1.概述
隨著空管局信息化建設(shè)的不斷深入,終端所面臨的安全威脅越來越多、越來越難以解決,例如外來人員隨意接入、病毒泛濫、隨意安裝與日常工作無關(guān)軟件、核心業(yè)務(wù)資源被非授權(quán)人員訪問等?展芫旨毙枰惶琢Ⅲw防御解決方案來應(yīng)對(duì)各類安全問題的產(chǎn)生。針對(duì)終端存在的主要問題,我局建立了一套完整的桌面安全系統(tǒng)。
2.桌面安全系統(tǒng)的基本原理
在很長的一段時(shí)間內(nèi),企業(yè)的安全防護(hù)措施均采用事件驅(qū)動(dòng)的,更有甚者業(yè)務(wù)網(wǎng)絡(luò)已被長期攻擊還不得而知。因此需通過構(gòu)建立體的防御體系來抵御各類已知的或未知的安全威脅。
以企業(yè)安全策略為核心,用戶在接入企業(yè)標(biāo)準(zhǔn)網(wǎng)絡(luò)之前,第一步接受身份認(rèn)證,通過第二步接入控制來獲取身份認(rèn)證結(jié)果,以判斷是否讓其通過;認(rèn)證通過后進(jìn)行第三步強(qiáng)制安全認(rèn)證,以檢查用戶的安全狀態(tài),通過安全狀態(tài)的結(jié)果決定是進(jìn)行隔離修復(fù)還是認(rèn)證通過,授予業(yè)務(wù)訪問授權(quán);最后業(yè)務(wù)審計(jì)要素監(jiān)視整個(gè)過程,以便以違規(guī)行為做出響應(yīng)與記錄,包括對(duì)業(yè)務(wù)授權(quán)后用戶的安全行為進(jìn)行監(jiān)控。整個(gè)流程形成了終端安全保護(hù)的PDCA持續(xù)改進(jìn)過程。
身份認(rèn)證即對(duì)終端用戶的身份進(jìn)行識(shí)別,以判斷用戶的合法性。目前身份認(rèn)證系統(tǒng)除了自建外,還有與第三方LDAP、Radius系統(tǒng)進(jìn)行整合。其中向微軟的AD等LDAP系統(tǒng)是當(dāng)前較為流行的身份認(rèn)證系統(tǒng)。
接入控制和業(yè)務(wù)授權(quán)是屬于網(wǎng)絡(luò)層面的控制措施,目前業(yè)界主要由軟件防火墻、802.1x接入交換機(jī)、硬件安全網(wǎng)關(guān)等SACG組成。業(yè)務(wù)授權(quán)是基于用戶的安全性確定用戶是進(jìn)入隔離域還是指定的業(yè)務(wù)域范圍,對(duì)于進(jìn)入隔離域的用戶在經(jīng)過安全修復(fù)后也將進(jìn)入指定的業(yè)務(wù)域范圍。
安全認(rèn)證是終端安全立體防御解決方案是中心,通過整體第三方安全產(chǎn)品,比如象防病毒、補(bǔ)丁管理,和自身安全策略,比如象防病毒策略檢查、補(bǔ)丁部署情況檢查、軟件安裝情況檢查等。通過整合評(píng)估終端是否符合企業(yè)當(dāng)前的信息安全要求,以確定是否讓終端訪問授權(quán)范圍業(yè)務(wù)域資源還是先進(jìn)入修復(fù)域進(jìn)行安全修復(fù)。綜合所述,隔離修復(fù)是對(duì)安全認(rèn)證的有力補(bǔ)充。
業(yè)務(wù)審計(jì)是終端安全立體防御體系實(shí)現(xiàn)PDCA重要環(huán)節(jié),業(yè)務(wù)審計(jì)可以通過報(bào)表展示,了解企業(yè)終端的安全狀態(tài)。找到差距并提供相應(yīng)優(yōu)化措施,最終實(shí)現(xiàn)企業(yè)內(nèi)網(wǎng)的合規(guī)性。
3.東北空管局的現(xiàn)狀
