1.概述
隨著空管局信息化建設的不斷深入,終端所面臨的安全威脅越來越多、越來越難以解決,例如外來人員隨意接入、病毒泛濫、隨意安裝與日常工作無關軟件、核心業務資源被非授權人員訪問等。空管局急需一套立體防御解決方案來應對各類安全問題的產生。針對終端存在的主要問題,我局建立了一套完整的桌面安全系統。
2.桌面安全系統的基本原理
在很長的一段時間內,企業的安全防護措施均采用事件驅動的,更有甚者業務網絡已被長期攻擊還不得而知。因此需通過構建立體的防御體系來抵御各類已知的或未知的安全威脅。
以企業安全策略為核心,用戶在接入企業標準網絡之前,第一步接受身份認證,通過第二步接入控制來獲取身份認證結果,以判斷是否讓其通過;認證通過后進行第三步強制安全認證,以檢查用戶的安全狀態,通過安全狀態的結果決定是進行隔離修復還是認證通過,授予業務訪問授權;最后業務審計要素監視整個過程,以便以違規行為做出響應與記錄,包括對業務授權后用戶的安全行為進行監控。整個流程形成了終端安全保護的PDCA持續改進過程。
身份認證即對終端用戶的身份進行識別,以判斷用戶的合法性。目前身份認證系統除了自建外,還有與第三方LDAP、Radius系統進行整合。其中向微軟的AD等LDAP系統是當前較為流行的身份認證系統。
接入控制和業務授權是屬于網絡層面的控制措施,目前業界主要由軟件防火墻、802.1x接入交換機、硬件安全網關等SACG組成。業務授權是基于用戶的安全性確定用戶是進入隔離域還是指定的業務域范圍,對于進入隔離域的用戶在經過安全修復后也將進入指定的業務域范圍。
安全認證是終端安全立體防御解決方案是中心,通過整體第三方安全產品,比如象防病毒、補丁管理,和自身安全策略,比如象防病毒策略檢查、補丁部署情況檢查、軟件安裝情況檢查等。通過整合評估終端是否符合企業當前的信息安全要求,以確定是否讓終端訪問授權范圍業務域資源還是先進入修復域進行安全修復。綜合所述,隔離修復是對安全認證的有力補充。
業務審計是終端安全立體防御體系實現PDCA重要環節,業務審計可以通過報表展示,了解企業終端的安全狀態。找到差距并提供相應優化措施,最終實現企業內網的合規性。
3.東北空管局的現狀
東北空管信息化內網承載信息化網站、自動化辦公(局OA系統)、局即時通信系統、值班日記系統等應用系統,共有網絡設備近100臺,終端用戶1000人,現將信息化網絡存在的問題總結如下:
1)空管局存在病毒泛濫,造成計算機終端用戶因病毒泛濫引起工作中斷。
2)外來人員隨意接入空管局信息網,造成空管局重要資料丟失。
3)終端用戶隨意安裝與日常工作無關軟件。
4)空管局的核心業務資源被非授權人員訪問,造成核心業務資源被泄密。
5)空管局的U盤隨意使用,是病毒泛濫傳播的途徑之一。
6)空管局終端計算機系統補丁無法統一升級。
7)空管局固定資產無法自動進行統計。
4.東北空管局的桌面安全系統的組成
東北空管局采用華為賽門鐵克公司TSM終端安全管理系統。其中TSM終端安全管理系統由SM管理服務器、SC控制服務器、準入控制,硬件SACG、802.1X交換機、軟件SACG;四部分組成。
東北空管局終端安全管理系統SM管理服務器、SC控制服務器安裝在沈陽地區核心機房內。并使用802.1X交換機接入信息化網內。
在沈陽地區、大連地區、長春地區、哈爾濱地區信息化核心交換機內盤掛硬件SACG ,并安裝軟件SACG。
終端用戶可采用Web方式進行身份認證、WebAgent方式進行身份認證和部分安全認證、Agent方式進行身份認證和安全認證。東北空管局采用Agent方式進行身份認證和安全認證。
