苏州vip彩票购彩大厅入口信息科技有限公司

用户与终端安全方案您当前的位置：首页 » 解决方案

终端安全解决方案

内网终端安全控制解决方案

1. 方案背景

随着各行各业本地信息化工作的开展，网络结构趋于复杂，网内终端不断增加，信息系统面临前所未有的安全挑战。在信息安全保障建设中，终端往往成为组织机构安全短板，难以控制，网内病毒、蠕虫扩散，工作信息泄密以及应用攻击行为频繁发生，严重影响组织机构的日常工作开展。较多组织机构建立了终端管理制度、终端操作规范，苦于缺少有效的终端安全管理技术措施，终端安全问题无法得到缓解。

为解决这一难题，天融信针对终端常见的安全问题，提出本解决方案。

2. 安全需求

非法接入终端带来的安全问题

在没有严格的监视措施下，外来攻击者将自己的终端直接连接到信息网络，并对信息网络进行攻击和破坏，其造成的后果是：非法访问信息网络，特别是内网服务区，造成重要信息的泄露；终端携带的病毒将直接对信息网络造成破坏；非法终端还将发布 ARP欺骗等数据包，引起网络的瘫痪等。

终端自身安全带来的安全隐患

终端自身的安全问题也将对信息网络造成威胁，比如终端自身已经携带了病毒，终端没有安装防病毒软件，终端的防病毒软件没有及时更新，终端操作系统补丁也没有及时更新等，这些安全问题将对内网其他终端，甚至内网服务器造成很大的麻烦，严重的将导致病毒在网络中的传播，或者终端上携带的蠕虫病毒在网络中大量散播的时候，也将导致交换机的负荷过重，而引起瘫痪。

终端缓存的文件造成泄密

内网终端在进行日常操作的过程中，往往在本地缓存了很多重要文件，那么当终端在访问互联网的时候，这些缓存在本地的文件，在没有采取任何访问措施的时候，也将会成为互联网攻击者的目标，造成信息的泄密。

3. 解决方案

针对以上问题，天融信从可信的角度，综合采用终端安全管理平台，部署在网络中，通过技术间的整合来实现有效的内网终端安全控制，实现以下的部署方案：

图 1 内网终端安全控制解决方案示意图

针对内网终端安全控制需求，方案充分发挥了终端安全管理平台作用，通过设计如下功能解决用户安全需求。

（ 1 ）终端非法接入的问题

利用终端安全管理平台与交换机802.1X功能实现认证联动。终端在接入网络后，必须进行认证，认证不通过的终端属于非法接入终端，是无法访问网络的任何资源的。

（ 2 ）终端健康性带来的威胁问题

终端在接入网络进行访问前进行的健康性检查，是确保终端可信的首要条件。如果内网终端存在安全隐患，极易成为病毒滋生地，对信息系统造成破坏，因此，在内网终端访问之前，先通过安装在内网终端上的防护代理进行健康性检查，并以此为依据，做为判断是否可进行下一步操作的关键，终端防护代理将检查的内容包括：

终端操作系统补丁是否为最新版本

终端是否有病毒防护措施

终端上的防病毒系统是否有效

终端上的病毒库是否为最新

终端上有否安装了非法的软件

终端是否运行了非法的进程

终端是否已经感染了病毒（通过非法进程监控来判断）

（ 4 ）对重要文件的保护

端代理在终端硬盘上划分出专用文件夹（文件保险柜），所有存储在本文件夹下的文件都将加密，只有提交了正确的帐号和口令后方可正确访问文件。。

通过专用文件夹技术，可以很好的保护重要文件的机密性，提升了总体的安全性。

（ 5 ）利用终端防护系统提高内网终端的自身安全

内网终端的自身安全是可信外访的首要前提，只有每个内网终端的桌面系统安全了才能保证外访过程的安全性。这里通过在每个内网终端上部署终端防护系统代理，同时接受终端防护系统服务器管理监控，从而能保证办公终端的自身安全性。具体重点包括：

能够自动检测内网终端桌面系统的安全状态，检测桌面系统的病毒防护软件是否工作正常。针对桌面系统的补丁自动检测、下发和安装，修复存在的安全漏洞。

对内网终端桌面行为监管，对桌面系统上拨号行为、打印行为、外存使用行为、文件操作行为的监控，确保机密数据的安全，避免了内部保密数据的泄漏。

对内网终端的IP管理：限制内网终端用户私自修改IP地址、MAC地址；通过策略可限制未分配的地址，终端用户不得私自使用；

对内网终端桌面系统监管，管理员能够远程查看桌面系统当前的详细信息，包括：已安装软件、已安装硬件、进程等。从而及早察觉发生在内网终端上的木马、病毒等安全威胁。

【返回】