天珣内网安全风险经管与审计系统技术白皮书目录1. 背景12. 系统介绍23. 功能简介33.1天珣内网安全风险经管与审计系统基本功能3 3.2客户端软、硬件资产经管33.3客户端行为经管43.4客户端网络访问经管43.5客户端安全漏洞经管53.6客户端补丁分发经管53.7客户端审计和报表功能63.8客户端快速部属安装、认证功能63.9系统所需软硬件配置64. 系统架构71. 背景常规安全防御理念局限在防火墙、IPS、防病毒网关等网络边界处的防御，安全设施大都部属于网络入口处，在这些“铁将军”的严密把守之下，来自网络外部的安全威胁大大减小。

但是，根据多数网络经管人员所反映的问题是，繁杂而琐碎的安全问题，大都来自网络内部。

事实表明，解决了网络内部的安全问题，效果接近于排除了一半的安全忧患，因此，内部网络安全必须作为整体安全经管的一个重要组成部分来对待。

北京启明星辰信息技术有限公司针对政府机关、保密机构、军队、金融、企业网络等内部网络实际经管要求，在总结十多年对国家部委、集团、中小企业网络的安全经管、安全现场保障基础上专门研制开发了天珣内网安全风险经管与审计系统，并经严格测试通过公安部、国家保密局等相关主管部门的认证。

“震荡波”病毒爆发后，很多部委、企业单位所面临着6大突出问题：1. 如何进行补丁自动分发部署和补丁控制(微软公司SUS/SMS存在功能不足)；2. 如何进行外来笔记本电脑随意接入控制；3. 如何防范网络物理隔离泄漏；4. 如何对未安装防病毒软件的终端进行统计；5. 如何对感染蠕虫病毒的计算机快速定位，并强制其断开网络连接；6. 如何有效进行网络IP设备资源经管；7. 如何对终端的安全策略进行统一配置经管；8. 如何审计终端的各种违规行为。

天珣内网安全风险经管与审计系统全面提供针对上述问题的解决方案，协助网络经管人员全面实现网络资源、设备资源、客户端资源和应用资源等方面的经管控制，进行网络隔离度检测、入网设备监控、系统软件（补丁）自动检测分发和违规事件发现、安全事件源（病毒等）定位分析等操作。

2. 系统介绍天珣内网安全风险经管与审计系统协助网络经管人员进行网络和设备资源、客户端软硬件资源、客户端行为和客户端病毒和补丁方面的经管控制，如网络隔离度检测、入网设备监控、系统软件（补丁）检测和违规事件发现、安全事件源（网络病毒等）定位分析等，应用构架支持局域网、广域网，使用效果最佳。

真正意义上的解决：1、移动设备（笔记本电脑等）和新增设备未经过安全检查和处理违规接入内部网络，未经允许擅自接入电脑设备会给网络带来病毒传播、黑客入侵等不安全因素；2、内部网络用户通过model、红外设备、无线设备或蓝牙设备等进行在线违规拨号上网、违规离线上网等行为；3、违反规定将专网专用的计算机带出网络进入到其他网络；4、网络出现病毒、蠕虫攻击等安全问题后，不能做到安全事件源的实时、快速、精确定位、远程阻断隔离操作。

安全事件发生后，网管一般通过交换机、路由器或防火墙可以进行封堵，但设置复杂，操作风险大，而且绝大多数普通交换机并没有被设置成SNMP可经管模式，因此不能够方便地进行隔离操作；5、大规模蠕虫或木马病毒事件发生后，网管无法确定病毒黑客事件源头、无法找到网络中的薄弱环节，无法做到事后分析、加强安全预警；6、静态IP地址的网络由于用户原因造成使用经管混乱、网管人员无法知道IP地址的使用、IP同MAC地址的绑定情况以及网络中IP分配情况；7、自动检测网络计算机系统漏洞，弱口令等问题，并能够自动将系统所需要补丁分发到网络每一台计算机，为计算机自动打补丁。

