終端是組成網(wǎng)絡(luò)的基本單元，網(wǎng)絡(luò)終端安全已經(jīng)逐步成為整個(gè)信息安全的核心和底線。它們的安全與否對(duì)網(wǎng)絡(luò)自身的健康運(yùn)行有著深遠(yuǎn)的影響，同時(shí)也對(duì)單位業(yè)務(wù)的順利開展有著的重要作用。

那么，終端安全究竟受到哪些威脅？我們?nèi)绾尾拍艽蛟煲粋€(gè)整齊體系、統(tǒng)一管控的終端安全管理系統(tǒng)？這些成為當(dāng)前信息安全的最具挑戰(zhàn)性問題。

IPTV終端管理的主要功能是完成對(duì)IPTV終端的統(tǒng)一管理，實(shí)現(xiàn)終端的網(wǎng)絡(luò)配置、狀態(tài)和性能監(jiān)測(cè)、系統(tǒng)和業(yè)務(wù)配置、軟件版本和升級(jí)管理、故障診斷等功能。IPTV終端、網(wǎng)絡(luò)接口、管理服務(wù)器是組成IPTV終端管理的3個(gè)必備元素，如圖1所示。

IPTV終端管理的基本實(shí)現(xiàn)方式是管理服務(wù)器通過網(wǎng)絡(luò)接口協(xié)議，調(diào)用終端上的相應(yīng)功能，實(shí)現(xiàn)終端管理的具體功能。

圖1 IPTV終端管理結(jié)構(gòu)

終端：?jiǎn)挝恍畔踩∪酢暗拙€”

隨著單位IT基礎(chǔ)架構(gòu)的逐漸完善，單位信息安全防護(hù)的重心開始逐漸由邊界安全轉(zhuǎn)向內(nèi)網(wǎng)安全。越來越多的管理者都已經(jīng)發(fā)現(xiàn)內(nèi)網(wǎng)中的價(jià)值所在和攻擊發(fā)起，往往都在終端。終端安全已經(jīng)成為單位網(wǎng)絡(luò)安全防護(hù)的重中之重。

在單位的IT環(huán)境中，往往終端數(shù)量巨大，其形式多樣化、部署分散、不被重視、安全手段缺乏的現(xiàn)狀已成為信息安全體系的薄弱環(huán)節(jié)。權(quán)威統(tǒng)計(jì)數(shù)據(jù)表明，單位的安全損失有80%來自單位內(nèi)部，終端安全管控是重中之重。某知名制造單位的CIO曾經(jīng)訴苦道：“我們單位采用了最好的防火墻以及殺毒軟件。在內(nèi)網(wǎng)的管理上，也采用郵件監(jiān)控、端口封堵、URL過濾等技術(shù)。雖然這些對(duì)單位的安全性起到了很好的作用，可是面對(duì)上千臺(tái)內(nèi)網(wǎng)計(jì)算機(jī)的上網(wǎng)安全管理問題我真的是無從下手?！边@充分說明終端管理無論在重要性和操作難度上，都成為單位整體網(wǎng)絡(luò)安全的薄弱“底線”。

雖然終端資產(chǎn)的重要性級(jí)別通常低于網(wǎng)絡(luò)中的交換機(jī)、路由器等核心網(wǎng)絡(luò)設(shè)備以及各種業(yè)務(wù)主機(jī)和服務(wù)器，但終端數(shù)量眾多，而且是組織日常辦公和業(yè)務(wù)運(yùn)行的載體。如果終端安全受到威脅，即使網(wǎng)絡(luò)中的核心設(shè)備安然無恙，整個(gè)網(wǎng)絡(luò)的業(yè)務(wù)運(yùn)行也會(huì)受到嚴(yán)重影響。

目前，傳統(tǒng)安全廠商的產(chǎn)品很難真正實(shí)現(xiàn)對(duì)所有局域網(wǎng)內(nèi)的終端都實(shí)現(xiàn)一體化安全管理。原因有二：一是缺乏統(tǒng)一的網(wǎng)絡(luò)技術(shù)標(biāo)準(zhǔn)限制了終端安全產(chǎn)品對(duì)網(wǎng)絡(luò)設(shè)備的兼容性；二是各種新應(yīng)用和新攻擊層出不窮。

