在目前的信息安全領(lǐng)域，終端一般指網(wǎng)絡(luò)中的一臺可能由任何人操作的一臺計(jì)算機(jī)，事實(shí)上，服務(wù)器也可以歸結(jié)為廣義上的終端。同時(shí)，影響計(jì)算機(jī)使用者正常處理和完成職務(wù)工作的計(jì)算機(jī)軟件、硬件使用，以及違反公司信息系統(tǒng)和行政管理規(guī)定的計(jì)算機(jī)應(yīng)用，均可認(rèn)為是觸發(fā)了終端安全或終端管理事件。

根據(jù)國際安全界的統(tǒng)計(jì)，每年全球計(jì)算機(jī)網(wǎng)絡(luò)遭受的攻擊和破壞70%是內(nèi)部人員所為。來自內(nèi)部的數(shù)據(jù)失竊和破壞所造成的危害遠(yuǎn)遠(yuǎn)高于外部黑客的攻擊。傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品如防火墻和防病毒系統(tǒng)等對于內(nèi)部用戶攻擊和威脅事件則無能為力。

華為公司Secospace終端安全管理系統(tǒng)可以通過身份認(rèn)證和安全策略檢查的方式，對未通過身份認(rèn)證或不符合安全策略檢查的用戶終端進(jìn)行網(wǎng)絡(luò)隔離，并幫助終端進(jìn)行安全修復(fù)，在系統(tǒng)補(bǔ)丁管理以及軟件分發(fā)上實(shí)現(xiàn)補(bǔ)丁和必需安裝軟件的協(xié)助安裝，以防范不安全網(wǎng)絡(luò)用戶終端給安全網(wǎng)絡(luò)帶來的安全威脅。

Secospace終端安全管理系統(tǒng)實(shí)現(xiàn)了端安全控制和終端安全的審計(jì)監(jiān)控，使用戶終端安全得到有效的控制，同時(shí)還提供資產(chǎn)管理功能，協(xié)助企業(yè)管理者實(shí)現(xiàn)企業(yè)內(nèi)部終端資產(chǎn)可控可管，防止資產(chǎn)和信息外泄，保障企業(yè)信息安全。Secospace終端安全管理系統(tǒng)還提供了強(qiáng)大的報(bào)表功能，為管理者提供有用的管理信息。

Secospace 終端安全管理系統(tǒng)架構(gòu)如下圖所示：

Secospace 終端安全管理系統(tǒng)是一個(gè)包括軟件和硬件整體系統(tǒng)。Secospace使用IE瀏覽器登錄管理端控制臺界面。主要由Secospace管理器（SM）、Secospace控制器（SC）、Secospace修復(fù)服務(wù)器（SRS）和Secospace代理（SA）四個(gè)軟件部件，以及安全接入控制網(wǎng)關(guān)（SACG）一個(gè)硬件部件，共五個(gè)部件組成。

Secospace 管理器（SM）是Secospace 終端安全管理系統(tǒng)的業(yè)務(wù)核心，提供各種業(yè)務(wù)功能組件，包括資產(chǎn)管理、軟件分發(fā)、補(bǔ)丁管理、日志管理、終端安全策略管理、身份管理、報(bào)表等組件，并提供WEB界面與用戶交互。

Secospace 控制器（SC）是安全管理業(yè)務(wù)的執(zhí)行體，負(fù)責(zé)管理SA和與SACG聯(lián)動(dòng)。

Secospace 代理（SA）安裝在用戶終端上，負(fù)責(zé)用戶的身份輸入、安全策略檢查和用戶行為審計(jì)等。

Secospace 修復(fù)服務(wù)器（SRS）對操作系統(tǒng)補(bǔ)丁、IE補(bǔ)丁、殺毒軟件等安全資源進(jìn)行集中統(tǒng)一的管理，對不符合企業(yè)安全策略的終端進(jìn)行安全修復(fù)，同時(shí)為用戶提供安全策略查詢和安全問題反饋。

安全接入控制網(wǎng)關(guān)（SACG）控制終端的網(wǎng)絡(luò)訪問權(quán)限，對不同角色的用戶、不同安全狀況的用戶開放不同的網(wǎng)絡(luò)訪問權(quán)限。

