天珣内网安全风险管理与审计系统产品白皮书
天珣内网安全风险管理与审计系统
产品白皮书
启明星辰
Beijing Venustech Cybervision Co., Ltd.
北京启明星辰信息安全技术有限公司版权所有,并保留对本文档及本声明的最终解释权和修改权。
本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,其著作权或其他相关权利均属于北京启明星辰信息安全技术有限公司。未经北京启明星辰信息安全技术有限公司书面同意,任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。
“天珣”为北京启明星辰信息安全技术有限公司的注册商标,不得侵犯。
本文档依据现有信息制作,其内容如有更改,恕不另行通知。
北京启明星辰信息安全技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠,但北京启明星辰信息安全技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。
如有任何宝贵意见,请反馈:
信箱:北京市海淀区东北旺西路8号中关村软件园21号楼启明星辰大厦
邮编:100193
电话:010-82779088
传真:010-82779000
您可以访问启明星辰网站:http://www.venustech.com.cn,获得最新的技术和产品信息。
目 录
4.4.4 基于802.1x的第三方客户端网络准入控制 26
1 终端安全发展阶段和主要问题
1.1 终端安全管理建设的四个阶段
终端安全作为架构企业网络安全的核心组成部分,其重要性已经被业界广泛接受和认可。但是,由于终端安全范畴涉及到终端桌面运维管理、内网接入管理、终端安全加固、终端威胁主动防御、终端用户网络行为规范、终端信息防泄密、终端审计等一系列广泛的问题,对到底如何才能做好终端安全管理建设,业界对其的解读和实践,却各有不同。
终端安全管理是一项系统工程,涉及到各个领域相关性很强,相互依存,相互影响,并非解决某一个领域的问题,终端安全问题就可以高枕无忧了。终端安全管理建设也不是一蹴而就,一劳永逸,需要根据实际的问题,对症下药,循序渐进,才能建立起高效、可靠的终端管理体系。
基于对终端安全管理的实践,启明星辰总结出终端安全管理建设的四个阶段,这四个阶段分别是:
阶段一:基础认证及运维阶段
阶段二:合规管理建设阶段
阶段三:主动防御及强制阶段
阶段四:安全运营阶段
下图为终端安全健身的四个阶段示意图:
图1 终端安全管理建设的四个阶段
以上这四个阶段,概括了企业终端安全管理建设的发展路线图,每个企业在进行终端安全管理建设,都需要经历以上四个阶段,循序渐进,与企业核心业务的发展同步,系统解决终端面临的安全威胁和管理问题,保障和促进企业核心业务的持续、稳定和健康发展。
企业终端安全管理建设必须经历的四个阶段,每个阶段都具有鲜明的特征,每个阶段具备的特征表现如下:
1、基础认知及运维阶段 :
基础认证及运维阶段,是对终端在业务中的角色和终端自身特征的认证阶段,在了解到终端对保障业务持续稳定运行的重要性之后,围绕终端运行维护相关问题,企业逐步引入一定技术手段,准确掌握终端信息和终端运行状况,完善和加强终端运行维护管理。
2、合规管理建设阶段
在解决对终端的基础认知问题,并建立起终端运行维护体系后,终端安全管理建设就可以迈入第二个阶段,即合规管理建设阶段。合规管理建设阶段,核心是要实现终端安全管理的制度化和规范化,依据指定的规章制度有针对性地实施和完善终端安全管理。
3、主动防御及强制阶段
终端管理完成合规管理建设阶段之后,终端安全管理体系规范也初具规模,终端安全管理也将具备上升到第三个阶段的条件。终端安全管理的第三个阶段,是终端主动防御及强制管理阶段,这个阶段的主要特征,就是终端安全管理不再是被动防御和管理,而是需要根据潜在的威胁和安全隐患,主动调整终端安全管理体系和制度,实现终端安全主动管理,将终端面临的风险抑制在未起之时。
4、安全运营阶段
终端安全运营阶段,是终端安全管理建设的最终阶段,在完成以上三个阶段的安全管理建设之后,终端安全管理将进入到安全运营阶段。进入安全运营阶段,终端安全管理已经不能简单应对和解决终端面临的具体安全威胁,而要站在企业风险管理的层面,从终端风险管理的角度,建立终端风险集中管理与监控生态体系,随终端面临的风险更迭,动态调整终端风险管理体系、制度、架构和需要采用的技术手段,全面提升针对终端风险管理的驾驭能力,促进企业核心业务持续、健康发展。
以上的四个阶段,概括了企业终端安全管理建设发展的全过程,是企业终端安全管理建设的必由之路。
1.2 每个阶段面对的突出问题
终端安全管理建设的四个阶段,也是解决终端安全管理面临的问题的过程,由于每个阶段的特征不同,因此每个阶段所面对和需要解决的问题也存在明显的不同。具体每个阶段所面对的主要问题分述如下:
1、基础认知及运维阶段面对的突出问题:
² 终端基本信息难以获得及维护,导致信息认知困难
² 终端数量巨大、地理分散,导致终端运维支持困难
² 无法精确统计IT资产,确定每台电脑的硬件配置及软件安装情况
² 无法跟踪IT资产的历史使用纪录,也不能及时掌握资产变动情况
² 计算机终端需要统一的管理手段快速统一分发软件和操作系统补丁
² 需要针对计算机外设:如USB、Modem、无线设备等,进行有效监控和管理
² 计算终端随意访问或扫描内网重要的应用及服务器资源
² 计算终端随意对内网中正常运行的终端进行扫描或非授权访问
² 病毒、木马的攻击,带来终端及网络的可用性的挑战
² 无法及时掌握计算机终端进程运行情况,木马程序有可能“浑水摸鱼
² 无法有效监控终端资源的使用情况,也无法及时发现并定位资源使用异常的终端
² 计算机终端出现使用故障时,需要IT维护人员亲自赶赴现场处理
2、合规管理建设阶段面对的突出问题
² 不合规的电脑操作行为,导致工作效率降低或安全风险
² 敏感信息的外泄,导致组织核心利益受损
² 用户随意安装和运行各种软件,随意占用有限的带宽资源
² 用户随意访问、复制、修改或删除终端中重要的文件或数据,恶意破坏或外泄重要的文件和数据外泄
² 用户可以在工作时间,随意访问不安全的或者严重影响工作效率的网站,不仅降低的工作效率,还可能从不安全网站引入病毒和木马
² 用户随意更改主机名、IP地址、MAC地址等信息,对资产管理、网络审计等方面造成不便
² 计算机终端存储的关键数据失窃或外泄后,难以追查
² 计算机终端滥用打印机打印小说或保密资料,难以追查
² 计算机终端使用未经认证的移动存储设备进行数据交换,不受控制
² 未经认证的移动存储设备成为病毒传播的载体
² 存储关键数据的移动存储设备丢失或失窃,造成严重的泄密事故
² 计算机终端用可以轻易通过拨号、私设代理、多网卡通讯等非法外联手段,造成内部机密外泄
3、主动防御及强制阶段面对的突出问题
² 已有的安全防范手段不能发挥作用
² 被动防御,问题层出不穷
² 计算机终端未经安全认证和授权即可随意接入内网
