【正文】 律相違背的行為都有可能發(fā)生在內(nèi)部網(wǎng)中。因此，建議對員工的網(wǎng)絡(luò)訪問行為進(jìn)行管理，具體管理方案如下： 監(jiān)控網(wǎng)站訪問通過對WEB訪問的監(jiān)控，記錄終端用戶的WEB網(wǎng)站訪問信息，由管理員進(jìn)行統(tǒng)一管理和審計。 軟件安裝標(biāo)準(zhǔn)化通過軟件黑白名單檢查，檢查終端安裝軟件的列表，可以定義軟件黑名單的違規(guī)軟件列表和軟件白名單的合法的軟件列表，也可以通過檢查軟件黑白名單規(guī)定只能安裝列表中的軟件或者必須安裝的軟件，加強企業(yè)桌面軟件統(tǒng)一安裝的標(biāo)準(zhǔn)性。允許定義網(wǎng)絡(luò)應(yīng)用程序訪問規(guī)則，控制IM等聊天工具在上班時間的使用。 終端入網(wǎng)審計提供終端登錄內(nèi)部網(wǎng)絡(luò)的日志上下線記錄，管理員可以通過日志及時查詢哪些用戶在什么時間登錄的企業(yè)內(nèi)網(wǎng)安全網(wǎng)絡(luò)，同時對長期沒有登錄的賬號也提供檢索查詢； 信息防泄密管理目前企業(yè)辦公終端數(shù)量較多，員工的辦公終端里存儲大量涉及企業(yè)機密的敏感信息，時常發(fā)生員工通過終端外設(shè)，如刻錄光盤、U盤拷貝、打印等方式將敏感信息外泄，目前通過人工管理方式不僅耗時費力，而且效果并不明顯。 監(jiān)控USB設(shè)備使用在不影響USB鼠標(biāo)/鍵盤的情況下， 對USB設(shè)備的管理支持放行、監(jiān)控、禁用、只讀和寫加密四種狀態(tài)。 防止違規(guī)假設(shè)PROXY/路由器等外聯(lián)設(shè)備監(jiān)視內(nèi)網(wǎng)私自架設(shè)PROXY服務(wù)器的非法外聯(lián)行為，當(dāng)發(fā)現(xiàn)違規(guī)架設(shè)PROXY服務(wù)器，可以記錄違規(guī)PROXY服務(wù)器的地址/端口信息，上報服務(wù)器，由管理人員進(jìn)行跟蹤和處理。 文件操作審計通過文件名和通配符的方式自定義需要監(jiān)控的文件記錄，提供文件的新建、刪除、編輯、復(fù)制、重命名等操作日志記錄，方便安全事件的追溯。通過對網(wǎng)絡(luò)異常流量的監(jiān)控，TSM系統(tǒng)能夠協(xié)助管理員發(fā)現(xiàn)流量異常的終端，并針對超過流量閾值的終端進(jìn)行告警或阻斷。學(xué)習(xí)和綁定網(wǎng)關(guān)的IP/MAC關(guān)系，過濾各種偽造網(wǎng)關(guān)的ARP報文。 撥號連接管理通過管理Modem、3G上網(wǎng)卡、ISDN、PPPOE撥號設(shè)備，管理員可以通過提供的安全策略監(jiān)控或阻斷終端的撥號行為，系統(tǒng)自動記錄撥號的開始時間和結(jié)束時間或者禁止終端用戶使用撥號設(shè)備，有效阻止終端繞過企業(yè)的監(jiān)管連接互聯(lián)網(wǎng)，避免企業(yè)內(nèi)網(wǎng)直接面對來自互聯(lián)網(wǎng)的攻擊。確保企業(yè)的所有互聯(lián)網(wǎng)出口流量都經(jīng)過統(tǒng)一架設(shè)的出口網(wǎng)關(guān)，通過出口網(wǎng)關(guān)過濾不安全的網(wǎng)絡(luò)訪問，保障企業(yè)內(nèi)網(wǎng)安全。