文/彭桂芬 楊彥光

利用準(zhǔn)入機(jī)制解決客戶(hù)端信息安全問(wèn)題

文/彭桂芬1楊彥光2

近年來(lái)，高?？蛻?hù)端計(jì)算機(jī)安全管理矛盾越來(lái)越突出，高校的信息安全工作不能僅集中于后臺(tái)系統(tǒng)，更要擴(kuò)展到整個(gè)網(wǎng)絡(luò)，考慮如何要保障客戶(hù)端計(jì)算機(jī)安全，并采取有效的技術(shù)手段和管理措施。高?？蛻?hù)端計(jì)算機(jī)安全管理問(wèn)題主要表現(xiàn)在：移動(dòng)互聯(lián)技術(shù)的快速發(fā)展與信息技術(shù)風(fēng)險(xiǎn)增大的矛盾；教職工隨時(shí)隨地接入網(wǎng)絡(luò)的需求與高校內(nèi)部信息安全的矛盾；方便多樣的信息交流分享需求與信息泄露風(fēng)險(xiǎn)的矛盾。

存在問(wèn)題

內(nèi)部網(wǎng)絡(luò)終端缺乏網(wǎng)絡(luò)用戶(hù)識(shí)別、準(zhǔn)入機(jī)制

任何外來(lái)人員或客戶(hù)只要將計(jì)算機(jī)插入網(wǎng)線(xiàn)，就可以進(jìn)入內(nèi)部網(wǎng)絡(luò)各個(gè)區(qū)域，其中沒(méi)有任何身份的認(rèn)證和安全措施，如知道相關(guān)應(yīng)用系統(tǒng)的賬號(hào)及密碼，就可以訪問(wèn)相關(guān)的應(yīng)用數(shù)據(jù)，對(duì)整個(gè)網(wǎng)絡(luò)和應(yīng)用造成很大的安全威脅。網(wǎng)絡(luò)的終端全部都是基于工作組的模式，沒(méi)有進(jìn)行網(wǎng)絡(luò)域的集中管理模式和相關(guān)的策略性的定義。

終端安全管理的安全防護(hù)控制不足

1.無(wú)法確保這些終端是否安裝了防病毒軟件、更新了系統(tǒng)補(bǔ)丁和病毒代碼，現(xiàn)時(shí)的終端的防病軟件部署率底，防病毒軟件也不統(tǒng)一，時(shí)常發(fā)生感染病毒、間諜軟件等的問(wèn)題，存在很大的安全隱患；2.用戶(hù)是否安裝了必須使用的軟件，是否安裝了非工作使用的軟件，硬件配置，軟件配置，信息的收集，都無(wú)法進(jìn)行確認(rèn)和收集；3.現(xiàn)時(shí)對(duì)網(wǎng)絡(luò)內(nèi)部出現(xiàn)的任何安全問(wèn)題都無(wú)法及時(shí)發(fā)現(xiàn)、追蹤和審計(jì)。

客戶(hù)端準(zhǔn)入安全需求

客戶(hù)端區(qū)域需求

客戶(hù)端區(qū)有線(xiàn)網(wǎng)絡(luò)已建設(shè)完成，所有終端未設(shè)置安全準(zhǔn)入控制，一旦某個(gè)無(wú)線(xiàn)或者有線(xiàn)終端點(diǎn)出現(xiàn)病毒木馬將影響整個(gè)學(xué)校網(wǎng)絡(luò)，存在著安全隱患。

互聯(lián)網(wǎng)區(qū)域需求

互聯(lián)網(wǎng)區(qū)部署著多臺(tái)安全設(shè)備，這些安全設(shè)備都是基于數(shù)據(jù)流的安全防護(hù)，對(duì)于無(wú)線(xiàn)終端點(diǎn)未部署安全終端準(zhǔn)入控制，一旦無(wú)線(xiàn)終端接入點(diǎn)出現(xiàn)病毒木馬等將影響整個(gè)學(xué)校網(wǎng)絡(luò)，存在著安全隱患。

RTP區(qū)域需求

RTP區(qū)上聯(lián)骨干網(wǎng)，下聯(lián)接入網(wǎng)，接入網(wǎng)中有著無(wú)線(xiàn)終端接入、有線(xiàn)終端接入及3G終端接入，三者都未部署安全終端準(zhǔn)入控制，一旦其中一者終端接入點(diǎn)出現(xiàn)病毒將影響整個(gè)學(xué)校網(wǎng)絡(luò)，給學(xué)校網(wǎng)絡(luò)帶來(lái)了安全隱患。

