1、用戶需求

企業(yè)的內(nèi)網(wǎng)安全越來(lái)越重要，雖然很多企業(yè)都做了應(yīng)對(duì)策略，比如在企業(yè)內(nèi)網(wǎng)的邊界處防火墻或入侵檢測(cè)產(chǎn)品，在終端計(jì)算機(jī)或服務(wù)器上部署殺毒軟件，但是仍然有安全事件發(fā)生，究其原因，發(fā)現(xiàn)很多問(wèn)題來(lái)自終端安全防護(hù)不足或安全防范意識(shí)薄弱而導(dǎo)致，具體分析其原因，主要原因表現(xiàn)如下：

1) 計(jì)算機(jī)未實(shí)施安全訪問(wèn)機(jī)制，導(dǎo)致終端用戶訪問(wèn)計(jì)算機(jī)無(wú)法進(jìn)行實(shí)名制管理。大部分企業(yè)的計(jì)算機(jī)終端未實(shí)行計(jì)算機(jī)用戶訪問(wèn)實(shí)名化，一是，計(jì)算機(jī)終端用戶管理混亂，甚至在安全事件發(fā)生后無(wú)法找到肇事者；二是，由于計(jì)算機(jī)終端用戶隨意訪問(wèn)，特別是在訪問(wèn)互聯(lián)網(wǎng)的論壇或微博方面，容易給企業(yè)造成一些法律官司，而企業(yè)又無(wú)法找到對(duì)應(yīng)用戶。

2) 缺乏有效的外設(shè)管理，數(shù)據(jù)泄密、病毒傳播無(wú)法控制。已經(jīng)感染病毒、木馬的U盤(pán)隨意插入終端、內(nèi)部存有敏感數(shù)據(jù)的移動(dòng)介質(zhì)毫無(wú)防范地拿到外部使用，都給內(nèi)部安全管理帶來(lái)極大的挑戰(zhàn)，單純地封端口、制度要求均無(wú)法同時(shí)滿足安全性與業(yè)務(wù)便利性的要求；

3) 應(yīng)用程序無(wú)統(tǒng)一的應(yīng)用規(guī)劃和管理，非法應(yīng)用程序時(shí)刻威脅者計(jì)算機(jī)系統(tǒng)安全。在用戶的計(jì)算機(jī)終端上員工隨意使用應(yīng)用程序，極容易把病毒、木馬程序帶到內(nèi)容，這樣使的內(nèi)網(wǎng)內(nèi)敏感數(shù)據(jù)被收集后而發(fā)出去，導(dǎo)致企業(yè)敏感信息泄密；另外由于隨意使用應(yīng)用程序，常導(dǎo)致辦公計(jì)算機(jī)癱瘓或死機(jī)，耽誤工作時(shí)間，同時(shí)也給IT管理人員帶來(lái)了巨大的工作量。

4) 軟硬件設(shè)備濫用、資產(chǎn)安全無(wú)法保障。終端資產(chǎn)（CPU、內(nèi)存、硬盤(pán)、光驅(qū)）被隨意更換，缺乏有效的技術(shù)跟蹤手段；終端用戶隨時(shí)更改辦公終端的IP地址等配置、安裝并運(yùn)行與工作無(wú)關(guān)甚至嚴(yán)重影響網(wǎng)絡(luò)運(yùn)行的軟件，不僅難于整體管理，而且一旦出現(xiàn)攻擊行為或安全事件，責(zé)任定位非常困難。

5) 桌面應(yīng)用缺乏監(jiān)控，工作效率無(wú)法提高。上班時(shí)間長(zhǎng)時(shí)間瀏覽網(wǎng)頁(yè)、上網(wǎng)聊天、玩網(wǎng)絡(luò)游戲、看視頻等行為嚴(yán)重影響工作效率，甚至?xí)?lái)信息泄密事件發(fā)生；使用Bit、電驢等工具瘋狂下載電影、游戲、軟件等大型文件，占用大量網(wǎng)絡(luò)帶寬，導(dǎo)致關(guān)鍵業(yè)務(wù)系統(tǒng)受到影響。

