余新生

中國(guó)石化集團(tuán)洛陽(yáng)石油化工工程公司 河南 471003

0 引言

安全威脅在形式上呈多樣化，除傳統(tǒng)的計(jì)算機(jī)病毒、黑客攻擊及垃圾郵件外，間諜軟件、惡意軟件、網(wǎng)絡(luò)釣魚、網(wǎng)絡(luò)竊密和網(wǎng)絡(luò)犯罪等已成為新的威脅，而且危害程度遠(yuǎn)高于傳統(tǒng)的病毒。它們?cè)诒憩F(xiàn)形式上不僅以單一形式出現(xiàn)，還往往以混合形式出現(xiàn)，破壞力更大，目的也從過(guò)去單純的攻擊破壞轉(zhuǎn)向網(wǎng)絡(luò)竊取等犯罪行為。如果不能防范這些安全威脅，造成信息泄露和信息破壞，勢(shì)必會(huì)給企業(yè)的信息系統(tǒng)及生產(chǎn)經(jīng)營(yíng)帶來(lái)不利影響甚至重大損失。

1 來(lái)自桌面計(jì)算機(jī)的安全威脅

由于桌面機(jī)數(shù)量與種類眾多，配置雜亂，軟硬件、操作系統(tǒng)種類五花八門，使得它們的安全狀況極其復(fù)雜。用戶沒(méi)有給系統(tǒng)打補(bǔ)丁的概念和習(xí)慣，也不知道如何打。未安裝殺毒軟件或病毒庫(kù)不升級(jí)。用戶私自安裝、卸載軟件。隨意改變硬件配置或重裝系統(tǒng)，使安全性降低。長(zhǎng)期不關(guān)機(jī)。隨意使用移動(dòng)存儲(chǔ)介質(zhì)。有風(fēng)險(xiǎn)的上網(wǎng)行為。私設(shè)上網(wǎng)出口。

2 建立集中式的桌面計(jì)算機(jī)安全防護(hù)體系

來(lái)自桌面計(jì)算機(jī)的安全威脅給企業(yè)網(wǎng)絡(luò)及信息系統(tǒng)帶來(lái)了很大的安全威脅，沒(méi)有桌面機(jī)的安全就沒(méi)有整個(gè)網(wǎng)絡(luò)的安全。由于用戶水平參差不齊，缺乏專業(yè)知識(shí)，因此不能指望由用戶來(lái)對(duì)桌面機(jī)進(jìn)行全面的安全防護(hù)，企業(yè)的信息管理部門必須構(gòu)建一個(gè)集中式的桌面計(jì)算機(jī)安全管理和防護(hù)體系，通過(guò)統(tǒng)一的管理平臺(tái)對(duì)所有桌面機(jī)統(tǒng)一實(shí)施安全防護(hù)，包括統(tǒng)一打補(bǔ)丁，統(tǒng)一安裝與升級(jí)殺毒軟件，統(tǒng)一進(jìn)行安全配置，統(tǒng)一實(shí)施安全策略等。

為了描述方便，本文中使用的桌面計(jì)算機(jī)、客戶機(jī)、用戶終端和用戶端計(jì)算機(jī)等術(shù)語(yǔ)含義一樣，均指用戶的個(gè)人計(jì)算機(jī)。

2.1 統(tǒng)一進(jìn)行桌面安全管理

桌面計(jì)算機(jī)狀況混亂，地理位置分散，使得信息管理部門對(duì)它們的日常維護(hù)難度增大，效率降低，無(wú)法批量進(jìn)行安裝殺毒軟件、打補(bǔ)丁的操作，更難以統(tǒng)計(jì)桌面計(jì)算機(jī)的軟硬資產(chǎn)。

