建设终端安全保障平台 提升终端安全能力

近年来，随着信息安全建设的不断深入和安全形势的不断发展，终端安全问题开始凸现。传统的以组织边界和核心资产为保护对象的安全体系逐渐显示出严重的缺陷，无法有效应对终端安全管理中面临的诸多问题。　　

　　这样终端安全体系建设问题就逐渐提到组织管理者和网络安全建设者的议事日程上来，虽然终端资产的重要性级别通常低于网络中的交换机、路由器等核心网络设备以及各种业务主机和服务器，但广大终端数量众多，并且是组织的日常办公和业务运行的载体，如果终端安全受到威胁，即使网络中的核心设备安然无恙，整个网络的业务运行也会受到严重影响甚至瘫痪，如同家庭是社会的细胞，终端也是组成网络的基本单元，他们的安全与否对网络自身的健康运行有着深远的影响。建设一个有效的终端安全管理体系，不仅能够保障终端安全，而且能够提升网络整体的安全防御能力。

　　一、终端安全建设的难点

　　（1）终端安全问题的复杂性

　　终端安全管理是一个复杂的问题，通常一个组织中的终端地理位置分散，用户水平参差不齐，承载业务不同，安全需求各异，这就决定了终端安全建设的复杂性和多元性，要根据终端用户的接入位置、所属部门、业务需要等等条件来选择和执行适当的安全管理措施，既不能搞一刀切，也不能对用户放任自流，缺乏控管；

　　（2）终端安全问题的严重性

　　安全保护问题

　　1)病毒蠕虫大规模泛滥以及新的蠕虫不断出现给用户带来的损失；以及网络出现病毒、蠕虫攻击等安全问题后，不能做到及时的阻断、隔离；

　　2)终端安全防范措施相对脆弱，不能有效抵御来自内部和外部的入侵和攻击的问题；

　　3)网络边界扩展带来的对于移动办公用户、第三方接入安全防范不足从而引入安全风险的问题；

　　系统管理问题

　　1) 以微软windows操作系统为代表的各种软件不断出现漏洞，通常在漏洞被披露的1～2周之内，相应的漏洞利用（exploit）脚本就开始在网络上传播，甚至出现了“零时间攻击（zero-day exploit）”，对付这些攻击的最有效方式就是及时打补丁，修补系统漏洞，而频繁出现的漏洞对安全补丁工作提出了极大的要求，在目前组织安全人员严重不足的情况下，在短时间内人工完成成百上千台终端补丁的部署工作会带来难以承受的工作量；

　　2) 网络中终端设备资产信息种类繁多并且经常变化，不能做到精确统计和管理的问题；

　　行为监控问题

　　1) 无法对终端用户行为进行监控，导致内部的误用和攻击日益增加和组织机密信息和隐私泄漏的问题；

　　2) 终端用户进行各种与工作无关的行为（聊天，炒股，网络游戏等等）浪费网络资源，影响工作效率的问题；

　　二、 终端安全建设的重点

　　如何应对当前终端安全面临的诸多困扰？显然局部的、简单的、被动的防护不足以解决问题，要想解决终端安全问题，一个好的思路是建设可信终端安全保障平台，全面管理终端安全。安全保障平台由资产管理中心、补丁管理中心、文件分发中心、安全策略中心、强制认证中心、行为监控中心、病毒防护中心、安全保护中心等模块组成，并且能够同其他保护网络边界和网络基础设施的网络安全产品和技术结合起来，共同组成信息安全保障体系，提升组织的信息安全保障能力，对抗来自内部和外部的威胁。
　　

　　计算终端安全保障平台各模块简要介绍：

　　1. 资产管理中心

　　实时准确的资产信息统计是终端安全建设的基础，只有你知道你的网络里有哪些资产，才能有针对性的制定保护措施，资产管理中心可以收集到各种终端硬件和软件资产（安装的软件产品、补丁）信息，存放在数据库中，并不断跟踪终端资产的变化，从而保证管理员随时得到最新的信息。

　　2. 补丁管理中心

　　实时自动的补丁更新是主动防御的最有效方法，一个没有漏洞的系统不但能抵御已知的威胁，还能够抵御未知的威胁。补丁管理中心能够检查主流操作系统以及IE、Office、SQL Server等主流软件补丁安装情况，并能够根据组织的安全策略要求自动安装和更新补丁，提高终端对蠕虫感染和恶意代码破坏的免疫力。

　　3. 文件分发中心

　　文件和软件分发功能能够提高组织工作效率，减轻网络管理员工作负担。文件分发中心支持自动分发各类文件和软件给终端用户，适用于软件的大规模部署。
　　

　　4. 安全策略中心

　　安全策略是网络安全活动的最高指南。针对终端安全的复杂性，安全策略中心能够将终端计算机按照地理位置、行政部门、业务类型等等划分为特定的组，每个组可以拥有自己的策略，包括补丁安装策略、安全保护策略、行为监控审计策略等等，用以保护和管理广大终端用户。

　　5. 强制认证中心

　　如何强制用户执行组织安全策略，如何检查用户行为与安全策略的一致性？强制认证中心类似终端管理的检察官，作为一种安全强制手段，根据终端提供的自身安全状态，被访问的地址及服务等信息决定采取通过或阻止网络连接的动作，只有符合组织安全级别要求的终端才被允许继续进行网络访问，否则就会被拒绝或进行强制修复，通过强制认证能够维护一个可信的网络安全域，保证被保护信息资产的安全。

　　6. 行为监控中心

　　行为监控中心能够监控终端用户网络访问及本地应用行为，对终端主机上运行过的所有进程的执行情况进行监控记录，确保用户没有跟办公及业务无关应用， 当发现未知的应用程序试图访问网络时，能够进行学习记录，对于发现并清除Trojan 以及Spyware等恶意软件很有帮助。

　　7. 病毒防护中心

　　病毒防护中心能够保护终端用户不受病毒、蠕虫的感染和威胁，将终端遭受病毒破坏的风险降至最低。

　　8. 安全保护中心

　　安全保护中心通过采用访问控制、入侵检测等技术进行综合防范，组成多级安全防御体系，对进出终端的数据流进行控制和检测，以发现其中混杂的入侵和攻击并进行实时阻断。

　　另外随着互联网技术和电子商务不断发展，移动办公、远程接入、VPN接入等等给也终端保护带来新的挑战，这就要求安全保护中心能够自动识别用户所处的网络环境，并选择执行与之相匹配的安全策略，使用户在享受网络便利性的同时还能受到无所不在的保护。

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。