天機辦公安全平臺（簡稱：天機）是有安科技推出的一款全方位辦公安全防護產品。天機提供了DNS安全服務器功能，可以作為企業內部安全DNS服務器使用，提供域名解析和安全過濾功能。天機云訪問安全代理（CASB）功能能有效保護各種辦公服務，包括但不限于OA、ERP、HR、BOSS等辦公系統的數據水印、數據脫敏、入侵防護、訪問控制等。天機安全Web網關（SWG）功能可以對員工上網行為進行安全管控，包括訪問控制、內容過濾、數據防泄漏、流量控制等，為企業營造綠色健康、安全穩定的辦公上網環境。不僅如此，還可以通過天機的客戶端管理終端安全（EDR）。本產品是基于有安科技團隊多年豐富安全攻防實戰經驗研發而成，為政府、企事業單位全面保護辦公安全、滿足國家法律要求提供完整的安全解決方案。

 ^技術優勢

• 先進的無密身份認證

  天機采用當前最新的FIDO2無密身份認證PassKey和TOTP動態口令技術拋棄老舊傳統密碼，可以完全解決用戶弱口令、賬戶被盜、網絡釣魚攻擊等身份認證風險難題（認證私鑰存儲于TPM芯片當中），并且相比傳統用戶名密碼為基礎的認證方式，易用性得到極大改善，用戶無需記憶各種紛繁復雜的密碼，使用Windows Hello、生物指紋、FaceID等即可一鍵單點登錄（SSO）各種辦公系統。

•  便捷的DNS和證書服務

  天機內置DNS域名解析和SSL證書簽發功能，企業無需購買商業域名和SSL證書。通過天機的安全DNS服務器，企業可以隨意自定義任意內部域名包括.com、.net、.org等，并可以對外部DNS解析提供安全過濾。天機內置證書中心服務，可以自動對內部域名提供可信的https證書簽發，所有CASB中站點將自動切換為HTTPS加密訪問，并在終端電腦瀏覽器上顯示為綠色可信連接。

•  全面的數據保護技術

  天機創新性的運用CASB動態網關過濾和證書生成技術，對內各種辦公服務無需做任何改造，即可實現對網頁添加數字水印、對API和網頁進行動態數據脫敏等功能，很好的照顧了各種老舊或無法改造的第三方辦公系統，并且可以攔截各種Web安全攻擊，提供和Web應用防火墻-WAF防護功能。免除客戶因數據被盜或遭遇黑客攻擊而觸犯法律合規處罰的痛苦，保護企業聲譽。

•  高級的上網管理功能

  天機對比一般上網行為管理產品，內置SWG可以高效可以高效無感知解密https流量，并且支持了8大類，包括惡意軟件、釣魚網站、挖礦域名、成人網站、欺詐網站、賭博網站、被黑網站、廣告隱私的攔截功能，為員工提供綠色、安全、健康、穩定的上網環境。可對外發內容和訪問的網頁進行關鍵詞過濾和審計，滿足法律監管合規要求。還提供了數據防泄漏和帶寬流量控制功能，有效提升上網安全和辦公體驗。

• All in one終端安全管理功能

  天機客戶端集成辦公服務導航、零信任網絡、終端安全、資產管理、軟件商店、數據防泄漏等眾多功能，解決了傳統終端產品各自為戰、功能單一、維護困難、成本高昂等一系列問題，全面提高辦公安全效率和節約企業成本。

 界面預覽

    天機為你提供了簡單易用的Web后臺管理界面和無需密碼的高級登錄體驗，注冊登錄后所有管理操作都可以在瀏覽器中完成，如下：

•  管理后臺

• 客戶端

  

使用場景

天機可以作為無密身份認證網關、單點登錄系統SSO、數據安全網關、上網行為網關等，廣泛應用于無密身份認證、數據安全、上網行為管理、堡壘機、數據庫管理DMS等多種場景。