要解決USB存儲介質(zhì)的管理問題，首先解決未注冊的USB存儲設(shè)備的接入問題，需要將所有在公司內(nèi)部使用的USB存儲設(shè)備都納入安全管理體系，要對已注冊和未注冊的USB存儲設(shè)備使用的權(quán)限進(jìn)行控制，要能通過身份認(rèn)證明確終端使用人員的信息，員工對已注冊和未注冊的USB存儲設(shè)備具有不同的使用權(quán)限，通過策略可限制員工對注冊USB存儲設(shè)備和非注冊USB存儲設(shè)備的使用權(quán)限。根據(jù)員工提交注冊申請所使用的賬號是否具有自動審批權(quán)限，所提交的注冊申請的審批過程有所不同。如果提交注冊申請的員工不具有自動審批權(quán)限，則該申請?zhí)峤坏焦芾韱T處等待審批，管理員審核員工提交的申請，當(dāng)申請屬實時批準(zhǔn)申請，當(dāng)申請不屬實或注冊申請?zhí)顚戝e誤時拒絕申請。 USB存儲設(shè)備權(quán)限策略管理USB存儲設(shè)備管理功能通過監(jiān)控USB存儲設(shè)備策略，實現(xiàn)對已注冊和未注冊的USB存儲設(shè)備使用權(quán)限的控制，員工對已注冊和未注冊的USB存儲設(shè)備具有不同的使用權(quán)限。寫加密：在啟用加密寫功能后，終端用戶拷貝到U盤的文件都是經(jīng)過加密的，只有該企業(yè)的用戶并且安裝了TSM安全代理的終端，才能使用這些加密文件，加密文件從U盤拷貝到本地硬件自動解密。 日志審計 從USB存儲設(shè)備的管理角度出發(fā)，要求USB存儲介質(zhì)管理系統(tǒng)能對相關(guān)的USB存儲介質(zhì)的使用情況進(jìn)行審計，能夠監(jiān)控USB存儲設(shè)備的違規(guī)信息和使用記錄，通過USB存儲介質(zhì)的使用帳號、PC的MAC、IP的信息對存在違規(guī)操作的已注冊USB存儲設(shè)備進(jìn)行定位統(tǒng)計。通過嚴(yán)格的USB存儲設(shè)備使用狀態(tài)審計和檢查，減少內(nèi)部安全威脅，有效強化內(nèi)部信息安全的管理，將公司的信息安全管理規(guī)定通過IT的手段得到落實。如果企業(yè)內(nèi)網(wǎng)有大量沒有部署關(guān)鍵補丁的終端，將會導(dǎo)致企業(yè)內(nèi)網(wǎng)的漏洞攻擊。TSM系統(tǒng)的補丁管理方案可以有效的幫助安全管理員和終端及時解決嚴(yán)重關(guān)鍵級別補丁的安裝任務(wù)，確保接入企業(yè)網(wǎng)絡(luò)的終端的安全可信。TSM與WSUS聯(lián)動過程如下：1. 在TSM管理平臺上，由管理員配置終端的操作系統(tǒng)補丁策略，指定終端需要安裝的補丁等級和特殊補丁號，作為安全與否的判斷標(biāo)準(zhǔn)。安全檢查前TSM安全代理先從服務(wù)器上更新補丁檢查策略參數(shù)，與終端未安裝的補丁列表進(jìn)行比對，當(dāng)發(fā)現(xiàn)有符合條件的未安裝的補?。礉M足安全策略定義的嚴(yán)重補丁漏洞）時，強制終端的網(wǎng)絡(luò)隔離并調(diào)用WSUS接口提供補丁自動修復(fù)任務(wù)；3. 