如何降低終端對網(wǎng)絡(luò)及系統(tǒng)構(gòu)成的威脅��,要對終端進行相應(yīng)的身份認(rèn)證和安全檢查,實現(xiàn)一體化的防護���。所有終端在進入網(wǎng)絡(luò)之前要到安全策略服務(wù)器上認(rèn)證和安全策略檢查,通過之后才準(zhǔn)許終端系統(tǒng)訪問相應(yīng)的業(yè)務(wù)系統(tǒng),這作為整個安全認(rèn)證第一關(guān)�����,如果不符合要求就要進行相應(yīng)安全的修補�����,包括針對安全策略進行檢查���,進行補丁的下載���,進行強制殺毒安全權(quán)限的補任,修補之后又進行安全檢查,這樣形成一體的循環(huán)��。終端安全管理主要包含以下模塊:
1�����、網(wǎng)絡(luò)接入控制模塊
傳統(tǒng)上來講��,在企業(yè)單位中終端接入網(wǎng)絡(luò)是沒有任何控制的,在終端接入網(wǎng)絡(luò)后,在網(wǎng)絡(luò)層是可以訪問任何網(wǎng)絡(luò)中的主機。這樣的話就帶來了很大的風(fēng)險.然而����,根據(jù)工作相關(guān)原則和最小權(quán)限原則��,網(wǎng)絡(luò)接入控制可以實現(xiàn)以下功能:
1)終端在接入網(wǎng)絡(luò)之前必須經(jīng)過身份認(rèn)證;
2)終端在身份認(rèn)證后根據(jù)相應(yīng)的權(quán)限確保只能訪問相應(yīng)的系統(tǒng)���,比如市場的員工如無工作需要不能訪問財務(wù)系統(tǒng)的網(wǎng)絡(luò);
3)終端在接入網(wǎng)絡(luò)后可以進行限流��,確保這個終端在中了病毒以后����,不會影響網(wǎng)絡(luò)和網(wǎng)絡(luò)中的其他設(shè)備;
4)對于沒有合法身份的終端進行強制隔離�����,不允許接人公司的網(wǎng)絡(luò)��。
2��、終端策略強制模塊
終端策略強制模塊是安全管理通過技術(shù)手段貫徹執(zhí)行的具體體現(xiàn),只有符合公司策略的終端才能接入網(wǎng)絡(luò)。企業(yè)單位可以根據(jù)自身特點定制安全策略��,通過策略強制來確保所有終端執(zhí)行公司的策略�,否則強制隔離。
3、終端行為審計模塊
終端行為審計模塊可以幫助公司安全人員對安全策略的執(zhí)行情況進行檢查分析,用戶也可以通過工具進行自檢��。
1)用戶可以自助檢查終端是否符合公司的策略����,如果不符合�����,可以按照提示先行修復(fù)����;
2)審計員可以通過工具下載審計任務(wù)����,自動檢查出不符合公司策略的終端�����;
3)審計員可以監(jiān)控終端的可疑行為����,如使用USB硬盤等;
4)可以方便公司進行資產(chǎn)管理��。
