实施方案天珣内网安全风险管理与审计系统vPatch

合集下载

天珣内网安全风险管理与审计系统白皮书

本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外,其着作权或其他相关权利均属于北京启明星辰信息技术有限公司。

未经北京启明星辰信息技术有限公司书面同意，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。

“天珣”为启明星辰信息技术有限公司的注册商标，不得侵犯。

免责条款本文档依据现有信息制作，其内容如有更改，恕不另行通知。

北京启明星辰信息技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠，但北京启明星辰信息技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任信息反馈如有任何宝贵意见，请反馈：信箱：北京市海淀区东北旺西路8号中关村软件园21号楼启明星辰大厦邮编：100193您可以访问启明星辰网站：获得最新技术和产品信息。

目录版权声明........................................................... 免责条款........................................................... 信息反馈........................................................... 1内网安全挑战.................................................... 2终端合规管理，内网安全解决之道..................................2.1内网安全，合规先行 ........................................2.2Venus终端五维合规管理模型.................................3产品主要功能....................................................3.1终端安全控制 ..............................................3.1.1终端安全状态自动检测与强制修复.........................3.1.2终端访问控制...........................................3.1.3终端异常流量抑制.......................................3.1.4终端基于网络行为模式的威胁主动防御.....................3.1.5终端安全加固...........................................3.1.6IP管理................................................3.1.7多网卡非法外联控制.....................................3.2业界领先的多层准入控制.....................................3.2.1基于802.1x的网络准入控制..............................3.2.2基于EOU的网络准入控制.................................3.2.3应用准入控制...........................................3.2.4客户端准入控制.........................................3.2.5网络准入增值应用.......................................3.3桌面管理功能 ..............................................3.3.1资产管理...............................................3.3.2Help On Demand远程桌面................................3.3.3补丁管理...............................................3.3.4进程管理...............................................3.3.5PC外设管理............................................3.3.6软件分发...............................................3.4移动存储管理 ..............................................3.4.1移动存储设备认证.......................................3.4.2专用目录数据加密与共享授权.............................3.4.3专用目录数据加密与共享授权.............................3.4.4移动存储设备管理审计...................................3.5终端审计 ..................................................3.5.1文件操作审计与控制.....................................3.5.2打印审计与控制.........................................3.5.3网站访问审计与控制.....................................3.5.4异常路由审计...........................................3.5.5终端Windows登录审计................................... 4体系架构与部署方式..............................................4.1CSC系统体系架构...........................................4.2部署方式 .................................................. 5系统特性 .......................................................5.1领先的CSC系统架构 ........................................5.2易于部署和管理 ............................................5.3合规管理确定有效 ..........................................5.4系统安全可靠 ..............................................5.5系统优良的性能、伸缩性和可扩展性........................... 6成功案例 .......................................................6.1用户：某银行（代称：G银行）...............................6.1.1需求...................................................6.1.2部署...................................................6.1.3收效...................................................6.1.4客户评价...............................................1 内网安全挑战根据CSI/FBI等权威机构公布的数据，在所有已经发生的安全事件中，超过80%的安全事件都发生在企业内网中，内网安全面临前所未有的挑战。

天珣内网安全风险管理与审计系统

内网安全风险产生的原因
缺乏完善的安全管理制度
内网安全管理制度不健全，缺乏有效的安全控制措施。
技术漏洞和缺陷
内网设备和系统存在安全漏洞和缺陷，容易被攻击者利用。
用户安全意识薄弱
内部用户安全意识不足，容易泄露敏感信息或误操作。
缺乏有效的审计和监控机制
无法及时发现和处置内网安全事件，导致风险扩大。
提高内网安全防护能力
实时监控与预警
天珣内网安全风险管理与审计系统能够实时监控网络流量、异常行为等，及时发现潜在的安全威胁，并通过预警机制通知管理员采取措施。
访问控制与身份认证
系统提供严格的访问控制和身份认证功能，确保只有授权用户能够访问内网资源，防止未经授权的访问和数据泄露。
漏洞扫描与修复建议
用户反馈
用户普遍认为该系统提高了内网安全的监管效率和响应速度，减少了安全事故的发生。用户对系统的界面设计、操作便捷性和功能完整性等方面也给予了高度评价。
技术优势
天珣内网安全风险管理与审计系统采用了先进的数据挖掘和机器学习技术，能够自动学习和改进，不断完善风险识别和预警的准确性。此外，系统还支持多种平台和设备，具备良好的可扩展性和兼容性。
内网安全风险的影响
数据泄露和损坏
敏感信息被非法获取或篡改，给企业带来经济损失和声誉损
害。
系统瘫痪和业务中断
内网设备被恶意攻击者控制，导致系统瘫痪和业务中断。
法律责任和合规风险
因内网安全事件导致的法律责任和合规风险，可能引发法律纠纷和罚款。
员工隐私泄露
员工个人隐私在内网中泄露，给个人带来隐私泄露和身份盗
实时警报与响应
报表分析功能强大
一旦发现异常行为，系统立即触发警报并采取相应的安全措施，有效降低安全风险。

