终端安全管理的重要性

《韩非子·喻老》中有“千里之堤，溃于蚁穴”是说不能忽视小的漏洞和差错，以免造成大祸。对于处在当今信息化时代的企业来说，开发互联的网络环境带来了丰富资源和极大便利，但同时也引入了越来越多的安全威胁，越来越多的企业也已经意识到网络安全问题的严重性，花费重金部署防火墙、入侵检测等安全设备，在防范外来攻击保障网络安全方面铸起“千里之堤”，在此基础上，企业管理者往往就认为可高枕无忧了，却忽视了看似最不起眼却对企业安全影响最直接、覆盖面最广的内部终端安全问题，企业终端管理问题已经俨然成为了企业安全“千里大堤”上的“蚁穴”，决不可忽视。

强化针对“蚁穴”终端的弱点管理比解决外部安全攻击更重要

据2006年IDC统计，对于企业来说，来自内部终端的安全威胁占整个安全威胁的70％以上。由于企业内部终端数量多，人员层次不同，流动性大，安全意识薄弱而产生病毒泛滥、终端滥用资源、非授权访问、恶意终端破坏、信息泄密等等安全事件不胜枚举，例如：某员工使用手提电脑在家上网，从internet上感染病毒，上班后没有进行任何接入保护，导致病毒在整理企业网络内部传播，引起整个办公网络的瘫痪；某员工由于安全意识薄弱，没有及时安装操作系统补丁或者开启不安全端口或服务，导致黑客入侵，系统瘫痪或者机密信息被窃取；某员工由于谋求个人私利通过USB窃取公司机密信息；某员工偷换或者盗取公司软硬件资产，造成企业信息资产流失；内部ARP攻击造成办公网络甚至业务系统瘫痪等问题，这些安全威胁问题对于以信息为生存基础的企业来说甚至将是致命的，而解决外部攻击防范问题的网络安全设备根本无法解决此类威胁，要为企业建立全面立体的安全防护体系，就不可忽视终端弱点管理，强化针对“蚁穴”终端的弱点管理比解决外部安全威胁问题更重要。

身份认证、安全检查、接入控制、授权访问、行为审计全面解决终端安全问题

要解决终端安全管理问题，首先要解决非法终端和不安全终端的接入问题，要能通过身份认证明确终端使用人员的账户和密码，必须是得到授权和允许的人员及其使用的终端才可有权接入网络，并且能有效地将人员帐户与终端进行关联，以便对各类终端问题的迅速定位，即可定位终端在网络中的位置，又可迅速定位问题终端的相关责任人；其次，对有权访问企业网络的终端进行根据其帐户身份定义的安全等级检查和接入控制，不安全的终端别隔离在修复区中，修复完成后方可访问其有权访问的区域；再次，要对接入控制做到细致控制，如果只控制能否接入网络就太过粗放，真正的接入控制是要做到能根据帐户享有的权限严格控制其的访问范围，将企业内部核心数据资源划分为不同的安全等级，根据帐户的不同权限控制其可访问的不同的安全等级范围内的资源。例如:核心的客户资源信息，公司高级机密信息等列在敏感信息的等级中，严格控制可访问其的终端和帐户；而邮件服务器和普通文件服务器可划分在安全等级较低的范围内，供更多的人使用；最后，还要从终端管理角度出发，对相关的内部人员的行为进行审计，通过严格的内部行为审计和检查，来减少内部安全威胁，同时也是对内部员工的一种威慑，有效强化内部信息安全的管理，将企业的信息安全管理规定通过IT的手段得到落实。

身份认证、安全检查、接入控制，行为审计全面实施才能有效解决终端安全管理问题，从终端管理本身出发来设计产品，才算真正有效和便于使用的终端管理软件（流程如图所示）；华为赛门铁克公司Secospace终端安全管理解决方案以其从终端管理出发、全面有效的功能、终端软件与接入控制网关相联动的立体防护、方便灵活的部署、大量企业成功实施经验，成为上佳之选。

Secospace 终端安全管理解决方案部署

        Secospace终端安全管理为软硬件相结合的解决方案（如图所示），方案的部署首先需要在被管理的终端PC上安装Secospace代理（SA）软件，用户的身份认证、安全检查和修复、行为审计等功能都需要SA的参与；其次，需要部署Secospace管理端软件，包括：Secospace管理器（SM）、Secospace控制器（SC）和Secospace修复服务器（SRS）三个逻辑组件，终端系统管理、人员行为管理和报表输出、安全策略的制定和检查报表输出、不安全终端修复等等工作都由管理端软件完成。最后需要在终端IP可达的范围内部署终端接入控制网关设备（SACG），SACG从网络层面上为接入控制和授权访问提供实施保障。Secospace同时支持集中式与分布式部署，可根据用户实际的网络环境灵活选择。Secospace终端安全管理方案自身具有高可靠性： SACG支持双机热备，SC支持集群，系统提供逃生通道任何情况都可确保业务的连续性。

目前华为赛门铁克Secospace终端安全管理解决方案已经在包括中国移动、中国电信、中国网通、北京海淀区政府、兴业银行等等众多大型企业和行业客户中得到了应用，有超过10万个终端的部署实施经验，华赛公司正在努力为更多的客户解决终端安全管理的困扰，帮助客户真正铸起坚固的网络安全“大堤”。