如何降低終端對網(wǎng)絡(luò)及系統(tǒng)構(gòu)成的威脅���,要對終端進行相應(yīng)的身份認證和安全檢查,實現(xiàn)一體化的防護���。所有終端在進入網(wǎng)絡(luò)之前要到安全策略服務(wù)器上認證和安全策略檢查��,通過之后才準許終端系統(tǒng)訪問相應(yīng)的業(yè)務(wù)系統(tǒng)����,這作為整個安全認證第一關(guān)�,如果不符合要求就要進行相應(yīng)安全的修補,包括針對安全策略進行檢查�,進行補丁的下載,進行強制殺毒安全權(quán)限的補任����,修補之后又進行安全檢查,這樣形成一體的循環(huán)��。終端安全管理主要包含以下模塊:
1、網(wǎng)絡(luò)接入控制模塊
傳統(tǒng)上來講��,在企業(yè)單位中終端接入網(wǎng)絡(luò)是沒有任何控制的����,在終端接入網(wǎng)絡(luò)后,在網(wǎng)絡(luò)層是可以訪問任何網(wǎng)絡(luò)中的主機�����。這樣的話就帶來了很大的風(fēng)險.然而��,根據(jù)工作相關(guān)原則和最小權(quán)限原則���,網(wǎng)絡(luò)接入控制可以實現(xiàn)以下功能:
1)終端在接入網(wǎng)絡(luò)之前必須經(jīng)過身份認證����;
2)終端在身份認證后根據(jù)相應(yīng)的權(quán)限確保只能訪問相應(yīng)的系統(tǒng)��,比如市場的員工如無工作需要不能訪問財務(wù)系統(tǒng)的網(wǎng)絡(luò)��;
3)終端在接入網(wǎng)絡(luò)后可以進行限流����,確保這個終端在中了病毒以后��,不會影響網(wǎng)絡(luò)和網(wǎng)絡(luò)中的其他設(shè)備����;
4)對于沒有合法身份的終端進行強制隔離���,不允許接人公司的網(wǎng)絡(luò)。
2���、終端策略強制模塊
終端策略強制模塊是安全管理通過技術(shù)手段貫徹執(zhí)行的具體體現(xiàn)�,只有符合公司策略的終端才能接入網(wǎng)絡(luò)�����。企業(yè)單位可以根據(jù)自身特點定制安全策略,通過策略強制來確保所有終端執(zhí)行公司的策略,否則強制隔離�����。
3��、終端行為審計模塊
終端行為審計模塊可以幫助公司安全人員對安全策略的執(zhí)行情況進行檢查分析�����,用戶也可以通過工具進行自檢���。
1)用戶可以自助檢查終端是否符合公司的策略���,如果不符合,可以按照提示先行修復(fù)��;
2)審計員可以通過工具下載審計任務(wù)�����,自動檢查出不符合公司策略的終端���;
3)審計員可以監(jiān)控終端的可疑行為�����,如使用USB硬盤等���;
4)可以方便公司進行資產(chǎn)管理。