110110天珣实用工具手册V1.1_ 天珣内网安全风险管理与审计系统V6.6.9.2

本手册中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外,其著作权或其他相关权利均属于北京启明星辰信息安全技术有限公司。

未经北京启明星辰信息安全技术有限公司书面同意，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。

本文档中的信息归北京启明星辰信息安全技术有限公司所有并受著作权法保护。

“天珣”为北京启明星辰信息安全技术有限公司的注册商标，不得仿冒。

信息更新本文档及其相关计算机软件程序（以下文中称为“文档”）仅用于为最终用户提供信息，并且随时可由北京启明星辰信息安全技术有限公司（下称“启明星辰”）更改或撤回。

免责声明本手册依据现有信息制作，其内容如有更改，恕不另行通知。

北京启明星辰信息安全技术有限公司可能已经拥有或正在申请与本文档主题相关的各项专利。

提供本文档并不表示授权您使用这些专利。

您可将许可权查询资料用书面方式寄往北京启明星辰信息安全技术有限公司。

北京启明星辰信息安全技术有限公司在编写该手册的时候已尽最大努力保证其内容准确可靠，但北京启明星辰信息安全技术有限公司不对本手册中的遗漏、不准确、或错误导致的损失和损害承担责任。

出版时间2011年1月10日1.天珣实用工具说明 (4)2.天珣客户端诊断工具 (4)3.天珣服务器诊断工具 (5)4.客户端卸载工具 (6)5.Winmd5Hash.exe (7)6.离线同步工具 (9)1.天珣实用工具说明天珣自带有部分供服务器和客户端使用的工具，包括服务器诊断工具、客户端诊断工具等，这些工具放在安装光盘的tools目录中：2.天珣客户端诊断工具天珣客户端诊断工具是当客户端发生异常，例如线程、句柄数过多，CPU、内存占用率过高，CC无法停止服务等，收集客户端软硬件信息以及dmp文件以便分析的一个实用诊断工具。

天珣安全风险管理与审计系统介绍

防火墙动作
上传下载的文件名不限FTP客户端软件
异常路由审计 Windows登录审计应用程序使用审计
天珣非法外联监控
监视非法外联行为发生，并进行控制
天珣非法外联防控
内网
外网
预防非法外联行为发生，防范于未然智能选择通信网卡，封堵所有可能的外联途径
移动存储管理
组织内组织外
适应各种场景外来U盘用不了，内部的U盘在外也用不了内部U盘通过脱密可在外部使用 U盘可在内外通用，但内部数据在外看不了 U盘在组织内可对不同的终端或用户进行授权可对不同的操作行为授权 U盘挂失操作
切断独立进程型蠕虫病毒、黑客、木马的攻击线路，杜绝非授权访问抑制蠕虫病毒、木马的攻击速度，保持网络畅通，杜绝非授权访问
天珣主机防火墙管理终端流量
ERP服务器பைடு நூலகம்
服务器带宽分配
客户端带宽分配
客户端
分布式、面向业务的流量管理—基于用户、终端、进程、端口进行流量管理限制异常流量，降低非业务流量对内网的影响，有效保证正常业务的带宽
天珣安全风险管理与审计系统介绍
1、终端安全管理建设路线图
目录
2、基础认知及终端运维 3、合规管理 4、主动防御及策略强制 5、天珣系统管理功能 6、天珣系统优势
终端安全管理建设的四个阶段
安全运营阶段主动防御及强制阶段合规管理建设阶段基础认知及运维阶段
终端风险集中管理与监控
主动管理，把风险抑制在未起之时
天珣—准入控制最佳实践
• 网络层准入控制
–
– –
接入层—自有客户端和第三方客户端802.1x 汇聚层—EOU 边界层—网关联动
•
应用层准入控制

实施方案天珣内网安全风险管理与审计系统vatch

天珣内网安全风险管理与审计系统实施方案（0000）启明星辰Beijing Venustech Cybervision Co., Ltd.2014 年10月目录1系统实施原则 .............................. 错误!未指定书签。

