馬 亮(石家莊陸軍指揮學(xué)院 河北 石家莊 050084)

園區(qū)網(wǎng)終端安全管控系統(tǒng)的構(gòu)建

馬 亮
(石家莊陸軍指揮學(xué)院 河北 石家莊 050084)

從終端安全存在隱患入手，著眼什么人能上網(wǎng)、什么機(jī)器能上網(wǎng)、上網(wǎng)的人有權(quán)做什么以及上網(wǎng)的人都做了什么等問題，辨析了終端安全的管控目標(biāo)，提出了園區(qū)網(wǎng)終端安全管控系統(tǒng)的設(shè)計(jì)構(gòu)想，同時(shí)，從區(qū)域、接入控制網(wǎng)關(guān)、引流規(guī)則、客戶端和檢查策略等角度對(duì)系統(tǒng)進(jìn)行規(guī)劃部署，并對(duì)準(zhǔn)入權(quán)限控制、終端健康檢查和終端用戶行為管理的技術(shù)實(shí)現(xiàn)進(jìn)行了詳細(xì)闡述，對(duì)園區(qū)網(wǎng)終端安全管控系統(tǒng)的構(gòu)建提出了建議。

園區(qū)網(wǎng) 終端 安全 管控 系統(tǒng)

1 引言

隨著信息化建設(shè)的不斷深入，信息化建設(shè)中最重要的基礎(chǔ)設(shè)施--園區(qū)網(wǎng)，發(fā)揮越來越重要的作用，園區(qū)網(wǎng)的規(guī)模在不斷擴(kuò)大，網(wǎng)絡(luò)應(yīng)用日益復(fù)雜，網(wǎng)絡(luò)安全問題愈發(fā)凸顯。

在網(wǎng)絡(luò)安全防護(hù)方式的選擇上，傳統(tǒng)的邊界防護(hù)固然重要，通過部署安全設(shè)備、實(shí)施內(nèi)外網(wǎng)隔離以及加強(qiáng)數(shù)據(jù)中心防護(hù)，都可以較好地防范來自外部的安全威脅，但面對(duì)網(wǎng)絡(luò)內(nèi)部產(chǎn)生的威脅，這種方式顯得力不從心。據(jù)權(quán)威部門統(tǒng)計(jì)，大約60%到80%的網(wǎng)絡(luò)安全事件起源于內(nèi)部網(wǎng)絡(luò)終端計(jì)算機(jī)的硬件配置、軟件應(yīng)用與用戶行為，也就是說終端是內(nèi)部安全威脅的源頭。具體來說，終端存在以下安全問題[1]：

①終端用戶安全意識(shí)薄弱：用戶隨意使用移動(dòng)存儲(chǔ)設(shè)備、設(shè)置弱口令、不安裝防病毒軟件、不及時(shí)更新病毒庫和不及時(shí)安裝操作系統(tǒng)補(bǔ)丁等這些違規(guī)現(xiàn)象還不同程度的存在；

②非法終端用戶未授權(quán)接入：缺乏上網(wǎng)認(rèn)證機(jī)制，外來人員未經(jīng)許可，能夠輕易接入并訪問園區(qū)網(wǎng)；

③合法終端用戶越權(quán)訪問：對(duì)網(wǎng)絡(luò)資源缺乏嚴(yán)格的訪問權(quán)限控制，導(dǎo)致合法終端用戶能夠隨意訪問網(wǎng)絡(luò)中的涉密信息；

④終端用戶的違規(guī)行為得不到監(jiān)控，體現(xiàn)在缺乏對(duì)終端用戶違規(guī)行為的監(jiān)控手段，管理人員對(duì)終端的安全狀態(tài)不了解，不掌握；

⑤單點(diǎn)防御，缺乏全局防御能力，僅對(duì)終端的個(gè)別或局部安全問題采取防護(hù)措施，缺乏全要素和全生命周期的安全管控。

2 終端安全管控目標(biāo)

要實(shí)現(xiàn)終端的安全管控，必須要回答和解決以下4個(gè)問題。

⑴什么人能上網(wǎng)

