终端安全管理
发布时间:2008-01-17   录入:启明星辰

终端安全管理综述


近年来,随着信息安全建设的不断深入和安全形势的不断发展,终端安全问题开始凸现。传统的以组织边界和核心资产为保护对象的安全体系逐渐显示出严重的缺陷,无法有效应对终端安全管理中面临的诸多问题。这样终端安全体系建设问题就逐渐提到组织管理者和网络安全建设者的议事日程上来,虽然终端资产的重要性级别通常低于网络中的交换机、路由器等核心网络设备以及各种业务主机和服务器,但广大终端数量众多,并且是组织的日常办公和业务运行的载体,如果终端安全受到威胁,即使网络中的核心设备安然无恙,整个网络的业务运行也会受到严重影响甚至瘫痪,如同家庭是社会的细胞,终端也是组成网络的基本单元,他们的安全与否对网络自身的健康运行有着深远的影响。建设一个有效的终端安全管理体系,不仅能够保障终端安全,而且能够提升网络整体的安全防御能力。


终端安全管理的内容


终端管理可以分类为:资产管理、终端保护、应用监管和审计分析。资产管理用于在企业范围内收集终端硬件信息、软件信息、用户信息等,实现企业级全面实时的资产管理;终端保护用于控制来自终端以外的安全威胁,通过恶意代码防范、个人防火墙技术、设备使用控制、数据文件保护等措施对终端的安全使用提供保护;应用监管用于对终端用户的行为进行监视和控制,比如终端准入控制、非法外联控制、网络滥用控制(上网、网络聊天、游戏等)、应用程序使用限制等;良好的审计分析机制是确保策略得到有效执行的保障手段。在终端的使用、管理、保护以及监管的过程中,需要有一套行之有效的审计措施,并且由专门人员进行日志的分析整理,发现违反策略的行为,或者策略需要改进的地方。


企业需要重视用户的配置安全管理。所谓配置安全管理,是指利用安全管理工具,收集设备终端安全相关的细粒度信息和监控用户的安全行为,并通过远程操作迅速应对安全威胁,从而实现对终端系统安全的全面监控和保障。通过采用适当的配置安全管理工具,一方面,定时进行安全扫描和评估,快速查找终端用户系统各个层面的安全漏洞和级别,或者实时监控用户的相关安全行为;另一方面,通过快速的部署、远程操作和智能修复技术,对安全漏洞自动进行补救,对安全威胁进行物理隔离。由于所有的安全管理都由管理员通过网络在后台统一实现,终端用户无需刻意地对自己的终端设备进行安全设置和维护,也无权更改终端系统的安全设置,从而可以确保在所有的终端设备上都实施统一的安全策略,高效且快速。具体的终端安全管理包括如下内容:


连接管理


网络连接


外贼好治,家贼难防。内部非法外联,内部网络用户通过调制解调器、双网卡、无线网卡等设备进行在线违规拨号上网、违规离线上网等,或违反规定将专网专用计算机带出网络,造成损失。应设定严格的安全策略,禁止通过安装两块以太网卡或红外、GPRS、MODEM、WLAN等手段非法外联、绕过统一的网络出口引如病毒或成为黑客攻击的跳板。


串口、并口、USB接口、打印机、其他外设连接


网络无界,一损俱损,因系统漏洞、病毒入侵、非法接入、非法外联、网络滥用、外设滥用等各种原因与管理不善会导致组织内部重要信息泄露或毁灭,造成不可弥补的重大损失; 对于串口、并口、USB接口、打印机、其他外设连接等输出输入设备,应严格限定读写的权限,同时加强安全管理,限定外设的接入,避免信息的泄密。


恶意软件防范


蠕虫泛滥,业务瘫痪。病毒蠕虫入侵,由于补丁不及时、网络滥用、非法接入等因素导致网络内病毒蠕虫泛滥、网络阻塞、数据损坏丢失,而且无法找到灾难的源头进而无法迅速采取隔离等处理措施,从而为正常业务带来灾难性的持续的影响。应部署防病毒软件和防毒墙、反间谍软件等恶意软件,及时安装补丁。


可移动存储管理


对U盘、数码相机、光盘等可移动存储设备应严格制定安全策略,没有使用需要的话禁止设备的接入、在安全策略中禁掉该设备的使用,如禁止从软盘和CD Rom启动系统 。

 

服务管理


终端服务可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果你的也开了,要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务,中期性(每天)的检查他们。


端口管理


关闭端口意味着减少功能,在安全和功能上面需要你作一点决策。如果服务器安装在防火墙的后面,冒的险就会少些,但是,永远不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口,确定开放了哪些服务是黑客入侵你的系统的第一步。


补丁自动分发


终端用户不了解系统补丁状态,不及时打补丁,也没有办法统一进行补丁的下载、分析、测试和分发,从而为蠕虫与黑客入侵保留了通道,应在网络中建立补丁分发管理系统,提供完整的补丁下载、分析测试、策略制定和分发,以及客户端补丁安装状况检测与分析。


使用技巧


屏蔽USB设备:停止所有USB设备的使用,包括U盘,数码相机、mp3等U口设备;禁止软驱:禁止软盘的使用;


客户端状态:监视网络中所有终端的状态,一旦有终端非法关闭,发出报警信息;


控制终端USB移动设备的使用;


控制终端屏蔽键盘字符数;


控制终端光驱、软驱的使用;


控制终端某些程序的使用;


控制终端的退出; 

日志管理:记录日志,包括每终端的启动、非法关闭以及中央控制台的 用户登录信息,记录终端文件变动信息(生成、修改、删除等)、USB移动设备试图使用状况。

 

除了上述各自为营的部件类安全产品在网络和系统内得到大量的应用,整体安全管理还涉及其他层面的安全问题,如操作系统的安全(Windows或者Linux系统),服务器安全等。故而需要将各类的产品进行平台化的整合,形成从微观向宏观信息安全发展的趋势,真正实现信息安全管理的解决方案。

文章来源:http://www.venustech.com.cn/
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号