概述
在信息安全领域,终端一般指网络中的一台可能由任何人操作的一台计算机,事实上,服务器也可以归结为广义上的终端。同时,影响计算机使用者正常处理和完成职务工作的计算机软件、硬件使用,以及违反公司信息系统和行政管理规定的计算机应用,均可认为是触发了终端安全或终端管理事件。
根据国际安全界的统计,每年全球计算机网络遭受的攻击和破坏70%是内部人员所为。而传统的网络安全产品如防火墙系统等对于内部用户攻击和威胁事件则无能为力。
1、需求分析
根据对企业网络系统的风险分析,我们发现企业的信息安全需求主要在以下方面:
· 设备接入管理问题:内部计算机管理不统一、外来单位电脑随意接入等等问题总会形成可能威胁整个网络安全性或效率的不确定节点。
·终端安全策略统一监控和管理问题:目前很多网络病毒都是通过提升终端用户权限或新增系统用户来完成自身的传播的,用户一般仅仅采用windows自带安全策略的配置和管理功能实现监控的。
· 终端非法外联行为:企业涉密部门的员工计算机一般需要进行与Internet的隔离,避免内部机密的外泄,如果这些计算机违反管理规定私自接入Internet网络,将为整个单位造成潜在的泄密或经济损失。
· 移动存储管理问题:随着U盘、移动硬盘等移动存储设备应用的日益广泛,大多数人已经接受了这种方便的数据存储方式,但这也为企业防止泄密提出了难题。
· 终端补丁的有效管理:主要包括操作系统和杀毒软件等需要安装厂商提供的补丁程序,来避免不可预期的系统错误和预防利用操作系统漏洞来进行攻击的网络病毒。
· 终端资产管理问题:终端资产的管理和统计已经成为网络管理和单位财务统计的重要工作之一,手动统计或人工管理无法满足大型信息化系统的终端资产管理。
2、方案设计
为了解决企业内部网络管理失控,保障企业网络的畅通、终端设备的安全和公司信息数据的安全,需要在企业网络中部署终端安全管理系统以有效对终端进行管理,保证网络系统的安全稳定运行。
· 强大的终端接入控制功能和业务系统访问控制功能;
· 终端用户身份合法性认证,阻断非法用户访问企业网络;
· 终端安全性检查,隔离并修复不安全终端;
· 企业安全策略强制,员工行为审计和取证,保障企业安全策略的落实;
· 提供补丁管理功能,及时修复终端安全漏洞;
· 软件自动分发,简化企业IT维护工作;
· 终端软硬件资产管理,跟踪企业资产变更。
为此我们选择了华赛公司的终端安全管理系统secospace,可以通过身份认证和安全策略检查的方式对未通过身份认证或不符合安全策略检查的用户终端进行网络隔离,并帮助终端进行安全修复,在系统补丁管理以及软件分发上实现补丁和必需安装软件的协助安装,以防范不安全网络用户终端给安全网络带来的安全威胁。
Secospace 终端安全管理系统是一个包括软件和硬件整体系统。Secospace使用IE浏览器登录管理端控制台界面。主要由Secospace管理器(SM)、Secospace控制器(SC)、Secospace修复服务器(SRS)和Secospace代理(SA)四个软件部件,以及安全接入控制网关(SACG)一个硬件部件,共五个部件组成。
Secospace 管理器(SM)是Secospace 终端安全管理系统的业务核心,提供各种业务功能组件,包括资产管理、软件分发、补丁管理、日志管理、终端安全策略管理、身份管理、报表等组件,并提供WEB界面与用户交互。
Secospace 控制器(SC)是安全管理业务的执行体,负责管理SA和与SACG联动。
Secospace 代理(SA)安装在用户终端上,负责用户的身份输入、安全策略检查和用户行为审计等。
Secospace 修复服务器(SRS)对操作系统补丁、IE补丁、杀毒软件等安全资源进行集中统一的管理,对不符合企业安全策略的终端进行安全修复,同时为用户提供安全策略查询和安全问题反馈。
安全接入控制网关(SACG)控制终端的网络访问权限,对不同角色的用户、不同安全状况的用户开放不同的网络访问权限。
3、方案设计效果
终端安全管理系统实现了端安全控制和终端安全的审计监控,使用户终端安全得到有效的控制,同时还提供资产管理功能,协助企业管理者实现企业内部终端资产可控可管,防止资产和信息外泄,保障企业信息安全。终端安全管理系统还提供了强大的报表功能,为管理者提供有用的管理信息。
全面的管理特性
终端安全管理系统提供基于策略的终端安全检查和监控功能,可以对终端的系统配置状况、安装的软件信息、运行的应用程序,端口开发情况,外设使用、上网行为等进行检查、监视和控制,并支持对操作系统补丁、防病毒软件病毒库更新情况进行检查和自动下载补丁、病毒库进行及时更新.
终端安全管理系统提供企业IT资产生命周期管理,支持资产的变更管理、软、硬件资产的管理,软件License统计和管理,资产和责任人管理,提供资产统计和报表功能。
用户可以通过终端安全管理系统的软件分发功能将软件手工或按计划分发到相应的计算机上,并支持按部门、按操作系统进行分发。
终端安全管理系统可以定时检查补丁安装情况并自动下载相关补丁和自动安装,系统提供终端补丁安装情况统计报表,并支持强制策略,当某个或某些补丁没有打时,禁止用户接入网络。
强大的安全接入控制
安全接入控制是终端安全管理系统提供的一项重要业务功能,包括终端安全接入控制和网络级访问权限控制两大功能。
安全管理系统终端安全接入控制功能要求企业员工在使用终端访问企业资源前,先要经过身份认证和终端安全检查(即企业定义的安全策略标准)。用户在确认身份合法并通过安全检查后,终端可以访问用户授权的内部资源,认证不通过则被拒绝接入网络。
终端用户在认证通过后,访问控制网关会根据用户的身份,确定用户可以访问企业的哪些业务系统,保护企业业务系统核心资源。终端安全管理系统提供基于帐户的访问控制,支持划分多认证后域实现细粒度的业务系统访问权限控制,可以有效的制止用户的非法访问和越权访问。
灵活的集中认证
终端安全管理系统提供对用户身份进行认证的功能,支持多种认证方式,支持连接LDAP服务器,获取用户信息,进行认证。
· 用户名、密码认证:终端安全管理系统根据用户输入的用户名及密码进行身份认证.
· MAC地址认证:终端安全管理系统根据用户选择的MAC地址进行身份认证.
· 域认证:终端安全管理系统根据当前登录的域账号进行身份认证。
· Web认证:用户直接通过IE浏览器连接到终端安全管理系统进行身份认证。终端安全管理系统根据用户的Web用户名和密码进行认证.
丰富的报表格式
终端安全管理系统报表提供报表浏览导出及打印组件、报表模版及定制管理、报表分发管理、报表计划任务管理和报表权限管理等功能,采用开源Japser报表引擎和iReport报表设计工具。