移动安全 安全管理 应用案例 网络威胁系统安全 应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 系统安全 >

企业桌面安然系统利用与研究

时间:2013-08-24 12:50来源:TuZhiJiaMi企业信息安全专家 点击:
跟着社会信息化程度的不竭进步,企业的信息化过程也在加快,但是,信息化在给企业带来效益的同时也给企业的信息安然和经营治理带来了一些负面影响,如信息泄密、员工操纵计较机从事
Tags系统安全(735)安全系统(11)文件操作(3)企业桌面(1)  

  跟着社会信息化程度的不竭进步,企业的信息化过程也在加快,但是,信息化在给企业带来效益的同时也给企业的信息安然和经营治理带来了一些负面影响,如信息泄密、员工操纵计较机从事与营业无关的勾当等等,是以,企业在拟定各类信息安然规章轨制的同时,也火急需要经由过程手艺手段来防备各类安然缝隙、规范员工的计较机把持行动,因而,为知足企业需求的桌面安然治理系统(也称之为内网安然治理系统)便应运而生。笔者所工作的单位曾前后利用过三种桌面安然系统,因此对桌面安然系统有较多的体验,本文按照笔者的经验,谈谈在桌面安然系统利用方面的体味。

  1、桌面安然系统的功能

  今朝,市道上的桌面安然系统有良多,较为驰名的系统有VRV、LanSecs,Topdesk和D-Securer等,这些系统从大年夜的方面看功能比较接近,凡是都具有以下功能:

  1.收集治理:对客户端的IP地址和计较机名进行治理;不法接进报警与阻断;背规外联报警与阻断。

  2.行动审计:对客户端的文件把持、文档打印、共享设置、移动介质存储、吵嘴名单、注册表、账户暗码强度、病毒库版本等进行审计,一些系统还供给对客户端的即时通信、邮件收发和网站拜候行动的审计,乃至对客户端的屏幕进行截屏。

  3.利用办事:长途协助;补丁进级;软件分发;文件加密。

  4.资产治理:对客户端的软硬件资本进行统计、监控和预警。

  跟着功能的不竭丰硕,桌面安然系统的已成为集收集治理、上彀行动治理和资本治理等诸多功能为一身的综合性安然系统。

  2、桌面安然系统的组织架构

  对中小范围的计较机收集,其桌面安然系统的组织架构较为简单,不须分级治理,但是对具有几千个乃至几十万个收集节点的大年夜范围和超大年夜范围的计较机收集,则需要实施分级治理,不合级别的治理员具有不合的治理权限,第一流别的治理员可以查询全网的各类信息,并拟定全局性的安然策略,初级别的治理员只能查询本单位的信息,并拟定仅合用于本单位的安然策略。

  3、桌面安然系统的摆设编制

  今朝,几近所有的桌面安然系统都是采纳客户端/办事器编制摆设,在收集内的每台计较机上安装客户端软件,计较机在安装了客户端软件后,系统主动将客户端的收集参数和软硬件信息上传至办事器,并按时与办事器进行信息互换。凡是在一个网段内,系统会主动或由人工设定一台或多台计较机作为该网段的“探针”(也有称之为“***”或“种子”的)。“探针”负责对本网段内的计较机进行扫描查抄,一旦发现不法进侵者,便向办事器发出警报,同时向进侵者倡议阻断报复打击,除此以外, “探针”还可以担当补丁中转分发的功能。

  4、桌面安然系统的关头手艺

  对企业的信息化工作,企业负责人最为关心的是要包管企业的信息安然,是以,桌面安然系统必需可以或许做到事前避免不法接进,过后可以或许进行追溯。从手艺角度阐发,过后追溯比较等闲实现,事前防备的难度较大年夜。今朝,实现不法接人阻断的编制凡是有两种,一是“硬阻断” ,即将桌面安然系统与互换机实现联动,当发现本网段内有不法接进的计较机时,当即通知互换机将所连接的端口封锁,凡是凡是撑持802.1x和谈的智能互换机都可以实现这个功能。二是“软阻断” ,桌面安然系统经由过程“探针”对不法接人者进行ARP“广播”棍骗报复打击。编制一的阻断结果较好,可是,它要求网内的所有互换机都撑持802.1x和谈,对小范围的的计较机收集,因为投资不大年夜,比较等闲实现,可是,对范围较大年夜的企业收集而言,将原本的通俗互换机进级为智能互换机,需要投进巨额的改革资金,实现起来难度较大年夜。编制二不需要别的的投资,可是,因为这类编制是经由过程“广播”来实现的,“广播”少的时辰不起感化,“广播”多的时辰又会造成收集梗阻,别的,假定进侵者采纳了反ARP报复打击的办法,也不会起到阻断的结果。