身份認(rèn)證問題。隨便什么人都可以接入園區(qū)網(wǎng)的現(xiàn)象肯定是不安全的，必須建立起實(shí)名制準(zhǔn)入控制機(jī)制，確保認(rèn)證后用戶才能接入園區(qū)網(wǎng)。

⑵什么機(jī)器能上網(wǎng)

健康合規(guī)問題，用戶身份的合法性不等同于終端的健康度，終端的安全性對(duì)網(wǎng)絡(luò)具有潛在威脅，如終端存在病毒和木馬，接入網(wǎng)絡(luò)后就會(huì)感染其他的終端；終端未安裝涉密載體、標(biāo)簽水印和防病毒等統(tǒng)一的安全軟件，也會(huì)帶來潛在威脅。

⑶上網(wǎng)的人有權(quán)做什么

權(quán)限受控問題，用戶身份合法，終端健康，不代表可以訪問網(wǎng)上的所有資源。領(lǐng)導(dǎo)和一般員工，不同身份角色的用戶對(duì)資源的訪問權(quán)限是不一樣的，必須依據(jù)角色權(quán)限嚴(yán)格控制訪問相應(yīng)的資源。

⑷上網(wǎng)的人都做了什么

行為審計(jì)問題，要加強(qiáng)上網(wǎng)行為的審計(jì)和檢測(cè)，做到對(duì)用戶的違規(guī)行為可記錄、可追查和可回溯。

綜上可得出終端安全管控的目標(biāo)是實(shí)現(xiàn)終端安全管控的一體化和精確化，確保終端合規(guī)和受控，從源頭消除漏洞和威脅，從而有效解決終端接入失控、終端安全失察、資源訪問無序及管理效能不高這些現(xiàn)實(shí)性問題。

3 終端安全管控總體設(shè)計(jì)

3.1 設(shè)計(jì)構(gòu)想

用戶在使用終端訪問網(wǎng)絡(luò)資源前，首先要經(jīng)過身份認(rèn)證和終端健康檢查，在確認(rèn)身份合法并通過健康檢查后，終端才可以訪問受控的網(wǎng)絡(luò)資源。認(rèn)證不通過則不能訪問網(wǎng)絡(luò)，健康檢查不通過則要進(jìn)行隔離修復(fù)，直到終端通過健康檢查后才允許訪問受控的網(wǎng)路資源，同時(shí)要對(duì)終端的行為進(jìn)行監(jiān)控和審計(jì)，這樣才能實(shí)現(xiàn)從終端主機(jī)到業(yè)務(wù)系統(tǒng)的控制與管理。

3.2 規(guī)劃與部署

⑴區(qū)域規(guī)劃

終端安全管控系統(tǒng)根據(jù)安全管控需求，將園區(qū)網(wǎng)劃分成4個(gè)區(qū)域，分別是終端域、認(rèn)證前域、隔離域和認(rèn)證后域。①終端域：終端域是指用戶終端所在的區(qū)域，要將所有的用戶終端規(guī)劃在這個(gè)區(qū)域，以便進(jìn)行集中管理；②認(rèn)證前域：認(rèn)證前域是指用戶認(rèn)證需要訪問的區(qū)域。通過配置在該區(qū)域安全管理服務(wù)器，實(shí)現(xiàn)終端用戶管理、安全策略配置、用戶身份驗(yàn)證、訪問權(quán)限分配和終端的安全狀態(tài)查詢等功能[2]；③隔離域：隔離域是指當(dāng)終端用戶未能夠通過終端健康度檢查時(shí)，將終端隔離到的區(qū)域，通過該區(qū)域設(shè)置的防病毒服務(wù)器和補(bǔ)丁服務(wù)器，實(shí)現(xiàn)用戶終端健康修復(fù)；④認(rèn)證后域：認(rèn)證后域是指終端用戶通過了身份認(rèn)證和終端健康檢查后可以訪問的區(qū)域，認(rèn)證后域部署著園區(qū)網(wǎng)各類受保護(hù)的信息資源，根據(jù)業(yè)務(wù)需求，認(rèn)證后域資源需要進(jìn)一步細(xì)分為若干個(gè)相互隔離的受控域，用以實(shí)現(xiàn)用戶按權(quán)限訪問資源。