² 无法对接入的终端进行有效鉴别区分和管理
² 计算机终端接入内网后对内网非授权访问难以管理
² 计算机终端存在的操作系统安全漏洞不能及时修复
² 终端未按照要求安装指定防病毒软件或者未按照要求定期更新病毒定义码,使终端丧失或削弱对病毒的防御能力
² 蠕虫攻击导致网络或系统瘫痪,影响核心业务正常运行
² 终端安全级别设置过低,既没有禁用存在安全隐患的设置,例如没有禁用Guest账号…,也没有按规定空闲定时启用屏幕保护,留下安全隐患
4、安全运营阶段面对的突出问题
² 多种终端系统产生的信息难以统一分析
² 与其他安全及网络设备的信息难以综合处理
在终端安全管理建设进程中,每个阶段呈现不同的特征,所面临的问题也不尽相同,每个阶段问题得到有效解决,将有助于实现终端安全管理质的跨越。那么如何有效解决每个阶段终端安全管理的突出问题,就成为终端安全管理建设的核心问题。
1.3 终端安全管理建设路线图
终端安全管理建设的每个阶段,所面临的突出问题和矛盾,也并非一下子就能够全部解决。每个阶段按照分类解决问题的原则,可以将每个阶段终端安全管理体系的建设目标,划分出若干个终端安全子系统建设目标,然后引入针对性的终端安全解决方案,各个击破,循序渐进完成阶段性终端安全管理的建设。
下图就是基于此原则,规划的终端安全建设路线图:
图2 终端安全管理建设路线图
其中:“基于认证及运维阶段”,目标是要完成:“资产管理”、“软件分发”、、“补丁管理”、“主机防火墙”和“主机防病毒”终端安全子系统建设。“合规建设阶段”,目标是要完成:“主机监控审计”、“非法外联控制”、“移动存储管理”、“数据防泄密”终端安全子系统建设。“主动防御及强制阶段”,目标是要完成:“准入控制”、“安全基线管理”两个子系统建设。“安全运营阶段”,目标是要完成“安全运行中心”的建设。
终端安全管理建设路线图,是终端安全管理建设最佳实践,企业在进行终端安全管理建设时,可以将自身的终端安全管理现状对号入座,然后按图索骥,找到符合企业自身终端安全管理发展阶段的终端安全管理解决方案,步步为赢,构建完善的终端安全管理体系和终端风险运营中心,彻底解决终端安全问题,促进核心业务持续安全运行。
2 天珣助力终端安全实现跨越式发展
启明星辰作为安全领航厂商,已经在终端安全管理和建设相关领域实践多年,依据对终端安全管理建设的深入了解和研究,自主研发了业界领先的内网安全管理产品——“天珣内网安全风险管理与审计系统”(以下简称天珣)。
天珣提供的产品功能覆盖终端安全管理建设的“基础认知及运维阶段”、“合规建设阶段”和“主动防御及强制阶段”三个阶段,全部核心功能模块,如下图所示:
图3 天珣功能模块示意图
其中:
Ø 覆盖“基础认知及运维阶段”的五个功能模块是:“资产管理”、“软件分发”、“补丁管理”、“主机防火墙” 、“主机防病毒”。
Ø 覆盖“合规建设阶段”的四个功能模块是:“主机监控审计”、“非法外联控制”、“移动存储管理”和“数据防泄密”。
Ø 覆盖“主动防御及强制阶段”的两个功能模块是:“准入控制”和“安全基线管理”。
对照终端安全管理建设路线图,天珣所提供的功能已经完全覆盖了终端安全管理建设四个阶段的前三个,即“基础认知及运维阶段”、“合规管理建设阶段”和“主动防御及强制阶段”,通过引入天珣作为终端安全管理体系建设的支撑产品,即可实现终端安全管理跨越式发展,如下图所示:
图4 天珣帮助终端安全管理实现跨越式发展
启明星辰终端安全管理建设路线图以天珣为核心,全面覆盖终端安全管理建设的四个阶段和所有关键终端安全子系统,助力企业实现终端安全管理跨越式发展。
3 精细化终端运维管理
随着各行各业信息化建设的巨大发展,终端运维管理已经进入到精细化管理时代,对终端运维管理提出了更全面和细致的要求,仅仅获取到终端信息远远不够的,还需要针对终端进行精细化管理,提供终端整个生命周期的信息管理、终端操作系统漏洞检测和修复、终端平台环境规范、远程支持和维护等全方位的终端运维管理。
3.1 终端资产管理
由于计算机终端硬件及软件的更新和变化,IT维护人员和财务部门对企业IT资产的管理和统计经常处于一种无序及手工统计的状态,当IT资产更新频繁时,原来的IT资产管理记录往往由于管理的滞后以及对实际情况的掌握程度不够无法及时更新,从而造成IT资产管理的混乱,IT维护人员对于IT资产的最新情况不了解也对IT运行服务造成了障碍。
天珣资产管理模块自动收集企业用户IT设备的软、硬件配置信息,并自动与终端注册信息进行绑定。支持的硬件信息包括:计算机终端的BIOS参数、CPU型号、内存数量、硬盘序列号、硬盘类型、硬盘容量及分区、主板序列号、显卡类型、各种外设等信息;软件信息包括操作系统、安装软件等;并能够及时提供终端软件和硬件变更事件并进行告警。
图7天珣资产管理示意图
天珣能够自动识别和区分终端类型是台式机或笔记本电脑,方便用户根据终端类型进行分类管理和查询与统计。能够自动识别和区分存在多网卡的终端,方便用户对非法外联行为进行控制。为管理员进行系统维护、技术支持、软件部署、IT开支预算及统计提供及时准确的信息。
集中的Web管理控制台
管理员可以从一个中央控制台保存和追踪所有计算机终端的相关信息,例如处理器类型、BIOS 类型及序列号、显示适配器、内存、硬盘等。并可以基于组织架构进行统计和查询。
精准的资产信息管理
天珣能够实现对终端资产信息的插槽级的识别,按照终端各组件的序列号读取资产精确信息,并提供资产全生命周期历史快照,实现对终端资产精准管理。
3.2 补丁管理
天珣补丁管理自动帮助计算机终端及时安装最新的Windows操作系统的Service Pack或安全更新,IE浏览器相关补丁等。天珣补丁管理支持多种操作系统语言版本,为企业在不同国家或地区的计算机终端提供良好的支持。天珣具备灵活的应用补丁管理框架,不仅可以支持常见的Windows应用程序补丁,例如IE补丁、MS Office补丁、还可以根据用户实际的需求,在线扩展Windows应用程序补丁支持,而无需升级客户端。
图9 天珣补丁管理示意图
在天珣补丁管理中,补丁的获得和配置都是自动的,并且提供多种的分发选项,并完全支持对域环境终端进行补丁分发和管理。管理员可以通过报表查看网络中单台电脑的补丁安装情况,也可以查看单个补丁在内网中的整体安装等情况。
天珣补丁管理支持与微软WSUS的联动,无需计算机终端加入域,自动下发补丁安装策略,完成补丁的分发,保证计算机终端及时打上Microsoft最新发布的补丁,防止安全漏洞被利用。
3.3 软件分发
天珣软件分发,作为终端自动化软件分发和管理工具,能够提高终端管理效率,尤其对于终端数量巨大,分布范围很广的用户,能够实现远程批量软件分发,极大提高终端运维管理效率和效果。
图10 天珣软件分发管理示意图
天珣的软件分发,具备以下特点:
1) 支持多种安装包格式:MSI安装包、自定义打包格式安装包、可执行文件、批处理文件。
2) 支持普通格式的文件自动分发,可以将文件自动分发到指定的终端目录下;或将指定的文件或者应用程序复制到终端指定的位置。
3) 支持的对客户端软件安装包的自动分发和安装.
