天珣产品培训——准入控制功能原理介绍 V1.0

准入控制系统安全检查入网检测管理员未配置对应策略1.为什么需要准入控制系统？目前，企业和组织均建立了较完善的信息化设施和网络，也可能已经上了防火墙和上网行为管理系统等管理手段，但新形势下普遍存在一个问题，就是每时每刻都有新的终端加入您的网络，终端已不再是传统意义上我们所理解的“终端”，它不仅是网线所连接的PC，还包括未授权的笔记本、BYOD、PAD、网络设备及各种各样的IOT设备。

这些未经合规性检测的终端可能会因未安装杀毒软件、漏洞补丁未更新等，存在病毒流入和内部信息外泄等安全隐患。

2.什么是准入控制系统？准入控制系统通过积极主动诊断多种网络访问设备的健康性，并采用隔离管控和有效引导的方法，做到可信计算机有条件的访问网络，阻止非授权计算机私自访问网络带来的安全隐患。

在内网安全管理中，准入控制是所有终端管理功能实现的基础所在，采用准入控制技术能够主动监控桌面电脑的安全状态和管理状态，将不安全的电脑隔离、进行修复。

准入控制技术与传统的网络安全技术如防火墙、防病毒技术结合，将被动防御变为主动防御，能够有效促进内网合规建设，减少网络事故。

3.常用的准入控制的技术有什么？802.1X技术和ARP技术是目前使用较多的准入控制技术。

4.哪些行业需要准入控制系统？医疗卫生对所有进入医院内网的终端进行准入控制，保证入网终端合法合规。

自动发现网络环路并快速定位环路端口，保障业务系统网络正常运行。

确保终端用户接入的可控性，保证接入人员和终端的合规性。

2.企业集中的策略制定让用户得以轻松进行终端安全管理，大幅降低时间成本，从而将更多精力专注在自己的核心业务上。

外来“访客”，划入访客专网，同企业内网逻辑隔离。

同时可设置临时准入，并控制访客网络访问权限。

自动发现网络资产，帮助管理员了解网络的真实情况。

3. 政府①电子政务内网：建立需授权接入的可信网络体系。

建智能化管理体系，掌握全网安全趋势。

建立人性化的运维体系，操作简单易用性。

天珣内网安全风险管理与审计系统客户端维护手册之FAQ（V6.6.9.3）启明星辰Beijing Venustech Cybervision Co., Ltd.2011 年9月1.客户端安装类Q：天珣客户端正常运行，但是右键菜单中的“防火墙设置”选项显示为灰色。

这表明防火墙模块未安装成功。

A：可能是Windows相关组件有问题或者杀毒软件拦截了组件的安装，导致无法正常安装防火墙模块的相关驱动。

方法一.可尝试手工添加防火墙模块相关驱动。

在本地连接属性中，点击“安装”按钮：选择要安装的网络组件类型“服务”，点击添加：点击从磁盘安装：在天珣客户端安装目录选择驱动安装文件netsf.inf。

点击确定，安装即可：安装完成后，再重新运行一次ClientSetup.exe安装天珣客户端。

一般即可成功安装防火墙模块，如果仍然不成功，则需要重新安装操作系统。

Q：windows2000系统安装客户端失败？提示“安装前设置过程失败，安装无法继续。

不能进行客户端安装”。

A：（1）检查Win2000 系统是否为SP4；如果不是，需要安装SP4补丁；（2）下载安装Windows installer 3.1，下载地址为：中文版/downloads/details.aspx?FamilyID=889482fc‐5f56‐4a38‐b838‐de7 76fd4138c&displaylang=zh‐cn英文版/downloads/details.aspx?FamilyID=889482fc‐5f56‐4a38‐b838‐de7 76fd4138c&DisplayLang=enQ：安装天珣客户端时，提示天珣防火墙报错？A：用户非常规卸载了天珣的可户端导致了防火墙驱动没正常卸载掉。