  除阻断编制外,跨平台利用也是今朝桌面安然系统中的一项关头手艺,桌面安然系统不但要兼容用户量最大年夜的各类Windows版本,并且还要撑持各类版本的UNIX平台和LINUX平台,今朝,大都系统仅撑持Windows平台,撑持多平台的桌面安然系统并不多见。

  5、桌面安然系统存在的标题问题

  起首, 今朝市场上的桌面安然系统在安装摆设阶段都是在用户计较机上履行安装法度,系统经由过程安装法度汇集用户端的信息。按照实践经验,因为治理上的不到位,或用户出于矛盾心理,在此过程中系统汇集到的信息有良多都是不准确的,假定过后让治理员一一进行核实更正,理论上这么做是可行的,实际上不但费时吃力,并且对一个大年夜型收集也是不实际的。比较科学合理地解决的编制就是对摆设编制和安装法度进行改进,即在安装摆设之前,对网内所有计较机的IP地址和计较机名进行统一规范,并将这些信息提早导人到系统的数据库中,安装法度履行时,起首要把用户计较机的IP地址和计较机名与事前导进系统中的数据进行比较验证,若不匹配则不克不及继续履行。笔者地点单位的实践证实,这是一种比较有效的摆设编制,既包管了网内计较机收集参数的规范性,又实现了进网计较机的实名化治理。

  其次,从人道角度思虑,企业员工都不希看“被”管束,为了规避监管,员工会千方百计卸载已安装了的客户端软件,当客户端软件被卸载后,因为系统中已保留了该计较机的IP地址和MAC地址,用户也未更改IP地址,此时,收集中的“探针”其实不会将该计较机认定为“不法”,因而,这台计较机便成为一台可以不受管束的“马甲”计较机。是以,若何有效辨认和限制此类“马甲”是桌面安然系统需要解决的另外一个坚苦。从收集传输的机理和收集布局两方面看,今朝单靠桌面安然系统本身还没有法从底子上解决这个标题问题,一般都是经由过程与第三方网关产品(如Sep11)相连络的编制来实现防卸载功能,但这电只能做到限制“马甲”经由过程网关,其实不克不及限制它在收集内部的其它行动。

  第三,今朝大都系统可以对收集用户按行政附属关系进行治理,可是不克不及对用户的权限和安然策略进行分组治理或治理功能较弱,这是今朝各桌面安然系统遍及存在的缺点。在实际中,对大年夜型企业,其内部的环境千差万别,很是复杂,一个用户可能同时具有多重属性,并不长短此即彼,是以,用户组的权限和策略设置功能有待进一步完美和进步。

  第四,人道化设置。企业实施桌面安然系统的目标就是想实现对所有进网设备的邃密治理,希看每台设备都安装上系统的客户端软件,可是,在实际工作中,出于工作需要或特别启事(好比建设太低、与某些利用软件冲突、收集打印机等),一些设备不克不及或没法安装客户端软件,是以,系统该当引进“特权IP”的概念,承诺个别设备在没有安装客户端软件的环境下不受系统的干扰,可以或许在收集内部正常工作。

  第五,法令标题问题。前文提到一些桌面安然系统可以对客户端的即时通信、邮件收发、网站拜候进行审计,还具有长途协助和截屏功能。 实际工作中,这些功能常常会在用户中引发很强烈的矛盾反激情感,企业方出于安然和治理的需要,可以要求在员工利用的计较机上安装桌面安然系统,可是,系统所具有的功能应事前向员工申明,不然有可能引发不需要的法令胶葛。

------分隔线----------------------------

推荐内容