论文部分内容阅读
摘 要:以大型企业的终端多样化、安全管理困难为背景,从安全技术采用的角度出发,探讨如何构建适合大型企业使用的终端安全管理系统。
关键词:终端安全网络准入控制软件分发;安全策略
中图分类号:TP393.08
终端安全管理系统作为大型企业办公、生产、运营的基础安全管理平台,主要是满足整个企业以及下属单位的所有办公、业务相关的系统及服务器、乃至终端的顺畅、高效、稳定运行,它构建的好坏将直接影响到可用性、完整性、机密性全方位的信息安全体系保障的能力。本文将探讨完善的终端安全管理系统应具备的内涵。
1 背景
随着社会的发展,资源的不断整合,形成了大型的企业,他们不但业务范畴多样、管理模式更是千差万别。既然谈到大型的企业,那它的日常运作就必不可少的需要很多的信息系统的参与,众所周知,信息系统是由服务器、终端以及连接这些设备的网络等资源所组成的,那么庞大的信息系统必将导致无数的服务器群以及终端数量的暴增。这样就带来了终端管理的复杂。
另一方面,整个互联网的信息安全形势不容乐观,极具传播性、破坏性的病毒出现的日益频繁,并且传播的渠道更加的多样化、更加的隐匿。诸如钓鱼网站、邮件链接、即时通讯工具、U盘等方式都是病毒传播的通道,没有很好的企业终端安全管理体系,势必会使得病毒在整个企业网内传播。
与此同时,大型企业由于公司员工众多,围绕企业运作的第三方人员也势必增多,在网络接入和电脑使用上增大了安全的风险,例如:非本企业员工使用企业员工电脑、企业员工在非企业的网络环境中使用笔记本电脑、企业员工使用带病毒U盘、非本企业员工接入企业网络等员工行为问题,都将使得企业的系统安全不能得到正常的保护。那如何更好的控制风险,保证企业业务系统的高效、顺畅、稳定的运行呢?这就需要一套建立适合大型企业的、满足多样化业务系统需求的、能够被员工所广泛接受的终端安全管理系统。
2 建设目标
大型企业的终端安全管理系统,应能够从完整性、机密性、可用性三个维度充分的保护信息系统资源的安全。不单只是一套防病毒软件,更应该是一套能够根据服务器、网络、终端的不同情况进行“私人定制”,并且通过对计算资源以及用户之间的动态匹配实现安全保护的全方位解决方案。
2.1 技术特点。(1)业内的成熟产品;(2)具备极强的病毒查杀功能;(3)具备网络准入控制功能;(4)具备入侵检测/防御的功能;(5)具备终端防火墙的功能;(6)具有容灾功能。
2.2 业务特点。(1)适应大型企业多层级的系统管理架构;(2)具备集中、分权等多种资源管理模式;(3)能够实现计算资源及用户的统一集中管理;(4)易于操作的管理界面及用户操作界面;(5)完善的日志系统。
3 系统功能和模块
终端安全管理系统必须具备多样化的管理手段以及动态的管理方式,除了传统的防病毒管理功能以外还应该具备终端的资源管理、软件分发管理、补丁管理、远程桌面协助、网络准入控制及安全策略管理等一系列资源联动的功能。
3.1 防病毒管理模块。作为终端安全管理系统的传统功能,最主要的任务就是保证计算机系统不被病毒侵害。所以该模块必须保证病毒定义库文件的实时更新,这非常有赖于选择的产品本身后台捕获病毒以及处理病毒的及时性。另一方面,防病毒功能要尽可能少的占用操作系统资源,以免为其它的业务工作带来影响。
3.2 终端资源管理模块。终端资源管理的主要内容是实现终端信息的自动收集功能,包括终端的资产登记信息、终端的资产变更信息、终端的信息查询与统计管理等内容,并能够对以上管理策略进行灵活的设置。同时,应能够自动搜集终端的软硬件设备信息,包括终端的CPU、内存、硬盘、终端操作系统及所安装软件版本等,自动生成统计报表,并提供实时查询的手段。
3.3 软件分发管理模块。软件分发管理的主要功能是实现企业员工日常办公软件的统一下发,作为软件更新的技术手段,实现对所有终端的批量软件分发需求。同时,从技术层面确保企业软件的正版化。所以该模块应具备按不同单位、不同部门、不同主机为群组的软件下发方式,并且能实现软件的定时定点下发,断点续传等功能,分发的模式应包含终端后台自动安装、提示并强制用户安装和用户自主选择安装,以此满足不同用户的需求,软件分发完成后,应能够通过管理界面查询到软件分发的结果。
3.4 补丁管理模块。补丁管理的主要功能是针对企业终端的操作系统补丁以及部分业务软件的补丁下发,为了终端的安全性,必须强制终端更新操作系统补丁。该模块应能够提供终端后台自动安装和用户自主选择安装两种补丁分发模式。考虑到业务系统服务器补丁更新的难易程度,还需具备按不同单位、不同部门、不同主机定制补丁下发策略的能力,与此同时,还应能够通过统计查询功能,了解所管理终端的补丁安装情况,并自动生成统计报表。这里特别需要指出,针对企业业务系统服务器,在建设该模块时,需要注意补丁安装的策略,以免补丁的安装导致业务系统的可用性降低。