⑵部署安全接入控制網(wǎng)關(guān)

安全接入控制網(wǎng)關(guān)是實(shí)現(xiàn)準(zhǔn)入控制和訪問權(quán)限控制的核心設(shè)備，以旁路方式部署在核心交換機(jī)旁邊。安全接入控制網(wǎng)關(guān)通過一臺(tái)具備數(shù)據(jù)包過濾功能的防火墻引流實(shí)現(xiàn)，就像一個(gè)哨兵，可以檢查所有從用戶終端過來的數(shù)據(jù)包，并依據(jù)訪問規(guī)則決定"放行"或"阻止"。

⑶配置引流規(guī)則

引流的規(guī)則是在核心交換機(jī)上配置的。在核心交換機(jī)上，要把所有與終端域相鏈接的端口，都配置上引流規(guī)則，即把進(jìn)入該端口的數(shù)據(jù)包發(fā)送至與安全接入控制網(wǎng)關(guān)相連的端口上，而不是被核心交換機(jī)直接轉(zhuǎn)發(fā)到目的端。

⑷部署終端安全管控系統(tǒng)客戶端

每個(gè)合法的入網(wǎng)終端都必須安裝終端安全管控系統(tǒng)客戶端，不安裝客戶端的用戶無法發(fā)起認(rèn)證流程，從而無法訪問網(wǎng)絡(luò)。客戶端的主要功能是實(shí)現(xiàn)身份認(rèn)證、終端的健康檢查和用戶行為審計(jì)。

⑸配置用戶信息和終端健康檢查策略

配置用戶信息就是在安全管理服務(wù)器將每一個(gè)用戶的用戶名、密碼、IP地址和用戶有權(quán)訪問的受控域等信息關(guān)聯(lián)起來，形成一個(gè)用戶配置表，完成用戶基礎(chǔ)信息管理；配置用戶的終端健康檢查策略，就是指定終端要做哪些健康檢查，檢查的標(biāo)準(zhǔn)是什么，不達(dá)標(biāo)的終端如何處置，從而為客戶端程序進(jìn)行終端健康檢查提供依據(jù)。

4 主要功能的技術(shù)實(shí)現(xiàn)

4.1 準(zhǔn)入控制和權(quán)限控制

準(zhǔn)入控制和權(quán)限控制可分為合法合規(guī)用戶、合法不合規(guī)用戶和非法用戶3類流程控制。

4.1.1 合法合規(guī)用戶的流程控制

合法合規(guī)是指通過用戶通過身份認(rèn)證且終端通過健康檢查。該類用戶的流程控制分為用戶認(rèn)證流程、用戶訪問流程和用戶離線流程。

⑴用戶認(rèn)證流程控制

用戶登錄時(shí)，安裝在終端上的客戶端會(huì)將用戶登錄信息以加密的方式發(fā)送給安全管理服務(wù)器。數(shù)據(jù)包到達(dá)核心交換機(jī)后，被引流到安全接入控制網(wǎng)關(guān)，網(wǎng)關(guān)將用戶數(shù)據(jù)包中的源地址和目的地址與網(wǎng)關(guān)內(nèi)的訪問規(guī)則進(jìn)行匹配，以此來控制數(shù)據(jù)包的轉(zhuǎn)發(fā)[3]。

初始狀態(tài)下訪問規(guī)則中只有3條默認(rèn)規(guī)則，規(guī)則1：允許所有訪問目的地址是認(rèn)證前域的數(shù)據(jù)包通過；規(guī)則2：允許所有訪問目的地址是隔離域的數(shù)據(jù)包通過；規(guī)則3：阻止所有數(shù)據(jù)包通過。

對(duì)于用戶認(rèn)證數(shù)據(jù)包來說，它的目的地址是認(rèn)證前域中的安全管理服務(wù)器，那么它就和規(guī)則1相匹配，得到安全接入控制網(wǎng)關(guān)的"放行"。數(shù)據(jù)包通過由網(wǎng)關(guān)出端口返回核心交換機(jī)，核心交換機(jī)依據(jù)目的地址對(duì)數(shù)據(jù)包進(jìn)行正常轉(zhuǎn)發(fā)，這樣數(shù)據(jù)包就會(huì)到達(dá)安全管理服務(wù)器。