1.1最大限度降低对用户的影响 ............. 错误!未指定书签。

1.2全面细致规划，分步实施 ............... 错误!未指定书签。

1.3安全策略从简到繁，安全级别步进式提高 . 错误!未指定书签。

2实施计划 .................................. 错误!未指定书签。

3管理服务器部署 ............................ 错误!未指定书签。

3.1总部管理服务器部署 ................... 错误!未指定书签。

3.2厂所独立管理服务器部署 ............... 错误!未指定书签。

3.3部署实施建议 ......................... 错误!未指定书签。

3.3.1管理服务器与客户端通信要求错误!未指定书签。

3.3.2数据存储建议错误!未指定书签。

3.3.3管理员权限划分错误!未指定书签。

3.3.4服务器安装及数据管理错误!未指定书签。

4客户端部署 ................................ 错误!未指定书签。

4.1通过应用准入方式部署客户端 ........... 错误!未指定书签。

4.2应用准入控制部署 ..................... 错误!未指定书签。

4.3建设期客户端部署 ..................... 错误!未指定书签。

4.4维护期客户端部署 ..................... 错误!未指定书签。

5准入控制实施 .............................. 错误!未指定书签。

天珣内网安全风险管理与审计系统

当接入网络的终端试图访问内网服务器或关键业务系统时：天珣具备其他同类软件不同的关键准入控制组件——策略网关，这个组件可以安装在企业网中一个或多个关键业务系统服务器之上，执行应用层准入控制，可以对来访的终端执行合规检查，如果来访终端非受控或不合规，将被拒绝访问该服务器或业务系统，同时也达到对这些关键服务器和业务系统增强保护的效果。
内网安全问题的根源，来源于内网自身，尤其是内网中数量巨大且分散部署的计算机终端，由于缺乏科学有效的终端集中安全管理手段，即使企业已经针对内网安全制定了严格的安全管理制度和流程，但制度的执行主要还是依靠终端用户自觉完成，无法保证安全管理的执行力度，安全管理制度形同虚设。
现实中，办公网络经常会存在个别计算机终端疏于打操作系统安全补丁、防病毒软件未及时升级、防火墙策略设置过于宽松、可以随意下载和安装不明软件、滥用网络资源等现象，这使得计算机终端自身存在大量的安全漏洞和管理真空地带。所以威胁便有了可乘之机，一有机会，这些安全漏洞便被作为内网攻击的入口或跳板，不仅计算机终端自身会遭受到攻击和破坏，更为严重的攻击，会造成内网阻塞并瘫痪、内部关键数据失窃，给企业带来巨大的经济损失。
内网计算机终端接入管理面临挑战
1.
2.计算机终端未经安全认证和授权即可随意接入内网。
3.无法对接入的终端进行有效鉴别区分和管理。
4.计算机终端接入内பைடு நூலகம்后对内网非授权访问难以管理。
5.计算机终端接入内网后，随意访问或扫描内网重要的应用及服务器资源；
6.计算终端接入内网后，随意对内网中正常运行的终端进行扫描或非授权访问。
减少管理投入
尽量降低对总体性能的影响
需求分析
通过对XX公司IT系统现状的分析和安全需求分析，归结起来，我们认为XX公司IT信息系统目前迫切需要解决以下几方面的安全问题：

安装配置手册V天珣内网安全风险管理与审计系统VPatch

本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，其著作权或其他相关权利均属于北京启明星辰信息安全技术有限公司。

“天珣”为北京启明星辰信息安全技术有限公司的注册商标，不得侵犯。

免责条款本文档依据现有信息制作，其内容如有更改，恕不另行通知。

北京启明星辰信息安全技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠，但北京启明星辰信息安全技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。

1综述. (4)2安装环境及要求 (4)3.天珣内网安全风险管理与审计系统主要组件介绍 (6)3.1.服务器组件 (6)3.1.1.中心策略服务器 (6)3.1.2.本地策略服务器 (6)3.1.3.资产管理服务器................................................................错误!未定义书签。

3.1.4.Radius服务器 (6)3.1.5.攻击告警服务器 (6)3.1.6.软件分发服务器 (7)3.1.7.HOD远程桌面服务器 (7)3.2.策略网关组件 (7)3.2.1.策略网关代理 (7)3.2.2.中性策略网关 (7)3.2.3.IIS策略网关 (8)3.2.4.ISA策略网关 (8)3.2.5.EXCHANGE策略网关 (8)3.2.6.DNS策略网关及旁路监听式DNS策略网关 (8)3.2.7.客户端 (9)3.2.8.按需支援管理端 (9)3.2.9.客户端打包程序 (9)4.天珣内网安全风险管理与审计系统的安装 (9)4.1.快速安装 (10)4.1.1快速安装部署 (10)4.1.2基本配置 (27)4.2.自定义安装 (31)4.2.1自定义安装中心服务器 (32)4.3.本地服务器的安装配置 (33)4.3.1添加策略服务器 (37)4.4.策略网关配置 (38)4.4.1添加策略网关代理 (38)4.4.2安装中性策略网关 (39)4.5.远程桌面的系统配置 (46)4.5.1安装添加远程桌面服务器 (46)4.5.2添加远程桌面管理员 (46)4.5.3安装按需支援管理员端程序 (47)4.5.4用户请求管理员远程帮助 (49)4.6.软件分发安装与配置 (49)4.6.1安装软件分发服务器 (49)4.6.2配置软件分发 (50)4.7.安装资产服务器........................................................................ 错误!未定义书签。

天珣内网安全风险管理与审计系统vatch最新新

本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，其着作权或其他相关权利均属于北京启明星辰信息安全技术有限公司。

“天珣”为北京启明星辰信息安全技术有限公司的注册商标，不得侵犯。

免责条款本文档依据现有信息制作，其内容如有更改，恕不另行通知。

目录1综述天珣内网安全风险管理与审计系统的集端点主动安全防护和桌面管理于一身，具有世界领先水平的产品体系架构，从根本上解决了客户端从蠕虫病毒的主动防御、可靠的补丁管理、非授权访问控制、端点准入控制、桌面运行环境的标准化和自动化管理等一系列问题，帮助用户创建高可靠、高可用和高安全级别的可信任网络环境。