用戶點擊修復(fù)窗口，調(diào)用WSUS接口實現(xiàn)終端關(guān)鍵補丁的自動安裝和修復(fù)任務(wù)，安裝完成后，重新認(rèn)證，實現(xiàn)終端安全狀態(tài)下的接入。具體方案如下：1. 補丁來源和模板管理安全補丁獲取建議從微軟網(wǎng)站自動下載補丁，系統(tǒng)自動提取補丁的相關(guān)信息。TSM系統(tǒng)可以根據(jù)管理員制訂的補丁模板分發(fā)策略自動或手動向終端分發(fā)操作系統(tǒng)的補丁。2. 補丁測試管理當(dāng)微軟發(fā)布新的安全補丁時，管理員可以先挑選小范圍的終端部署這些補丁，驗證補丁的安全性；當(dāng)小范圍終端驗證通過，確認(rèn)安全性和兼容性后，再挑選更大范圍（如全網(wǎng)）的終端部署和驗證補丁，最終實現(xiàn)補丁的統(tǒng)一部署。3. 關(guān)鍵補丁的準(zhǔn)入管理補丁的自動管理能夠很好地解決在線終端的補丁安裝問題，對經(jīng)常離線（如長期出差）的終端建議通過補丁檢查策略在接入企業(yè)內(nèi)網(wǎng)時進(jìn)行補丁檢查，當(dāng)檢查到終端沒有部署關(guān)鍵的補丁時，可以協(xié)助終端快速完成補丁的修復(fù)。通過此方式，從技術(shù)上保證了網(wǎng)絡(luò)的安全性，并能夠有效提高員工的安全意識，防范安全事件的大規(guī)模發(fā)生。 資產(chǎn)管理隨著企業(yè)業(yè)務(wù)的不斷擴展，內(nèi)網(wǎng)辦公終端與日俱增，僅僅依靠純手工的資產(chǎn)管理方式遠(yuǎn)不能滿足需求，TSM系統(tǒng)的資產(chǎn)管理功能提供企業(yè)資產(chǎn)的全生命周期管理。TSM系統(tǒng)能夠跟蹤資產(chǎn)變更的情況，記錄資產(chǎn)變更的詳細(xì)信息，并且提供資產(chǎn)變更告警功能。資產(chǎn)管理提供兩種模式：l 人工資產(chǎn)編號模式：系統(tǒng)中的每一個資產(chǎn)，都有明確的資產(chǎn)編碼，終端用戶在客戶端程序上輸入資產(chǎn)編碼，實現(xiàn)資產(chǎn)注冊，完成設(shè)備與資產(chǎn)編號和資產(chǎn)描述信息的關(guān)聯(lián)。系統(tǒng)將根據(jù)管理員設(shè)定的規(guī)則，對資產(chǎn)進(jìn)行自動編號。TSM系統(tǒng)的軟件分發(fā)功能支持局域網(wǎng)范圍內(nèi)的快速下載，能夠大大減少對網(wǎng)絡(luò)帶寬的占用。 遠(yuǎn)程協(xié)助遠(yuǎn)程協(xié)助功能能夠幫助企業(yè)IT管理員及時響應(yīng)終端用戶的需求，無須東奔西跑的現(xiàn)場解決，從而提高問題解決的效率和業(yè)務(wù)部門的滿意度。通過報表餅圖，直觀感受全網(wǎng)被管理終端接入網(wǎng)絡(luò)的狀態(tài)；通過趨勢圖獲取終端接入網(wǎng)絡(luò)的安全走勢；通過柱狀圖，可快速定位違規(guī)終端的TOPN排行等；6 TSM系統(tǒng)組成介紹TSM終端安全系統(tǒng)結(jié)構(gòu)圖TSM終端安全管理系統(tǒng)由如下幾個部分組成：1. TMC管理中心分級管理部署時使用，作為TSM的管理中心，負(fù)責(zé)制定總體的安全策略，下發(fā)給各個TSM管理節(jié)點，并且對TSM管理節(jié)點實施情況進(jìn)行監(jiān)控。