6) 移動(dòng)電腦隨意接入、邊界安全岌岌可危。筆記本電腦、掌上電腦等移動(dòng)終端未經(jīng)任何安全檢查和認(rèn)證隨意接入企業(yè)辦公網(wǎng)，導(dǎo)致病毒木馬輕松感染內(nèi)網(wǎng)，給企業(yè)日常辦公帶來(lái)巨大威脅。

2、解決方案

針對(duì)企業(yè)內(nèi)部安全的復(fù)雜性和安全管理的緊迫性，加強(qiáng)企業(yè)內(nèi)部終端計(jì)算機(jī)系統(tǒng)的安全顯得尤為重要，為此，安全專(zhuān)家任子行網(wǎng)絡(luò)技術(shù)股份有限公司將其結(jié)合自主研發(fā)的信盾計(jì)算機(jī)終端監(jiān)控系統(tǒng)，具體可以從以下幾方面對(duì)企業(yè)內(nèi)部進(jìn)行安全防護(hù)：

1） 終端實(shí)施實(shí)名認(rèn)證控制，確保企業(yè)終端訪問(wèn)的合法性和有效性，通過(guò)用戶身份認(rèn)證機(jī)制，把好終端管理的第一道關(guān)口。身份認(rèn)證可以采用刷卡認(rèn)證、指紋認(rèn)證、強(qiáng)口令認(rèn)證等方式。通過(guò)對(duì)計(jì)算機(jī)IP地址、MAC地址、IP/MAC綁定等手段加強(qiáng)終端計(jì)算機(jī)的管理和用戶訪問(wèn)管理。

2） 終端外設(shè)管理，通過(guò)計(jì)算機(jī)終端外設(shè)安全策略，嚴(yán)格管控計(jì)算機(jī)的USB存儲(chǔ)接口、串口、并口、光驅(qū)、軟驅(qū)等端口有效控制非法外設(shè)接入計(jì)算機(jī)，特別針對(duì)USB存儲(chǔ)和文件操作進(jìn)行了嚴(yán)格的授權(quán)、過(guò)程監(jiān)控、日志記錄等手段來(lái)保證企業(yè)計(jì)算機(jī)終端中信息安全和外設(shè)端口的合理使用。

3） 進(jìn)程管理。通過(guò)應(yīng)用程序安全策略，可以根據(jù)用戶、用戶組的方式進(jìn)行應(yīng)用程序黑白名單策略測(cè)試，把不需要運(yùn)行的應(yīng)用程序設(shè)置為黑名單，這樣就可以阻止應(yīng)用程序在企業(yè)計(jì)算機(jī)終端上運(yùn)行，同時(shí)保證了病毒木馬程序的入侵。

4） 桌面管理。集中、統(tǒng)一、高效的桌面管理模塊是保衛(wèi)企業(yè)網(wǎng)絡(luò)安全的基礎(chǔ)，通過(guò)該模塊可以實(shí)現(xiàn)計(jì)算機(jī)桌面活動(dòng)程序監(jiān)控和管理、桌面遠(yuǎn)程監(jiān)控和管理、計(jì)算機(jī)信息監(jiān)測(cè)；通過(guò)該模塊可以隨時(shí)了解到計(jì)算機(jī)在線狀態(tài)、用戶在線狀態(tài)等情況，同時(shí)還可以輕松的實(shí)現(xiàn)資產(chǎn)統(tǒng)計(jì)、變更、跟蹤等，特別是軟硬件環(huán)境統(tǒng)一定義，企業(yè)的IT管理人員從繁雜的手工統(tǒng)計(jì)和支持工作中脫身，抽出更多的時(shí)間做企業(yè)信息化整體管理。通過(guò)打印監(jiān)控和文檔審計(jì)及安全保護(hù)系統(tǒng)，可以有效地防止企業(yè)內(nèi)部文檔泄漏和擴(kuò)散的問(wèn)題，最終結(jié)合外設(shè)控制、實(shí)名訪問(wèn)認(rèn)證、日志管理、上網(wǎng)行為管理等模塊解決您計(jì)算機(jī)終端的安全管理和控制需要。

