淺談大型企業(yè)終端安全管理系統(tǒng)的構(gòu)建

摘 要：以大型企業(yè)的終端多樣化、安全管理困難為背景，從安全技術(shù)采用的角度出發(fā)，探討如何構(gòu)建適合大型企業(yè)使用的終端安全管理系統(tǒng)。

關(guān)鍵詞：終端安全網(wǎng)絡(luò)準入控制軟件分發(fā)；安全策略

中圖分類號：TP393.08

終端安全管理系統(tǒng)作為大型企業(yè)辦公、生產(chǎn)、運營的基礎(chǔ)安全管理平臺，主要是滿足整個企業(yè)以及下屬單位的所有辦公、業(yè)務(wù)相關(guān)的系統(tǒng)及服務(wù)器、乃至終端的順暢、高效、穩(wěn)定運行，它構(gòu)建的好壞將直接影響到可用性、完整性、機密性全方位的信息安全體系保障的能力。本文將探討完善的終端安全管理系統(tǒng)應(yīng)具備的內(nèi)涵。

1 背景

隨著社會的發(fā)展，資源的不斷整合，形成了大型的企業(yè)，他們不但業(yè)務(wù)范疇多樣、管理模式更是千差萬別。既然談到大型的企業(yè)，那它的日常運作就必不可少的需要很多的信息系統(tǒng)的參與，眾所周知，信息系統(tǒng)是由服務(wù)器、終端以及連接這些設(shè)備的網(wǎng)絡(luò)等資源所組成的，那么龐大的信息系統(tǒng)必將導(dǎo)致無數(shù)的服務(wù)器群以及終端數(shù)量的暴增。這樣就帶來了終端管理的復(fù)雜。

另一方面，整個互聯(lián)網(wǎng)的信息安全形勢不容樂觀，極具傳播性、破壞性的病毒出現(xiàn)的日益頻繁，并且傳播的渠道更加的多樣化、更加的隱匿。諸如釣魚網(wǎng)站、郵件鏈接、即時通訊工具、U盤等方式都是病毒傳播的通道，沒有很好的企業(yè)終端安全管理體系，勢必會使得病毒在整個企業(yè)網(wǎng)內(nèi)傳播。

與此同時，大型企業(yè)由于公司員工眾多，圍繞企業(yè)運作的第三方人員也勢必增多，在網(wǎng)絡(luò)接入和電腦使用上增大了安全的風(fēng)險，例如：非本企業(yè)員工使用企業(yè)員工電腦、企業(yè)員工在非企業(yè)的網(wǎng)絡(luò)環(huán)境中使用筆記本電腦、企業(yè)員工使用帶病毒U盤、非本企業(yè)員工接入企業(yè)網(wǎng)絡(luò)等員工行為問題，都將使得企業(yè)的系統(tǒng)安全不能得到正常的保護。那如何更好的控制風(fēng)險，保證企業(yè)業(yè)務(wù)系統(tǒng)的高效、順暢、穩(wěn)定的運行呢？這就需要一套建立適合大型企業(yè)的、滿足多樣化業(yè)務(wù)系統(tǒng)需求的、能夠被員工所廣泛接受的終端安全管理系統(tǒng)。

2 建設(shè)目標(biāo)

大型企業(yè)的終端安全管理系統(tǒng)，應(yīng)能夠從完整性、機密性、可用性三個維度充分的保護信息系統(tǒng)資源的安全。不單只是一套防病毒軟件，更應(yīng)該是一套能夠根據(jù)服務(wù)器、網(wǎng)絡(luò)、終端的不同情況進行“私人定制”，并且通過對計算資源以及用戶之間的動態(tài)匹配實現(xiàn)安全保護的全方位解決方案。

2.1 技術(shù)特點。（1）業(yè)內(nèi)的成熟產(chǎn)品；（2）具備極強的病毒查殺功能；（3）具備網(wǎng)絡(luò)準入控制功能；（4）具備入侵檢測/防御的功能；（5）具備終端防火墻的功能；（6）具有容災(zāi)功能。

2.2 業(yè)務(wù)特點。（1）適應(yīng)大型企業(yè)多層級的系統(tǒng)管理架構(gòu)；（2）具備集中、分權(quán)等多種資源管理模式；（3）能夠?qū)崿F(xiàn)計算資源及用戶的統(tǒng)一集中管理；（4）易于操作的管理界面及用戶操作界面；（5）完善的日志系統(tǒng)。

3 系統(tǒng)功能和模塊

終端安全管理系統(tǒng)必須具備多樣化的管理手段以及動態(tài)的管理方式，除了傳統(tǒng)的防病毒管理功能以外還應(yīng)該具備終端的資源管理、軟件分發(fā)管理、補丁管理、遠程桌面協(xié)助、網(wǎng)絡(luò)準入控制及安全策略管理等一系列資源聯(lián)動的功能。

3.1 防病毒管理模塊。作為終端安全管理系統(tǒng)的傳統(tǒng)功能，最主要的任務(wù)就是保證計算機系統(tǒng)不被病毒侵害。所以該模塊必須保證病毒定義庫文件的實時更新，這非常有賴于選擇的產(chǎn)品本身后臺捕獲病毒以及處理病毒的及時性。另一方面，防病毒功能要盡可能少的占用操作系統(tǒng)資源，以免為其它的業(yè)務(wù)工作帶來影響。

3.2 終端資源管理模塊。終端資源管理的主要內(nèi)容是實現(xiàn)終端信息的自動收集功能，包括終端的資產(chǎn)登記信息、終端的資產(chǎn)變更信息、終端的信息查詢與統(tǒng)計管理等內(nèi)容，并能夠?qū)σ陨瞎芾聿呗赃M行靈活的設(shè)置。同時，應(yīng)能夠自動搜集終端的軟硬件設(shè)備信息，包括終端的CPU、內(nèi)存、硬盤、終端操作系統(tǒng)及所安裝軟件版本等，自動生成統(tǒng)計報表，并提供實時查詢的手段。

