一体化安全管理体系建设讨论.docx

《一体化安全管理体系建设讨论.docx》由会员分享，可在线阅读，更多相关《一体化安全管理体系建设讨论.docx（7页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、一体化安全管理体系建设讨论在进行信息安全体系建设时，应对来自终端的威胁给予足够的重视，建立有效的终端安全管理体系。本文分析了终端安全管理体系应包含的内容，阐述了传统分散式终端安全管理存在的问题，结合作者的工作实践经历，对一体化终端安全管理体系的建设，提出了本人的思路和见解。关键词：终端安全；一体化；体系建设随着信息化建设不断发展，信息安全的重要性日益显露出来，在信息安全保护实践中，各单位往往对数据集中的后台服务器投入精神较多，对来自终端的威胁重视缺乏。信息安全事件调查经历表明，多数信息安全事件的突破口来自终端，因而在进行信息安全体系建设时，应对来自终端的威胁给予足够的重视，建立有效的终端安全管

2、理体系。1典型的终端安全管理体系应包括的内容1.1防病毒及终端入侵防护包括对全网病毒、木马、蠕虫、流氓软件、间谍软件等恶意代码的识别、查杀，对可疑行为的阻断和告警。此类功能主要是基于代码检测引擎和特征库实现。1.2补丁状态检查及分发包括检查能否已安装操作系统相应的补丁，各类防护特征库能否保持更新，能够自动推送安装补丁和特征库等。此类功能主要通过安全软件读取系统注册表及扫描特定位置文件系统，并自动执行后台脚本实现。1.3移动存储管理防止内部滥用移动介质，杜绝内外部移动介质在内外网穿插使用，并通过特殊加密技术保证移动介质在非受权环境下不能被读取。此类功能主要通过向操作系统底层驱动注入代码和数据加密

3、技术实现。1.4终端准入管理实现对网络接入终端的安全准入管理与控制，确保接入网络终端已安装要求的防护系统，且符合安全策略要求，有效杜绝非法外来终端私自接入网络。此类功能能够基于交换机端口进行控制或使用安全网关进行控制。1.5非法外联监控用于发现和阻止内部网络用户非法建立通路连接互联网或非受权网络的行为，以此防止引入安全风险或导致信息泄密。此类功能通常做法是定期检查与某个互联网地址或非受权网络的连通性，若有连通便会触发监控报警。1.6主机监控审计对终端用户的操作行为进行管控与审计，对安装的软件实行黑白名单管理，当用户的操作违背安全策略时，能够自动禁止或记录违规日志。此类功能一般需在终端驻留程序，

4、根据设定的操作策略和软件清单执行。2传统分散式终端安全管理存在的问题1产生兼容性问题。不同的终端安全防护产品均需要操作系统权限并向底层驱动注入代码实现检测，各产品之间的操作冲突、导致兼容性问题已是常见现象，即便能够和平共存也会造成增加系统资源开销，拖累系统变慢等一系列问题。2缺乏统一管理。在终端上安装使用多种安全防护产品，缺乏全局性安全管控，容易构成信息孤岛，不利于开展诸如安全数据的收集、汇总、统计等关联分析工作，无法系统性展示终端安全全貌。3防护效果打折扣。不同的终端安全防护产品在功能上各有侧重，组合在一起并不一定能全面覆盖用户的安全需求，由于底层机制的类同和兼容性冲突等原因，经常出现安全防

5、护的真空地带，产生1+12的现象，使防护效果大打折扣。4运行维护成本高。多种终端安全防护产品同时使用，需同时与多个厂商采购维保服务，周期长投入大，运行上需要维护多套不同的策略表，从不同的;更新补丁包、特征库等，都给运维增加了不小的工作量。5难以知足自主可控的要求。出于国家安全战略的需要，终端安全防护产品应尽可能知足自主可控的要求。分散部署不同的终端安全防护产品，大多是基于历史原因分批分步建设构成的，存在一定的不可控安全风险。3一体化终端安全管理体系的建设思路一体化终端安全管理体系的建设，应遵循“功能集中、统一建设的原则，结合单位已有的终端安全防护现状，采用“整合式替代、替代后实现一体化管理的思

6、路开展。替代经过中，应充分考虑安全设备国产化的要求，既实现终端安全防护各项功能，又可在统一平台下管理终端资产、终端信息、终端安全防护系统等，实现终端一体化安全管理。终端一体化安全管理可极大地提高运维效率，加强终端类安全事件联动，提高终端安全事件预警发现和处置能力，最终提高单位的信息安全管理水平。详细施行经过中，应以“资源整合、统一管理、分级部署、基准策略、量体裁衣、人力集约为主要工作目的，最大程度整合单位现有软硬件资源、技术人才资源，节约资源、资金、人力成本，集成各类终端管理功能，逻辑上实行统一管理，总部制定基准策略，各地分支机构针对本人的情况，定制合适本辖区情况的安全策略，预留一定扩展空间，

7、供各级机构在统一终端管理平台下的本地化处理。建议分四个步骤进行：率先落实国产化替代，一体化终端安全管理体系建设不再考虑国外产品，实现完全国产自主可控，这一点无论是在技术上还是在市场上都已不存在问题。整合现有终端安全防护系统的功能，在实现病毒防治、补丁分发、非法外联监控、准入控制、移动介质管控、安全策略管理等功能的基础上，实现各功能模块的数据整合与联动。增加资产管理、操作审计等功能，并实现一体化关联和统一展现，进一步完善系统的管理功能，能够进行终端状态、终端信息、安全事件等信息的展示、分析和处理，实现对安全事件的及时发现、告警和处置，及时消除安全事件对终端的影响。在系统建设的基础上实现科学安全管

8、理，通过对终端安全状态的统一定量评估，实现对各部门、各分支机构的终端安全态势评估，把握终端安全管理的薄弱环节，为信息安全管理工作的整改完善提供数据支撑。在功能方面：一体化终端安全管理体系应主要包括但不限于防病毒管理、终端入侵检测防护管理、补丁分发管理、移动介质管理、非法外联管理、终端准入管理、主机监控审计管理、终端信息管理、安全策略管理、终端运行状态统计管理、安全事件管理、运行报表管理、考核指标管理、系统管理等功能。实现终端安全防护系统的一体化管理和安全防护系统的资源整合，实现安全防护策略的统一管理，建立全面、集中、统一的终端安全管理体系。在管理方面：实现与终端安全管理制度相适应的安全管理要求

9、，实现总部与各分支机构终端信息的统一集中管理，实现终端安全控制策略的统一配置、自动筛查、告警和展现，实现定期安全类报表的自动生成和展现，实现安全管理人员的统一工作平台。4结语要实现对信息安全闭环式管理，仅仅重视信息系统服务端的保护是不够的，必须重视对每个入网终端的安全管理。一体化终端安全管理体系的建设，从技术上采取了多种手段强化终端的安全防护和管理，为强化单位的信息安全管理提供了必要的手段。同时，我们也必须认识到，终端安全管理体系的建设不是讲建好系统就万事大吉了，对一个单位的信息安全管理而言，永远是“三分技术，七分管理。再好的技术手段，也只要和管理制度相结合，并加以强力执行，才能到达预定的安全目的。