天珣内网安全风险管理与审计系统Vatch最新6新

合集下载

内网安全风险管理与审计系统

终端数据防泄露【DLP】屏幕水印
文字水印点阵水印图片水印指定的水印内容防止录屏、截屏防止拍照
深度内容识别及智能检测【DLP】
精确内容识别【终端DLP、存储DLP】
……….
智能检测
【支持机器学习算法】
关键字
正则表达式
文件MD5 文件类型文件大小
*指定敏感关键字 *关系：and.or
合众系列
➢ 视频安全交换系统 ➢ 光盘物理摆渡系统 ➢ 电子文档访问控制 ➢ 分布式数据库系统 ➢ 大数据基础平台 ➢ 数据集成系统 ➢ 请求服务系统 ➢ 集中监控管理系统
威胁检测系列
➢ 恶意代码发现 ➢ 蜜罐系统 ➢ 底层硬件威胁检查 ➢ 网络边界完整性检查
工控安全系列
➢ 工控防火墙 ➢ 工控入侵检测/工控业
内网安全风险管理与审计系统
一体化解决方案产品介绍
安全工具
安全网关类
工控安全
泰合系列
应用安全类
安全检测类
终端安全
合众
安全审计
威胁检测
安全网关系列
➢ 防火墙（FW） ➢ 一体化安全网关
（UTM） ➢ 下一代防火墙
（NGFW） ➢ 综合网关（VPN） ➢ 数据防泄密旁路检测
网关 ➢ 数据防泄密 WEB阻断
MAD 多步主防技术
根据样本一系列的行为特征来进行综合的风险判定，其监控和判断能力由后台的大数据训练集群支持。比传统的根据简单的单步行为规则来做监控的主防技术安全系数更高，捕获风险能力更强。
Alchemy 样本行为分析系统
结合深度卷积神经网络算法，提出了样本动态行为捕获技术和样本多维度静态特征分析技术，实现对大批量样本的多方位准确判别。

天珣内网安全风险管理与审计系统白皮书

本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外,其着作权或其他相关权利均属于北京启明星辰信息技术有限公司。

未经北京启明星辰信息技术有限公司书面同意，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。

“天珣”为启明星辰信息技术有限公司的注册商标，不得侵犯。

免责条款本文档依据现有信息制作，其内容如有更改，恕不另行通知。

北京启明星辰信息技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠，但北京启明星辰信息技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任信息反馈如有任何宝贵意见，请反馈：信箱：北京市海淀区东北旺西路8号中关村软件园21号楼启明星辰大厦邮编：100193您可以访问启明星辰网站：获得最新技术和产品信息。

目录版权声明........................................................... 免责条款........................................................... 信息反馈........................................................... 1内网安全挑战.................................................... 2终端合规管理，内网安全解决之道..................................2.1内网安全，合规先行 ........................................2.2Venus终端五维合规管理模型.................................3产品主要功能....................................................3.1终端安全控制 ..............................................3.1.1终端安全状态自动检测与强制修复.........................3.1.2终端访问控制...........................................3.1.3终端异常流量抑制.......................................3.1.4终端基于网络行为模式的威胁主动防御.....................3.1.5终端安全加固...........................................3.1.6IP管理................................................3.1.7多网卡非法外联控制.....................................3.2业界领先的多层准入控制.....................................3.2.1基于802.1x的网络准入控制..............................3.2.2基于EOU的网络准入控制.................................3.2.3应用准入控制...........................................3.2.4客户端准入控制.........................................3.2.5网络准入增值应用.......................................3.3桌面管理功能 ..............................................3.3.1资产管理...............................................3.3.2Help On Demand远程桌面................................3.3.3补丁管理...............................................3.3.4进程管理...............................................3.3.5PC外设管理............................................3.3.6软件分发...............................................3.4移动存储管理 ..............................................3.4.1移动存储设备认证.......................................3.4.2专用目录数据加密与共享授权.............................3.4.3专用目录数据加密与共享授权.............................3.4.4移动存储设备管理审计...................................3.5终端审计 ..................................................3.5.1文件操作审计与控制.....................................3.5.2打印审计与控制.........................................3.5.3网站访问审计与控制.....................................3.5.4异常路由审计...........................................3.5.5终端Windows登录审计................................... 4体系架构与部署方式..............................................4.1CSC系统体系架构...........................................4.2部署方式 .................................................. 5系统特性 .......................................................5.1领先的CSC系统架构 ........................................5.2易于部署和管理 ............................................5.3合规管理确定有效 ..........................................5.4系统安全可靠 ..............................................5.5系统优良的性能、伸缩性和可扩展性........................... 6成功案例 .......................................................6.1用户：某银行（代称：G银行）...............................6.1.1需求...................................................6.1.2部署...................................................6.1.3收效...................................................6.1.4客户评价...............................................1 内网安全挑战根据CSI/FBI等权威机构公布的数据，在所有已经发生的安全事件中，超过80%的安全事件都发生在企业内网中，内网安全面临前所未有的挑战。

天珣内网安全风险管理与审计系统

内网安全风险产生的原因
缺乏完善的安全管理制度
内网安全管理制度不健全，缺乏有效的安全控制措施。
技术漏洞和缺陷
内网设备和系统存在安全漏洞和缺陷，容易被攻击者利用。
用户安全意识薄弱
内部用户安全意识不足，容易泄露敏感信息或误操作。
缺乏有效的审计和监控机制
无法及时发现和处置内网安全事件，导致风险扩大。
提高内网安全防护能力
实时监控与预警
天珣内网安全风险管理与审计系统能够实时监控网络流量、异常行为等，及时发现潜在的安全威胁，并通过预警机制通知管理员采取措施。
访问控制与身份认证
系统提供严格的访问控制和身份认证功能，确保只有授权用户能够访问内网资源，防止未经授权的访问和数据泄露。
漏洞扫描与修复建议
用户反馈
用户普遍认为该系统提高了内网安全的监管效率和响应速度，减少了安全事故的发生。用户对系统的界面设计、操作便捷性和功能完整性等方面也给予了高度评价。
技术优势
天珣内网安全风险管理与审计系统采用了先进的数据挖掘和机器学习技术，能够自动学习和改进，不断完善风险识别和预警的准确性。此外，系统还支持多种平台和设备，具备良好的可扩展性和兼容性。
内网安全风险的影响
数据泄露和损坏
敏感信息被非法获取或篡改，给企业带来经济损失和声誉损
害。
系统瘫痪和业务中断
内网设备被恶意攻击者控制，导致系统瘫痪和业务中断。
法律责任和合规风险
因内网安全事件导致的法律责任和合规风险，可能引发法律纠纷和罚款。
员工隐私泄露
员工个人隐私在内网中泄露，给个人带来隐私泄露和身份盗
实时警报与响应
报表分析功能强大
一旦发现异常行为，系统立即触发警报并采取相应的安全措施，有效降低安全风险。

