天珣安全风险管理与审计系统介绍

天珣内网安全风险管理和审计系统产品白皮书（V6.6.9.0）北京启明星辰信息技术股份有限公司Beijing Venus Information Tech. Inc.2008年7月版权声明北京启明星辰信息技术有限公司版权所有，并保留对本文档及本声明的最终解释权和修改权。

本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外,其着作权或其他相关权利均属于北京启明星辰信息技术有限公司。

未经北京启明星辰信息技术有限公司书面同意，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。

“天珣”为启明星辰信息技术有限公司的注册商标，不得侵犯。

免责条款本文档依据现有信息制作，其内容如有更改，恕不另行通知。

北京启明星辰信息技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠，但北京启明星辰信息技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任信息反馈如有任何宝贵意见，请反馈：信箱：北京市海淀区东北旺西路8号中关村软件园21号楼启明星辰大厦邮编：100193您可以访问启明星辰网站：获得最新技术和产品信息。

目录版权声明........................................................... 免责条款........................................................... 信息反馈........................................................... 1内网安全挑战.................................................... 2终端合规管理，内网安全解决之道..................................2.1内网安全，合规先行 ........................................2.2Venus终端五维合规管理模型.................................3产品主要功能....................................................3.1终端安全控制 ..............................................3.1.1终端安全状态自动检测与强制修复.........................3.1.2终端访问控制...........................................3.1.3终端异常流量抑制.......................................3.1.4终端基于网络行为模式的威胁主动防御.....................3.1.5终端安全加固...........................................3.1.6IP管理................................................3.1.7多网卡非法外联控制.....................................3.2业界领先的多层准入控制.....................................3.2.1基于802.1x的网络准入控制..............................3.2.2基于EOU的网络准入控制.................................3.2.3应用准入控制...........................................3.2.4客户端准入控制.........................................3.2.5网络准入增值应用.......................................3.3桌面管理功能 ..............................................3.3.1资产管理...............................................3.3.2Help On Demand远程桌面................................3.3.3补丁管理...............................................3.3.4进程管理...............................................3.3.5PC外设管理............................................3.3.6软件分发...............................................3.4移动存储管理 ..............................................3.4.1移动存储设备认证.......................................3.4.2专用目录数据加密与共享授权.............................3.4.3专用目录数据加密与共享授权.............................3.4.4移动存储设备管理审计...................................3.5终端审计 ..................................................3.5.1文件操作审计与控制.....................................3.5.2打印审计与控制.........................................3.5.3网站访问审计与控制.....................................3.5.4异常路由审计...........................................3.5.5终端Windows登录审计................................... 4体系架构与部署方式..............................................4.1CSC系统体系架构...........................................4.2部署方式 .................................................. 5系统特性 .......................................................5.1领先的CSC系统架构 ........................................5.2易于部署和管理 ............................................5.3合规管理确定有效 ..........................................5.4系统安全可靠 ..............................................5.5系统优良的性能、伸缩性和可扩展性........................... 6成功案例 .......................................................6.1用户：某银行（代称：G银行）...............................6.1.1需求...................................................6.1.2部署...................................................6.1.3收效...................................................6.1.4客户评价...............................................1 内网安全挑战根据CSI/FBI等权威机构公布的数据，在所有已经发生的安全事件中，超过80%的安全事件都发生在企业内网中，内网安全面临前所未有的挑战。

天珣内网安全风险管理与审计系统实施方案（0000）启明星辰Beijing Venustech Cybervision Co., Ltd.2014 年 10月目录1系统实施原则1.1最大限度降低对用户的影响部署终端安全管理系统的根本目的，是借助系统所提供的准入控制的技术手段，确保接入的电脑是合法的和符合XX研究院安全策略要求的，最大限度降低不安全的客户端电脑对XX研究院网络和信息资源带来的风险和威胁，保证XX研究院每一个用户的电脑始终处于良好的运行状态，大大降低故障发生概率，从而保证每个用户都能够完全专注在自己的本职业务工作，并大大提高每一个用户的工作效率。

