终端安全管理系统在企业内网中应用.docVIP

终端安全管理系统在企业内网中应用 　　随着信息安全技术不断发展，内网终端安全管理问题日渐突出。本文在分析了当前企业内网终端安全隐患的基础上，重点介绍了企业内网终端安全管理系统的体系构架、主要组件及功能应用。为企业的信息安全提供了一套完备、有效的内网终端安全一体化解决方案。 　　【关键词】内网终端 安全管理 　　1 引言 　　处理、检测和预防来自网络外部的攻击是目前国内常见的用于防护网络安全的方式，该方式非常信任网络内的计算机。实际上，根据统计结果显示，只有千分之一的安全事件是来自外部攻击，而绝大多数的安全问题都是来源于网络内部。对于客户端的安全管理不仅是管理企业内部局域网最繁杂的工作，也是关系到整个局域网安全运行的关键所在。有的企业采用了物理隔离的方式将内网和外网分开，有的企业要求必须通过统一的网关连接内网计算机和外网，同时为了加强网关安全，采用IDS监控的同时，加装防火墙。尽管如上述所示的各类安全措施都得到了实现，众多管理者们却仍然头疼于泄密事件或其它各类内网安全事件的频繁发生。 　　企业内网中终端安全隐患随时随地都可能威胁到用户网络的正常运行，总结起来，内部网络管理大致面临以下问题： 　　（1）终端设备的系统漏洞如何检测并自动分发补丁； 　　（2）内部局域网如何防范存储设备和笔记本电脑的任意接入； 　　（3）U盘造成的病毒传播和信息泄漏如何防止； 　　（4）内网设备非法外联如何防范； 　　（5）怎样在全网制订统一的安全策略； 　　（6）如何防范内部涉密重要信息的泄露； 　　（7）已接入网内的电脑的软件安装情况如何管理与监控。 　　（8）如果网络遭受到黑客、蠕虫和病毒攻击后，如何迅速定位被攻击终端，并有效和快速的对发生问题的引入点的网络进行切断。 　　（9）如何建立一个可以查询事件信息、响应安全事件的平台，做到对网络资源进行全面管理，对报警信息进行有效处理。 　　2 系统分析与应用 　　在企业中，内网的终端安全管理系统实施是一个复杂工程。网络安全问题关联着多种基础的安全服务，包括：可靠性、可用性、审计、抗抵赖，保证数据完整和保密，控制访问和及时验证身份等。在构建终端安全管理系统前期，针对不同企业对信息安全保密要求不同的问题，需要进行综合有效的风险分析，进而形成对各种风险合理控制的系统安全策略，同时根据具体需求与成本控制，调整与定制系统功能模块组合，把各项安全控制的功能模块融合在一个统一的管理、监控和响应的系统中。 　　2.1 系统体系构建 　　系统的基础是XML，并且可以对系统架构进行扩展，在进行修改和扩展功能时具有低成本优势。系统组件可以?M行升级与功能的无缝扩展，并且支持API标准以及可以分布式部署，可以定制模块化软件等功能，采用C/S模式应用在各个组件之间。系统服务器安装在专业的数据服务器上，配置相应数据库。客户端如果要与数据服务器进行连接，必须首先通过安全认证。服务器的作用是对于客户端日志和策略进行存储，同时收集客户端日志和下发策略。通过HTTPS协议实现不同层级服务器的连接，完成对数据的统计和收集，数据类型包括：日志、报警信息和组织结构。系统客户端安装在内网中的终端计算机上，实时监控客户端的网络行为和安全状态，实现客户端安全策略管理。控制台则是管理员实现对系统管理的工具。控制台与服务器进行链接的前提都是必须通过安全认证。控制台在链接后可以管理，审查数据以及制定和发放策略。准入控制网关设备部署在机房核心交换机旁路，在核心交换机配置相应端口镜像，监控企业内网中所有数据流。企业内网终端安全管理系统结构如图1所示。 　　2.2 系统组件分析 　　终端安全管理系统是以终端管理为核心，集八种主要组件为一体的综合安全管理体系，系统组件分析如下： 　　（1）SQL Server管理信息库：建立终端安全管理系统的初始化数据库。报警、改变设备属性、机器的注册和未注册信息，设备扫描器、区域管理器、客户端等设备的属性以及管理区域的范围的相关信息都属于该初始化的数据库信息。 　　（2）网页管理平台：系统的管理配置中心。针对下列几个方面进行配置管理：在客户方面，对系统用户进行维护，设定注册客户端的各类参数。在设备方面，识别网络设备相关信息，包括扫描器、区域管理器。在策略方面，设定任务定义，为系统制定相关策略。 　　（3）区域管理器：系统数据处理中心。主要任务是接受和下达指令和对数据库的管理。使用范围是：不同客户端、服务器以及通讯扫描终端设备。最终建立一个多级管理的网络，系统数据在不同层级的区域管理器之间实现逐级传递。 　　（4）Winpcap程序：是嗅探所需的驱动软件，主要功能是实现对网络上的数据进行监听。 　　（5）客户端注册程序：访问指定网站自动获得，用户填写必要的信息后，运行该程序，区