桌面安全系統(tǒng)在信息化中的應(yīng)用

   1.概述

　　隨著空管局信息化建設(shè)的不斷深入，終端所面臨的安全威脅越來越多、越來越難以解決，例如外來人員隨意接入、病毒泛濫、隨意安裝與日常工作無關(guān)軟件、核心業(yè)務(wù)資源被非授權(quán)人員訪問等�？展芫旨毙枰惶琢Ⅲw防御解決方案來應(yīng)對各類安全問題的產(chǎn)生。針對終端存在的主要問題，我局建立了一套完整的桌面安全系統(tǒng)。

　　2.桌面安全系統(tǒng)的基本原理

　　在很長的一段時間內(nèi)，企業(yè)的安全防護措施均采用事件驅(qū)動的，更有甚者業(yè)務(wù)網(wǎng)絡(luò)已被長期攻擊還不得而知。因此需通過構(gòu)建立體的防御體系來抵御各類已知的或未知的安全威脅。

　　以企業(yè)安全策略為核心，用戶在接入企業(yè)標準網(wǎng)絡(luò)之前，第一步接受身份認證，通過第二步接入控制來獲取身份認證結(jié)果，以判斷是否讓其通過；認證通過后進行第三步強制安全認證，以檢查用戶的安全狀態(tài)，通過安全狀態(tài)的結(jié)果決定是進行隔離修復(fù)還是認證通過，授予業(yè)務(wù)訪問授權(quán)；最后業(yè)務(wù)審計要素監(jiān)視整個過程，以便以違規(guī)行為做出響應(yīng)與記錄，包括對業(yè)務(wù)授權(quán)后用戶的安全行為進行監(jiān)控。整個流程形成了終端安全保護的PDCA持續(xù)改進過程。

　　身份認證即對終端用戶的身份進行識別，以判斷用戶的合法性。目前身份認證系統(tǒng)除了自建外，還有與第三方LDAP、Radius系統(tǒng)進行整合。其中向微軟的AD等LDAP系統(tǒng)是當前較為流行的身份認證系統(tǒng)。

　　接入控制和業(yè)務(wù)授權(quán)是屬于網(wǎng)絡(luò)層面的控制措施，目前業(yè)界主要由軟件防火墻、802.1x接入交換機、硬件安全網(wǎng)關(guān)等SACG組成。業(yè)務(wù)授權(quán)是基于用戶的安全性確定用戶是進入隔離域還是指定的業(yè)務(wù)域范圍，對于進入隔離域的用戶在經(jīng)過安全修復(fù)后也將進入指定的業(yè)務(wù)域范圍。

　　安全認證是終端安全立體防御解決方案是中心，通過整體第三方安全產(chǎn)品，比如象防病毒、補丁管理，和自身安全策略，比如象防病毒策略檢查、補丁部署情況檢查、軟件安裝情況檢查等。通過整合評估終端是否符合企業(yè)當前的信息安全要求，以確定是否讓終端訪問授權(quán)范圍業(yè)務(wù)域資源還是先進入修復(fù)域進行安全修復(fù)。綜合所述，隔離修復(fù)是對安全認證的有力補充。

　　業(yè)務(wù)審計是終端安全立體防御體系實現(xiàn)PDCA重要環(huán)節(jié)，業(yè)務(wù)審計可以通過報表展示，了解企業(yè)終端的安全狀態(tài)。找到差距并提供相應(yīng)優(yōu)化措施，最終實現(xiàn)企業(yè)內(nèi)網(wǎng)的合規(guī)性。

　　3.東北空管局的現(xiàn)狀

　　東北空管信息化內(nèi)網(wǎng)承載信息化網(wǎng)站、自動化辦公（局OA系統(tǒng)）、局即時通信系統(tǒng)、值班日記系統(tǒng)等應(yīng)用系統(tǒng)，共有網(wǎng)絡(luò)設(shè)備近100臺，終端用戶1000人，現(xiàn)將信息化網(wǎng)絡(luò)存在的問題總結(jié)如下：

　　1)空管局存在病毒泛濫，造成計算機終端用戶因病毒泛濫引起工作中斷。

　　2)外來人員隨意接入空管局信息網(wǎng)，造成空管局重要資料丟失。

　　3)終端用戶隨意安裝與日常工作無關(guān)軟件。

　　4)空管局的核心業(yè)務(wù)資源被非授權(quán)人員訪問，造成核心業(yè)務(wù)資源被泄密。

　　5)空管局的U盤隨意使用，是病毒泛濫傳播的途徑之一。

　　6)空管局終端計算機系統(tǒng)補丁無法統(tǒng)一升級。

　　7)空管局固定資產(chǎn)無法自動進行統(tǒng)計。

　　4.東北空管局的桌面安全系統(tǒng)的組成

　　東北空管局采用華為賽門鐵克公司TSM終端安全管理系統(tǒng)。其中TSM終端安全管理系統(tǒng)由SM管理服務(wù)器、SC控制服務(wù)器、準入控制，硬件SACG、802.1X交換機、軟件SACG；四部分組成。

　　東北空管局終端安全管理系統(tǒng)SM管理服務(wù)器、SC控制服務(wù)器安裝在沈陽地區(qū)核心機房內(nèi)。并使用802.1X交換機接入信息化網(wǎng)內(nèi)。

　　在沈陽地區(qū)、大連地區(qū)、長春地區(qū)、哈爾濱地區(qū)信息化核心交換機內(nèi)盤掛硬件SACG ，并安裝軟件SACG。

　　終端用戶可采用Web方式進行身份認證、WebAgent方式進行身份認證和部分安全認證、Agent方式進行身份認證和安全認證。東北空管局采用Agent方式進行身份認證和安全認證。