華為Secospace 安全管理套件提供了滿足企業(yè)終端安全管理需求的解決方案。該方案的主要功能特性包括：

強(qiáng)大的終端接入控制功能和業(yè)務(wù)系統(tǒng)訪問控制功能；

終端用戶身份合法性認(rèn)證，阻斷非法用戶訪問企業(yè)網(wǎng)絡(luò)；

終端安全性檢查，隔離并修復(fù)不安全終端；

企業(yè)安全策略強(qiáng)制，員工行為審計(jì)和取證，保障企業(yè)安全策略的落實(shí)；

提供補(bǔ)丁管理功能，及時(shí)修復(fù)終端安全漏洞；

軟件自動(dòng)分發(fā)，簡化企業(yè)IT維護(hù)工作；

終端軟硬件資產(chǎn)管理，跟蹤企業(yè)資產(chǎn)變更。

方案特點(diǎn)

全面的管理特性

Secospace 終端安全管理系統(tǒng)提供基于策略的終端安全檢查和監(jiān)控功能，可以對終端的系統(tǒng)配置狀況、安裝的軟件信息、運(yùn)行的應(yīng)用程序，端口開發(fā)情況，外設(shè)使用、上網(wǎng)行為等進(jìn)行檢查、監(jiān)視和控制，并支持對操作系統(tǒng)補(bǔ)丁、防病毒軟件病毒庫更新情況進(jìn)行檢查和自動(dòng)下載補(bǔ)丁、病毒庫進(jìn)行及時(shí)更新，策略分為檢查和監(jiān)控策略，支持實(shí)時(shí)運(yùn)行或定時(shí)運(yùn)行。

Secospace 終端安全管理系統(tǒng)提供企業(yè)IT資產(chǎn)生命周期管理，支持資產(chǎn)的變更管理、軟、硬件資產(chǎn)的管理，軟件License統(tǒng)計(jì)和管理，資產(chǎn)和責(zé)任人管理，提供資產(chǎn)統(tǒng)計(jì)和報(bào)表功能。

用戶可以通過Secospace 終端安全管理系統(tǒng)的軟件分發(fā)功能將軟件手工或按計(jì)劃分發(fā)到相應(yīng)的計(jì)算機(jī)上，并支持按部門、按操作系統(tǒng)進(jìn)行分發(fā)。

Secospace 終端安全管理系統(tǒng)可以定時(shí)檢查補(bǔ)丁安裝情況并自動(dòng)下載相關(guān)補(bǔ)丁和自動(dòng)安裝，系統(tǒng)提供終端補(bǔ)丁安裝情況統(tǒng)計(jì)報(bào)表，并支持強(qiáng)制策略，當(dāng)某個(gè)或某些補(bǔ)丁沒有打時(shí)，禁止用戶接入網(wǎng)絡(luò)。強(qiáng)制策略可以按組（部門）或個(gè)人靈活定制。

強(qiáng)大的安全接入控制

安全接入控制是Secospace安全管理系統(tǒng)提供的一項(xiàng)重要業(yè)務(wù)功能，包括終端安全 接入控制和網(wǎng)絡(luò)級訪問權(quán)限控制兩大功能。

Secospace安全管理系統(tǒng)終端安全接入控制功能要求企業(yè)員工在使用終端訪問企業(yè)資源前，先要經(jīng)過身份認(rèn)證和終端安全檢查（即企業(yè)定義的安全策略標(biāo)準(zhǔn)）。用戶在確認(rèn)身份合法并通過安全檢查后，終端可以訪問用戶授權(quán)的內(nèi)部資源，認(rèn)證不通過則被拒絕接入網(wǎng)絡(luò)。其中終端安全檢查策略分為強(qiáng)制性檢查和一般性檢查兩種，當(dāng)設(shè)置成強(qiáng)制性檢查策略時(shí)，安全檢查不通的用戶會(huì)被引導(dǎo)至修復(fù)服務(wù)器進(jìn)行安全修復(fù)，完成安全修復(fù)后才允許接入內(nèi)部網(wǎng)絡(luò)；當(dāng)終端安全檢查策略設(shè)置成一般性策略時(shí)，僅在代理端提示用戶安全修復(fù)，仍可接入內(nèi)部網(wǎng)絡(luò)。終端安全接入控制主要是防止不安全的終端接入網(wǎng)絡(luò)和防止非法終端用戶訪問企業(yè)內(nèi)部網(wǎng)絡(luò)。 