而重新安装天珣客户端的时候，因驱动已经存在而安装失败。

建议不要用户非常规卸载天珣客户端。

Q：是否可以保证天珣在用户无干预、无感知的情况下安装完毕？A：不能，安装过程会提示重启。

天珣非法外联控制四步曲北京启明星辰信息安全技术有限公司天珣产品部刘希诚计算机和网络技术的发展，为终端电脑提供了丰富的网络和设备互联的手段，借助这些手段，用户不仅可以直接通过有限的网络实现与其他电脑或Internet实现互联，也可以通过多种无线连接方式，例如无线局域网、红外线、蓝牙等实现网络和设备和互联，还可以通过终端提供的丰富的外设接口，例如USB接口、COM口、LPT口、Modem等多种接口，实现终端与外设、终端与终端或终端与网络的互联。

除此之外，在以上物理连接通的基础上，还有PPOE虚拟拨号、各类VPN供选择，作为安全的互连互通的可选方式。

然而，正是电脑具备的多种多样互联互通的方式，却成为内网合规管理实践中，所要面对的最大的挑战之一。

合规管理要求，内网终端电脑对Internet、内部网络和内部的其他终端或服务器的访问，要根据其使用者所在的部门和安全分级管理中的角色，根据管理的需求，只有其中一种或多种的网络互联使用权限；但现实是，即使内网终端有严格的互联规定，但因缺少有效的技术手段，仍有大量终端用户，违规进行“一机多用”和“非法外联”。

借助终端提供的多种外联通道，越权进行非法网络和设备外联，随意外发内部涉密资料，同时也为病毒、木马攻击内网提供了理想的通道，病毒或木马可以借助终端用户违禁使用U盘、擅自拨号进行互联网访问、随意浏览网站、随意下载网站软件的过程中，乘虚而入，攻入内网，严重威胁到内网的稳定运行和内网中内部数据的安全。

天珣内网风险管理与审计系统（以下简称天珣），作为启明星辰“五维内网合规管理模型”的最佳实践，同样在防止内网终端非法外联有着非凡的表现，部署天珣之后，简单四步即可彻底解决内网终端非法外联的“顽疾”。

第一步：启用用终端多网卡限制，保证只能通过指定网卡联网；第二步：启用终端外设接口限制，防止通过Modem、红外、蓝牙等非法外联；第三步：启用在移动存储认证，确保授权用户使用授权Ｕ盘进行数据安全共享；第四步：启用终端异常路由审计，侦测终端可能存在的其他网络非法外联蛛丝马迹。

海口市信息中心云桌面系统安全设计方案目录一、概述 (2)二、云桌面系统安全建设原则 (3)1.1、安全建设原则 (3)三、云桌面系统安全架构设计 (4)2.1、系统安全防护能力设计 (4)2.2、系统安全访问能力设计 (5)2.3、系统服务安全设计 (6)2.4、系统接入设备安全能力设计 (7)四、云桌面整体安全设计与各功能设计 (9)3.1、云桌面系统整体安全设计 (9)3.2、云桌面安全设计与等保要求 (10)3.3 结合第三方身份认证功能设计 (11)3.4、网络加密传输与安全网关接入设计 (13)3.5、用户帐户的集中管理与授权 (15)3.6、数据保密安全功能设计 (16)3.7、虚拟桌面镜像安全和存储安全功能 (17)3.8、操作日志智能审计安全功能 (17)一、概述基于云桌面系统的政府移动办公解决方案，完全不同于传统模式的桌面终端管理软件，集中化和虚拟化的特点不仅仅会大大增强内部系统及网络的安全性，同时也因此减少了网络运维的复杂程度和运维成本。

针对政府移动办公云桌面系统安全设计，立足可靠的安全保障体系，把安全放在首位，确保移动应用具有稳定性、高效性、可扩展性和安全性。

系统的安全体系要独立于公网运营商，系统的安全保障不依赖公网运营商的安全保障，但鼓励将公网运营商的安全保障作为系统安全措施的辅助或补充。

由传统的桌面终端迁移至云桌面系统，用户的接入方式、应用访问模型都会发生较大的改变。

具体表现为：•传统桌面终端与桌面云；•同样面临用户身份、终端管理和访问控制的问题；•同样面临桌面安全的问题；•同样面临数据保护和防泄漏的问题；•传统的终端安全控制手段在桌面云中同样适用，例如：利用802.1x或接入网关实现的桌面终端接入认证和控制，微软RMS桌面权限管理服务系统等；•传统桌面终端与桌面云的相异点：•用户的访问模型由二层（终端→应用）变为三层（客户端→桌面云→应用），这意味着，身份管理和访问控制由终端延伸至客户端、桌面云；•用户数据由分散（终端）到集中（桌面云），既带来集中数据的安全保护问题，但桌面云的集中可控，又使得对客户端的外设管理、恶意代码防护、补丁管理和桌面行为审计等得到大大的简化；•桌面云在传统的操作系统之下引入了新的虚拟化层，带来新的安全风险。

