如何降低终端对网络及系统构成的威胁,要对终端进行相应的身份认证和安全检查,实现一体化的防护。所有终端在进入网络之前要到安全策略服务器上认证和安全策略检查,通过之后才准许终端系统访问相应的业务系统,这作为整个安全认证第一关,如果不符合要求就要进行相应安全的修补,包括针对安全策略进行检查,进行补丁的下载,进行强制杀毒安全权限的补任,修补之后又进行安全检查,这样形成一体的循环。终端安全管理主要包含以下模块:
1、网络接入控制模块
传统上来讲,在企业单位中终端接入网络是没有任何控制的,在终端接入网络后,在网络层是可以访问任何网络中的主机。这样的话就带来了很大的风险.然而,根据工作相关原则和最小权限原则,网络接入控制可以实现以下功能:
1)终端在接入网络之前必须经过身份认证;
2)终端在身份认证后根据相应的权限确保只能访问相应的系统,比如市场的员工如无工作需要不能访问财务系统的网络;
3)终端在接入网络后可以进行限流,确保这个终端在中了病毒以后,不会影响网络和网络中的其他设备;
4)对于没有合法身份的终端进行强制隔离,不允许接人公司的网络。
2、终端策略强制模块
终端策略强制模块是安全管理通过技术手段贯彻执行的具体体现,只有符合公司策略的终端才能接入网络。企业单位可以根据自身特点定制安全策略,通过策略强制来确保所有终端执行公司的策略,否则强制隔离。
3、终端行为审计模块
终端行为审计模块可以帮助公司安全人员对安全策略的执行情况进行检查分析,用户也可以通过工具进行自检。
1)用户可以自助检查终端是否符合公司的策略,如果不符合,可以按照提示先行修复;
2)审计员可以通过工具下载审计任务,自动检查出不符合公司策略的终端;
3)审计员可以监控终端的可疑行为,如使用USB硬盘等;
4)可以方便公司进行资产管理。
