提升终端的安全防御能力,严格控制终端主机接入受控网络,从终端主机入手主动加强终端主机的安全管理,是企业保障内部网络安全的重要手段。
以下措施有助于企业保障内部网络安全:
- 加强网络接入控制管理,防止非授权、不安全的终端用户接入受控网络。
- 强制终端主机遵从安全策略,确保终端主机在接入受控网络之前是安全的。
- 建立访问权限管理机制,根据终端用户的工作需要授予不同的访问权限,保护企业核心网络资源。
- 加强终端用户行为的管理力度,保障终端用户合理使用网络资源。
- 主动加固终端主机,修复已经发现的终端主机的安全漏洞,在终端主机上建立安全防范机制。
为了解决企业内部网络管理失控的问题,保障企业内部网络的畅通、终端主机的安全和公司信息数据的安全,实现企业网络安全建设的目标,华为赛门铁克科技有限公司推出TSM这款产品,该产品为企业提供整合的内部网络安全解决方案,实现从终端到业务系统的控制和管理功能。
TSM基于TSM代理为企业提供安全接入控制、终端安全管理、补丁管理、终端用户的行为管理、软件分发和资产管理六大功能。其核心思想是建立网络准入控制机制,基本要素是安全检查、访问控制和安全修复。有效控制网络日渐增多的接入点,包括企业员工、外部访客、合作伙伴和临时雇员等对网络的访问,发现并隔离带有威胁的终端主机,提升网络防御安全威胁的能力。
TSM的应用模型如图1所示。
TSM的主要功能特性包括:
- 终端接入控制。支持普通账号、MAC地址、USB Key和外部认证源4种身份认证方式,实现对企业员工、外部访客、合作伙伴和临时雇员等对网络访问的控制,保护业务系统安全。所谓外部认证源是指存放用户信息并能够完成用户身份鉴别功能的目录服务器。TSM支持与Novell eDirectory认证服务器、Microsoft AD域控制器、IBM Tivoli(International Business Machines Tivoli)认证服务器和Sun One认证服务器4种外部认证源联动来完成终端用户的身份认证。
- 终端安全管理。全面评估终端安全状态,强制隔离不安全终端,确保终端用户遵从IT策略,降低风险。终端安全状态检查主要包括检查是否安装各种补丁,是否安装企业要求必须安装或禁止安装的软件,终端主机安装的防病毒软件是否符合要求,是否启用ARP防护功能等。
在检查结果的基础上,提供个性化的修复建议,协助安装各类补丁和必备的软件。
丰富而全面的安全策略,提供基于部门和用户角色灵活的安全策略控制,强制终端主机遵循管理员统一制定的安全策略,协助管理员评估终端主机的安全状态,恢复终端存在的安全隐患,以便主动降低终端主机的安全威胁,保障终端用户合理使用网络资源。
强制隔离以下不安全终端:
- 存在重大安全隐患的终端。
- 未授权的外部终端。
- 未安装补丁的终端。
- 不符合安全策略要求的终端。
- 员工行为管理。全面控制各种移动存储介质的使用,规范员工合理使用网络资源,提高网络可用性和效率,防止网络滥用与恶意破坏。员工行为管理包括控制各种非法外连行为,控制网络流量,控制IM、炒股、P2P软件和网络游戏,控制Web访问和IP访问,ARP防护,文件操作,移动存储设备管理,进程/服务黑白名单和外设接口管理。
- 补丁管理。支持与WSUS(Windows Server Update Services)无缝集成,强制、及时、安全和准确的侦测系统漏洞,帮助终端主机及时更新补丁,避免由系统漏洞带来的安全威胁。
- 软件分发。支持将软件手工或按计划分发到终端主机,并支持按部门、按操作系统、按IP地址段进行分发。
- 资产管理。收集终端资产信息,跟踪资产变更状况,上报资产变更报表,关联人员与资产,查询资产信息。