8、各种软件自动分发功能，脚本定制开发；9、大型网络系统中区域结构复杂，不能明确划分经管责任范围，进行多用户经管；10、网络中计算机设备硬件设备繁多，不能做到精确统计，实现节点桌面控制；11、控制用户随意使用各种USB移动设备而导致的机密文件外漏。

3. 功能简介3.1 天珣内网安全风险经管与审计系统基本功能⏹客户端分组经管功能：可按客户端各种软、硬件特征、IP范围、注册信息等进行进行分组经管。

⏹策略经管功能：可根据时间段和时间点定制策略使用或禁止使用的触发条件。

并可根据创建区域、自定义组、操作系统、IP范围、和按照条件搜索的设备进行策略分组分发经管。

⏹日志功能：记录系统登陆、操作及客户端违规日志，可进行模糊查询，并支持按经管员自定义字段进行报表导出。

⏹全网统一升级：经管中心升级后，全网客户端程序即自动升级。

⏹转发代理功能：为在软件分发（或补丁分发）的过程，尽量减少消耗网络资源，保证客户端可从其他客户端下载分发软件。

⏹终端代理扫描功能：各个VLAN中的注册客户端可触发扫描功能发现网络中的设备信息，并上报到服务器，减小了网络复杂性带来的部署难度，并可发现安装个人防火墙的非法接入设备。

⏹多级部署：经管中心可多级部署，由上级经管中心统一配置经管策略，由下级经管中心将违规报警信息的级联上报。

3.2 客户端软、硬件资产经管⏹硬件资产经管功能：自动收集网络中各种硬件设备的精确配置信息，包括CPU型号及主频、内存型号及大小、硬盘型号及大小、设备标识、主板信息等硬件信息，并可手工添加硬件设备的描述信息。

⏹硬件设备控制功能：控制外设的使用，如对软驱、光驱、USB移动存储、USB全部接口、打印机、Model、串口、并口、1394控制器和红外设备进行启用或禁用等操作。

⏹软件清单经管：自动收集安装在每台计算机上的每种应用程序信息，包括安装的操作系统和应用软件种类、版本号以及安装时间等信息。

⏹软件安装黑白名单控制：可制定软件安装和进程的黑白名单，并对安装未经许可的应用软件的问题计算机进行告警、断网等处理，对运行未经许可的进程进行查杀，同时将违规日志上报服务器，并支持按条件查询。

⏹软件分发安装：向指定客户端（用户组）分发文件，可进行后台安装（或根据软件的运行参数执行），同时将文件分发和安装的状态上报服务器，并支持按条件查询。

3.3 客户端行为经管⏹移动设备行为审计：可控制移动设备（USB存储、USB光驱或USB软驱）的读、写操作，并对拷进、拷出的文件进行审计处理，同时支持违规日志的条件查询。

⏹IE访问检查：审计用户访问的URL地址，同时将违规日志上报服务器，并支持违规日志的条件查询。

⏹终端安全策略检查：检查终端设备的开机密码是否为弱口令、口令强度、屏保状态、密码保留周期等安全要求，并可实时监控用户或用户组权限的变化及注册表的变化，对于不符合安全要求的行为进行警告或上报服务器，并支持违规日志的条件查询。

⏹打印输出审计：设置不允许打印的文件扩展名⏹网络共享输出：可禁止将指定扩展名的文件拷贝到网络盘。

⏹文件内容检查：审计终端设备上的文件内容，对于包含经管员制定的黑名单上关键字的文件可进行警告或上报服务器，并支持违规日志的条件查询。

⏹IP-MAC绑定：对被控终端设备和非被控终端设备进行IP-MAC绑定，并实时阻断非法篡改IP或MAC地址的非法主机，或对被控终端进行IP、MAC及网关地址的恢复，同时将违规日志上报服务器，并支持违规日志的条件查询。