启明星辰全线产品序号设备名称产品描述优势威胁管理类1 天阗入侵检测与管理系统新一代威胁检测、分析与管理产品。

对于病毒、木马、DDos、扫描、SQL注入、XXS、缓冲区溢出、欺骗劫持等攻击行为以及网络资源滥用行为等威胁具有高精度的检测能力，通过智能过滤技术，仅向使用者展示真正需要关注的威胁，在减轻使用者工作量的同时，保障威胁处理的及时性。

1、业界领先的威胁检测和识别技术（专利）；2、稳居国内市场第一位；3、国内针对APT攻击检测解决方案第一人；4、安全类认证齐全。

2天清入侵防御系统天清入侵防御系统NIPS系列在判定为攻击行为后立即予以阻断，主动而有效的保护网络的安全，并集防火墙、防病毒、上网行为管理、无线安全模块、抗拒服务器攻击、内容过滤、NetFlow等多种安全技术于一身，同时全面支持Qos、高可用性、日志审计等功能，为网络提供全面的实时的安全防护。

1、业界领先的威胁检测和识别技术（专利）；2、多核技术架构，芯片级高级数据处理，低延时低功耗；3、IPv6金牌认证；4、安全类认证齐全。

3 天清web应用安全网关新一代Web安全防护与应用交付类应用安全产品，主要针对Web服务器进行HTTP/HTTPS流量分析，防护以Web应用访问各方面进行优化，通过网页防篡改及负载均衡等技术来提高Web或网络协议应用的可用性、性能及安全性，确保Web业务应用能够快读、安全、可靠的交付。

1、采用国际领先的MIPS64多核处理器架构（非Intel）2、芯片级高效数据处理能力，低延迟低功耗；3、IPv6金牌认证；4、拥有SQL注入攻击国家专利技术及其他多项技术专利；5、安全类认证齐全。

4 天清无线安全引擎无线安全引擎是一款专门针对无线网络的安全硬件设备，能够监听空间区域内的无线信号，检测扫描、欺骗、Dos、暴力破解等各针对无线网络链路等的攻击行为，并采取阻断和报警措施，自动发现覆盖区域内的无线设备及终端，并可通过安全策略阻断流氓AP及非法终端、提升无线网络的使用效果。

天珣内网安全风险管理与审计系统白皮书Company Document number：WUUT-WUUY-WBBGB-BWYTT-1982GT天珣内网安全风险管理和审计系统产品白皮书（6.6.9）北京启明星辰信息技术股份有限公司Beijing Venus Information Tech. Inc.2008年7月版权声明北京启明星辰信息技术有限公司版权所有，并保留对本文档及本声明的最终解释权和修改权。

本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外,其着作权或其他相关权利均属于北京启明星辰信息技术有限公司。

未经北京启明星辰信息技术有限公司书面同意，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。

“天珣”为启明星辰信息技术有限公司的注册商标，不得侵犯。

免责条款本文档依据现有信息制作，其内容如有更改，恕不另行通知。

北京启明星辰信息技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠，但北京启明星辰信息技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任信息反馈如有任何宝贵意见，请反馈：信箱：北京市海淀区东北旺西路8号中关村软件园21号楼启明星辰大厦邮编：100193您可以访问启明星辰网站：获得最新技术和产品信息。

目录1 内网安全挑战根据CSI/FBI等权威机构公布的数据，在所有已经发生的安全事件中，超过80%的安全事件都发生在企业内网中，内网安全面临前所未有的挑战。

内网安全面临的挑战，集中表现在以下两个方面：内网安全控制挑战1.终端未经安全认证和授权即可随意接入内网；2.内部终端存在的安全漏洞不能及时修复；3.终端接入后对内网的非授权访问难以管理；4.被动防御蠕虫病毒及木马的破坏和传播；5.蠕虫攻击导致网络或系统瘫痪，影响核心业务的运作；6.用户随意改动IP地址，对网络审计带来困难；7.用户随意安装和运行软件，随意占用有限带宽资源。