安全性檢查需求

安全補(bǔ)丁、防病毒軟件、黑白軟件、注冊(cè)表、VIP用戶(hù)權(quán)限、防ARP攻擊、多元素綁定（可以綁定用戶(hù)名、IP地址、MAC地址、設(shè)備端口、VLAN等）、 軟、硬件資產(chǎn)調(diào)查、外設(shè)管理、軟件分發(fā)、安全審計(jì)。

可靠性及管理需求

1.服務(wù)器支持雙機(jī)備份：中心策略服務(wù)器支持雙機(jī)冗余配置，主服務(wù)器發(fā)生故障時(shí)，功能可向從服務(wù)器轉(zhuǎn)移。策略服務(wù)器配置具有良好的備份和恢復(fù)機(jī)制；

2.用戶(hù)群組策略：能針對(duì)用戶(hù)分組，安全策略針對(duì)單個(gè)用戶(hù)，或某組用戶(hù)綁定；

3.管理目標(biāo)分組： 能針對(duì)不同的層級(jí)、區(qū)域、用戶(hù)組、計(jì)算機(jī)組等設(shè)定不同的管理員。

客戶(hù)端準(zhǔn)入控制的實(shí)施

客戶(hù)端準(zhǔn)入控制包括兩個(gè)重要功能：安全防護(hù)和安全監(jiān)控?？蛻?hù)端準(zhǔn)入控制的基本原理是通過(guò)智能客戶(hù)端、智能聯(lián)動(dòng)設(shè)備（如VPN網(wǎng)關(guān)、路由器）、安全策略服務(wù)器以及防病毒服務(wù)器、補(bǔ)丁服務(wù)器的聯(lián)動(dòng)實(shí)現(xiàn)的，其基本原理如圖1所示。

1.用戶(hù)終端試圖接入網(wǎng)絡(luò)時(shí)，首先通過(guò)智能客戶(hù)端進(jìn)行用戶(hù)身份認(rèn)證，非法用戶(hù)將被拒絕接入網(wǎng)絡(luò)；2.合法用戶(hù)將被要求進(jìn)行安全狀態(tài)認(rèn)證，由安全策略服務(wù)器驗(yàn)證用戶(hù)終端安全狀態(tài)是否符合基于用戶(hù)賬號(hào)預(yù)定義的安全策略，不合格用戶(hù)將被智能聯(lián)動(dòng)設(shè)備隔離到隔離區(qū)；3.進(jìn)入隔離區(qū)的用戶(hù)可以進(jìn)行補(bǔ)丁、病毒庫(kù)的升級(jí)、卸載非法程序、取消代理設(shè)置等操作，直到安全狀態(tài)合格；4.安全狀態(tài)合格的用戶(hù)將實(shí)施由安全策略服務(wù)器下發(fā)的安全設(shè)置，并由智能聯(lián)動(dòng)設(shè)備提供基于身份的網(wǎng)絡(luò)服務(wù)。

從客戶(hù)端準(zhǔn)入控制的主要功能和基本原理可以看出，客戶(hù)端準(zhǔn)入控制將終端防病毒、補(bǔ)丁修復(fù)等終端安全措施與網(wǎng)絡(luò)接入控制、訪問(wèn)權(quán)限控制等網(wǎng)絡(luò)安全措施整合為一個(gè)聯(lián)動(dòng)的安全體系，通過(guò)對(duì)網(wǎng)絡(luò)接入終端的檢查、隔離、修復(fù)、管理和監(jiān)控，使整個(gè)網(wǎng)絡(luò)變被動(dòng)防御為主動(dòng)防御；變單點(diǎn)防御為全面防御；變分散管理為集中策略管理，提升了網(wǎng)絡(luò)對(duì)病毒、蠕蟲(chóng)等新興安全威脅的整體防御能力。

圖1 客戶(hù)端準(zhǔn)入控制原理實(shí)現(xiàn)圖

方案的實(shí)現(xiàn)

客戶(hù)端準(zhǔn)入控制解決方案的實(shí)現(xiàn)，是通過(guò)將網(wǎng)絡(luò)接入控制和用戶(hù)終端安全策略控制相結(jié)合，以用戶(hù)終端對(duì)高校安全策略的符合度為條件，控制用戶(hù)訪問(wèn)網(wǎng)絡(luò)的接入權(quán)限，從而降低病毒、非法訪問(wèn)等安全威脅對(duì)高校網(wǎng)絡(luò)帶來(lái)的危害。為達(dá)到以上目的，需要包括檢查、隔離、修復(fù)、監(jiān)控的整體解決方案。

