用户需求：
    以网络安全为代表的全球性信息化浪潮日益深刻，信息网络技术的应用正日益普及和广泛，应用层次正在深入，应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展，典型的如行政部门业务系统、金融业务系统、企业商务系统等。伴随网络的普及，安全日益成为影响网络效能的重要问题，而网络所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求。
    信息网络系统不仅要做到不受来自外部的的入侵，对于内部的各种威胁也需要引起做够重视，往往用户网络出现问题是由于内部人员导致。还有像企业关心的员工上网行为控制、企业的带宽使用情况管理、内部人员机密泄露问题等，已成为企事业单位信息化健康发展所必须要考虑的重要事情。
    行业用户目前网络状况仍然面临着下面几方面的需求和挑战：

需求特点：
◎避免企业的内部机密外泄的需求
    如今，人们对网络安全的意识日益深入，防火墙、入侵检测、入侵防御、信息加密等安全产品也逐步得到认可，但是这些产品有一个共同点：防外不防内。正是这一特点，很多用户的泄密事件时有发生。如：2002年，原华为公司传输部技术人员王志骏、刘宁、秦学军因与华为公司发生法律纠纷。华为称这几名员工窃取了公司的核心技术，以自主创业为名离开华为后，他们在上海成立了上海沪科科技有限公司，并将窃取的核心技术资料卖给了华为公司的直接竞争对手。2002年8月，深圳市检察机关批准逮捕王志骏等人，并正式立案。
    在科研军工行业，企业的核心技术就是企业可以立足，赖以生存的根本，所以做好该行业用户的防止机密外泄的工作就显得尤为重要。而目前很多企业的管理对内部泄密的潜在风险没有有效的防范。

◎杜绝外来人员窃密的需求
    科研类企业，对外来访客人员的网络接入，要采取严格的强制认证和权限分配制度，没有通过认证的人员，无法访问内网任何资源；通过认证的，只能访问预定的许可资源；确保外来人员的安全接入访问，同时对外来接入人员的访问日志做全程记录，这样才能最大限度的保证外来人员的对企业机密窃取的可能。

◎避免企业的内部人员越权访问
    每个科研院所都有多个不同的职能部门，各部门都有自己的关乎机密的文件信息，如何能够将内网个职能部门进行逻辑上的隔离，实现非相同部门人员不能互访的目的。这样可以从内部防止一些员工非法访问其他部门信息，造成企业信息的非法流传的不好后果。这也是企业管理人员所不愿发生的。

◎内网上网主机的安全防护达标要求
    部分员工不遵守单位的网络安全制度，主机上不安装杀毒软件、防火墙或不及时更新杀毒软件的病毒库，导致上网误中病毒、木马。这种由于内部员工不注意安全细节，将外网威胁带到内网，极易引起内网的木马病毒泛滥，引起内网安全威胁。
企业必须做到内网所有允许接入Inernet的主机，在接入互联网时，确保安装好杀毒软件，防火墙。

◎建立安全的VPN通信网络需求
    企业总部内网和分支机构的局域网之间不能安全互通，一些内部的应用软件系统不能基于互联网运行，无法全面实施OA、公文流转、联网财务软件等，诸如视频电视、电话会议、IP电话之类的增值服务在网络上更是很难甚至无法开展。这些已经不能满足用户单位的目前发展需求了。
    另外，随着规模的扩大和分支机构的增多，各分支局域网的管理人员素质参差不齐，分别按照各自的习惯进行局域网建设，没有统一的标准进行有效管理和规划，为各分支机构的互连互通和内部应用信息化普及带来了很大的障碍。

应用特点：
◎内容审计和外设管控
对于防范内部员工机密外泄，TPN有多种手段去满足：
从网络监控方面：TPN具备对各种邮件、IM程序的监控，对其文件外发做全面的内容审计。

【日志审计】通过和TPN安全网关配套的“网络行为审计”软件，可以实时接收并分析来自全网所有TPN网关的大量日志和数据，并提供各式各样的网络行为审计图表和报表供网管员及其相关人员使用。具体可以实现以下功能：
※ 实名审计
TPN审计系统基于用户名，而非IP进行日志和审计，直观易用。
※ 威胁报告审计
包括系统生成的内网、边界、接入和系统威胁等所有类型威胁分析报告，包含威胁报告量的时间统计和排名统计的报表，以及手动查询用户威胁报告细节和导出功能。
※ 系统日志审计
提供TPN设备的网关日志统计报表，以及手动查询网关日志和用户日志功能
※ URL访问审计
※ 提供URL访问的总量时间统计和URL访问数量排名统计的报表，以及自定义查询用户URL访问细节和导出功能
※ 内容审计
TPN能对内网用户的聊天内容（QQ、MSN）、邮件内容、WEB表单内容（BBS发帖）做全面的记录和审计。