建立企業(yè)級(jí)的桌面安全管理系統(tǒng)是解決這些問(wèn)題的有效途徑。該系統(tǒng)能夠?qū)ψ烂嬗?jì)算機(jī)實(shí)行統(tǒng)一的管理和保護(hù)，包括資產(chǎn)管理、資產(chǎn)分析統(tǒng)計(jì)、資產(chǎn)發(fā)現(xiàn)、移動(dòng)設(shè)備控制、補(bǔ)丁分發(fā)、軟件分發(fā)、防病毒管理、遠(yuǎn)程協(xié)助、終端操作監(jiān)管等。系統(tǒng)自動(dòng)檢測(cè)收集桌面計(jì)算機(jī)的軟硬件資產(chǎn)信息，生成統(tǒng)計(jì)報(bào)表資料，減輕管理員日常維護(hù)的難度。通過(guò)病毒防護(hù)和補(bǔ)丁分發(fā)，可保證桌面計(jì)算機(jī)防病毒系統(tǒng)和系統(tǒng)補(bǔ)丁的及時(shí)更新。通過(guò)軟件分發(fā)將常用的工具軟件自動(dòng)安裝到每臺(tái)機(jī)器，可解決用戶不安裝規(guī)定軟件的問(wèn)題。還可以對(duì)移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行統(tǒng)一控制，防止由其引起的信息泄露和病毒感染。對(duì)實(shí)時(shí)了解桌面計(jì)算機(jī)的系統(tǒng)配置、在線情況和運(yùn)行進(jìn)程，監(jiān)控違規(guī)行為，限制其執(zhí)行不相關(guān)的軟件?？梢越y(tǒng)一強(qiáng)制關(guān)閉客戶機(jī)系統(tǒng)和電源。

2.2 使用活動(dòng)目錄統(tǒng)一設(shè)置安全策略

Windows系統(tǒng)的活動(dòng)目錄(AD)是為了便于對(duì)企業(yè)網(wǎng)絡(luò)中各類對(duì)象(如用戶、計(jì)算機(jī))及各類資源(如打印機(jī)、文件夾、程序)進(jìn)行集中管理而建立的。一個(gè)AD包含一個(gè)或多個(gè)域，為了讓用戶在本地的域控制器上登錄以節(jié)省時(shí)間，需在當(dāng)?shù)亟⒁粋€(gè)站點(diǎn)。

管理員可使用組策略(GP)針對(duì)特定的計(jì)算機(jī)或用戶進(jìn)行多種系統(tǒng)管理工作，比如設(shè)置賬戶策略、本地策略和用戶權(quán)限，分發(fā)與刪除軟件，配置桌面和 IE 瀏覽器，下載與安裝WSUS補(bǔ)丁，制定啟動(dòng)/關(guān)機(jī)及登錄/注銷腳本等。

2.3 統(tǒng)一進(jìn)行網(wǎng)絡(luò)準(zhǔn)入控制

用戶計(jì)算機(jī)端普遍存在著病毒感染、不升級(jí)病毒庫(kù)和系統(tǒng)補(bǔ)丁、安裝禁用軟件、卸載規(guī)定軟件、濫用移動(dòng)存儲(chǔ)設(shè)備等安全問(wèn)題。這些計(jì)算機(jī)若接入網(wǎng)絡(luò)會(huì)造成嚴(yán)重的安全威脅，必須對(duì)它們實(shí)施入網(wǎng)準(zhǔn)入控制。

網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)(或叫端點(diǎn)準(zhǔn)入系統(tǒng))用來(lái)保護(hù)用戶終端的安全、防止非法入侵及控制用戶的網(wǎng)絡(luò)訪問(wèn)行為。系統(tǒng)一般包含端點(diǎn)安全代理、網(wǎng)絡(luò)接入設(shè)備、策略服務(wù)器和準(zhǔn)入控制等組件。端點(diǎn)安全代理即客戶端軟件安裝在每一臺(tái)端點(diǎn)計(jì)算機(jī)上，負(fù)責(zé)從終端上的安全軟件如防病毒軟件、操作系統(tǒng)收集安全狀態(tài)信息，并將其傳給網(wǎng)絡(luò)接入設(shè)備，包括路由器、交換機(jī)、VPN網(wǎng)關(guān)、無(wú)線接入點(diǎn)等，它們把端點(diǎn)的安全狀態(tài)信息傳給策略服務(wù)器，由它進(jìn)行評(píng)估，確定將采用的接入策略是許可、拒絕、隔離還是限制端點(diǎn)接入網(wǎng)絡(luò)。

就是說(shuō)，網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)要依靠各組件與第三方軟件之間的聯(lián)動(dòng)，對(duì)接入網(wǎng)絡(luò)的終端計(jì)算機(jī)強(qiáng)制實(shí)施統(tǒng)一的安全策略，控制其對(duì)網(wǎng)絡(luò)的訪問(wèn)權(quán)限。首先對(duì)要接入網(wǎng)絡(luò)的終端進(jìn)行用戶身份認(rèn)證，如基于802.1x協(xié)議，對(duì)連接到交換機(jī)端口上的用戶或設(shè)備進(jìn)行認(rèn)證，認(rèn)證通過(guò)后再根據(jù)既定的安全策略對(duì)終端進(jìn)行強(qiáng)制安全審計(jì)，判斷其是否安裝了系統(tǒng)補(bǔ)丁、防病毒軟件及病毒庫(kù)更新及規(guī)定的軟件等，對(duì)符合安全標(biāo)準(zhǔn)的端點(diǎn)允許接入，否則限制或拒絕接入，或者讓其進(jìn)入隔離區(qū)進(jìn)行修補(bǔ)，直至完全符合安全策略后才允許其接入。系統(tǒng)對(duì)接入的終端進(jìn)行監(jiān)視，時(shí)刻檢查其是否符合安全策略。

