终端安全概述
什么是终端安全
终端安全,是采用立体防御理念形成体系化产品与解决方案。它体现了立体架构和主动防御思想,并通过PDCA模型(P规划方案、D实施维护、C检查评估、A处理整改)来持续提升企业终端的安全能力。终端安全立体防御体系,即通过准入控制来识别终端用户身份,以决定是否允许其接入;桌面管理是通过制定相应安全策略来保障终端桌面的安全;安全管理是通过制定适合企业业务运营要求的安全管理,来确保所制定的安全策略有法可依。
终端安全管理设计思路
以企业安全策略为核心,用户在接入企业标准网络之前,第一部接收身份验证。认证通过后进行第二部强制合规性检查(包括安全状态和系统配置检查),服务器根据检查结果做出仲裁,符合企业安全策略即可授权访问相应的网络资源。安全检查不合规的终端只能访问修复资源,完成必要的修复后才能接入网络。
终端安全体系五要素
- 身份认证:身份标识、角色定义、外部纷争系统等。
- 准入控制:软件防火墙、802.1X交换机、网关准入控制、ARP、DHCP等。
- 安全认证:防病毒软件、补丁管理、非法外联管理、存储介质管理、上网行为管理等。
- 业务授权:业务系统权限控制、业务文档权限控制。
- 业务审计:业务系统类审计、业务文档类审计。
终端安全系统部署
终端安全体系架构简述
终端安全系统组成:
- SM管理服务器
- SC控制服务器
- 准入控制:硬件SACG、802.1X交换机、软件SACG
终端接入方式:
- Web:只进行身份认证
- WebAgent:进行身份认证和部分安全认证
- Agent:进行身份认证和安全认证
终端安全系统区域:
- 认证前域:身份认证前终端所能访问的区域。
- 隔离域:身份认证后,安全认证不通过终端需进行安全修复的区域。
- 认证后域:安全认证通过后,终端基于业务需求角色所授予业务资源访问权限的区域。
部署方式
集中式部署
该部署方式的主要特点是将Secospace 服务器的集中部署,根据管理终端数目的多少,可以选择SM、SC、数据库等组件安装在同一台服务器上,也可选择分别安装,并可将SC做成群集方式以实现系统冗余(至少2台以上SC服务器)。SACG也可根据需要选择单机或者双机热备。
分布式部署
分布式部署的时候, 终端安全系统安全代理选择就近的控制服务器,获得身份认证和准入控制等各项业务。
如果遇到下列情况,建议采用分布式组网:
- 终端相对集中在几个区域,而且区域之间的带宽比较小,由于代理与服务器之间存在一定的流量,如果采用集中式部署,将会占用区域之间的带宽,影响业务的提供。
- 终端的规模相当大,可以考虑使用分布式组网,避免大量终端访问终端安全系统服务器,占用大量的网络带宽。
准入控制技术
现在终端安全系统支持多种准入控制方式,包括网关、802.1X和主机防火墙方式。三种准入控制方式既可独立部署又可组合实施。
终端安全系统旁挂组网(单机)
旁挂模式是指将SACG直接挂接在原有网络中的核心交换机或路由器上,实现终端安全系统功能的组网模式。旁挂模式可以在不影响用户原有组网的前提下完成终端安全系统功能的部署。
终端安全系统旁挂组网(双机)
终端安全策略部署
终端安全系统主要功能:
- 准入控制:访客管理、例外设备管理、强制遵从性评估、授权用户访问范围。身份认证、合规性检查、一键式自动修复、基于时段的NAC。
- 安全管理:安全加固、办公行为管理。自定义各种安全策略、信息泄密防护。网络防护。
- 桌面管理:补丁管理、资产管理。软件分发、远程协助。消息通告。
- 分权分域管理
- 流程化策略模型
- 可运营报表
身份认证
- 普通账号/口令认证:终端用户在访问受控网络前,使用普通账号进行身份认证。
- MAC账号认证:终端主机在访问受控网络前,使用本机的MAC地址进行身份认证。
- AD账号认证:网络中已经部署了Microsoft AD域控制器,终端用户使用Microsoft AD域账号进行身份认证并接入受控网络。
- LDAP认证:网络中已经部署LDAP认证服务器,终端用户使用现有的LDAP账号进行认证。
- USBKEY认证:终端用户在访问受控网络前,使用移动证书进行身份认证。
安全策略—防病毒软件检查
该策略检查终端主机是否安装指定的防病毒软件。如果终端主机已经安装防病毒软件,该策略检查防病毒软件的程序版本号、病毒库是否及时更新、防病毒软件是否运行。如果终端主机未安装指定的防病毒软件,或防病毒软件不符合条件,AnyOffice将会记录终端主机的相关信息,并将违规信息上报至数据库,供管理员查阅。
安全策略—操作系统补丁检查
该策略检查终端主机是否已经安装Microsoft Windows操作系统对应的补丁。如果终端主机未安装对应版本的补丁程序,AnyOffice将记录该操作系统的相关信息,并上报至数据库,供管理员查阅。
安全策略—注册表检查
该策略检查注册表的重要子键与键值是否符合要求。如果注册表不包含该策略强制要求的“子键与键值”,或者包含该策略禁止存在的“子键与键值”,则该策略的检查结果为违规。
安全策略—计算机名检查
该策略检查终端主机的计算机名称是否符合要求。如果终端用户设置的计算机名称不符合要求,则该策略的检查结果为违规。
安全策略—文件共享检查
检查终端文件共享的账号以及权限是否符合要求,并提供自动修复功能。
安全策略—账户安全检查
该策略检查终端主机的账户设置是否符合要求。如果终端用户设置的账户密码不符合安全规则,则该策略的检查结果为违规。
安全策略—打印机共享检查
检查本地打印机共享的账号以及权限是否符合要求,并提供自动修复功能。
安全策略—端口检查
根据指定的端口或端口段信息,检查终端开放的端口是否符合要求。
转载自原文链接, 如需删除请联系管理员。
原文链接:终端安全技术,转载请注明来源!