客户端实用工具天珣客户端诊断工具 (2)天珣服务器诊断工具 (3)客户端卸载工具 (4)Winmd5Hash.exe (5)离线同步工具 (7)中间机工具 (15)Radius By Pass 工具 (17)Radius 故障告警工具 (18)天珣自带有部分供服务器和客户端使用的工具，包括服务器诊断工具、客户端诊断工具离线补丁工具、中间机使用工具等，这些工具放在安装光盘的tools目录中：天珣客户端诊断工具天珣客户端诊断工具是当客户端发生异常，例如线程、句柄数过多，CPU、内存占用率过高，CC无法停止服务等，收集客户端软硬件信息以及dmp文件以便分析的一个实用诊断工具。

在客户端发生异常而无法定位时，管理员将天珣客户端诊断工具拷贝到客户端任何一个目录里，运行：运行后显示“正在收集信息中，请稍候。

”此时工具将收集必要的信息，完成后将自动打开已收集信息的文件目录：默认文件保存在客户端安装目录的collector目录下，只有在运行过客户端诊断工具之后才会自动产生此目录。

将此诊断文件进行分析，可以深层次的分析出客户端目前的运行状态，从而有针对性的发现问题和解决问题。

天珣服务器诊断工具天珣服务器诊断工具与客户端诊断工具类似，在服务器出现异常时，可以用此工具收集一些必要的信息和dmp文件：运行完成后在服务器安装目录的collector目录下生成诊断文件，并由这个诊断文件来分析服务器出现的问题。

客户端卸载工具虽然天珣提供自动卸载客户端的策略配置，但是有时由于某些未知原因，天珣客户端无法卸载或者卸载不完全，此时可以使用此客户端卸载工具将客户端完全卸载掉。

在客户端上运行此卸载工具：点击“是”进行卸载，完成后提示：点击“确定”后将会显示卸载过程和删除与未删除的文件信息：系统重启后客户端就已完全卸载。

Winmd5Hash.exe此工具是用来对某些进程或文件生成md5码的，在配置进程红名单时，可能担心客户端通过修改文件名等方式伪造红名单进程，那么可以通过对此进程或软件进行md5码校验来避免。

终端安全之准入控制保障“内网合规”随着网络应用的日趋复杂，计算机终端已不再是传统意义上我们所理解的“终端”，它不仅是内网中网线所连接的PC机，更是网络中大部分事物的起点和源头——是用户登录并访问网络的起点、是用户透过内网访问Internet的起点、是应用系统访问和数据产生的起点;更是病毒攻击的源头、从内部发起的恶意攻击的源头和内部保密数据盗用或失窃的源头。

因此，也只有通过完善的终端安全管理才能够真正从源头上控制各种事件的源头、遏制由内网发起的攻击和破坏。

在内网安全管理中，准入控制是所有终端管理功能实现的基础所在，采用准入控制技术能够主动监控桌面电脑的安全状态和管理状态，将不安全的电脑隔离、进行修复。

准入控制技术与传统的网络安全技术如防火墙、防病毒技术结合，将被动防御变为主动防御，能够有效促进内网合规建设，减少网络事故。

目前的准入控制技术主要分为两大类：基于网络的准入控制和基于主机的准入控制。

基于网络的准入控制主要有EAPOL(Extensible Authentication Protocol Over LAN)技术、EAPOU(Extensible Authentication Protocol Over UDP)技术;基于主机的准入控制主要有应用准入控制、客户端准入控制。

1.基于网络的准入控制EAPOLEAP是Extensible Authentication Protocol的缩写，EAP最初作为PPP的扩展认证协议，使PPP的认证更具安全性。

