天珣内网安全风险管理与审计系统白皮书

天珣内网安全风险管理和审计系统
产品白皮书
（V6.6.9.0）
北京启明星辰信息技术股份有限公司
Beijing Venus Information Tech. Inc.
2008年7月
版权声明
北京启明星辰信息技术有限公司版权所有，并保留对本文档及本声明的最终解释权和修改权。

本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外,其着作权或其他相关权利均属于北京启明星辰信息技术有限公司。

未经北京启明星辰信息技术有限公司书面同意，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。

“天珣”为启明星辰信息技术有限公司的注册商标，不得侵犯。

免责条款
本文档依据现有信息制作，其内容如有更改，恕不另行通知。

北京启明星辰信息技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠，但北京启明星辰信息技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任
信息反馈
如有任何宝贵意见，请反馈：
信箱：北京市海淀区东北旺西路8号中关村软件园21号楼启明星辰大厦
邮编：100193
您可以访问启明星辰网站：获得最新技术和产品信息。

目录
版权声明........................................................... 免责条款........................................................... 信息反馈........................................................... 1内网安全挑战.................................................... 2终端合规管理，内网安全解决之道..................................
2.1内网安全，合规先行 ........................................
2.2Venus终端五维合规管理模型.................................
3产品主要功能....................................................
3.1终端安全控制 ..............................................
3.1.1终端安全状态自动检测与强制修复.........................
3.1.2终端访问控制...........................................
3.1.3终端异常流量抑制.......................................
3.1.4终端基于网络行为模式的威胁主动防御.....................
3.1.5终端安全加固...........................................
3.1.6IP管理................................................
3.1.7多网卡非法外联控制.....................................
3.2业界领先的多层准入控制.....................................
3.2.1基于802.1x的网络准入控制..............................
3.2.2基于EOU的网络准入控制.................................
3.2.3应用准入控制...........................................
3.2.4客户端准入控制.........................................
3.2.5网络准入增值应用.......................................
3.3桌面管理功能 ..............................................
3.3.1资产管理...............................................
3.3.2Help On Demand远程桌面................................
3.3.3补丁管理...............................................
3.3.4进程管理...............................................
3.3.5PC外设管理............................................
3.3.6软件分发...............................................
3.4移动存储管理 ..............................................
3.4.1移动存储设备认证.......................................
3.4.2专用目录数据加密与共享授权.............................
3.4.3专用目录数据加密与共享授权.............................
3.4.4移动存储设备管理审计...................................
3.5终端审计 ..................................................
3.5.1文件操作审计与控制.....................................
3.5.2打印审计与控制.........................................
3.5.3网站访问审计与控制.....................................
3.5.4异常路由审计...........................................
3.5.5终端Windows登录审计................................... 4体系架构与部署方式..............................................
4.1CSC系统体系架构...........................................
4.2部署方式 .................................................. 5系统特性 .......................................................
5.1领先的CSC系统架构 ........................................
5.2易于部署和管理 ............................................
5.3合规管理确定有效 ..........................................
5.4系统安全可靠 ..............................................
5.5系统优良的性能、伸缩性和可扩展性........................... 6成功案例 .......................................................
6.1用户：某银行（代称：G银行）...............................
6.1.1需求...................................................
6.1.2部署...................................................
6.1.3收效...................................................
6.1.4客户评价...............................................
1 内网安全挑战
根据CSI/FBI等权威机构公布的数据，在所有已经发生的安全事件中，超过80%的安全事件都发生在企业内网中，内网安全面临前所未有的挑战。

内网安全面临的挑战，集中表现在以下两个方面：
内网安全控制挑战
1.终端未经安全认证和授权即可随意接入内网；
2.内部终端存在的安全漏洞不能及时修复；
3.终端接入后对内网的非授权访问难以管理；
4.被动防御蠕虫病毒及木马的破坏和传播；
5.蠕虫攻击导致网络或系统瘫痪，影响核心业务的运作；
6.用户随意改动IP地址，对网络审计带来困难；
7.用户随意安装和运行软件，随意占用有限带宽资源。

