什么是终端安全
终端安全对于IT运维来说都不陌生,它是采用立体防御理念形成体系化产品与解决方案。体现了立体架构和主动防御思想,并通过PDCA模型(P规划方案、D实施维护、C检查评估、A处理整改)来持续提升企业终端的安全能力。终端安全立体防御体系,即通过准入控制来识别终端用户身份,以决定是否允许其接入;桌面运维管理是通过制定相应安全策略来保障终端桌面的安全;安全管理是通过制定适合企业业务运营要求的安全管理,来确保所制定的安全策略有法可依。
终端安全管理设计思路
以企业安全策略为核心,用户在接入企业标准网络之前,第一部接收身份验证。认证通过后进行第二部强制合规性检查(包括安全状态和系统配置检查),服务器根据检查结果做出仲裁,符合企业安全策略即可授权访问相应的网络资源。安全检查不合规的终端只能访问修复资源,完成必要的修复后才能接入网络。
终端安全体系五要素
身份认证:身份标识、角色定义、外部纷争系统等。
准入控制:软件防火墙、802.1X交换机、网关准入控制、ARP、DHCP等。
安全认证:防病毒软件、补丁管理、非法外联管理、存储介质管理、上网行为管理等。
业务授权:业务系统权限控制、业务文档权限控制。
业务审计:业务系统类审计、业务文档类审计。
终端安全策略部署
终端安全系统主要功能:
准入控制:访客管理、例外设备管理、强制遵从性评估、授权用户访问范围。身份认证、合规性检查、一键式自动修复、基于时段的NAC。
安全管理:安全加固、办公行为管理。自定义各种安全策略、信息泄密防护。网络防护。
桌面管理:补丁管理、资产管理。软件分发、远程协助。消息通告。
分权分域管理
流程化策略模型
可运营报表
身份认证
普通账号/口令认证:终端用户在访问受控网络前,使用普通账号进行身份认证。
MAC账号认证:终端主机在访问受控网络前,使用本机的MAC地址进行身份认证。
AD账号认证:网络中已经部署了Microsoft AD域控制器,终端用户使用Microsoft AD域账号进行身份认证并接入受控网络。
LDAP认证:网络中已经部署LDAP认证服务器,终端用户使用现有的LDAP账号进行认证。
USBKEY认证:终端用户在访问受控网络前,使用移动证书进行身份认证。
安全策略—防病毒软件检查
该策略检查终端主机是否安装指定的防病毒软件。如果终端主机已经安装防病毒软件,该策略检查防病毒软件的程序版本号、病毒库是否及时更新、防病毒软件是否运行。如果终端主机未安装指定的防病毒软件,或防病毒软件不符合条件,AnyOffice将会记录终端主机的相关信息,并将违规信息上报至数据库,供管理员查阅。
安全策略—操作系统补丁检查
该策略检查终端主机是否已经安装Microsoft Windows操作系统对应的补丁。如果终端主机未安装对应版本的补丁程序,AnyOffice将记录该操作系统的相关信息,并上报至数据库,供管理员查阅。
安全策略—注册表检查
该策略检查注册表的重要子键与键值是否符合要求。如果注册表不包含该策略强制要求的“子键与键值”,或者包含该策略禁止存在的“子键与键值”,则该策略的检查结果为违规。
安全策略—计算机名检查
该策略检查终端主机的计算机名称是否符合要求。如果终端用户设置的计算机名称不符合要求,则该策略的检查结果为违规。
安全策略—文件共享检查
检查终端文件共享的账号以及权限是否符合要求,并提供自动修复功能。
安全策略—账户安全检查
该策略检查终端主机的账户设置是否符合要求。如果终端用户设置的账户密码不符合安全规则,则该策略的检查结果为违规。
安全策略—打印机共享检查
检查本地打印机共享的账号以及权限是否符合要求,并提供自动修复功能。
安全策略—端口检查
根据指定的端口或端口段信息,检查终端开放的端口是否符合要求。