无线局域网兴起后，人们在无线局域网接入领域引入了EAP 认证，同时设计了专门封装和传送EAP认证数据的IEEE 802.1x协议格式。

802.1x协议除了支持WLAN外，也支持传统的其他局域网类型，比如以太网、FDDI、Token Ring。

EAP 与802.1x的结合就是EAPOL(EAP Over LAN)，或者称为EAP over 802.1x。

天珣内网安全风险管理与审计系统实施方案（0000）启明星辰Beijing Venustech Cybervision Co., Ltd.2014 年10月目录1系统实施原则1.1最大限度降低对用户的影响部署终端安全管理系统的根本目的，是借助系统所提供的准入控制的技术手段，确保接入的电脑是合法的和符合XX研究院安全策略要求的，最大限度降低不安全的客户端电脑对XX研究院网络和信息资源带来的风险和威胁，保证XX研究院每一个用户的电脑始终处于良好的运行状态，大大降低故障发生概率，从而保证每个用户都能够完全专注在自己的本职业务工作，并大大提高每一个用户的工作效率。

因此，选择和部署终端安全管理系统时，在确保XX研究院安全策略的有效执行的前提下，要最大限度降低对电脑用户在日常工作中的影响，例如减少终端用户在系统的使用过程中的不必要的操作和介入，在用户违反安全策略时进行友好提示，尊重和保护个人隐私，为用户安全网络访问和信息交换保驾护航。

1.2全面细致规划，分步实施终端安全管理系统，作为XX研究院网络安全的基础架构中非常重要的客户端电脑安全管理平台，将涉及到XX研究院内部每一台接受管理的电脑和每一个用户，涉及面广，影响面大。

当然，为了根本上解决客户端电脑的安全管理问题，这样的系统的部署也势在必行，因此在系统部署前需要对系统的实施过程、安全策略的制定和安全管理制度的建立，进行全面系统地规划，并在实施过程中，根据实际环境进行适时调整，从而保证系统和安全策略在XX研究院内部顺利执行下去，实现项目预期的目标，保障内部网络具有更高可用性和客户端电脑的更高安全性。

部署前需要规划的内容包括：内部网络和用户的安全分级和规划，系统部署的次序和周期，针对不同部门或用户角色的安全策略组合，系统安全策略的动态调整等等。

安全不是一蹴而就的，由于该系统涉及面较广，因此系统的实施需要全面规划，分步实施，循序渐进，真正发挥系统的安全保护和主动防御的功效。

准入管理系统在当今复杂多变的商业环境中，准入管理系统已成为企业、组织和各类机构不可或缺的重要工具。

它就像是一道精准的筛选关卡，确保只有符合特定标准和条件的个体、产品或服务能够进入特定的领域或流程。

准入管理系统究竟是什么呢？简单来说，它是一套用于评估、审核和控制准入资格的机制和技术的集合。

其目的在于保障组织的正常运转，降低风险，提高效率，并确保合规性。

从功能角度来看，准入管理系统首先承担着信息收集的重任。

无论是个人的身份信息、学历背景、工作经历，还是企业的注册资料、财务状况、信用记录等，都需要被准确、全面地收集起来。

这就好比为后续的评估工作准备了充足的“原材料”。

有了这些信息，接下来就是进行严格的评估和审核。

这一过程可不是随意的，而是依据事先设定好的标准和规则。

这些标准可能涵盖了各种方面，比如个人的资质和能力是否达到岗位要求，企业的生产条件是否符合行业规范，产品的质量是否过关等等。

审核人员会仔细比对收集到的信息与标准，做出客观、公正的判断。

一旦审核通过，准入管理系统还会负责授权和记录。

被准入的对象会获得相应的权限或资格证书，同时系统会留下详细的记录，包括准入的时间、条件、有效期等信息。

这不仅为后续的管理提供了便利，也是追溯和问责的重要依据。

准入管理系统在不同的领域发挥着至关重要的作用。

在企业招聘中，它可以帮助筛选出最合适的人才，避免因人员素质不达标而影响业务开展。

在供应商管理方面，通过对供应商的严格准入评估，可以确保原材料和服务的质量稳定，降低供应链风险。

在金融领域，银行和其他金融机构依靠准入管理系统来评估借款人的信用状况，决定是否发放贷款，从而有效控制金融风险。

然而，要构建一个高效、可靠的准入管理系统并非易事。

首先，标准的制定就需要充分考虑多方面的因素。

这些标准既要有明确的可操作性，又要适应不断变化的市场环境和法律法规要求。

如果标准过于宽松，可能会导致不合格的对象进入，带来潜在风险；如果标准过于严格，又可能会排除一些有潜力但暂时不符合某些硬性条件的对象，造成机会的错失。