4) 软件分发支持指定分组、立即或指定时间进行软件安装,并支持软件分发流量控制。可以同时向多个客户端分发软件包,也可以指定在某个时间范围内进行软件分发。
5) 支持断点续传机制,即如果在软件分发过程中由于某种原因导致分发过程停止,则下次分发的时候可以从上次未完成的部分开始继续进行软件分发,直到完成为止。
6) 记录和统计客户端的软件分发和安装情况;可以定义时间段查询;导出信息报表,并可自定义报表。
3.4 设备管理
终端外设管理,企业员工随意使用PC周边设备可能导致敏感资料外泄或病毒广泛传播。天珣PC外设管理能够灵活控制和监控计算机终端硬件资源的使用情况,比如控制计算机终端的并口、串口、移动存储设备、MODEM拨号、蓝牙、USB等外设的使用情况,能够自动收集终端曾经使用过的USB设备的历史记录,并能够单独禁用无法确定其用途的USB设备,保障USB接口的正常使用,更能够通过对未知设备进行自动检测和采样,实现对未知和新增设备的有效控制和管理。灵活并有效保护企业机密,确保企业员工与外界的数据交换在管理人员可控的环境中进行,防止通过终端外设进行非法外联,并减小病毒传播的风险。
支持多网卡限制功能,可以设定只有与天珣系统通讯的网卡才能发送和接收数据,除此之外禁止其他任何网卡发送和接收数据,包括多网卡、拨号连接,VPN连接等。很好解决了业界通常采用的通过设置注册表禁用多网卡、拨号连接易被破解的缺陷,实现了基于网络通讯侦测的多网卡非法外联管理。
启用了终端多网卡控制之后,仍然可以通过策略设定是否允许终端用户自行在多个网络连接中进行切换,确保终端不会发生同时连通两个网络的前提下,方便确实需要在不同时间或场景中切换网络的用户。
可信SSID管理,能够支持无线可信SSID管理,支持终端只能连接指定的SSID,不在可信列表中的无线SSID不允许连接。
自动关机节电,天珣支持对受控终端进行定时关机操作,避免企业中的终端因人为原因长时间不关机,造成资源浪费,节省电力以及减少终端损耗。
除了可以定时关机外,天珣根据每台终端关机时间与第二天开机时间中间的时间间隔,通过算法计算出终端在这段时间内所节省的电量,以此作为终端节电的依据。在提倡节能环保的今天,该功能显得尤为重要。
3.5 短消息
天珣提供客户端短信息广播功能,可以在天珣的Web管理控制台上,编辑通知消息,通过天珣自动下发到指定的终端后,由客户端提醒终端用户有短消息。并可以分组指定发送短消息,设定短消息有效时间,保证短消息的时效。除此之外,天珣提供短消息策略创建人和删除人、创建和删除时间和短消息内容的审计,保证短消息内网和发布行为事后可查。,为管理员提供高效工具,成为管理员终端运维的好帮手。
图12 天珣短消息功能示意图
借助天珣人性化的客户端短消息管理,可以实现对终端用户进行安全教育增值功能。通过系统可以将事先准备好的安全教育内容,定时通过短消息传送到客户端,客户端收到后,将自动弹出信息提示框,并提示终端用户及时进行阅读,待终端用户全文阅读完毕并点击确认,客户端消息框将不再弹出。除此之外,管理员还可以根据实际情况,调整信息提示框弹出的频率和消息有效期,保证达到理想的安全教育效果。
3.6 安全防护
天珣客户端内置强大的主机防火墙引擎,采用访问控制、流量控制、ARP欺骗控制、网络行为模式控制、非法外联控制等手段,实现了针对计算机终端的威胁主动防御和网络行为控制,从而保证计算机终端双向访问安全、行为受控。
3.6.1 终端ACL
天珣内置强大的进程级主机防火墙,可以针对计算机终端实现基于进程、端口或协议的双向访问的细粒度访问控制。既可以实现指定终端某一指定进程(例如IE)能够访问远程的某个IP、网段或网站,也可以实现两个子网内终端之间的细粒度访问控制,在不需要对原有的网络做任何调整的前提下,实现最细粒度的内网安全域管理。访问控制策略由管理员集中定义,下发至计算机终端后,分布式执行,简洁、高效。
天珣通过对计算机终端的网络行为进行集中管理,有效控制非授权访问。在连出访问时,只有满足管理员制定的安全策略的访问才允许连出,只能访问许可的地址、许可的服务,只能由指定的程序访问。在连入时,只有满足管理员制定的安全策略的访问才允许接受连入,可以只接受指定地址的访问请求,只让指定的服务接受指定地址的访问请求,只让指定的程序提供指定的服务。
图13 天珣基于策略的访问控制示例图
天珣能够对终端PING行为进行有效控制,有效保护受控终端被PING,也可以禁止终端对网络进行PING操作。
3.6.2 分布式流量带宽管理
传统的网络带宽管理系统大多是网关型设备,不能针对每一台具体的计算机终端进行细粒度的带宽管理,有时一台计算机终端就可能占用企业内网的全部有效带宽。天珣的分布式带宽管理功能可以精细管理单台计算机终端上单个应用程序、单个端口的带宽。通过合理配置,能够有效管控计算机终端的异常流量,即使有蠕虫病毒爆发,也不会导致网络瘫痪。
图14 分布式流量带宽管理示例图
3.6.3 基于终端网络行为模式的威胁主动防御
天珣具备基于终端网络行为模式的威胁主动防御机制,通过集中控制每个计算机终端的网络行为,限定网络行为的主体、目标及服务,并结合计算机终端的安全基线控制网络访问,可以有效切断“独立进程型”蠕虫病毒的传播途径及木马及黑客的攻击路线,弥补防病毒软件“防治滞后”的弱点。通过监控TCP并发连接数,减缓蠕虫病毒对网络造成的损害。通过监控UDP的发包行为,限制异常进程的网络访问
图15天珣基于网络行为模式的主动防御示意图
下图是在终端安装天珣客户端后,将对终端自动安全修复,修复终端存在的漏洞,然后通过下发并执行了非法外联控制策略、主动防御策略、终端流量控制和管理策略后,所有不安全或违规的网络访问都会被天珣侦测和拦截到,保证网络始终稳定运行,而这一切对终端用户完全透明。
图16 天珣安全保护下的终端示意图
3.6.4 终端安全域管理
天珣具备业界领先的和最细粒度的终端安全域管理。天珣的安全域管理无需对现有网络进行任何调整,即可实现终端安全域划分和管理,支持根据安全终端安全等级保护级别,设置终端安全域内和终端安全域之间细粒度终端访问控制权限,全面提升内网终端安全防护级别。
天珣具备最细粒度的终端安全域管理能力,能够将单台终端或单个登录用户作为安全域最小管理对象,并能够针对两台终端之间设置基于进程的安全域访问控制策略。天珣支持基于安全状态的安全域管理,安全域中任意一台终端安全状态不符合要求,都将被系统从安全域中隔离,确保安全域始终健康和稳定运行。
4 全方位终端合规管理
终端用户的违规行为,已经成为终端安全管理的潜在的巨大威胁,终端用户不受约束的网络访问、数据传输和交换、终端资源的违规使用等违规行为,将有可能导致网络违规外联、重要的数据和机密信息外泄和重要的终端资产破坏,也为潜在外来攻击打开方便之门。
天珣从终端审计、移动存储管理、涉密信息发现等角度,提供全方位的终端合规管理功能,从规范终端用户行为出发,封堵终端违规的漏洞、监控和规范终端用户行为,全面提升终端安全管理水平。
4.1 终端审计
