随着空管局信息化建设的不断深入，终端所面临的安全威胁越来越多、越来越难以解决，东北空管局通过建设一套TSM 终端安全管理系统来解决日常工作的实际问题。文章首先介绍了系统的基本原理，给出了该软件在空管局网络应用实例，以及如何解决的日常工作实际问题。

    1.概述

　　随着空管局信息化建设的不断深入，终端所面临的安全威胁越来越多、越来越难以解决，例如外来人员随意接入、病毒泛滥、随意安装与日常工作无关软件、核心业务资源被非授权人员访问等。空管局急需一套立体防御解决方案来应对各类安全问题的产生。针对终端存在的主要问题，我局建立了一套完整的桌面安全系统。

　　2.桌面安全系统的基本原理

　　在很长的一段时间内，企业的安全防护措施均采用事件驱动的，更有甚者业务网络已被长期攻击还不得而知。因此需通过构建立体的防御体系来抵御各类已知的或未知的安全威胁。

　　以企业安全策略为核心，用户在接入企业标准网络之前，第一步接受身份认证，通过第二步接入控制来获取身份认证结果，以判断是否让其通过；认证通过后进行第三步强制安全认证，以检查用户的安全状态，通过安全状态的结果决定是进行隔离修复还是认证通过，授予业务访问授权；最后业务审计要素监视整个过程，以便以违规行为做出响应与记录，包括对业务授权后用户的安全行为进行监控。整个流程形成了终端安全保护的PDCA持续改进过程。

　　身份认证即对终端用户的身份进行识别，以判断用户的合法性。目前身份认证系统除了自建外，还有与第三方LDAP、Radius系统进行整合。其中向微软的AD等LDAP系统是当前较为流行的身份认证系统。

　　接入控制和业务授权是属于网络层面的控制措施，目前业界主要由软件防火墙、802.1x接入交换机、硬件安全网关等SACG组成。业务授权是基于用户的安全性确定用户是进入隔离域还是指定的业务域范围，对于进入隔离域的用户在经过安全修复后也将进入指定的业务域范围。

　　安全认证是终端安全立体防御解决方案是中心，通过整体第三方安全产品，比如象防病毒、补丁管理，和自身安全策略，比如象防病毒策略检查、补丁部署情况检查、软件安装情况检查等。通过整合评估终端是否符合企业当前的信息安全要求，以确定是否让终端访问授权范围业务域资源还是先进入修复域进行安全修复。综合所述，隔离修复是对安全认证的有力补充。

　　业务审计是终端安全立体防御体系实现PDCA重要环节，业务审计可以通过报表展示，了解企业终端的安全状态。找到差距并提供相应优化措施，最终实现企业内网的合规性。

　　3.东北空管局的现状

　　东北空管信息化内网承载信息化网站、自动化办公（局OA系统）、局即时通信系统、值班日记系统等应用系统，共有网络设备近100台，终端用户1000人，现将信息化网络存在的问题总结如下：

　　1)空管局存在病毒泛滥，造成计算机终端用户因病毒泛滥引起工作中断。

　　2)外来人员随意接入空管局信息网，造成空管局重要资料丢失。

　　3)终端用户随意安装与日常工作无关软件。

　　4)空管局的核心业务资源被非授权人员访问，造成核心业务资源被泄密。

　　5)空管局的U盘随意使用，是病毒泛滥传播的途径之一。

　　6)空管局终端计算机系统补丁无法统一升级。

　　7)空管局固定资产无法自动进行统计。

　　4.东北空管局的桌面安全系统的组成

　　东北空管局采用华为赛门铁克公司TSM终端安全管理系统。其中TSM终端安全管理系统由SM管理服务器、SC控制服务器、准入控制，硬件SACG、802.1X交换机、软件SACG；四部分组成。

　　东北空管局终端安全管理系统SM管理服务器、SC控制服务器安装在沈阳地区核心机房内。并使用802.1X交换机接入信息化网内。

　　在沈阳地区、大连地区、长春地区、哈尔滨地区信息化核心交换机内盘挂硬件SACG ，并安装软件SACG。

　　终端用户可采用Web方式进行身份认证、WebAgent方式进行身份认证和部分安全认证、Agent方式进行身份认证和安全认证。东北空管局采用Agent方式进行身份认证和安全认证。

　　5.东北空管局的桌面安全系统的软件应用

　　5.1 建立空管局建立组织结构图

　　根据空管局的组织结构图，创建桌面安全系统的组织结构。

　　5.2 创建用户帐户

　　根据空管局的人员名单，创建用户帐户。

　　5.3 TSM 终端安全管理系统的划分

　　TSM终端安全管理系统域的分为认证前域、隔离域、认证后域。

　　认证前域为身份认证前终端所能访问区域，隔离域为身份认证后，安全认证不通过终端需进行安全修复的区域，认证后域为安全认证通过后，终端基于业务需求角色所授予业务资源访问权限的区域。认证前域和隔离域属于安全域中的服务域；认证后域属于安全域中的业务域。

    东北空管局认证前域为所用用户都可以访问的区域，受控域为东北空管局所有用户所在的区域，隔离域为所有未通过安全认证用户可访问的区域，认证后域为东北空管局所有通过安全认证后，终端基于业务需求角色所授予业务资源访问权限的区域，包括信息化网站、局智能办公系统（局OA系统）等应用系统。

　　5.4 TSM 终端安全管理系统的策略管理
 
　　东北空管局常用的策略为检查防病毒软件、检查账户安全、监控USB存储设备、监视非法外连、监控网络连接、监控多网卡、监控系统设备等。

　　5.5 TSM 终端安全管理系统的其他功能

　　TSM终端安全管理系统的补丁管理和资产管理

　　东北空管局的补丁管理建立补丁服务器对终端用户的操作系统进行系统补丁升级。TSM终端安全管理系统的资产管理可对空管局资产进行管理。

　　6.东北空管局安装TSM 系统已解决的问题

　　6.1 关于空管局存在病毒泛滥的问题

　　通过终端管理TSM系统中的策略管理中的检测是否安装防病毒软件，杀毒软件是否进行升级。终端用户只有安装防病毒软件才可通过系统认证。空管局终端计算机系统补丁的安装也可通过TSM系统建立系统补丁服务器统一下发解决，来防范病毒泛滥。
 
　　6.2 关于外来人员随意接入空管局信息网，造成空管局重要资料丢失的问题

　　外来人员无法通过终端管理TSM系统认证，外来人员无法访问空管局内部资料，也就不能造成重要资料丢失。

　　6.3 关于终端用户随意安装与日常工作无关软件的问题

　　可以通过终端管理TSM系统对终端系统安装软件进行管理，安装指定的软件，禁止终端户随意安装与日常工作无关软件。

　　6.4 关于空管局的核心业务资源被非授权人员访问，造成核心业务资源被泄密的问题

　　可以通过终端管理TSM系统对终端用户进行权限划分，使非授权人员无法访问核心业务资源，使非授权人员无法获得核心业务资源。

　　6.5 关于空管局的U 盘随意使用问题

　　可以通过终端管理TSM系统对终端用户U盘进行管理，使U盘只能在信息化网内范围使用。

　　6.6 空管局固定资产无法自动进行统计

　　可以通过终端管理TSM系统内资产管理功能可对空管局资产进行管理，并进行自动进行统计。

　　7.结束语

　　本文以空管局终端管理TSM系统为例，介绍了如何利用终端管理TSM系统，实现空管信息化终端用户的安全。经过一年多的实际应用，证明该系统安全可靠，增加了网络安全的有效管理，保障了我局信息化系统的安全，抑制了不安全事件的发生。