傳統(tǒng)的計(jì)算環(huán)境也在發(fā)生革命性變化。在日常運(yùn)營(yíng)中可以發(fā)現(xiàn)，在以數(shù)據(jù)中心為核心的IT環(huán)境中，應(yīng)用的核心引擎已經(jīng)向數(shù)據(jù)中心轉(zhuǎn)移。當(dāng)終端作為一種輕便的接入方式后，用戶通過桌面的各種應(yīng)用可以通過數(shù)據(jù)中心接入整個(gè)信息網(wǎng)絡(luò)系統(tǒng)，如 ERP、CRM、BOSS系統(tǒng)和計(jì)費(fèi)系統(tǒng)等。但傳統(tǒng)的安全體系架構(gòu)有一些致命性問題，如安全策略難以統(tǒng)一，而且桌面應(yīng)用過于強(qiáng)大。正是由于傳統(tǒng)桌面操作過于強(qiáng)大，每個(gè)員工又可以做很多額外工作，因此造成不確定性過高。

對(duì)于信息安全的實(shí)施與管理來說，控制終端、控制應(yīng)用是首要任務(wù)。在實(shí)際的單位IT環(huán)境中，信息安全的不確定性因素幾乎都是由人產(chǎn)生的，而人通過類似PC、手機(jī)、PDA等終端設(shè)備接入到信息系統(tǒng)的界面和接口主要設(shè)施。

六招打造牢固終端單位安全

信息安全是信息化社會(huì)的“底線”，而終端安全則是信息安全的“底線”。

如何保護(hù)這條最重要的安全底線？如何應(yīng)對(duì)當(dāng)前終端安全面臨的諸多困擾？顯然局部的、簡(jiǎn)單的、被動(dòng)的防護(hù)不足以解決問題。安全專家告訴我們，要想解決終端安全問題，一個(gè)好的思路是通過建設(shè)綜合終端與內(nèi)網(wǎng)安全管理體系，多管齊下，綜合防護(hù)。單位針對(duì)整體終端安全防護(hù)體系研制推出的終端與內(nèi)網(wǎng)安全管理系統(tǒng)，該系統(tǒng)的六大安全功能集群，相互配合，相互補(bǔ)充，形成一套組合拳，把對(duì)終端安全的各種威脅擊斃。

終端與內(nèi)網(wǎng)安全管理系統(tǒng)可以對(duì)內(nèi)部終端計(jì)算機(jī)進(jìn)行集中的安全保護(hù)、監(jiān)控、審計(jì)和管理，可自動(dòng)向終端計(jì)算機(jī)分發(fā)系統(tǒng)補(bǔ)丁，禁止重要信息通過外設(shè)和端口泄漏，防止終端計(jì)算機(jī)非法外聯(lián)，防范非法設(shè)備接入內(nèi)網(wǎng)，有效地管理終端資產(chǎn)等。終端與內(nèi)網(wǎng)安全管理系統(tǒng)可以與防火墻、漏洞掃描設(shè)備進(jìn)行聯(lián)動(dòng)，共同提供全網(wǎng)安全解決方案。

第一招，“桌面戒嚴(yán)”——桌面安全管理。桌面安全管理重點(diǎn)解決客戶端計(jì)算機(jī)桌面安全管理和行為的審計(jì)。該系統(tǒng)可以對(duì)客戶端的防病毒軟件的安裝、運(yùn)行以及病毒庫升級(jí)與否進(jìn)行管理，可以對(duì)用戶的文件、進(jìn)程和上網(wǎng)行為等進(jìn)行管理，并可以對(duì)客戶端計(jì)算機(jī)上的文件、應(yīng)用程序和上網(wǎng)行為等進(jìn)行詳細(xì)的審計(jì)，同時(shí)支持進(jìn)程白名單功能。桌面安全管理可以分為桌面安全管理和桌面行為審計(jì)兩個(gè)大的功能項(xiàng)。

第二招，“堵住漏洞”——漏洞掃描與補(bǔ)丁分發(fā)管理。該功能提供了網(wǎng)絡(luò)掃描與主機(jī)掃描兩種模式，內(nèi)置Nessus掃描引擎，也可以與市場(chǎng)上主流漏洞掃描設(shè)備進(jìn)行聯(lián)動(dòng)。掃描完成后可以根據(jù)掃描結(jié)果自動(dòng)對(duì)系統(tǒng)漏洞下發(fā)補(bǔ)丁并報(bào)警。而補(bǔ)丁分發(fā)管理主要完成客戶端的補(bǔ)丁檢測(cè)和安裝，強(qiáng)化客戶端自身健壯性。允許管理員自定義軟件分發(fā)，完成用戶自由系統(tǒng)的補(bǔ)丁管理?？梢赃h(yuǎn)程進(jìn)行軟件分發(fā)?？梢陨钊虢Y(jié)合對(duì)客戶端防病毒程序安裝和運(yùn)行情況的檢測(cè)，為安全接入管理系統(tǒng)提供授權(quán)認(rèn)證憑據(jù)。

