随着企业业务的发展，以及上市的运作，对信息化建设要求越来越高、越全面。基于此种情况，企业IT的桌面标准化及内部网络安全、审计也面临挑战。尤其是一些在美国纳斯达克上市的公司，SOX(萨班斯法案)404条款关于内部控制的要求更促使企业在内部网络安全、管控、流程、审计等方面加快建设以满足之。

　　笔者所在的企业是一家外商独资且上市的企业，虽然非在纳斯达克上市，但在内部网络建设及安全管理等方面也采用了一些解决方案来保证内部网络安全、终端安全、应用业务安全及做到可控、可审计、合规等。但在桌面标准化方面尝存在一些不足的地方，如软硬件资产信息的管理、软件的分发、系统补丁的管理、终端的网络准入及安装软件的合法性、及远程协助终端、审计报告等。

　　相信多数企业也面临同样的困惑，也是基于这些现状，力求在市场上寻求一些解决方案，有需求就要去测试这类的解决方案，也因此拿到了国内知名的在安全行业有着成熟及丰富解决方案的公司启明星辰的名为“天珣内网安全风险管理与审计”的解决方案进行测试。

　　天珣内网安全风险管理与审计的解决方案集终端主动安全防护和桌面管理于一身，且有世界先进水平的产品体系架构，从根本上解决了客户端从蠕虫病毒的主动防御、可靠的补丁管理、非授权访问控制、端点准入控制、桌面运行环境的标准化和自动化管理等一系列问题，帮助用户创建高可靠、高可用和高安全级别的可信任网络环境。

　　启明星辰的这套解决方究竟是否如其所述的那样的，能不能真正满足企业内网安全管理及桌面标准化的需求呢，接下来就通过在测试环境中部署及应用来一探究竟。

　　本文将通过以下几个步骤来进行：

　　一、介绍天珣解决方案的架构及测试环境

　　二、基本配置及WEB登录

　　三、测试的功能点

　　1、 资产管理及变更

　　2、 软件安装管理

　　3、 防病毒软件策略

　　4、 准入控制

　　5、 终端审计与控制

　　6、 软件分发

　　7、 其它功能

　　四、测试总结

　　一、天珣解决方案架构及测试环境介绍

　　1、天珣解决方案架构

　　A、系统架构如下图所示，主要由策略服务器、天珣客户端、策略网关组成。

　　整个天珣解决方案所用到的服务器角色均可以直接接入网络，无需更改现有网络架构。但建议在安装部署之前一定要设计好系统架构，尤其公司有多个网关及分机构时。

　　B、如下图所示为天珣解决方案架构的体系架构。

　　在体系架构中的角色分别介绍如下：

　　1) 中心服务器(Center Server):所有策略规则集中存放的地方，系统中唯一开放了配置用户界面的服务器。管理员可以从WEB登录到中心服务器，进行策略配置，报表查询。

　　2) 本地服务器(Local Server):本地服务器是客户端(CC)日常取规则的地方，也是CC发送报表的目的地。本地服务器从中心服务器同步得到策略。在本测试环境中本地服务器的角色由中心服务器担负。

　　3) 下载服务器：是供客户端下载各种运行软件，windows service pack，HotFix，防病毒码以及策略系统本身的安装程序的Web服务器，下载服务器可由策略服务器兼任，也可以是单独的服务器。

　　4) 客户端(CC)：安装在每个被策略管理的用户的电脑上的代理程序。执行策略的检查，从本地服务器上取规则，向本地服务器发送报表，当用户不满足策略规则时，向用户提供相关信息。

　　5) 策略网关代理(PluginProxy)：管理所有关联的策略网关，策略网关代理从本地服务器上取插件规则。其主要作用在于可以将安装在多个应用服务器上的有相同规则的策略网关交给同一个策略网关代理管理，从而简化管理员的配置，同时各个策略网关可相互共享CC的状态。

　　6) IIS策略网关、ISA策略网关、Exchange策略网关以及中性(通用)策略网关：策略检查点，与CC配合强制用户满足策略规则。策略网关从所属的策略网关代理上取规则。

　　2、测试环境介绍

　　根据前面的介绍的系统及体系统架构，并参考企业环境的现状及需求，搭建了一套实验环境，这套环境是在一个名为afopcn.com域中的。

　　天珣解决方案不但支持域，而且更支持工作组方式的基础架构，这也为不是域环境的中小企业提供了部署上的便利性。

　　以下是各IP地址分配及角色

　　这套测试环境是根据公司对桌面标准化方面的需求定制的，同时，也是要充分利用天珣产品解决方案所提供的功能。

　　公司在桌面标准化方面的要求是：软硬件资产的管理(以及硬件资产变更)、远程协助及控制、终端安全准入、软件安装许可、防病毒、软件分发等。同时也考虑到了一些公司存在有分支公司，人员出差较为频繁，如何在一定的时间段内管理这些机器的补丁分发及防病毒定义码的更新等。