在内网合规管理中,审计具有非常重要的意义,不仅可以检验合规管理效果,而且是促进内网安全状况持续改善的基本保证。围绕内网合规管理要求,天珣提供了完善的终端行为审计功能,包括:文件操作审计、打印审计、网站访问审计、FTP审计和终端、应用程序使用审计、刻录审计、Windows登录审计等多种审计功能。审计内容可以只限定为与内网合规管理相关的信息,保证在达到合规管理审计要求的前提下,充分保护终端用户个人隐私。面向合规的终端行为审计,能够有效确保100%的终端接受管理监督,促进内网安全状况持续改善。
图17 终端审计功能框架图
4.1.1 安全策略事件审计
天珣安全策略事件审计功能,能够针对计算机终端所有触发天珣安全策略的事件进行审计,包括:进程红白黑名单、防病毒软件安装及病毒码更新、注册表检测、IP地址、操作系统补丁、Windows登录、网络行为等。
4.1.2 文件操作审计
天珣文件操作审计功能,可以针对指定目录中的文件或指定后缀名的文件的读、写、新建、复制、删除、改名、移动等操作行为进行审计,对指定目录中的文件或指定后缀名的文件的读、写、新建、删除、改名、移动等操作行为进行阻断。同时,对于计算机终端共享目录的访问以及终端用户对网络文件的访问也可进行详尽的审计。
4.1.3 打印审计
天珣打印审计功能,可以针对计算机终端的本地或网络打印行为进行审计;也可以直接通过天珣针对计算机终端的本地或网络打印行为进行控制,保护用户有限的打印资源,同时避免企业核心机密通过纸质打印外泄。
4.1.4 网站访问审计
天珣提供针对计算机终端的网站访问审计功能,可以针对URL地址关键字进行审计,也可以针对URL地址关键字进行网站访问控制,设置URL地址白名单和黑名单,限定计算机终端允许访问的网站和禁止访问的网站。天珣还可以审计和控制计算机终端通过Http代理访问网站,规范终端用户上网行为。
4.1.5 FTP审计
天珣提供针对计算机终端FTP行为进行审计功能,能够对终端FTP行为进行审计,也可以对终端FTP行为进行控制,可以禁止终端FTP行为,避免因为终端违规FTP行为,可能带来的内部关键数据泄密的风险。
4.1.6 Windows操作系统登录审计
天珣可以针对每台计算机终端的Windows系统登录情况进行审计,掌握每台计算机终端的用户活跃情况,为优化内网合规管理提供参考。
4.1.7 主机名、IP、MAC变更审计
天珣能够对终端的主机名、IP和MAC变更进行审计,能够记录终端主机名、IP、MAC的变化,并生成对应的告警事件信息上报服务器,帮助用户及时发现违规修改计算机配置的违规行为。
4.1.8 Windows事件日志审计
天珣能够对终端的Windows事件进行审计,能够记录终端系统各事件日志,并生成对应的告警事件信息上报服务器,帮助用户及时发现计算运行的违规行为。
4.1.9 应用程序使用审计
天珣能够对终端应用程序使用历史进行审计和记录,可以针对所有进程进行审计,也可以仅针对指定进程进行审计,能够记录应用程序进程的开启、关闭和持续运行的时间和历史记录,为规范终端应用程序使用提供依据。
4.2 多重防控,杜绝非法外联
天珣基于真正的安全内核,具备网络非法外联多重防控技术,可以对终端发生的任意一个网络行为进行检测和识别,并能够拦截所有存在安全的威胁的网络访问,包括终端的非法外联尝试。
下图是天珣非法外联多层防控功能示意图:
图18 天珣非法外联多层防控功能示意图
天珣的非法外联多层防控技术,提供对非法外联的全程监视、阻断、审计和告警全过程的非法外联防控,能够彻底杜绝终端非法外联的违规行为,保证终端始终在允许的网络范围内访问。
图19 天珣非法全过程非法外联防控示意图
4.3 移动存储管理
针对移动存储中的数据交换和共享安全性等要求,天珣结合防非法外联技术,通过对接入终端的移动存储设备进行认证、数据加密和共享受控管理,确保只有通过认证的移动存储设备才能够被授权用户使用。同时,还可以根据不同的防泄密要求,灵活对已通过认证的移动存储设备赋予多种数据共享权限:可以只认证设备,也可以在设备认证的基础上对保存的数据进行分区表加扰、专用目录加密及全盘加密,更可以对移动存储设备使用的全过程进行审计,有效切断核心数据的非法传播途径,保护用户关键信息资产。
图20 移动存储管理功能框架图
4.3.1 移动存储设备认证
在计算机终端启用天珣移动存储设备认证后,当未经授权的移动存储设备(例如U盘、移动硬盘等)通过USB接口接入终端时,天珣将自动弹出认证提示框,要求用户选择和填写相关部门、设备使用人等信息,然后发送给管理控制台,经管理员确认并按照移动存储管理规章对该移动存储设备进行确认和相应授权后,该移动存储设备才可以在内网中使用。
通过认证的设备可赋予指定用户读、写、加密写等权限。保证只有经过认证的、确认安全的移动存储设备才能在内网中使用,消除不明来历的移动存储设备通过终端接入内网后,可能带来的病毒传播等隐患。
天珣移动存储管理,支持对多个移动存储设备进行批量授权,并支持对已经移动存储认证信息进行批量导入和导出,方便对移动存储设备进行高效管理。.
4.3.1.1 专用目录数据加密与共享授权
对于通过天珣认证过的移动存储设备,如果需要对重要数据进行共享传播,可以在认证时,启用专用目录数据加密,所有保存在专用目录下的数据将自动被加密,然后可以对专用目录中的保密数据进行共享授权,确保只能在受控的计算机终端上由具有访问权限的用户共享。此时,该加密目录中的数据在非管理环境中完全无法解密,如果移动存储设备意外丢失,也能够保证存储在专用加密目录下的数据安全。
4.3.1.2 全盘数据加密与共享授权
对于通过天珣认证过的移动存储设备,如果需要对重要数据进行共享传播,可以在认证时,启用全盘数据加密,所有保存在移动存储设备中的数据将自动被加密,然后可以对移动存储设备中的保密数据进行共享授权,确保只能在受控的计算机终端上由具有访问权限的用户共享。此时,该移动存储设备在非管理环境中完全无法使用,且其中存储的数据也完全无法解密,形成坚固的数据保护屏障,如果移动存储设备意外丢失,也能够保证存储在移动存储设备中的数据安全。除此之外,天珣能够对特殊移动进行例外处理,能够对移动存储设备只认证,不做加密处理,保证特殊移动存储设备经过认证即可正常使用。
4.3.1.3 移动存储全过程审计
天珣移动存储管理提供移动存储认证、使用和数据共享全过程的审计,以便企业IT管理部门在安全事件发生时进行调查取证。
4.4 多层准入,主动防御【Radius】
4.4.1 业界领先的多层准入控制
天珣具备业界最完善的计算机终端准入控制机制,从终端层到网络层,再到应用层和边界层,提供了网络准入和应用准入等多种准入控制手段,确保只有通过身份验证和安全基线检查的计算机终端才能接入内网并进行受控访问,对非法的或存在安全隐患的计算机终端进行隔离和修复,构建出完善的“内网安检系统”,从源头上有效减少内网安全漏洞。
终端试图通过交换机接入内网时:天珣能够在内网接入层,甚至内网汇聚层,与接入层或汇聚层的网络设备联动,对尝试联网的终端实施网络准入控制,执行身份验证和合规检查,保证只有合法的和安全的终端才能接入内网。对于不合规的终端,例如未受控终端、受控但安全状态不符合合规管理策略要求的终端,系统将自动对其进行隔离或者自动划入修复区。
