终端安全管理系统在企业内网中的运用

前言:寻找写作灵感?中文期刊网用心挑选的终端安全管理系统在企业内网中的运用,希望能为您的阅读和创作带来灵感,欢迎大家阅读并分享。

终端安全管理系统在企业内网中的运用

摘要:

随着信息安全技术不断发展,内网终端安全管理问题日渐突出。本文在分析了当前企业内网终端安全隐患的基础上,重点介绍了企业内网终端安全管理系统的体系构架、主要组件及功能应用。为企业的信息安全提供了一套完备、有效的内网终端安全一体化解决方案。

关键词:

内网终端;安全管理

1引言

处理、检测和预防来自网络外部的攻击是目前国内常见的用于防护网络安全的方式,该方式非常信任网络内的计算机。实际上,根据统计结果显示,只有千分之一的安全事件是来自外部攻击,而绝大多数的安全问题都是来源于网络内部。对于客户端的安全管理不仅是管理企业内部局域网最繁杂的工作,也是关系到整个局域网安全运行的关键所在。有的企业采用了物理隔离的方式将内网和外网分开,有的企业要求必须通过统一的网关连接内网计算机和外网,同时为了加强网关安全,采用IDS监控的同时,加装防火墙。尽管如上述所示的各类安全措施都得到了实现,众多管理者们却仍然头疼于泄密事件或其它各类内网安全事件的频繁发生。企业内网中终端安全隐患随时随地都可能威胁到用户网络的正常运行,总结起来,内部网络管理大致面临以下问题:(1)终端设备的系统漏洞如何检测并自动分发补丁;(2)内部局域网如何防范存储设备和笔记本电脑的任意接入;(3)U盘造成的病毒传播和信息泄漏如何防止;(4)内网设备非法外联如何防范;(5)怎样在全网制订统一的安全策略;(6)如何防范内部涉密重要信息的泄露;(7)已接入网内的电脑的软件安装情况如何管理与监控。(8)如果网络遭受到黑客、蠕虫和病毒攻击后,如何迅速定位被攻击终端,并有效和快速的对发生问题的引入点的网络进行切断。(9)如何建立一个可以查询事件信息、响应安全事件的平台,做到对网络资源进行全面管理,对报警信息进行有效处理。

2系统分析与应用

在企业中,内网的终端安全管理系统实施是一个复杂工程。网络安全问题关联着多种基础的安全服务,包括:可靠性、可用性、审计、抗抵赖,保证数据完整和保密,控制访问和及时验证身份等。在构建终端安全管理系统前期,针对不同企业对信息安全保密要求不同的问题,需要进行综合有效的风险分析,进而形成对各种风险合理控制的系统安全策略,同时根据具体需求与成本控制,调整与定制系统功能模块组合,把各项安全控制的功能模块融合在一个统一的管理、监控和响应的系统中。

2.1系统体系构建

系统的基础是XML,并且可以对系统架构进行扩展,在进行修改和扩展功能时具有低成本优势。系统组件可以进行升级与功能的无缝扩展,并且支持API标准以及可以分布式部署,可以定制模块化软件等功能,采用C/S模式应用在各个组件之间。系统服务器安装在专业的数据服务器上,配置相应数据库。客户端如果要与数据服务器进行连接,必须首先通过安全认证。服务器的作用是对于客户端日志和策略进行存储,同时收集客户端日志和下发策略。通过HTTPS协议实现不同层级服务器的连接,完成对数据的统计和收集,数据类型包括:日志、报警信息和组织结构。系统客户端安装在内网中的终端计算机上,实时监控客户端的网络行为和安全状态,实现客户端安全策略管理。控制台则是管理员实现对系统管理的工具。控制台与服务器进行链接的前提都是必须通过安全认证。控制台在链接后可以管理,审查数据以及制定和发放策略。准入控制网关设备部署在机房核心交换机旁路,在核心交换机配置相应端口镜像,监控企业内网中所有数据流。企业内网终端安全管理系统结构如图1所示。

2.2系统组件分析

终端安全管理系统是以终端管理为核心,集八种主要组件为一体的综合安全管理体系,系统组件分析如下:(1)SQLServer管理信息库:建立终端安全管理系统的初始化数据库。报警、改变设备属性、机器的注册和未注册信息,设备扫描器、区域管理器、客户端等设备的属性以及管理区域的范围的相关信息都属于该初始化的数据库信息。(2)网页管理平台:系统的管理配置中心。针对下列几个方面进行配置管理:在客户方面,对系统用户进行维护,设定注册客户端的各类参数。在设备方面,识别网络设备相关信息,包括扫描器、区域管理器。在策略方面,设定任务定义,为系统制定相关策略。(3)区域管理器:系统数据处理中心。主要任务是接受和下达指令和对数据库的管理。使用范围是:不同客户端、服务器以及通讯扫描终端设备。最终建立一个多级管理的网络,系统数据在不同层级的区域管理器之间实现逐级传递。(4)Winpcap程序:是嗅探所需的驱动软件,主要功能是实现对网络上的数据进行监听。(5)客户端注册程序:访问指定网站自动获得,用户填写必要的信息后,运行该程序,区域管理器将收到注册终端的相关信息,同时终端可以接收、执行各种下发的指令。区域管理器获取相关硬件的信息,包括来自用户自填的信息和被系统自动侦测到的信息。程序使用策略会在管理器受到相关信息后自动的传输到客户端,并实现即时更新。(6)与Internet相连,并以及时对软件开发商的补丁进行及时下载的服务器被称作补丁下载服务器。(7)用来保护计算机免于病毒攻击和防止恶意冲突计算机IP的模块叫做管理器主机保护模块。对于网络安全级别要求高的计算机进行网络配置,主要是通过网络应用、IP范围、网络协议、相关服务器的端口和管理器进行定义实现的。(8)通过手机短信、SNMPTrap、信使服务、email等方式通知管理员危险级别和报警事件的模块叫做报警中心模块。任何计算机只要能够和区域管理器共享一个服务器,并可以正常通信,都可以安装该模块。