天珣内网安全风险管理与审计系统架构如下图所示。

主要由策略服务器、天珣客户端、策略网关组成。

策略服务器包括中心服务器、本地服务器、补丁分发服务器、radius服务器、告警服务器等组件，所有功能服务器集中管理，组件可根据具体情况增减。

数据库采用SQL SERVER，统一管理报警日志及审计等数据。

2安装环境及要求客户端（Clients）计算机没有很高的系统要求。

客户端软件(也被称CC)可以被安装在Windows 系统之上，包括Windows2000 SP4, Windows Server 2003 和32/64位Windows XP，Windows Vista, 32/64位Windows Server 2008，32/64位Windows 7数据库支持32位 Microsoft SQL Server 2000，32/64位Microsoft SQL Server 200532/64位 Microsoft SQL Server 2008中心服务器（Server）是整个策略架构的管理中心、策略中心。

实施方案天珣内网安全风险管理与审计系统vPatch

1.1最大限度降低对用户的影响 ............. 错误!未指定书签。

1.2全面细致规划，分步实施 ............... 错误!未指定书签。

1.3安全策略从简到繁，安全级别步进式提高 . 错误!未指定书签。

2实施计划 .................................. 错误!未指定书签。

3管理服务器部署 ............................ 错误!未指定书签。

3.1总部管理服务器部署 ................... 错误!未指定书签。

3.2厂所独立管理服务器部署 ............... 错误!未指定书签。

3.3部署实施建议 ......................... 错误!未指定书签。

3.3.1管理服务器与客户端通信要求错误!未指定书签。

3.3.2数据存储建议错误!未指定书签。

3.3.3管理员权限划分错误!未指定书签。

3.3.4服务器安装及数据管理错误!未指定书签。

4客户端部署 ................................ 错误!未指定书签。

4.1通过应用准入方式部署客户端 ........... 错误!未指定书签。

4.2应用准入控制部署 ..................... 错误!未指定书签。

4.3建设期客户端部署 ..................... 错误!未指定书签。

4.4维护期客户端部署 ..................... 错误!未指定书签。

5准入控制实施 .............................. 错误!未指定书签。

[VIP专享]070823_天珣内网安全风险管理与审计系统技术白皮书

天珣内网安全风险管理与审计系统技术白皮书目录1. 背景 (1)2. 系统介绍 (2)3. 功能简介 (3)3.1天珣内网安全风险管理与审计系统基本功能 (3)3.2客户端软、硬件资产管理 (3)3.3客户端行为管理 (4)3.4客户端网络访问管理 (4)3.5客户端安全漏洞管理 (5)3.6客户端补丁分发管理 (5)3.7客户端审计和报表功能 (6)3.8客户端快速部属安装、认证功能 (6)3.9系统所需软硬件配置 (6)4. 系统架构 (7)1. 背景常规安全防御理念局限在防火墙、IPS、防病毒网关等网络边界处的防御，安全设施大都部属于网络入口处，在这些“铁将军”的严密把守之下，来自网络外部的安全威胁大大减小。

但是，根据多数网络管理人员所反映的问题是，繁杂而琐碎的安全问题，大都来自网络内部。

事实表明，解决了网络内部的安全问题，效果接近于排除了一半的安全忧患，因此，内部网络安全必须作为整体安全管理的一个重要组成部分来对待。

北京启明星辰信息技术有限公司针对政府机关、保密机构、军队、金融、企业网络等内部网络实际管理要求，在总结十多年对国家部委、集团、中小企业网络的安全管理、安全现场保障基础上专门研制开发了天珣内网安全风险管理与审计系统，并经严格测试通过公安部、国家保密局等相关主管部门的认证。

“震荡波”病毒爆发后，很多部委、企业单位所面临着6大突出问题：1. 如何进行补丁自动分发部署和补丁控制(微软公司SUS/SMS存在功能不足)；2. 如何进行外来笔记本电脑随意接入控制；3. 如何防范网络物理隔离泄漏；4. 如何对未安装防病毒软件的终端进行统计；5. 如何对感染蠕虫病毒的计算机快速定位，并强制其断开网络连接；6. 如何有效进行网络IP设备资源管理；7. 如何对终端的安全策略进行统一配置管理；8. 如何审计终端的各种违规行为。

天珣内网安全风险管理与审计系统全面提供针对上述问题的解决方案，协助网络管理人员全面实现网络资源、设备资源、客户端资源和应用资源等方面的管理控制，进行网络隔离度检测、入网设备监控、系统软件（补丁）自动检测分发和违规事件发现、安全事件源（病毒等）定位分析等操作。