终端数据安全挑战
1．终端使用未经认证的U盘等移动存储设备进行数据保存；
2．通过U盘等进行数据交换，不受控制；
3．未经认证的U盘成为病毒传播的载体；
4．存有关键数据的U盘丢失或失窃造成严重的泄密事故；
5．终端用户可以轻易通过拨号、私设代理等非法外联手段，传播内部重要数据或资料。

终端行为审计
内部关键数据失窃后，难以追查；
通过网络共享交换数据不受控制；
滥用打印机打印小说或保密资料。

内网终端IT支持挑战
1.无法精确统计IT资产，确定每台电脑的硬件配置，确定软件的
安装情况；
2.无法跟踪资产的历史使用纪录，也不能及时掌握资产变动情况；
3.终端电脑的使用故障，需要IT维护人员赶到现场处理；
4.无法及时掌握终端进程运行情况，木马程序可能就混在其中；
5.需要合适的工具帮助管理员快速有效分发软件和补丁；
6.需要对PC外设如USB、Modem、无线设备等进行监控和管理；
2 终端合规管理，内网安全解决之道
2.1 内网安全，合规先行
“道高一尺，魔高一丈”，面对内网安全的巨大挑战，解决之道就是要找出内网安全问题的根源和规律，从源头解决内网安全问题。

内网安全问题的根源，存在于内网自身，尤其内网中数量巨大而分布很散的终端电脑，由于缺少有效的终端集中安全管理系统，即使企业已经为内网安全制定了严格的安全管理制度和流程，制度的执行主要依靠终端用户自觉完成，现实是大部分用户的终端仅仅只依赖防病毒软件和个人防火墙进行安全保护，安全管理执行力不足，安全管理制度形同虚设。

现实中，经常会因个别终端疏于打安全补丁、防病毒软件未及时升级、防火墙规则过于宽松、可以随意下载和安装不明软件、滥用网络资源等等，这些终端自身存在大量的安全漏洞和管理空白地带，使得威胁有了可乘之机，一有机会，便被作为内网攻击的入口或跳板，不仅本身会受到攻击和破坏，更为严重的攻击，会造成内网阻塞和瘫痪和内部关键数据或文件失窃，为企业带来巨大的损失。

事实上，如果能将制定内网安全规范在每一台终端有效执行下去，通过有效的安全控制手段，及时修复终端存在的漏洞、并实现终端用户的网络行为可控制、可管理和可审计，使内网各项安全指标达到企业预设的安全管理标准和效果，从而有效解决内网安全问题。

Venus通过多年的网络安全实践，发现内网安全问题，实质上不是因为威胁高深莫测，而是在于内网安全管理有章不循，如果内网安全管理规章制度能够有效执行下去，内网安全问题将得到有效的解决。

终端作为内网安全管理的主体，是否能够达到内网安全管理规章要求，将是内网安全的关键，因此内网合规管理的核心是终端合规管理。

正是基于此，Venus围绕“合规管理”核心用户价值，推出了业界领先的内网合规管理产品：“天珣内网风险管理与审计系统”。

2.2 Venus终端五维合规管理模型
终端是否安全合规，就看是否能够很好回答以下几个问题：
1、终端自身是否具备对外来的威胁和攻击的防御能力？
2、终端的合规管理策略是否能够100%有效执行下去？
3、终端的信息是否能够及时完全掌握？
4、终端的数据是否具备足够的保密性、数据交换是否安全受
控？
5、是否具备终端合规审计，促进合规管理持续改善？
针对以上五个问题，Venus创造性提出了“终端五维合规管理模型”,将终端合规管理归类为五部分，分别是：“主动防御”，“准入控制”，“终端防泄密”，“桌面管理”和“终端审计”。

下图为终端五维合规管理模型示意图：
图1 Veuns终端五维合规管理模型
其中：
“主动防御”：为终端提供“软猬甲”，使终端具备威胁主动防御能
力，保护终端免受攻击和破坏，最终保障内网安全和
不间断运行，并确保用户网络访问行为合规。