圖1 東北空管局的桌面安全系統(tǒng)組成圖

　　5.東北空管局的桌面安全系統(tǒng)的軟件應(yīng)用

　　5.1 建立空管局建立組織結(jié)構(gòu)圖

　　根據(jù)空管局的組織結(jié)構(gòu)圖，創(chuàng)建桌面安全系統(tǒng)的組織結(jié)構(gòu)。

圖2 空管局桌面安全系統(tǒng)的組織結(jié)構(gòu)

　　5.2 創(chuàng)建用戶帳戶

　　根據(jù)空管局的人員名單，創(chuàng)建用戶帳戶。

圖3 創(chuàng)建用戶帳戶

　　5.3 TSM 終端安全管理系統(tǒng)的劃分

　　TSM終端安全管理系統(tǒng)域的分為認證前域、隔離域、認證后域。

　　認證前域為身份認證前終端所能訪問區(qū)域，隔離域為身份認證后，安全認證不通過終端需進行安全修復(fù)的區(qū)域，認證后域為安全認證通過后，終端基于業(yè)務(wù)需求角色所授予業(yè)務(wù)資源訪問權(quán)限的區(qū)域。認證前域和隔離域?qū)儆诎踩�域中的服�?wù)域；認證后域?qū)儆诎踩�域中的業(yè)務(wù)域。

圖4 TSM 終端安全管理系

　　東北空管局認證前域為所用用戶都可以訪問的區(qū)域，受控域為東北空管局所有用戶所在的區(qū)域，隔離域為所有未通過安全認證用戶可訪問的區(qū)域，認證后域為東北空管局所有通過安全認證后，終端基于業(yè)務(wù)需求角色所授予業(yè)務(wù)資源訪問權(quán)限的區(qū)域，包括信息化網(wǎng)站、局智能辦公系統(tǒng)（局OA系統(tǒng)）等應(yīng)用系統(tǒng)。

　　5.4 TSM 終端安全管理系統(tǒng)的策略管理

圖5 TSM 終端安全管理系統(tǒng)的策略管理

　　東北空管局常用的策略為檢查防病毒軟件、檢查賬戶安全、監(jiān)控USB存儲設(shè)備、監(jiān)視非法外連、監(jiān)控網(wǎng)絡(luò)連接、監(jiān)控多網(wǎng)卡、監(jiān)控系統(tǒng)設(shè)備等。

圖6 常用的監(jiān)控系統(tǒng)設(shè)備

　　5.5 TSM 終端安全管理系統(tǒng)的其他功能

　　TSM終端安全管理系統(tǒng)的補丁管理和資產(chǎn)管理

　　東北空管局的補丁管理建立補丁服務(wù)器對終端用戶的操作系統(tǒng)進行系統(tǒng)補丁升級。TSM終端安全管理系統(tǒng)的資產(chǎn)管理可對空管局資產(chǎn)進行管理。

圖7 TSM 終端安全管理系統(tǒng)的其他功能

　　6.東北空管局安裝TSM 系統(tǒng)已解決的問題

　　6.1 關(guān)于空管局存在病毒泛濫的問題

　　通過終端管理TSM系統(tǒng)中的策略管理中的檢測是否安裝防病毒軟件，殺毒軟件是否進行升級。終端用戶只有安裝防病毒軟件才可通過系統(tǒng)認證�？展芫纸K端計算機系統(tǒng)補丁的安裝也可通過TSM系統(tǒng)建立系統(tǒng)補丁服務(wù)器統(tǒng)一下發(fā)解決，來防范病毒泛濫。

圖8 病毒泛濫   

　　6.2 關(guān)于外來人員隨意接入空管局信息網(wǎng)，造成空管局重要資料丟失的問題

　　外來人員無法通過終端管理TSM系統(tǒng)認證，外來人員無法訪問空管局內(nèi)部資料，也就不能造成重要資料丟失。

　　6.3 關(guān)于終端用戶隨意安裝與日常工作無關(guān)軟件的問題

　　可以通過終端管理TSM系統(tǒng)對終端系統(tǒng)安裝軟件進行管理，安裝指定的軟件，禁止終端戶隨意安裝與日常工作無關(guān)軟件。

　　6.4 關(guān)于空管局的核心業(yè)務(wù)資源被非授權(quán)人員訪問，造成核心業(yè)務(wù)資源被泄密的問題

　　可以通過終端管理TSM系統(tǒng)對終端用戶進行權(quán)限劃分，使非授權(quán)人員無法訪問核心業(yè)務(wù)資源，使非授權(quán)人員無法獲得核心業(yè)務(wù)資源。

　　6.5 關(guān)于空管局的U 盤隨意使用問題

　　可以通過終端管理TSM系統(tǒng)對終端用戶U盤進行管理，使U盤只能在信息化網(wǎng)內(nèi)范圍使用。

　　6.6 空管局固定資產(chǎn)無法自動進行統(tǒng)計

　　可以通過終端管理TSM系統(tǒng)內(nèi)資產(chǎn)管理功能可對空管局資產(chǎn)進行管理，并進行自動進行統(tǒng)計。

　　7.結(jié)束語

　　本文以空管局終端管理TSM系統(tǒng)為例，介紹了如何利用終端管理TSM系統(tǒng)，實現(xiàn)空管信息化終端用戶的安全。經(jīng)過一年多的實際應(yīng)用，證明該系統(tǒng)安全可靠，增加了網(wǎng)絡(luò)安全的有效管理，保障了我局信息化系統(tǒng)的安全，抑制了不安全事件的發(fā)生。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.lukmueng.com/

本文標題：桌面安全系統(tǒng)在信息化中的應(yīng)用

本文網(wǎng)址：http://www.lukmueng.com/html/support/11121512517.html