安全管理服務(wù)器驗(yàn)證數(shù)據(jù)包中用戶名和密碼，如果是合法用戶，安全管理服務(wù)器會(huì)將用戶對(duì)應(yīng)的終端健康檢查策略發(fā)送給終端客戶端，客戶端收到后依據(jù)下發(fā)的策略進(jìn)行終端健康檢查，如果檢查通過了，客戶端會(huì)通告安全管理服務(wù)器，服務(wù)器收到健康檢查通過的通告后，查詢用戶配置表中用戶所能夠訪問的受控域信息。

⑵用戶訪問流程控制

認(rèn)證通過后，終端會(huì)發(fā)起對(duì)受控資源的訪問。例如，訪問受控域1中的某臺(tái)服務(wù)器，請(qǐng)求數(shù)據(jù)包到達(dá)網(wǎng)關(guān)后，還是要匹配訪問規(guī)則，這時(shí)安全管理服務(wù)器剛剛下發(fā)的規(guī)則就會(huì)被命中，這條規(guī)則是允許終端訪問受控域1的地址段，命中后數(shù)據(jù)包會(huì)經(jīng)過網(wǎng)關(guān)出端口到達(dá)核心交換機(jī)，最終會(huì)到達(dá)要訪問的服務(wù)器，服務(wù)器會(huì)響應(yīng)用戶請(qǐng)求，向用戶發(fā)送響應(yīng)數(shù)據(jù)包，數(shù)據(jù)包經(jīng)數(shù)據(jù)中心交換機(jī)和核心交換機(jī)，最終到達(dá)用戶的終端。

⑶用戶離線流程控制

“離線”是指用戶中斷了與網(wǎng)絡(luò)的鏈接。這里面包含著2種情況：①用戶正常離線，通過點(diǎn)擊客戶端的注銷按鈕實(shí)現(xiàn)；②用戶非正常離線，是指用戶從認(rèn)證狀態(tài)下直接關(guān)機(jī)，或者用戶終端發(fā)生掉電或硬件故障的情況。

解決方法是依靠終端客戶端會(huì)與安全管理服務(wù)器建立起心跳機(jī)制，客戶端會(huì)周期性地（比如每30 s）向安全管理服務(wù)器通告自己的在線狀態(tài)，稱之為心跳信息。安全管理服務(wù)器如果在30 s內(nèi)沒有收到終端的心跳信息，就會(huì)認(rèn)為終端已經(jīng)離線，這時(shí)，安全管理服務(wù)器會(huì)向安全接入控制網(wǎng)關(guān)中的訪問控制列表發(fā)送指令，指令的內(nèi)容是"刪除與這個(gè)已經(jīng)離線終端對(duì)應(yīng)IP的所有規(guī)則"，這樣就防止了非法用戶盜用合法用戶IP地址訪問受控資源的問題。

4.1.2 合法不合規(guī)用戶和非法用戶的流程控制

合法不合規(guī)是指通過用戶通過身份認(rèn)證，但終端未通過健康檢查，非法用戶是指未通過身份認(rèn)證的用戶。

這2類用戶的的訪問控制流程是類似的，由于沒有通過身份認(rèn)證和終端健康檢查，所以安全管理服務(wù)器不會(huì)向網(wǎng)關(guān)中的訪問控制列表下發(fā)訪問規(guī)則，當(dāng)這2類用戶發(fā)起對(duì)受控資源的訪問時(shí)，他們的請(qǐng)求數(shù)據(jù)包，只能匹配上訪問控制列表中的最后1條規(guī)則，這條規(guī)則是禁止所有IP地址的訪問，因?yàn)槭墙乖L問，所以數(shù)據(jù)包就會(huì)被丟棄，這樣這2類用戶就訪問不到受保護(hù)的資源。

