下载文档原格式
天珣内网安全风险管理和审计系统产品白皮书(V6.6.9.0)北京启明星辰信息技术股份有限公司Beijing Venus Information Tech. Inc.2008年7月版权声明北京启明星辰信息技术有限公司版权所有,并保留对本文档及本声明的最终解释权和修改权。
本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,其着作权或其他相关权利均属于北京启明星辰信息技术有限公司。
未经北京启明星辰信息技术有限公司书面同意,任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。
“天珣”为启明星辰信息技术有限公司的注册商标,不得侵犯。
免责条款本文档依据现有信息制作,其内容如有更改,恕不另行通知。
北京启明星辰信息技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠,但北京启明星辰信息技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任信息反馈如有任何宝贵意见,请反馈:信箱:北京市海淀区东北旺西路8号中关村软件园21号楼启明星辰大厦邮编:100193您可以访问启明星辰网站:获得最新技术和产品信息。
目录版权声明........................................................... 免责条款........................................................... 信息反馈........................................................... 1内网安全挑战.................................................... 2终端合规管理,内网安全解决之道..................................2.1内网安全,合规先行 ........................................2.2Venus终端五维合规管理模型.................................3产品主要功能....................................................3.1终端安全控制 ..............................................3.1.1终端安全状态自动检测与强制修复.........................3.1.2终端访问控制...........................................3.1.3终端异常流量抑制.......................................3.1.4终端基于网络行为模式的威胁主动防御.....................3.1.5终端安全加固...........................................3.1.6IP管理................................................3.1.7多网卡非法外联控制.....................................3.2业界领先的多层准入控制.....................................3.2.1基于802.1x的网络准入控制..............................3.2.2基于EOU的网络准入控制.................................3.2.3应用准入控制...........................................3.2.4客户端准入控制.........................................3.2.5网络准入增值应用.......................................3.3桌面管理功能 ..............................................3.3.1资产管理...............................................3.3.2Help On Demand远程桌面................................3.3.3补丁管理...............................................3.3.4进程管理...............................................3.3.5PC外设管理............................................3.3.6软件分发...............................................3.4移动存储管理 ..............................................3.4.1移动存储设备认证.......................................3.4.2专用目录数据加密与共享授权.............................3.4.3专用目录数据加密与共享授权.............................3.4.4移动存储设备管理审计...................................3.5终端审计 ..................................................3.5.1文件操作审计与控制.....................................3.5.2打印审计与控制.........................................3.5.3网站访问审计与控制.....................................3.5.4异常路由审计...........................................3.5.5终端Windows登录审计................................... 4体系架构与部署方式..............................................4.1CSC系统体系架构...........................................4.2部署方式 .................................................. 5系统特性 .......................................................5.1领先的CSC系统架构 ........................................5.2易于部署和管理 ............................................5.3合规管理确定有效 ..........................................5.4系统安全可靠 ..............................................5.5系统优良的性能、伸缩性和可扩展性........................... 6成功案例 .......................................................6.1用户:某银行(代称:G银行)...............................6.1.1需求...................................................6.1.2部署...................................................6.1.3收效...................................................6.1.4客户评价...............................................1 内网安全挑战根据CSI/FBI等权威机构公布的数据,在所有已经发生的安全事件中,超过80%的安全事件都发生在企业内网中,内网安全面临前所未有的挑战。
天珣实用工具手册用户手册(V6.6.9.2)启明星辰Beijing Venustech Cybervision Co., Ltd.2011年1月版权声明北京启明星辰信息安全技术有限公司版权所有,并保留对本手册及本声明的最终解释权和修改权。
本手册中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,其著作权或其他相关权利均属于北京启明星辰信息安全技术有限公司。
未经北京启明星辰信息安全技术有限公司书面同意,任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。
本文档中的信息归北京启明星辰信息安全技术有限公司所有并受著作权法保护。
“天珣”为北京启明星辰信息安全技术有限公司的注册商标,不得仿冒。
信息更新本文档及其相关计算机软件程序(以下文中称为“文档”)仅用于为最终用户提供信息,并且随时可由北京启明星辰信息安全技术有限公司(下称“启明星辰”)更改或撤回。
免责声明本手册依据现有信息制作,其内容如有更改,恕不另行通知。
北京启明星辰信息安全技术有限公司可能已经拥有或正在申请与本文档主题相关的各项专利。
提供本文档并不表示授权您使用这些专利。
您可将许可权查询资料用书面方式寄往北京启明星辰信息安全技术有限公司。
北京启明星辰信息安全技术有限公司在编写该手册的时候已尽最大努力保证其内容准确可靠,但北京启明星辰信息安全技术有限公司不对本手册中的遗漏、不准确、或错误导致的损失和损害承担责任。
出版时间2011年1月10日1.天珣实用工具说明 (4)2.天珣客户端诊断工具 (4)3.天珣服务器诊断工具 (5)4.客户端卸载工具 (6)5.Winmd5Hash.exe (7)6.离线同步工具 (9)1.天珣实用工具说明天珣自带有部分供服务器和客户端使用的工具,包括服务器诊断工具、客户端诊断工具等,这些工具放在安装光盘的tools目录中:2.天珣客户端诊断工具天珣客户端诊断工具是当客户端发生异常,例如线程、句柄数过多,CPU、内存占用率过高,CC无法停止服务等,收集客户端软硬件信息以及dmp文件以便分析的一个实用诊断工具。
天珣内网安全风险管理与审计系统实施方案(0000)启明星辰Beijing Venustech Cybervision Co., Ltd.2014 年10月目录1系统实施原则 .............................. 错误!未指定书签。
1.1最大限度降低对用户的影响 ............. 错误!未指定书签。
