如果网络是一个世界,那么,每一台网络终端设备,就是这个世界的公民。
如果终端安全受到威胁,即使网络中的核心设备安然无恙,整个网络的业务运行也会受到严重影响甚至瘫痪,如同一个没有人类的地球,即使街道房屋、财富别墅依然存在,也是一个走向毁灭的世界。可见,终端安全已经逐步成为整个信息安全的核心和底线。终端也是组成网络的基本单元,他们的安全与否对网络自身的健康运行有着深远的影响。
随着全球网络化的发展,网络终端从桌面工作站、笔记本电脑、个人数字助理甚至到手机,其形式种类已经呈现出多样化的发展,由于端点数量不断增加,光靠防火墙和反病毒软件这类或笼统或离散个体式的保护机制再也不够了。
那么,终端安全究竟受到哪些威胁?我们如何才能打造一个整齐体系、统一管控的终端安全管理系统?成为当前信息安全的最具挑战性问题。
终端:信息安全薄弱“底线”
随着企业IT基础架构的逐渐完善,企业信息安全防护的重心开始逐渐由边界安全转向内网安全。越来越多的管理者都已经发现内网中的价值所在和攻击发起,往往都在终端。终端安全已经成为企业网络安全防护的重中之重。
在企业的IT环境中,往往终端数量巨大,其形式多样化、部署分散、不被重视、安全手段缺乏的现状已成为信息安全体系的薄弱环节。权威统计数据表明,企业的安全损失有80%来自企业内部,终端安全管控是重中之重。某知名制造企业的CIO曾经诉苦道:“我们企业采用了最好的防火墙以及杀毒软件。在内网的管理上,也采用邮件监控,端口封堵,URL过滤等技术。虽然这些对企业的安全性起到了很好的作用,可是面对上千台内网计算机的上网安全管理问题我真的是无从下手。”这充分说明终端管理无论在重要性和操作难度上,都成为企业整体网络安全的薄弱“底线”。
虽然终端资产的重要性级别通常低于网络中的交换机、路由器等核心网络设备以及各种业务主机和服务器,但终端数量众多,而且是组织日常办公和业务运行的载体。如果终端安全受到威胁,即使网络中的核心设备安然无恙,整个网络的业务运行也会受到严重影响。
目前,传统安全厂商的产品很难真正实现对所有局域网内的终端都实现一体化安全管理。原因有二:一是缺乏统一的网络技术标准限制了终端安全产品对网络设备的兼容性;二是各种新应用和新攻击层出不穷。
传统的计算环境也在发生革命性变化。在日常运营中可以发现,在以数据中心为核心的IT环境中,应用的核心引擎已经向数据中心转移。当终端作为一种轻便的接入方式后,用户通过桌面的各种应用可以通过数据中心接入整个信息网络系统,如ERP、CRM、BOSS系统和计费系统等。但传统的安全体系架构有一些致命性问题,如安全策略难以统一,而且桌面应用过于强大。正是由于传统桌面操作过于强大,每个员工又可以做很多额外工作,因此造成不确定性过高。
对于信息安全的实施与管理来说,控制终端、控制应用是首要任务。在实际的企业IT环境中,信息安全的不确定性因素几乎都是由人产生的,而人通过类似PC、手机、PDA等终端设备接入到信息系统的界面和接口主要设施。
极地:六招打造牢固终端安全
信息安全是信息化社会的“底线”,而终端安全则是信息安全的“底线”。
如何保护这条最重要的安全底线?如何应对当前终端安全面临的诸多困扰?显然局部的、简单的、被动的防护不足以解决问题。中国专业终端安全领军企业——极地银河公司(www.jidigalaxy.com)安全专家告诉我们,要想解决终端安全问题,一个好的思路是通过建设综合终端与内网安全管理体系,多管齐下,综合防护。极地银河公司针对整体终端安全防护体系研制推出的——极地银河终端与内网安全管理系统,该系统的六大安全功能集群,相互配合,相互补充,形成一套组合拳,把对终端安全的各种威胁击毙。