1.檢查：檢查網(wǎng)絡(luò)接入用戶(hù)的身份、訪問(wèn)權(quán)限以及終端的安全狀態(tài)；2.隔離：隔離非法用戶(hù)終端和越權(quán)訪問(wèn)；隔離存在重大安全問(wèn)題或安全隱患的用戶(hù)終端；3.修復(fù)：幫助存在安全問(wèn)題或安全隱患的用戶(hù)終端進(jìn)行安全修復(fù)，以便能夠正常使用網(wǎng)絡(luò)；4.監(jiān)控：實(shí)時(shí)監(jiān)控在線(xiàn)用戶(hù)的終端安全狀態(tài)，及時(shí)獲取終端安全信息；對(duì)非法用戶(hù)、越權(quán)訪問(wèn)和存在安全問(wèn)題的網(wǎng)絡(luò)終端進(jìn)行定位統(tǒng)計(jì)，為網(wǎng)絡(luò)安全管理提供依據(jù)；通過(guò)制定新的安全策略，持續(xù)保障網(wǎng)絡(luò)的安全。

方案組成部分

為了有效實(shí)現(xiàn)用戶(hù)終端安全準(zhǔn)入控制，需要實(shí)現(xiàn)終端安全信息采集點(diǎn)、終端安全信息決策點(diǎn)和終端安全信息執(zhí)行點(diǎn)的分離，同時(shí)還需要提供有效的技術(shù)手段，對(duì)用戶(hù)終端存在的安全問(wèn)題進(jìn)行修復(fù)，使之符合高校終端安全策略，順利接入網(wǎng)絡(luò)進(jìn)行工作。客戶(hù)端準(zhǔn)入控制解決方案的組成部分見(jiàn)圖如圖2所示。

客戶(hù)端準(zhǔn)入控制安全策略服務(wù)器

客戶(hù)端準(zhǔn)入控制方案的核心是整合與聯(lián)動(dòng)，而客戶(hù)端準(zhǔn)入控制安全策略服務(wù)器是客戶(hù)端準(zhǔn)入控制方案中的管理與控制中心，兼具用戶(hù)管理、安全策略管理、安全狀態(tài)評(píng)估、安全聯(lián)動(dòng)控制以及安全事件審計(jì)等功能。

修復(fù)服務(wù)器

在客戶(hù)端準(zhǔn)入控制方案中，修復(fù)服務(wù)器可以是第三方廠商提供的防病毒服務(wù)器、補(bǔ)丁服務(wù)器或用戶(hù)自行架設(shè)的文件服務(wù)器。此類(lèi)服務(wù)器通常放置于網(wǎng)絡(luò)隔離區(qū)中，用于終端進(jìn)行自我修復(fù)操作。

圖2 客戶(hù)端準(zhǔn)入控制解決方案組成部分

安全聯(lián)動(dòng)設(shè)備

安全聯(lián)動(dòng)設(shè)備是高校網(wǎng)絡(luò)中安全策略的實(shí)施點(diǎn)，起到強(qiáng)制用戶(hù)準(zhǔn)入認(rèn)證、隔離不合格終端、為合法用戶(hù)提供網(wǎng)絡(luò)服務(wù)的作用。根據(jù)應(yīng)用場(chǎng)合的不同，安全聯(lián)動(dòng)設(shè)備可以是交換機(jī)或BAS設(shè)備，分別實(shí)現(xiàn)不同認(rèn)證方式（如802.1x或Portal）的端點(diǎn)準(zhǔn)入控制。

準(zhǔn)入客戶(hù)端

準(zhǔn)入客戶(hù)端是安裝在用戶(hù)終端系統(tǒng)上的軟件，是對(duì)用戶(hù)終端進(jìn)行身份認(rèn)證、安全狀態(tài)評(píng)估以及安全策略實(shí)施的主體，其主要功能包括提供802.1x、Portal等多種認(rèn)證方式、檢查用戶(hù)終端的安全狀態(tài)、安全策略實(shí)施、實(shí)時(shí)監(jiān)控系統(tǒng)安全狀態(tài)等，實(shí)時(shí)監(jiān)控系統(tǒng)安全狀態(tài)又包括是否更改安全設(shè)置、是否發(fā)現(xiàn)新病毒等，并將安全事件定時(shí)上報(bào)到安全策略服務(wù)器，用于事后進(jìn)行安全審計(jì)。

終端準(zhǔn)入控制身份認(rèn)證方式

終端準(zhǔn)入控制是從控制用戶(hù)終端安全接入網(wǎng)絡(luò)的角度入手，整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，通過(guò)用戶(hù)端、準(zhǔn)入控制組件、網(wǎng)絡(luò)設(shè)備（交換機(jī)、路由器、防火墻、無(wú)線(xiàn)）以及第三方軟件（殺毒軟件、補(bǔ)丁服務(wù)器）的聯(lián)動(dòng)，對(duì)接入網(wǎng)絡(luò)的用戶(hù)終端強(qiáng)制實(shí)施安全策略，嚴(yán)格控制終端用戶(hù)的網(wǎng)絡(luò)使用行為，有效加強(qiáng)用戶(hù)終端的主動(dòng)防御能力，為網(wǎng)絡(luò)管理人員提供有效、易用的管理工具和手段。

