桌面终端安全准入控制的思考
—盈高TM多维终端安全管理平台MSEP ,不容错过的选择
摘要:过十几年的发展,各县级供电企业建立了相对完善的内部局域网系统。在系统运行过程中,面临着来自局域网内部以及外部的计算机的网络安全风险,在这种情况下,确保网络的安全运行,不仅要建立严密的计算机管理制度,还要从技术上加强安全措施以防止外部黑客的入侵和来自企业内部的攻击和威胁。桌面终端安全准入控制系统可以在用户接入网络前,通过统一管理的安全策略检查用户终端的安全健康状态,并根据对用户桌面安全状态的检查结果实施是否接入,对不符合安全标准的用户进行“隔离”并强制用户进行病毒库升级、系统补丁安装等操作;在保证用户终端具备自防御能力并安全接入的前提下,可以通过动态分配ACL、VLAN等合理控制用户的网络权限,从而提升网络的整体安全。 关键字:安全准入控制、隔离、风险控制、管理
目前在县级供电企业,已经实施多种网络安全产品,如Symantec 企业版病毒防护系统、微软补丁分发产品WSUS补丁更新系统,今年初,国网统一部署了桌面终端管理系统,国网公司部署中心服务器,省公司部署一级服务器,市局部署二级服务器,并给县级供电企业提供一个管理客户端,实现对接入终端的外联管理、外设管理、资产管理、远程运维、协议管理等。在统一的管理和控制策略下,使县级供电企业对终端初步具有可管理性。同时,国网公司通过定期下发各类管理和安全检查等策略,对县级供电企业的终端安全进行定期抽查。通过这套系统,一方面解决了数量众多的计算机的安全、管理、维护问题,降低了单位的基础设施构建成本,另一方面保障了数据信息的安全。
虽然县级供电企业在内网终端安全方面做了很多工作,部署了防火墙、安全VLAN的划分、刚实施的内外网物理隔离、Symantec 企业版病毒防护系统、补丁统一更新系统、以及国网统一部署的桌面终端管理系统,但是,对类似下面的安全问题是否做到真正意义上的解决: 1、 是否已经做到真正的隔离?目前在县级供电企业实现了内外网的物理隔离,但无法从技术手
段来判断并杜绝内网计算机连接外网。
2、 终端接入可控吗?虽然县级供电企业已经有一套IP与MAC绑定的系统,但是我们可以伪
造IP与MAC信息接入网络。虽然作了物理隔离,可是正常工作中还是经常会碰到外来计算机,如何来控制接入及做接入前管控?怎么样可以做到很灵活的终端接入审查呢?在系统正常运行之后所有接入网络的终端如何做到只有通过管理员审查批准才可以接入呢? 3、 目前县级供电企业接入终端为数众多,分布地域很广,接入计算机密码过于简单,管理人员、
不知道哪些计算机未安装杀毒软件或安装了没有及时更新病毒库,信息管理人员如何及时发现计算机的安全漏洞,提供用户更改密码,安装杀毒软件,更新病毒库等,以保障系统不因为弱口令的原因被病毒和黑客攻击?
4、 怎么对终端进行强制的安全加固?通过桌面终端管理系统,管理人员对计算机终端的安全隐
患将更加了解,但终端使用人员操作水平参差不齐,如何来保证计算机的操作系统没有漏洞,补丁全部打齐,杀毒软件版本及病毒库都更新到最新以及账号密码具有一定强度的呢? 5、 终端计算机如果需要修复怎么办?如何保证接入终端是处于健康状态的,如果保障存在安全
隐患的终端的安全修复,甚至强制让接入终端修复其安全隐患呢?
6、 如何将异常状态的终端快速隔离?如何快速有效的定位网络中病毒、黑客的引入点,快速、
安全的切断安全事件发生点和相关网络?
为了解决上述问题,从源头杜绝安全隐患,应该未雨绸缪,需要部署一套完整的终端安全
准入控制系统。
准入控制系统是防止病毒、蠕虫甚至人为破坏等技术和行为对企业网络安全造成的危害。借助准入控制系统,可以只允许合法的、值得信任的端点设备接入网络,而不允许其他设备接入。在初始阶段,当端点设备进入网络时,准入控制系统能够实施访问权限。准入控制系统的接入规则可以根据端点设备的信息制定,例如设备的当前防病毒状况以及操作系统补丁等。准入控制系统将按照客户制定的策略实行相应的准入控制决策:允许、拒绝、隔离或限制.
作为终端安全管理整体解决方案, 县级供电企业已经部署了桌面管理系统,但无有效地技术手段控制客户端的准入控制;同时,对于桌面管理系统采集上来的安全隐患,也没有强制手段保证终端及时有效的加固。因此终端安全准入控制系统建设重要性突显出来,与桌面管理系统同时作为整体方案的两块重要部分,二者缺一不可。
端点准入控制系统的主要功能:
一个完整的网络准入控制系统,在终端设备接入时,应该提供以下五步检查和控制流程,缺少其中一个方面的内容,就不是完善的准入解决方案,都无法达到完整的安全风险控制、预防和响应要求,会给准入控制系统的部署和推广使用带来问题。
第一步,注册登记:内部终端要访问网络资源之前,需要在网络上注册登记(用户账户登记、
终端ID注册等),取得接入网络的权限。
第二步,接入检查:终端在接入网络时,准入控制系统会检查其用户账户、安全设置状态、终
端硬件合法性等。
第三步,安全隔离:如果在接入检查时,发现终端不符合安全规定,需要对终端进行隔离或拒
绝其访问网络资源,例如:发现是外来终端则拒绝接入或进入“访客区”网段,或者是内部不符合安全规定的终端,则让其进入“修复区”。
第四步,安全通知:对被隔离的终端进行通知,告知其被隔离的原因,在访问网页资源时也会
有相应的安全通知告示。
第五步,安全修复:自动引导被隔离的终端,让其修复安全设置或者进行注册登记,使得其可
以正常访问网络资源。
? 具备功能
? 多样式的身份认证
提供自身用户名、密码身份认证,也支持与AD域、LDAP、USB-KEY、手机短信等第三方身份认证系统进行联动,保障身份认证功能的多样化。
? 丰富的安全检查规范库
安全检查规范做为准入控制系统对接入设备审核其安全性的依据,应具有丰富性、完整性、扩充性。桌面终端安全准入控制系统应该不仅已包含了补丁检查、杀毒软件检查、IP/MAC地址绑定检查等常规安全检查项,也包含了桌面客户端运行状态检查、域用户检查、必须/禁止安装软件检查等个性化安全检查项,还可以根据用户的实际需求进行扩充。同时桌面终端安全准入控制系统应该根据不同的行业用
户对安全准入控制力度的不同,专门提供了标准行业入网规范库使各行业用户根据自身行业的需求来应用安全检查规范。
? 智能、快速的安全修复
桌面终端安全准入控制系统应该为存在安全隐患的接入设备提供了智能、快速的“一键式”修复功能,避免因修复安全隐患的复杂性和专业性,使终端用户面对漏洞而无从下手,导致不能及时接入网络进行业务操作,同时也减少了管理员的工作量。
? 灵活的访问权限控制
相关推荐:
loading