“准入控制”：全新构建内网“安检系统”，保证终端安全接入内网，
保证终端接入行为受控，保证合规管理策略100%执
行。

“桌面管理”：提供精确和完整的终端信息，为合规管理提供基础数
据保证。

“终端防泄密”：需要同时解决终端数据保密性问题和数据传播途径受
控的问题。

通过对终端关键数据进行加密和授权共享
管理，提升终端数据保密性，同时结合完善的非法外
联控制和移动存储管理技术，实现关键数据受控共享。

天珣提供的五维合规管理模型，彻底颠覆了以往内网安全管理被动和执行力低下的问题，并通过实现从“准入控制”、“主动防御”、“数据防泄密”、“桌面信息管理”和“终端审计”的动态闭环的内网合规管理体系，在应对内网安全威胁的斗争中，掌握了主动权和制高点，只有依靠有限的安全控制手段，有
效应对无限的内网威胁。

3 产品主要功能
天珣内网风险管理与审计系统，作为一套终端合规管理软件产品，在Venus 的“五维终端合规管理模型”框架下，并从用户现实需求出发，产品也划分为五个功能模块，分别为：“终端安全控制”，“准入控制”，“终端桌面管理”，“移动存储管理”和“终端审计”，覆盖了终端合规五维领域。

其中：
“终端安全控制”是在主动防御的目标下，实现了与合规管理密切相关的终端安全控制，即终端内网访问控制、流量控制、网络行为模式控制、ARP欺骗控制、非法外联控制等等终端安全控制手段，保证终端双向访问安全，行为受控。

同时天珣终端安全控制还能够有效监控和管理第三方防病毒软件等恶意代码查杀工具软件，协同构建终端主动防御能力。

“移动存储管理”是作为终端防泄密控制中，针对终端通过移动存储进行数据交换和共享安全性的要求，天珣单独将“移动存储管理”作为一个模块，通过实现终端的移动存储的认证、数据加密和共享受控管理，并结合终端安全控制模块和桌面管理模块所提供的非法外联控制手段，彻底解决了用户对防泄密控制中通过移动存储进行数据安全交换和受控共享的迫切要求。

下表是天珣功能模块及对应的功能列表：
3.1 终端安全控制
天珣就是这样一款集中管理的内网终端合规管理系统，其客户端内置强大的终端安全控制引擎，通过预设策略，实现对终端的威胁主动防御和终端网络行为控制，保证内网安全可靠。

3.1.1 终端安全状态自动检测与强制修复
天珣监控终端的系统补丁、防病毒软件、运行软件、弱密码、可疑的注册表等。

如果桌面电脑没有安装规定的补丁，防病毒软件的运行状态和升级状态不符合要求，没有运行指定的软件、运行了禁止的软件、或运行的软件超出了规定的范围，或有其他的安全漏洞，该终端的网络访问将被禁止。

此时天珣启动自动修复机制，或提示用户手工进行修复。

待修复完成，终端将自动得到重新访问网络的授权。

3.1.2 终端访问控制
天珣内置强大的进程级访问控制内核，可以实现针对终端基于进程、端口或协议的双向访问的最细粒度的访问控制。

既可以实现特定终端某一个指定进程（例如IE）能够访问远程的某个IP、网段或网站；也可以实现两个子网内终端之间的细粒度的访问控制，在不需要对原有的网络做任何调整的前提下，实现最细粒度的内网安全域管理。

