蘇州華蘇信息科技有限公司

用戶與終端安全方案您當前的位置：首頁 » 解決方案

終端安全解決方案

內網終端安全控制解決方案

1. 方案背景

隨著各行各業本地信息化工作的開展，網絡結構趨于復雜，網內終端不斷增加，信息系統面臨前所未有的安全挑戰。在信息安全保障建設中，終端往往成為組織機構安全短板，難以控制，網內病毒、蠕蟲擴散，工作信息泄密以及應用攻擊行為頻繁發生，嚴重影響組織機構的日常工作開展。較多組織機構建立了終端管理制度、終端操作規范，苦于缺少有效的終端安全管理技術措施，終端安全問題無法得到緩解。

為解決這一難題，天融信針對終端常見的安全問題，提出本解決方案。

2. 安全需求

非法接入終端帶來的安全問題

在沒有嚴格的監視措施下，外來攻擊者將自己的終端直接連接到信息網絡，并對信息網絡進行攻擊和破壞，其造成的后果是：非法訪問信息網絡，特別是內網服務區，造成重要信息的泄露；終端攜帶的病毒將直接對信息網絡造成破壞；非法終端還將發布 ARP欺騙等數據包，引起網絡的癱瘓等。

終端自身安全帶來的安全隱患

終端自身的安全問題也將對信息網絡造成威脅，比如終端自身已經攜帶了病毒，終端沒有安裝防病毒軟件，終端的防病毒軟件沒有及時更新，終端操作系統補丁也沒有及時更新等，這些安全問題將對內網其他終端，甚至內網服務器造成很大的麻煩，嚴重的將導致病毒在網絡中的傳播，或者終端上攜帶的蠕蟲病毒在網絡中大量散播的時候，也將導致交換機的負荷過重，而引起癱瘓。

終端緩存的文件造成泄密

內網終端在進行日常操作的過程中，往往在本地緩存了很多重要文件，那么當終端在訪問互聯網的時候，這些緩存在本地的文件，在沒有采取任何訪問措施的時候，也將會成為互聯網攻擊者的目標，造成信息的泄密。

3. 解決方案

針對以上問題，天融信從可信的角度，綜合采用終端安全管理平臺，部署在網絡中，通過技術間的整合來實現有效的內網終端安全控制，實現以下的部署方案：

圖 1 內網終端安全控制解決方案示意圖

針對內網終端安全控制需求，方案充分發揮了終端安全管理平臺作用，通過設計如下功能解決用戶安全需求。

（ 1 ）終端非法接入的問題

利用終端安全管理平臺與交換機802.1X功能實現認證聯動。終端在接入網絡后，必須進行認證，認證不通過的終端屬于非法接入終端，是無法訪問網絡的任何資源的。

（ 2 ）終端健康性帶來的威脅問題

終端在接入網絡進行訪問前進行的健康性檢查，是確保終端可信的首要條件。如果內網終端存在安全隱患，極易成為病毒滋生地，對信息系統造成破壞，因此，在內網終端訪問之前，先通過安裝在內網終端上的防護代理進行健康性檢查，并以此為依據，做為判斷是否可進行下一步操作的關鍵，終端防護代理將檢查的內容包括：

終端操作系統補丁是否為最新版本

終端是否有病毒防護措施

終端上的防病毒系統是否有效

終端上的病毒庫是否為最新

終端上有否安裝了非法的軟件

終端是否運行了非法的進程

終端是否已經感染了病毒（通過非法進程監控來判斷）

（ 4 ）對重要文件的保護

端代理在終端硬盤上劃分出專用文件夾（文件保險柜），所有存儲在本文件夾下的文件都將加密，只有提交了正確的帳號和口令后方可正確訪問文件。。

通過專用文件夾技術，可以很好的保護重要文件的機密性，提升了總體的安全性。

（ 5 ）利用終端防護系統提高內網終端的自身安全

內網終端的自身安全是可信外訪的首要前提，只有每個內網終端的桌面系統安全了才能保證外訪過程的安全性。這里通過在每個內網終端上部署終端防護系統代理，同時接受終端防護系統服務器管理監控，從而能保證辦公終端的自身安全性。具體重點包括：

能夠自動檢測內網終端桌面系統的安全狀態，檢測桌面系統的病毒防護軟件是否工作正常。針對桌面系統的補丁自動檢測、下發和安裝，修復存在的安全漏洞。

對內網終端桌面行為監管，對桌面系統上撥號行為、打印行為、外存使用行為、文件操作行為的監控，確保機密數據的安全，避免了內部保密數據的泄漏。

對內網終端的IP管理：限制內網終端用戶私自修改IP地址、MAC地址；通過策略可限制未分配的地址，終端用戶不得私自使用；

對內網終端桌面系統監管，管理員能夠遠程查看桌面系統當前的詳細信息，包括：已安裝軟件、已安裝硬件、進程等。從而及早察覺發生在內網終端上的木馬、病毒等安全威脅。

【返回】