【IT168资讯】河北移动终端安全管理项目涉及河北移动全省范围OA办公终端、网管维护终端、BOSS营业终端、BOSS维护终端、客服终端、经营分析终端，主要目标是在不影响河北移动BOSS业务、网管业务、客服业务以及日常办公的前提下，在业务支撑网、网管网以及办公网各自建立一个的终端安全管理中心，能够对各自系统网络的全省范围内的终端的操作行为进行管理，包括对终端网络访问、应用程序安装运行、终端对存储设备的访问等行为的管理和审计等。将来河北移动终端安全管理系统扩容时，还应能保证终端安全管理系统管理范围平滑扩大到河北移动的其它系统的全体终端安全安全管理要求，同时应保证终端安全管理系统建设可以为河北移动未来的安全管理运行平台（SOC）提供必要的接口。其中最关键和规模最大的全省业务支撑系统共有营业、维护终端、经营分析终端、客服终端7000余台，未来将扩容到一万余台，营业厅接入网络的最小带宽为64K。
 
　　KSMS针对性把脉河北移动终端安全管理需求

　　冠群金辰针对河北移动业务支撑系统的终端安全管理需求提供了针对性的解决方案，遵循和采取了如下设计原则：

　　●体系化设计原则

　　分析现有信息网络的层次关系，遵循先进的终端安全理念，提出科学的终端安全防护体系，并根据终端安全体系分析存在的各种安全风险，从而最大限度地解决可能存在的终端安全问题。

　　●可控性原则

　　采取的技术手段需要达到项目可控的目的，技术解决方案涉及的工程实施应具有可控性。

　　●可行性、可靠性、业务连续性原则

　　保证在采用终端安全管理系统之后，不会对河北移动业务支撑系统的现有网络和应用系统有大的影响。在保证网络和应用系统正常运转的前提下，提供非常受欢迎的解决方案。

　　●投资保护原则

　　对河北移动业务支撑系统已经存在的终端病毒管理设备、安全管理设备进行有效的利用，保护已有投资。

　　● 兼容性原则

　　对河北移动业务支撑系统已经存在、正在建设的系统应进行整体分析，保证与各系统的兼容性，如其BOSS系统的身份认证审计系统等。

　　● 政策性原则

　　提供的设备及解决方案必须符合萨班斯404条款的终端接入的相关要求

　　以用户业务需求为核心：冠群金辰KSMS的解决之道

　　针对业务特点满足用户环境需求

　　根据河北移动业务支撑系统终端业务平台现状，KSMS终端安全管理系统实现了与河北移动业务系统现有的ACA审计系统的，从而实现了身份认证与终端安全认证的联动。

　　由终端安全管理系统确保终端满足河北移动业务支撑系统安全政策的要求，把上线和下线终端的用户信息及其真实身份通知到ACA安全服务器， ACA安全服务器根据该用户信息进行控制和审计。终端安全管理系统与ACA身份认证系统接口由终端安全管理系统的策略服务器和ACA安全服务器之间的通信完成。通过以上措施，可以实现对没有安装终端安全管理系统客户端软件或安装了没有完成接入验证、以及终端安全不满足接入业务系统安全政策要求的非授权或非可信终端计算机对关键业务系统可能带来的安全威胁。

　　贯穿终端生命周期，提供全面保护和管理

　　KSMS终端安全系统提供对终端生命周期管理（Endpoint Lifecycle Management, ELM）策略的全面技术支撑，系统将终端安全、管理和维护其业务目标相结合，保障计算机终端持续有效运行。

　　全面而灵活的安全策略保护

　　河北移动计算机终端在网络环境下受KSMS用户策略保护和管理，离开网络环境的移动计算机仍然受KSMS全局策略保护。系统安全策略可灵活定制，更加适应用户多样可变的需求；为方便使用，终端安全管理系统还提供多种策略模板供用户选择。

　　分权管理和基于用户角色的访问

　　KSMS终端安全管理系统可按组织机构划分管理权限，不同的管理者具有不同的权限和管辖范围。安全策略以用户角色为中心，同一个用户角色在网络内任何终端上进行操作，始终执行自己的安全控制策略，保证用户角色权限和策略的一致性。