隨著社會信息化程度的不斷提高,企業的信息化進程也在加速,然而,信息化在給企業帶來效益的同時也給企業的信息安全和經營管理帶來了一些負面影響,如信息泄密、員工利用計算機從事與業務無關的活動等等,因此,企業在制定各種信息安全規章制度的同時,也迫切需要通過技術手段來防范各種安全漏洞、規范員工的計算機操作行為,于是,為滿足企業需求的桌面安全管理系統(也稱之為內網安全管理系統)便應運而生。筆者所工作的單位曾經先后使用過三種桌面安全系統,因而對于桌面安全系統有較多的體驗,本文根據筆者的經驗,談談在桌面安全系統使用方面的體會。
一、桌面安全系統的功能
目前,市面上的桌面安全系統有很多,較為知名的系統有VRV、LanSecs,Topdesk以及D-Securer等,這些系統從大的方面看功能比較接近,通常都具有以下功能:
1.網絡管理:對客戶端的IP地址和計算機名進行管理;非法接入報警與阻斷;違規外聯報警與阻斷。
2.行為審計:對客戶端的文件操作、文檔打印、共享設置、移動介質存儲、黑白名單、注冊表、賬戶密碼強度、病毒庫版本等進行審計,一些系統還提供對客戶端的即時通訊、郵件收發和網站訪問行為的審計,甚至對客戶端的屏幕進行截屏。
3.應用服務:遠程協助;補丁升級;軟件分發;文件加密。
4.資產管理:對客戶端的軟硬件資源進行統計、監控和預警。
隨著功能的不斷豐富,桌面安全系統的已經成為集網絡管理、上網行為管理和資源管理等諸多功能為一身的綜合性安全系統。
二、桌面安全系統的組織架構
對于中小規模的計算機網絡,其桌面安全系統的組織架構較為簡單,不須分級管理,然而對于擁有幾千個甚至幾十萬個網絡節點的大規模和超大規模的計算機網絡,則需要實行分級管理,不同級別的管理員擁有不同的管理權限,最高級別的管理員可以查詢全網的各種信息,并制定全局性的安全策略,低級別的管理員只能查詢本單位的信息,并制定僅適用于本單位的安全策略。
三、桌面安全系統的部署方式
目前,幾乎所有的桌面安全系統都是采取客戶端/服務器方式部署,在網絡內的每一臺計算機上安裝客戶端軟件,計算機在安裝了客戶端軟件后,系統自動將客戶端的網絡參數和軟硬件信息上傳至服務器,并定時與服務器進行信息交換。通常在一個網段內,系統會自動或由人工設定一臺或多臺計算機作為該網段的“探針”(也有稱之為“警察”或者“種子”的)。“探針”負責對本網段內的計算機進行掃描檢查,一旦發現非法入侵者,便向服務器發出警報,同時向入侵者發起阻斷攻擊,除此之外, “探針”還可以擔負補丁中轉分發的功能。
四、桌面安全系統的關鍵技術
對于企業的信息化工作,企業負責人最為關心的是要保證企業的信息安全,因此,桌面安全系統必須能夠做到事前防止非法接入,事后能夠進行追溯。從技術角度分析,事后追溯比較容易實現,事前防范的難度較大。目前,實現非法接人阻斷的方式通常有兩種,一是“硬阻斷” ,即將桌面安全系統與交換機實現聯動,當發現本網段內有非法接入的計算機時,立即通知交換機將所連接的端口關閉,通常凡是支持802.1x協議的智能交換機都可以實現這個功能。二是“軟阻斷” ,桌面安全系統通過“探針”對非法接人者進行ARP“廣播”欺騙攻擊。方式一的阻斷效果較好,但是,它要求網內的所有交換機都支持802.1x協議,對于小規模的的計算機網絡,由于投資不大,比較容易實現,但是,對于規模較大的企業網絡而言,將原有的普通交換機升級為智能交換機,需要投入巨額的改造資金,實現起來難度較大。方式二不需要另外的投資,但是,由于這種方式是通過“廣播”來實現的,“廣播”少的時候不起作用,“廣播”多的時候又會造成網絡阻塞,另外,如果入侵者采取了反ARP攻擊的措施,也不會起到阻斷的效果。