2.4 統(tǒng)一分發(fā)補(bǔ)丁

客戶機(jī)不及時(shí)安裝補(bǔ)丁就不能保證系統(tǒng)安全。大部分用戶可能不會(huì)打補(bǔ)丁，或打不完整，所以打補(bǔ)丁應(yīng)整體解決。設(shè)立WSUS服務(wù)器為本地計(jì)算機(jī)提供統(tǒng)一升級(jí)服務(wù)，讓服務(wù)器每日自動(dòng)與微軟的更新服務(wù)器同步，下載最新補(bǔ)丁。針對(duì)客戶機(jī)應(yīng)把相關(guān)組策略設(shè)置為自動(dòng)從本地 WSUS服務(wù)器獲取更新并安裝，不要配置為手動(dòng)安裝，因?yàn)檫@樣會(huì)被用戶忽略。客戶機(jī)自動(dòng)與服務(wù)器通信，下載新補(bǔ)丁并在后臺(tái)安裝。

根據(jù)網(wǎng)絡(luò)規(guī)?？梢栽O(shè)立多臺(tái) WSUS服務(wù)器。為避免WSUS下載的補(bǔ)丁與客戶機(jī)上某些應(yīng)用軟件發(fā)生沖突，建議在提供客戶機(jī)安裝之前針對(duì)所有客戶機(jī)的應(yīng)用環(huán)境進(jìn)行測(cè)試。

通過(guò)企業(yè)的桌面安全管理系統(tǒng)也可以強(qiáng)制客戶機(jī)安裝補(bǔ)丁，效果上還要優(yōu)于WSUS方式，因?yàn)楹笳卟痪哂袕?qiáng)制性。

2.5 統(tǒng)一防治病毒

網(wǎng)絡(luò)環(huán)境應(yīng)使用網(wǎng)絡(luò)版防病毒軟件構(gòu)建集中式的病毒防護(hù)體系，對(duì)桌面系統(tǒng)實(shí)行統(tǒng)一的防病毒策略控制和病毒庫(kù)升級(jí)。

根據(jù)網(wǎng)絡(luò)大小與計(jì)算機(jī)分布情況選擇建立分層的病毒防護(hù)體系。第一層是控制中心，在總部設(shè)立一臺(tái)或數(shù)臺(tái)防病毒服務(wù)器，負(fù)責(zé)總部客戶機(jī)(及下屬區(qū)域中心防病毒服務(wù)器)的病毒庫(kù)文件升級(jí)和防病毒策略制定。必要時(shí)建立第二層區(qū)域中心，設(shè)立一臺(tái)防病毒服務(wù)器，從中心防病毒服務(wù)器接受病毒庫(kù)信息和防護(hù)策略，為本區(qū)域客戶端服務(wù)。最后一層是客戶端，在各客戶機(jī)安裝防病毒客戶端，受防病毒服務(wù)器的統(tǒng)一管理。

中心防病毒服務(wù)器每日進(jìn)行病毒庫(kù)的更新，更新方式有自動(dòng)更新和手動(dòng)更新兩種。下層區(qū)域中心的防病毒服務(wù)器既可采取這兩種方式更新，也可從上一層的防病毒服務(wù)器更新?？蛻魴C(jī)更新一般通過(guò)防病毒服務(wù)器進(jìn)行，筆記本計(jì)算機(jī)應(yīng)允許手動(dòng)更新。