当接入网络的终端试图访问内网服务器或关键业务系统时:天珣能够与启明星辰网关设备组成合规管理方案,实现准入控制联动。在企业网中一个或多个关键业务系统服务器之上部署启明星辰网关设备,执行应用层准入控制,可以对来访的终端执行合规检查,如果来访终端非受控或不合规,将被拒绝访问该服务器或业务系统,同时也达到对这些关键服务器和业务系统增强保护的效果。
4.4.2 基于802.1x的有线网络准入控制
天珣支持国际标准802.1x协议,与支持该协议的接入层交换机设备联动,共同完成有线网络准入控制。只有受天珣管理并且符合企业安全策略的计算机终端才允许接入企业内网,否则将被隔离在企业内网之外,或被自动划分到特定的VLAN中进行修复。网络准入控制从物理层面确保只有经过身份认证和安全认证的电脑才能接入企业内网,将不安全的计算机终端和用户拒之门外,彻底消除蠕虫病毒、木马侵害的源头以及别有用心的偷窥和网络滥用。
天珣已经完全支持主流网络厂商的接入层交换机,包括:CISCO、H3C、华为、3COM、锐捷、DLink等主流网络厂商,并可以实现支持802.1x协议的多品牌厂商网络设备混合部署的网络准入控制,最大程度保护用户已有的网络投资。无论交换机使用Port-based的802.1x端口认证模式 ,还是MAC-based的802.1x的端口认证模式,天珣都能够透明支持。除此之外,天珣还支持在启用802.1x认证时,MAC免认证的功能,对于那些无法安装客户端的设备,例如网络打印机、IP电话等设备,可以通过认证MAC地址实现安全接入。除此之外,
图22 基于802.1x的有线网络准入控制示例图
天珣基于802.1x的网络准入控制的认证内容包括:终端登录用户名/密码、、终端安全状态、终端受控状态等多种条件认证组合。
支持天珣本地目录服务及AD域控制器等第三方目录服务平台认证。
4.4.3 基于802.1x的无线网络准入控制
天珣支持国际标准802.1x协议,能够接管所有支持WPA企业版的无线接入设备类型,对通过无线网络接入的终端和用户进行无线网络准入控制。只有接受天珣管理并且符合企业安全策略的计算机终端才允许通过无线接入企业内网,否则将被隔离在企业内网之外。
基于802.1x的无线网络准入控制示例图
天珣支持多品牌厂商无线网络设备混合部署,最大程度保护用户已有的网络投资。天珣无线网络准入控制支持仅接管指定的SSID的网络的准入控制,也可以设置可信任的SSID列表,进行自动接管。
天珣无线网络准入控制的认证内容包括:只认证客户端、用户名/密码等多种条件中的认证。
4.4.4 基于802.1x的第三方客户端网络准入控制
天珣不仅支持自有客户端802.1x认证,也支持Windows、Linux、Android、IOS等系统平台自带的802.1x客户端在天珣Radius中认证。真正解决了手机、pad等移动设备的准入问题。
4.4.5 基于应用的准入控制
天珣能够与启明星辰网关设备(目前支持的有P墙、USG、NGIPS)组成合规管理方案,实现准入控制联动,由网关设备担当准入控制网关,当计算机终端需要通过网关设备进行访问时,确保只有受控和合规的才能通过网关设备,对网关设备所保护的服务器进行访问。
图26 基于网关准入的应用准入控制示意图
4.4.6 准入,保护用户投资
天珣提供多种准入控制手段,从终端通过交换机接入内网,到终端访问内网业务应用服务器,全面覆盖了终端在网络行为的每一个环节。天珣支持业界多种品牌和型号的网络设备,提供丰富的应用准入控制类型,用户总可以从天珣提供的多种准入控制手段,找到满足自己现实需求的准入控制解决方案,而无需对网络和系统进行改造升级,最大限度保护用户投资。
4.4.7 创造客户端“自助安装”新模式
应用准入可以通过自动重定向,对未受控或者不合规的终端,进行个性化的友好提示,通过友好提示不仅可以帮助最终用户了解无法访问业务服务器的原因,为最终用户接受和适应新的终端合规管理提供帮助,还可以通过该提示页面,发送执行合规管理的客户端软件,真正实现了最终用户“自助式”的客户端部署,不仅大幅度减少系统维护人员的工作量,也极大减少用户的厌烦和抵触行为,保证合规管理有效性的同时,在内网终端合规管理过程中,体现了人性关怀,有效增强了最终用户在内网合规管理系统实施中的积极性,促进内网合规更快获得良好收效。
4.5 终端安全基线管理
4.5.1 终端安全基线自动检测与强制修复
天珣能够监控计算机终端的操作系统补丁、防病毒软件、软件进程、登录口令、注册表等方面的运行情况。如果计算机终端没有安装规定的防病毒软件的运行状态和病毒库更新状态不符合要求、没有运行指定的软件或运行了禁止运行的软件,或者有其它的安全基线不能满足要求的情况,该计算机终端的网络访问将被禁止。此时天珣启动自动修复机制,或提示终端用户手工进行修复。待修复完成后,计算机终端将自动得到重新访问网络的授权。
图30 终端安全基线检测与修复示例图
4.5.2 终端进程运行管理
在企业网络环境中,计算机终端软件环境的标准化能为桌面运维管理带来多方面的效益:能够降低桌面维护的复杂程度,确保关键软件在计算机终端的强制安装与使用,同时通过禁止运行某些软件来提高工作效率。
天珣进程管理通过定义计算机终端进程运行的红、白、黑名单,实现自动、高效的进程管理功能,完全覆盖用户对进程管理的要求。天珣进程管理,无论是进程红名单、黑名单还是白名单,都可以通过设置MD5码校验的方式检查进程名,防止用户对程序改名逃避安全检查。
在天珣进程管理中所定义的红名单、白名单和黑名单的详细定义如下:
进程红名单:计算机终端必须运行的进程清单,是“进程白名单”的子集;
进程黑名单:计算机终端禁止运行的进程清单。
进程白名单:计算机终端能够运行的进程清单;
4.5.3 终端安装软件管理
天珣终端安装软件管理,可以定义计算机终端安装软件的的红、白、黑名单,有效对终端软件安装进行规范和管理,降低随意软件安装可能带来的风险。
在天珣安装软件管理中所定义的红名单、白名单和黑名单的详细定义如下:
安装软件红名单:计算机终端必须安装的进程清单,能够确保必须安装指定的软件。能够选择对软件名进行精确匹配或模糊匹配,防止修改软件名称逃避安全检查。
安装软件黑名单:计算机终端禁止安装的进程清单,能够有效禁止安装与工作无关的软件。
安装软件白名单:计算机终端能够安装的进程清单,确保用户只能安装指定的软件。
4.5.4 防病毒软件管理
天珣具备终端防病毒软件安全管理,可统一管理和审计网络内终端的防病毒软件安装和使用情况,可强制为客户端安装防病毒程序。天珣支持业界所有类型的防病毒软件,能够检查防病毒软件是否运行,病毒码版本是否升级,支持的防病毒软件包括Symantec、TrendMicro、McAfee、瑞星、CA、驱逐舰、微软等防病毒软件,并支持管理员指定病毒码自动更新的期限,或最新的病毒码版本号。
天珣能够通过离线同步工具,工具自动从互联网下载服务器,自动更新最新的防病毒软件列表和病毒定义码版本,导入病毒码后,无需升级客户端程序,即可轻松实现对新的防病毒软件的支持。管理员只需简单选择适合的防病毒软件及病毒定义码,即可轻松实现对个多种不同类型的防病毒软件进行有效管理。
4.5.5 服务与注册表管理