内网安全风险管理与审计系统解决方案

天珣内网安全风险管理与审计系统解决方案目录1终端安全发展阶段和主要问题 (1)1.1终端安全管理建设的四个阶段 (1)1.2每个阶段面对的突出问题 (3)1.3终端安全管理建设路线图 (5)2天珣助力终端安全实现跨越式发展 (7)3精细化终端运维管理 (9)3.1终端资产管理 (9)3.2远程桌面 (10)3.3补丁管理 (11)3.4终端外设管理 (12)3.5软件分发 (12)3.6桌面自动化运维工具 (13)3.6.1主机名规范 (14)3.6.2短消息 (14)3.6.3终端资源监控 (15)3.6.4Windows防火墙例外排除 (15)3.6.5终端实时操控 (16)3.7主机防火墙 (16)3.7.1终端访问控制 (16)3.7.2分布式流量带宽管理 (17)3.7.3基于终端网络行为模式的威胁主动防御 (18)3.7.4终端多网卡控制 (19)3.7.5终端安全域管理 (19)4全方位终端合规管理 (20)4.1终端审计 (20)4.1.1安全策略事件审计 (21)4.1.2文件操作审计与控制 (21)4.1.3打印审计与控制 (21)4.1.4网站访问审计与控制 (21)4.1.5FTP审计与控制 (22)4.1.6Windows操作系统登录审计 (22)4.1.7主机名、IP、MAC变更审计 (22)4.1.8应用程序使用审计 (22)4.2多重防控，杜绝非法外联 (22)4.3移动存储管理 (23)4.3.1移动存储设备认证 (24)4.3.2分区表加扰与共享授权 (25)4.3.3专用目录数据加密与共享授权 (25)4.3.4全盘数据加密与共享授权 (25)4.3.5使用未认证设备计算机授权 (25)4.3.6移动存储全过程审计 (26)4.4终端数据防泄密 (26)4.4.1涉密信息发现 (26)4.4.2涉密拷贝审计 (27)4.4.3涉密剪贴板审计 (27)4.4.4涉密打印审计 (27)4.4.5刻录审计 (27)4.4.6邮件外发审计 (28)4.4.7QQ外发审计 (28)4.4.8WEB外发审计 (28)4.4.9自定义外发审计 (28)4.4.10涉密外发告警 (29)5多层准入，主动防御 (30)5.1业界领先的多层准入控制 (30)5.1.1基于802.1x的有线网络准入控制☆ (30)5.1.2基于802.1x的无线网络准入控制☆ (31)5.1.3基于CISCO EoU的网络准入控制☆ (32)5.1.4基于应用的准入控制 (33)5.1.5客户端准入控制 (36)5.1.6多层准入，层层设防 (37)5.1.7准入控制的增值应用 (39)5.2终端安全基线管理 (41)5.2.1终端安全基线自动检测与强制修复 (41)5.2.2终端安全加固 (42)5.2.3进程红白黑名单管理 (43)5.2.4终端安装软件管理 (43)5.2.5防病毒软件管理 (44)5.2.6Windows服务管理 (45)5.2.7Windows本地策略 (45)5.2.8Windows帐户策略 (45)5.2.9Windows密码保护策略 (46)5.2.10Windows事件日志管理 (46)5.2.11SYN攻击防护 (47)5.2.12终端IP地址管理 (47)5.2.13终端IE设置 (47)5.2.14终端屏幕保护策略 (47)5.2.15终端共享资源管理 (47)5.3增强身份认证# (48)5.3.1天珣CA# (48)5.3.2单点登录# (48)5.3.3终端Ukey绑定管理# (49)6系统体系架构与典型部署 (50)6.1CSC体系架构 (50)6.2典型部署方式 (51)7系统特性 (53)7.1系统功能特性 (53)7.2系统管理特性 (54)7.3系统部署特性 (56)1 终端安全发展阶段和主要问题1.1 终端安全管理建设的四个阶段终端安全作为架构企业网络安全的核心组成部分，其重要性已经被业界广泛接受和认可。

天珣内网安全风险管理与审计系统(纯方案,3页)

天珣内网安全风险管理与审计系统
终端安全管理建设的四个阶段
基于对终端安全管理的实践，启明星辰总结出终端安全管理建设的四个阶段，这四个阶段分别是：
阶段一：基础认证及运维阶段
阶段二：合规管理建设阶段
阶段三：主动防御及强制阶段
阶段四：安全运营阶段
下图为终端安全健身的四个阶段示意图：
终端安全管理建设路线图
终端安全管理建设的每个阶段，所面临的突出问题和矛盾，也并非一下子就能够全部解决。

每个阶段按照分类解决问题的原则，可以将每个阶段终端安全管理体系的建设目标，划分出若干个终端安全子系统建设目标，然后引入针对性的终端安全解决方案，各个击破，循序渐进完成阶段性终端安全管理的建设。

下图就是基于此原则，规划的终端安全建设路线图：
产品功能列表。

实施方案天珣内网安全风险管理与审计系统vatc

实施方案天珣内网安全风险管理与审计系统v a t cPleasure Group Office【T985AB-B866SYT-B182C-BS682T-STT18】天珣内网安全风险管理与审计系统实施方案（0000）启明星辰Beijing Venustech Cybervision Co., Ltd.2014 年 10月目录1系统实施原则1.1最大限度降低对用户的影响部署终端安全管理系统的根本目的，是借助系统所提供的准入控制的技术手段，确保接入的电脑是合法的和符合XX研究院安全策略要求的，最大限度降低不安全的客户端电脑对XX研究院网络和信息资源带来的风险和威胁，保证XX研究院每一个用户的电脑始终处于良好的运行状态，大大降低故障发生概率，从而保证每个用户都能够完全专注在自己的本职业务工作，并大大提高每一个用户的工作效率。