极地银河终端与内网安全管理系统可以对内部终端计算机进行集中的安全保护、监控、审计和管理,可自动向终端计算机分发系统补丁,禁止重要信息通过外设和端口泄漏,防止终端计算机非法外联,防范非法设备接入内网,有效地管理终端资产等。极地银河终端与内网安全管理系统可以与防火墙、漏洞扫描设备进行联动,共同提供全网安全解决方案。
第一招,“桌面戒严”——桌面安全管理。桌面安全管理重点解决客户端计算机桌面安全管理和行为的审计。极地银河终端与内网安全管理系统可以对客户端的防病毒软件的安装、运行及病毒库升级与否进行管理,可以对用户的文件、进程、上网行为等进行管理,并可以对客户端计算机上的文件、应用程序、上网行为等进行详细的审计,同时支持进程白名单功能。桌面安全管理可以分为桌面安全管理和桌面行为审计两个大的功能项。
第二招,“堵住漏洞”——漏洞扫描与补丁分发管理。该功能提供网络扫描与主机扫描两种模式,内置nessus扫描引擎,也可与市场上主流漏洞扫描设备进行联动。扫描完成后可以根据扫描结果自动对系统漏洞下发补丁并报警。补丁分发管理主要完成客户端的补丁检测和安装,强化客户端自身健壮性。允许管理员自定义软件分发,完成用户自由系统的补丁管理。可以远程进行软件分发。可以深入结合对客户端防病毒程序安装和运行情况的检测,为安全接入管理系统提供授权认证凭据。
第三招,“外设管控”——外设与接口管理。外设与接口管理主要对终端上的各种外设和接口进行管理。极地银河终端与内网安全管理系统可以禁用系统的外设和接口,防止用户非法使用。在外部存储设备的禁用方面,可以在禁止使用通用移动存储设备的同时,对经过认证的移动存储设备允许使用。
第四招,“出入防护”——安全接入管理和非法外联监控。系统对于非法进入企业内网的终端进入及内网合法终端的非法外联访问进行监控与管理。在安全接入管理方面,系统可以通过监听和主动探测等方式检测内部网络中所有在线的主机,并判别在线主机是否是信任主机,然后,对于探测到的非法主机,系统可以主动阻止其访问任何网络资源,从而保证非法主机不对网络产生影响,无法有意或无意的对网络进行攻击或者试图窃密。在非法外联监控方面,系统主要解决发现和管理用户非法自行建立通路连接非授权网络的行为。通过非法外联监控的管理,可以防止用户访问非信任网络资源,并防止由于访问非信任网络资源而引入安全风险或者导致信息泄密。
第五招,“资产保护”——内网资产统计管理。系统可以自动收集分析终端计算机的物理内存、处理器类型、处理器速度、处理器个数、数学协处理器、总线类型等各种计算机硬件信息。系统可以通过组合查询,报告硬件的各种信息,查询可以基于硬件、存储容量等多种关键字进行。同时,系统可以自动收集分析终端计算机安装的软件信息,并通过多种条件进行查询和统计。系统智能实现自动监测系统软硬件资产的变动,记录日志并可以产生报警,同时可以根据策略自主采用响应措施,防止资产变更给客户端或者网络带来更大的危害。
第六招,“终端遥控”——用户权限管理和终端远程控制。极地银河终端与内网安全管理系统的用户和权限管理采用的是由美国国家标准协会提出的RBAC模型,即基于角色访问控制模型。基于角色的访问控制提供了一种简单灵活的访问控制机制,只给角色分配权限,用户通过成为角色的成员来获得权限。这与过去系统中直接给用户授权的管理模型相比更灵活方便。同时,管理人员可以通过控制台远程取得客户机的控制权,身临其境般进行操作。对于远端客户机出现的问题,管理人员能够即时、方便的解决。在远程维护或者远程操作业务系统中发挥多方面的作用。
