端点安全管理系统如何设计

端点安全管理系统如何设计

一直以来，信息安全防御理念主要关注于防火墙、IDS、漏洞扫描等安全设备防护方面，不过据统计，约有七成以上的信息安全问题是由于内网终端系统的安全性造成的，诸如员工泄密、缺少补丁、脆弱的用户名密码等，可见用户终端的安全管理已经逐渐成为信息安全的最大潜在威胁。

一、端点安全管理系统总体架构

1、终端安全准入管理

安全准入管理通过在网络中部署相应的网络安全检查策略，确保用户终端满足身份认证的要求，同时达到一定的安全和策略条件，才能够接入到网络中并获得相应的访问权限。

2、终端行为安全管理

行为安全管理主要对用户终端的网站浏览控制、网络应用使用控制、网络下载控制、带宽使用控制等各种网络访问和使用行为进行管理和控制。通过上述对终端的行为管控，实现对终端网络访问行为的可管、可控，保障网络访问、网络流量、网站访问的安全与顺畅。

3、终端桌面安全管理

成对终端计算机的资产管理、安全加固、外设管理、运行异常监控与远程维护协助，确保经过认证授权的用户能够按照授权许可的安全策略正确地使用和操作终端系统，避免因非受控终端而引起的敏感信息泄漏。

4、终端数据安全管理

数据安全管理按照相应的授权级别和终端安全管理策略完成对终端授权用户的操作行为控制和文件加密管理（包括目录和文件操作行为控制、移动存储介质使用控制、电子文档管理控制、光盘刻录行为控制以及保密信息检查控制），确保授权终端用户对不同的应用系统、不同的目录和文件进行可控操作和访问，实现授权终端用户的可信访问控制，避免引发的重要文件信息泄漏事故。

5、终端安全审计管理

安全审计管理通过集中统一的管控和审计平台，完成对上述安全管理组件的统一策略配置与下发、集中管理与审计，最终形成联动化的、集成化的、完整的数据防泄密体系的建设。

二、端点终端安全管理系统建设方案

1、安全准入管理。安全准入管理将于现有域用户信息相结合，确保终端只有在安装安全管理组件，并符合必要安全策略的前提下才能被允许接入内部网络，否则会强制终端跳转到访客隔离区，待完成终端管理软件的下载和安装成功后，且符合既定安全策略要求时才可准许接入内部网络。

2、入网安全检查管理。终端接入内网之后需要进行安装状态检查，包括防病毒软件、必要的操作系统补丁、重要的服务开启/关闭状态等，对不符合条件的用户终端进行提示并处理。同时，可根据对用户终端安装杀毒软件、补丁安装情况进行统计，对公司用户终端安全情况进行调查、分析。

3、桌面安全管理。通过桌面安全管理可以评估并检验终端的安全性，实行补丁下发和防病毒软件的检测等终端加固措施，提供软硬件资源登记及终端设备变化报警、终端流量监控，以及非法外联监控等功能，防止通过其他途径而造成的敏感信息的泄漏。

4、资产管理。通过收集用户终端软件、硬件信息，能够方便的查看用户终端的IP地址、MAC地址，能够查看交换机端口接入的设备数和IP地址，能够查看用户终端安装的软件信息、版本，能够审计软件安装卸载记录。

5、远程运维管理。远程运维管理支持远程桌面接管，支持授权接管。IT运维人员可通过远程协助，实现对用户终端问题的实时解决，包括远程桌面、屏幕录像、内部短消息等。

三、端点终端管理系统——安企神

1、文档加密。对文件无感知加密，具有强制、自动、实时、动态、隐形、无感和无损的加密特点，不用密码，不影响操作习惯，加密文件只在内部打开，外发文件打开是乱码。

2、本地审计。包括文件操作、文件打印、应用程序、USB存储使用、USB文件操作、剪切板使用、设备使用、刻录操作。还能通过实时屏幕和屏幕录像实时查看员工的工作状态，追踪员工在电脑硬件上的一切行为。

3、网络审计。QQ、钉钉、企业微信的聊天记录，浏览网站、搜索、上传下载记录，防止信息泄密。

4、本地管控。管理员工操作权限，为网站、程序设置黑白名单，设置U盘、外设接口、打印机的使用权限。

5、行为分析。统计分析工作效率、离职风险、员工加班、未关机分析、终端使用率、浏览网站、即时通讯、网络搜索、终端打印、文件操作、USB文件操作的使用频率数据，为公司优化管理提供数据支持。

信息安全建设是一个复杂而长期的过程，终端安全是整个内网信息安全建设的重点，应从管理措施和技术措施两方面研究、制定并落实保障终端计算机安全的保护方案，做到从源头、从根本上保证内网的信息安全，推进信息安全管理进程。