统一终端安全管理系统在内网中的分析及应用

　　一、引言

　　1996年Barbera等人提出内网(Intranet)的概念，1997年周宏仁博士则向国内介绍了内网的应用，指出内网是指利用国际网的基础设施和技术，通过“防火墙”技术，构造组织或单位内部的信息网络。计算机终端是单位进行业务处理、数据处理及访问网络的主要工具，在实际应用中面临信息交互和信息安全保密的矛盾冲突，其中绝大部分是内部各种非法和违规的操作行为所造成的，例如非法操作涉密终端、涉密终端操作行为无法控制、非法进行涉密数据拷贝、无意泄露涉密数据等。因此，对用户终端进行安全防护尤其是整个信息安全防护的重要环节。

　　内网终端由各使用者负责应用于不同的用途，各终端的应用环境异构化程度高、安全防护水平不一、防范措施难以实施等，导致终端安全管理存在风险种类多、事件多、维护复杂且效果不明显。但对于内网众多的终端逐一对其进行安全配置来说必将耗费大量人力成本，因此构建一个统一的终端安全管理系统不仅可以极大降低单位安全管理成本，而且很大程度上可以有效地执行贯彻相应的安全策略。对于政府、军队、金融等系统而言，对内部网络的终端安全管理要求更高。由于这类终端具有可控性，因此进行集中统一的终端安全管理更能适应于管理和使用的需要。内网终端的安全实施是一个系统工程。安全问题涉及身份认证、访问控制、数据保密性、数据完整性、抗抵赖、审计、可用性和可靠性等多种基本的安全服务。内网终端安全管理是一个立体的、多方位、多层次的系统问题。针对终端安全管理问题，国内一些系统安全企业象天融信、中软、安氏、启明星辰、冠群金辰等陆续推出了相关安全产品，这些产品大都具备了网络管理和安全管理相融合的特点，部分或全部包括了资产管理、入侵防护、终端数据管理、强制实名认证、日志审计等多项功能。

　　二、体系构建及应用

　　在构建终端统一安全管理系统的过程中，针对某些单位机密性要求比较高的特点，围绕不同安全等级的关键业务，进行风险分析并形成对各种风险适度控制的安全策略，依据涉密系统的使命与目标和系统重要程度，将系统划分为不同的安全等级，并综合平衡考虑系统安全要求、系统所面临安全风险和实施安全保护措施的成本，进行安全措施的调整和定制，形成不同等级的安全措施进行保护，把各安全控制的功能模块融合在一个统一的管理、监控和响应的系统中。

　　2.1体系构建。系统分为三个组件：客户端、服务器和控制台，系统采用分布式监控，集中式管理的工作模式。组件之间采用C/S工作模式，组件的通信是采用HTTP/HTTPS加密传输方式。按照安全防护等级评估标准要求对整个信息系统应划分安全域，这样既保证了方案实施的高效性和安全性，同时也考虑到实施的成本和可行性。安全域的划分应该突出防护重点部位，分出层次等级，级别最高的区域相对应的安全防护策略也就越严格，监控的粒度也最细致。在划分安全域的基础上，内网终端安全管理体系结构如图2.1所示。
 

　　客户端安装在受保护的终端计算机上，实时监测客户端的用户行为和安全状态，实现客户端安全策略管理。服务器安装在专业的数据服务器上，需要数据库的支持。通过安全认证建立与多个客户端系统的连接。

　　实现客户端策略的存储和下发、日志的收集和存储。上下级服务器间基于HTTPS进行通信，实现组织结构、告警、日志统计信息等数据的搜集。控制台则是管理员实现对系统管理的工具。通过安全认证建立与服务器的信任连接，实现策略的制定下发以及数据的审计和管理。

　　2.2功能应用。系统从以下几个方面对终端桌面系统进行管理：

　　(1)终端安全管理：保证安全策略的合规性，保障终端的安全运行环境。它包括有安全策略管理、终端接人检查、终端出网许可、用户登录计算机的身份认证、网络进程访问控制、防病毒软件监测、系统补丁管理、安全操作管理等涉及主机安全管理、策略合规性管理的功能体系。

　　(2)终端运维管理：监控远程终端的运行状况，管理内网的信息资产，为管理员的终端维护提供方便快捷的帮助。它包括有软件分发、资产查看、运行监控、远程管理等终端运行维护管理方面的功能体系。

　　(3)用户行为管理：规范终端用户信息带出行为，防止企业敏感信息泄露。它包括有网络失泄密防护、存储介质泄密防护、打印机泄密防护、外设接口泄密防护等敏感信息失泄密防护方面的功能体系。

　　(4)数据安全管理：从多个方面和多个层次实现对用户数据的安全管理。它包括：用户桌面安全保险箱，实现了终端用户对需要防护数据的主动加密要求。

　　(5)对某类型的敏感数据的强制加密要求；可信移动存储介质管理，该功能帮助企业实现了移动介质数据的防护，实现了“外部的u盘进来使不了，里面的u盘出去不可用”。

　　(6)终端接人管理：通过终端接入认证和非法主机扫描实现对接入网络的客户端进行认证，认证通过的可以连接网络，对通过其他非法途径进入网络的非法主机，通过扫描工具发现和告警，并及时进行阻断隔离。

　　(7)系统管理与审计：集中统计、显示和分析各种受监控的用户行为日志、报警日志、主机状态日志、以及响应知识库的管理、系统角色和权限、用户的管理，同时为系统正常运行提供了相关参数的设置。

　　三、结论

　　在实施终端安全管理体系后，实施单位具备了对终端安全事件进行全面系统分析的能力，可以防止信息外泄和扩散。通过分类分级紧系全面的系统管控，对终端使用者行为也可以进行审计和监控，能对系统本身安全管理的应用程度进行审计评估。该管理系统已经可以全面满足集中监控、集中处理模式的需要。通过统一的终端安全管理系统，提供综合的功能管理和安全的性能管理，从而降低系统的复杂度和维护管理成本。 

核心关注：拓步ERP系统平台是覆盖了众多的业务领域、行业应用，蕴涵了丰富的ERP管理思想，集成了ERP软件业务管理理念，功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理，全面涵盖了企业关注ERP管理系统的核心领域，是众多中小企业信息化建设首选的ERP管理软件信赖品牌。

转载请注明出处：拓步ERP资讯网http://www.toberp.com/

本文标题：统一终端安全管理系统在内网中的分析及应用

本文网址：http://www.toberp.com/html/support/11121512754.html