一、引言

　　1996年Barbera等人提出內(nèi)網(wǎng)(Intranet)的概念，1997年周宏仁博士則向國(guó)內(nèi)介紹了內(nèi)網(wǎng)的應(yīng)用，指出內(nèi)網(wǎng)是指利用國(guó)際網(wǎng)的基礎(chǔ)設(shè)施和技術(shù)，通過(guò)“防火墻”技術(shù)，構(gòu)造組織或單位內(nèi)部的信息網(wǎng)絡(luò)。計(jì)算機(jī)終端是單位進(jìn)行業(yè)務(wù)處理、數(shù)據(jù)處理及訪問(wèn)網(wǎng)絡(luò)的主要工具，在實(shí)際應(yīng)用中面臨信息交互和信息安全保密的矛盾沖突，其中絕大部分是內(nèi)部各種非法和違規(guī)的操作行為所造成的，例如非法操作涉密終端、涉密終端操作行為無(wú)法控制、非法進(jìn)行涉密數(shù)據(jù)拷貝、無(wú)意泄露涉密數(shù)據(jù)等。因此，對(duì)用戶終端進(jìn)行安全防護(hù)尤其是整個(gè)信息安全防護(hù)的重要環(huán)節(jié)。

　　內(nèi)網(wǎng)終端由各使用者負(fù)責(zé)應(yīng)用于不同的用途，各終端的應(yīng)用環(huán)境異構(gòu)化程度高、安全防護(hù)水平不一、防范措施難以實(shí)施等，導(dǎo)致終端安全管理存在風(fēng)險(xiǎn)種類多、事件多、維護(hù)復(fù)雜且效果不明顯。但對(duì)于內(nèi)網(wǎng)眾多的終端逐一對(duì)其進(jìn)行安全配置來(lái)說(shuō)必將耗費(fèi)大量人力成本，因此構(gòu)建一個(gè)統(tǒng)一的終端安全管理系統(tǒng)不僅可以極大降低單位安全管理成本，而且很大程度上可以有效地執(zhí)行貫徹相應(yīng)的安全策略。對(duì)于政府、軍隊(duì)、金融等系統(tǒng)而言，對(duì)內(nèi)部網(wǎng)絡(luò)的終端安全管理要求更高。由于這類終端具有可控性，因此進(jìn)行集中統(tǒng)一的終端安全管理更能適應(yīng)于管理和使用的需要。內(nèi)網(wǎng)終端的安全實(shí)施是一個(gè)系統(tǒng)工程。安全問(wèn)題涉及身份認(rèn)證、訪問(wèn)控制、數(shù)據(jù)保密性、數(shù)據(jù)完整性、抗抵賴、審計(jì)、可用性和可靠性等多種基本的安全服務(wù)。內(nèi)網(wǎng)終端安全管理是一個(gè)立體的、多方位、多層次的系統(tǒng)問(wèn)題。針對(duì)終端安全管理問(wèn)題，國(guó)內(nèi)一些系統(tǒng)安全企業(yè)象天融信、中軟、安氏、啟明星辰、冠群金辰等陸續(xù)推出了相關(guān)安全產(chǎn)品，這些產(chǎn)品大都具備了網(wǎng)絡(luò)管理和安全管理相融合的特點(diǎn)，部分或全部包括了資產(chǎn)管理、入侵防護(hù)、終端數(shù)據(jù)管理、強(qiáng)制實(shí)名認(rèn)證、日志審計(jì)等多項(xiàng)功能。

　　二、體系構(gòu)建及應(yīng)用

　　在構(gòu)建終端統(tǒng)一安全管理系統(tǒng)的過(guò)程中，針對(duì)某些單位機(jī)密性要求比較高的特點(diǎn)，圍繞不同安全等級(jí)的關(guān)鍵業(yè)務(wù)，進(jìn)行風(fēng)險(xiǎn)分析并形成對(duì)各種風(fēng)險(xiǎn)適度控制的安全策略，依據(jù)涉密系統(tǒng)的使命與目標(biāo)和系統(tǒng)重要程度，將系統(tǒng)劃分為不同的安全等級(jí)，并綜合平衡考慮系統(tǒng)安全要求、系統(tǒng)所面臨安全風(fēng)險(xiǎn)和實(shí)施安全保護(hù)措施的成本，進(jìn)行安全措施的調(diào)整和定制，形成不同等級(jí)的安全措施進(jìn)行保護(hù)，把各安全控制的功能模塊融合在一個(gè)統(tǒng)一的管理、監(jiān)控和響應(yīng)的系統(tǒng)中。

　　2.1體系構(gòu)建。系統(tǒng)分為三個(gè)組件：客戶端、服務(wù)器和控制臺(tái)，系統(tǒng)采用分布式監(jiān)控，集中式管理的工作模式。組件之間采用C/S工作模式，組件的通信是采用HTTP/HTTPS加密傳輸方式。按照安全防護(hù)等級(jí)評(píng)估標(biāo)準(zhǔn)要求對(duì)整個(gè)信息系統(tǒng)應(yīng)劃分安全域，這樣既保證了方案實(shí)施的高效性和安全性，同時(shí)也考慮到實(shí)施的成本和可行性。安全域的劃分應(yīng)該突出防護(hù)重點(diǎn)部位，分出層次等級(jí)，級(jí)別最高的區(qū)域相對(duì)應(yīng)的安全防護(hù)策略也就越嚴(yán)格，監(jiān)控的粒度也最細(xì)致。在劃分安全域的基礎(chǔ)上，內(nèi)網(wǎng)終端安全管理體系結(jié)構(gòu)如圖2.1所示。
 