客戶(hù)端安全管理

1.防病毒管理

通過(guò)與第三方防病毒廠商合作，客戶(hù)端準(zhǔn)入控制終端準(zhǔn)入控制解決方案中，客戶(hù)端準(zhǔn)入控制策略服務(wù)器根據(jù)安全策略對(duì)安裝了第三方防病毒產(chǎn)品客戶(hù)端和準(zhǔn)入軟件的用戶(hù)終端計(jì)算機(jī)進(jìn)行安全檢查。對(duì)于不符合安全策略的用戶(hù)終端，通過(guò)配合相關(guān)網(wǎng)絡(luò)設(shè)備采用ACL或VLAN訪問(wèn)控制的方式，從物理或網(wǎng)絡(luò)層面上將“危險(xiǎn)”終端限制在隔離區(qū)中。

2.與WSUS聯(lián)動(dòng)的補(bǔ)丁管理

客戶(hù)端準(zhǔn)入控制與WSUS聯(lián)動(dòng)解決方案需要兩個(gè)系統(tǒng)協(xié)同工作：WSUS軟件補(bǔ)丁更新服務(wù)器負(fù)責(zé)對(duì)終端用戶(hù)的計(jì)算機(jī)進(jìn)行補(bǔ)丁狀態(tài)檢查、判斷是否合格以及不合格時(shí)自動(dòng)更新所缺少的補(bǔ)丁，客戶(hù)端準(zhǔn)入控制安全策略服務(wù)器負(fù)責(zé)決定何時(shí)發(fā)起補(bǔ)丁狀態(tài)檢查操作，并負(fù)責(zé)控制補(bǔ)丁狀態(tài)檢查不合格的端點(diǎn)用戶(hù)只能訪問(wèn)隔離區(qū)內(nèi)的資源，待端點(diǎn)用戶(hù)的計(jì)算機(jī)的補(bǔ)丁狀態(tài)檢查合格后才解除對(duì)該用戶(hù)計(jì)算機(jī)的隔離。兩者通過(guò)客戶(hù)端準(zhǔn)入控制安全客戶(hù)端與微軟公司支持聯(lián)動(dòng)功能的補(bǔ)丁升級(jí)客戶(hù)端之間的API接口實(shí)現(xiàn)。

3.黑白名單軟件管理

客戶(hù)端準(zhǔn)入控制提供黑白軟件統(tǒng)一管理功能。管理員可根據(jù)高校的IT政令，在安全策略服務(wù)器定義教職工終端黑白軟件列表，通過(guò)安全客戶(hù)端實(shí)時(shí)檢測(cè)、網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)控制，完成對(duì)用戶(hù)終端的軟件安裝運(yùn)行狀態(tài)的統(tǒng)一監(jiān)控和管理。

4.注冊(cè)表安全檢查

注冊(cè)表安全檢測(cè)：客戶(hù)端準(zhǔn)入控制支持系統(tǒng)服務(wù)檢測(cè)，包括服務(wù)種類(lèi)、是否啟動(dòng)等。對(duì)于不符合服務(wù)檢查項(xiàng)的用戶(hù)需要根據(jù)安全策略做出相應(yīng)處理，包括提醒、隔離、下線(xiàn)等。遠(yuǎn)程用戶(hù)修改本機(jī)注冊(cè)表防御；支持遠(yuǎn)程訪問(wèn)、共享、進(jìn)程調(diào)用防御。

5.密碼強(qiáng)度控制

客戶(hù)端準(zhǔn)入控制就是通過(guò)Gina獲取用戶(hù)登錄Windows時(shí)輸入的密碼并驗(yàn)證密碼強(qiáng)度。對(duì)于密碼設(shè)置不符合預(yù)定策略用戶(hù)需采用強(qiáng)制下線(xiàn)等策略進(jìn)行準(zhǔn)入控制。

客戶(hù)端準(zhǔn)入控制可以很好的解決高?？蛻?hù)端網(wǎng)絡(luò)接入，防病毒，數(shù)據(jù)安全等問(wèn)題，使高校信息系統(tǒng)的安全得到了很大的提高。

（作者單位：1為昆明醫(yī)科大學(xué)現(xiàn)代教育技術(shù)中心，2為昆明醫(yī)科大學(xué)）