3.4 客户端网络访问经管⏹违规入网经管：对未经允许、擅自接入网络的设备进行实时的警告和阻断，防止病毒传播、黑客入侵等不安全因素。

⏹违规外联经管：实时监测终端设备通过model、红外设备、无线设备或蓝牙设备等进行非法外联的行为，可对其进行实时阻断、警告等处理，同时将违规日志上报服务器，并支持按条件查询。

⏹内建个人防火墙：系统内建个人防火墙，可对终端设备的本地端口、远程端口、TCP、UDP、ICMP等网络应用进行全网的统一经管，并可进行IP区域的访问控制。

3.5 客户端安全漏洞经管⏹终端流量经管：实时监测终端流量阈值和并发数，对超过设定阈值和并发数的终端进行实时阻断、警告等处理，同时将违规日志上报服务器，并支持按条件查询。

⏹客户端防病毒软件监控：可监控主流防病毒厂商的防病毒软件在客户端的安装情况并以图表的形式直观表示，报警未安装杀毒软件客户端。

⏹客户端运维情况监控：检测终端设备的ＣＰＵ、硬盘(含每个硬盘分区)、内存等的资源占用情况，可自主设定阈值，以确定终端系统资源占用是否达到上限，是否应该升级。

⏹进程异常：对未响应进程和意外退出进程进行（如退出、退出并重起等）处理。

⏹客户端脚本分发：可自定义xml脚本操作并进行分发，修改客户端如注册表等配置，以便实现特定经管操作。

3.6 客户端补丁分发经管⏹集成补丁下载服务器：可对补丁集中下载，并针对物理隔离的内网，使用增量式补丁自动分离技术，在外网分离出已安装、未安装补丁，分类导入，即仅对内网的补丁进行“增量式”的升级，减少拷贝工作量。

⏹内建补丁分析器：自动建立补丁库，支持补丁库信息查询。

针对下载的补丁进行归类存放，按照不同操作系统、补丁编号、补丁发布时间、补丁风险等级、补丁公告等进行归类，帮助经管人员快速识别补丁。

⏹补丁自动/手动分发：支持用户自定义补丁策略自由配置分发，基于补丁级别、补丁类型（系统补丁、IE补丁、应用程序补丁）以及网管自定义补丁等制订策略，自动或手动发送至客户端后统一执行。

⏹补丁下载代理转发：系统提供补丁自动代理转发功能，提高补丁下发效率，减少网络带宽的占用率，节省网络资源。

⏹补丁安全性测试：补丁分发前测试，支持网管测试组定义进行补丁安全性测试，提高打补丁的成功性、安全性、可靠性。

3.7 客户端审计和报表功能⏹能够自动生成操作系统软件安装、补丁经管、硬件资产经管等日通报：通报汇总操作系统软件、补丁安装及报警情况。

用户可通过固定表格和定制模版（组态报表）两种方式得到报表。

固定报表提供基础的、重要的报表，而定制模版可以由用户自定义，产生用户所需要的统计报表。

⏹系统报警统计报表功能：网管可以按照报警种类选择性接收系统报警信息，并提供多种报警方式通知网管。

⏹级联经管报表报警：支持设备信息级联经管、违规报警信息级联上报，为实现多级经管提供扩展。

⏹报表打印、输出：能够将所有信息按照各种组合查询灵活生成报表、提供多种形式的输出、打印功能。

3.8 客户端快速部属安装、认证功能⏹采用级联式网页分发注册，网络中的客户端访问本地的WEB网站进行在线或离线透明注册安装。

⏹客户端程序占用资源均极小，CPU占用率小于5%、内存占实际内存约18M、虚拟内存2M。

⏹系统本身具备认证功能，客户端通过服务器认证后才可正常使用。

⏹经管员可以远程批量卸载客户端程序。

3.9 系统所需软硬件配置⏹系统经管主机：专用服务器或高档PC服务器，Windows2000 Server（SP4）以上操作系统（安装IIS），SQL SERVER 数据库。

基本配置：P4 2.0G 以上CPU，512 M以上内存，硬盘40G。