实施方案天珣内网安全风险管理与审计系统vPatch

天珣内网安全风险管理与审计系统实施方案（0000）启明星辰Beijing Venustech Cybervision Co., Ltd.2014 年 10月目录1系统实施原则1.1最大限度降低对用户的影响部署终端安全管理系统的根本目的，是借助系统所提供的准入控制的技术手段，确保接入的电脑是合法的和符合XX研究院安全策略要求的，最大限度降低不安全的客户端电脑对XX研究院网络和信息资源带来的风险和威胁，保证XX研究院每一个用户的电脑始终处于良好的运行状态，大大降低故障发生概率，从而保证每个用户都能够完全专注在自己的本职业务工作，并大大提高每一个用户的工作效率。

因此，选择和部署终端安全管理系统时，在确保XX研究院安全策略的有效执行的前提下，要最大限度降低对电脑用户在日常工作中的影响，例如减少终端用户在系统的使用过程中的不必要的操作和介入，在用户违反安全策略时进行友好提示，尊重和保护个人隐私，为用户安全网络访问和信息交换保驾护航。

1.2全面细致规划，分步实施终端安全管理系统，作为XX研究院网络安全的基础架构中非常重要的客户端电脑安全管理平台，将涉及到XX研究院内部每一台接受管理的电脑和每一个用户，涉及面广，影响面大。

当然，为了根本上解决客户端电脑的安全管理问题，这样的系统的部署也势在必行，因此在系统部署前需要对系统的实施过程、安全策略的制定和安全管理制度的建立，进行全面系统地规划，并在实施过程中，根据实际环境进行适时调整，从而保证系统和安全策略在XX研究院内部顺利执行下去，实现项目预期的目标，保障内部网络具有更高可用性和客户端电脑的更高安全性。

部署前需要规划的内容包括：内部网络和用户的安全分级和规划，系统部署的次序和周期，针对不同部门或用户角色的安全策略组合，系统安全策略的动态调整等等。

安全不是一蹴而就的，由于该系统涉及面较广，因此系统的实施需要全面规划，分步实施，循序渐进，真正发挥系统的安全保护和主动防御的功效。

实施方案天珣内网安全风险管理与审计系统vatch

天珣内网安全风险管理与审计系统实施方案（0000）启明星辰Beijing Venustech Cybervision Co., Ltd.2014 年10月目录1系统实施原则 .............................. 错误!未指定书签。

1.1最大限度降低对用户的影响 ............. 错误!未指定书签。

1.2全面细致规划，分步实施 ............... 错误!未指定书签。

1.3安全策略从简到繁，安全级别步进式提高 . 错误!未指定书签。

2实施计划 .................................. 错误!未指定书签。

3管理服务器部署 ............................ 错误!未指定书签。

3.1总部管理服务器部署 ................... 错误!未指定书签。

3.2厂所独立管理服务器部署 ............... 错误!未指定书签。

3.3部署实施建议 ......................... 错误!未指定书签。

3.3.1管理服务器与客户端通信要求错误!未指定书签。

3.3.2数据存储建议错误!未指定书签。

3.3.3管理员权限划分错误!未指定书签。

3.3.4服务器安装及数据管理错误!未指定书签。

4客户端部署 ................................ 错误!未指定书签。

4.1通过应用准入方式部署客户端 ........... 错误!未指定书签。

4.2应用准入控制部署 ..................... 错误!未指定书签。

4.3建设期客户端部署 ..................... 错误!未指定书签。

4.4维护期客户端部署 ..................... 错误!未指定书签。

5准入控制实施 .............................. 错误!未指定书签。

天珣内网安全风险管理与审计系统

内网计算机终端安全状况面临挑战
1)计算机终端存在的操作系统安全漏洞不能及时修复。
2)终端未按照要求安装指定防病毒软件或者未按照要求定期更新病毒定义码，使终端丧失或消弱对病毒的防御能力。
3)蠕虫攻击导致网络或系统瘫痪，影响核心业务正常运行。
4)终端安全安全级别设置过低，既没有禁用存在安全隐患的设置，例如没有禁用Guest账号，允许自动运行Autorun…，也没有按规定空闲定时启用屏幕保护，留下安全隐患。
内网计算机终端接入管理面临挑战
1.
2.计算机终端未经安全认证和授权即可随意接入内网。
3.无法对接入的终端进行有效鉴别区分和管理。
4.计算机终端接入内网后对内网非授权访问难以管理。
5.计算机终端接入内网后，随意访问或扫描内网重要的应用及服务器资源；
6.计算终端接入内网后，随意对内网中正常运行的终端进行扫描或非授权访问。
事实上，如果能够通过科学完善的技术管理手段，将企业已经制定的内网安全管理制度与流程在每一台计算机终端都有效贯彻和执行，及时修复计算机终端存在的安全漏洞、并实现计算机终端本地行为与网络行为的可控制、可管理和可审计，内网各项安全指标就可以达到企业所期望的安全管理目标和效果。同时也需要在强化管理手段的同时，在管理手段中融入科学的“人性化管理思想”，将“人治”与“法治”二者和谐统一，从而根本解决内网安全问题。
基于上述的情况，我公司提出了以天珣内网安全风险管理与审计系统为核心，建设XX公司IT系统终端集中安全管理系统的设计方案。
下面首先对天珣系统的基本工作原理进行简单的介绍。
系统主要功能
天珣内网安全风险管理与审计系统，在启明星辰“五维内网合规管理模型”框架下，从用户需求角度出发，划分为五个功能模块，分别为：“终端准入控制”，“终端安全控制”，“桌面合规管理”，“移动存储管理”和“终端审计”。

