autorun，也没有按规定空闲定时启用屏幕保护，留下安全隐患4、安全运营阶段面对的突出问题 多种终端系统产生的信息难以统一分析 与其他安全及网络设备的信息难以综合处理 在

29、终端安全管理建设进程中，每个阶段呈现不同的特征，所面临的问题也不尽相同，每个阶段问题得到有效解决，将有助于实现终端安全管理质的跨越。那么如何有效解决每个阶段终端安全管理的突出问题，就成为终端安全管理建设的核心问题。终端安全管理建设路线图终端安全管理建设的每个阶段，所面临的突出问题和矛盾，也并非一下子就能够全部解决。每个阶段按照分类解决问题的原则，可以将每个阶段终端安全管理体系的建设目标，划分出若干个终端安全子系统建设目标，然后引入针对性的终端安全解决方案，各个击破，循序渐进完成阶段性终端安全管理的建设。下图就是基于此原则，规划的终端安全建设路线图：图2 终端安全管理建设路线图其中：“基于认证及

30、运维阶段”，目标是要完成：“资产管理”、“软件分发”、“远程桌面”、“补丁管理”、“主机防火墙”和“主机防病毒”六个终端安全子系统建设。“合规建设阶段”，目标是要完成：“主机监控审计”、“非法外联控制”、“移动存储管理”、“涉密信息发现”和“涉密监控审计”五个终端安全子系统建设。“主动防御及强制阶段”，目标是要完成：“准入控制”、“安全基线管理”和“文档加密授权”三个子系统建设。“安全运营阶段”，目标是要完成“安全运行中心”的建设。终端安全管理建设路线图，是终端安全管理建设最佳实践，企业在进行终端安全管理建设时，可以将自身的终端安全管理现状对号入座，然后按图索骥，找到符合企业自身终端安全管理发

31、展阶段的终端安全管理解决方案，步步为赢，构建完善的终端安全管理体系和终端风险运营中心，彻底解决终端安全问题，促进核心业务持续安全运行。天珣助力终端安全实现跨越式发展作为安全领航厂商，已经在终端安全管理和建设相关领域实践多年，依据对终端安全管理建设的深入了解和研究，自主研发了业界领先的内网安全管理产品“天珣内网安全风险管理与审计系统”（以下简称天珣）。天珣提供的产品功能覆盖终端安全管理建设的“基础认知及运维阶段”、“合规建设阶段”和“主动防御及强制阶段”三个阶段，全部核心功能模块，如下图所示：图3 天珣功能模块示意图其中：覆盖“基础认知及运维阶段”的五个功能模块是：“资产管理”、“软件分发”、“

32、远程桌面”、“补丁管理”和“主机防火墙”。覆盖“合规建设阶段”的四个功能模块是：“主机监控审计”、“非法外联控制”、“移动存储管理”和“涉密信息发现”。覆盖“主动防御及强制阶段”的两个功能模块是：“准入控制”和“安全基线管理”。对照终端安全管理建设路线图，天珣所提供的功能已经完全覆盖了终端安全管理建设四个阶段的前三个，即“基础认知及运维阶段”、“合规管理建设阶段”和“主动防御及强制阶段”，通过引入天珣作为终端安全管理体系建设的支撑产品，即可实现终端安全管理跨越式发展，如下图所示：图4 天珣帮助终端安全管理实现跨越式发展终端安全管理建设路线图以天珣为核心，全面覆盖终端安全管理建设的四个阶段和所有

33、关键终端安全子系统，助力企业实现终端安全管理跨越式发展。精细化终端运维管理随着各行各业信息化建设的巨大发展，终端运维管理已经进入到精细化管理时代，对终端运维管理提出了更全面和细致的要求，仅仅获取到终端信息远远不够的，还需要针对终端进行精细化管理，提供终端整个生命周期的信息管理、终端操作系统漏洞检测和修复、终端平台环境规范、远程支持和维护等全方位的终端运维管理。终端资产管理由于计算机终端硬件及软件的更新和变化，IT维护人员和财务部门对企业IT资产的管理和统计经常处于一种无序及手工统计的状态，当IT资产更新频繁时，原来的IT资产管理记录往往由于管理的滞后以及对实际情况的掌握程度不够无法及时更新，从