因此，选择和部署终端安全管理系统时，在确保XX研究院安全策略的有效执行的前提下，要最大限度降低对电脑用户在日常工作中的影响，例如减少终端用户在系统的使用过程中的不必要的操作和介入，在用户违反安全策略时进行友好提示，尊重和保护个人隐私，为用户安全网络访问和信息交换保驾护航。

1.2全面细致规划，分步实施终端安全管理系统，作为XX研究院网络安全的基础架构中非常重要的客户端电脑安全管理平台，将涉及到XX研究院内部每一台接受管理的电脑和每一个用户，涉及面广，影响面大。

当然，为了根本上解决客户端电脑的安全管理问题，这样的系统的部署也势在必行，因此在系统部署前需要对系统的实施过程、安全策略的制定和安全管理制度的建立，进行全面系统地规划，并在实施过程中，根据实际环境进行适时调整，从而保证系统和安全策略在XX研究院内部顺利执行下去，实现项目预期的目标，保障内部网络具有更高可用性和客户端电脑的更高安全性。

部署前需要规划的内容包括：内部网络和用户的安全分级和规划，系统部署的次序和周期，针对不同部门或用户角色的安全策略组合，系统安全策略的动态调整等等。

安全不是一蹴而就的，由于该系统涉及面较广，因此系统的实施需要全面规划，分步实施，循序渐进，真正发挥系统的安全保护和主动防御的功效。

天珣内网安全风险管理与审计系统安装配置手册（V6.6.9.4）启明星辰Beijing Venustech Cybervision Co., Ltd.2012年11月版权声明北京启明星辰信息安全技术有限公司版权所有，并保留对本文档及本声明的最终解释权和修改权。

本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，其著作权或其他相关权利均属于北京启明星辰信息安全技术有限公司。

未经北京启明星辰信息安全技术有限公司书面同意，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。

“天珣”为北京启明星辰信息安全技术有限公司的注册商标，不得侵犯。

免责条款本文档依据现有信息制作，其内容如有更改，恕不另行通知。

北京启明星辰信息安全技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠，但北京启明星辰信息安全技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。

目录版权声明 (1)免责条款 (1)信息反馈........................................... 错误!未定义书签。

1综述 . (4)2安装环境及要求 (4)3.天珣内网安全风险管理与审计系统主要组件介绍 (6)3.1.服务器组件 (6)3.1.1. 中心策略服务器 (6)3.1.2. 本地策略服务器 (6)3.1.3. 资产管理服务器................................错误!未定义书签。

3.1.4. Radius服务器 (6)3.1.5. 攻击告警服务器 (6)3.1.6. 软件分发服务器 (7)3.1.7. HOD远程桌面服务器 (7)3.2.策略网关组件 (7)3.2.1. 策略网关代理 (7)3.2.2. 中性策略网关 (7)3.2.3. IIS策略网关 (8)3.2.4. ISA策略网关 (8)3.2.5. EXCHANGE策略网关 (8)3.2.6. DNS策略网关及旁路监听式DNS策略网关 (8)3.2.7. 客户端 (9)3.2.8. 按需支援管理端 (9)3.2.9. 客户端打包程序 (9)4.天珣内网安全风险管理与审计系统的安装 (9)4.1.快速安装 (10)4.1.1 快速安装部署 (10)4.1.2 基本配置 (27)4.2.自定义安装 (31)4.2.1 自定义安装中心服务器 (32)4.3.本地服务器的安装配置 (33)4.3.1 添加策略服务器 (37)4.4.策略网关配置 (38)4.4.1 添加策略网关代理 (38)4.4.2 安装中性策略网关 (39)4.5.远程桌面的系统配置 (46)4.5.1 安装添加远程桌面服务器 (46)4.5.2 添加远程桌面管理员 (46)4.5.3 安装按需支援管理员端程序 (47)4.5.4 用户请求管理员远程帮助 (49)4.6.软件分发安装与配置 (49)4.6.1 安装软件分发服务器 (49)4.6.2 配置软件分发 (50)4.7.安装资产服务器................................... 错误!未定义书签。