天珣内网安全风险管理与审计系统白皮书

“天珣”为启明星辰信息技术有限公司的注册商标，不得侵犯。

免责条款本文档依据现有信息制作，其内容如有更改，恕不另行通知。

目录1 内网安全挑战根据CSI/FBI等权威机构公布的数据，在所有已经发生的安全事件中，超过80%的安全事件都发生在企业内网中，内网安全面临前所未有的挑战。

内网安全面临的挑战，集中表现在以下两个方面：内网安全控制挑战1.终端未经安全认证和授权即可随意接入内网；2.内部终端存在的安全漏洞不能及时修复；3.终端接入后对内网的非授权访问难以管理；4.被动防御蠕虫病毒及木马的破坏和传播；5.蠕虫攻击导致网络或系统瘫痪，影响核心业务的运作；6.用户随意改动IP地址，对网络审计带来困难；7.用户随意安装和运行软件，随意占用有限带宽资源。

终端数据安全挑战1．终端使用未经认证的U盘等移动存储设备进行数据保存；2．通过U盘等进行数据交换，不受控制；3．未经认证的U盘成为病毒传播的载体；4．存有关键数据的U盘丢失或失窃造成严重的泄密事故；5．终端用户可以轻易通过拨号、私设代理等非法外联手段，传播内部重要数据或资料。

天玥网络安全审计系统

天玥网络安全审计系统1. 简介天玥网络安全审计系统是一款针对企业网络进行安全审计的综合性工具。

该系统通过对企业网络进行扫描、漏洞检测、日志分析等多种手段，帮助企业发现和解决网络安全问题，提升网络安全防护能力。

2. 功能特点2.1 网络扫描天玥网络安全审计系统可以对企业网络进行全面的扫描，包括内网和外网的主机、服务和应用程序的扫描。

系统可以自动寻找可能存在的弱点和漏洞，并生成相应的报告，帮助企业及时修复安全隐患。

2.2 漏洞检测系统通过自动化的漏洞检测技术，全面检测企业网络中可能存在的漏洞。

系统支持多种漏洞检测方式，包括端口扫描、漏洞扫描、Web应用扫描等。

通过准确快速地发现潜在的漏洞，系统帮助企业及时修复漏洞，避免安全风险。

2.3 日志分析天玥网络安全审计系统还提供强大的日志分析功能。

系统可以从企业网络中收集、分析和存储各种日志数据，包括入侵检测系统(IDS)日志、防火墙日志、网络设备日志等。

通过对日志的分析，系统可以及时发现异常活动和潜在的安全威胁，保障企业网络的安全性。

2.4 安全策略管理系统支持企业对网络安全策略进行集中管理。

管理员可以通过系统的图形化界面，定义和管理网络安全策略的具体规则和参数。

系统支持多种安全策略管理方式，包括访问控制、流量控制、入侵检测等。

通过灵活的安全策略管理，系统帮助企业实现全面的网络安全防护。

3. 使用方法天玥网络安全审计系统的使用方法如下：1.下载并安装系统软件，根据安装向导完成系统的初始化设置。

2.配置系统的扫描目标，包括内网和外网的主机、服务和应用程序。

3.启动扫描功能，等待系统自动完成扫描任务。

4.查看系统生成的扫描报告，分析扫描结果，发现网络安全问题。

5.根据报告中的建议，及时修复安全问题，增强网络安全防护能力。

4. 系统要求天玥网络安全审计系统的硬件和软件要求如下：•操作系统：Windows、Linux或其他类Unix系统•CPU：双核或以上•内存：4GB或以上•存储空间：20GB或以上•网络环境：连接互联网或企业内网5. 结论天玥网络安全审计系统是一款强大的网络安全审计工具，它通过网络扫描、漏洞检测、日志分析等功能，帮助企业发现和解决网络安全问题。

090624_产品一纸禅V1.0_天珣内网安全风险管理与审计系统V6.6.9.1_孙阳波

天珣内网安全风险管理与审计系统-一纸禅启明星辰天珣内网安全风险管理与审计系统---『多层准入内网合规』---产品简介天珣内网安全风险管理与审计系统（以下简称：天珣），紧密围绕“合规”，以内网终端计算机为管理对象，通过“终端准入控制、终端安全控制、桌面合规管理、终端泄密控制和终端审计”五维化管理，全面提升内网安全防护能力和合规管理水平，帮助用户构建起安全可信的合规内网。

天珣引领了内网安全管理模式的新变革，改变了“被动的、以事件驱动为特征”的传统内网安全管理模式，开创了“主动防御、合规管理”为目标的内网安全管理新时代。

产品功能优势多层准入控制机制具备业界最完善的终端准入控制手段，从网络准入、应用准入到客户端准入，彻底解决终端安全接入问题，多层准入控制手段可灵活组合，适用于各种复杂网络环境，充分保护用户投资。

确定性终端合规管理借助多层准入控制手段提供的强制能力，有效保证天珣客户端Agent运行，确保100%的终端接受有效管理，实现确定性的桌面合规管理和终端行为审计，促进内网安全持续改善。

基于行为的主动防御不仅可以修复终端系统安全漏洞，确保终端处于健康状态，还可以配置多种连入连出的访问控制策略和基于网络行为模式的攻击防护策略，有效防护疑似攻击和未知病毒带来的危害。

ARP欺骗主动防御自动绑定正确的网关MAC地址，同时通过分析ARP请求包和应答包，识别ARP欺骗包，实现ARP欺骗定位，使终端既不会成为ARP欺骗者，也不会成为ARP受骗者。

