终端安全解决方案

, 打印 , 发送本文 在目前的信息安全领域，终端一般指网络中的一台可能由任何人操作的一台计算机，事实 上，服务器也可以归结为广义上的终端。同时，影响计算机使用者正常处理和完成职务工作的计 算机软件、硬件使用，以及违反公司信息系统和行政 管理规定 工会经费管理规定网络安全管理规定设计变更管理规定工程设计变更管理规定设备使用管理规定 的计算机应用，均可认为是触发了 终端安全或终端管理事件。 根据国际安全界的统计，每年全球计算机网络遭受的攻击和破坏70%是内部人员所为。来自内部的数据失窃和破坏所造成的危害远远高于外部黑客的攻击。传统的网络安全产品如防火墙 和防病毒系统等对于内部用户攻击和威胁事件则无能为力。 1 根据对企业网络系统的风险分析，我们发现企业的信息安全需求主要在以下方面： ? 设备接入管理问题：内部计算机管理不统一、外来单位电脑随意接入等等问题总会形成 可能威胁整个网络安全性或效率的不确定节点。 ? 终端安全策略统一监控和管理问题：目前很多网络病毒都是通过提升终端用户权限或新 增系统用户来完成自身的传播的，用户一般仅仅采用windows自带安全策略的配置和管理功能实现监控的。 ? 终端非法外联行为：企业涉密部门的员工计算机一般需要进行与Internet的隔离，避免内部机密的外泄，如果这些计算机违反管理规定私自接入Internet网络，将为整个单位造成潜在的泄密或经济损失。 ? 移动存储管理问题：随着U盘、移动硬盘等移动存储设备应用的日益广泛，大多数人已 经接受了这种方便的数据存储方式，但这也为企业防止泄密提出了难题。 ? 终端补丁的有效管理：主要包括操作系统和杀毒软件等需要安装厂商提供的补丁程序， 来避免不可预期的系统错误和预防利用操作系统漏洞来进行攻击的网络病毒。 ? 终端资产管理问题：终端资产的管理和统计已经成为网络管理和单位财务统计的重要工 作之一，手动统计或人工管理无法满足大型信息化系统的终端资产管理。 因此为了解决企业内部网络管理失控，保障企业网络的畅通、终端设备的安全和公司信息 数据的安全，需要在企业网络中部署终端 安全管理 企业安全管理考核细则加油站安全管理机构环境和安全管理程序安全管理考核细则外来器械及植入物管理 系统，有效对终端进行管理，保证网络系统的 安全稳定运行。 2 华为公司Secospace终端安全管理系统可以通过身份认证和安全策略检查的方式，对未通 过身份认证或不符合安全策略检查的用户终端进行网络隔离，并帮助终端进行安全修复，在系统 补丁管理以及软件分发上实现补丁和必需安装软件的协助安装，以防范不安全网络用户终端给安 全网络带来的安全威胁。 Secospace终端安全管理系统实现了端安全控制和终端安全的审计监控，使用户终端安全 得到有效的控制，同时还提供资产管理功能，协助企业管理者实现企业内部终端资产可控可管， 防止资产和信息外泄，保障企业信息安全。Secospace终端安全管理系统还提供了强大的报表功能，为管理者提供有用的管理信息。 Secospace 终端安全管理系统架构如下图所示： Secospace 终端安全管理系统是一个包括软件和硬件整体系统。Secospace使用IE浏览 器登录管理端控制台界面。主要由Secospace管理器（SM）、Secospace控制器（SC）、 Secospace修复服务器（SRS）和Secospace代理（SA）四个软件部件，以及安全接入控制网关（SACG）一个硬件部件，共五个部件组成。 Secospace SM是Secospace 终端安全管理系统的业务核心，提供各种业务功能组件，包括资产管理、软件分发、补丁管理、日志管理、终端安全策略管理、身份管理、报 表等组件，并提供WEB界面与用户交互。 Secospace SC是安全管理业务的执行体，负责管理SA和与SACG联动。 Secospace SA安装在用户终端上，负责用户的身份输入、安全策略检查和用户 行为审计等。 Secospace SRS对操作系统补丁、IE补丁、杀毒软件等安全资源进行集中统一的管理，对不符合企业安全策略的终端进行安全修复，同时为用户提供安全策略查询和安 全问题反馈。 