企业网中计算机终端安全管理体系研究.pdfVIP

企业网中计算机终端安全管理体系研究 祖峰 北京邮电大学计算机科学与技术系，北京 （100876 ） E-mail ：fenny.z@ 摘 要：计算机终端是大多数用户访问网络和数据的工具，但是许多组织却在信息安全管理 及部署中忽略了对终端的控制，通常一个企业或组织会把安全精力集中放在部署防火墙等边 界安全防护上来保护其内部数据不受外来入侵者的非法访问，却因为对计算机终端的管理不 善而造成数据丢失或系统被入侵。这篇文章提供企业网计算机终端安全管理体系结构，可以 实现对计算机终端安全的整体管理以降低风险。 关键词：终端管理，终端安全，计算机终端 1. 引 言 随着近年来企业的信息化过程越来越迅速，信息安全问题也逐步被重视，但现今人们主 要把焦点都集中在网络边界的防护上，而研究表明信息安全问题事件的大多数原因是由于对 网络内部IT 终端的管理不善而造成的，据 CERT 报道有九成以上的安全问题是由于计算机 终端系统的脆弱性及配置不当造成的，诸如缺少补丁，脆弱的用户名密码或开启不必要的服 务等，可见计算机终端的安全管理已经成为信息安全的最大潜在威胁。网络安全呈现出了新 的发展趋势，安全战场已经逐步由对核心与主干的防护，转向对网络边缘的每一个终端的管 理。 2. 体系架构 ISO27001[1]标准是简历信息安全管理系统的一套需求规范，其中详细的说明了建立、实 施和维护信息安全管理体系的要求，指出实施机构应该遵循的风险评估标准。通过资产评估 及风险评估后，对当前的安全状况有了总体的认识和明确的目标，然后有重点有预防的来制 定和建立相应的安全机制，以达到增强计算机终端系统的整体安全性。 2.1 总体结构 图 1 计算机终端安全管理的总体设计结构 基于 ISO27001 的管理与技术相结合的思想，总体结构如图 1 所示。 终端管理系统将实现管理支撑、终端设备支撑、技术支撑，包括以下三个方面： - 1 - 建设终端支持管理平台； 实现终端的安全管理； 建立规范化的终端运行维护管理制度、管理流程以及服务支持体系。 本文主要详细介绍终端支持管理平台的设计与实现。 3. 终端支持管理平台实现 图2 终端支持管理平台 终端支持管理平台是实现终端管理的基础性平台，其基本架构如图 2 所示，终端支持管 理平台通过基础网络对终端实现有效的安全管理策略，同时也可以对基础网络和服务实现支 撑功能。系统管理员对终端安全管理平台进行系统运行管理，包括系统配置、系统管理、系 统运行报告、故障告警等；终端支持管理平台主要有域管理，接入控制，补丁管理和运行监 控等功能，同时提供与跟其它系统的接口。 3.1 域管理系统 域管理系统可以实现用户和终端管理，提供对用户、应用程序和设备的单一、一致性的 管理点，加强终端安全性[2] 。并且向用户提供单一的网络资源登录，为管理员提供强大、一 致性的工具以使他们能够管理为内部计算机用户、远程拨号用户以及外部客户提供的安全服 务。域管理是实施服务器管理、终端管理的基础，也为财务、人事、电子邮件、企业信息门 户、办公自动化、防病毒系统等各种应用系统提供支持，是安全体系建设的基础。 在通常的设计中有单域和多域两种域模型可以考虑，如表 1 所示。对于不同企业规模可 根据自身需求进行设计。 表 1 单域与多域比较 模式 单域 多域 项目 数据库设置 各站点都有完整的数据库 各站点有本域所辖范围的数据库，数据库细化 管理 统一管理 分散管理，域数目增多，重复管理任务增多 用户体验 一