 身份認證

你是否在為員工賬號被盜、釣魚攻擊、忘記密碼、缺乏多因素認證而煩惱？是否在為各個業務系統賬號孤立無法統一而郁悶？是否在為缺乏內部網站缺乏TLS證書和自定義域名而痛苦？有了天機這一切迎刃而解！

1. 天機采用最新FIDO2無密身份認證機制，私鑰存儲于設備可信硬件中，黑客無法盜取，安全性超越動態口令OTP等常見的多因素認證方式。
2. 有了天機，指紋和人臉等成為認證方式，認證綁定物理設備，無需為頻繁輸入密碼和忘記密碼而煩惱，登錄體驗大大提升。
3. 天機具備TLS證書簽發認證中心功能，通過天機可以讓原本沒有https證書的網站擁有自定義域名和可信域名證書，隨意使用任何內部域名。
4. 配合天機提供的API可以一鍵登錄各種業務系統，天機API兼容傳統JWT認證技術，打造單點登錄SSO系統，并天然具備多因素認證能力。

 數據安全

你是否碰到過員工將內部機密數據截圖和拍照外發，造成重大泄露危機，影響股價和公司聲譽？是否有過員工收受外部賄賂，幫他人查詢敏感個人隱私數據？是否出過員工離職前，通過爬蟲盜取大量公司數據？有了天機這一切不再是問題！

1. 天機具備在任何網頁中植入數字水印的技術，原網站無需任何改動即可動態加入水印，可以有效震懾違紀員工和事后進行數據泄露溯源。
2. 獨有的腳本級數據脫敏引擎，讓天機可以對各種復雜的網頁和API進行各種數據脫敏操作。原網站無需任何改動，讓老舊無人維護修改的系統也 能脫敏數據，防止內部員工通過手機號、姓名等信息定位查詢更多用戶隱私數據。
3. 天機擁有的異常檢測功能，可以動態監控多種企圖獲取內部數據的異常行為，包括Web安全攻擊、數據爬取、異常時間段訪問敏感系統、嘗試訪問沒有權限的系統等，可以及時發現數據泄露并止損和追責。

 上網安全

你是否曾因員工無意訪問惡意軟件網站，而導致至辦公網大量感染勒索病毒而痛心疾首？是否曾因員工辦公時間在微博等平臺發布涉政、涉恐、涉黃、虛假、詐騙言論，遭公安機關調查而無可奈何？是否曾因員工上傳大量代碼、商業機密和其它內部敏感數據到外部郵箱、網盤，無法杜絕而心灰意冷。有了天機這一切都可以從容應對！

1. 天機支持8大類有害域名防護，包括惡意軟件、釣魚網站、挖礦域名、成人網站、欺詐網站、賭博網站、被黑網站、廣告隱私。
2. 天機內容審計功能可用于對論壇、微博等發帖內容進行監控審計，避免非法言論傳播，審計留存用戶上網日志，滿足國家網絡安全法要求。
3. 天機數據防泄漏DLP功能，可對文件上傳和對外內容發布產生的數據泄露場景做防護，可以細粒度的限制可上傳文件的網站，并對上傳的文件進行審計功能。
4. 天機帶寬控制功能，可有效限制員工的下載和上班摸魚觀看無用視頻而產生的網絡流量，保障整個辦公網絡暢快上網體驗。

 終端安全

你是否因終端安全得不到有效管理，而導致病毒感染和數據泄露事件頻發而惴惴不安？是否因員工電腦安裝大量第三方安全產品，導致電腦卡慢和維護問題眾多且價格高昂而苦惱？是否曾因員工安裝盜版軟件，導致軟件企業追溯巨額賠償資金，無法追查而無可奈何。有了天機這一切都可以完美解決！

1. 概覽功能：該功能提供了統一辦公服務訪問入口和自助工具等功能，方便辦公和反饋提交問題。
2. 零信任網絡功能：該功能提供了零信任網絡訪問控制等功能，通過設備、身份、應用三要素的上下文狀態動態控制用戶訪問權限。
3. 終端安全功能：該功能提供了網絡安全、病毒木馬、應用軟件、設備基線等功能，保障終端設備自身安全，滿足等保等安全要求。
4. 軟件商店功能：該功能提供了統一的軟件下載渠道功能，解決盜版軟件和員工下載到病毒木馬程序的風險。