因此，选择和部署终端安全管理系统时，在确保XX研究院安全策略的有效执行的前提下，要最大限度降低对电脑用户在日常工作中的影响，例如减少终端用户在系统的使用过程中的不必要的操作和介入，在用户违反安全策略时进行友好提示，尊重和保护个人隐私，为用户安全网络访问和信息交换保驾护航。

1.2全面细致规划，分步实施终端安全管理系统，作为XX研究院网络安全的基础架构中非常重要的客户端电脑安全管理平台，将涉及到XX研究院内部每一台接受管理的电脑和每一个用户，涉及面广，影响面大。

当然，为了根本上解决客户端电脑的安全管理问题，这样的系统的部署也势在必行，因此在系统部署前需要对系统的实施过程、安全策略的制定和安全管理制度的建立，进行全面系统地规划，并在实施过程中，根据实际环境进行适时调整，从而保证系统和安全策略在XX研究院内部顺利执行下去，实现项目预期的目标，保障内部网络具有更高可用性和客户端电脑的更高安全性。

部署前需要规划的内容包括：内部网络和用户的安全分级和规划，系统部署的次序和周期，针对不同部门或用户角色的安全策略组合，系统安全策略的动态调整等等。

天珣内网安全风险管理与审计系统白皮书

天珣内网安全风险管理与审计系统白皮书Company Document number：WUUT-WUUY-WBBGB-BWYTT-1982GT天珣内网安全风险管理和审计系统产品白皮书（6.6.9）北京启明星辰信息技术股份有限公司Beijing Venus Information Tech. Inc.2008年7月版权声明北京启明星辰信息技术有限公司版权所有，并保留对本文档及本声明的最终解释权和修改权。

“天珣”为启明星辰信息技术有限公司的注册商标，不得侵犯。

免责条款本文档依据现有信息制作，其内容如有更改，恕不另行通知。

目录1 内网安全挑战根据CSI/FBI等权威机构公布的数据，在所有已经发生的安全事件中，超过80%的安全事件都发生在企业内网中，内网安全面临前所未有的挑战。

内网安全面临的挑战，集中表现在以下两个方面：内网安全控制挑战1.终端未经安全认证和授权即可随意接入内网；2.内部终端存在的安全漏洞不能及时修复；3.终端接入后对内网的非授权访问难以管理；4.被动防御蠕虫病毒及木马的破坏和传播；5.蠕虫攻击导致网络或系统瘫痪，影响核心业务的运作；6.用户随意改动IP地址，对网络审计带来困难；7.用户随意安装和运行软件，随意占用有限带宽资源。

内网安全风险管理与审计系统实施策划方案

天珣内网安全风险治理与审计系统实施方案（V6.6.9.5Patch66950000）启明星辰Beijing Venustech Cybervision Co., Ltd.2014 年 10月目录1系统实施原则 (1)1.1最大限度降低对用户的阻碍11.2全面细致规划，分步实施11.3安全策略从简到繁，安全级不步进式提高22实施打算 (2)3治理服务器部署 (3)3.1总部治理服务器部署33.2厂所独立治理服务器部署43.3部署实施建议53.3.1治理服务器与客户端通信要求53.3.2数据存储建议93.3.3治理员权限划分93.3.4服务器安装及数据治理94客户端部署 (10)4.1通过应用准入方式部署客户端104.2应用准入操纵部署104.3建设期客户端部署114.4维护期客户端部署115准入操纵实施 (11)5.1应用准入操纵实施125.2网络准入操纵实施155.3风险与灾备215.4客户端准入部署275.5客户端准入操纵部署建议286分工界面 (29)7附件一：服务器安装及数据治理 (31)1系统实施原则1.1最大限度降低对用户的阻碍部署终端安全治理系统的全然目的，是借助系统所提供的准入操纵的技术手段，确保接入的电脑是合法的和符合XX研究院安全策略要求的，最大限度降低不安全的客户端电脑对XX研究院网络和信息资源带来的风险和威胁，保证XX研究院每一个用户的电脑始终处于良好的运行状态，大大降低故障发生概率，从而保证每个用户都能够完全专注在自己的本职业务工作，并大大提高每一个用户的工作效率。

因此，选择和部署终端安全治理系统时，在确保XX研究院安全策略的有效执行的前提下，要最大限度降低对电脑用户在日常工作中的阻碍，例如减少终端用户在系统的使用过程中的不必要的操作和介入，在用户违反安全策略时进行友好提示，尊重和爱护个人隐私，为用户安全网络访问和信息交换保驾护航。

1.2全面细致规划，分步实施终端安全治理系统，作为XX研究院网络安全的基础架构中特不重要的客户端电脑安全治理平台，将涉及到XX研究院内部每一台同意治理的电脑和每一个用户，涉及面广，阻碍面大。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