　　在这套测试环境中，只使用了一台安装有windows server 2003的机器担负了多个角色，在实际生产环境中，可能需要添加本地服务器或下载服务器角色等。安装过程较为简单，只要按照所附带的安装配置手册便可顺利完成(但进行客户端安装程序制作时，要保证此机器上安装有winrar程序)。

　　下图便是安装好后的管理登陆界面

　　由图中右下部分可以看到安装的组件及其运行状况，在上部分则以图示的方式显示了当前的客户端总数及受控情况等，而在左侧可以对所有的功能进行操作。整个管理界面管简单明了，操作方便。

　　注意：在安装完服务器角色服务之后，会有个客户端打包的工具运行，可以定制客户端的安装包。然后把这些客户端在XP机器上运行便可。

　　二、基本配置及WEB登录

　　在配置所有的策略之前，首先要完成配置策略服务器、管理网段和IP组。而这些配置均在基本配置中进行设置。

　　管理网段：是一个大的网段范围，一个管理网段可以包含多个Ip组。一个本地服务器可以为多个管理网段。

　　IP组：IP组是设置规则的最小单位，一个管理网段划分为多个IP组使配置管理更加灵活。同时一个主机也可以配置成一个IP组。

　　在本测试中，管理网段为安装时所选择的“初始化管理网段”：192.168.2.1----192.168.2.255。

　　1、 基本配置

　　基本配置主要是对策略服务器、管理网段、IP组进行配置，其他选项依据需求进行。本测试中只进行了此三方面的修改。

　　三者关系示意图如下：

　　A、 策略服务器配置

　　B、 管理网段配置

　　由于本测试环境中只有一个网段，故保留默认。如果想要更改，只需点击“初始管理网段”就可以进行编辑了。亦可通过添加按纽添加新的管理网段。

　　注意：新的管理网段的添加不能包含在现有的网段。

　　C、 IP组配置

　　根据机器角色的不同，分为两个IP组：server及client组，其中server组是针对服务器的，client组是针对操作系统为xp\windows7的客户端组。

　　同样的，如果想修改或是添加请参考B中管理网段的操作。

　　注意：只有设置了IP组，才能使准入控制或是终端审计等有了作用的对象，所以如果一个公司有多个业务应用分组或是IP分段，请依据可采用不同的策略进行IP分组。如不同应用服务服器、不同的部门等，且IP分组可以跨不同子网进行。

　　D、 全局参数配置

　　全局参数来确定客户端及服务器的一些开关性质的内容和最基本的参数，此处的参数决定策略系统的运行方式和后台交互的频率，以及全局范围内的默认设置。

　　基本配置的这些操作是根据测试前进行需求确定后进行的一些相关的配置，再次强调，一定要根据企业需求进行测试及配置，而且在这套解决方案中也提供了基于角色的管理，不同的管理员可以担负有不同的管理任务等，对安全及合规性要求较高的公司就需要好好在这方面做规划了。

　　2、 WEB登录

　　在试用过程中，此解决方案在用户体验方面做的还是不错的，很贴近中国企业及用户。其中之一便是BS架构的登录管理，无需管理客户端代理的安装，只要有网络及IE的地方就能进行连接服务器的管理。

　　输入http://服务器IP地址：8833。就可以进行登录及管理了。

　　三、测试的功能点

　　要测试什么，怎么测，这是部署之前就要决定的，基本上大部分的企业在桌面标准化、终端安全、审计及报表方面都有相类的需求。

　　测试需要全面、深入的、长时间的去进行，这样才能发现问题，从而确定此解决方案是否适用。本次测试并没有完全按照此去进行，但所测试的也足以说明功能了，愿能给大家一些帮助。

　　注意：以下测试的功能点，并没有按照上图中管理功能列表进行，只是摘取了几个被认为公司极需要的功能进行的。

　　1、 资产管理与变更

　　资产管理，主要针对的是硬件资产，也就是所有安装了客户端程序的机器的配置及操作系统版本，对大多数企业来说，公司电脑的硬件配置如何管理是一大难题，尤其是PC较多，且变化较快的。