SACG控制终端的网络访问权限，对不同角色的用户、不同安全状 况的用户开放不同的网络访问权限。 3 华为Secospace 安全管理套件提供了满足企业终端安全管理需求的解决方案。该方案的 主要功能特性包括： ? 强大的终端接入控制功能和业务系统访问控制功能； ? 终端用户身份合法性认证，阻断非法用户访问企业网络； ? 终端安全性检查，隔离并修复不安全终端； ? 企业安全策略强制，员工行为审计和取证，保障企业安全策略的落实； ? 提供补丁管理功能，及时修复终端安全漏洞； ? 软件自动分发，简化企业IT维护工作； ? 终端软硬件资产管理，跟踪企业资产变更。 4 4.1 Secospace 终端安全管理系统提供基于策略的终端 安全检查 安全检查记录表范本安全检查记录表格安全检查记录表格式安全检查记录表范文安全检查记录表模板 和监控功能，可以对终端的系 统配置状况、安装的软件信息、运行的应用程序，端口开发情况，外设使用、上网行为等进行检 查、监视和控制，并支持对操作系统补丁、防病毒软件病毒库更新情况进行检查和自动下载补丁、 病毒库进行及时更新，策略分为检查和监控策略，支持实时运行或定时运行。 Secospace 终端安全管理系统提供企业IT资产生命周期管理，支持资产的变更管理、软、 硬件资产的管理，软件License统计和管理，资产和责任人管理，提供资产统计和报表功能。 用户可以通过Secospace 终端安全管理系统的软件分发功能将软件手工或按 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 分发到 相应的计算机上，并支持按部门、按操作系统进行分发。 Secospace 终端安全管理系统可以定时检查补丁安装情况并自动下载相关补丁和自动安 装，系统提供终端补丁安装情况统计报表，并支持强制策略，当某个或某些补丁没有打时，禁止 用户接入网络。强制策略可以按组（部门）或个人灵活定制。 4.2 安全接入控制是Secospace安全管理系统提供的一项重要业务功能，包括终端安全 接入 控制和网络级访问权限控制两大功能。 Secospace安全管理系统终端安全接入控制功能要求企业员工在使用终端访问企业资源 前，先要经过身份认证和终端安全检查（即企业定义的安全策略标准）。用户在确认身份合法并 通过安全检查后，终端可以访问用户授权的内部资源，认证不通过则被拒绝接入网络。其中终端 安全检查策略分为强制性检查和一般性检查两种，当设置成强制性检查策略时，安全检查不通的 用户会被引导至修复服务器进行安全修复，完成安全修复后才允许接入内部网络；当终端安全检 查策略设置成一般性策略时，仅在代理端提示用户安全修复，仍可接入内部网络。终端安全接入 控制主要是防止不安全的终端接入网络和防止非法终端用户访问企业内部网络。 终端安全接入控制流程示意图 终端用户在认证通过后，访问控制网关会根据用户的身份，确定用户可以访问企业的哪些 业务系统，保护企业业务系统核心资源。Secospace终端安全管理系统提供基于帐户的访问控制，支持划分多认证后域实现细粒度的业务系统访问权限控制，可以有效的制止用户的非法访问 和越权访问。终端在接入企业网络访问资源前，可以访问认证前域，终端在该区域可以获取对终 端安全问题进行修复，比如安装操作系统补丁等等。 Secospace访问权限控制示意图 Secospace终端安全管理系统支持802.1x接入方式。终端用户通过802.1x交换机接入内部网络，802.1x交换机只负责用户的身份认证（标准802.1x功能），认证通过后，802.1x交换机的相应端口切换到授权状态（authorized），允许终端通过端口进行访问网络（含安全接入控 制网关SACG（Security Access Control Gateway）以及Secospace终端安全管理系统）,此时终端安全代理再与SC控制服务器通讯进行二次认证，身份认证和安全检查通过后接入内部网 络。802.1x交换件也可以与SACG进行混合组网，兼顾终端接入控制和网络级访问权限控制。 