1.2全面细致规划,分步实施 ............... 错误!未指定书签。
1.3安全策略从简到繁,安全级别步进式提高 . 错误!未指定书签。
2实施计划 .................................. 错误!未指定书签。
3管理服务器部署 ............................ 错误!未指定书签。
3.1总部管理服务器部署 ................... 错误!未指定书签。
3.2厂所独立管理服务器部署 ............... 错误!未指定书签。
3.3部署实施建议 ......................... 错误!未指定书签。
3.3.1管理服务器与客户端通信要求错误!未指定书签。
3.3.2数据存储建议错误!未指定书签。
3.3.3管理员权限划分错误!未指定书签。
3.3.4服务器安装及数据管理错误!未指定书签。
4客户端部署 ................................ 错误!未指定书签。
4.1通过应用准入方式部署客户端 ........... 错误!未指定书签。
4.2应用准入控制部署 ..................... 错误!未指定书签。
4.3建设期客户端部署 ..................... 错误!未指定书签。
4.4维护期客户端部署 ..................... 错误!未指定书签。
5准入控制实施 .............................. 错误!未指定书签。
天珣内网安全风险管理与审计系统安装配置手册(V6.6.9.4)启明星辰Beijing Venustech Cybervision Co., Ltd.2012年11月版权声明北京启明星辰信息安全技术有限公司版权所有,并保留对本文档及本声明的最终解释权和修改权。
本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,其著作权或其他相关权利均属于北京启明星辰信息安全技术有限公司。
未经北京启明星辰信息安全技术有限公司书面同意,任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。
“天珣”为北京启明星辰信息安全技术有限公司的注册商标,不得侵犯。
免责条款本文档依据现有信息制作,其内容如有更改,恕不另行通知。
北京启明星辰信息安全技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠,但北京启明星辰信息安全技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。
目录版权声明 (1)免责条款 (1)信息反馈 ........................................................................................错误!未定义书签。
1综述. (4)2安装环境及要求 (4)3.天珣内网安全风险管理与审计系统主要组件介绍 (6)3.1.服务器组件 (6)3.1.1.中心策略服务器 (6)3.1.2.本地策略服务器 (6)3.1.3.资产管理服务器................................................................错误!未定义书签。
3.1.4.Radius服务器 (6)3.1.5.攻击告警服务器 (6)3.1.6.软件分发服务器 (7)3.1.7.HOD远程桌面服务器 (7)3.2.策略网关组件 (7)3.2.1.策略网关代理 (7)3.2.2.中性策略网关 (7)3.2.3.IIS策略网关 (8)3.2.4.ISA策略网关 (8)3.2.5.EXCHANGE策略网关 (8)3.2.6.DNS策略网关及旁路监听式DNS策略网关 (8)3.2.7.客户端 (9)3.2.8.按需支援管理端 (9)3.2.9.客户端打包程序 (9)4.天珣内网安全风险管理与审计系统的安装 (9)4.1.快速安装 (10)4.1.1快速安装部署 (10)4.1.2基本配置 (27)4.2.自定义安装 (31)4.2.1自定义安装中心服务器 (32)4.3.本地服务器的安装配置 (33)4.3.1添加策略服务器 (37)4.4.策略网关配置 (38)4.4.1添加策略网关代理 (38)4.4.2安装中性策略网关 (39)4.5.远程桌面的系统配置 (46)4.5.1安装添加远程桌面服务器 (46)4.5.2添加远程桌面管理员 (46)4.5.3安装按需支援管理员端程序 (47)4.5.4用户请求管理员远程帮助 (49)4.6.软件分发安装与配置 (49)4.6.1安装软件分发服务器 (49)4.6.2配置软件分发 (50)4.7.安装资产服务器........................................................................ 错误!未定义书签。
天珣内网安全风险管理与审计系统安装配置手册(6.6.9)启明星辰Beijing Venustech Cybervision Co., Ltd.2012年11月版权声明北京启明星辰信息安全技术有限公司版权所有,并保留对本文档及本声明的最终解释权和修改权。
本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,其着作权或其他相关权利均属于北京启明星辰信息安全技术有限公司。