34、而造成IT资产管理的混乱，IT维护人员对于IT资产的最新情况不了解也对IT运行服务造成了障碍。天珣资产管理模块自动收集企业用户IT设备的软、硬件配置信息，并自动与终端注册信息进行绑定。支持的硬件信息包括：计算机终端的BIOS参数、CPU型号、内存数量、硬盘序列号、硬盘类型、硬盘容量及分区、主板序列号、显卡类型、各种外设等信息；软件信息包括操作系统、安装软件等；并能够及时提供终端软件和硬件变更事件并进行告警。图5天珣资产管理示意图天珣能够自动识别和区分终端类型是台式机或笔记本电脑，方便用户根据终端类型进行分类管理和查询与统计。能够自动识别和区分存在多网卡的终端，方便用户对非法外联行为进行控制。为

35、管理员进行系统维护、技术支持、软件部署、IT开支预算及统计提供及时准确的信息。开放灵活的架构天珣通用桌面管理套件采用开放式架构，使用Windows脚本技术，灵活动态收集企业IT资产信息。天珣开放架构的脚本技术使得资产收集脚本规则化，系统不用更新客户端程序就能改变信息采集方式、数据库内容以及显示方式。这些脚本可以由提供，也可由系统管理员根据自己的需要自行修改脚本，这种灵活性是天珣通用桌面管理套件资产优于其它桌面管理系统的最主要特征。集中的Web管理控制台管理员可以从一个中央控制台保存和追踪所有计算机终端的相关信息，例如处理器类型、BIOS 类型及序列号、显示适配器、内存、硬盘等。并可以基于组织架

36、构进行统计和查询。精准的资产信息管理天珣能够实现对终端资产信息的插槽级的识别，按照终端各组件的序列号读取资产精确信息，并提供资产全生命周期历史快照，实现对终端资产精准管理。远程桌面企业IT管理部门可以利用天珣按需支援远程桌面对企业网内需要帮助的计算机终端进行远程维护操作，帮助远程计算机终端进行异地操作和检查系统问题，充分发挥与共享IT管理部门的技术优势，为IT管理部门节省各园区驻地成本和交通成本，节省时间、提高运维服务的效率，达到成本与服务质量的双重效益。图6 天珣按需支援远程桌面管理示例图天珣按需支援远程桌面完全符合企业的现实需求，并独具有多种工作模式，可以完全覆盖企业各种远程帮助和支持需求

37、：支持支持用户主动发起的远程协助，保护用户隐私，可设定管理员的远程支持范围，支持无客户端的终端的远程协助请求，能够从Web控制台下载实时生成的客户端，自动向特定的管理员发起请求。补丁管理天珣补丁管理自动帮助计算机终端及时安装最新的Windows操作系统的Service Pack或安全更新，IE浏览器相关补丁和Windows应用程序补丁。天珣补丁管理支持多种操作系统语言版本，为企业在不同国家或地区的计算机终端提供良好的支持。天珣具备灵活的应用补丁管理框架，不仅可以支持常见的Windows应用程序补丁，例如IE补丁、MS Office补丁、SQL Server、Adobe Reader补丁，还可以

38、根据用户实际的需求，在线扩展Windows应用程序补丁支持，而无需升级客户端。图7 天珣补丁管理示意图在天珣补丁管理中，补丁的获得和配置都是自动的，并且提供多种补丁测试、分发和安装选项，比如自动下载自动安装、自动下载手工安装、手工下载手工安装、自动下载静默安装等，并完全支持对域环境终端进行补丁分发和管理。管理员可以通过报表查看网络中单台电脑的补丁安装情况，也可以查看单个补丁在内网中的整体安装等情况。天珣补丁管理支持与微软WSUS的联动，无需计算机终端加入域，自动下发补丁安装策略，完成补丁的分发，保证计算机终端及时打上Microsoft最新发布的补丁，防止安全漏洞被利用。终端外设管理企业员工随意