分布式终端带宽管理具备真正的安全内核，可以针对单台终端基于进程、端口和地址设置访问控制权限和流量带宽，实时抑制异常流量并限制超阈值流量，将蠕虫病毒或非业务流量对网络的影响减到最低。

完善的终端泄密控制可以设置基于角色的关键数据受控共享，同时具备高效稳定的内核加密技术，实时针对移动存储数据进行动态加解密，并结合完善的防非法外联技术，有效切断关键数据的非法外泄途径。

部署升级快捷简单全Web管理模式，依托准入控制技术保证客户端快速安装，策略定义方便灵活，可以按照不同网络、区域、用户设置个性化安全策略，并可以实现用户的无缝漫游，覆盖各类用户、各种复杂网络的个性化管理要求。

天珣内网安全风险管理与审计系统Vatch最新6新

本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，其着作权或其他相关权利均属于北京启明星辰信息安全技术有限公司。

未经北京启明星辰信息安全技术有限公司书面同意，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。

“天珣”为北京启明星辰信息安全技术有限公司的注册商标，不得侵犯。

免责条款本文档依据现有信息制作，其内容如有更改，恕不另行通知。

北京启明星辰信息安全技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠，但北京启明星辰信息安全技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。

目录1综述天珣内网安全风险管理与审计系统的集端点主动安全防护和桌面管理于一身，具有世界领先水平的产品体系架构，从根本上解决了客户端从蠕虫病毒的主动防御、可靠的补丁管理、非授权访问控制、端点准入控制、桌面运行环境的标准化和自动化管理等一系列问题，帮助用户创建高可靠、高可用和高安全级别的可信任网络环境。

天珣内网安全风险管理与审计系统架构如下图所示。

主要由策略服务器、天珣客户端、策略网关组成。

策略服务器包括中心服务器、本地服务器、补丁分发服务器、radius服务器、告警服务器等组件，所有功能服务器集中管理，组件可根据具体情况增减。

数据库采用SQL SERVER，统一管理报警日志及审计等数据。

2安装环境及要求客户端（Clients）计算机没有很高的系统要求。

客户端软件(也被称CC)可以被安装在Windows 系统之上，包括Windows2000 SP4, Windows Server 2003 和32/64位Windows XP，Windows Vista, 32/64位Windows Server 2008，32/64位Windows 7 数据库支持32位 Microsoft SQL Server 2000，32/64位Microsoft SQL Server 200532/64位 Microsoft SQL Server 2008中心服务器（Server）是整个策略架构的管理中心、策略中心。

某公司内网安全风险管理与审计系统

资料范本本资料为word版本，可以直接编辑和打印，感谢您的下载某公司内网安全风险管理与审计系统地点：__________________时间：__________________说明：本资料适用于约定双方经过谈判，协商而共同承认，共同遵守的责任与义务，仅供参考，文档可直接下载或修改，不需要的部分可直接删除，使用时请详细阅读内容天珣内网安全风险管理与审计系统安装配置手册（V6.6.9.4）启明星辰Beijing Venustech Cybervision Co., Ltd.2012年11月版权声明北京启明星辰信息安全技术有限公司版权所有，并保留对本文档及本声明的最终解释权和修改权。

本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，其著作权或其他相关权利均属于北京启明星辰信息安全技术有限公司。