4.3 Secospace终端安全管理系统提供对用户身份进行认证的功能，支持多种认证方式，支持 连接LDAP服务器，获取用户信息，进行认证。 Secospace终端安全管理系统提供对用户身份进行认证的功能，支持多种认证方式，支持 连接LDAP服务器，获取用户信息，进行认证。 支持的认证方式如下： ? 用户名、密码认证 终端安全管理系统根据用户输入的用户名及密码进行身份认证，如果用户名为服务器端授 权的用户名，则通过身份认证，然后向用户分配相应的访问权限并进行安全认证。 ? MAC地址认证 终端安全管理系统根据用户选择的MAC地址进行身份认证，如果MAC地址为服务器端授权的地址，则通过身份认证，然后向用户分配相应的访问权限并进行安全认证。 ? 域认证 终端安全管理系统根据当前登录的域账号进行身份认证，如果域账号为服务器端授权的域 账号，则通过身份认证，然后向用户分配相应的访问权限并进行安全认证。 ? Web认证 用户直接通过IE浏览器连接到终端安全管理系统进行身份认证。终端安全管理系统根据用 户的Web用户名和密码进行认证，如果Web用户名为服务器授权的用户，则通过身份认证， 然后向用户分配相应的访问权限并进行安全认证。 4.4 终端安全管理系统报表提供报表浏览导出及打印组件、报表模版及定制管理、报表分发管 理、报表计划任务管理和报表权限管理等功能，采用开源Japser报表引擎和iReport报表设计工具。 报表提供的主要功能规格包括： ? 报表浏览导出及打印组件完成报表文件的基础功能，通过调用Jasper引擎相关接口实现。 ? 报表定制通过指定报表 模板 个人简介word模板免费下载关于员工迟到处罚通告模板康奈尔office模板下载康奈尔 笔记本 模板 下载软件方案模板免费下载 的参数，报表的生成格式等，生成用户自定义报表。报表模 版及定制管理包含对模版和自定义报表的增加、删除管理。 ? 报表分发模块能够将生成的报表文件通过Email、FTP服务或者其它文件传输机制分发到指定终端。 ? 报表计划任务管理包括报表计划任务的增加、删除和修改管理，计划任务类型支持报表 生成和报表分发。 ? 报表的权限管理要求能够对报表模版、自定义报表、报表分发和报表计划任务的操作权 限进行权限控制。 5 终端安全解决方案支持集中式部署、分布式部署和分级式部署三种方式。 ? Secospace 服务器集中部署示意图 该组网方式的主要特点是将SC、SM、数据库等组件安装在一台或两台服务器上，SACG无备份。主要适用于终端数量较少的中小规模网络，可以节约成本，减少维护工作量。 ? Secospace 服务器分布部署示意图 该组网方式将SC和SACG下放到各区域，由一个SM统一管理，各区域SA的认证由各区域的SC和SACG共同完成，提高认证效率。 该种组网方式具有非常好的伸缩性和灵活性，适用于大中型网络规模。而且，随着管理容 量的增大，只要增加相应区域的SC服务器的数量即可以满足要求。对于终端数据较多的中大网 络规模，区域比较分散且区域到中心节点之间的带宽比较小的情况，是重点推荐的组网方式。 ? 终端安全管理分级组网示意图 分级组网主要满足大规模网络管理和分级管理的需求。分级组网是将Secospace安全管理套件的SM进行级联形成分级管理。从宏观上看，上下级Secospace安全管理套件组成一套大系统，上下级之间的功能也有所差异： 一个上级Secospace安全管理套件可以管理多套下级Secospace 安全管理套件，而上级Secospace 安全管理套件也可以直接挂SC和SACG（也就是说上级Secospace安全管理套件系统可以通过挂SC和SACG直接管理本地的终端和服务器等）。上级Secospace 安全管理套件系统一般主要提供集中策略分发和汇总分析从下级收集上来的报表信息等功能。 下级Secospace安全管理套件系统可以采用集中式或者分布式组网，上级Secospace安全管理套件由于要管理多个下级Secospace安全管理套件系统，一般采用分布式组网。对于有 分支机构的公司，一般采用二级就足够了，即各分支机构与总部组成二级Secospace安全管理套件系统。