天珣内网安全风险管理与审计系统实施方案（0000）启明星辰Beijing Venustech Cybervision Co., Ltd.2014 年 10月目录1系统实施原则1.1最大限度降低对用户的影响部署终端安全管理系统的根本目的，是借助系统所提供的准入控制的技术手段，确保接入的电脑是合法的和符合XX研究院安全策略要求的，最大限度降低不安全的客户端电脑对XX研究院网络和信息资源带来的风险和威胁，保证XX研究院每一个用户的电脑始终处于良好的运行状态，大大降低故障发生概率，从而保证每个用户都能够完全专注在自己的本职业务工作，并大大提高每一个用户的工作效率。

安全不是一蹴而就的，由于该系统涉及面较广，因此系统的实施需要全面规划，分步实施，循序渐进，真正发挥系统的安全保护和主动防御的功效。

1.3安全策略从简到繁，安全级别步进式提高由于XX研究院分支机构、部门和人员较多，对应每一个角色的安全保护级别要求也层次各异，如果为了保证最高的安全性，使用同样一种严格的安全策略，或者为了降低安全管理的工作量，简单的执行一类基本安全策略，都是不合适的。

在规划中要预先基于用户角色确定每个部门、用户或分支机构，确定对应的最合适的安全策略组合，作为系统最终实现的安全管理目标。

在实施过程中，再按照由简到繁的次序，先实施所有用户都必须遵守的安全策略，然后再根据不同分支机构、部门和用户，步进式下发和执行各级安全策略，从而实现安全级别步进式提高，构建立体的、混合模式的终端安全策略管理体系。

2实施计划内网终端合规管理提升是一个循序渐进和不断完善的过程，要兼顾“安全性”和“便利性”，合规管理应“先弱后强”，实施策略应“先易后难”的原则，消除来自业务部门和终端员工的抵触情绪和压力。

因此在安装过程中，我们严格遵循天珣安装“三步走”原则，即：a)通过应用准入推动客户端部署安装，通过友好的提示界面以及强度稍弱的准入控制方式，善意的提醒用户主动安装天珣客户端，并提供给用户下载地址，由其去下载和安装b)配置策略管理受控终端使其进行自身安全状态的完善，目标则是让内网受控终端成为合规安全的终端，保证内网安全建设成功而高效c)启用网络准入，在用户熟悉天珣准入控制系统的特性后再启用网络准入，将会受到最小的阻力，最终完成整个准入体系的关键一步当然，也会有一些部门或区域的安全保护等级要求没有这么高，这时我们可以对其采用适合自己的准入控制方式和安全策略，从而使的整个项目更加人性化。

项目时间表3管理服务器部署3.1总部管理服务器部署院本部内厂所内：两种方式部署管理服务器，一种是逻辑上的集中管理分级授权方式，另一种完全独立的策略管理服务器方式。

天珣内网安全风险管理与审计系统支持多策略服务器架构。

每个服务器服务一个或多个园区。

而这些服务器可以相互备份，在一个统一的控制台接受集中管理。

如果一台服务器宕机，其服务的用户会自动被其他的服务器接管。

每一个管理网段的电脑都有3次从服务器获取规则的机会，它们首先会从Primary的策略服务器获取规则，如果失败，则从Secondary 的策略服务器获取规则，如果再失败，则从中心服务器获取规则，如果还是失败，则使用客户端本地缓存的规则。

分布式多服务器架构使天珣内网安全风险管理与审计系统具有优秀的容错性、可伸缩性，支持的客户端数量从数百个到数万以至更多，而部署极为平滑，性能不受影响。

在本次实施中，需要部署三台策略服务器，一台中心服务器，两台本地服务器。

三台策略服务器都安装在中心机房，要求本次实施的所有的客户端电脑及策略网关都可以通过TCP/IP协议的7890端口访问到策略服务器。

因为中心服务器有日常的管理负荷，建议中心服务器管理3000台终端电脑，本地服务器管理7000台终端电脑。

对于任何一个管理网段，如果其Primary Server为其中一台，则其Secondary Server将被设为另外一台。

3.2厂所独立管理服务器部署独立厂所：完全独立的策略管理服务器方式。

在分布式多服务器架构下，中心服务器是整个系统策略集中存放的地方，本地服务器是进行日常的策略分发的地方。

全系统只需要一个中心服务器，可以有多个本地服务器，中心服务器可以兼作本地服务器。

在本次实施中，两台策略服务器都在院总部的直接管理下，由总部的管理员进行管理。

在今后的实施中，可以在各下级厂所架设本地服务器，由总部的管理员进行全局控制，而由各厂所的管理员进行本地化的管理。

从投资成本上考虑，建议本项服务器都在集中部署在院总部信息中心更有利，院下属各厂所多集中在园区网内网络带宽足以满足集中心管理的需要，因此推荐集中管理的部署方式。

3.3部署实施建议3.3.1管理服务器与客户端通信要求CC与管理服务器的通信列表。

3.3.2数据存储建议采用数据的集中存储模式，便于用户的数据的存储备份管理。

本部及各分支机构的数据全部存储在一台固定的数据库服务器中，省去数据同步的麻烦，增加数据一致性。

3.3.3管理员权限划分三权分立管理在天珣内网安全风险管理与审计系统中，基本设置的操作必须有全局管理员权限才能进行，而普通的策略配置只需要普通管理员权限就可以进行。