天珣能够对终端Windows服务管理器中的服务进行管理,可以通过策略停止并禁用Windows服务管理器中已启用的服务,也可以通过策略自动启用终端windows服务管理器中已经被禁用的服务。方便用户远程对终端Windows服务进行维护,确保重要的Windows服务始终正常运行,并及时停止和禁用可能存在安全隐患的Windows服务。
通过检测指定注册表项、指定注册表值或指定的注册表项和值得匹配关系是否存在,来检查终端是否存在隐藏的木马或病毒的可能,并可以通过对指定注册表项,进行保护,防止被木马或病毒恶意对其进行修改,从而达到控制终端的可能。
4.5.6 Windows帐户策略
天珣能够对Windows本地用户帐户策略进行管理,能够通过策略,能够修改、禁用或删除Windows用户帐户,并可以调整帐户的权限,降低因终端存在不安全帐户或者帐户权限不合理所带来的风险。
天珣能够启用或禁用Windows系统默认的Guest帐号;能够对Windows管理帐号进行管理,可以禁用或启用系统内置的管理员帐号,也可以禁用或启用所有属于管理组的帐号;能够修改Windows管理员缺省账号为其他任意名称,减少通过默认管理员帐号的进行攻击的风险。
此外,天珣支持用户帐号权限分离,可以为指定用户组添加用户组成员,也可以将指定用户从用户组中移除;能够禁用和删除Windows系统无用帐户,锁定和删除与设备运行、维护等与工作无关的帐户,方便对系统用户帐号进行有效管理,降低Windows系统的安全风险。
4.5.7 Windows本地策略
天珣能够对Windows本地策略进行管理,能够通过策略,对终端Windows本地策略进行批量地配置或修改,覆盖了 “共享资源管理”、 “IP安全”等模块的若干条个性化本地策略,为企业提供加固终端,提升终端管理的有效手段。
对终端的共享资源进行控制和管理,可以检测并上报用户电脑上存在有哪些共享资源,并可设定是否允许开启共享资源。对于不允许开启共享资源的终端,可以下发策略强制取消已经设置了的共享资源。支持的共享资源包括目录目录、打印机共享和IPC共享。
除此之外,天珣能够对指定的共享目录,为特定的Windows帐户设定共享权限,可设置的权限范围包括:读取、更改和完全控制,方便对终端共享目录共享授权进行管理。
IP安全,天珣能够通过策略启用Windows系统自带的对SYN攻击进行防护的功能,并可以精确设定“指定触发SYN洪水攻击保护所必须超过的TCP连接请求阀值”,“指定处于 SYN_RCVD 状态的 TCP 连接数的阈值”和“指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值”,增强终端对SYN攻击的抵御能力。
4.5.8 用户环境配置
IE配置管理,能够自动为终端添加和设置IE代理的例外主机和网段列表,减轻了管理员的维护管理工作。能够自动为终端IE浏览器设置可信站点列表或者将指定站点从可信站点列表中移除,减轻管理员管理工作。
可以定义和下发终端屏保策略,强制终端启用终端屏保功能。能够设置屏保恢复时显示登陆界面,设置启用屏保的等待时间。
4.6 终端数据防泄密
构建完善的终端数据安全管理体系和数据风险运营中心。它可以帮助管理者了解:敏感数据在哪里?被如何使用?有没有泄密风险?天珣帮您发现、监控并且保护企业敏感信息,包括:
事前预警:通过每日呈现的曲线图,提示安全人员应该关注的异常事件;
事中阻断:如果设置阻断泄密操作,可以中止用户的泄密操作;
事后追查:通过分析文件内容、拥有者、流转过程追溯泄密源头。
天珣DLP功能可以为用户提供一个有效的、全面的、易于管理的终端数据防泄密整体方案。
终端DLP功能
4.6.1 构建终端数据安全管理体系
支持主流的文档格式
支持主流文档格式敏感检索,支持的格式包括:各版本MS Office文档、Wps、Rtf、Pdf、图片、各类文本格式等。
采用自有文档解析的技术,识别不需要安装任何Office组件或第三方文档解析组件。
支持文档正文、页眉、页脚、批注信息,支持各格式文档之间相互嵌套的检测
支持“隐藏”文档的行为
支持涉密文档修改后缀名、压缩等操作将涉密文档“隐藏”的行为,天珣DLP可以对上述操作形成“新文件”判定为涉密文件。且支持无限级的多层压缩文档检测。
管理员可自由设定文件敏感等级,综合展现终端及各敏感等级文件分布和拥有高风险文件。管理员可以根据不同的敏感标识或不同的敏感等级制定相应不同的响应动作。如只审计、通知 、使用人确认、强制拷贝加密、阻止、提交审核等。
支持中文分词:原生支持中文分词,中文分词准确识别率95%以上:
中文语义识别:举例而言,对不支持中文分词的产品,识别“主机密钥”这个词时,往往会匹配到“机密”,天珣DLP能够识别语义,最大程度避免了这一问题。规则示意图如下:
采用高效的多模匹配算法,匹配效率不会随着各涉密标识(关键字、正则表达式、指纹、MD5)的增加显著增加。
- 根据数据的内容,进行无监督的数据自动聚类;
- 根据用户的设定,及时反馈最新的聚类结果,帮助用户定位恰当的数据分类;
- 支持分类按照用户的需求进行导出聚类规则
- 按照数据聚类规则,已包含在行业预置规则库中的类别可直接套用规则,未包含的可对样本数据进行机器学习,归纳制定出规则,然后对规则库进行验证,确保规则库的准确性和易用性;
行业预置策略
天珣DLP提供大量内置模板与规则,如财务数据、机密文档、技术方案、简历、电话号码、各类源代码检测标识等,为客户安全建设提供参考。
符合国内企业的保密需求,不用担心国外软件中暗藏隐患;
针对中国用户习惯开发,支持通过Web邮箱、博客、微博、网盘、空间、论坛等网络应用的敏感文件内容的识别、审计与阻断;
更懂中文,更精确的中文分词与中文检索,多种中文编码自动识别,确保无乱码;
本土软件支持,支持如WPS等优秀国产软件的全文解析;
本地研发响应,接口开放、文档丰富,响应迅速。
4.6.2 敏感信息定义
支持用户定义关键字、正则表达式、文件指纹、文件MD5、文件大小,文件类型为检测标识,同时支持定义不同的涉密等级。
敏感信息定义 | 详细说明 |
关键字 | 能够定义关键字/词组,并定义触发条件(匹配到任一关键词、匹配到全部关键词),满足触发条件后才标识文件为敏感。支持匹配次数参数配置,达到指定的匹配次数才识别为敏感信息。 |
正则表达式 | 对于符合某种规则的内容,可以抽象出正则表达式,然后按正则表达式对文字内容进行检查。产品应提供常见的正则表达式,如手机号码、身份证号码、银行卡等;并支持通过校验方式检验模式串的有效性。匹配次数参数配置,达到指定的匹配次数才识别为敏感信息。 |
文件MD5 | 接收预定义的敏感文件清单,当管理员非常清楚敏感文件是哪些时(比如:某台服务器上的doc文档全部是敏感文件),可以跟据导入的敏感文件的MD5值来匹配判断终端是否拥有该敏感文件 |
文件指纹 | 智能的文件指纹数据识别算法,支持三种不同匹配度的文件指纹。 |
敏感文件分类分级 | 能够批量检测文件,并自动对文件进行分类分级 |
文件属性 | 能够支持文件大小及文件类型进行识别。 |
4.6.3 敏感文件扫描
终端敏感文件检查,可以及时发现敏感文档是否在普通终端中违规存放和使用,识别数据所有者。避免敏感信息违规存放和使用违规行为,带来敏感信息外泄。