3.5 远程桌面协助模块。远程桌面协助主要是针对大型企业终端分散的现状,方便系统维护人员通过远程桌面调用的方式连接终端,高效、快捷的解决终端用户遇到的问题。该模块应能够支持企业使用的所有操作系统版本,提供远程控制和远程监控两种协助模式。为了避免法律问题,建议该功能必须强制系统维护人员在远程连接用户终端前得到用户的确认。同时,还必须具备安全审计的功能,对系统维护人员在用户终端上进行的所有操作进行记录,以备后续的查询。
3.6 网络准入控制模块。网络准入控制的主要功能是通过与企业内部网络设备或是网关设备的技术联动,从安全策略遵从这个角度避免非企业终端和未满足安全策略的企业终端的接入,以此杜绝未知终端引入的风险,导致企业业务系统及网络环境的瘫痪。
3.7 安全策略管理模块。终端安全策略管理是将企业安全管理的要求以及需遵从的安全规定通过技术策略的方式强制下发至所有企业终端。并通过与网络准入控制模块的配合,实现对企业终端的安全管理。该模块应具备如下的内容:(1)支持修改企业终端的注册表信息,修改本地安全策略中的密码策略、审核策略,开启和关闭终端的系统服务;(2)允许或拒绝使用USB存储、USB上网卡等设备,且能控制到仅禁用未授权移动存储、3G上网卡而开放USB键盘和鼠标的功能;(3)能够设置终端安装软件的黑白名单,并支持软件白名单库、黑名单库的持续更新;(4)基于不同单位、不同部门、不同用户单独设置和下发不同的策略,并能实现策略的即时更新下发。
4 结束语
大型企业的业务在不断的发展,而面对不断恶化的安全形势、与日俱增的信息化犯罪,单一的防护手段已不能应付企业瞬息万变的安全风险,为了能够更好的保护企业知识产权、重要数据资源以及企业机密信息,构建一套适应大型企业推行的终端安全管理系统将势在必行,也必定会推动企业信息化安全管理水平的不断提高。
参考文献:
[1]阎丁源.天津移动终端安全管理系统方案设计与实践[J].北京邮电大学,2012.
[2]刘兰,朱程荣.政务终端安全基线管理系统的设计与实现[J].计算机与现代化,2013(02).
作者单位:北京新机场建设指挥部,北京 100621
关键词:终端安全网络准入控制软件分发;安全策略
中图分类号:TP393.08
终端安全管理系统作为大型企业办公、生产、运营的基础安全管理平台,主要是满足整个企业以及下属单位的所有办公、业务相关的系统及服务器、乃至终端的顺畅、高效、稳定运行,它构建的好坏将直接影响到可用性、完整性、机密性全方位的信息安全体系保障的能力。本文将探讨完善的终端安全管理系统应具备的内涵。
1 背景
随着社会的发展,资源的不断整合,形成了大型的企业,他们不但业务范畴多样、管理模式更是千差万别。既然谈到大型的企业,那它的日常运作就必不可少的需要很多的信息系统的参与,众所周知,信息系统是由服务器、终端以及连接这些设备的网络等资源所组成的,那么庞大的信息系统必将导致无数的服务器群以及终端数量的暴增。这样就带来了终端管理的复杂。
另一方面,整个互联网的信息安全形势不容乐观,极具传播性、破坏性的病毒出现的日益频繁,并且传播的渠道更加的多样化、更加的隐匿。诸如钓鱼网站、邮件链接、即时通讯工具、U盘等方式都是病毒传播的通道,没有很好的企业终端安全管理体系,势必会使得病毒在整个企业网内传播。
与此同时,大型企业由于公司员工众多,围绕企业运作的第三方人员也势必增多,在网络接入和电脑使用上增大了安全的风险,例如:非本企业员工使用企业员工电脑、企业员工在非企业的网络环境中使用笔记本电脑、企业员工使用带病毒U盘、非本企业员工接入企业网络等员工行为问题,都将使得企业的系统安全不能得到正常的保护。那如何更好的控制风险,保证企业业务系统的高效、顺畅、稳定的运行呢?这就需要一套建立适合大型企业的、满足多样化业务系统需求的、能够被员工所广泛接受的终端安全管理系统。
2 建设目标
大型企业的终端安全管理系统,应能够从完整性、机密性、可用性三个维度充分的保护信息系统资源的安全。不单只是一套防病毒软件,更应该是一套能够根据服务器、网络、终端的不同情况进行“私人定制”,并且通过对计算资源以及用户之间的动态匹配实现安全保护的全方位解决方案。
2.1 技术特点。(1)业内的成熟产品;(2)具备极强的病毒查杀功能;(3)具备网络准入控制功能;(4)具备入侵检测/防御的功能;(5)具备终端防火墙的功能;(6)具有容灾功能。
