对内网终端桌面系统监管,管理员能够远程查看桌面系统当前的详细信息,包括:已安装软件、已安装硬件、进程等。从而及早察觉发生在内网终端上的木马、病毒等安全威胁。
""用户与终端安全方案 您当前的位置:yl23455永利官网 » 解决方案 » 用户与终端安全方案
内网终端安全控制解决方案
1. 方案背景
随着各行各业本地信息化工作的开展,网络结构趋于复杂,网内终端不断增加,信息系统面临前所未有的安全挑战。在信息安全保障建设中,终端往往成为组织机构安全短板,难以控制,网内病毒、蠕虫扩散,工作信息泄密以及应用攻击行为频繁发生,严重影响组织机构的日常工作开展。较多组织机构建立了终端管理制度、终端操作规范,苦于缺少有效的终端安全管理技术措施,终端安全问题无法得到缓解。
为解决这一难题,天融信针对终端常见的安全问题,提出本解决方案。
2. 安全需求
非法接入终端带来的安全问题
在没有严格的监视措施下,外来攻击者将自己的终端直接连接到信息网络,并对信息网络进行攻击和破坏,其造成的后果是:非法访问信息网络,特别是内网服务区,造成重要信息的泄露;终端携带的病毒将直接对信息网络造成破坏;非法终端还将发布 ARP欺骗等数据包,引起网络的瘫痪等。
终端自身安全带来的安全隐患
终端自身的安全问题也将对信息网络造成威胁,比如终端自身已经携带了病毒,终端没有安装防病毒软件,终端的防病毒软件没有及时更新,终端操作系统补丁也没有及时更新等,这些安全问题将对内网其他终端,甚至内网服务器造成很大的麻烦,严重的将导致病毒在网络中的传播,或者终端上携带的蠕虫病毒在网络中大量散播的时候,也将导致交换机的负荷过重,而引起瘫痪。
终端缓存的文件造成泄密
内网终端在进行日常操作的过程中,往往在本地缓存了很多重要文件,那么当终端在访问互联网的时候,这些缓存在本地的文件,在没有采取任何访问措施的时候,也将会成为互联网攻击者的目标,造成信息的泄密。
3. 解决方案
针对以上问题,天融信从可信的角度,综合采用终端安全管理平台,部署在网络中,通过技术间的整合来实现有效的内网终端安全控制,实现以下的部署方案:
图 1 内网终端安全控制解决方案示意图
针对内网终端安全控制需求,方案充分发挥了终端安全管理平台作用,通过设计如下功能解决用户安全需求。
( 1 )终端非法接入的问题
利用终端安全管理平台与交换机802.1X功能实现认证联动。终端在接入网络后,必须进行认证,认证不通过的终端属于非法接入终端,是无法访问网络的任何资源的。
( 2 )终端健康性带来的威胁问题
终端在接入网络进行访问前进行的健康性检查,是确保终端可信的首要条件。如果内网终端存在安全隐患,极易成为病毒滋生地,对信息系统造成破坏,因此,在内网终端访问之前,先通过安装在内网终端上的防护代理进行健康性检查,并以此为依据,做为判断是否可进行下一步操作的关键,终端防护代理将检查的内容包括:
终端操作系统补丁是否为最新版本
终端是否有病毒防护措施
终端上的防病毒系统是否有效
终端上的病毒库是否为最新
终端上有否安装了非法的软件
终端是否运行了非法的进程
终端是否已经感染了病毒(通过非法进程监控来判断)
( 4 )对重要文件的保护
端代理在终端硬盘上划分出专用文件夹(文件保险柜),所有存储在本文件夹下的文件都将加密,只有提交了正确的帐号和口令后方可正确访问文件。。
通过专用文件夹技术,可以很好的保护重要文件的机密性,提升了总体的安全性。
( 5 )利用终端防护系统提高内网终端的自身安全
内网终端的自身安全是可信外访的首要前提,只有每个内网终端的桌面系统安全了才能保证外访过程的安全性。这里通过在每个内网终端上部署终端防护系统代理,同时接受终端防护系统服务器管理监控,从而能保证办公终端的自身安全性。具体重点包括:
能够自动检测内网终端桌面系统的安全状态,检测桌面系统的病毒防护软件是否工作正常。针对桌面系统的补丁自动检测、下发和安装,修复存在的安全漏洞。
对内网终端桌面行为监管,对桌面系统上拨号行为、打印行为、外存使用行为、文件操作行为的监控,确保机密数据的安全,避免了内部保密数据的泄漏。
对内网终端的IP管理:限制内网终端用户私自修改IP地址、MAC地址;通过策略可限制未分配的地址,终端用户不得私自使用;