搜索
对终端安全管理系统的分析终端到底是什么概念?在目前的信息安全领域,终端一般指网络中的一台可能由任何人操作的一台计算机,事实上,服务器也可以归结为广义上的终端一、目前终端面临的安全问题信息系统可以简单地划分为三个部分网络传输、服务器和终端。目前,信息安全类的产品,比如说防火墙、IDS、防病毒系统、网管软件还有服务器存储备份类系统等等。这些系统主要都是面向信息系统中的网络传输和服务器两大部分提供安全服务。唯一可能和大家接触的比较多的软件,就是杀毒软件。杀毒软件从安全角度的话,我们更多的关注它所能提供的边界防护功能,是一种“隔离式”的安全手段,并没有从根本上解决计算机面对的不同方面的安全问题。对于大多数用户来说,终端安全和终端方面的系统建设还是相对空白的。计算机终端作为信息存储、传输、应用处理的基础设施,其自身安全性涉及到系统安全、数据安全、网络安全等各个方面,任何一个节点都有可能影响整个网络的安全。而计算机终端广泛涉及每个计算机用户,由于其分散性、不被重视、安全手段缺乏的特点,已成为信息安全体系的薄弱环节。终端到底是什么概念?在目前的信息安全领域,终端一般指网络中的一台可能由任何人操作的一台计算机,事实上,服务器也可以归结为广义上的终端。终端由于应用和使用的复杂性,目前没有关于终端安全详细的描述与定义。可以说,影响计算机使用者正常处理和完成职务工作的计算机软件、硬件使用,以及违反公司信息系统和行政管理规定的计算机应用,均可认为是触发了终端安全或终端管理事件。事实上,有权威机构的调查表明90%以上的管理和安全问题来自于终端。这些事件主要包括:一是终端补丁的有效管理。在这里主要是指操作系统需要安装厂商提供的补丁程序,来避免不可预期的系统错误和预防利用操作系统漏洞来进行攻击的网络病毒。杀毒软件需要升级病毒库,事实上病毒库的升级也可以说是一种杀毒软件打“补丁”的行为。这些,基本上已经达到了信息技术人员“地球人都知道”的程度了。说到这里,简单为大家介绍下我们在自己计算机的添加/删除菜单中可见的微软补丁的分类。按照官方说法:按照程序的不同,补丁分为操作系统、浏览器、应用程序三类;按照带来的风险级别不同,补丁可以分为0,1,2,3,4级5个级别。事实上,对于我们大多数人来说,我们不需要了解关于补丁过于详细的内容,所以,我们可以把微软的补丁简单分为2类:小补丁和大补丁。小补丁就是指微软网站上经常更新的各类补丁,特征是,都是面对一到二个实际问题发布的相对实时的补丁,一般官方称为hotfix,热点修复。大补丁就是指微软不定期提供的补丁集合,就是我们常说的servicepack,他一般是它发行前,所有小补丁所修复的问题的总的集合。小补丁即Hotfix类的补丁安装后一般在我们的系统中能看到的名称就是带有操作系统类型-修复程序-补丁号字样的补丁。大补丁可以在桌面,我的电脑的属性中察看。二是设备接入管理问题。对于内部局域网络来说,内部计算机不接受网络管理员统一管理、外来单位电脑随意接入等等问题总会形成可能威胁整个网络安全性或效率的不确定节点。三是终端非法外联行为。对于绝大多数企业级用户来说,财务、人事、研发规划等部门属于涉密部门,员工的计算机一般需要进行与Internet的隔离,避免内部机密的外泄,如果这些计算机违反管理规定私自接入Internet网络,将为整个单位造成潜在的泄密或经济损失。四是移动存储管理问题。随着U盘、移动硬盘等移动存储设备应用的日益广泛,大多数人已经接受了这种方便的数据存储方式,但这也为企业防止泄密提出了难题。五是内网多厂家杀毒软件的统一管理。对于杀毒软件,不同的用户有不同的偏好,尽管一些企业采购了统一的网络版杀毒软件,但是由于下属终端是否安装和正确升级或安装了其他的杀毒软件,并没有强制性管理手段,所以,并没有达到采购网络版杀毒的目的,也没有解决病毒对整个信息系统的影响。