4.2 終端健康檢查內(nèi)容

4.2.1 檢查防病毒軟件

檢查內(nèi)容包括終端主機(jī)是否安裝了指定的防病毒軟件和防病毒軟件病毒庫是否更新。如果不滿足上述要求，首先要禁止終端訪問受控資源，其次還要協(xié)助用戶做好終端的防護(hù)工作，從而使用戶的終端合規(guī)。

4.2.2 檢查補(bǔ)丁安裝情況

終端安全管控系統(tǒng)支持對(duì)操作系統(tǒng)補(bǔ)丁、瀏覽器補(bǔ)丁、OFFICE補(bǔ)丁的檢查和修復(fù)。當(dāng)檢查到終端沒有部署必須的補(bǔ)丁的時(shí)候，終端安全管控系統(tǒng)可通過部署在隔離區(qū)的補(bǔ)丁服務(wù)器協(xié)助終端快速完成補(bǔ)丁的修復(fù)[4]。

4.2.3 檢查屏保設(shè)置

檢查終端主機(jī)的屏幕保護(hù)參數(shù)設(shè)置是否滿足安全策略的要求，包括是否啟用屏幕保護(hù)功能、是否啟用密碼保護(hù)功能以及屏幕保護(hù)啟動(dòng)時(shí)間，當(dāng)不滿足是可自動(dòng)修復(fù)。

4.2.4 檢查文件共享

檢查文件共享策略能夠降低無序共享導(dǎo)致信息泄密或惡意攻擊的風(fēng)險(xiǎn)。如果終端主機(jī)的共享目錄則認(rèn)為用戶有違規(guī)行為，可通過終端安全管控的自動(dòng)修復(fù)功能取消共享。

4.2.5 檢查系統(tǒng)冗余賬號(hào)

系統(tǒng)冗余賬號(hào)往往容易成為黑客攻擊的目標(biāo)，終端安全管控系統(tǒng)通過檢查操作系統(tǒng)冗余賬號(hào)策略，能夠提醒終端用戶及時(shí)刪除系統(tǒng)冗余賬號(hào)，降低因系統(tǒng)冗余賬號(hào)帶來的安全風(fēng)險(xiǎn)。

除此之外，還要檢查主機(jī)端口、操作系統(tǒng)服務(wù)、軟件黑白名單和賬戶等安全。

4.3 終端用戶行為管理

終端安全管控系統(tǒng)提供基于終端用戶行為管理功能，通過規(guī)范用戶的行為來提高內(nèi)網(wǎng)安全管理的能力。

①監(jiān)控USB存儲(chǔ)設(shè)備：包括提供對(duì)USB允許/禁止/只讀的控制能力，提供USB存儲(chǔ)設(shè)備文件操作的監(jiān)控功能，提供USB存儲(chǔ)設(shè)備加密功能[5]；

②監(jiān)控非法外連：當(dāng)終端安全管控系統(tǒng)的客戶端探測(cè)到終端訪問外部網(wǎng)絡(luò)時(shí)，會(huì)阻斷終端的所有網(wǎng)絡(luò)訪問，并且記錄終端訪問外部網(wǎng)路事件；

③監(jiān)控終端資產(chǎn)變更：終端安全管控系統(tǒng)通過安裝在終端主機(jī)上客戶端采集軟硬件資產(chǎn)信息，并能跟蹤資產(chǎn)信息變化。包括操作系統(tǒng)、軟件清單、硬件清單、硬盤序列號(hào)和BIOS等信息[6]；

④監(jiān)控網(wǎng)絡(luò)應(yīng)用程序：終端安全管控系統(tǒng)能夠監(jiān)控終端主機(jī)網(wǎng)絡(luò)應(yīng)用程序的運(yùn)行狀態(tài)，攔截并禁止網(wǎng)絡(luò)應(yīng)用程序的啟動(dòng)，例如P2P軟件和網(wǎng)絡(luò)游戲等；

⑤監(jiān)控屏幕拷貝：監(jiān)控屏幕拷貝策略在執(zhí)行時(shí)能夠防止終端用戶通過截屏鍵截取屏幕，可有效避免信息通過截屏流失問題；

⑥監(jiān)控訪問站點(diǎn)：通過配置網(wǎng)站的URL禁止終端用戶訪問某些網(wǎng)站，可有效降低外部黑客網(wǎng)站對(duì)內(nèi)網(wǎng)滲透的可能性；