5） 上網(wǎng)行為管理。對(duì)計(jì)算機(jī)終端上網(wǎng)用戶實(shí)施實(shí)名授權(quán)、認(rèn)證而實(shí)現(xiàn)用戶實(shí)名上網(wǎng)，通過(guò)監(jiān)測(cè)用戶上網(wǎng)瀏覽、QQ聊天、MSN聊天、發(fā)郵件、發(fā)帖、下載、玩游戲等行為而進(jìn)行審計(jì)，通過(guò)準(zhǔn)確、有效地日志而進(jìn)行事件定位和溯源。

6） 日志審計(jì)與管理。對(duì)終端系統(tǒng)、應(yīng)用、用戶行為、接入設(shè)備等進(jìn)行全面審計(jì)，在安全事件爆發(fā)的第一時(shí)間，以告警的形式告知管理員，依據(jù)報(bào)警和日志，為管理員提供IT管理決策依據(jù)并實(shí)施對(duì)應(yīng)安全應(yīng)對(duì)策略。

關(guān)于企業(yè)內(nèi)部如何最大程度的實(shí)施安全終端管理系統(tǒng)，您可以參考以下原則：

針對(duì)一些對(duì)外開(kāi)放的辦公窗口或辦公終端，采用審計(jì)為主、控制為輔策略。通過(guò)對(duì)各種網(wǎng)絡(luò)協(xié)議（Http、Https、SMTP、POP3、telnet、FTP、Post等）或IM應(yīng)用協(xié)議分析與審計(jì)，做好全面、細(xì)粒度的審計(jì)工作，在次基礎(chǔ)之上，增加關(guān)鍵字檢測(cè)與報(bào)警、網(wǎng)絡(luò)阻斷等策略。

針對(duì)一些重要的、關(guān)鍵的部門(mén)，比如研發(fā)中心、財(cái)務(wù)辦公中心，采用終端控制為主，審計(jì)為輔。對(duì)于終端外設(shè)的使用，以合理的規(guī)劃和控制為主，確保終端用戶不能隨意插入外設(shè)，特別是移動(dòng)存儲(chǔ)設(shè)備、光盤(pán)、軟盤(pán)等可以攜帶數(shù)據(jù)的外設(shè)類(lèi)型，同時(shí)盡量控制具體的訪問(wèn)權(quán)限，在確保數(shù)據(jù)安全的同時(shí)降低U盤(pán)病毒傳播的可能性。在此基礎(chǔ)上，做到外設(shè)使用的全面審計(jì)，例如從移動(dòng)存儲(chǔ)設(shè)備的插入、文件操作到拔出，均須有詳細(xì)的日志記錄。還針對(duì)桌面一些應(yīng)用程序，進(jìn)行規(guī)劃和提前定義，保證非法的應(yīng)用程序不能在這些終端上運(yùn)行。

針對(duì)企業(yè)內(nèi)部所有計(jì)算機(jī)的訪問(wèn)，需要強(qiáng)化身份認(rèn)證、上網(wǎng)行為管理、檢查取證等手段，保證內(nèi)網(wǎng)計(jì)算機(jī)的訪問(wèn)的合法化，上網(wǎng)行為的規(guī)范化、取證審計(jì)的實(shí)名化，最終通過(guò)技術(shù)防范手段，強(qiáng)化企業(yè)內(nèi)網(wǎng)的安全防護(hù)。具體控制的力度和強(qiáng)度，則根據(jù)企業(yè)用戶自身的實(shí)際情況和需求進(jìn)行選擇和部署終端安全管理系統(tǒng)。

3、價(jià)值收益

任子行信盾終端安全產(chǎn)品及配套解決方案，將幫助您：

1） 降低企業(yè)信息安全威脅，從而提升企業(yè)競(jìng)爭(zhēng)力；

2） 進(jìn)行合理、有效地網(wǎng)絡(luò)上網(wǎng)行為管理，減少員工非工作時(shí)間，提高了辦公效率；

3） 規(guī)范企業(yè)IT管理和員工工作方式，提升企業(yè)內(nèi)部IT整體管理和終端計(jì)算機(jī)的統(tǒng)一安全管理；

4） 有力、有節(jié)、有效地實(shí)施計(jì)算機(jī)終端安全管理系統(tǒng)，幫助企業(yè)解決資產(chǎn)管理難、繁的問(wèn)題。

4、部署結(jié)構(gòu)