敏感文件扫描发现可以查询终端历史敏感信息,敏感文件的的变更信息。查看终端的敏感变化趋势。
支持扫描指定位置,可以对指定位置的目录进行扫描并精确判定敏感信息文档。
4.6.4 敏感信息外发管控
支持基于终端的多种泄密途径的监控,文件拷贝、打印、刻录、粘贴板、邮件、web、FTP等行为,并支持自定义程序监控,对系统中的应用程序进行敏感文件外发管控。
拷贝外发敏感信息监控,可以审计与阻止移动盘、网络共享、本地盘的拷贝/剪切敏感文件的行为。
支持拷贝文件加解密,含有敏感标识的文件需要输入密码加密后才允许拷贝,加密文件需要使用专用解密工具并输入加密密码才能正常打开。
专用解密工具在产品安装包Tool文件夹中。
控制文档敏感内容拷贝/剪切行为。监控系统剪贴板,能够审计与阻止通过拷贝/剪切动作进行内容复制操作传播敏感内容的行为。
打印敏感信息监控,可以对打印的文档内容的审计及控制,自由控制不允许打印包含敏感内容的文档。记录终端打印的动作,并审计是否打印了敏感文档。
可以针对计算机终端的本地或网络打印行为进行审计。详细审计打印的页面及份数,保护用户有限的打印资源,同时避免企业核心机密通过纸质打印外泄。
支持对敏感文件打印水印保护功能,能够监视被保护打印文档的传播、达到真伪鉴别以及非法拷贝控制的目的。并同时支持自定义水印内容。
刻录敏感信息监控,能禁止终端进行刻录,并可以自定义禁止的刻录软件。避免终端的违规刻录行为,禁止内部关键数据由光盘介质泄密。
可使用自带的刻录软件,对使用刻录软件的光盘刻录行为进行审计。刻录功能只支持文件模式的刻录,写入方式为光盘一次写入,自动选定刻录速度,刻录之后会自动较验,判断是否刻录成功和保证刻录数据的完整性。并在光盘中生成终端刻录标识,由刻录的光盘具有识别特性及刻录不可抵赖性。
自由控制终端的刻录权限及刻录次数,不允许刻录敏感文档。避免终端的违规刻录行为,可能带来的内部关键数据泄密的风险。
刻录软件只支持文件模式刻录,不支持ISO刻录、音频或其它模式的刻录。
邮件外发敏感信息监控,能够审计邮件客户端发送详细信息:收件人、抄送人、密送人、主题、正文内容、附件信息。审计及控制不允许外发敏感信息的邮件。(注:加密的smtp服务器不支持邮件正文检测,暂时只支持非加密的)
QQ外发敏感信息监控,能够审计与阻止QQ外发敏感文件的行为, 并可禁止QQ发送图片和接收图片,完全禁止使用QQ传送敏感图片数据。
WEB外发敏感信息监控,检测通过Web邮箱、博客、微博、论坛等网页形式发送敏感文字的行为。
当前浏览器的交互性应用,使得浏览器已经变成了众多应用的承载者。各政府、企业等机构的信息系统通常都含有用户信息或敏感信息,由于监管不严或者措施滞后,易导致大量用户信息或敏感信息非正常地散发或泄露于互联网,
WEB外发审计,在不影响Web应用的正常运行及使用前提下,对Web提交的数据进行敏感信息检查,解决终端用户通过网页导致信息泄露、扩散等问题。
FTP外发敏感信息监控,检测通过FTP协议上传敏感信息文件的行为。能够审计与阻止FTP外发敏感文件的行为。
支持禁止SFTP协议传输所有数据。
自定义外发敏感信息监控,能够自定义应用程序进程列表,审计及审计自定义外发敏感文件的行为,丰富外发审计行为。
4.6.5 文件审核
文件审核功能。支持客户端提交文件外发审核申请,管理员可审核文件例外,终端在指定的有效时间内可外发已授权的文件。
专有审核管理员,审核申请信息以邮件的方式通知审核员。审核员与系统管理员独立权限管理。
4.6.6 敏感外发告警
敏感外发告警功能,敏感外发事件可通过邮件自动发送到指定邮件地址。邮件告警可详细记录敏感产生事件原因及终端信息。
4.6.7 敏感文件外发上传备份
敏感文件外发上传备份功能能够把外发敏感的文件上传到服务器备份。
支持根据不同触发不同事件及不同密级的文档上传备份。支持对查看备份的授权处理。
4.7 防病毒
防病毒,天珣防病毒引擎采用辰信领创自研本地反病毒引擎和云查杀引擎,结合启明星辰在终端安全领域多年深厚积累,具备25种以上压缩包、安装包、文档格式解析能力,支持安装包脚本级查杀,通杀流氓捆绑,细粒度MS Office文档解析,支持宏、公式、内嵌文件。其独创文件基因技术,一条特征匹配传统杀毒软件上百条特征,强力保障企业客户终端安全。
4.7.1 任务参数
任务参数,支持快速查杀,可快速扫描各系统等关键目录或内存区域。支持全盘查杀,可系统中的本地磁盘所有目录等区域。支持移动存储设备接入查杀,当设备接入时,可自动扫描接入的移动存储设备。各扫描任务支持以每天、每周、每月的扫描周期配置。支持云查杀,终端可自动连入公有云服务器进行杀,提高杀毒效率及效果。支持手动扫描,终端手工启用查杀任务,并可指定扫描区域。
通过策略配置快速扫描、全盘扫描、移动存储设备接入扫描和病毒库更新的启用与否、时间和周期,通过策略来统一控制终端的病毒查杀,提升整个企业的办公环境的安全性。
4.7.2 信任列表
信任列表,通过添加指定文件的MD5值或者指定目录来放开特定文件的扫描,同时支持终端手工信任列表,终端可手工定义隔离区域文件的还原及信任,减少误杀率。
4.7.3 病毒库更新
病毒库更新,支持手动更新及自动更新控制中心更新包,适时的在管理中心上传最新的病毒库能有效的保障内部终端查杀病毒的完整性,优化整个公司内部的终端安全。
5 系统体系架构与典型部署
5.1 CSC体系架构
天珣具备分布式多级多服务器级联管理体系架构,可以支持无限级的中心服务器进行级联管理,单级服务器在又可以分为中心服务器和多个本地服务器,结合无限级的服务器级联,对终端的管理规模可以无限扩展。分布式多级服务器级联管理架构,实现集中管理和分级控制,使天珣具有优秀的容错性、可伸缩性。适应对全球网络范围内的任何一台计算机终端进行查询和管理。
下图为天珣分布式多级多服务器级联管理架构,所依赖的CSC可信任安全计算逻辑示意图:
天珣客户端代理(Clients)
天珣客户端代理从天珣管理服务器获取策略规则,在计算机终端执行策略规则,检查终端安全基线,执行终端综合防护,并将终端安全基线报告给天珣管理服务器。天珣客户端代理包含多种模块化的组件,以满足用户以一个客户端完成多种安全管理的需求。
天珣管理服务器(Server)
天珣管理服务器用于配置管理计算机终端安全策略,下发策略给天珣客户端代理及天珣策略网关,分发补丁、病毒定义码或软件以修补计算机终端安全漏洞,并可通过天珣管理控制中心查询企业网络任何一个计算机终端的安全基线。
天珣支持分布式多服务器级联架构,集中管理全球范围内的任意多个天珣服务器,分布式多服务器级联架构使天珣具有优秀的容错性、可伸缩性。
天珣策略网关(Checkpoint)
天珣策略网关是执行应用准入的强制组件。天珣策略网关从天珣管理控制中心获取策略规则,以准入控制手段强制执行内网安全策略,拒绝不符合安全策略的计算机终端访问企业的关键系统及应用。包括天清汉马一体化安全网关在内,天珣具备多种类型的策略网关和应用准入类型。
5.2 典型部署方式
天珣的典型部署方式如下:
图32 天珣典型部署示意图
