在目前的信息安全領域，終端一般指網絡中的一臺可能由任何人操作的一臺計算機，事實上，服務器也可以歸結為廣義上的終端。同時，影響計算機使用者正常處理和完成職務工作的計算機軟件、硬件使用，以及違反公司信息系統和行政管理規定的計算機應用，均可認為是觸發了終端安全或終端管理事件。

根據國際安全界的統計，每年全球計算機網絡遭受的攻擊和破壞70%是內部人員所為。來自內部的數據失竊和破壞所造成的危害遠遠高于外部黑客的攻擊。傳統的網絡安全產品如防火墻和防病毒系統等對于內部用戶攻擊和威脅事件則無能為力。

華為公司Secospace終端安全管理系統可以通過身份認證和安全策略檢查的方式，對未通過身份認證或不符合安全策略檢查的用戶終端進行網絡隔離，并幫助終端進行安全修復，在系統補丁管理以及軟件分發上實現補丁和必需安裝軟件的協助安裝，以防范不安全網絡用戶終端給安全網絡帶來的安全威脅。

Secospace終端安全管理系統實現了端安全控制和終端安全的審計監控，使用戶終端安全得到有效的控制，同時還提供資產管理功能，協助企業管理者實現企業內部終端資產可控可管，防止資產和信息外泄，保障企業信息安全。Secospace終端安全管理系統還提供了強大的報表功能，為管理者提供有用的管理信息。

Secospace 終端安全管理系統架構如下圖所示：

Secospace 終端安全管理系統是一個包括軟件和硬件整體系統。Secospace使用IE瀏覽器登錄管理端控制臺界面。主要由Secospace管理器（SM）、Secospace控制器（SC）、Secospace修復服務器（SRS）和Secospace代理（SA）四個軟件部件，以及安全接入控制網關（SACG）一個硬件部件，共五個部件組成。

Secospace 管理器（SM）是Secospace 終端安全管理系統的業務核心，提供各種業務功能組件，包括資產管理、軟件分發、補丁管理、日志管理、終端安全策略管理、身份管理、報表等組件，并提供WEB界面與用戶交互。

Secospace 控制器（SC）是安全管理業務的執行體，負責管理SA和與SACG聯動。

Secospace 代理（SA）安裝在用戶終端上，負責用戶的身份輸入、安全策略檢查和用戶行為審計等。

Secospace 修復服務器（SRS）對操作系統補丁、IE補丁、殺毒軟件等安全資源進行集中統一的管理，對不符合企業安全策略的終端進行安全修復，同時為用戶提供安全策略查詢和安全問題反饋。

安全接入控制網關（SACG）控制終端的網絡訪問權限，對不同角色的用戶、不同安全狀況的用戶開放不同的網絡訪問權限。

華為Secospace 安全管理套件提供了滿足企業終端安全管理需求的解決方案。該方案的主要功能特性包括：

強大的終端接入控制功能和業務系統訪問控制功能；

終端用戶身份合法性認證，阻斷非法用戶訪問企業網絡；

終端安全性檢查，隔離并修復不安全終端；

企業安全策略強制，員工行為審計和取證，保障企業安全策略的落實；

提供補丁管理功能，及時修復終端安全漏洞；

軟件自動分發，簡化企業IT維護工作；

終端軟硬件資產管理，跟蹤企業資產變更。

方案特點

全面的管理特性

Secospace 終端安全管理系統提供基于策略的終端安全檢查和監控功能，可以對終端的系統配置狀況、安裝的軟件信息、運行的應用程序，端口開發情況，外設使用、上網行為等進行檢查、監視和控制，并支持對操作系統補丁、防病毒軟件病毒庫更新情況進行檢查和自動下載補丁、病毒庫進行及時更新，策略分為檢查和監控策略，支持實時運行或定時運行。

Secospace 終端安全管理系統提供企業IT資產生命周期管理，支持資產的變更管理、軟、硬件資產的管理，軟件License統計和管理，資產和責任人管理，提供資產統計和報表功能。

用戶可以通過Secospace 終端安全管理系統的軟件分發功能將軟件手工或按計劃分發到相應的計算機上，并支持按部門、按操作系統進行分發。

Secospace 終端安全管理系統可以定時檢查補丁安裝情況并自動下載相關補丁和自動安裝，系統提供終端補丁安裝情況統計報表，并支持強制策略，當某個或某些補丁沒有打時，禁止用戶接入網絡。強制策略可以按組（部門）或個人靈活定制。

強大的安全接入控制

安全接入控制是Secospace安全管理系統提供的一項重要業務功能，包括終端安全 接入控制和網絡級訪問權限控制兩大功能。

Secospace安全管理系統終端安全接入控制功能要求企業員工在使用終端訪問企業資源前，先要經過身份認證和終端安全檢查（即企業定義的安全策略標準）。用戶在確認身份合法并通過安全檢查后，終端可以訪問用戶授權的內部資源，認證不通過則被拒絕接入網絡。其中終端安全檢查策略分為強制性檢查和一般性檢查兩種，當設置成強制性檢查策略時，安全檢查不通的用戶會被引導至修復服務器進行安全修復，完成安全修復后才允許接入內部網絡；當終端安全檢查策略設置成一般性策略時，僅在代理端提示用戶安全修復，仍可接入內部網絡。終端安全接入控制主要是防止不安全的終端接入網絡和防止非法終端用戶訪問企業內部網絡。 