東北空管信息化內(nèi)網(wǎng)承載信息化網(wǎng)站、自動(dòng)化辦公(局OA系統(tǒng))、局即時(shí)通信系統(tǒng)、值班日記系統(tǒng)等應(yīng)用系統(tǒng),共有網(wǎng)絡(luò)設(shè)備近100臺(tái),終端用戶1000人,現(xiàn)將信息化網(wǎng)絡(luò)存在的問題總結(jié)如下:
1)空管局存在病毒泛濫,造成計(jì)算機(jī)終端用戶因病毒泛濫引起工作中斷。
2)外來人員隨意接入空管局信息網(wǎng),造成空管局重要資料丟失。
3)終端用戶隨意安裝與日常工作無關(guān)軟件。
4)空管局的核心業(yè)務(wù)資源被非授權(quán)人員訪問,造成核心業(yè)務(wù)資源被泄密。
5)空管局的U盤隨意使用,是病毒泛濫傳播的途徑之一。
6)空管局終端計(jì)算機(jī)系統(tǒng)補(bǔ)丁無法統(tǒng)一升級(jí)。
7)空管局固定資產(chǎn)無法自動(dòng)進(jìn)行統(tǒng)計(jì)。
4.東北空管局的桌面安全系統(tǒng)的組成
東北空管局采用華為賽門鐵克公司TSM終端安全管理系統(tǒng)。其中TSM終端安全管理系統(tǒng)由SM管理服務(wù)器、SC控制服務(wù)器、準(zhǔn)入控制,硬件SACG、802.1X交換機(jī)、軟件SACG;四部分組成。
東北空管局終端安全管理系統(tǒng)SM管理服務(wù)器、SC控制服務(wù)器安裝在沈陽地區(qū)核心機(jī)房內(nèi)。并使用802.1X交換機(jī)接入信息化網(wǎng)內(nèi)。
在沈陽地區(qū)、大連地區(qū)、長春地區(qū)、哈爾濱地區(qū)信息化核心交換機(jī)內(nèi)盤掛硬件SACG ,并安裝軟件SACG。
終端用戶可采用Web方式進(jìn)行身份認(rèn)證、WebAgent方式進(jìn)行身份認(rèn)證和部分安全認(rèn)證、Agent方式進(jìn)行身份認(rèn)證和安全認(rèn)證。東北空管局采用Agent方式進(jìn)行身份認(rèn)證和安全認(rèn)證。
圖1 東北空管局的桌面安全系統(tǒng)組成圖
5.東北空管局的桌面安全系統(tǒng)的軟件應(yīng)用
5.1 建立空管局建立組織結(jié)構(gòu)圖
根據(jù)空管局的組織結(jié)構(gòu)圖,創(chuàng)建桌面安全系統(tǒng)的組織結(jié)構(gòu)。
圖2 空管局桌面安全系統(tǒng)的組織結(jié)構(gòu)
5.2 創(chuàng)建用戶帳戶
根據(jù)空管局的人員名單,創(chuàng)建用戶帳戶。
圖3 創(chuàng)建用戶帳戶
5.3 TSM 終端安全管理系統(tǒng)的劃分
TSM終端安全管理系統(tǒng)域的分為認(rèn)證前域、隔離域、認(rèn)證后域。
認(rèn)證前域?yàn)樯矸菡J(rèn)證前終端所能訪問區(qū)域,隔離域?yàn)樯矸菡J(rèn)證后,安全認(rèn)證不通過終端需進(jìn)行安全修復(fù)的區(qū)域,認(rèn)證后域?yàn)榘踩J(rèn)證通過后,終端基于業(yè)務(wù)需求角色所授予業(yè)務(wù)資源訪問權(quán)限的區(qū)域。認(rèn)證前域和隔離域?qū)儆诎踩蛑械姆⻊?wù)域;認(rèn)證后域?qū)儆诎踩蛑械臉I(yè)務(wù)域。
圖4 TSM 終端安全管理系
東北空管局認(rèn)證前域?yàn)樗糜脩舳伎梢栽L問的區(qū)域,受控域?yàn)闁|北空管局所有用戶所在的區(qū)域,隔離域?yàn)樗形赐ㄟ^安全認(rèn)證用戶可訪問的區(qū)域,認(rèn)證后域?yàn)闁|北空管局所有通過安全認(rèn)證后,終端基于業(yè)務(wù)需求角色所授予業(yè)務(wù)資源訪問權(quán)限的區(qū)域,包括信息化網(wǎng)站、局智能辦公系統(tǒng)(局OA系統(tǒng))等應(yīng)用系統(tǒng)。