圖1 東北空管局的桌面安全系統組成圖
5.東北空管局的桌面安全系統的軟件應用
5.1 建立空管局建立組織結構圖
根據空管局的組織結構圖,創建桌面安全系統的組織結構。
圖2 空管局桌面安全系統的組織結構
5.2 創建用戶帳戶
根據空管局的人員名單,創建用戶帳戶。
圖3 創建用戶帳戶
5.3 TSM 終端安全管理系統的劃分
TSM終端安全管理系統域的分為認證前域、隔離域、認證后域。
認證前域為身份認證前終端所能訪問區域,隔離域為身份認證后,安全認證不通過終端需進行安全修復的區域,認證后域為安全認證通過后,終端基于業務需求角色所授予業務資源訪問權限的區域。認證前域和隔離域屬于安全域中的服務域;認證后域屬于安全域中的業務域。
圖4 TSM 終端安全管理系
東北空管局認證前域為所用用戶都可以訪問的區域,受控域為東北空管局所有用戶所在的區域,隔離域為所有未通過安全認證用戶可訪問的區域,認證后域為東北空管局所有通過安全認證后,終端基于業務需求角色所授予業務資源訪問權限的區域,包括信息化網站、局智能辦公系統(局OA系統)等應用系統。
5.4 TSM 終端安全管理系統的策略管理
圖5 TSM 終端安全管理系統的策略管理
東北空管局常用的策略為檢查防病毒軟件、檢查賬戶安全、監控USB存儲設備、監視非法外連、監控網絡連接、監控多網卡、監控系統設備等。
圖6 常用的監控系統設備
5.5 TSM 終端安全管理系統的其他功能
TSM終端安全管理系統的補丁管理和資產管理
東北空管局的補丁管理建立補丁服務器對終端用戶的操作系統進行系統補丁升級。TSM終端安全管理系統的資產管理可對空管局資產進行管理。
圖7 TSM 終端安全管理系統的其他功能
6.東北空管局安裝TSM 系統已解決的問題
6.1 關于空管局存在病毒泛濫的問題
通過終端管理TSM系統中的策略管理中的檢測是否安裝防病毒軟件,殺毒軟件是否進行升級。終端用戶只有安裝防病毒軟件才可通過系統認證。空管局終端計算機系統補丁的安裝也可通過TSM系統建立系統補丁服務器統一下發解決,來防范病毒泛濫。
圖8 病毒泛濫
6.2 關于外來人員隨意接入空管局信息網,造成空管局重要資料丟失的問題
外來人員無法通過終端管理TSM系統認證,外來人員無法訪問空管局內部資料,也就不能造成重要資料丟失。
6.3 關于終端用戶隨意安裝與日常工作無關軟件的問題
可以通過終端管理TSM系統對終端系統安裝軟件進行管理,安裝指定的軟件,禁止終端戶隨意安裝與日常工作無關軟件。
6.4 關于空管局的核心業務資源被非授權人員訪問,造成核心業務資源被泄密的問題
可以通過終端管理TSM系統對終端用戶進行權限劃分,使非授權人員無法訪問核心業務資源,使非授權人員無法獲得核心業務資源。
6.5 關于空管局的U 盤隨意使用問題
可以通過終端管理TSM系統對終端用戶U盤進行管理,使U盤只能在信息化網內范圍使用。
6.6 空管局固定資產無法自動進行統計
可以通過終端管理TSM系統內資產管理功能可對空管局資產進行管理,并進行自動進行統計。
7.結束語
本文以空管局終端管理TSM系統為例,介紹了如何利用終端管理TSM系統,實現空管信息化終端用戶的安全。經過一年多的實際應用,證明該系統安全可靠,增加了網絡安全的有效管理,保障了我局信息化系統的安全,抑制了不安全事件的發生。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://m.vmgcyvh.cn/
本文標題:桌面安全系統在信息化中的應用
相關文章