从主机监控方面：TPN支持对主机的USB口、打印口、光驱等外设的使用控制，确保不会从主机端非法拷贝外泄。
    TPN审计系统既最大限度的防止了内网机密外泄，同时也兼顾了特权用户的网络行为不被他人知晓。
    通过上述几种管控手段，TPN系统可以最大程度的避免内部员工的机密外泄行为。

※ 杜绝外来人员的信息窃取
强制员工实名认证，避免非法接入
    TPN系统将根据所有通过实名认证的合法用户主机，生成一个“可信域”；其他用户则被视为“非可信”。可信主机内存放一个只包含所有可信主机的ARP缓存表，所以只能访问可信用户，或根据策略访问网络资源和VPN资源；而非可信的主机将被视为“非法接入”，无法和公司网络中的合法可信主机进行通信（即使在同一交换机下），更不能上网。TPN系统还能够自动识别、定位和记录非法接入主机的网络访问行为。
    TPN网关支持多种用户认证方式，包括：用户名＋口令、数字证书、USB KEY等。
这样可以有效的防止，外来人员私自接入企业内网，获取内网机密信息；同时也不担心他人破解企业的无线网络密码访问企业内网资源，因为即便通过无线信号接入内网也不能访问内网资源。

※ 避免内部人员的越权访问
    虚拟VLAN功能支持在局域网中划分逻辑VLAN，在不投入其他硬件设备（如：支持VLAN的交换机）的前提下，满足不同安全等级或不同组的用户进行逻辑隔离的需求。
    例如：虚拟VLAN功能可以把财务、人事等重要单位的主机单独隔离到一个虚拟VLAN，这样就在不增加额外投入的情况下，确保重要资料的安全。

※ 强制解决内网上网主机的防护达标
    基于“主机风险评估”的“准入控制技术”是安达通在全网行为管理系统中采用的先进技术。
    全网行为管理系统会对接入内网的主机进行全面的主机安全评估，如果发现主机上存在安全威胁或未达到该接入网络要求的安全级别（如：没有启用杀毒软件、防火墙、或者杀毒软件没有及时更新病毒库等），则不允许该主机访问外网；通过该技术可以确保那些疏于防范的内网主机不能轻易上网，避免将Internet上的木马、病毒等风险带进内网；也不会使带有安全风险的主机将风险通过VPN隧道带进公司内网，从而确保整个网络平台的安全可信。
    准入控制技术的引入，网络管理人员将不在因为员工不安装杀毒软件、不及时安装系统补丁而烦恼，他们都会主动去安装，因为没有运行杀毒软件、没有打补丁将无法使用任何网络资源。
一旦内网用户已经感染了像ARP、冲击波、红色代码等病毒，TPN系统可在第一时间对其作安全控制：
    ARP欺骗一般有伪造ARP请求，伪造ARP广播和伪造ARP应答三种机制，将会造成被骗主机无法上网或者诱骗和截获通信数据的恶劣影响。TPN的防ARP欺骗功能，是在主机登陆TPN系统后，在可信域中发布该可信IP/MAC表，使所有主机的中间层驱动绑定真实的IP/MAC列表，使ARP欺骗无空可钻。同时TPN网关进行定期的ARP欺骗检测，以保证内网的稳定性和可用性；TPN系统的主机微引擎CTE也会自动检测ARP欺骗并主动报警和上报网关。
    红色代码、冲击波等洪流病毒的爆发，将会使中毒主机在短时间内发送大量数据包文，严重影响网络和其他主机的正常通信。TPN系统并不是针对某种病毒的代码特征进行阻断和分析，而是专门针对主机行为模式的流量异常检测和对网络洪流爆发的判断。
    洪流病毒爆发定位功能，是TPN主机威胁引擎在每台主机上开启分析和统计ICMP/TCP及UDP数据报文的功能；根据对数据协议报文和网络行为的分析和判断。如果在一定时间内超过了预先设定的洪流流量阀值或符合特定的攻击特征，将会立即阻断本主机的所有网络通信，并同时向网关报警，以便使网管员第一时间获知洪流病毒爆发点；而该主机的网络访问也会被阻断，不允许其进行网络通信直到威胁排除。

※ 建立安全的VPN通信网络方案
    各分支机构与总部网络通过标准的IPSEC协议互连，组成一个虚拟局域网。由于IPSEC是网络层协议，对各种应用软件透明，因此各种ERP、OA、CRM软件无需做任何修改，都能象在本地局域网一样正常使用。
    移动用户可使用IE等主流互联网浏览器访问需要接入的TPN安全网关，首次访问也需要从TPN安全网关上下载TPN客户端，然后通过“用户名+口令”或USB KEY等认证方式，和网关建立VPN隧道。在移动用户建立VPN隧道前，TPN网关会象内网用户一样对移动用户的主机做风险评估检查。