-
随着技术的发展,各种攻击手段越来越高明,人们把外围的封堵越做越复杂,相应投入到开发、管理、维护的费用也越来越高,然而实际的收效却不尽如人意。可见,传统的安全手段暴露出其局限性,已经不能完全适应当前信息系统的安全需求。产生这种局面的根源在于不去控制安全问题发生的源头—主机终端。从组成信息系统的服务器、网络、主机终端三个层面上来看,现有的保护手段是逐层递减的,这说明人们往往把过多的注意力放在对服务器和网络的保护上,而忽略了对终端安全的保护,这恰恰是人们对待信息安全问题认识上的一个误区。主机终端往往是创建和存放重要数据的源头,而且绝大多数的攻击事件都是从终端发起的。如果信息系统中每一个使用者都是经过授权和认证的,其操作都是符合安全策略的规定,那么攻击性事件就会大大降低,就能有效保证整个信息系统安全。因此,只有立足于主机终端,从终端安全管控入手,才能更好解决信息系统整体安全问题。
通过对终端安全事件的追溯与研究,我们发现,终端安全主要由以下几个方面引起的
1、终端资产管理问题。传统人工报备的资产管理方式存在工作量大、信息收集不够准确全面,常常需要重复劳动等缺点,无法提高安全管理部门的工作效率,满足不了大型信息系统的细粒度资产管理需求。
2、终端设备运维管理问题。承载各种业务系统、应用软件和数据库的服务器、终端以及网络设备是保障业务系统正常运转的基础设施。在整个网络中,这些基础设施设备必须进行整体管理与监控,发现异常立即报警已经成为了避免系统性风险的必要技术手段。
3、桌面应用监管问题。上网聊天、网络游戏等行为严重影响工作效率,病毒利用QQ、MSN、ICQ等即时通讯工具进行传播,已经成为一种趋势;使用BitTorrent、电驴等工具疯狂下载电影、游戏、软件等大型文件,关键业务应用系统的带宽无法保证。
4、终端违规外联问题。内部人员通过3G上网卡、电话线拨号、VPN拨号、GPRS无线拨号等方式绕过防火墙的监控直接连接外网,向外部敞开了大门,使得内部的IT资源暴露在外部攻击者面前,也为病毒、木马攻击内网提供了理想的通道。
5、外设管理问题。U盘、光盘、无线、蓝牙等外设成为近几年数据泄密、病毒感染的主要途径。已经感染病毒、木马的优盘随意插入终端、内部存有敏感数据的移动介质毫无保护地拿到外部使用,都给内部安全管理带来极大的挑战。
6、补丁管理问题。网络内各种平台的主机和设备存在安全漏洞却没有及时安装最新的安全补丁,软件配置存在隐患,都给恶意入侵者提供了可乘之机。
- 远望终端安全监管防护系统的目标是实现终端计算机设备、安全事件统一管理,完成安全策略的统一配置,在功能上实现对设备、补丁、进程、服务、运维等安全要素的监控,保证内部数据安全,实现终端系统的全面安全防护和加固,保障内部网络安全。
-
(1)设备管理
通过技术手段对管辖范围内的内网设备进行自动发现和识别,可以不依赖申报备案,发现并智能识别网络中的各种设备(计算机、服务器、音视频设备、网络设备等),同时提供对设备的注册管理功能。
(2)终端管控
根据终端设备运行环境的安全状态,控制设备、系统以及软件程序的安全操作和运行情况,主要包括:外设控制、进程控制、开关机控制、共享控制、痕迹清理。实现对设备以及系统安全操作和数据出入口的安全管理,对安全事件和风险进行有效防护。
(3)安全检查
系统内置安全检查模块,实现对未安装和运行杀毒软件、未打补丁,账户安全、共享安全、USB使用安全、上网痕迹、软件安装、进程运行情况的检查,并且对这些安全检查项数据进行按区域和部门汇总统计,辅助安全管理员及时发现问题,处理安全事件。
(4)运维监测
系统内置安全运维监测和分析模块,实现对CPU异常、内存异常、流量异常、应用点击异常、连接数异常的数据采集,通过异常建模和数据关联分析,实现对风险异常的判断,辅助管理员对进行安全决策,保障核心设备运行稳定。
(5)外联监管
系统采用违规外联监测技术,实现对管辖范围内的设备进行实时违规外联监测,发现外联立即进行网络阻断,并对上报的违规外联事件数据进行统计分析和报表展现,使得管理员能第一时间处理外联事件,有效保障内部网络安全。
-
全面的终端防护能力。以安全策略为驱动,围绕“监测—响应—防护”的循环模式,逐步形成内网安全事件的处理和应急响应流程,从终端安全管理和控制入手给组织提供终端安全的整体解决方案和安全防护体系。
灵活的分权管理机制。系统可以由统一的管理中心对主机监测代理进行管理,并提供了基于安全角色的授权管理机制,用户可以根据功能模块分类以及行政机构的划分自定义安全角色,可以自主的执行其所辖部门范围内的相应安全代理的安全策略和安全事件的管理。“上下齐管”,保证了管理的安全性。
灵活的安全策略配置。对终端用户的安全策略进行统一管理,根据不同的用户和功能配置和执行不同安全策略,策略的灵活管理满足了在线用户、离线用户、以及笔记本用户的使用,确保安全的情况下不影响应用。
实际效能
1、满足终端安全管理需要。能够形成日常化监测机制,实现对内部信息网终端的监测与检查,形成终端安全管理的常态化、日常化工作机制。
2、满足上下级监管需要。能够对下级行政单位的日常安全管理状态进行监测,能锁定其管控策略,形成上级监督、下级执行的工作机制。