除了阻斷方式外,跨平臺應用也是目前桌面安全系統中的一項關鍵技術,桌面安全系統不僅要兼容用戶量最大的各種Windows版本,而且還要支持各種版本的UNIX平臺和LINUX平臺,目前,多數系統僅支持Windows平臺,支持多平臺的桌面安全系統并不多見。
五、桌面安全系統存在的問題
首先, 目前市場上的桌面安全系統在安裝部署階段都是在用戶計算機上執行安裝程序,系統通過安裝程序采集用戶端的信息。根據實踐經驗,由于管理上的不到位,或者用戶出于抵觸心理,在此過程中系統采集到的信息有很多都是不準確的,如果事后讓管理員一一進行核實更正,理論上這么做是可行的,實際上不僅費時費力,而且對于一個大型網絡也是不現實的。比較科學合理地解決的辦法就是對部署方式和安裝程序進行改進,即在安裝部署之前,對網內所有計算機的IP地址和計算機名進行統一規范,并將這些信息提前導人到系統的數據庫中,安裝程序執行時,首先要把用戶計算機的IP地址和計算機名與事先導入系統中的數據進行比較驗證,若不匹配則不能繼續執行。筆者所在單位的實踐證明,這是一種比較有效的部署方式,既保證了網內計算機網絡參數的規范性,又實現了入網計算機的實名化管理。
其次,從人性角度思考,企業員工都不希望“被”管束,為了規避監管,員工會想方設法卸載已經安裝了的客戶端軟件,當客戶端軟件被卸載后,由于系統中已經保存了該計算機的IP地址和MAC地址,用戶也未更改IP地址,此時,網絡中的“探針”并不會將該計算機認定為“非法”,于是,這臺計算機便成為一臺可以不受管束的“馬甲”計算機。因此,如何有效識別和限制此類“馬甲”是桌面安全系統需要解決的另一個難題。從網絡傳輸的機理和網絡結構兩方面看,目前單靠桌面安全系統本身尚無法從根本上解決這個問題,一般都是通過與第三方網關產品(如Sep11)相結合的方式來實現防卸載功能,但這電只能做到限制“馬甲”通過網關,并不能限制它在網絡內部的其它行為。
第三,目前多數系統可以對網絡用戶按行政隸屬關系進行管理,但是不能對用戶的權限和安全策略進行分組管理或者管理功能較弱,這是目前各桌面安全系統普遍存在的缺陷。在現實中,對于大型企業,其內部的情況千差萬別,非常復雜,一個用戶可能同時具有多重屬性,并非非此即彼,因此,用戶組的權限和策略設置功能有待進一步完善和提高。
第四,人性化設置。企業實施桌面安全系統的目的就是想實現對所有入網設備的精細管理,希望每一臺設備都安裝上系統的客戶端軟件,但是,在實際工作中,出于工作需要或者特殊原因(比如配置過低、與某些應用軟件沖突、網絡打印機等),一些設備不能或者無法安裝客戶端軟件,因此,系統應當引入“特權IP”的概念,允許個別設備在沒有安裝客戶端軟件的情況下不受系統的干擾,能夠在網絡內部正常工作。
第五,法律問題。前文提到一些桌面安全系統可以對客戶端的即時通訊、郵件收發、網站訪問進行審計,還具有遠程協助和截屏功能。 實際工作中,這些功能往往會在用戶中引起很強烈的抵觸反感情緒,企業方出于安全和管理的需要,可以要求在員工使用的計算機上安裝桌面安全系統,但是,系統所具有的功能應事先向員工說明,否則有可能引起不必要的法律糾紛。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://m.hanmeixuan.com/
本文標題:企業桌面安全系統應用與研究
本文網址:http://m.hanmeixuan.com/html/consultation/10839310399.html
相關文章