天珣桌面安全管理系统测试报告天珣内网安全风险管理与审计系统测试报告目录1说明 (2)2测试项目及技术要求.................................................................................... 错误!未定义书签。

3功能实现测试记录 (3)1说明本方案是南方电网终端安全测试方案，根据用户需求求而制订，主要用于指导南方电网终端安全的测试内容、测试方法和测试指结果。

2 测试内容主要为功能测试◆功能测试主要包括以下测试点：◆客户端注册：自定义注册项目◆补丁管理：静默分发补丁，;离线补丁工具导入补丁，◆进程管理：进程红名单、进程黑名单◆准入控制：DNS准入◆安全防护：攻击防护、流量控制、访问控制◆移动存储管理：目录加密、全盘加密◆文件审计：移动存储文件审计、所有本地盘文件审计◆软件分发：安装包分发◆主机名规范：自动修改主机名◆短消息：普通短消息、需要确认短消息2功能实现测试记录用例名称客户端注册用例说明测试客户端注册自定义注册信息用例步骤1．服务器上手工配置注册信息：部门、使用人、E-Mail等信息2．服务器下发策略到客户端；3．在客户端查看并填写注册信息，并在服务器上核实注册信息，确保功能运行正常；测试结果未注册的客户终端自动弹出注册界面，引导终端客户进行信息注册测试截图用例名称补丁管理用例说明通过配置补丁分发的策略，服务器能对指定补丁进行循环分发用例步骤1．在服务器端配置补丁分发的策略向客户端分发配置的补丁；2．服务器下发策略到客户端；3．在客户端查看补丁安装情况。

测试结果1．未安装补丁的客户端接受策略后，会进行指定分发补丁的下载及安装;2. 如果有客户端此次补丁分发不能成功下载或安装,会再次重新下载或安装;3. 如果有未安装该补丁的客户端是离线的,当客户端再次在线时,会重新执行该补丁分发的任务.4．已有该补丁的客户端不会进行补丁的下载及安装测试截图用例名称进程管理用例说明下载到终端计算机的安全策略在客户端与服务器通讯中断后,进程管理策略在客户端上可持续有效用例步骤1.配置进程管理策略，禁止运行notepad.exe；2.下发策略；3.拔网线查看策略是否生效。

天珣内网安全风险管理与审计系统实施方案（0000）启明星辰Beijing Venustech Cybervision Co., Ltd.2014 年10月目录1系统实施原则 .............................. 错误!未指定书签。

1.1最大限度降低对用户的影响 ............. 错误!未指定书签。

1.2全面细致规划，分步实施 ............... 错误!未指定书签。

1.3安全策略从简到繁，安全级别步进式提高 . 错误!未指定书签。

2实施计划 .................................. 错误!未指定书签。

3管理服务器部署 ............................ 错误!未指定书签。

3.1总部管理服务器部署 ................... 错误!未指定书签。

3.2厂所独立管理服务器部署 ............... 错误!未指定书签。

3.3部署实施建议 ......................... 错误!未指定书签。

3.3.1管理服务器与客户端通信要求错误!未指定书签。

3.3.2数据存储建议错误!未指定书签。

3.3.3管理员权限划分错误!未指定书签。

3.3.4服务器安装及数据管理错误!未指定书签。

4客户端部署 ................................ 错误!未指定书签。

4.1通过应用准入方式部署客户端 ........... 错误!未指定书签。

4.2应用准入控制部署 ..................... 错误!未指定书签。

4.3建设期客户端部署 ..................... 错误!未指定书签。

4.4维护期客户端部署 ..................... 错误!未指定书签。

5准入控制实施 .............................. 错误!未指定书签。

天珣非法外联控制四步曲北京启明星辰信息安全技术有限公司天珣产品部刘希诚计算机和网络技术的发展，为终端电脑提供了丰富的网络和设备互联的手段，借助这些手段，用户不仅可以直接通过有限的网络实现与其他电脑或Internet实现互联，也可以通过多种无线连接方式，例如无线局域网、红外线、蓝牙等实现网络和设备和互联，还可以通过终端提供的丰富的外设接口，例如USB接口、COM口、LPT口、Modem等多种接口，实现终端与外设、终端与终端或终端与网络的互联。