Secospace終端安全接入控制流程示意圖

終端用戶在認(rèn)證通過后，訪問控制網(wǎng)關(guān)會(huì)根據(jù)用戶的身份，確定用戶可以訪問企業(yè)的哪些業(yè)務(wù)系統(tǒng)，保護(hù)企業(yè)業(yè)務(wù)系統(tǒng)核心資源。Secospace終端安全管理系統(tǒng)提供基于帳戶的訪問控制，支持劃分多認(rèn)證后域?qū)崿F(xiàn)細(xì)粒度的業(yè)務(wù)系統(tǒng)訪問權(quán)限控制，可以有效的制止用戶的非法訪問和越權(quán)訪問。終端在接入企業(yè)網(wǎng)絡(luò)訪問資源前，可以訪問認(rèn)證前域，終端在該區(qū)域可以獲取對終端安全問題進(jìn)行修復(fù)，比如安裝操作系統(tǒng)補(bǔ)丁等等。


Secospace訪問權(quán)限控制示意圖

Secospace終端安全管理系統(tǒng)支持802.1x接入方式。終端用戶通過802.1x交換機(jī)接入內(nèi)部網(wǎng)絡(luò)，802.1x交換機(jī)只負(fù)責(zé)用戶的身份認(rèn)證（標(biāo)準(zhǔn)802.1x功能），認(rèn)證通過后，802.1x交換機(jī)的相應(yīng)端口切換到授權(quán)狀態(tài)（authorized），允許終端通過端口進(jìn)行訪問網(wǎng)絡(luò)（含安全接入控制網(wǎng)關(guān)SACG（Security Access Control Gateway）以及Secospace終端安全管理系統(tǒng)）,此時(shí)終端安全代理再與SC控制服務(wù)器通訊進(jìn)行二次認(rèn)證，身份認(rèn)證和安全檢查通過后接入內(nèi)部網(wǎng)絡(luò)。802.1x交換件也可以與SACG進(jìn)行混合組網(wǎng)，兼顧終端接入控制和網(wǎng)絡(luò)級訪問權(quán)限控制。

靈活的集中認(rèn)證

Secospace終端安全管理系統(tǒng)提供對用戶身份進(jìn)行認(rèn)證的功能，支持多種認(rèn)證方式，支持連接LDAP服務(wù)器，獲取用戶信息，進(jìn)行認(rèn)證。

支持的認(rèn)證方式如下：

用戶名、密碼認(rèn)證

終端安全管理系統(tǒng)根據(jù)用戶輸入的用戶名及密碼進(jìn)行身份認(rèn)證，如果用戶名為服務(wù)器端授權(quán)的用戶名，則通過身份認(rèn)證，然后向用戶分配相應(yīng)的訪問權(quán)限并進(jìn)行安全認(rèn)證。

MAC地址認(rèn)證

　　終端安全管理系統(tǒng)根據(jù)用戶選擇的MAC地址進(jìn)行身份認(rèn)證，如果MAC地址為服務(wù)器端授權(quán)的地址，則通過身份認(rèn)證，然后向用戶分配相應(yīng)的訪問權(quán)限并進(jìn)行安全認(rèn)證。

域認(rèn)證

終端安全管理系統(tǒng)根據(jù)當(dāng)前登錄的域賬號進(jìn)行身份認(rèn)證，如果域賬號為服務(wù)器端授權(quán)的域賬號，則通過身份認(rèn)證，然后向用戶分配相應(yīng)的訪問權(quán)限并進(jìn)行安全認(rèn)證。

Web認(rèn)證

用戶直接通過IE瀏覽器連接到終端安全管理系統(tǒng)進(jìn)行身份認(rèn)證。終端安全管理系統(tǒng)根據(jù)用戶的Web用戶名和密碼進(jìn)行認(rèn)證，如果Web用戶名為服務(wù)器授權(quán)的用戶，則通過身份認(rèn)證，然后向用戶分配相應(yīng)的訪問權(quán)限并進(jìn)行安全認(rèn)證。