“天珣”为北京启明星辰信息安全技术有限公司的注册商标，不得侵犯。

免责条款本文档依据现有信息制作，其内容如有更改，恕不另行通知。

目录TOC \o "1-3" \h \z \u HYPERLINK \l "_Toc304565703" 版权声明PAGEREF _Toc304565703 \h 1HYPERLINK \l "_Toc304565704" 免责条款 PAGEREF _Toc304565704 \h 1 HYPERLINK \l "_Toc304565705" 信息反馈 PAGEREF _Toc304565705 \h 1 HYPERLINK \l "_Toc304565706" 1 综述PAGEREF _Toc304565706 \h 4HYPERLINK \l "_Toc304565707" 2 安装环境及要求PAGEREF_Toc304565707 \h 4HYPERLINK \l "_Toc304565708" 3. 天珣内网安全风险管理与审计系统主要组件介绍PAGEREF _Toc304565708 \h 6HYPERLINK \l "_Toc304565709" 3.1. 服务器组件PAGEREF_Toc304565709 \h 6HYPERLINK \l "_Toc304565710" 3.1.1. 中心策略服务器PAGEREF _Toc304565710 \h 6HYPERLINK \l "_Toc304565711" 3.1.2. 本地策略服务器PAGEREF _Toc304565711 \h 6HYPERLINK \l "_Toc304565712" 3.1.3. 资产管理服务器PAGEREF _Toc304565712 \h 6HYPERLINK \l "_Toc304565713" 3.1.4. Radius服务器PAGEREF _Toc304565713 \h 6HYPERLINK \l "_Toc304565714" 3.1.5. 攻击告警服务器PAGEREF _Toc304565714 \h 7HYPERLINK \l "_Toc304565715" 3.1.6. 软件分发服务器PAGEREF _Toc304565715 \h 7HYPERLINK \l "_Toc304565716" 3.1.7. HOD远程桌面服务器PAGEREF _Toc304565716 \h 7HYPERLINK \l "_Toc304565717" 3.2. 策略网关组件PAGEREF _Toc304565717 \h 7HYPERLINK \l "_Toc304565718" 3.2.1. 策略网关代理PAGEREF _Toc304565718 \h 7HYPERLINK \l "_Toc304565719" 3.2.2. 中性策略网关PAGEREF _Toc304565719 \h 8HYPERLINK \l "_Toc304565720" 3.2.3. IIS策略网关PAGEREF_Toc304565720 \h 8HYPERLINK \l "_Toc304565721" 3.2.4. ISA策略网关PAGEREF_Toc304565721 \h 8HYPERLINK \l "_Toc304565722" 3.2.5. EXCHANGE策略网关PAGEREF _Toc304565722 \h 8HYPERLINK \l "_Toc304565723" 3.2.6. DNS策略网关及旁路监听式DNS 策略网关PAGEREF _Toc304565723 \h 8HYPERLINK \l "_Toc304565724" 3.2.7. 客户端PAGEREF_Toc304565724 \h 9HYPERLINK \l "_Toc304565725" 3.2.8. 按需支援管理端PAGEREF _Toc304565725 \h 9HYPERLINK \l "_Toc304565726" 3.2.9. 客户端打包程序PAGEREF _Toc304565726 \h 9HYPERLINK \l "_Toc304565727" 4. 天珣内网安全风险管理与审计系统的安装PAGEREF _Toc304565727 \h 9HYPERLINK \l "_Toc304565728" 4.1. 快速安装PAGEREF_Toc304565728 \h 10HYPERLINK \l "_Toc304565729" 4.1.1 快速安装部署PAGEREF _Toc304565729 \h 10HYPERLINK \l "_Toc304565730" 4.1.2 基本配置PAGEREF_Toc304565730 \h 27HYPERLINK \l "_Toc304565731" 4.2. 自定义安装PAGEREF_Toc304565731 \h 32HYPERLINK \l "_Toc304565732" 4.2.1 自定义安装中心服务器PAGEREF _Toc304565732 \h 32HYPERLINK \l "_Toc304565733" 4.3. 本地服务器的安装配置PAGEREF _Toc304565733 \h 33HYPERLINK \l "_Toc304565734" 4.3.1 添加策略服务器PAGEREF _Toc304565734 \h 38HYPERLINK \l "_Toc304565735" 4.4. 策略网关配置PAGEREF _Toc304565735 \h 38HYPERLINK \l "_Toc304565736" 4.4.1 添加策略网关代理PAGEREF _Toc304565736 \h 39HYPERLINK \l "_Toc304565737" 4.4.2 安装中性策略网关PAGEREF _Toc304565737 \h 39HYPERLINK \l "_Toc304565738" 4.5. 远程桌面的系统配置PAGEREF _Toc304565738 \h 46HYPERLINK \l "_Toc304565739" 4.5.1 安装添加远程桌面服务器PAGEREF _Toc304565739 \h 46HYPERLINK \l "_Toc304565740" 4.5.2 添加远程桌面管理员PAGEREF _Toc304565740 \h 46HYPERLINK \l "_Toc304565741" 4.5.3 安装按需支援管理员端程序PAGEREF _Toc304565741 \h 47HYPERLINK \l "_Toc304565742" 4.5.4 用户请求管理员远程帮助PAGEREF _Toc304565742 \h 49HYPERLINK \l "_Toc304565743" 4.6. 软件分发安装与配置PAGEREF _Toc304565743 \h 49HYPERLINK \l "_Toc304565744" 4.6.1 安装软件分发服务器PAGEREF _Toc304565744 \h 49HYPERLINK \l "_Toc304565745" 4.6.2 配置软件分发PAGEREF _Toc304565745 \h 50HYPERLINK \l "_Toc304565746" 4.7. 安装资产服务器PAGEREF _Toc304565746 \h 51HYPERLINK \l "_Toc304565747" 4.8. 安装告警服务器PAGEREF _Toc304565747 \h 52HYPERLINK \l "_Toc304565748" 4.9. 安装RADIUS服务器 PAGEREF _Toc304565748 \h 53HYPERLINK \l "_Toc304565749" 4.10 客户端的打包及分发PAGEREF _Toc304565749 \h 54综述天珣内网安全风险管理与审计系统的集端点主动安全防护和桌面管理于一身，具有世界领先水平的产品体系架构，从根本上解决了客户端从蠕虫病毒的主动防御、可靠的补丁管理、非授权访问控制、端点准入控制、桌面运行环境的标准化和自动化管理等一系列问题，帮助用户创建高可靠、高可用和高安全级别的可信任网络环境。

[VIP专享]070823_天珣内网安全风险管理与审计系统技术白皮书

天珣内网安全风险管理与审计系统技术白皮书目录1. 背景 (1)2. 系统介绍 (2)3. 功能简介 (3)3.1天珣内网安全风险管理与审计系统基本功能 (3)3.2客户端软、硬件资产管理 (3)3.3客户端行为管理 (4)3.4客户端网络访问管理 (4)3.5客户端安全漏洞管理 (5)3.6客户端补丁分发管理 (5)3.7客户端审计和报表功能 (6)3.8客户端快速部属安装、认证功能 (6)3.9系统所需软硬件配置 (6)4. 系统架构 (7)1. 背景常规安全防御理念局限在防火墙、IPS、防病毒网关等网络边界处的防御，安全设施大都部属于网络入口处，在这些“铁将军”的严密把守之下，来自网络外部的安全威胁大大减小。

但是，根据多数网络管理人员所反映的问题是，繁杂而琐碎的安全问题，大都来自网络内部。

事实表明，解决了网络内部的安全问题，效果接近于排除了一半的安全忧患，因此，内部网络安全必须作为整体安全管理的一个重要组成部分来对待。

北京启明星辰信息技术有限公司针对政府机关、保密机构、军队、金融、企业网络等内部网络实际管理要求，在总结十多年对国家部委、集团、中小企业网络的安全管理、安全现场保障基础上专门研制开发了天珣内网安全风险管理与审计系统，并经严格测试通过公安部、国家保密局等相关主管部门的认证。

“震荡波”病毒爆发后，很多部委、企业单位所面临着6大突出问题：1. 如何进行补丁自动分发部署和补丁控制(微软公司SUS/SMS存在功能不足)；2. 如何进行外来笔记本电脑随意接入控制；3. 如何防范网络物理隔离泄漏；4. 如何对未安装防病毒软件的终端进行统计；5. 如何对感染蠕虫病毒的计算机快速定位，并强制其断开网络连接；6. 如何有效进行网络IP设备资源管理；7. 如何对终端的安全策略进行统一配置管理；8. 如何审计终端的各种违规行为。

天珣内网安全风险管理与审计系统全面提供针对上述问题的解决方案，协助网络管理人员全面实现网络资源、设备资源、客户端资源和应用资源等方面的管理控制，进行网络隔离度检测、入网设备监控、系统软件（补丁）自动检测分发和违规事件发现、安全事件源（病毒等）定位分析等操作。