未经北京启明星辰信息安全技术有限公司书面同意,任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。
“天珣”为北京启明星辰信息安全技术有限公司的注册商标,不得侵犯。
免责条款本文档依据现有信息制作,其内容如有更改,恕不另行通知。
北京启明星辰信息安全技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠,但北京启明星辰信息安全技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。
目录1综述天珣内网安全风险管理与审计系统的集端点主动安全防护和桌面管理于一身,具有世界领先水平的产品体系架构,从根本上解决了客户端从蠕虫病毒的主动防御、可靠的补丁管理、非授权访问控制、端点准入控制、桌面运行环境的标准化和自动化管理等一系列问题,帮助用户创建高可靠、高可用和高安全级别的可信任网络环境。
天珣内网安全风险管理与审计系统架构如下图所示。
主要由策略服务器、天珣客户端、策略网关组成。
策略服务器包括中心服务器、本地服务器、补丁分发服务器、radius服务器、告警服务器等组件,所有功能服务器集中管理,组件可根据具体情况增减。
数据库采用SQL SERVER,统一管理报警日志及审计等数据。
2安装环境及要求客户端(Clients)计算机没有很高的系统要求。
客户端软件(也被称CC)可以被安装在Windows 系统之上,包括Windows2000 SP4, Windows Server 2003 和32/64位Windows XP,Windows Vista, 32/64位Windows Server 2008,32/64位Windows 7数据库支持32位 Microsoft SQL Server 2000,32/64位Microsoft SQL Server 200532/64位 Microsoft SQL Server 2008中心服务器(Server)是整个策略架构的管理中心、策略中心。
天珣内网安全风险管理与审计系统实施方案(0000)启明星辰Beijing Venustech Cybervision Co., Ltd.2014 年10月目录1系统实施原则 .............................. 错误!未指定书签。
1.1最大限度降低对用户的影响 ............. 错误!未指定书签。
1.2全面细致规划,分步实施 ............... 错误!未指定书签。
1.3安全策略从简到繁,安全级别步进式提高 . 错误!未指定书签。
2实施计划 .................................. 错误!未指定书签。
3管理服务器部署 ............................ 错误!未指定书签。
3.1总部管理服务器部署 ................... 错误!未指定书签。
3.2厂所独立管理服务器部署 ............... 错误!未指定书签。
3.3部署实施建议 ......................... 错误!未指定书签。
3.3.1管理服务器与客户端通信要求错误!未指定书签。
3.3.2数据存储建议错误!未指定书签。
3.3.3管理员权限划分错误!未指定书签。
3.3.4服务器安装及数据管理错误!未指定书签。
4客户端部署 ................................ 错误!未指定书签。
4.1通过应用准入方式部署客户端 ........... 错误!未指定书签。
4.2应用准入控制部署 ..................... 错误!未指定书签。
4.3建设期客户端部署 ..................... 错误!未指定书签。
4.4维护期客户端部署 ..................... 错误!未指定书签。
5准入控制实施 .............................. 错误!未指定书签。
天珣内网安全风险管理与审计系统技术白皮书目录1. 背景 (1)2. 系统介绍 (2)3. 功能简介 (3)3.1天珣内网安全风险管理与审计系统基本功能 (3)3.2客户端软、硬件资产管理 (3)3.3客户端行为管理 (4)3.4客户端网络访问管理 (4)3.5客户端安全漏洞管理 (5)3.6客户端补丁分发管理 (5)3.7客户端审计和报表功能 (6)3.8客户端快速部属安装、认证功能 (6)3.9系统所需软硬件配置 (6)4. 系统架构 (7)1. 背景常规安全防御理念局限在防火墙、IPS、防病毒网关等网络边界处的防御,安全设施大都部属于网络入口处,在这些“铁将军”的严密把守之下,来自网络外部的安全威胁大大减小。
但是,根据多数网络管理人员所反映的问题是,繁杂而琐碎的安全问题,大都来自网络内部。
事实表明,解决了网络内部的安全问题,效果接近于排除了一半的安全忧患,因此,内部网络安全必须作为整体安全管理的一个重要组成部分来对待。
北京启明星辰信息技术有限公司针对政府机关、保密机构、军队、金融、企业网络等内部网络实际管理要求,在总结十多年对国家部委、集团、中小企业网络的安全管理、安全现场保障基础上专门研制开发了天珣内网安全风险管理与审计系统,并经严格测试通过公安部、国家保密局等相关主管部门的认证。