39、使用PC周边设备可能导致敏感资料外泄或病毒广泛传播。天珣PC外设管理能够灵活控制和监控计算机终端硬件资源的使用情况，比如控制计算机终端的并口、串口、移动存储设备、MODEM拨号、蓝牙、USB等外设的使用情况，能够自动收集终端曾经使用过的USB设备的历史记录，并能够单独禁用无法确定其用途的USB设备，保障USB接口的正常使用，更能够通过对未知设备进行自动检测和采样，实现对未知和新增设备的有效控制和管理。灵活并有效保护企业机密，确保企业员工与外界的数据交换在管理人员可控的环境中进行，防止通过终端外设进行非法外联，并减小病毒传播的风险。软件分发天珣软件分发，作为终端自动化软件分发和管理工具，能够提高

40、终端管理效率，尤其对于终端数量巨大，分布范围很广的用户，能够实现远程批量软件分发，极大提高终端运维管理效率和效果。图8 天珣软件分发管理示意图天珣的软件分发，具备以下特点：支持多种安装包格式：MSI安装包、自定义打包格式安装包、可执行文件、批处理文件。支持普通格式的文件自动分发，可以将文件自动分发到指定的终端目录下；或将指定的文件或者应用程序复制到终端指定的位置。支持的对客户端软件安装包的自动分发和安装.支持Windows系列主流操作系统:包括Windows NT、Windows 2000/2003/XP、Windows VISTA/7/2008。软件分发支持指定分组、立即或指定时间进行软件安

41、装，并支持软件分发流量控制。可以同时向多个客户端分发软件包，也可以指定在某个时间范围内进行软件分发。支持断点续传机制，即如果在软件分发过程中由于某种原因导致分发过程停止，则下次分发的时候可以从上次未完成的部分开始继续进行软件分发，直到完成为止。记录和统计客户端的软件分发和安装情况；可以定义时间段查询；导出信息报表，并可自定义报表。桌面自动化运维工具天珣除了提供资产管理、远程桌面、软件分发等通用的终端运维管理功能模块之外，还提供了多种桌面运维工具，例如主机名规范、企业短消息、终端资源监控、Windows防火墙例外、终端实时操控等，为管理员提供高效工具，成为管理员终端运维的好帮手。图9 天珣桌面自

42、动化运维工具示意图主机名规范天珣能够对终端主机名进行合规管理，能够禁止用户修改主机名，防止终端用户随意修改终端的主机名。天珣能够绑定终端主机名称不被修改，主机名绑定后，如果违规修改主机名，系统将自动将终端主机名恢复到绑定的主机名陈，确保终端主机名符合主机名规范。短消息天珣提供客户端短信息广播功能，可以在天珣的Web管理控制台上，编辑通知消息，通过天珣自动下发到指定的终端后，由客户端提醒终端用户有短消息。并可以分组指定发送短消息，设定短消息有效时间，保证短消息的时效。除此之外，天珣提供短消息策略创建人和删除人、创建和删除时间和短消息内容的审计，保证短消息内网和发布行为事后可查。图10 天珣短消息

43、功能示意图借助天珣人性化的客户端短消息管理，可以实现对终端用户进行安全教育增值功能。通过系统可以将事先准备好的安全教育内容，定时通过短消息传送到客户端，客户端收到后，将自动弹出信息提示框，并提示终端用户及时进行阅读，待终端用户全文阅读完毕并点击确认，客户端消息框将不再弹出。除此之外，管理员还可以根据实际情况，调整信息提示框弹出的频率和消息有效期，保证达到理想的安全教育效果。终端资源监控天珣能够对终端计算机的CPU使用率、内存使用率、硬盘剩余空间和终端网络流量状况进行监控，并能够终端计算机的CPU使用率、内存使用率、硬盘剩余空间和终端网络流量异常进行告警，一旦终端资源占用超过合理范围，就会发送告

44、警到服务器，可以直接通过天珣Web管理控制台，查看指定终端的资源使用历史曲线，也可以对资源使用率告警的终端，进行查询和统计，帮助管理员根据终端资源使用过程中的异常情况，及时了解和掌握终端资源使用情况。Windows防火墙例外排除天珣能够为指定的应用程序在终端Windows防火墙中设置例外排除，确保指定应用程序不会因启用Windows防火墙被误拦。通过天珣添加应用程序Windows防火墙例外排除后，将自动在所有网络环境下生效。终端实时操控能够针对终端进行点对点操作，实时查询终端的服务运行情况，并可以通过管理控制台远程对服务进行启动、停止和重启，也可以远程设置服务的启动方式，方便管理员对在线终端进