某公司内网安全风险管理与审计系统

某公司内网安全风险管理与审计系统首先，该系统具有强大的风险管理功能。

通过实时监控内部网络的流量和访问请求，系统能够识别出异常的活动和潜在的风险。

例如，如果发现有大量的未经授权的访问请求或异常的数据传输，系统将立即发出警报并采取相应的措施，以阻止和清除潜在的威胁。

其次，该系统还具备全面的审计功能。

它能够记录和追踪所有员工在内部网络上的活动，包括他们的登录和注销记录、访问的文件和应用，以及对文件和应用的操纵等。

这些审计日志可以作为证据，用于调查和追踪任何有害活动或潜在的数据泄露。

此外，该系统还具备强大的权限管理功能。

它能够为每个员工分配特定的权限，并监督员工在网络上的行为。

例如，某些敏感数据和关键应用可能只能由授权人员访问，系统能够识别未授权的访问尝试，并阻止相关操作，从而避免数据泄露和滥用。

为了进一步增强安全性，该系统还提供了实时报告和分析功能。

管理员可以通过系统随时获取有关网络活动和安全事件的详细报告。

这些报告可以帮助管理员及时了解网络的状态，并采取必要的措施来解决潜在的风险。

同时，由于系统的分析功能，管理员可以利用数据来检测和预测潜在的网络安全威胁，并采取相应的防范措施。

总而言之，某公司内网安全风险管理与审计系统是保障内部网络安全的重要工具。

通过强大的风险管理、审计、权限管理和实时报告功能，该系统能够帮助公司发现和应对潜在的安全风险，保护敏感数据的安全，并提高整体的网络安全性能。

某公司内网安全风险管理与审计系统是一个关键的组成部分，以保障公司内部网络的安全和防范潜在的风险。

该系统利用先进的安全技术，监控和分析公司内网的活动，并通过审计功能，帮助发现和解决潜在的安全问题。

随着互联网的普及和技术的发展，企业内网的安全风险也不断增加。

黑客攻击、病毒传播、数据泄露和滥用等威胁正日益严重，对企业的利益和声誉构成了巨大的威胁。

因此，建立一套完善的内网安全风险管理与审计系统变得更加迫切。

该系统的风险管理功能在监控内网流量和访问请求方面起着重要作用。

内网安全风险管理与审计系统解决方案

天珣内网安全风险管理与审计系统解决方案目录1终端安全发展阶段和主要问题 (1)1.1终端安全管理建设的四个阶段 (1)1.2每个阶段面对的突出问题 (3)1.3终端安全管理建设路线图 (5)2天珣助力终端安全实现跨越式发展 (7)3精细化终端运维管理 (9)3.1终端资产管理 (9)3.2远程桌面 (10)3.3补丁管理 (11)3.4终端外设管理 (12)3.5软件分发 (12)3.6桌面自动化运维工具 (13)3.6.1主机名规范 (14)3.6.2短消息 (14)3.6.3终端资源监控 (15)3.6.4Windows防火墙例外排除 (15)3.6.5终端实时操控 (16)3.7主机防火墙 (16)3.7.1终端访问控制 (16)3.7.2分布式流量带宽管理 (17)3.7.3基于终端网络行为模式的威胁主动防御 (18)3.7.4终端多网卡控制 (19)3.7.5终端安全域管理 (19)4全方位终端合规管理 (20)4.1终端审计 (20)4.1.1安全策略事件审计 (21)4.1.2文件操作审计与控制 (21)4.1.3打印审计与控制 (21)4.1.4网站访问审计与控制 (21)4.1.5FTP审计与控制 (22)4.1.6Windows操作系统登录审计 (22)4.1.7主机名、IP、MAC变更审计 (22)4.1.8应用程序使用审计 (22)4.2多重防控，杜绝非法外联 (22)4.3移动存储管理 (23)4.3.1移动存储设备认证 (24)4.3.2分区表加扰与共享授权 (25)4.3.3专用目录数据加密与共享授权 (25)4.3.4全盘数据加密与共享授权 (25)4.3.5使用未认证设备计算机授权 (25)4.3.6移动存储全过程审计 (26)4.4终端数据防泄密 (26)4.4.1涉密信息发现 (26)4.4.2涉密拷贝审计 (27)4.4.3涉密剪贴板审计 (27)4.4.4涉密打印审计 (27)4.4.5刻录审计 (27)4.4.6邮件外发审计 (28)4.4.7QQ外发审计 (28)4.4.8WEB外发审计 (28)4.4.9自定义外发审计 (28)4.4.10涉密外发告警 (29)5多层准入，主动防御 (30)5.1业界领先的多层准入控制 (30)5.1.1基于802.1x的有线网络准入控制☆ (30)5.1.2基于802.1x的无线网络准入控制☆ (31)5.1.3基于CISCO EoU的网络准入控制☆ (32)5.1.4基于应用的准入控制 (33)5.1.5客户端准入控制 (36)5.1.6多层准入，层层设防 (37)5.1.7准入控制的增值应用 (39)5.2终端安全基线管理 (41)5.2.1终端安全基线自动检测与强制修复 (41)5.2.2终端安全加固 (42)5.2.3进程红白黑名单管理 (43)5.2.4终端安装软件管理 (43)5.2.5防病毒软件管理 (44)5.2.6Windows服务管理 (45)5.2.7Windows本地策略 (45)5.2.8Windows帐户策略 (45)5.2.9Windows密码保护策略 (46)5.2.10Windows事件日志管理 (46)5.2.11SYN攻击防护 (47)5.2.12终端IP地址管理 (47)5.2.13终端IE设置 (47)5.2.14终端屏幕保护策略 (47)5.2.15终端共享资源管理 (47)5.3增强身份认证# (48)5.3.1天珣CA# (48)5.3.2单点登录# (48)5.3.3终端Ukey绑定管理# (49)6系统体系架构与典型部署 (50)6.1CSC体系架构 (50)6.2典型部署方式 (51)7系统特性 (53)7.1系统功能特性 (53)7.2系统管理特性 (54)7.3系统部署特性 (56)1 终端安全发展阶段和主要问题1.1 终端安全管理建设的四个阶段终端安全作为架构企业网络安全的核心组成部分，其重要性已经被业界广泛接受和认可。