访问控制策略由管理员集中定义，下发至终端后，分布式执行，简洁、高效。

天珣通过对终端的网络行为进行集中管理，有效控制非授权访问。

在连出
访问时，只有满足管理员制定的安全状态策略才允许连出，只能访问许可的地址，只能访问许可的服务，只能由指定的程序访问。

在连入时，只有满足管理员制定的安全策略才允许接受连入，只接受指定地址的访问请求，只让指定的服务接受指定地址的访问请求，只让指定的程序提供指定的服务。

3.1.3 终端异常流量抑制
传统的带宽管理工具多是网关型的设备，不能对每一个具体的终端进行精细的管理，一个终端就可能占用全部的有效带宽。

天珣的分布式带宽管理可以精细管理每个终端上的每个应用程序，每个端口的带宽。

通过合理配置，能有效管理终端的异常流量，即使有蠕虫病毒爆发，也不会导致网络瘫痪。

3.1.4 终端基于网络行为模式的威胁主动防御
天珣内置基于终端网络行为模式的威胁主动防御机制，通过集中控制每个客户端的网络行为，限定网络行为的主体、目标及服务，并结合终端的安全状态控制网络访问，可以有效切断“独立进程型”蠕虫病毒的传播途径及木马及黑客的攻击路线，弥补防病毒软件“防治滞后”的弱点。

通过监控TCP同时连接数，减缓蠕虫病毒对网络损害。

通过监控UDP的发包行为，限制异常进程的网络访问。

通过检查IP数据包包头，确保数据包欺骗不能发生。

通过监控网络行为的发起进程，防止木马以隐藏进程方式进行网络访问。

通过监控ARP请求或应答包，自动绑定网关MAC，拒绝延迟的ARP应答包等方式，防止内网ARP欺骗侵害。

3.1.5 终端安全加固
天珣通过阻止网上邻居的匿名访问，禁止Guest帐号，检查指定的文件、程序、注册表项来加固终端的安全，有效预防终端被蠕虫病毒和木马攻击。

3.1.6 IP管理
天珣的IP地址管理支持IP-MAC绑定，MAC-IP绑定，User-IP绑定。

IP-MAC 绑定功能保护特定的IP地址只能由特定的MAC地址的电脑使用，这保护了服务器、网络设备或重要用户的IP地址不被其他人随便使用。

MAC-IP绑定功能使指定的电脑只能使用指定的IP地址，或强制使用DHCP。

User-IP绑定确保每个用
户使用专属于自己的IP地址，配合动态VLAN技术，User-IP绑定使用户在企业内漫游时也能始终使用自己的IP地址。

支持批量设置绑定，减轻管理员的工作负荷。

3.1.7 多网卡非法外联控制
可以设定只有与天珣系统通讯的网卡才能发送和接收数据，禁止其他任何网卡发送和接收数据，包括多网卡、拨号连接，VPN连接等。

避免通过注册表设置禁用多网卡、拨号连接而易被破解。

实现对通过网络的非法外联管理，
3.2 业界领先的多层准入控制
天珣终端准入控制，确保只有通过身份验证和安全检查的终端才能接入内网并进行受控访问，对非法或存在安全隐患的终端进行隔离和修复，为内网构建了一道“内网安检系统”，彻底颠覆了传统内网安全管理被动管理的局面，并为终端安全合规提供了强制性的保障能力。

天珣采用业界最完善的多层准入控制机制，从终端到网络层，再到企业应用服务器，提供了客户端准入、网络准入和应用准入控制手段，为企业提供最灵活、最精确和最可靠的准入控制手段，确保每一个客户端都符合策略规则，也确保企业IT网络的每一个角落都被天珣管理及保护。

下图是天珣多层准入控制逻辑图：
图2 多层次准入控制图
天珣多层准入控制，适应各种各样的网络环境，无论现实的网络环境有多复杂，总可以找到适应该网络环境的一种或多种准入控制方式，构建“内网安检系统”。

表2是在不同的网络环境中，可以选择的准入控制类型：
天珣可以作为准入控制认证的所有条件，在实际部署中，如果所选择的认证条件中一个或多个不满足时，天珣均会认为安全状态不符合要求，通过准入控制手段，提示状态不符，并触发友好提示、重新认证或阻断其网络行为，直到终端安全状态完全满足。