45、行远程维护。 能够针对终端进行点对点操作，实时查询终端的进程运行情况，并可以通过管理控制台远程结束进程，方便管理员对在线终端进行远程维护。 能够针对终端进行点对点操作，实时查询终端的网络连接状态，并可以通过管理控制台断开进程的网络连接，方便管理员对在线终端进行远程维护。能够针对终端进行点对点操作，实时查询终端的补丁安装情况，方便管理员对在线终端进行远程维护。能够实时对指定终端IE浏览器插件进行管理，启用、禁用或删除制定的控件，提高终端网络访问的安全性。能够实时对终端进行远程终端锁屏和解锁，也可设置终端本地解锁密码，锁屏后可以通过输入解锁密码进行屏幕解锁。能够通过管理控制台，在线卸载客户端，方便

46、管理员对在线终端进行远程维护。主机防火墙天珣客户端内置强大的主机防火墙引擎，采用访问控制、流量控制、ARP欺骗控制、网络行为模式控制、非法外联控制等手段，实现了针对计算机终端的威胁主动防御和网络行为控制，从而保证计算机终端双向访问安全、行为受控。终端访问控制天珣内置强大的进程级主机防火墙，可以针对计算机终端实现基于进程、端口或协议的双向访问的细粒度访问控制。既可以实现指定终端某一指定进程（例如IE）能够访问远程的某个IP、网段或网站，也可以实现两个子网内终端之间的细粒度访问控制，在不需要对原有的网络做任何调整的前提下，实现最细粒度的内网安全域管理。访问控制策略由管理员集中定义，下发至计算机终端

47、后，分布式执行，简洁、高效。天珣通过对计算机终端的网络行为进行集中管理，有效控制非授权访问。在连出访问时，只有满足管理员制定的安全策略的访问才允许连出，只能访问许可的地址、许可的服务，只能由指定的程序访问。在连入时，只有满足管理员制定的安全策略的访问才允许接受连入，可以只接受指定地址的访问请求，只让指定的服务接受指定地址的访问请求，只让指定的程序提供指定的服务。图11 天珣基于策略的访问控制示例图天珣能够对终端PING行为进行有效控制，有效保护受控终端被PING，也可以禁止终端对网络进行PING操作。分布式流量带宽管理传统的网络带宽管理系统大多是网关型设备，不能针对每一台具体的计算机终端进行细

48、粒度的带宽管理，有时一台计算机终端就可能占用企业内网的全部有效带宽。天珣的分布式带宽管理功能可以精细管理单台计算机终端上单个应用程序、单个端口的带宽。通过合理配置，能够有效管控计算机终端的异常流量，即使有蠕虫病毒爆发，也不会导致网络瘫痪。图12 分布式流量带宽管理示例图基于终端网络行为模式的威胁主动防御天珣具备基于终端网络行为模式的威胁主动防御机制，通过集中控制每个计算机终端的网络行为，限定网络行为的主体、目标及服务，并结合计算机终端的安全基线控制网络访问，可以有效切断“独立进程型”蠕虫病毒的传播途径及木马及黑客的攻击路线，弥补防病毒软件“防治滞后”的弱点。通过监控TCP并发连接数，减缓蠕虫病

49、毒对网络造成的损害。通过监控UDP的发包行为，限制异常进程的网络访问。通过检查IP数据包包头，确保数据包欺骗不能发生。通过监控网络行为的发起进程，防止木马以隐藏进程方式进行网络访问。并可以通过监控ARP请求或应答包，自动绑定网关MAC，拒绝延迟的ARP应答包等方式，防止内网ARP欺骗侵害。图13天珣基于网络行为模式的主动防御示意图下图是在终端安装天珣客户端后，将对终端自动安全修复，修复终端存在的漏洞，然后通过下发并执行了非法外联控制策略、主动防御策略、终端流量控制和管理策略后，所有不安全或违规的网络访问都会被天珣侦测和拦截到，保证网络始终稳定幸运，而这一切对终端用户完全透明。图14 天珣安全保