六是终端异常流量的发现和控制问题。对于这个问题,可能一些朋友要说大多数的网管软件也具有流量的监测功能。网管软件的流量监控是通过SNMP协议,基于可管理网络设备的干路性监测,除了整个网络均采用可网管设备的高端专用网络来说,他并没有办法迅速将异常流量的计算机迅速定位,通常解决这种问题时,会影响连接在同一可网管设备端口的其他计算机或网络设备的正常工作。但是,我们需要的是,可迅速定位并且解决异常流量的终端异常流量监控。七是终端安全策略统一监控和管理问题。目前很多网络病毒都是通过提升终端用户权限或新增系统用户来完成自身的传播的,这方面的监控,一般都以windows自带安全策略的配置和管理功能实现。八是终端资产管理问题。目前,终端资产的管理和统计,已经成为网络管理和单位财务统计的重要工作之一,但是手动统计,或者人工管理,无法满足大型信息化系统的终端资产管理。九是主机运维资源的管理问题。服务器、功能软件主机为整个信息系统提供各种服务和监控,但是对整个网络中的所有这些主机的整体上的管理和监控,以及异常报警应该是为了避免系统性风险的重要手段,这也就把主机运维资源的管理提到了日程上来了。这些方面的问题是怎么产生的呢?就拿现在比较让大家头疼的“熊猫烧香”病毒,举例,目前熊猫烧香病毒变种约为500种,目前市面上所有的杀毒软件,最多的只能处理400种左右常见的变种类型,限于各种实际条件,目前尚未有杀毒软件,可以处置熊猫烧香病毒所有的变种。这种病毒为目前所有的网络管理人员和网络安全人员的工作带来了很大的困扰。其实,所有网络中的病毒发生总是有一个源头的,我们需要从源头上控制网络中的病毒引入点;熊猫烧香病毒纠其根本是缺乏对终端行为,包括上网访问、移动存储使用等行为的管理和控制。当病毒被引入网络后,我们如何控制和解决病毒对终端和网络的影响呢?我们需要对客户端是否安装杀毒软件、杀毒软件的病毒库是否为最新版本,终端系统安全补丁是否安装完全,进行监控。这些是熊猫烧香类病毒能够大面积影响网络的主要原因。当病毒问题解决后,为以后防患与未然之间,我们需要将问题终端进行统计,和完善安全措施,这需要进行统计和管理工作,完善我们的信息安全体制。这就需要我们构建从事先预防,事中管理,事后报警的一整套的终端安全管理体系。二、终端安全管理的解决方案从目前的终端安全和终端管理技术上来看,网络的终端安全管理主要是从终端状态、行为、事件方面来进行防御和管理。终端管理这个理念最早是由美国提出的,它主要是提出了遵循网络防护和端点防护并重理念,提倡“终端状态及行为安全控管”技术思路。事实上,终端安全和管理系统在实际上应该是针对网络安全管理人员在网络管理、终端管理过程中所面临的种种问题提供解决方案,实现网络终端的可控管理,并能够支持局域网、广域网构架,达到最佳的管理效果的。对于功能来说,我们可以把终端安全管理系统看作一个平台,这个平台的功能是按照用户实际需求来载入功能模块的。目前,比较通用的模块有7个。第一个模块是桌面安全模块,主要包括下属计算机的桌面密码权限管理、统一的个人防火墙管理、终端杀毒软件的统一管理、终端安全登记管理、终端在线/离线策略管理等等。根据不同客户的需求,桌面安全管理正在逐步将桌面审计的功能逐渐加了进来。这块主要包括文件、上网行为、打印行为等使用人行为的管理和控制。第二个模块是桌面管理模块。主要包括桌面流量管理、进城运行管理、终端服务管理、点对点终端控制等桌面管理功能。对一些广义上的终端,比如服务器等,需要有一些主机运维方面的解决方案,包括cpu、内存等运行资源的监控、主机流量异常的监控、提供服务的系统服务或进程的异常监控等等。第三个模块是补丁及文件分发管理模块。