一、引言

　　1996年Barbera等人提出內網(Intranet)的概念，1997年周宏仁博士則向國內介紹了內網的應用，指出內網是指利用國際網的基礎設施和技術，通過“防火墻”技術，構造組織或單位內部的信息網絡。計算機終端是單位進行業務處理、數據處理及訪問網絡的主要工具，在實際應用中面臨信息交互和信息安全保密的矛盾沖突，其中絕大部分是內部各種非法和違規的操作行為所造成的，例如非法操作涉密終端、涉密終端操作行為無法控制、非法進行涉密數據拷貝、無意泄露涉密數據等。因此，對用戶終端進行安全防護尤其是整個信息安全防護的重要環節。

　　內網終端由各使用者負責應用于不同的用途，各終端的應用環境異構化程度高、安全防護水平不一、防范措施難以實施等，導致終端安全管理存在風險種類多、事件多、維護復雜且效果不明顯。但對于內網眾多的終端逐一對其進行安全配置來說必將耗費大量人力成本，因此構建一個統一的終端安全管理系統不僅可以極大降低單位安全管理成本，而且很大程度上可以有效地執行貫徹相應的安全策略。對于政府、軍隊、金融等系統而言，對內部網絡的終端安全管理要求更高。由于這類終端具有可控性，因此進行集中統一的終端安全管理更能適應于管理和使用的需要。內網終端的安全實施是一個系統工程。安全問題涉及身份認證、訪問控制、數據保密性、數據完整性、抗抵賴、審計、可用性和可靠性等多種基本的安全服務。內網終端安全管理是一個立體的、多方位、多層次的系統問題。針對終端安全管理問題，國內一些系統安全企業象天融信、中軟、安氏、啟明星辰、冠群金辰等陸續推出了相關安全產品，這些產品大都具備了網絡管理和安全管理相融合的特點，部分或全部包括了資產管理、入侵防護、終端數據管理、強制實名認證、日志審計等多項功能。

　　二、體系構建及應用

　　在構建終端統一安全管理系統的過程中，針對某些單位機密性要求比較高的特點，圍繞不同安全等級的關鍵業務，進行風險分析并形成對各種風險適度控制的安全策略，依據涉密系統的使命與目標和系統重要程度，將系統劃分為不同的安全等級，并綜合平衡考慮系統安全要求、系統所面臨安全風險和實施安全保護措施的成本，進行安全措施的調整和定制，形成不同等級的安全措施進行保護，把各安全控制的功能模塊融合在一個統一的管理、監控和響應的系統中。

　　2.1體系構建。系統分為三個組件：客戶端、服務器和控制臺，系統采用分布式監控，集中式管理的工作模式。組件之間采用C/S工作模式，組件的通信是采用HTTP/HTTPS加密傳輸方式。按照安全防護等級評估標準要求對整個信息系統應劃分安全域，這樣既保證了方案實施的高效性和安全性，同時也考慮到實施的成本和可行性。安全域的劃分應該突出防護重點部位，分出層次等級，級別最高的區域相對應的安全防護策略也就越嚴格，監控的粒度也最細致。在劃分安全域的基礎上，內網終端安全管理體系結構如圖2.1所示。
 

　　客戶端安裝在受保護的終端計算機上，實時監測客戶端的用戶行為和安全狀態，實現客戶端安全策略管理。服務器安裝在專業的數據服務器上，需要數據庫的支持。通過安全認證建立與多個客戶端系統的連接。

　　實現客戶端策略的存儲和下發、日志的收集和存儲。上下級服務器間基于HTTPS進行通信，實現組織結構、告警、日志統計信息等數據的搜集。控制臺則是管理員實現對系統管理的工具。通過安全認證建立與服務器的信任連接，實現策略的制定下發以及數據的審計和管理。

　　2.2功能應用。系統從以下幾個方面對終端桌面系統進行管理：

　　(1)終端安全管理：保證安全策略的合規性，保障終端的安全運行環境。它包括有安全策略管理、終端接人檢查、終端出網許可、用戶登錄計算機的身份認證、網絡進程訪問控制、防病毒軟件監測、系統補丁管理、安全操作管理等涉及主機安全管理、策略合規性管理的功能體系。

　　(2)終端運維管理：監控遠程終端的運行狀況，管理內網的信息資產，為管理員的終端維護提供方便快捷的幫助。它包括有軟件分發、資產查看、運行監控、遠程管理等終端運行維護管理方面的功能體系。

　　(3)用戶行為管理：規范終端用戶信息帶出行為，防止企業敏感信息泄露。它包括有網絡失泄密防護、存儲介質泄密防護、打印機泄密防護、外設接口泄密防護等敏感信息失泄密防護方面的功能體系。

　　(4)數據安全管理：從多個方面和多個層次實現對用戶數據的安全管理。它包括：用戶桌面安全保險箱，實現了終端用戶對需要防護數據的主動加密要求。

　　(5)對某類型的敏感數據的強制加密要求；可信移動存儲介質管理，該功能幫助企業實現了移動介質數據的防護，實現了“外部的u盤進來使不了，里面的u盤出去不可用”。

　　(6)終端接人管理：通過終端接入認證和非法主機掃描實現對接入網絡的客戶端進行認證，認證通過的可以連接網絡，對通過其他非法途徑進入網絡的非法主機，通過掃描工具發現和告警，并及時進行阻斷隔離。

　　(7)系統管理與審計：集中統計、顯示和分析各種受監控的用戶行為日志、報警日志、主機狀態日志、以及響應知識庫的管理、系統角色和權限、用戶的管理，同時為系統正常運行提供了相關參數的設置。

　　三、結論

　　在實施終端安全管理體系后，實施單位具備了對終端安全事件進行全面系統分析的能力，可以防止信息外泄和擴散。通過分類分級緊系全面的系統管控，對終端使用者行為也可以進行審計和監控，能對系統本身安全管理的應用程度進行審計評估。該管理系統已經可以全面滿足集中監控、集中處理模式的需要。通過統一的終端安全管理系統，提供綜合的功能管理和安全的性能管理，從而降低系統的復雜度和維護管理成本。 

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.vmgcyvh.cn/

本文標題：統一終端安全管理系統在內網中的分析及應用

本文網址：http://www.vmgcyvh.cn/html/support/11121512754.html