第三章 “终端安全管理”的现在和未来

3.1  国外终端安全管理是什么样的

    国外信息安全工作往往呈现系统化和整体配套性，终端安全仅是整体信息安全的一个环节，是整个信息系统中的一个部分，与资产管理、人事管理、防病毒管理、网络管理、电子邮件、设施管理、Web防护、数据管理、虚拟化和公众信息接口等整合在一起，系统化的解决来源于终端使用所带来的安全问题。

    由于发达国家在信息领域的投入较早，重视较高，所以相对的，在集约化程度和管理制度方面明显优于国内，由于文化差异而造成的安全管理思路不同，所重视和发展的方向与国内也略有不同。以小见大，我们来分析一下一个跨国公司中的系统维护人员与终端相关的工作。

    以下是一个系统运行维护工程师和终端相关工作的记录：

    1）购置新的PC或者笔记本先到他们专门的IT服务部门。

    2）事先根据他们的全球标准制定了相应的操作系统镜像（Image）文件。

    3）利用XX网络引导，批量部署操作系统。整个过程完全自动完成，尽量减少因人为操作带来的配置更改和安全风险。

    4）交付安装好的终端到最终用户。

    5）用户使用IT部门分配的账号登录。

    6）根据用户所在部门、业务需求，生成个性化桌面配置，应用系统安全策略，强制或者按需安装应用程序，包括各种业务客户端等（软件分发）。

    7）后台实时更新操作系统补丁，并随时监控。

    8）终端用户重要数据实时备份。包括个性化配置和数据文件。备份过程透明，无须用户干预。确保在操作系统崩溃或者硬件损坏时不致丢失重要数据。

    9）记录软硬件资产，随时统计终端软硬件资产详情，记录变更情况并及时通知系统管理员（资产管理）。

    10）终端出现使用问题时，远程接管用户终端，进行排错或者进行用户使用培训（远程维护）。

    11）当操作系统损坏、操作系统升级时，直接利用平台的镜像部署机制，网络引导恢复用户操作系统，用户登录后所有的个性化配置和个人数据自动恢复。

    12）硬件达到使用寿命报废，自动从系统里注销，并且在配置资产库和服务器平台注销/回收相关资源。

    通过上述记录不难看出，运行维护工作覆盖了终端从购置到报废整个生命周期，整个维护工作有以下几个特点：

    1）注重终端的资产管理  建立完善的终端设备的资产管理，以资产管理为中心，关注资产在全生命周期中的使用状态。

    2）注重过程管理  在终端全生命周期中，对其进行严格的过程管理，有明晰的事务处理路线，以及过程控制指标。

    3）注重策略标准化  根据终端使用环境特征，如部门、业务、人员、使用环境等特征，确定终端配置策略集。

    4）终端安全防护自动化  对终端系统的安全维护工作自动化，如，软件分发、补丁管理、防病毒管理以及系统、数据的备份等。

    5）注重策略的监控和审计  对终端的使用状况以及安全策略的执行情况，进行实施的监控和记录，便于终端安全风险的监控，以及对安全策略执行效果的审计，以便对策略进行考评，对现有策略标准进行调整和完善。

    6）终端系统的维护管理  强调终端系统维护的集中性和专业性。

    综合来看，国外的终端安全管理强调全生命周期管理，并利用各种技术支持管理流程的实现，以及对重要流程节点的控制，强调监控和审计的作用，做到安全策略持续改进。