1. 根据所要管理的区域划分、计算机终端数量配置和部署一到多台天珣管理服务器,构成一级或多级服务器管理架构;
2. 至少要在一个应用服务器前或外网出口部署启明星辰天清汉马一体化安全网关,并启用应用准入控制,作为准入控制检查点;
3. 借助应用准入控制提供的客户端安装检测和部署能力,用户自助部署客户端;
4. 根据企业合规管理要求,定义和下发相应的安全策略到计算机终端、天珣策略网关和后台功能服务器执行。
6 系统特性
图33 天珣系统特性图
6.1 系统功能特性
广泛的成功案例
经过多年的市场耕耘,天珣已经在包括政府、电力、能源、企业、金融、电信运营商、军工等等多行业得到广泛的应用,借助天珣提供的终端安全管理解决方案,帮助用户解决他们遇到的终端安全管理问题,获得用户的广泛好评。
最易部署的终端管理产品
借助独特的CSC体系架构和天珣强大的多层准入控制,天珣解决了终端产品部署的难题,是终端部署变得简单。利用准入控制创造的“客户端用户自助安装”模式,管理员足不出户,完成客户端安装成为可能。
细粒度强控制
天珣具备真正的安全内核,能够实现对终端和终端用户行为最细粒度的控制,保证终端用户行为按照预定规范执行,并有效杜绝各种潜在攻击和违规行为所带来的安全风险。
全过程终端安全管理
天珣提供的产品功能覆盖终端安全管理建设的“基础认知及运维阶段”、“合规建设阶段”和“主动防御及强制阶段”三个阶段,为终端提供全过程过的安全管理。
业界最全面的准入控制技术
天珣从终端接入网络、对网络资源访问,都提供了业界最完善和全面的准入控制技术,准入控制条件丰富,准入控制手段全面,能够适应复杂的网络环境,确保准入控制无盲点。
6.2 系统管理特性
确定性终端合规管理
借助多层准入控制手段提供的强制能力,有效保证天珣客户端程序运行,确保100%的计算机终端接受有效管理,实现确定性的桌面合规管理和终端行为审计,促进内网安全持续改善。
集中管理、分级控制,满足多级跨地域分支机构的管理需求
天珣分布式多级服务器管理架构,可以分为中心服务器和多个本地服务器,结合无限级的服务器级联,对终端的管理规模可以无限扩展。实现集中管理和分级控制。适应对全球网络范围内的任何一台计算机终端进行查询和管理。
天珣管理员支持分级管理,可以设置不同的管理角色,并授权对不同的区域进行管理。完全适应对各类用户、各种复杂网络的个性化管理要求。
支持三权分立用户认证
从内控的角度来看,IT系统的使用权、管理权与监督权必须三权分立,在三权分立的基础上实现终端合规管理与审计,有效地控制操作风险(包括终端操作风险与运维操作风险)。天珣支持三权分立用户认证,帮助企业完善IT内控机制。
天珣支持主流的LDAP用户认证,比如AD域等。对通过认证的用户可以下发基于用户的安全策略,为访问控制提供高度灵活的管理手段。天珣支持Pass-Through认证方式,直接使用企业现有的目录服务,不需要导入任何用户数据库,使系统更具实时性、减轻管理员的工作量。
本地用户数据库用户认证
天珣自带本地用户数据库,无需第三方LDAP,即可实现终端用户账号集中管理,支持用户的创建、修改、删除和用户集中认证管理,也可以批量导入和导出用户,并提供用户导入模块,为用户提供更多、更灵活的用户管理和认证的选择。
完备客户端注册机制
天珣支持完备的终端注册机制,在客户端安装时,可以由管理员自定义设置需要终端用户选择和填写客户端注册信息项目内容、注册项排列顺序和是否为必填项,信息注册并提交后,系统后台自动将终端与该信息绑定保存。注册信息项除了系统预置的部门、设备使用人、联系电话、地址、Email地址等信息项类型之外,还可以根据客户端注册的个性化要求,新增个性化客户端注册信息项类型。管理员还可以对新增的自定义客户端注册信息进行修改、删除和调整顺序,并可以设置该项是否为必填项等参数,方便客户端管理。
对于已经提交的客户端注册信息,管理员可以在管理控制台集中进行核对和对所有注册信息进行修改,也可以要求已注册的客户端重新注册,对于未提交注册信息的客户端,管理员可以在管理控制台集中进行手工注册。能够从客户端报表及文件导入进行注册,并可以进行批量注册。保证终端信息与实际的信息完全一致,为终端有效管理提供有效保证。
基于部门的终端管理
天珣支持基于部门管理的管理,可以根据用户的实际组织架构,建立终端部门树,并可以为不同管理员进行部门管理授权,授权管理员管理指定的部门。终端用户在进行客户端注册时,可以自己选择所在部门的部分进行注册,也可以由管理员在管理控制台进行终端手工注册,对未注册终端进行手工注册,或者对已注册的终端进行修改,实现终端与部门的绑定。所有客户端上报信息都支持基于部门的分类、查询和统计。
灵活的终端时间策略管理
天珣支持客户端基于时间的安全策略管理,通过设置在工作时间、加班时间和休假时间,终端执行不同的安全策略,实现基于时间的终端灵活的安全策略管理。天珣支持客户端与服务器之间进行时钟同步,时钟源既可以是天珣的中心策略服务器,也可以使指定地址的NTP服务器。并可以通过策略,禁止终端用户修改Windows时间,确保时间策略的有效性。
集成网关DLP管理能力
集成天清汉马USG5000-DLP硬件版各产品型号管理能力,可形成更加完整的数据安全解决方案。
6.3 系统部署特性
天珣分布式多级服务器级联管理架构,可以支持无限级的中心服务器进行级联当然,单级服务器在又可以分为中心服务器和多个本地服务器,结合无限级的服务器级联,对终端的管理规模可以无限扩展。实现集中管理和分级控制。适应对全球网络范围内的任何一台计算机终端进行查询和管理。
图34 分布式多级服务器管理架构示意图
每台中心服务器又可以与其直接管辖的本地服务器之间,相互冗余备份,其中一台服务器宕机,其直接管理的终端将会自动被其他所属服务器接管。分布式多级服务器管理架构使天珣具有优秀的容错性、可伸缩性,支持管理的计算机终端数量可以无限扩展。
适应各种复杂的网络环境
天珣具备业界最完善的终端准入控制和终端合规管理平台,支持NAT环境以及NAT、非NAT混合环境,可以适应各种复杂的用户网络环境,在全面提升用户内控合规管理水平的同时,最大限度保护用户已有的网络建设投资。
客户端主动部署,部署升级快捷简单
借助多层准入控制手段,管理员只需简单定义,就可自动将天珣客户端程序安装包推到用户桌面,快速完成天珣客户端程序的安装和配置。可以按照不同网络、区域、用户设置个性化的部署策略,灵活进行天珣客户端程序的分阶段、分区域部署。天珣支持Patch功能框架,可通过Patch功能框架迅速发布升级包,不用对原有系统和客户端进行任何改动,就可以快捷进行新版本更新。
天珣各准入控制点可独立进行安全策略检查及控制。某一准入控制点的检查失效并不会影响全局安全策略的执行,确保安全策略控制无盲点。管理服务器只是分发安全策略,安全策略检查由多层准入控制机制完成,不依赖管理服务器,使全局安全策略执行具备极高的可靠性。
全面支持主流Windows操作系统,包括支持WinXP /Win7/Win8/Win10的32/64位操作系统。,兼容各种用户业务系统和个人应用软件,可以适应从低端到高端的硬件环境。系统资源占用率低,正常运行时,占用的内存不足100M,CPU占用率通常情况下<1%,对网络几乎没有影响。