Secospace終端安全接入控制流程示意圖

終端用戶在認證通過后，訪問控制網關會根據用戶的身份，確定用戶可以訪問企業的哪些業務系統，保護企業業務系統核心資源。Secospace終端安全管理系統提供基于帳戶的訪問控制，支持劃分多認證后域實現細粒度的業務系統訪問權限控制，可以有效的制止用戶的非法訪問和越權訪問。終端在接入企業網絡訪問資源前，可以訪問認證前域，終端在該區域可以獲取對終端安全問題進行修復，比如安裝操作系統補丁等等。


Secospace訪問權限控制示意圖

Secospace終端安全管理系統支持802.1x接入方式。終端用戶通過802.1x交換機接入內部網絡，802.1x交換機只負責用戶的身份認證（標準802.1x功能），認證通過后，802.1x交換機的相應端口切換到授權狀態（authorized），允許終端通過端口進行訪問網絡（含安全接入控制網關SACG（Security Access Control Gateway）以及Secospace終端安全管理系統）,此時終端安全代理再與SC控制服務器通訊進行二次認證，身份認證和安全檢查通過后接入內部網絡。802.1x交換件也可以與SACG進行混合組網，兼顧終端接入控制和網絡級訪問權限控制。

靈活的集中認證

Secospace終端安全管理系統提供對用戶身份進行認證的功能，支持多種認證方式，支持連接LDAP服務器，獲取用戶信息，進行認證。

支持的認證方式如下：

用戶名、密碼認證

終端安全管理系統根據用戶輸入的用戶名及密碼進行身份認證，如果用戶名為服務器端授權的用戶名，則通過身份認證，然后向用戶分配相應的訪問權限并進行安全認證。

MAC地址認證

　　終端安全管理系統根據用戶選擇的MAC地址進行身份認證，如果MAC地址為服務器端授權的地址，則通過身份認證，然后向用戶分配相應的訪問權限并進行安全認證。

域認證

終端安全管理系統根據當前登錄的域賬號進行身份認證，如果域賬號為服務器端授權的域賬號，則通過身份認證，然后向用戶分配相應的訪問權限并進行安全認證。

Web認證

用戶直接通過IE瀏覽器連接到終端安全管理系統進行身份認證。終端安全管理系統根據用戶的Web用戶名和密碼進行認證，如果Web用戶名為服務器授權的用戶，則通過身份認證，然后向用戶分配相應的訪問權限并進行安全認證。

豐富的報表格式

終端安全管理系統報表提供報表瀏覽導出及打印組件、報表模版及定制管理、報表分發管理、報表計劃任務管理和報表權限管理等功能，采用開源Japser報表引擎和iReport報表設計工具。

報表提供的主要功能規格包括：

報表瀏覽導出及打印組件完成報表文件的基礎功能，通過調用Jasper引擎相關接口實現。
報表定制通過指定報表模板的參數，報表的生成格式等，生成用戶自定義報表。報表模版及定制管理包含對模版和自定義報表的增加、刪除管理。

報表分發模塊能夠將生成的報表文件通過Email、FTP服務或者其它文件傳輸機制分發到指定終端。
報表計劃任務管理包括報表計劃任務的增加、刪除和修改管理，計劃任務類型支持報表生成和報表分發。
報表的權限管理要求能夠對報表模版、自定義報表、報表分發和報表計劃任務的操作權限進行權限控制。
　　部署方式

終端安全解決方案支持集中式部署、分布式部署和分級式部署三種方式。

集中式部署


Secospace服務器集中部署示意圖


　　該組網方式的主要特點是將SC、SM、數據庫等組件安裝在一臺或兩臺服務器上，SACG無備份。主要適用于終端數量較少的中小規模網絡，可以節約成本，減少維護工作量。

分布式部署

Secospace服務器分布部署示意圖
該組網方式將SC和SACG下放到各區域，由一個SM統一管理，各區域SA的認證由各區域的SC和SACG共同完成，提高認證效率。

該種組網方式具有非常好的伸縮性和靈活性，適用于大中型網絡規模。而且，隨著管理容量的增大，只要增加相應區域的SC服務器的數量即可以滿足要求。對于終端數據較多的中大網絡規模，區域比較分散且區域到中心節點之間的帶寬比較小的情況，是重點推薦的組網方式。

　分級式部署

終端安全管理分級組網示意圖

分級組網主要滿足大規模網絡管理和分級管理的需求。分級組網是將Secospace安全管理套件的SM進行級聯形成分級管理。從宏觀上看，上下級Secospace安全管理套件組成一套大系統，上下級之間的功能也有所差異：

一個上級Secospace安全管理套件可以管理多套下級Secospace 安全管理套件，而上級Secospace 安全管理套件也可以直接掛SC和SACG（也就是說上級Secospace安全管理套件系統可以通過掛SC和SACG直接管理本地的終端和服務器等）。上級Secospace 安全管理套件系統一般主要提供集中策略分發和匯總分析從下級收集上來的報表信息等功能。

下級Secospace安全管理套件系統可以采用集中式或者分布式組網，上級Secospace安全管理套件由于要管理多個下級Secospace安全管理套件系統，一般采用分布式組網。對于有分支機構的公司，一般采用二級就足夠了，即各分支機構與總部組成二級Secospace安全管理套件系統。