天珣内网安全风险管理与审计系统(纯方案,3页)

天珣内网安全风险管理与审计系统
终端安全管理建设的四个阶段
基于对终端安全管理的实践，启明星辰总结出终端安全管理建设的四个阶段，这四个阶段分别是：
阶段一：基础认证及运维阶段
阶段二：合规管理建设阶段
阶段三：主动防御及强制阶段
阶段四：安全运营阶段
下图为终端安全健身的四个阶段示意图：
终端安全管理建设路线图
终端安全管理建设的每个阶段，所面临的突出问题和矛盾，也并非一下子就能够全部解决。

每个阶段按照分类解决问题的原则，可以将每个阶段终端安全管理体系的建设目标，划分出若干个终端安全子系统建设目标，然后引入针对性的终端安全解决方案，各个击破，循序渐进完成阶段性终端安全管理的建设。

下图就是基于此原则，规划的终端安全建设路线图：
产品功能列表。

实施方案天珣内网安全风险管理与审计系统vatc

实施方案天珣内网安全风险管理与审计系统v a t cPleasure Group Office【T985AB-B866SYT-B182C-BS682T-STT18】天珣内网安全风险管理与审计系统实施方案（0000）启明星辰Beijing Venustech Cybervision Co., Ltd.2014 年 10月目录1系统实施原则1.1最大限度降低对用户的影响部署终端安全管理系统的根本目的，是借助系统所提供的准入控制的技术手段，确保接入的电脑是合法的和符合XX研究院安全策略要求的，最大限度降低不安全的客户端电脑对XX研究院网络和信息资源带来的风险和威胁，保证XX研究院每一个用户的电脑始终处于良好的运行状态，大大降低故障发生概率，从而保证每个用户都能够完全专注在自己的本职业务工作，并大大提高每一个用户的工作效率。

天珣内网安全风险管理与审计系统白皮书

天珣内网安全风险管理与审计系统白皮书Company Document number：WUUT-WUUY-WBBGB-BWYTT-1982GT天珣内网安全风险管理和审计系统产品白皮书（6.6.9）北京启明星辰信息技术股份有限公司Beijing Venus Information Tech. Inc.2008年7月版权声明北京启明星辰信息技术有限公司版权所有，并保留对本文档及本声明的最终解释权和修改权。

“天珣”为启明星辰信息技术有限公司的注册商标，不得侵犯。

免责条款本文档依据现有信息制作，其内容如有更改，恕不另行通知。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

“天珣”为北京启明星辰信息安全技术有限公司的注册商标，不得侵犯。

免责条款本文档依据现有信息制作，其内容如有更改，恕不另行通知。

天珣内网安全风险管理与审计系统架构如下图所示。

主要由策略服务器、天珣客户端、策略网关组成。

策略服务器包括中心服务器、本地服务器、补丁分发服务器、radius服务器、告警服务器等组件，所有功能服务器集中管理，组件可根据具体情况增减。

数据库采用SQL SERVER，统一管理报警日志及审计等数据。

2安装环境及要求客户端（Clients）计算机没有很高的系统要求。

客户端软件(也被称CC)可以被安装在Windows 系统之上，包括Windows2000 SP4, Windows Server 2003 和32/64位Windows XP，Windows Vista, 32/64位Windows Server 2008，32/64位Windows 7数据库支持32位 Microsoft SQL Server 2000，32/64位Microsoft SQL Server 200532/64位 Microsoft SQL Server 2008中心服务器（Server）是整个策略架构的管理中心、策略中心。

必须运行2003 SERVER SP1 (32/64) 或 2008 Server SP1 (64)的平台上。

中心服务器通过web方式管理，要求安装IIS 服务器。

其对硬件要求的高低应根据所管理的客户端数量的多少来定，其中，服务器安装要求的最低配置如下：硬件：CPU PIII 1G或以上Memory 1G或以上硬盘40G空闲软件：Windows 2003 Server SP1以上Internet Information Services 以上Dot NetMDAC 或以上中心服务器、攻击告警服务器需要安装SQL Server数据库，可根据现场环境选择独立安装或集中安装于中心服务器，若安装于中心服务器，请确保中心服务器有足够的内存和硬盘空间。

策略网关代理(Plug-in Proxy)：管理所有关联的策略网关，策略网关代理从Local Server上取插件策略。

当策略网关激活时，策略网关代理将策略发送给各个关联的策略网关。

策略网关代理的主要作用在于可以将安装在多个应用服务器上的有相同插件策略的插件策略网关交给同一个策略网关代理管理，从而简化管理员的配置；同时，各个插件策略网关可相互共享CC的状态，如CC1在插件1上通过了认证，那么通过插件2访问时就无需第2次认证，提高系统性能。

IIS策略网关、ISA策略网关、Exchange策略网关以及中性策略网关：策略检查点（checkpoint），与CC配合强制用户满足策略。

策略网关从关联的策略网关代理上取插件策略。

3.天珣内网安全风险管理与审计系统主要组件介绍天珣内网安全风险管理与审计系统为CSC架构，即天珣客户端（Clients）、策略服务器（Server）、策略网关（Check Point）。