天機主要由兩部分組成：天機網關以及天機客戶端。網關用于身份管理、單點登錄、雙因素認證、DNS安全、云訪問安全代理、安全Web網關、數據防泄漏等，可以集中管理并過濾網絡流量，客戶端負責終端安全、根證書安裝、流量代理等功能。

注意：如有疑問，可加入 有安科技微信群 與社區用戶共同討論，或在 天機論壇 內發帖求助。

安裝天機前請確保你的系統環境符合以下要求

• 操作系統：Linux
• CPU 指令架構：x86_64
• CPU 指令架構：支持 ssse3 指令集
• 最低資源需求：1 核 CPU / 1 GB 內存 / 5 GB 磁盤

必須提前準備一個可以通過SMTP發送郵件的郵箱賬號(注意：大部分免費郵箱需要單獨開通SMTP功能，并需要設置專用密碼才能登錄，這里推薦 完美郵箱 )，安裝過程中需要配置使用。

以 root 權限執行以下命令，根據命令提示輸入相關配置信息，幾分鐘即可完成自動安裝。

bash -c "$(curl -fsSLk https://tianji.uusec.com/download/latest/setup.sh)"

安裝成功后會有提示信息，現在你需要安裝客戶端了

天機客戶端支持Windows、Linux、macOS系統。天機支持有客戶端模式和無客戶端模式，如若不安裝客戶端則需要手工推送根證書安裝到終端電腦，并在防火墻或路由器上將80、443端口流量重定向到天機網關ip。

安裝天機客戶端前請確保你的系統環境符合以下要求

• 微軟系統：Windows 10/11 AMD64/ARM64
• 蘋果系統：macOS 10.13+ AMD64、macOS 11.0+ ARM64
• Linux系統：Ubuntu 22.04+ AMD64/ARM64

• 微軟系統：https://tianji.uusec.com/download/latest/tianji-setup.exe
• 蘋果系統：https://tianji.uusec.com/download/latest/tianji-setup.pkg
• Linux系統：僅供商業定制用戶

請提前在手機上安裝一個動態口令軟件如 FreeOTP 或 Google Authenticator 等

1. 運行后點擊”網關設置“按鈕，在設置界面輸入網關ip地址，然后依次點擊”應用“、”確定“按鈕。
2. 點擊”登錄注冊“按鈕，在打開的瀏覽器中輸入郵箱后點擊”注冊“按鈕發送驗證碼，將郵件收到的驗證碼輸入下方輸入框，點擊”驗證“按鈕。
3. 打開手機中動態口令軟件掃描第二步中最后彈出的二維碼錄入動態口令密鑰，輸入6位數字動態口令后點擊”登錄“按鈕，成功后即可看到個人信息頁面，首次注冊的用戶默認為系統管理員賬戶。
4. 在天機客戶端點擊”啟動停止“按鈕，開啟客戶端系統代理。瀏覽器打開 https://tj.local/ ，輸入用戶名和動態口令后進入天機網關管理后臺。
5. 客戶端DNS配置：方式一，進入企業路由器DHCP服務器設置，將“首選DNS服務器”修改為天機網關ip，所有辦公電腦再次聯網時會自動切換為天機安全DNS；方式二，本地電腦手工設置“首選DNS服務器”修改為天機網關ip，需要每個員工都進行配置。

注意：由于天機使用了獨特的單點登錄認證技術，部分瀏覽器需要單獨進行設置，否則瀏覽網頁可能出現異常。Safari 瀏覽器請在“偏好設置”中關閉”阻止跨站跟蹤“，Firefox 瀏覽器請在“隱私與安全” -> "增強跟蹤保護" 自定義設置中關閉”跨網站跟蹤性 cookie“。

更多詳細信息，可以訪問官網：https://tianji.uusec.com/