2.3系统功能应用

终端安全管理系统从以下几个方面对终端系统进行管理:

2.3.1资产管理

管理全网硬件资产和软件资产,以及软、硬件设备的变更与备份信息。

2.3.2安全准入控制

终端必须经过身份验证合格后,才可以被授权和管理,最终实现接入网络。这是通过对管理和控制终端的安全准入设备实现的。未经授权的或非法用户由于没有满足安全策略或者相关安全要求被禁止加入内部网络。

2.3.3非法外联管理

中断、审查、监控违规的外部连接方式包括:红外、蓝牙、4G、WIFI、双网卡等。但是出于方便办公的目的,对不同的场景进行不同的策略设置,同时监控网络行为,包括离线终端或者内部重点再没授权的情况下接入外部网络等行为,并且对该终端提取证据、强制关机、断开连接或者发送警告灯。

2.3.4分发文件和补丁管理

管理和分发补丁,包括办公软件、浏览器和操作系统等的相关补丁。同时保证一定的带宽来确保文件和补丁被及时下发。

2.3.5桌面安全管理

防止网络中出现不安全的终端电脑,避免由于各种不安全因素充斥网络造成安全风险,实现终端电脑可控和易于管理,实现控制其安全并管理其合规性,是通过防护和管理桌面终端电脑安全实现的。

2.3.6加固终端确保安全

管理终端计算机的设置,包括屏幕保护、登录密码等,实现管理外部设置到达一定的安全水平。监控、审查终端电脑上用户权限的使用情况,实现变更监控。管理审计终端流量和硬件设备,包括显卡、网卡、内存和硬盘等,防止终端连接非法网络。

2.3.7管理控制行为安全

分析、统计和管理终端用户的传输机密信息、各类操作、应用网络和上网的行为得以实现是因为建设了终端用户的行为管理体系,从而使客户终端访问网络造成的安全风险也得到降低。

2.3.8安全U盘和移动存储设备管理

不同网络,例如外部网络、内部办公和生产网络之间实现相互工作是通过U盘和其它移动存储设备实现的,所以必须加强对它的安全管理。常见的管理手段有:使用适用于不同场景的安全U盘和加密内部U盘,不允许外部U盘接入系统,审计U盘操作,认证U盘身份。

2.3.9外设硬件和端口控制

计算机设备如:打印机、蓝牙、红外、光驱、软驱、USB和包括PCMCIA、网卡、无线网卡在内的网络设备,可以通过系统设置禁止或者允许使用在受控主机上,该策略同时也适用于并口和串口。

2.3.10终端数据管理

建设终端数据防护体系,对系统内的关键电子数据和移动介质进行统一管控,实现关键存储介质中的重要信息被完全清除,确保内部信息资源安全、保密、可控。

2.3.11管理安全审计

集中对终端电脑的行为包括远程访问和操作进行审计和记录,其目的是能够追踪、调查安全事件,并分析和统计各类信息,该功能是通过审计和管理终端设备的行为实现的。

2.3.12管理远程维护

客户端的桌面通过管理员进行远程操作,包括安装打印机驱动、维护系统、安装和调试软件、解决操作问题等。管理员和用户之间的交流方式包括文字和多媒体通话等,同时管理员还可以录像和回放屏幕、截图屏幕、共享桌面、传送文件等。

3结论

终端安全管理系统的构建化解了在企业内网中终端安全管理的被动局面,实现了企业内网中自上而下的统一控制,保障了内网终端的信息安全,提高了网络维护工作效率,降低了网络安全管理成本,对内网安全风险进行有效的预防。该管理系统为企业提供了终端多位一体、统一管理的解决方案,为用户创建了一个安全、可靠、稳定的办公环境。

参考文献

[1]王越,杨平利,宫殿庆.基于PKI的内网信息安全访问控制体系设计与实现[J].计算机工程与设计,2011(32):1249-1253.

[2]孟粉霞,王越,雷磊.统一终端安全管理系统在内网中的分析及应用[J].信息系统工程,2013(08):70-71.

[3]刘丽.电力企业计算机桌面终端管理系统应用探讨[J].宁夏电力,2010(s1):180-183.

作者:李硕 单位:中海油石化工程有限公司