信息安全不仅是一个技术问题,也是一个管理问题,这个观点已经在国际上被广泛认可:技术是手段,而管理是基础。很多企业网络往往是部署了安全产品,但收效甚微,原因就是不重视管理体系的建设,比如安全规章制度,安全流程,安全策略等等,一些企业单纯的依赖于安全产品,以为部署了防火墙和入侵检测系统就万事大吉,而在另外一些企业里，信息安全制度不是没有，也不是不完备，最大的问题在于执行不力,也就是安全制度和策略仅仅停留在口头上,书面上,而没有得到企业员工的重视和执行；而信息安全是一个全民工程，只有全民参与，才能有效地贯彻执行，才能使安全体系真正的发挥作用。

为了更好的进行信息安全管理和信息安全体系的建设,国际上也出台了相应的安全标准,例如BS7799,ISO 13335等等,其中BS7799是目前世界上应用最广泛的信息安全管理标准,并且得到很多国家和地区的认可, BS 7799涵盖了安全管理所涉及的方方面面,体现了信息安全的“三分技术,七分管理”的思想,目前BS7799 PART 1 已经成为国际标准ISO 17799,PART 2也正在成为国际标准的进程中,很多国家都参照此标准进行信息安全体系的规划和建设。

BS7799覆盖的11个领域包括:

l          安全策略

l          组织安全

l          资产管理

l          人员安全

l          物理和环境安全

l          通信与操作管理

l          访问控制

l          系统获取、开发与维护

l          信息安全事故管理

l          业务连续性管理

l          符合性

推广信息安全管理的关键在于重视程度和制度落实, 但BS7799本身只是一个对各类安全问题的高级别概述,或者说是一个通用的信息安全管理指南,而不是一篇技术性的信息安全操作手册,如何将BS7799中的11大类、39个目标、132个控制点落到实处,这就需要同具体的安全技术和安全产品结合起来实施；

安氏公司在充分分析当前企事业信息安全管理体系建设需求的基础上, 参照国际主流安全标准和安全理念,开发出新一代信息安全保障产品:  计算终端安全保障系统Terminal Guard(以下简称TG)，帮助用户构建符合企业自身需求的信息安全管理体系；

TG着眼于企业安全管理中最为薄弱的终端管理的环节，致力于打造可信终端安全计算环境，全面提升系统整体安全性,实现了以集中管理为基础的终端保护和以资产为核心的安全管理，其核心思想是集中管理和强制。TG提供了系统管理、安全管理、完整性检查和自动修复、强制认证等多项功能,能够帮助组织解决现有的基于网络边界的安全产品无法应付的诸如蠕虫、病毒和内部攻击等日益严重的安全问题。同时还可以通过TG所提供的补丁管理、软件分发和资产管理等功能大幅度提升企业IT部门的工作效率，降低成本,整合IT服务管理与组织业务流程和经营目标的关系,最终目的是帮助组织打造可信终端安全管理平台,使得数量众多的终端可视、可控、可管、可信；

TG可以从如下几个方面帮助用户建设符合BS7799标准的信息安全管理体系:

1.     安全策略

安全策略是安全建设的基础；TG是一个以安全策略为核心的终端安全管理产品,企业管理者可以制定符合本企业需求的安全策略,TG就可以强制所有终端用户来执行策略；

对那些不执行安全策略或不完全符合安全策略的用户,TG将禁止其继续进行网络访问,或者对其进行自动修复,直到用户完全遵守企业安全策略为止。

   2.     资产分类管理

资产管理是安全保护的前提,只有当你了解你的企业有哪些资产,你才能制定相应的安全防护措施；

TG所具有的资产管理功能可以实时统计企业终端资产信息, 建立准确的资产清单,并不断跟踪终端资产的变化，从而保证管理员随时得到最新的信息。

   3. 通信与操作管理

TG可以在防止恶意软件、内务管理等多方面进行加强组织的信息安全管理体系；

TG具有强大的安全保护功能 ,如主机防火墙、主机入侵检测、防缓冲区溢出攻击等等, 能够组成一个深层的终端安全防御体系,可以保护用户免遭网络蠕虫、特洛伊木马等恶意软件的破坏；并有详细的日志记录功能,可以记录终端用户的各种行为以便于实时监控和日后的审计。

   4.访问控制

TG内置基于双向状态检测的主机防火墙模块,可制定复杂的访问控制策略, 如网络访问策略、帐户策略、口令策略等等；对终端用户的访问权限进行控制,同时还可以对终端用户的行为进行实时监控,如正在运行的程序和系统的完整性状态,保证用户只能进行被组织安全策略所允许的操作, 同时能够监控系统的访问和使用,检测与访问控制策略不符的情况，可以将可以监控的事件记录下来，在出现安全事故时作为证据使用。

随着电子商务和移动办公的发展,企业的网络边界不断扩展。越来越多的用户选择远程接入办公或移动办公的方式接入企业网络,以及许多第三方和合作伙伴的网络接入都使传统意义上的网络边界变得模糊,在享受网络带来的便利的同时,也引入了潜在的安全风险,比如难以进行清晰的边界控制,以及无法对接入组织的计算机进行安全检查和控制，一个具有系统漏洞的机器很容易感染网络蠕虫或被恶意入侵,当它接入组织网络后,就可能成为病毒的感染源或黑客扩大攻击范围的跳板,从而给组织的网络安全带来巨大的威胁,如何减少这种威胁,如何防范这种风险?

TG所具有的处所管理功能可以自动判断用户所处的位置,并且自动选择相应的访问控制策略,对不同的用户执行不同的安全策略, 比如有些系统由于敏感性或重要性的原因,不能进行远程访问或允许第三方用户进行访问,在这种情况下，就可以定义不同的处所, 并为处所关联同内部用户不同的安全策略,避免外部接入可能会造成的潜在的安全暴露、破坏数据安全或数据丢失；保证只允许内部用户可以访问,而其他用户则不能进行访问,从而保证在使用移动计算和远程工作设施时信息的安全性。

TG中的强制认证网关还可以根据访问控制策略和访问要求对内部不同部门之间或内外之间的网络访问进行控制；将网络划分成多个逻辑隔离的安全域或信任域, 控制不同域之间的访问和信息流动,保护核心网段的安全；

       5．信息安全事故管理

自动的信息安全事件收集和上报、保存机制和信息安全事故管理改进对于组织了解自身的安全状况并进行有针对性持续的管理和改进十分重要；

TG可以配合组织的信息安全事件处理规程，自动的监控终端系统的安全状况和用户的行为，报告网络中发生的各种针对终端用户的信息安全事件，如针对终端系统的入侵和攻击，或者终端用户违反组织安全策略的各种行为。

    6．符合性

信息系统的设计、操作、使用和管理都要符合法律法规以及安全标准的要求，

如法律符合性,技术符合性等等；

TG可以强制终端执行企业的的规章策略,保证系统符合组织的安全策略和规章制度,能够同时起到一个司令官、检查官、执行官、安全岗的作用,时刻监视用户的依从性,约束用户的行为。

    总结

信息安全建设是一个复杂的、长期的过程,需要技术手段和管理体系的支撑,安氏公司的TG能够和其他企业级安全产品如防火墙、防病毒、入侵检测、安全运营中心(SOC)共同组成一个深层的、主动的、立体的信息安全防御体系,推进信息安全管理进程,为提高组织的信息安全保障能力,从容应对安全威胁做出积极的努力。