⑦監(jiān)控系統(tǒng)設(shè)備：終端安全管控系統(tǒng)具有監(jiān)控終端主機(jī)使用外部設(shè)備的功能。包括：支持啟用或禁用打印機(jī)、串行接口、并行接口、紅外接口、1394接口和藍(lán)牙接口等；

⑧監(jiān)控多網(wǎng)卡：為了降低安全威脅從一個(gè)網(wǎng)絡(luò)傳播到另一個(gè)網(wǎng)絡(luò)的風(fēng)險(xiǎn)，不允許一臺(tái)終端主機(jī)通過多塊網(wǎng)卡同時(shí)連接不同的網(wǎng)絡(luò)。監(jiān)控終端主機(jī)的網(wǎng)卡連接狀態(tài)和無線網(wǎng)卡，并提供禁用無線網(wǎng)卡功能；

⑨監(jiān)視文件操作：監(jiān)視終端用戶在終端主機(jī)的本地硬盤進(jìn)行的文件操作，包括文件的創(chuàng)建、復(fù)制、編輯、重命名和刪除；

⑩監(jiān)控光驅(qū)：監(jiān)控光驅(qū)策略支持禁用所有光驅(qū)和禁用刻錄光驅(qū)的寫功能，防止終端主機(jī)通過光驅(qū)設(shè)備泄露涉密信息。

5 結(jié)束語

通過終端安全管控系統(tǒng)的部署，探索了一套能夠解決"什么人能上網(wǎng)、什么機(jī)器能上網(wǎng)、上網(wǎng)的用戶有權(quán)做什么、用戶在網(wǎng)上都做了什么"這些在日常網(wǎng)絡(luò)安全管理中難于解決的問題的辦法，可實(shí)現(xiàn)了園區(qū)網(wǎng)內(nèi)部用戶身份的實(shí)名化、網(wǎng)絡(luò)接入的有序化、資源控制的區(qū)域化、安全管理的智能化、問題發(fā)現(xiàn)的前置化和防護(hù)措施的一體化，從而實(shí)現(xiàn)了網(wǎng)絡(luò)安全從被動(dòng)響應(yīng)到有預(yù)見性、主動(dòng)性的防御方式轉(zhuǎn)變。

[1]陳志慧.終端安全準(zhǔn)入與管理的技術(shù)策略探討[J].企業(yè)技術(shù)開發(fā),2013(10):56-57.

[2]黃 俊.大型企業(yè)計(jì)算機(jī)終端安全管理現(xiàn)狀與策略分析[J].科技信息,2013(11):99,136.

[3]楊國(guó)利,代 祥,毛悍東.內(nèi)網(wǎng)終端安全檢查與接入控制的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與應(yīng)用,2013(6):109-113.

[4]耿慶峰.終端安全建設(shè)在電力企業(yè)中的應(yīng)用[J].中國(guó)新通信, 2013(23):87-88.

[5]孟粉霞,王 越,雷 磊.統(tǒng)一終端安全管理系統(tǒng)在內(nèi)網(wǎng)中的分析及應(yīng)用[J].信息系統(tǒng)工程,2013(8)：70-71.

[6]王 銳.構(gòu)筑企業(yè)級(jí)終端安全管理平臺(tái)[J].電子技術(shù)與軟件工程,2013(15):197-198.

Construction of Campus Network Terminal Security Management and Control System

MA Liang
(Shijiazhuang Army Command College,Shijiazhuang Hebei 050084,China)

Starting with some existing hidden troubles in terminal security,with a view to the problems of who can access the network,which computer can access the network,what rights the online user has and what the online user has done,this paper analyses the terminal security management and control target,proposes the design concept of campus network terminal security management and control system.At the same time,this paper plans and develops the system in aspects of region,access control gateway,drainage rule,client and checking strategy,describes in detail the technical realization of access permission control,terminal health examination and terminal user behavior management,and proposes the suggestions on construction of campus network terminal security management and control system.

campus network;terminal;security;management and control;system

TP393

A

1008-1739（2014）22-64-4

定稿日期：2014-10-26