50、护下的终端示意图终端多网卡控制可以设定只有与天珣系统通讯的网卡才能发送和接收数据，除此之外禁止其他任何网卡发送和接收数据，包括多网卡、拨号连接，VPN连接等。很好解决了业界通常采用的通过设置注册表禁用多网卡、拨号连接易被破解的缺陷，实现了基于网络通讯侦测的多网卡非法外联管理。启用了终端多网卡控制之后，仍然可以通过策略设定是否允许终端用户自行在多个网络连接中进行切换，确保终端不会发生同时连通两个网络的前提下，方便确实需要在不同时间或场景中切换网络的用户。 终端安全域管理天珣具备业界领先的和最细粒度的终端安全域管理。天珣的安全域管理无需对现有网络进行任何调整，即可实现终端安全域划分和管理，支持根据

51、安全终端安全等级保护级别，设置终端安全域内和终端安全域之间细粒度终端访问控制权限，全面提升内网终端安全防护级别。天珣具备最细粒度的终端安全域管理能力，能够将单台终端或单个登录用户作为安全域最小管理对象，并能够针对两台终端之间设置基于进程的安全域访问控制策略。天珣支持基于安全状态的安全域管理，安全域中任意一台终端安全状态不符合要求，都将被系统从安全域中隔离，确保安全域始终健康和稳定运行。全方位终端合规管理终端用户的违规行为，已经成为终端安全管理的潜在的巨大威胁，终端用户不受约束的网络访问、数据传输和交换、终端资源的违规使用等违规行为，将有可能导致网络违规外联、重要的数据和机密信息外泄和重要的终端

52、资产破坏，也为潜在外来攻击打开方便之门。天珣从终端审计、移动存储管理、终端数据防泄密等角度，提供全方位的终端合规管理功能，从规范终端用户行为出发，封堵终端违规的漏洞、监控和规范终端用户行为，全面提升终端安全管理水平。终端审计在内网合规管理中，审计具有非常重要的意义，不仅可以检验合规管理效果，而且是促进内网安全状况持续改善的基本保证。围绕内网合规管理要求，天珣提供了完善的终端行为审计功能，包括：文件操作审计与控制、打印审计与控制、网站访问审计与控制、FTP审计和终端、应用程序使用审计、刻录审计、Windows登录审计等多种审计功能。审计内容可以只限定为与内网合规管理相关的信息，保证在达到合规管理

53、审计要求的前提下，充分保护终端用户个人隐私。面向合规的终端行为审计，能够有效确保100%的终端接受管理监督，促进内网安全状况持续改善。图15 终端审计功能框架图安全策略事件审计天珣安全策略事件审计功能，能够针对计算机终端所有触发天珣安全策略的事件进行审计，包括：进程红白黑名单、防病毒软件安装及病毒码更新、终端安全加固、屏幕保护、注册表保护、IP地址、操作系统补丁、Windows登录、网络行为等。文件操作审计与控制天珣文件操作审计与控制功能，可以针对指定目录中的文件或指定后缀名的文件的读、写、新建、复制、删除、改名、移动等操作行为进行审计，对指定目录中的文件或指定后缀名的文件的读、写、新建、删除

54、、改名、移动等操作行为进行阻断。同时，对于计算机终端共享目录的访问以及终端用户对网络文件的访问也可进行详尽的审计。打印审计与控制天珣打印审计与控制功能，可以针对计算机终端的本地或网络打印行为进行审计；也可以直接通过天珣针对计算机终端的本地或网络打印行为进行控制，保护用户有限的打印资源，同时避免企业核心机密通过纸质打印外泄。能够详细审计打印的页面及份数。网站访问审计与控制天珣提供针对计算机终端的网站访问审计与控制功能，可以针对URL地址关键字进行审计，也可以针对URL地址关键字进行网站访问控制，设置URL地址白名单和黑名单，限定计算机终端允许访问的网站和禁止访问的网站。天珣还可以审计和控制计算机

55、终端通过Http代理访问网站，规范终端用户上网行为。FTP审计与控制天珣提供针对计算机终端FTP行为进行审计与控制功能，能够对终端FTP行为进行审计，也可以对终端FTP行为进行控制，可以禁止终端FTP行为，避免因为终端违规FTP行为，可能带来的内部关键数据泄密的风险。Windows操作系统登录审计天珣可以针对每台计算机终端的Windows系统登录情况进行审计，掌握每台计算机终端的用户活跃情况，为优化内网合规管理提供参考。主机名、IP、MAC变更审计天珣能够对终端的主机名、IP和MAC变更进行审计，能够记录终端主机名、IP、MAC的变化，并生成对应的告警事件信息上报服务器，帮助用户及时发现违规修

