信息化觀察網(wǎng)

什么是終端安全

終端安全對于IT運維來說都不陌生，它是采用立體防御理念形成體系化產(chǎn)品與解決方案。體現(xiàn)了立體架構和主動防御思想，并通過PDCA模型（P規(guī)劃方案、D實施維護、C檢查評估、A處理整改）來持續(xù)提升企業(yè)終端的安全能力。終端安全立體防御體系，即通過準入控制來識別終端用戶身份，以決定是否允許其接入；桌面運維管理是通過制定相應安全策略來保障終端桌面的安全；安全管理是通過制定適合企業(yè)業(yè)務運營要求的安全管理，來確保所制定的安全策略有法可依。

終端安全管理設計思路

以企業(yè)安全策略為核心，用戶在接入企業(yè)標準網(wǎng)絡之前，第一部接收身份驗證。認證通過后進行第二部強制合規(guī)性檢查（包括安全狀態(tài)和系統(tǒng)配置檢查），服務器根據(jù)檢查結果做出仲裁，符合企業(yè)安全策略即可授權訪問相應的網(wǎng)絡資源。安全檢查不合規(guī)的終端只能訪問修復資源，完成必要的修復后才能接入網(wǎng)絡。

終端安全體系五要素

身份認證：身份標識、角色定義、外部紛爭系統(tǒng)等。

準入控制：軟件防火墻、802.1X交換機、網(wǎng)關準入控制、ARP、DHCP等。

安全認證：防病毒軟件、補丁管理、非法外聯(lián)管理、存儲介質管理、上網(wǎng)行為管理等。

業(yè)務授權：業(yè)務系統(tǒng)權限控制、業(yè)務文檔權限控制。

業(yè)務審計：業(yè)務系統(tǒng)類審計、業(yè)務文檔類審計。

終端安全策略部署

終端安全系統(tǒng)主要功能：

準入控制：訪客管理、例外設備管理、強制遵從性評估、授權用戶訪問范圍。身份認證、合規(guī)性檢查、一鍵式自動修復、基于時段的NAC。

安全管理：安全加固、辦公行為管理。自定義各種安全策略、信息泄密防護。網(wǎng)絡防護。

桌面管理：補丁管理、資產(chǎn)管理。軟件分發(fā)、遠程協(xié)助。消息通告。

分權分域管理

流程化策略模型

可運營報表

身份認證

普通賬號/口令認證：終端用戶在訪問受控網(wǎng)絡前，使用普通賬號進行身份認證。

MAC賬號認證：終端主機在訪問受控網(wǎng)絡前，使用本機的MAC地址進行身份認證。

AD賬號認證：網(wǎng)絡中已經(jīng)部署了Microsoft AD域控制器，終端用戶使用Microsoft AD域賬號進行身份認證并接入受控網(wǎng)絡。

LDAP認證：網(wǎng)絡中已經(jīng)部署LDAP認證服務器，終端用戶使用現(xiàn)有的LDAP賬號進行認證。

USBKEY認證：終端用戶在訪問受控網(wǎng)絡前，使用移動證書進行身份認證。

安全策略—防病毒軟件檢查

該策略檢查終端主機是否安裝指定的防病毒軟件。如果終端主機已經(jīng)安裝防病毒軟件，該策略檢查防病毒軟件的程序版本號、病毒庫是否及時更新、防病毒軟件是否運行。如果終端主機未安裝指定的防病毒軟件，或防病毒軟件不符合條件，AnyOffice將會記錄終端主機的相關信息，并將違規(guī)信息上報至數(shù)據(jù)庫，供管理員查閱。

安全策略—操作系統(tǒng)補丁檢查

該策略檢查終端主機是否已經(jīng)安裝Microsoft Windows操作系統(tǒng)對應的補丁。如果終端主機未安裝對應版本的補丁程序，AnyOffice將記錄該操作系統(tǒng)的相關信息，并上報至數(shù)據(jù)庫，供管理員查閱。

安全策略—注冊表檢查

該策略檢查注冊表的重要子鍵與鍵值是否符合要求。如果注冊表不包含該策略強制要求的“子鍵與鍵值”，或者包含該策略禁止存在的“子鍵與鍵值”，則該策略的檢查結果為違規(guī)。

安全策略—計算機名檢查

該策略檢查終端主機的計算機名稱是否符合要求。如果終端用戶設置的計算機名稱不符合要求，則該策略的檢查結果為違規(guī)。

安全策略—文件共享檢查

檢查終端文件共享的賬號以及權限是否符合要求，并提供自動修復功能。

安全策略—賬戶安全檢查

該策略檢查終端主機的賬戶設置是否符合要求。如果終端用戶設置的賬戶密碼不符合安全規(guī)則，則該策略的檢查結果為違規(guī)。

安全策略—打印機共享檢查

檢查本地打印機共享的賬號以及權限是否符合要求，并提供自動修復功能。

安全策略—端口檢查

根據(jù)指定的端口或端口段信息，檢查終端開放的端口是否符合要求。