可匿名用户认证：当启用可匿名的用户认证，可以允许安装了客户端的终端匿名登录，登录后将自动获取访客策略，使其对内网访问完全受控。

利用该认证方式，可实现对外来电脑的有效管理。

3.2.1 基于802.1x的网络准入控制
天珣支持国际标准802.1X协议，与支持该协议的网络接入设备共同完成网络准入控制。

只有受天珣管理并且符合企业安全策略的电脑才允许接入企业网络，否则被隔离在企业网络之外，或被自动划分到特定的VLAN当中进行修复。

网络准入控制从物理上保证只有经过身份认证和安全认证的电脑才能接入企业网络上，并且使用者也经过了身份认证，将不安全的电脑和用户拒之门外，彻底消除蠕虫病毒、木马的侵害及别有用心的偷窥和网络滥用。

图3 基于802.1x网络准入控制示例图
天珣支持主流网络厂商的交换机设备，支持的厂家包括CISCO、H3C、华为、3COM、锐捷、DLink等业界主流网络厂商，并可以实现支持802.1x协议的多品牌厂商网络设备混合网络准入控制，最大限度保护用户在网络设备的已有投资。

天珣基于802.1x网络准入认证的内容，包括用户名/密码、IP地址、MAC 地址、计算机安全状态、接入有效期等一种或多种条件的组合。

天珣在标准802.1x认证策略的基础上，创造性支持漫游IP网段准入控制扩展认证功能，加入客户端归属网段概念。

客户端漫游接入非归属网段，系统将强制其通过DHCP获取漫游网段的IP地址。

3.2.2 基于EOU的网络准入控制
天珣支持思科NAC的EAP Over UDP网络准入，在接入交换机不支持802.1x 的环境下，如果汇聚层采用的是CISCO支持EOU协议的网络设备，依然可以验证终端的安全状态，隔离不安全的终端，用户电脑无客户端程序则重定向用户的URL访问到指定的网页进行安装，并修复其安全漏洞。

天珣扩展了EoU协议，支持在EoU协议上的用户认证，只有经过用户认证才能继续进行安全验证。

图4 基于EOU的网络准入控制示例图
3.2.3 应用准入控制
天珣采用多种策略网关，为企业的关键系统和应用提供准入控制手段。

只有受天珣管理并且符合安全策略的电脑才允许访问企业的这些系统及应用。

系统及应用准入控制为企业关键的业务系统提供最后的安全保证，杜绝非授权访问或
黑客攻击。

图5 应用准入控制示例图
天珣已经支持的应用准入类型非常丰富，用户总能其中找到一种或几种适合自己网络和合规管理要求的应用平台，在该平台上面同时启用应用准入。

天珣已经支持的应用准入类型有：
按应用系统分类：Web、Mail、DNS、ISA Proxy。

按操作系统分类：Windows、Linux。

下表是天珣已经具备针对不同的应用的策略网关类型，总可以从下面的表中，找到一种或几种适合的应用准入控制方案：
表3针对不同应用天珣具备丰富的策略网关类型
除此之外，天珣能够启明星辰天清汉马USG实现准入控制互动，由USG担当准入控制网关，当终端需要通过USG进行访问时，由USG和天珣联动，只容许认证通过并且安全状态符合要求的终端通过USG进行访问。

天珣应用准入控制可以单独只启用一种平台应用准入，也可以同时启用多个平台应用准入，也可以网络准入控制同时启用，组成“网络准入+应用准入”复合准入控制体系，全面覆盖用户内网每一个区域和角落。

3.2.4 客户端准入控制
安装有天珣系统客户端的桌面电脑在接受访问时，可以根据管理员的配置检查对方的电脑是否运行了天珣系统客户端，并检查自身的安全状态是否符合规范。

如果对方电脑未安装客户端，或本机不符合安全策略要求，则拒绝其访问。

图6 客户端准入控制示例图
当天珣客户端电脑访问网络，也会先检查自身的安全状态是否合格，如果
不合格，将限制自身的网络访问。

天珣客户端准入控制，创造性将每一台终端都成为准入控制点，保证每台终端只接受安全可信的终端进行访问，并只在安全状态合格时访问网络，实现最细粒度准入控制。

天珣客户端具备网络阻断功能，在客户端安全状态不符合要求时，客户端自身能不依赖网络设备、不依赖网络上其他的电脑或设备独立执行网络访问阻断天珣更支持强大的选择性阻断，在客户端安全状态不符合要求时，客户端能根据管理员的配置，通过进程、端口、目标地址等选择性地阻止部分非紧急业务的网络访问，而允许其他紧急业务的网络访问。