56、改计算机配置的违规行为。应用程序使用审计天珣能够对终端应用程序使用历史进行审计和记录，可以针对所有进程进行审计，也可以仅针对指定进程进行审计，能够记录应用程序进程的开启、关闭和持续运行的时间和历史记录，为规范终端应用程序使用提供依据。多重防控，杜绝非法外联天珣基于真正的安全内核，具备网络非法外联多重防控技术，可以对终端发生的任意一个网络行为进行检测和识别，并能够拦截所有存在安全的威胁的网络访问，包括终端的非法外联尝试。下图是天珣非法外联多层防控功能示意图：图16 天珣非法外联多层防控功能示意图天珣的非法外联多层防控技术，提供对非法外联的全程监视、阻断、审计和告警全过程的非法外联防控，能够彻底杜

57、绝终端非法外联的违规行为，保证终端始终在允许的网络范围内访问。图17 天珣非法全过程非法外联防控示意图移动存储管理针对移动存储中的数据交换和共享安全性等要求，天珣结合防非法外联技术，通过对接入终端的移动存储设备进行认证、数据加密和共享受控管理，确保只有通过认证的移动存储设备才能够被授权用户使用。同时，还可以根据不同的防泄密要求，灵活对已通过认证的移动存储设备赋予多种数据共享权限：可以只认证设备，也可以在设备认证的基础上对保存的数据进行分区表加扰、专用目录加密及全盘加密，更可以对移动存储设备使用的全过程进行审计，有效切断核心数据的非法传播途径，保护用户关键信息资产。图18 移动存储管理功能框架图

58、移动存储设备认证在计算机终端启用天珣移动存储设备认证后，当未经授权的移动存储设备（例如U盘、移动硬盘等）通过USB接口接入终端时，天珣将自动弹出认证提示框，要求用户选择和填写相关部门、设备使用人等信息，然后发送给管理控制台，经管理员确认并按照移动存储管理规章对该移动存储设备进行确认和相应授权后，该移动存储设备才可以在内网中使用。通过认证的设备可赋予指定用户读、写、加密写等权限。保证只有经过认证的、确认安全的移动存储设备才能在内网中使用，消除不明来历的移动存储设备通过终端接入内网后，可能带来的病毒传播等隐患。天珣移动存储管理，支持对多个移动存储设备进行批量授权，并支持对已经移动存储认证信息进行批

59、量导入和导出，方便对移动存储设备进行高效管理。. 分区表加扰与共享授权对于通过天珣认证过的移动存储设备，如果需要对重要数据进行共享传播，可以在认证时，启用分区表加扰，然后对移动存储设备中的保密数据进行共享授权，确保只能在受控的计算机终端上由具有访问权限的用户共享。此时，该移动存储设备在非管理环境中完全无法使用，如果移动存储设备意外丢失，也能够保证存储在移动存储设备中的数据安全。除此之外，天珣能够对特殊移动进行例外处理，能够只对移动存储设备只认证，不做加扰处理，保证特殊移动存储设备经过认证即可正常使用。专用目录数据加密与共享授权对于通过天珣认证过的移动存储设备，如果需要对重要数据进行共享传播，可

60、以在认证时，启用专用目录数据加密，所有保存在专用目录下的数据将自动被加密，然后可以对专用目录中的保密数据进行共享授权，确保只能在受控的计算机终端上由具有访问权限的用户共享。此时，该加密目录中的数据在非管理环境中完全无法解密，如果移动存储设备意外丢失，也能够保证存储在专用加密目录下的数据安全。全盘数据加密与共享授权对于通过天珣认证过的移动存储设备，如果需要对重要数据进行共享传播，可以在认证时，启用全盘数据加密，所有保存在移动存储设备中的数据将自动被加密，然后可以对移动存储设备中的保密数据进行共享授权，确保只能在受控的计算机终端上由具有访问权限的用户共享。此时，该移动存储设备在非管理环境中完全无法