一个普通管理员定义的策略，另外一个普通管理员不能看见，也不能使用。

全局管理员定义的策略，其他普通管理员可以使用，但不能修改。

全局管理员可以使用、修改任何一个普通管理员或全局管理员定义的策略。

对全局管理员或普通管理员，都可以设置“只读”属性，该管理员只能读取策略信息，不能增加、修改或应用策略。

在院总部，建议设置三种管理员。

一种管理员是全局管理员，这类管理员由一至二个成员组成，他们负责进行基本设置，或一些全局性的策略。

第二种管理员是普通管理员，主要由他们进行策略配置，他们定义的策略具有本地属性，当今后部署范围扩大，安装了更多的本地服务器，有更多的管理员参与策略系统管理时，他们定义的策略不会被其他管理员使用。

第三种管理员是只读管理员，一般对部门领导设置这种权限，他们可以查看系统，但不需要他们做策略配置。

3.3.4服务器安装及数据管理见附件一。

4客户端部署4.1通过应用准入方式部署客户端4.2应用准入控制部署对于无法实施网络准入控制的区域，可以采用应用准入。

下图是采用应用准入的部署图。

分别在院的DNS服务器，ISA服务器，关键的Windows服务器，关键的Linux服务器等经常被访问的服务器上部署策略网关，当用户电脑访问这些服务器时，策略网关将会检查用户电脑是否运行了天珣内网安全风险管理与审计系统客户端软件，而且是否符合策略规则。

如果不符合，策略网关将拒绝用户的访问，并给出友好的提示。

在实际部署中，可根据情况增加或减少策略网关的部署数量。

天珣已经与启明星辰天清汉马USG实现准入控制互动，由USG作为新的应用准入控制类型。

当终端需要通过USG进行访问时，由USG和天珣联动，只容许认证通过并且安全状态符合要求的终端通过USG进行访问。

4.3建设期客户端部署客户端部署主要采用客户自助安装、后台自动安装、或管理员辅助安装等部署方式。

客户端自助安装可采用策略网关提示安装，网上邻居预安装，邮件提示预安装等方式。

后台自动安装可使用现有的软件分发工具，或用专门的后台安装工具进行安装。

管理员辅助安装是在前面的安装手段对个别用户不能成功部署时采用。

客户端部署依部门顺序分阶段进行，在对每个部门全面部署前，先进行一次终端应用情况调研，针对每个部门的终端使用情况进行详细调研，主要包括：OS、版本、补丁、应用系统、重要数据等其它相关内容。

如果有需要特别注意的地方，就需要制定特别的部署方案。

4.4维护期客户端部署新购置电脑对于少量新购置的电脑，建议在入网之前由管理部门安装天珣客户端；对于批量购置的电脑，建议与电脑厂商协商，在出厂时即安装天珣客户端。

电脑重装操作系统天珣应用准入的一个重要功能是帮助管理员部署客户端。

对于偶尔重装操作系统的终端，可通过应用准入控制由用户自助安装客户端程序。

5准入控制实施5.1应用准入控制实施应用准入介绍天珣系统中，具备其他同类软件不同的关键准入控制组件——策略网关，这个组件可以安装在企业网中一个或多个关键业务系统服务器之上，执行应用层准入控制，可以对来访的终端执行合规检查，如果来访终端非受控或不合规，将被拒绝访问该服务器或业务系统，同时也达到对这些关键服务器和业务系统增强保护的效果。

其中，基于DNS应用准入控制，又根据模式的不同，又可以分为旁路式的DNS准入（此时DNS处于旁路监听模式，无需改变DNS服务器配置或者安装DNS策略网关）和在线DNS准入（在DNS服务器上部署DNS策略网关）。

天珣能够与启明星辰天清汉马一体化安全网关（简称：天清汉马USG）组成UTM2-合规管理方案，实现准入控制联动，由天清汉马USG担当准入控制网关，当计算机终端需要通过天清汉马USG进行访问时，确保只有受控和合规的才能通过天清汉马USG对USG所保护的服务器进行访问。

除此之外，天珣还能够提供可以与用户任意平台的B/S结构的业务系统无缝集成的Web准入控制。

集成的Web准入控制，平台适应能力非常广泛，服务端能够在Windows、Linux、unix下使用。

性能优越，而且部署及其简单，只需把控件加入登录页面上，并且替换了用户名输入控件，进行小量的页面修改即可完成部署。

应用准入的特点i) 应用准入生效是在数据中心的服务器区，对于网络环境中因接入层交换机或汇聚层交换机不支持相应的网络准入认证协议，或者因内网终端合规管理的现实要求，暂时不需要启用最严格的网络准入控制的情况，应用准入将可以代替网络准入作为最佳的终端合规准入控制手段。