3.3 軟件分發(fā)管理模塊。軟件分發(fā)管理的主要功能是實現(xiàn)企業(yè)員工日常辦公軟件的統(tǒng)一下發(fā)，作為軟件更新的技術(shù)手段，實現(xiàn)對所有終端的批量軟件分發(fā)需求。同時，從技術(shù)層面確保企業(yè)軟件的正版化。所以該模塊應(yīng)具備按不同單位、不同部門、不同主機為群組的軟件下發(fā)方式，并且能實現(xiàn)軟件的定時定點下發(fā)，斷點續(xù)傳等功能，分發(fā)的模式應(yīng)包含終端后臺自動安裝、提示并強制用戶安裝和用戶自主選擇安裝，以此滿足不同用戶的需求，軟件分發(fā)完成后，應(yīng)能夠通過管理界面查詢到軟件分發(fā)的結(jié)果。

3.4 補丁管理模塊。補丁管理的主要功能是針對企業(yè)終端的操作系統(tǒng)補丁以及部分業(yè)務(wù)軟件的補丁下發(fā)，為了終端的安全性，必須強制終端更新操作系統(tǒng)補丁。該模塊應(yīng)能夠提供終端后臺自動安裝和用戶自主選擇安裝兩種補丁分發(fā)模式。考慮到業(yè)務(wù)系統(tǒng)服務(wù)器補丁更新的難易程度，還需具備按不同單位、不同部門、不同主機定制補丁下發(fā)策略的能力，與此同時，還應(yīng)能夠通過統(tǒng)計查詢功能，了解所管理終端的補丁安裝情況，并自動生成統(tǒng)計報表。這里特別需要指出，針對企業(yè)業(yè)務(wù)系統(tǒng)服務(wù)器，在建設(shè)該模塊時，需要注意補丁安裝的策略，以免補丁的安裝導(dǎo)致業(yè)務(wù)系統(tǒng)的可用性降低。

3.5 遠程桌面協(xié)助模塊。遠程桌面協(xié)助主要是針對大型企業(yè)終端分散的現(xiàn)狀，方便系統(tǒng)維護人員通過遠程桌面調(diào)用的方式連接終端，高效、快捷的解決終端用戶遇到的問題。該模塊應(yīng)能夠支持企業(yè)使用的所有操作系統(tǒng)版本，提供遠程控制和遠程監(jiān)控兩種協(xié)助模式。為了避免法律問題，建議該功能必須強制系統(tǒng)維護人員在遠程連接用戶終端前得到用戶的確認。同時，還必須具備安全審計的功能，對系統(tǒng)維護人員在用戶終端上進行的所有操作進行記錄，以備后續(xù)的查詢。

3.6 網(wǎng)絡(luò)準入控制模塊。網(wǎng)絡(luò)準入控制的主要功能是通過與企業(yè)內(nèi)部網(wǎng)絡(luò)設(shè)備或是網(wǎng)關(guān)設(shè)備的技術(shù)聯(lián)動，從安全策略遵從這個角度避免非企業(yè)終端和未滿足安全策略的企業(yè)終端的接入，以此杜絕未知終端引入的風(fēng)險，導(dǎo)致企業(yè)業(yè)務(wù)系統(tǒng)及網(wǎng)絡(luò)環(huán)境的癱瘓。

3.7 安全策略管理模塊。終端安全策略管理是將企業(yè)安全管理的要求以及需遵從的安全規(guī)定通過技術(shù)策略的方式強制下發(fā)至所有企業(yè)終端。并通過與網(wǎng)絡(luò)準入控制模塊的配合，實現(xiàn)對企業(yè)終端的安全管理。該模塊應(yīng)具備如下的內(nèi)容：（1）支持修改企業(yè)終端的注冊表信息，修改本地安全策略中的密碼策略、審核策略，開啟和關(guān)閉終端的系統(tǒng)服務(wù)；（2）允許或拒絕使用USB存儲、USB上網(wǎng)卡等設(shè)備，且能控制到僅禁用未授權(quán)移動存儲、3G上網(wǎng)卡而開放USB鍵盤和鼠標(biāo)的功能；（3）能夠設(shè)置終端安裝軟件的黑白名單，并支持軟件白名單庫、黑名單庫的持續(xù)更新；（4）基于不同單位、不同部門、不同用戶單獨設(shè)置和下發(fā)不同的策略，并能實現(xiàn)策略的即時更新下發(fā)。

4 結(jié)束語

大型企業(yè)的業(yè)務(wù)在不斷的發(fā)展，而面對不斷惡化的安全形勢、與日俱增的信息化犯罪，單一的防護手段已不能應(yīng)付企業(yè)瞬息萬變的安全風(fēng)險，為了能夠更好的保護企業(yè)知識產(chǎn)權(quán)、重要數(shù)據(jù)資源以及企業(yè)機密信息，構(gòu)建一套適應(yīng)大型企業(yè)推行的終端安全管理系統(tǒng)將勢在必行，也必定會推動企業(yè)信息化安全管理水平的不斷提高。

參考文獻：

[1]閻丁源.天津移動終端安全管理系統(tǒng)方案設(shè)計與實踐[J].北京郵電大學(xué)，2012.

[2]劉蘭，朱程榮.政務(wù)終端安全基線管理系統(tǒng)的設(shè)計與實現(xiàn)[J].計算機與現(xiàn)代化，2013（02）.

作者單位：北京新機場建設(shè)指揮部，北京 100621