　　客戶端安裝在受保護(hù)的終端計(jì)算機(jī)上，實(shí)時(shí)監(jiān)測(cè)客戶端的用戶行為和安全狀態(tài)，實(shí)現(xiàn)客戶端安全策略管理。服務(wù)器安裝在專業(yè)的數(shù)據(jù)服務(wù)器上，需要數(shù)據(jù)庫(kù)的支持。通過(guò)安全認(rèn)證建立與多個(gè)客戶端系統(tǒng)的連接。

　　實(shí)現(xiàn)客戶端策略的存儲(chǔ)和下發(fā)、日志的收集和存儲(chǔ)。上下級(jí)服務(wù)器間基于HTTPS進(jìn)行通信，實(shí)現(xiàn)組織結(jié)構(gòu)、告警、日志統(tǒng)計(jì)信息等數(shù)據(jù)的搜集�？刂婆_(tái)則是管理員實(shí)現(xiàn)對(duì)系統(tǒng)管理的工具。通過(guò)安全認(rèn)證建立與服務(wù)器的信任連接，實(shí)現(xiàn)策略的制定下發(fā)以及數(shù)據(jù)的審計(jì)和管理。

　　2.2功能應(yīng)用。系統(tǒng)從以下幾個(gè)方面對(duì)終端桌面系統(tǒng)進(jìn)行管理：

　　(1)終端安全管理：保證安全策略的合規(guī)性，保障終端的安全運(yùn)行環(huán)境。它包括有安全策略管理、終端接人檢查、終端出網(wǎng)許可、用戶登錄計(jì)算機(jī)的身份認(rèn)證、網(wǎng)絡(luò)進(jìn)程訪問(wèn)控制、防病毒軟件監(jiān)測(cè)、系統(tǒng)補(bǔ)丁管理、安全操作管理等涉及主機(jī)安全管理、策略合規(guī)性管理的功能體系。

　　(2)終端運(yùn)維管理：監(jiān)控遠(yuǎn)程終端的運(yùn)行狀況，管理內(nèi)網(wǎng)的信息資產(chǎn)，為管理員的終端維護(hù)提供方便快捷的幫助。它包括有軟件分發(fā)、資產(chǎn)查看、運(yùn)行監(jiān)控、遠(yuǎn)程管理等終端運(yùn)行維護(hù)管理方面的功能體系。

　　(3)用戶行為管理：規(guī)范終端用戶信息帶出行為，防止企業(yè)敏感信息泄露。它包括有網(wǎng)絡(luò)失泄密防護(hù)、存儲(chǔ)介質(zhì)泄密防護(hù)、打印機(jī)泄密防護(hù)、外設(shè)接口泄密防護(hù)等敏感信息失泄密防護(hù)方面的功能體系。

　　(4)數(shù)據(jù)安全管理：從多個(gè)方面和多個(gè)層次實(shí)現(xiàn)對(duì)用戶數(shù)據(jù)的安全管理。它包括：用戶桌面安全保險(xiǎn)箱，實(shí)現(xiàn)了終端用戶對(duì)需要防護(hù)數(shù)據(jù)的主動(dòng)加密要求。

　　(5)對(duì)某類型的敏感數(shù)據(jù)的強(qiáng)制加密要求；可信移動(dòng)存儲(chǔ)介質(zhì)管理，該功能幫助企業(yè)實(shí)現(xiàn)了移動(dòng)介質(zhì)數(shù)據(jù)的防護(hù)，實(shí)現(xiàn)了“外部的u盤(pán)進(jìn)來(lái)使不了，里面的u盤(pán)出去不可用”。

　　(6)終端接人管理：通過(guò)終端接入認(rèn)證和非法主機(jī)掃描實(shí)現(xiàn)對(duì)接入網(wǎng)絡(luò)的客戶端進(jìn)行認(rèn)證，認(rèn)證通過(guò)的可以連接網(wǎng)絡(luò)，對(duì)通過(guò)其他非法途徑進(jìn)入網(wǎng)絡(luò)的非法主機(jī)，通過(guò)掃描工具發(fā)現(xiàn)和告警，并及時(shí)進(jìn)行阻斷隔離。

　　(7)系統(tǒng)管理與審計(jì)：集中統(tǒng)計(jì)、顯示和分析各種受監(jiān)控的用戶行為日志、報(bào)警日志、主機(jī)狀態(tài)日志、以及響應(yīng)知識(shí)庫(kù)的管理、系統(tǒng)角色和權(quán)限、用戶的管理，同時(shí)為系統(tǒng)正常運(yùn)行提供了相關(guān)參數(shù)的設(shè)置。

　　三、結(jié)論

　　在實(shí)施終端安全管理體系后，實(shí)施單位具備了對(duì)終端安全事件進(jìn)行全面系統(tǒng)分析的能力，可以防止信息外泄和擴(kuò)散。通過(guò)分類分級(jí)緊系全面的系統(tǒng)管控，對(duì)終端使用者行為也可以進(jìn)行審計(jì)和監(jiān)控，能對(duì)系統(tǒng)本身安全管理的應(yīng)用程度進(jìn)行審計(jì)評(píng)估。該管理系統(tǒng)已經(jīng)可以全面滿足集中監(jiān)控、集中處理模式的需要。通過(guò)統(tǒng)一的終端安全管理系統(tǒng)，提供綜合的功能管理和安全的性能管理，從而降低系統(tǒng)的復(fù)雜度和維護(hù)管理成本。 

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：統(tǒng)一終端安全管理系統(tǒng)在內(nèi)網(wǎng)中的分析及應(yīng)用

本文網(wǎng)址：http://www.oesoe.com/html/support/11121512754.html