2.6 統(tǒng)一管理上網(wǎng)行為

從如下方面對(duì)用戶的上網(wǎng)行為實(shí)行嚴(yán)格管理和審計(jì)：(1)過(guò)濾網(wǎng)頁(yè)，根據(jù)URL分類和關(guān)鍵字阻止訪問(wèn)非法和不良網(wǎng)頁(yè)，封鎖或限制訪問(wèn)影響工作效率、占用帶寬的網(wǎng)站。(2)控制網(wǎng)絡(luò)應(yīng)用，對(duì)即時(shí)通信(如QQ、MSN等)、視頻、游戲、炒股等應(yīng)用進(jìn)行識(shí)別、控制、封鎖或限制訪問(wèn)。(3)管理流量帶寬，封堵或限制占用帶寬的應(yīng)用，特別是P2P下載(BT、迅雷等)和網(wǎng)絡(luò)視頻。(4)控制http、ftp上下載文件。(5)審計(jì)SMTP電子郵件或webmail郵件防止機(jī)密外泄。(6)審計(jì)與控制聊天和論壇發(fā)帖內(nèi)容。(7)實(shí)時(shí)監(jiān)控上網(wǎng)行為，如在線用戶、網(wǎng)絡(luò)流量、帶寬占用、訪問(wèn)網(wǎng)頁(yè)、發(fā)送的電子郵件等。

許多網(wǎng)絡(luò)應(yīng)用為了突破封鎖，服務(wù)器采取多個(gè)IP地址、可變端口、內(nèi)容加密傳輸?shù)确绞?，使用傳統(tǒng)手段已很難識(shí)別，必須借助專業(yè)的上網(wǎng)行為管理設(shè)備來(lái)進(jìn)行識(shí)別。

2.7 統(tǒng)一使用代理服務(wù)器上網(wǎng)

代理服務(wù)器被認(rèn)為是防火墻的一種，也可以擔(dān)負(fù)一些內(nèi)容過(guò)濾、訪問(wèn)限制以及管理用戶控制用戶瀏覽權(quán)限的任務(wù)。傳統(tǒng)的代理服務(wù)器僅支持http、ftp服務(wù)，不支持P2P、IM等應(yīng)用，所以用來(lái)限制上網(wǎng)行為更為便利。不過(guò)，隨著不少的應(yīng)用如QQ、迅雷和網(wǎng)絡(luò)視頻等紛紛支持80端口傳輸，代理服務(wù)器也就無(wú)力限制了。

對(duì)上網(wǎng)用戶進(jìn)行嚴(yán)格的身份認(rèn)證，建議把用戶名、IP地址、MAC地址三者捆綁，有效防止盜用IP地址的行為。

2.8 統(tǒng)一控制網(wǎng)絡(luò)流量與帶寬

在企業(yè)的因特網(wǎng)出口、廣域網(wǎng)出口甚至內(nèi)網(wǎng)的帶寬瓶頸處，P2P流量會(huì)擠占帶寬，影響正常業(yè)務(wù)的傳輸。在這些地方必須控制網(wǎng)絡(luò)流量，精細(xì)地識(shí)別各種應(yīng)用，進(jìn)行帶寬管理。在線路兩端同時(shí)實(shí)施流量控制效果最佳，或者在分支機(jī)構(gòu)一端實(shí)施。

2.9 統(tǒng)一反垃圾郵件

垃圾郵件占電子郵件總量的一半以上，其中不乏病毒和不良信息。傳統(tǒng)的依靠關(guān)鍵字過(guò)濾、郵件地址和IP地址阻止、RBL黑名單過(guò)濾等技術(shù)已經(jīng)對(duì)付不了當(dāng)前的垃圾郵件，因此有必要在網(wǎng)絡(luò)邊界部署專業(yè)的反垃圾郵件網(wǎng)關(guān)，智能化地識(shí)別垃圾郵件，且準(zhǔn)確率高，誤判率低。

3 結(jié)束語(yǔ)

在企業(yè)網(wǎng)絡(luò)中對(duì)桌面計(jì)算機(jī)實(shí)行集中式的安全防護(hù)，做到統(tǒng)一策略、統(tǒng)一部署、統(tǒng)一管理，克服各自為政、漏洞百出的混亂局面，是理想的解決方案。當(dāng)然，這些防護(hù)措施離不開其它防護(hù)措施的配合，如網(wǎng)絡(luò)邊界安全防護(hù)、容災(zāi)備份以及運(yùn)維管理等，充分利用路由器、交換機(jī)、防火墻、入侵檢測(cè)/入侵防御、防病毒網(wǎng)關(guān)、VPN網(wǎng)關(guān)、日志審計(jì)等網(wǎng)絡(luò)設(shè)施開展協(xié)同工作，才能形成強(qiáng)有力的全方位安全防御體系。

[1]張桂新.桌面安全管理在油田企業(yè)中的應(yīng)用[J].石油儀器.2008.

[2]侯志剛.端點(diǎn)準(zhǔn)入系統(tǒng)在網(wǎng)絡(luò)中的應(yīng)用[J].煉油與化工.2009.