大型企业安全管理到“桌面”

采用端点准入技术,实施桌面安全管理系统,将全面提高大型企业各联网单位客户端计算机的安全性,保证合规接入网络,对于提高桌面信息系统安全具有划时代意义。

各种依赖于计算机网络的应

用系统逐渐增多,整个企业的运转越来越离不开这些应用系统,大量敏感或的数据要用桌面终端准备进行浏览或存储,信息技术应用需要一个端到端(服务器-客户端)的整体安全环境。桌面终端的安全管理是其中最薄弱的环节,管理也最为复杂,往往成为信息外泄的源头。

由此可见,在越来越复杂和多变的信息安全形势下,加强桌面安全管理至关重要并且十分急迫。桌面安全管理系统可以实现病毒防护系统和补丁分发系统以及更高级的安全策略,保证客户端计算机防病毒系统和补丁的及时更新,大幅提高客户端计算机和网络系统的安全水平,有效解决安全策略落实不到位的问题。

桌面安全管理架构

桌面安全管理系统是某大型企业信息安全体系建设的重要组成部分。其桌面安全管理系统包括SAV赛门铁克病毒防护系统、SMS微软补丁分发系统及SEP端点准入系统。通过整体系统的实施,建立“三位一体”的桌面安全管理系统:通过赛门铁克病毒防护系统和微软补丁分发系统,实现防病毒和系统安全漏洞及时修补功能; 通过端点准入系统的实施,实现终端统一的安全策略,加强终端安全性; 强制赛门铁克病毒防护系统和微软补丁分发系统部署到位; 通过主动防御功能,防范网络中常见的攻击行为; 对终端的行为进行日常的安全检查,从而提高全体员工的安全意识。

病毒防护系统

全网病毒防护系统整体架构完全覆盖所有联网的终端,通过在网络中构建层级架构,合理地将各级防病毒管理组件平行汇总,建立各级综合的防病毒运维管理区。

总部防病毒服务器负责所有区域网络中心防病毒产品升级、防护策略制定、病毒定义文件升级等工作。

区域网络中心防病毒服务器从总部防病毒服务器接收防病毒产品升级、防护策略、病毒定义文件等信息,应用到本地服务器; 负责对所管辖区域的防病毒产品升级、防护策略制定、报警管理、病毒统计报表生成等工作。

各单位防病毒服务器从上级服务器继承防病毒产品升级、防护策略、病毒定义文件等信息,并分发给所辖客户端,保证终端用户的及时更新; 同时,可以根据本单位的具体情况,制定特定的策略。这样,可以保证防病毒系统软件和病毒特征码的同步更新,最大限度地提高桌面系统的安全性。

通过建立总部区域中心各企事业单位的病毒定义文件升级系统,实现了逐级升级病毒定义文件,最新病毒定义文件在两小时内分发到各单位。总部建立专门的技术支持队伍为各单位提供防病毒技术支持。

补丁分发系统

补丁分发系统服务器提供树状的层次化体系架构以满足企业的组织和管理需求。同时,层次结构的合理实施有利于优化系统资源和网络资源的使用。

根据规划,补丁分发服务器体系架构共分为三个层次,体系架构中各层次补丁分发服务器的主要作用如下:

补丁分发中心站点服务器

位于总部。作为整个树状拓扑结构的根节点,中心站点服务器负责从微软网站获得补丁,将其制作成数据包,并复制到体系架构中的其他所有补丁分发服务器。

同时,中心站点服务器还通过其报表功能收集下属所有单位补丁分发统计数据。

从中心站点上可以监控整个架构中所有补丁分发服务器的系统健康状况,并调整其配置和功能。

中心站点服务器本身不管理任何客户端。

一级分公司的主站点服务器

每个一级分公司安装一台主站点服务器,以管理所有下属的客户端。

主站点服务器负责从中心站点接受最新的补丁,并播发至其管理的客户端。主站点服务器还能通过管理控制台查看其所补丁播发统计数据。

主站点服务器在收集资产信息的同时,还将信息汇报至中心站点服务器。

二级分公司的辅助站点服务器(可选)

部分二级分公司可根据需要安装辅助站点服务器。辅助站点的添加与删除可以根据需求动态调整,而不必影响客户端的配置。

辅助站点服务器的主要作用是减轻主站点的系统负担及广域网之间的网络负载。

负载站点本身不具备管理功能。

端点准入控制系统

端点准入控制系统通过在不同的网络层次设置控制点,在端点连接到企业网络之前,对其安全状态进行强制审计,强制应用统一的安全策略。对不符合安全标准的端点强制拒绝接入,并对不合规端点进行修整,确保只有完全符合统一安全策略的端点才能接入网络,将蠕虫、病毒、木马等混合安全威胁屏蔽在网络之外,以降低网络所面临的安全风险,从而确保接入端点完全符合统一安全策略要求,确保企业网络安全、稳定地运行。

总部部署端点准入控制系统一级站点,各地区公司部署二级站点,如果地区公司规模庞大,网络结构复杂,可以部署三级站点以满足需求。

一级站点制定部分安全策略并下发到所有二级站点、三级站点。二级站点、三级站点可以根据自身需要制定符合自身需要的安全策略。

二级站点、三级站点把收集的客户端事件日志保留在本地服务器中,在本地站点完成安全事件分析。下级站点将本地生成的安全态势分析报告上传到一级站点服务器,一级站点可以有选择地获取部分日志内容,根据特定的要求进行日志分析。

此种部署方式可以实现整个端点准入控制系统的统一管理,保证个性化的安全策略满足地区单位个性化需要。一级站点难以得出企业整体的安全态势报告,难以全面掌握企业终端安全状况,需要通过其他方式进行人工数据汇总,但对于一级站点服务器存储空间、对于系统数据处理能力要求较低。各级下级站点仅将部分数据信息上传到一级站点,使用广域网带宽较低,对于广域网数据传输不会造成严重影响。

实施桌面安全管理系统,能全面提高大型企业各联网单位客户端计算机的安全性,保证合规接入网络,对于提高桌面信息系统安全具有划时代意义。