5.4 TSM 終端安全管理系統(tǒng)的策略管理
圖5 TSM 終端安全管理系統(tǒng)的策略管理
東北空管局常用的策略為檢查防病毒軟件、檢查賬戶安全、監(jiān)控USB存儲(chǔ)設(shè)備、監(jiān)視非法外連、監(jiān)控網(wǎng)絡(luò)連接、監(jiān)控多網(wǎng)卡、監(jiān)控系統(tǒng)設(shè)備等。
圖6 常用的監(jiān)控系統(tǒng)設(shè)備
5.5 TSM 終端安全管理系統(tǒng)的其他功能
TSM終端安全管理系統(tǒng)的補(bǔ)丁管理和資產(chǎn)管理
東北空管局的補(bǔ)丁管理建立補(bǔ)丁服務(wù)器對(duì)終端用戶的操作系統(tǒng)進(jìn)行系統(tǒng)補(bǔ)丁升級(jí)。TSM終端安全管理系統(tǒng)的資產(chǎn)管理可對(duì)空管局資產(chǎn)進(jìn)行管理。
圖7 TSM 終端安全管理系統(tǒng)的其他功能
6.東北空管局安裝TSM 系統(tǒng)已解決的問題
6.1 關(guān)于空管局存在病毒泛濫的問題
通過終端管理TSM系統(tǒng)中的策略管理中的檢測是否安裝防病毒軟件,殺毒軟件是否進(jìn)行升級(jí)。終端用戶只有安裝防病毒軟件才可通過系統(tǒng)認(rèn)證?展芫纸K端計(jì)算機(jī)系統(tǒng)補(bǔ)丁的安裝也可通過TSM系統(tǒng)建立系統(tǒng)補(bǔ)丁服務(wù)器統(tǒng)一下發(fā)解決,來防范病毒泛濫。
圖8 病毒泛濫
6.2 關(guān)于外來人員隨意接入空管局信息網(wǎng),造成空管局重要資料丟失的問題
外來人員無法通過終端管理TSM系統(tǒng)認(rèn)證,外來人員無法訪問空管局內(nèi)部資料,也就不能造成重要資料丟失。
6.3 關(guān)于終端用戶隨意安裝與日常工作無關(guān)軟件的問題
可以通過終端管理TSM系統(tǒng)對(duì)終端系統(tǒng)安裝軟件進(jìn)行管理,安裝指定的軟件,禁止終端戶隨意安裝與日常工作無關(guān)軟件。
6.4 關(guān)于空管局的核心業(yè)務(wù)資源被非授權(quán)人員訪問,造成核心業(yè)務(wù)資源被泄密的問題
可以通過終端管理TSM系統(tǒng)對(duì)終端用戶進(jìn)行權(quán)限劃分,使非授權(quán)人員無法訪問核心業(yè)務(wù)資源,使非授權(quán)人員無法獲得核心業(yè)務(wù)資源。
6.5 關(guān)于空管局的U 盤隨意使用問題
可以通過終端管理TSM系統(tǒng)對(duì)終端用戶U盤進(jìn)行管理,使U盤只能在信息化網(wǎng)內(nèi)范圍使用。
6.6 空管局固定資產(chǎn)無法自動(dòng)進(jìn)行統(tǒng)計(jì)
可以通過終端管理TSM系統(tǒng)內(nèi)資產(chǎn)管理功能可對(duì)空管局資產(chǎn)進(jìn)行管理,并進(jìn)行自動(dòng)進(jìn)行統(tǒng)計(jì)。
7.結(jié)束語
本文以空管局終端管理TSM系統(tǒng)為例,介紹了如何利用終端管理TSM系統(tǒng),實(shí)現(xiàn)空管信息化終端用戶的安全。經(jīng)過一年多的實(shí)際應(yīng)用,證明該系統(tǒng)安全可靠,增加了網(wǎng)絡(luò)安全的有效管理,保障了我局信息化系統(tǒng)的安全,抑制了不安全事件的發(fā)生。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:桌面安全系統(tǒng)在信息化中的應(yīng)用
本文網(wǎng)址:http://www.ezxoed.cn/html/support/11121512517.html