　　下图显示了资产信息，可以分部门显示。

　　如果点击每一台主机名，亦能看到更详细的资产列表。

　　EXCEL表，在每年资产盘点中，这是一个很有用的。只是在EXCEL表中不能看到详细的资产信息，这是美中不足的地方，但愿能在以后的版本或补丁中有所增强。

　　通过这个功能，可以分部门显示这些公司的机器及机器配置，同时亦能导出到

　　如果机器硬件配置有了变化，也能在资产管理功能模块中显示出来，且描述了具体硬件的变化，选中之后，可以确认这些变化，在没有新的变化前亦不再显示。

　　2、 软件安装管理

　　软件安装管理属于“安全基线”功能模块的一部分，主要设置客户端上必需安装的软件(软件安装红名单)、不能安装的软件(软件安装黑名单)、只能安装的软件(软件安装白名单)。

　　点击子功能模块“软件安装黑名单”标签中的“添加”按钮，添加不能在客户端安装的软件如QQ。并应用“Client”IP组(在应用到IP组选项进行设置)。

　　QQ进程，此操作和此类似。

　　同时，亦可在进程中设置不充许运行

　　根据在“基本配置”中的“全局参数”中的设置提示周期，可以很快看到QQ软件将被显示：

　　3、 防病毒软件策略

　　防病毒软件策略可以控制流行的防病毒软件的程序版本和病毒码版本。目前支持常见的如symantec、趋势、MacFee、瑞星、微软等。

　　4、准入控制

　　在此解决方案中，准入控制可以有几个方面的配置，如网络准入、应用准入、ARP准入、客户端准入等。

　　下图显示了启用“客户端准入”。

　　注意：“客户端准入”是和“安全基线”中的软件安装管理、进程管理、防病毒软件策略相关联的。“安全基线”是“客户端准入”得以实现的基础，也就是说需在“安全基线”中设置后才能在“客户端准入”启用后得以实现。

　　IE准备访问网站时，由于“客户端准入”生效而进行的提示。

　　下图显示了在客户端打开

　　5、 终端审计与控制

　　终端安全审计与控制有文件、打印、网站三方面。

　　网站审计与控制，主要是控制定义的网站能否访问并记录。如下图，禁示访问含有rickyfang的网站。

　　在“信息中心”模块中的审计信息中，可以看到网站访问审计中不充许访问的网站www.rickyfang.net(含有关键字rickyfang)

　　6、 软件分发

　　软件分发在天珣产品功能模块中属于相对比较独立的一个功能，其主要用于对受控终端进行统一的软件或是文件的分发。

　　软件分发不仅对可执行文件EXE，标准MSI等安装程序进行分发，也能直接下发文件或文件夹，并可针对判断条件进行设置，便于对执行过程中的任何问题进行监控。

　　导航至“桌面运维”、“软件分发”，添加一个安装winrar的任务。

　　在受控客户端就会看到一个软件分发的提示，点击“是”按软件的正常安装顺序进行便可。

　　7、 其他管理

　　除了上述的几项常见且重要的管理，在此解决方案中还有其他不错的功能模块值得使用。

　　A、“桌面运维”中的“终端实时”操控模块，可以查询服务、进程、网络连接等。

　　B、“信息中心”中的“审计信息”模块，可以看到一些常见的审计信息。

　　C、“信息中心的”中的“桌面运维”模块，可以查询指定终端的资源使用情况，并可导入不同的文件格式进行保存。

　　四、测试总结

　　本次测试虽然并没有针对此天珣产品解决方案进行面面俱到的测试，但企业常见的功能需求均进行了测试，有以下几点分享：

　　1、 天珣产品解决方案的功能针对性较强，基本上涉及是企业在桌面标准化及终端准入及审计方面的需求。完全可以作为中小企业进行内网安全加固及管理、审计的解决方案。

　　2、 无论是产品的安装文档及使用手册，还是服务器及客户端的诊段工具，都非常易于明白及易于使用。

　　3、 用户体体验较好，安装步骤简单快捷，利于快速部署。

　　4、 对于审计功能来说较为全面，但在报表方面有不足之处在于不能统一集中汇总，如受控端的审计信息不能集中显示在一张图表中等。

　　5、 没有软件资产方面的统计，且硬件资产不能在导入的表格中显示较为详细的硬件配置等。

　　6、 如果能通过不同的本地服务器内置对受控端的远程协助，会更好。

　　7、 由于没有进行大规模的测试，不知在有较多PC且分部地区较广的企业部署此解决方案时运行效果会如何，性能上又如何(由此也建议可进行相对较长时间且深入的测试)。

　　所谓适用与否，是要大家根据企业的内网管理现状定需求，然后确定要测试的功能模块的。大家不防测试下启明星辰的天珣内网安全风险及审计系统解决方案。也许，它能为您带来IT管理成本的降低及合规。