“震荡波”病毒爆发后,很多部委、企业单位所面临着6大突出问题:1. 如何进行补丁自动分发部署和补丁控制(微软公司SUS/SMS存在功能不足);2. 如何进行外来笔记本电脑随意接入控制;3. 如何防范网络物理隔离泄漏;4. 如何对未安装防病毒软件的终端进行统计;5. 如何对感染蠕虫病毒的计算机快速定位,并强制其断开网络连接;6. 如何有效进行网络IP设备资源管理;7. 如何对终端的安全策略进行统一配置管理;8. 如何审计终端的各种违规行为。
天珣内网安全风险管理与审计系统全面提供针对上述问题的解决方案,协助网络管理人员全面实现网络资源、设备资源、客户端资源和应用资源等方面的管理控制,进行网络隔离度检测、入网设备监控、系统软件(补丁)自动检测分发和违规事件发现、安全事件源(病毒等)定位分析等操作。
天珣内网安全风险管理与审计系统实施方案(0000)启明星辰Beijing Venustech Cybervision Co., Ltd.2014 年 10月目录1系统实施原则1.1最大限度降低对用户的影响部署终端安全管理系统的根本目的,是借助系统所提供的准入控制的技术手段,确保接入的电脑是合法的和符合XX研究院安全策略要求的,最大限度降低不安全的客户端电脑对XX研究院网络和信息资源带来的风险和威胁,保证XX研究院每一个用户的电脑始终处于良好的运行状态,大大降低故障发生概率,从而保证每个用户都能够完全专注在自己的本职业务工作,并大大提高每一个用户的工作效率。
因此,选择和部署终端安全管理系统时,在确保XX研究院安全策略的有效执行的前提下,要最大限度降低对电脑用户在日常工作中的影响,例如减少终端用户在系统的使用过程中的不必要的操作和介入,在用户违反安全策略时进行友好提示,尊重和保护个人隐私,为用户安全网络访问和信息交换保驾护航。
1.2全面细致规划,分步实施终端安全管理系统,作为XX研究院网络安全的基础架构中非常重要的客户端电脑安全管理平台,将涉及到XX研究院内部每一台接受管理的电脑和每一个用户,涉及面广,影响面大。
当然,为了根本上解决客户端电脑的安全管理问题,这样的系统的部署也势在必行,因此在系统部署前需要对系统的实施过程、安全策略的制定和安全管理制度的建立,进行全面系统地规划,并在实施过程中,根据实际环境进行适时调整,从而保证系统和安全策略在XX研究院内部顺利执行下去,实现项目预期的目标,保障内部网络具有更高可用性和客户端电脑的更高安全性。
部署前需要规划的内容包括:内部网络和用户的安全分级和规划,系统部署的次序和周期,针对不同部门或用户角色的安全策略组合,系统安全策略的动态调整等等。
安全不是一蹴而就的,由于该系统涉及面较广,因此系统的实施需要全面规划,分步实施,循序渐进,真正发挥系统的安全保护和主动防御的功效。
1.3安全策略从简到繁,安全级别步进式提高由于XX研究院分支机构、部门和人员较多,对应每一个角色的安全保护级别要求也层次各异,如果为了保证最高的安全性,使用同样一种严格的安全策略,或者为了降低安全管理的工作量,简单的执行一类基本安全策略,都是不合适的。
在规划中要预先基于用户角色确定每个部门、用户或分支机构,确定对应的最合适的安全策略组合,作为系统最终实现的安全管理目标。
在实施过程中,再按照由简到繁的次序,先实施所有用户都必须遵守的安全策略,然后再根据不同分支机构、部门和用户,步进式下发和执行各级安全策略,从而实现安全级别步进式提高,构建立体的、混合模式的终端安全策略管理体系。
2实施计划内网终端合规管理提升是一个循序渐进和不断完善的过程,要兼顾“安全性”和“便利性”,合规管理应“先弱后强”,实施策略应“先易后难”的原则,消除来自业务部门和终端员工的抵触情绪和压力。
因此在安装过程中,我们严格遵循天珣安装“三步走”原则,即:a)通过应用准入推动客户端部署安装,通过友好的提示界面以及强度稍弱的准入控制方式,善意的提醒用户主动安装天珣客户端,并提供给用户下载地址,由其去下载和安装b)配置策略管理受控终端使其进行自身安全状态的完善,目标则是让内网受控终端成为合规安全的终端,保证内网安全建设成功而高效c)启用网络准入,在用户熟悉天珣准入控制系统的特性后再启用网络准入,将会受到最小的阻力,最终完成整个准入体系的关键一步当然,也会有一些部门或区域的安全保护等级要求没有这么高,这时我们可以对其采用适合自己的准入控制方式和安全策略,从而使的整个项目更加人性化。
项目时间表3管理服务器部署3.1总部管理服务器部署院本部内厂所内:两种方式部署管理服务器,一种是逻辑上的集中管理分级授权方式,另一种完全独立的策略管理服务器方式。
天珣内网安全风险管理与审计系统支持多策略服务器架构。
每个服务器服务一个或多个园区。
而这些服务器可以相互备份,在一个统一的控制台接受集中管理。
如果一台服务器宕机,其服务的用户会自动被其他的服务器接管。
每一个管理网段的电脑都有3次从服务器获取规则的机会,它们首先会从Primary的策略服务器获取规则,如果失败,则从Secondary 的策略服务器获取规则,如果再失败,则从中心服务器获取规则,如果还是失败,则使用客户端本地缓存的规则。
分布式多服务器架构使天珣内网安全风险管理与审计系统具有优秀的容错性、可伸缩性,支持的客户端数量从数百个到数万以至更多,而部署极为平滑,性能不受影响。
在本次实施中,需要部署三台策略服务器,一台中心服务器,两台本地服务器。
三台策略服务器都安装在中心机房,要求本次实施的所有的客户端电脑及策略网关都可以通过TCP/IP协议的7890端口访问到策略服务器。
因为中心服务器有日常的管理负荷,建议中心服务器管理3000台终端电脑,本地服务器管理7000台终端电脑。
对于任何一个管理网段,如果其Primary Server为其中一台,则其Secondary Server将被设为另外一台。