3.1.服务器组件3.1.1.中心策略服务器所有策略集中存放的地方，系统中唯一的Web管理控制台也与中心服务器集成在一起。

管理员从Web管理控制台登录到Center Server，进行策略配置，报表查询。

Center Server同时兼作一个Local Server。

3.1.2.本地策略服务器本地策略服务器是客户端日常取策略的地方，也是客户端发送报表的目的地。

本地策略服务器从Center Server同步得到策略。

设置本地策略服务器的目的是为了适应企业大区域的分布式分级管理架构。

本地策略服务器从中心策略服务器获取策略，客户端直接与本地策略服务器通讯。

3.1.3.Radius服务器Radius服务器是天珣内网安全风险管理与审计系统网络准入的必须组件。

结合各类LDAP认证，使用协议或EOU协议在交换机网络端口实施网络准入认证，确保只有通过认证的客户端接入并访问网络。

3.1.4.攻击告警服务器攻击告警服务器兼作为攻击日志告警服务器和终端审计日志服务器，收集由客户端发来的攻击告警信息和终端审计信息。

并在中心服务器管理界面，可进行统计和分类查询。

3.1.5.软件分发服务器通过软件分发服务器可建立软件安装包，可根据目标地址或地址段、指定时间段分发软件包或自定义文件。

3.1.6.HOD远程桌面服务器HOD远程桌面服务器用于记录在线的远程桌面管理员的相关信息，为其关联管理网段后，管理网段内的用户就可使用客户端集成的远程桌面客户端，向在线管理员发起远程桌面帮助请求。

3.2.策略网关组件作为系统及应用准入的准入控制点，检查访问者的客户端运行状态，与客户端配合强制用户满足策略。

策略网关从策略网关代理上取策略网关策略。

有时策略网关策略又叫插件策略。

策略网关分为中性策略网关和IIS、ISA Proxy、Email、DNS等插件策略网关。

3.2.1.策略网关代理策略网关的管理者。

所有的策略网关都直接连接到策略网关代理，从策略网关代理获取策略，接受管理。

而策略网关代理直接指向策略服务器，并从策略服务器获取策略。

连接到同一个策略网关代理的所有策略网关使用相同的策略。

设置策略网关代理这个角色的目的是简化策略网关的配置，因为有时一个企业需要安装多个策略网关，而每个策略网关的策略相同。

3.2.2.中性策略网关中性策略网关，也叫做中性插件，是安装在任意的X32位的Windows 2000 /2003/2008服务器或Linux的服务器上，执行应用准入控制，它与安装的服务器操作系统有关，而与该服务器运行何种应用无关。

当终端访问到该服务器，都需要进行安全基线检查，若不符合安全策略，将被拒绝访问该服务器，并给出提示信息（只有基于http访问，才能正确提示）。

其中安全基线包括是否安装客户端软件、安装客户端软件的终端是否达到安全策略要求。

3.2.3.IIS策略网关部署在IIS服务器上，对所有访问该WEB服务器的终端实施应用准入控制，检查终端是否符合安全策略，若不符合策略，则拒绝访问，并给出提示信息。

3.2.4.ISA策略网关对所有通过ISA服务器上网的终端，实施应用准入控制，若不符合安全策略，则不允许终端通过ISA访问INTERNET，并给出提示信息。

3.2.5.EXCHANGE策略网关部署在Exchange邮件服务器上，对访问EXCHANGE邮件服务器的终端实施应用准入控制，检查客户端是否符合安全策略。

对于不符合安全策略的终端，Exchange策略网关将阻断其邮件服务，并给出提示信息。

（只支持EXCHANGE 2003邮件服务器）3.2.6.DNS策略网关及旁路监听式DNS策略网关普通DNS策略网关部署在DNS服务器上，对需要进行DNS域名解析的终端实施准入控制，检查终端是否符合安全策略，对于不符合安全策略的终端，DNS策略网关将阻断其DNS请求，并给出提示信息。

如果是旁路监听式DNS策略网关，则可部署在DNS 服务器上也可部署在互联网出口的某台服务器上对所有DNS请求进行监听。

如果是在DNS服务器上，那么功能与传统DNS策略网关相同，如果不是，那么旁听式的DNS网关必须安装在链接互联网出口交换机上的某台交换机上，对这台交换机上的其他端口的DNS请求进行镜像，并在旁听式DNS网关的端口上进行监听，对需要进行DNS解析的终端实施准入控制，检查终端是否符合安全策略，对于不符合安全策略的终端，旁听式DNS策略网关将阻断其DNS请求，并给出提示信息。

3.2.7.客户端每台终端都必须安装客户端（CC）。

客户端是安装在每个被策略管理的用户的电脑上的代理程序。

执行企业策略，安全基线检查，客户端准入控制，访问控制，主动安全防御，资产管理，远程帮助，软件分发，移动存储认证和控制，终端行为审计终端相关功能。

从本地策略服务器上取策略，向本地策略服务器发送报表，当用户不满足策略时，向用户提示相关信息。

3.2.8.按需支援管理端如果安装了按需支援（HOD）的远程桌面服务器，需要在承担远程支持服务的管理员电脑上安装按需支援管理端软件。

安装完成后，如果有终端用户发来远程支持请求，远程支持管理员就可以收到请求信息，并直接进行远程协助。

3.2.9.客户端打包程序客户端代理软件的打包程序。

客户端打包程序将和中心服务器一起安装。

打包程序将服务器IP地址、指定安装目录、是否静默安装、是否采用网络准入等参数与安装程序打包成可执行文件。

4.天珣内网安全风险管理与审计系统的安装安装部署共有两种安装选项：快速安装和自定义安装。

运行后出现以下主安装界面。

4.1.快速安装快速安装默认安装服务器的以下组件：中心策略服务器、中心同步服务器、天珣服务状态监控服务、远程桌面服务器、攻击告警服务器、RADIUS服务器、策略网关代理服务器、中性策略网关、DNS策略网关、软件分发服务器、客户端打包程序，服务器卸载工具。

快速安装选项的目的是一次安装所有服务器相关的组件及DNS 准入控制组件，如果部署在网络出口，则可利用DNS准入达到即插即用的效果。

对中小应用环境，我们的方案首推这种即插即用的部署。

4.1.1快速安装部署1．快速安装。

将天珣内网安全风险管理与审计系统安装光盘放入光驱，可直接进入安装选择界面。

请点击“快速安装”。

2．进入天珣内网安全风险管理与审计系统服务器的快速安装界面。

3．安装程序检测系统环境。

1）系统必须安装“或以上版本”,“IIS”和“Dot Net Framework 2.或者以上版本”。