当启用基于802.1X网络准入时，选择性阻断技术保证客户端安全状态的改变不会导致交换机端口状态的频繁切换或VLAN的频繁切换而影响交换机和网络的性能；当启用基于EoU时，选择性阻断技术保证客户端安全状态的改变不会导致交换机频繁下载ACL而影响交换机和网络的性能。

当不启用网络准入时，选择性阻断保证客户端不依赖其他任何设备执行紧急业务和非紧急业务的分类阻断。

3.2.5 网络准入增值应用
3.2.5.1 动态VLAN
VLAN在控制广播域的范围、网络安全、第三层地址的管理、和网络资源的集中管理方面有重要的意义。

传统的基于交换机端口划分VLAN的方式因为不灵活以及对管理员的工作量太大而不能满足今天移动用户的VLAN管理需求。

天珣可以根据用户的登录名或电脑MAC地址动态划分VLAN，无论用户移动到公司的哪个地点接入到网络，都将可以自动属于他被分配的VLAN，而不用管理员手工干预。

3.2.5.2 动态ACL
在交换机的传统ACL配置中，只能针对端口或IP地址设置ACL。

天珣能够在EoU的环境下，针对登录用户名和电脑的MAC地址为每一台电脑下发动态ACL，极大地扩展了交换机的配置能力。

3.2.5.3 外来电脑管理
对于外来电脑，企业有时很难要求其与本公司电脑启用相同的安全策略。

天珣可以通过支持802.1X的网络交换机将外来电脑自动划分到Guest VLAN，或通过启用访客策略，严格限制外来电脑的访问权限，即使其安全状态不符合规范，甚至有蠕虫病毒或木马，也不会对企业网络造成危害，同时杜绝了任何外来电脑的非授权访问问题。

3.3 桌面管理功能
具备执行力的终端合规管理，要求精确和完整的终端信息作为合规管理基础，因此合规管理系统需要精确和完整的桌面信息管理。

天珣改变传统的桌面管理软件多是一种“尽力而为”的管理模式，即需要用户配合安装客户端，运行客户端，如果用户卸载或停用客户端，管理员将对客户电脑失去管理，依托准入控制技术，确保100%的终端都部署和运行了客户端软件，第一次使管理员有了确定性的桌面管理手段，管理企业IT资产，管理桌面运行软件，进行补丁管理，软件分发，控制PC的外设使用，并使用创新的“按需支援（HOD : Help On Demand ）”技术进行远程桌面支持。

与安全防护功能集成的桌面管理将使管理员有了全新的管理手段，并使管理手段拥有前所未有的执行力。

3.3.1 资产管理
由于电脑硬件及软件的更新和变化，IT维护人员和财务部门对企业的IT 资产的管理和统计经常处于一种无序及手工统计的状态，当IT资产更新频繁时，原来的IT资产管理记录往往由于管理的滞后和对实际情况的掌握程度不够无法及时更新，从而造成IT资产管理的混乱，维护人员对于IT资产的最新情况不了解也对IT运行服务造成了障碍。

天珣资产管理模块自动收集企业用户的IT设备的硬件配置，如客户端计算机的BIOS参数、CPU型号、内存数量，硬盘类型，硬盘序列号，硬盘容量及分区，主板序列号等，显卡类型，各种外设等信息；软件信息，如操作系统，安装软件等；以及跟踪相关信息的变化。

为管理员进行系统维护，技术支持，软件部署，IT开支预算及统计提供及时的信息。

开放灵活的架构
天珣通用桌面管理套件资产管理采用开放式架构，使用Windows脚本技术，。