1、用户需求
企业的内网安全越来越重要,虽然很多企业都做了应对策略,比如在企业内网的边界处防火墙或入侵检测产品,在终端计算机或服务器上部署杀毒软件,但是仍然有安全事件发生,究其原因,发现很多问题来自终端安全防护不足或安全防范意识薄弱而导致,具体分析其原因,主要原因表现如下:
1) 计算机未实施安全访问机制,导致终端用户访问计算机无法进行实名制管理。大部分企业的计算机终端未实行计算机用户访问实名化,一是,计算机终端用户管理混乱,甚至在安全事件发生后无法找到肇事者;二是,由于计算机终端用户随意访问,特别是在访问互联网的论坛或微博方面,容易给企业造成一些法律官司,而企业又无法找到对应用户。
2) 缺乏有效的外设管理,数据泄密、病毒传播无法控制。已经感染病毒、木马的U盘随意插入终端、内部存有敏感数据的移动介质毫无防范地拿到外部使用,都给内部安全管理带来极大的挑战,单纯地封端口、制度要求均无法同时满足安全性与业务便利性的要求;
3) 应用程序无统一的应用规划和管理,非法应用程序时刻威胁者计算机系统安全。在用户的计算机终端上员工随意使用应用程序,极容易把病毒、木马程序带到内容,这样使的内网内敏感数据被收集后而发出去,导致企业敏感信息泄密;另外由于随意使用应用程序,常导致办公计算机瘫痪或死机,耽误工作时间,同时也给IT管理人员带来了巨大的工作量。
4) 软硬件设备滥用、资产安全无法保障。终端资产(CPU、内存、硬盘、光驱)被随意更换,缺乏有效的技术跟踪手段;终端用户随时更改办公终端的IP地址等配置、安装并运行与工作无关甚至严重影响网络运行的软件,不仅难于整体管理,而且一旦出现攻击行为或安全事件,责任定位非常困难。
5) 桌面应用缺乏监控,工作效率无法提高。上班时间长时间浏览网页、上网聊天、玩网络游戏、看视频等行为严重影响工作效率,甚至会带来信息泄密事件发生;使用Bit、电驴等工具疯狂下载电影、游戏、软件等大型文件,占用大量网络带宽,导致关键业务系统受到影响。
6) 移动电脑随意接入、边界安全岌岌可危。笔记本电脑、掌上电脑等移动终端未经任何安全检查和认证随意接入企业办公网,导致病毒木马轻松感染内网,给企业日常办公带来巨大威胁。
2、解决方案
针对企业内部安全的复杂性和安全管理的紧迫性,加强企业内部终端计算机系统的安全显得尤为重要,为此,安全专家任子行网络技术股份有限公司将其结合自主研发的信盾计算机终端监控系统,具体可以从以下几方面对企业内部进行安全防护:
1) 终端实施实名认证控制,确保企业终端访问的合法性和有效性,通过用户身份认证机制,把好终端管理的第一道关口。身份认证可以采用刷卡认证、指纹认证、强口令认证等方式。通过对计算机IP地址、MAC地址、IP/MAC绑定等手段加强终端计算机的管理和用户访问管理。
2) 终端外设管理,通过计算机终端外设安全策略,严格管控计算机的USB存储接口、串口、并口、光驱、软驱等端口有效控制非法外设接入计算机,特别针对USB存储和文件操作进行了严格的授权、过程监控、日志记录等手段来保证企业计算机终端中信息安全和外设端口的合理使用。
3) 进程管理。通过应用程序安全策略,可以根据用户、用户组的方式进行应用程序黑白名单策略测试,把不需要运行的应用程序设置为黑名单,这样就可以阻止应用程序在企业计算机终端上运行,同时保证了病毒木马程序的入侵。
4) 桌面管理。集中、统一、高效的桌面管理模块是保卫企业网络安全的基础,通过该模块可以实现计算机桌面活动程序监控和管理、桌面远程监控和管理、计算机信息监测;通过该模块可以随时了解到计算机在线状态、用户在线状态等情况,同时还可以轻松的实现资产统计、变更、跟踪等,特别是软硬件环境统一定义,企业的IT管理人员从繁杂的手工统计和支持工作中脱身,抽出更多的时间做企业信息化整体管理。通过打印监控和文档审计及安全保护系统,可以有效地防止企业内部文档泄漏和扩散的问题,最终结合外设控制、实名访问认证、日志管理、上网行为管理等模块解决您计算机终端的安全管理和控制需要。
5) 上网行为管理。对计算机终端上网用户实施实名授权、认证而实现用户实名上网,通过监测用户上网浏览、QQ聊天、MSN聊天、发邮件、发帖、下载、玩游戏等行为而进行审计,通过准确、有效地日志而进行事件定位和溯源。
6) 日志审计与管理。对终端系统、应用、用户行为、接入设备等进行全面审计,在安全事件爆发的第一时间,以告警的形式告知管理员,依据报警和日志,为管理员提供IT管理决策依据并实施对应安全应对策略。
关于企业内部如何最大程度的实施安全终端管理系统,您可以参考以下原则:
针对一些对外开放的办公窗口或办公终端,采用审计为主、控制为辅策略。通过对各种网络协议(Http、Https、SMTP、POP3、telnet、FTP、Post等)或IM应用协议分析与审计,做好全面、细粒度的审计工作,在次基础之上,增加关键字检测与报警、网络阻断等策略。
针对一些重要的、关键的部门,比如研发中心、财务办公中心,采用终端控制为主,审计为辅。对于终端外设的使用,以合理的规划和控制为主,确保终端用户不能随意插入外设,特别是移动存储设备、光盘、软盘等可以携带数据的外设类型,同时尽量控制具体的访问权限,在确保数据安全的同时降低U盘病毒传播的可能性。在此基础上,做到外设使用的全面审计,例如从移动存储设备的插入、文件操作到拔出,均须有详细的日志记录。还针对桌面一些应用程序,进行规划和提前定义,保证非法的应用程序不能在这些终端上运行。
针对企业内部所有计算机的访问,需要强化身份认证、上网行为管理、检查取证等手段,保证内网计算机的访问的合法化,上网行为的规范化、取证审计的实名化,最终通过技术防范手段,强化企业内网的安全防护。具体控制的力度和强度,则根据企业用户自身的实际情况和需求进行选择和部署终端安全管理系统。
3、价值收益
任子行信盾终端安全产品及配套解决方案,将帮助您:
1) 降低企业信息安全威胁,从而提升企业竞争力;
2) 进行合理、有效地网络上网行为管理,减少员工非工作时间,提高了办公效率;
3) 规范企业IT管理和员工工作方式,提升企业内部IT整体管理和终端计算机的统一安全管理;
4) 有力、有节、有效地实施计算机终端安全管理系统,帮助企业解决资产管理难、繁的问题。
4、部署结构
