統(tǒng)一終端安全管理系統(tǒng)在內(nèi)網(wǎng)中的分析及應用

　　一、引言

　　1996年Barbera等人提出內(nèi)網(wǎng)(Intranet)的概念，1997年周宏仁博士則向國內(nèi)介紹了內(nèi)網(wǎng)的應用，指出內(nèi)網(wǎng)是指利用國際網(wǎng)的基礎(chǔ)設(shè)施和技術(shù)，通過“防火墻”技術(shù)，構(gòu)造組織或單位內(nèi)部的信息網(wǎng)絡。計算機終端是單位進行業(yè)務處理、數(shù)據(jù)處理及訪問網(wǎng)絡的主要工具，在實際應用中面臨信息交互和信息安全保密的矛盾沖突，其中絕大部分是內(nèi)部各種非法和違規(guī)的操作行為所造成的，例如非法操作涉密終端、涉密終端操作行為無法控制、非法進行涉密數(shù)據(jù)拷貝、無意泄露涉密數(shù)據(jù)等。因此，對用戶終端進行安全防護尤其是整個信息安全防護的重要環(huán)節(jié)。

　　內(nèi)網(wǎng)終端由各使用者負責應用于不同的用途，各終端的應用環(huán)境異構(gòu)化程度高、安全防護水平不一、防范措施難以實施等，導致終端安全管理存在風險種類多、事件多、維護復雜且效果不明顯。但對于內(nèi)網(wǎng)眾多的終端逐一對其進行安全配置來說必將耗費大量人力成本，因此構(gòu)建一個統(tǒng)一的終端安全管理系統(tǒng)不僅可以極大降低單位安全管理成本，而且很大程度上可以有效地執(zhí)行貫徹相應的安全策略。對于政府、軍隊、金融等系統(tǒng)而言，對內(nèi)部網(wǎng)絡的終端安全管理要求更高。由于這類終端具有可控性，因此進行集中統(tǒng)一的終端安全管理更能適應于管理和使用的需要。內(nèi)網(wǎng)終端的安全實施是一個系統(tǒng)工程。安全問題涉及身份認證、訪問控制、數(shù)據(jù)保密性、數(shù)據(jù)完整性、抗抵賴、審計、可用性和可靠性等多種基本的安全服務。內(nèi)網(wǎng)終端安全管理是一個立體的、多方位、多層次的系統(tǒng)問題。針對終端安全管理問題，國內(nèi)一些系統(tǒng)安全企業(yè)象天融信、中軟、安氏、啟明星辰、冠群金辰等陸續(xù)推出了相關(guān)安全產(chǎn)品，這些產(chǎn)品大都具備了網(wǎng)絡管理和安全管理相融合的特點，部分或全部包括了資產(chǎn)管理、入侵防護、終端數(shù)據(jù)管理、強制實名認證、日志審計等多項功能。

　　二、體系構(gòu)建及應用

　　在構(gòu)建終端統(tǒng)一安全管理系統(tǒng)的過程中，針對某些單位機密性要求比較高的特點，圍繞不同安全等級的關(guān)鍵業(yè)務，進行風險分析并形成對各種風險適度控制的安全策略，依據(jù)涉密系統(tǒng)的使命與目標和系統(tǒng)重要程度，將系統(tǒng)劃分為不同的安全等級，并綜合平衡考慮系統(tǒng)安全要求、系統(tǒng)所面臨安全風險和實施安全保護措施的成本，進行安全措施的調(diào)整和定制，形成不同等級的安全措施進行保護，把各安全控制的功能模塊融合在一個統(tǒng)一的管理、監(jiān)控和響應的系統(tǒng)中。

　　2.1體系構(gòu)建。系統(tǒng)分為三個組件：客戶端、服務器和控制臺，系統(tǒng)采用分布式監(jiān)控，集中式管理的工作模式。組件之間采用C/S工作模式，組件的通信是采用HTTP/HTTPS加密傳輸方式。按照安全防護等級評估標準要求對整個信息系統(tǒng)應劃分安全域，這樣既保證了方案實施的高效性和安全性，同時也考慮到實施的成本和可行性。安全域的劃分應該突出防護重點部位，分出層次等級，級別最高的區(qū)域相對應的安全防護策略也就越嚴格，監(jiān)控的粒度也最細致。在劃分安全域的基礎(chǔ)上，內(nèi)網(wǎng)終端安全管理體系結(jié)構(gòu)如圖2.1所示。
 