通過該操作界面，系統(tǒng)管理員可以查詢終端的安全狀態(tài)和違規(guī)的歷史記錄和報表。3. TSM控制服務(wù)器SCSC主要負(fù)責(zé)完成如下幾項業(yè)務(wù)：l ，當(dāng)身份認(rèn)證通過后，根據(jù)終端的安裝狀態(tài)。對于安全檢查通過的終端，通知SACG切換到認(rèn)證后域。4. 網(wǎng)絡(luò)準(zhǔn)入控制設(shè)備有三種可選的網(wǎng)絡(luò)準(zhǔn)入：1）2）安全準(zhǔn)入控制網(wǎng)關(guān)SACG3）基于終端主機防火墻的軟件準(zhǔn)入控制通過準(zhǔn)入控制設(shè)備，把企業(yè)的網(wǎng)絡(luò)資源劃分為一個認(rèn)證前域，若干個隔離域，以及若干個認(rèn)證后域。5. TSM安全代理SATSM安全代理是一個安裝在終端PC上的應(yīng)用程序，當(dāng)終端PC啟動后，終端用戶輸入用戶名+口令，執(zhí)行身份認(rèn)證和安全檢查操作，并且把檢查的結(jié)果作為安全認(rèn)證開通網(wǎng)絡(luò)訪問權(quán)限的依據(jù)。TSM安全代理提供補丁管理、軟件分發(fā)、資產(chǎn)管理、公告下發(fā)，以及遠(yuǎn)程協(xié)助等IT管理輔助功能。6. 基于ActiveX技術(shù)的WEBAGENT認(rèn)證客戶端TSM終端安全管理提供無需在終端安裝代理軟件的安全解決方案，通過基于ActiveX技術(shù)的WEB認(rèn)證客戶端，提供身份認(rèn)證和安全檢查操作，并且把檢查的結(jié)果作為安全認(rèn)證開通網(wǎng)絡(luò)訪問權(quán)限的依據(jù)。TSM系統(tǒng)支持管理員、操作員、審計員權(quán)限分離。 數(shù)據(jù)安全性TSM系統(tǒng)提供完善的數(shù)據(jù)安全解決方案。逃生通道支持自動開啟和關(guān)閉。 SACG故障方案TSM的接入控制功能主要是通過接入控制設(shè)備SACG實現(xiàn)，終端計算機訪問內(nèi)網(wǎng)資源的上行數(shù)據(jù)都需要經(jīng)過SACG設(shè)備，如果SACG故障將帶來嚴(yán)重后果，因此SACG部署的可靠性性也很重要。 服務(wù)器多資源池備份方案單臺服務(wù)器能夠處理一萬并發(fā)用戶數(shù)，可以通過增加服務(wù)器的方式實現(xiàn)后續(xù)擴容。當(dāng)終端代理檢測到當(dāng)前區(qū)域內(nèi)的主用服務(wù)器故障時或者無法連接時，自動關(guān)聯(lián)下一臺備用服務(wù)器繼續(xù)進(jìn)行認(rèn)證。充分利用已有的網(wǎng)絡(luò)安全建設(shè)，將各個孤立的解決方案實現(xiàn)最佳的融合。靈活豐富的安全檢查，包含了業(yè)界最多的終端安全檢查策略，并且在用戶訪問的整個過程當(dāng)中都可以進(jìn)行檢查，一旦發(fā)現(xiàn)于預(yù)定義的策略不符，系統(tǒng)可以改變該用戶的權(quán)限，或者禁用用戶。優(yōu)異的高可靠性，重要組件均提供主備和負(fù)載均衡，提供獨有的逃生通道功能，在服務(wù)器發(fā)生宕機等極端情況下能夠自動暫時放開網(wǎng)絡(luò)訪問控制，以免影響正常業(yè)務(wù)；