主要功能要涵盖windowsupdate的所有功能和文件分发及文件自动执行功能,同时提供补丁整体导入、增量导入、补丁信息上报管理控制中心等功能,同时需要提供补丁真实环境闭环测试等避免系统性风险的预防手段。第四个模块是接入管理模块。主要功能是控制设备(包括终端和网络设备)的接入。包括客户端注册管理、终端接入交换机管理、终端带入带出网络监控、802.1x认证管理和ip/mac绑定管理。第五个模块是It资产管理。本模块的主要是为了满足对整个网络It资产的管理和统计,对于一些在美国的上市公司来说,他的it资产管理需要符合《萨班斯》法案,所以,it资产管理越来越被cio所重视。一般来说,本模块的功能包括,硬件设备信息统计、软件资产统计、设备变更信息统计、以及移动存储控制及审计。第六个模块是非法外联行为监控,主要是对涉密部门或不允许连结internet的计算机的外联行为的监控和告警。第七个模块是报表模块。这部分,主要是为了网络管理员、网络安全员和信息中心主管对数据的需要,以及获取dss设计的所需要的相应数据,需要具有管理员自定义报表内容和格式的功能。报表具有相对的滞后性和对管理员关注程度的要求,在这里,对于报表模块来说,我们一般现在要求其具有email、信使服务和手机短消息的通知功能,来满足信息系统实时性的要求。总体上来说,终端安全管理的解决方案,包含上述的这些功能,整体的解决方案,可根据实际需求细分为终端安全管理解决方案、终端补丁分发管理解决方案、终端安全审计解决方案、终端移动存储管理解决方案。一般来说,对于相应的解决方案,均应可提供相应的平台接口和二次开发接口,以备功能的变更升级和系统集成。毕竟,it产业作为知识经济的领头羊之一,发展和变化才是硬道理。三、终端安全管理发展趋势我在上边说过,信息系统如果大致划分的话,可以划分为网络传输、服务器和终端三部分,同样,信息安全保障体系也是为这三者提供相应的安全防护的。作为一个信息系统的整体,信息安全不能采用类似于美国行政体系那种三权分立的模式,所以,终端安全管理的发展趋势就是和网络传输安全、服务器安全系统统一起来,构建统一的安全网管平台。这就要求,我们的终端安全管理的系统可以和目前市面主流的信息安全产品硬件防火墙、杀毒软件、ids、PKI/CA认证联动,网管软件联动和早期建设的安全管理平台的联动,同时,可为第三方二次开发提供相应的数据接口。作为信息系统集成的一部分,终端安全管理产品的提供商,应该最少了解国内的比较大的系统集成商的技术体系,为信息集成项目提供高效的数据整合方法和流程。从技术发展的角度来说,终端安全管理系统,要主要应用一些通用的程序api,和标准的TCP/IP网络协议,以及第三方的公开的sdk接口来进行技术开发。同时,要具有根据技术的发展趋势,拓展和修改产品功能的技术能力,比如说,国内包括北信源公司的几家厂商的产品已经正式支持intel公司新推出的vpro技术。上边谈到的是终端安全管理产品的整合性,下面简单谈一下,终端安全管理的细分,Erp系统和oa系统在企业级用户的应用相当广泛,终端安全管理产品需要关注不同行业的行政管管理模式、应用系统特点和网络特点以及实际需求,能够根据不同需求提出相应的解决方案,以及分权限管理、分级管理的整体架构。做好可行性分析,面向每个用户或终端的具体需求,将终端安全管理产品融入到整个用户每一台终端之中,可兼容用户的实际网络、软硬件状况,融合到企业的信息系统之中。无论是整合还是细分,终端安全管理的发展方向是为用户提供一种可控管的信息安全解决方案,为终端方面的安全问题提供相应的解决手段;提高整个网络中终端用户的实际工作效率;降低终端的故障率,降低网络管理人员和网络安全管理人员的工作量,将网络管理人员和网络安全管理人员从重装系统、杀毒、安装应用软件等等烦杂的低效劳动中解脱出来。