3.2厂所独立管理服务器部署独立厂所:完全独立的策略管理服务器方式。
在分布式多服务器架构下,中心服务器是整个系统策略集中存放的地方,本地服务器是进行日常的策略分发的地方。
全系统只需要一个中心服务器,可以有多个本地服务器,中心服务器可以兼作本地服务器。
在本次实施中,两台策略服务器都在院总部的直接管理下,由总部的管理员进行管理。
在今后的实施中,可以在各下级厂所架设本地服务器,由总部的管理员进行全局控制,而由各厂所的管理员进行本地化的管理。
从投资成本上考虑,建议本项服务器都在集中部署在院总部信息中心更有利,院下属各厂所多集中在园区网内网络带宽足以满足集中心管理的需要,因此推荐集中管理的部署方式。
3.3部署实施建议3.3.1管理服务器与客户端通信要求CC与管理服务器的通信列表。
3.3.2数据存储建议采用数据的集中存储模式,便于用户的数据的存储备份管理。
本部及各分支机构的数据全部存储在一台固定的数据库服务器中,省去数据同步的麻烦,增加数据一致性。
3.3.3管理员权限划分三权分立管理在天珣内网安全风险管理与审计系统中,基本设置的操作必须有全局管理员权限才能进行,而普通的策略配置只需要普通管理员权限就可以进行。
一个普通管理员定义的策略,另外一个普通管理员不能看见,也不能使用。
全局管理员定义的策略,其他普通管理员可以使用,但不能修改。
全局管理员可以使用、修改任何一个普通管理员或全局管理员定义的策略。
对全局管理员或普通管理员,都可以设置“只读”属性,该管理员只能读取策略信息,不能增加、修改或应用策略。
在院总部,建议设置三种管理员。
一种管理员是全局管理员,这类管理员由一至二个成员组成,他们负责进行基本设置,或一些全局性的策略。
第二种管理员是普通管理员,主要由他们进行策略配置,他们定义的策略具有本地属性,当今后部署范围扩大,安装了更多的本地服务器,有更多的管理员参与策略系统管理时,他们定义的策略不会被其他管理员使用。
第三种管理员是只读管理员,一般对部门领导设置这种权限,他们可以查看系统,但不需要他们做策略配置。
3.3.4服务器安装及数据管理见附件一。
4客户端部署4.1通过应用准入方式部署客户端4.2应用准入控制部署对于无法实施网络准入控制的区域,可以采用应用准入。
下图是采用应用准入的部署图。
分别在院的DNS服务器,ISA服务器,关键的Windows服务器,关键的Linux服务器等经常被访问的服务器上部署策略网关,当用户电脑访问这些服务器时,策略网关将会检查用户电脑是否运行了天珣内网安全风险管理与审计系统客户端软件,而且是否符合策略规则。
如果不符合,策略网关将拒绝用户的访问,并给出友好的提示。
在实际部署中,可根据情况增加或减少策略网关的部署数量。
天珣已经与启明星辰天清汉马USG实现准入控制互动,由USG作为新的应用准入控制类型。
当终端需要通过USG进行访问时,由USG和天珣联动,只容许认证通过并且安全状态符合要求的终端通过USG进行访问。
4.3建设期客户端部署客户端部署主要采用客户自助安装、后台自动安装、或管理员辅助安装等部署方式。
客户端自助安装可采用策略网关提示安装,网上邻居预安装,邮件提示预安装等方式。
后台自动安装可使用现有的软件分发工具,或用专门的后台安装工具进行安装。
管理员辅助安装是在前面的安装手段对个别用户不能成功部署时采用。
客户端部署依部门顺序分阶段进行,在对每个部门全面部署前,先进行一次终端应用情况调研,针对每个部门的终端使用情况进行详细调研,主要包括:OS、版本、补丁、应用系统、重要数据等其它相关内容。
如果有需要特别注意的地方,就需要制定特别的部署方案。
4.4维护期客户端部署新购置电脑对于少量新购置的电脑,建议在入网之前由管理部门安装天珣客户端;对于批量购置的电脑,建议与电脑厂商协商,在出厂时即安装天珣客户端。
电脑重装操作系统天珣应用准入的一个重要功能是帮助管理员部署客户端。
对于偶尔重装操作系统的终端,可通过应用准入控制由用户自助安装客户端程序。
5准入控制实施5.1应用准入控制实施应用准入介绍天珣系统中,具备其他同类软件不同的关键准入控制组件——策略网关,这个组件可以安装在企业网中一个或多个关键业务系统服务器之上,执行应用层准入控制,可以对来访的终端执行合规检查,如果来访终端非受控或不合规,将被拒绝访问该服务器或业务系统,同时也达到对这些关键服务器和业务系统增强保护的效果。
其中,基于DNS应用准入控制,又根据模式的不同,又可以分为旁路式的DNS准入(此时DNS处于旁路监听模式,无需改变DNS服务器配置或者安装DNS策略网关)和在线DNS准入(在DNS服务器上部署DNS策略网关)。
天珣能够与启明星辰天清汉马一体化安全网关(简称:天清汉马USG)组成UTM2-合规管理方案,实现准入控制联动,由天清汉马USG担当准入控制网关,当计算机终端需要通过天清汉马USG进行访问时,确保只有受控和合规的才能通过天清汉马USG对USG所保护的服务器进行访问。
除此之外,天珣还能够提供可以与用户任意平台的B/S结构的业务系统无缝集成的Web准入控制。
集成的Web准入控制,平台适应能力非常广泛,服务端能够在Windows、Linux、unix下使用。
性能优越,而且部署及其简单,只需把控件加入登录页面上,并且替换了用户名输入控件,进行小量的页面修改即可完成部署。
应用准入的特点i) 应用准入生效是在数据中心的服务器区,对于网络环境中因接入层交换机或汇聚层交换机不支持相应的网络准入认证协议,或者因内网终端合规管理的现实要求,暂时不需要启用最严格的网络准入控制的情况,应用准入将可以代替网络准入作为最佳的终端合规准入控制手段。