2.2 业务特点。(1)适应大型企业多层级的系统管理架构;(2)具备集中、分权等多种资源管理模式;(3)能够实现计算资源及用户的统一集中管理;(4)易于操作的管理界面及用户操作界面;(5)完善的日志系统。
3 系统功能和模块
终端安全管理系统必须具备多样化的管理手段以及动态的管理方式,除了传统的防病毒管理功能以外还应该具备终端的资源管理、软件分发管理、补丁管理、远程桌面协助、网络准入控制及安全策略管理等一系列资源联动的功能。
3.1 防病毒管理模块。作为终端安全管理系统的传统功能,最主要的任务就是保证计算机系统不被病毒侵害。所以该模块必须保证病毒定义库文件的实时更新,这非常有赖于选择的产品本身后台捕获病毒以及处理病毒的及时性。另一方面,防病毒功能要尽可能少的占用操作系统资源,以免为其它的业务工作带来影响。
3.2 终端资源管理模块。终端资源管理的主要内容是实现终端信息的自动收集功能,包括终端的资产登记信息、终端的资产变更信息、终端的信息查询与统计管理等内容,并能够对以上管理策略进行灵活的设置。同时,应能够自动搜集终端的软硬件设备信息,包括终端的CPU、内存、硬盘、终端操作系统及所安装软件版本等,自动生成统计报表,并提供实时查询的手段。
3.3 软件分发管理模块。软件分发管理的主要功能是实现企业员工日常办公软件的统一下发,作为软件更新的技术手段,实现对所有终端的批量软件分发需求。同时,从技术层面确保企业软件的正版化。所以该模块应具备按不同单位、不同部门、不同主机为群组的软件下发方式,并且能实现软件的定时定点下发,断点续传等功能,分发的模式应包含终端后台自动安装、提示并强制用户安装和用户自主选择安装,以此满足不同用户的需求,软件分发完成后,应能够通过管理界面查询到软件分发的结果。
3.4 补丁管理模块。补丁管理的主要功能是针对企业终端的操作系统补丁以及部分业务软件的补丁下发,为了终端的安全性,必须强制终端更新操作系统补丁。该模块应能够提供终端后台自动安装和用户自主选择安装两种补丁分发模式。考虑到业务系统服务器补丁更新的难易程度,还需具备按不同单位、不同部门、不同主机定制补丁下发策略的能力,与此同时,还应能够通过统计查询功能,了解所管理终端的补丁安装情况,并自动生成统计报表。这里特别需要指出,针对企业业务系统服务器,在建设该模块时,需要注意补丁安装的策略,以免补丁的安装导致业务系统的可用性降低。
3.5 远程桌面协助模块。远程桌面协助主要是针对大型企业终端分散的现状,方便系统维护人员通过远程桌面调用的方式连接终端,高效、快捷的解决终端用户遇到的问题。该模块应能够支持企业使用的所有操作系统版本,提供远程控制和远程监控两种协助模式。为了避免法律问题,建议该功能必须强制系统维护人员在远程连接用户终端前得到用户的确认。同时,还必须具备安全审计的功能,对系统维护人员在用户终端上进行的所有操作进行记录,以备后续的查询。
3.6 网络准入控制模块。网络准入控制的主要功能是通过与企业内部网络设备或是网关设备的技术联动,从安全策略遵从这个角度避免非企业终端和未满足安全策略的企业终端的接入,以此杜绝未知终端引入的风险,导致企业业务系统及网络环境的瘫痪。
3.7 安全策略管理模块。终端安全策略管理是将企业安全管理的要求以及需遵从的安全规定通过技术策略的方式强制下发至所有企业终端。并通过与网络准入控制模块的配合,实现对企业终端的安全管理。该模块应具备如下的内容:(1)支持修改企业终端的注册表信息,修改本地安全策略中的密码策略、审核策略,开启和关闭终端的系统服务;(2)允许或拒绝使用USB存储、USB上网卡等设备,且能控制到仅禁用未授权移动存储、3G上网卡而开放USB键盘和鼠标的功能;(3)能够设置终端安装软件的黑白名单,并支持软件白名单库、黑名单库的持续更新;(4)基于不同单位、不同部门、不同用户单独设置和下发不同的策略,并能实现策略的即时更新下发。
4 结束语
大型企业的业务在不断的发展,而面对不断恶化的安全形势、与日俱增的信息化犯罪,单一的防护手段已不能应付企业瞬息万变的安全风险,为了能够更好的保护企业知识产权、重要数据资源以及企业机密信息,构建一套适应大型企业推行的终端安全管理系统将势在必行,也必定会推动企业信息化安全管理水平的不断提高。
参考文献:
[1]阎丁源.天津移动终端安全管理系统方案设计与实践[J].北京邮电大学,2012.
[2]刘兰,朱程荣.政务终端安全基线管理系统的设计与实现[J].计算机与现代化,2013(02).
作者单位:北京新机场建设指挥部,北京 100621