豐富的報(bào)表格式

終端安全管理系統(tǒng)報(bào)表提供報(bào)表瀏覽導(dǎo)出及打印組件、報(bào)表模版及定制管理、報(bào)表分發(fā)管理、報(bào)表計(jì)劃任務(wù)管理和報(bào)表權(quán)限管理等功能，采用開源Japser報(bào)表引擎和iReport報(bào)表設(shè)計(jì)工具。

報(bào)表提供的主要功能規(guī)格包括：

報(bào)表瀏覽導(dǎo)出及打印組件完成報(bào)表文件的基礎(chǔ)功能，通過調(diào)用Jasper引擎相關(guān)接口實(shí)現(xiàn)。
報(bào)表定制通過指定報(bào)表模板的參數(shù)，報(bào)表的生成格式等，生成用戶自定義報(bào)表。報(bào)表模版及定制管理包含對模版和自定義報(bào)表的增加、刪除管理。

報(bào)表分發(fā)模塊能夠?qū)⑸傻膱?bào)表文件通過Email、FTP服務(wù)或者其它文件傳輸機(jī)制分發(fā)到指定終端。
報(bào)表計(jì)劃任務(wù)管理包括報(bào)表計(jì)劃任務(wù)的增加、刪除和修改管理，計(jì)劃任務(wù)類型支持報(bào)表生成和報(bào)表分發(fā)。
報(bào)表的權(quán)限管理要求能夠?qū)?bào)表模版、自定義報(bào)表、報(bào)表分發(fā)和報(bào)表計(jì)劃任務(wù)的操作權(quán)限進(jìn)行權(quán)限控制。
　　部署方式

終端安全解決方案支持集中式部署、分布式部署和分級式部署三種方式。

集中式部署


Secospace服務(wù)器集中部署示意圖


　　該組網(wǎng)方式的主要特點(diǎn)是將SC、SM、數(shù)據(jù)庫等組件安裝在一臺或兩臺服務(wù)器上，SACG無備份。主要適用于終端數(shù)量較少的中小規(guī)模網(wǎng)絡(luò)，可以節(jié)約成本，減少維護(hù)工作量。

分布式部署

Secospace服務(wù)器分布部署示意圖
該組網(wǎng)方式將SC和SACG下放到各區(qū)域，由一個(gè)SM統(tǒng)一管理，各區(qū)域SA的認(rèn)證由各區(qū)域的SC和SACG共同完成，提高認(rèn)證效率。

該種組網(wǎng)方式具有非常好的伸縮性和靈活性，適用于大中型網(wǎng)絡(luò)規(guī)模。而且，隨著管理容量的增大，只要增加相應(yīng)區(qū)域的SC服務(wù)器的數(shù)量即可以滿足要求。對于終端數(shù)據(jù)較多的中大網(wǎng)絡(luò)規(guī)模，區(qū)域比較分散且區(qū)域到中心節(jié)點(diǎn)之間的帶寬比較小的情況，是重點(diǎn)推薦的組網(wǎng)方式。

　分級式部署

終端安全管理分級組網(wǎng)示意圖

分級組網(wǎng)主要滿足大規(guī)模網(wǎng)絡(luò)管理和分級管理的需求。分級組網(wǎng)是將Secospace安全管理套件的SM進(jìn)行級聯(lián)形成分級管理。從宏觀上看，上下級Secospace安全管理套件組成一套大系統(tǒng)，上下級之間的功能也有所差異：

一個(gè)上級Secospace安全管理套件可以管理多套下級Secospace 安全管理套件，而上級Secospace 安全管理套件也可以直接掛SC和SACG（也就是說上級Secospace安全管理套件系統(tǒng)可以通過掛SC和SACG直接管理本地的終端和服務(wù)器等）。上級Secospace 安全管理套件系統(tǒng)一般主要提供集中策略分發(fā)和匯總分析從下級收集上來的報(bào)表信息等功能。

下級Secospace安全管理套件系統(tǒng)可以采用集中式或者分布式組網(wǎng)，上級Secospace安全管理套件由于要管理多個(gè)下級Secospace安全管理套件系統(tǒng)，一般采用分布式組網(wǎng)。對于有分支機(jī)構(gòu)的公司，一般采用二級就足夠了，即各分支機(jī)構(gòu)與總部組成二級Secospace安全管理套件系統(tǒng)。