除此之外，在以上物理连接通的基础上，还有PPOE虚拟拨号、各类VPN供选择，作为安全的互连互通的可选方式。

然而，正是电脑具备的多种多样互联互通的方式，却成为内网合规管理实践中，所要面对的最大的挑战之一。

合规管理要求，内网终端电脑对Internet、内部网络和内部的其他终端或服务器的访问，要根据其使用者所在的部门和安全分级管理中的角色，根据管理的需求，只有其中一种或多种的网络互联使用权限；但现实是，即使内网终端有严格的互联规定，但因缺少有效的技术手段，仍有大量终端用户，违规进行“一机多用”和“非法外联”。

借助终端提供的多种外联通道，越权进行非法网络和设备外联，随意外发内部涉密资料，同时也为病毒、木马攻击内网提供了理想的通道，病毒或木马可以借助终端用户违禁使用U盘、擅自拨号进行互联网访问、随意浏览网站、随意下载网站软件的过程中，乘虚而入，攻入内网，严重威胁到内网的稳定运行和内网中内部数据的安全。

天珣内网风险管理与审计系统（以下简称天珣），作为启明星辰“五维内网合规管理模型”的最佳实践，同样在防止内网终端非法外联有着非凡的表现，部署天珣之后，简单四步即可彻底解决内网终端非法外联的“顽疾”。

第一步：启用用终端多网卡限制，保证只能通过指定网卡联网；第二步：启用终端外设接口限制，防止通过Modem、红外、蓝牙等非法外联；第三步：启用在移动存储认证，确保授权用户使用授权Ｕ盘进行数据安全共享；第四步：启用终端异常路由审计，侦测终端可能存在的其他网络非法外联蛛丝马迹。

天珣内网安全风险管理和审计系统产品白皮书（V6.6.9.0）北京启明星辰信息技术股份有限公司Beijing Venus Information Tech. Inc.2008年7月版权声明北京启明星辰信息技术有限公司版权所有，并保留对本文档及本声明的最终解释权和修改权。

本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外,其着作权或其他相关权利均属于北京启明星辰信息技术有限公司。

未经北京启明星辰信息技术有限公司书面同意，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。

“天珣”为启明星辰信息技术有限公司的注册商标，不得侵犯。

免责条款本文档依据现有信息制作，其内容如有更改，恕不另行通知。

北京启明星辰信息技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠，但北京启明星辰信息技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任信息反馈如有任何宝贵意见，请反馈：信箱：北京市海淀区东北旺西路8号中关村软件园21号楼启明星辰大厦邮编：100193您可以访问启明星辰网站：获得最新技术和产品信息。

目录1 内网安全挑战根据CSI/FBI等权威机构公布的数据，在所有已经发生的安全事件中，超过80%的安全事件都发生在企业内网中，内网安全面临前所未有的挑战。

内网安全面临的挑战，集中表现在以下两个方面：内网安全控制挑战1.终端未经安全认证和授权即可随意接入内网；2.内部终端存在的安全漏洞不能及时修复；3.终端接入后对内网的非授权访问难以管理；4.被动防御蠕虫病毒及木马的破坏和传播；5.蠕虫攻击导致网络或系统瘫痪，影响核心业务的运作；6.用户随意改动IP地址，对网络审计带来困难；7.用户随意安装和运行软件，随意占用有限带宽资源。

终端数据安全挑战1．终端使用未经认证的U盘等移动存储设备进行数据保存；2．通过U盘等进行数据交换，不受控制；3．未经认证的U盘成为病毒传播的载体；4．存有关键数据的U盘丢失或失窃造成严重的泄密事故；5．终端用户可以轻易通过拨号、私设代理等非法外联手段，传播内部重要数据或资料。