　　客戶端安裝在受保護的終端計算機上，實時監(jiān)測客戶端的用戶行為和安全狀態(tài)，實現(xiàn)客戶端安全策略管理。服務器安裝在專業(yè)的數(shù)據(jù)服務器上，需要數(shù)據(jù)庫的支持。通過安全認證建立與多個客戶端系統(tǒng)的連接。

　　實現(xiàn)客戶端策略的存儲和下發(fā)、日志的收集和存儲。上下級服務器間基于HTTPS進行通信，實現(xiàn)組織結(jié)構(gòu)、告警、日志統(tǒng)計信息等數(shù)據(jù)的搜集�？刂婆_則是管理員實現(xiàn)對系統(tǒng)管理的工具。通過安全認證建立與服務器的信任連接，實現(xiàn)策略的制定下發(fā)以及數(shù)據(jù)的審計和管理。

　　2.2功能應用。系統(tǒng)從以下幾個方面對終端桌面系統(tǒng)進行管理：

　　(1)終端安全管理：保證安全策略的合規(guī)性，保障終端的安全運行環(huán)境。它包括有安全策略管理、終端接人檢查、終端出網(wǎng)許可、用戶登錄計算機的身份認證、網(wǎng)絡進程訪問控制、防病毒軟件監(jiān)測、系統(tǒng)補丁管理、安全操作管理等涉及主機安全管理、策略合規(guī)性管理的功能體系。

　　(2)終端運維管理：監(jiān)控遠程終端的運行狀況，管理內(nèi)網(wǎng)的信息資產(chǎn)，為管理員的終端維護提供方便快捷的幫助。它包括有軟件分發(fā)、資產(chǎn)查看、運行監(jiān)控、遠程管理等終端運行維護管理方面的功能體系。

　　(3)用戶行為管理：規(guī)范終端用戶信息帶出行為，防止企業(yè)敏感信息泄露。它包括有網(wǎng)絡失泄密防護、存儲介質(zhì)泄密防護、打印機泄密防護、外設(shè)接口泄密防護等敏感信息失泄密防護方面的功能體系。

　　(4)數(shù)據(jù)安全管理：從多個方面和多個層次實現(xiàn)對用戶數(shù)據(jù)的安全管理。它包括：用戶桌面安全保險箱，實現(xiàn)了終端用戶對需要防護數(shù)據(jù)的主動加密要求。

　　(5)對某類型的敏感數(shù)據(jù)的強制加密要求；可信移動存儲介質(zhì)管理，該功能幫助企業(yè)實現(xiàn)了移動介質(zhì)數(shù)據(jù)的防護，實現(xiàn)了“外部的u盤進來使不了，里面的u盤出去不可用”。

　　(6)終端接人管理：通過終端接入認證和非法主機掃描實現(xiàn)對接入網(wǎng)絡的客戶端進行認證，認證通過的可以連接網(wǎng)絡，對通過其他非法途徑進入網(wǎng)絡的非法主機，通過掃描工具發(fā)現(xiàn)和告警，并及時進行阻斷隔離。

　　(7)系統(tǒng)管理與審計：集中統(tǒng)計、顯示和分析各種受監(jiān)控的用戶行為日志、報警日志、主機狀態(tài)日志、以及響應知識庫的管理、系統(tǒng)角色和權(quán)限、用戶的管理，同時為系統(tǒng)正常運行提供了相關(guān)參數(shù)的設(shè)置。

　　三、結(jié)論

　　在實施終端安全管理體系后，實施單位具備了對終端安全事件進行全面系統(tǒng)分析的能力，可以防止信息外泄和擴散。通過分類分級緊系全面的系統(tǒng)管控，對終端使用者行為也可以進行審計和監(jiān)控，能對系統(tǒng)本身安全管理的應用程度進行審計評估。該管理系統(tǒng)已經(jīng)可以全面滿足集中監(jiān)控、集中處理模式的需要。通過統(tǒng)一的終端安全管理系統(tǒng)，提供綜合的功能管理和安全的性能管理，從而降低系統(tǒng)的復雜度和維護管理成本。 

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領(lǐng)域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://m.lukmueng.com/

本文標題：統(tǒng)一終端安全管理系統(tǒng)在內(nèi)網(wǎng)中的分析及應用

本文網(wǎng)址：http://m.lukmueng.com/html/support/11121512754.html