第三招，“外設(shè)管控”——外設(shè)與接口管理。外設(shè)與接口管理主要對(duì)終端上的各種外設(shè)和接口進(jìn)行管理。終端與內(nèi)網(wǎng)安全管理系統(tǒng)可以禁用系統(tǒng)的外設(shè)和接口，防止用戶非法使用。在外部存儲(chǔ)設(shè)備的禁用方面，可以在禁止使用通用移動(dòng)存儲(chǔ)設(shè)備的同時(shí)，對(duì)經(jīng)過認(rèn)證的移動(dòng)存儲(chǔ)設(shè)備允許使用。

第四招，“出入防護(hù)”——安全接入管理和非法外聯(lián)監(jiān)控。系統(tǒng)對(duì)于非法進(jìn)入單位內(nèi)網(wǎng)的終端進(jìn)入及內(nèi)網(wǎng)合法終端的非法外聯(lián)訪問進(jìn)行監(jiān)控與管理。

在安全接入管理方面，系統(tǒng)可以通過監(jiān)聽和主動(dòng)探測(cè)等方式檢測(cè)內(nèi)部網(wǎng)絡(luò)中所有在線的主機(jī)，并判別在線主機(jī)是否是信任主機(jī)，然后對(duì)于探測(cè)到的非法主機(jī)，系統(tǒng)可以主動(dòng)阻止其訪問任何網(wǎng)絡(luò)資源，從而可保證非法主機(jī)不對(duì)網(wǎng)絡(luò)產(chǎn)生影響，無法有意或無意的對(duì)網(wǎng)絡(luò)進(jìn)行攻擊或者試圖竊密。在非法外聯(lián)監(jiān)控方面，系統(tǒng)主要解決發(fā)現(xiàn)和管理用戶非法自行建立通路連接非授權(quán)網(wǎng)絡(luò)的行為。通過非法外聯(lián)監(jiān)控的管理，可以防止用戶訪問非信任網(wǎng)絡(luò)資源，并防止由于訪問非信任網(wǎng)絡(luò)資源而引入安全風(fēng)險(xiǎn)或者導(dǎo)致信息泄密。

第五招，“資產(chǎn)保護(hù)”——內(nèi)網(wǎng)資產(chǎn)統(tǒng)計(jì)管理。系統(tǒng)可以自動(dòng)收集分析終端計(jì)算機(jī)的物理內(nèi)存、處理器類型、處理器速度、處理器個(gè)數(shù)、數(shù)學(xué)協(xié)處理器、總線類型等各種計(jì)算機(jī)硬件信息。系統(tǒng)可以通過組合查詢，報(bào)告硬件的各種信息，查詢可以基于硬件、存儲(chǔ)容量等多種關(guān)鍵字進(jìn)行。

同時(shí)，系統(tǒng)可以自動(dòng)收集分析終端計(jì)算機(jī)安裝的軟件信息，并通過多種條件進(jìn)行查詢和統(tǒng)計(jì)。系統(tǒng)智能實(shí)現(xiàn)自動(dòng)監(jiān)測(cè)系統(tǒng)軟硬件資產(chǎn)的變動(dòng)，記錄日志并可以產(chǎn)生報(bào)警，同時(shí)可以根據(jù)策略自主采用響應(yīng)措施，防止資產(chǎn)變更給客戶端或者網(wǎng)絡(luò)帶來更大的危害。

第六招，“終端遙控”——用戶權(quán)限管理和終端遠(yuǎn)程控制。終端與內(nèi)網(wǎng)安全管理系統(tǒng)的用戶和權(quán)限管理采用的是由美國國家標(biāo)準(zhǔn)協(xié)會(huì)提出的RBAC模型，即基于角色訪問控制模型。基于角色的訪問控制提供了一種簡(jiǎn)單靈活的訪問控制機(jī)制，只給角色分配權(quán)限，用戶通過成為角色的成員來獲得權(quán)限。這與過去系統(tǒng)中直接給用戶授權(quán)的管理模型相比更靈活方便。同時(shí)，管理人員可以通過控制臺(tái)遠(yuǎn)程取得客戶機(jī)的控制權(quán)，身臨其境般進(jìn)行操作。對(duì)于遠(yuǎn)端客戶機(jī)出現(xiàn)的問題，管理人員能夠即時(shí)、方便的解決。在遠(yuǎn)程維護(hù)或者遠(yuǎn)程操作業(yè)務(wù)系統(tǒng)中發(fā)揮多方面的作用。

終端管理是IPTV技術(shù)中一個(gè)重要的研究領(lǐng)域，IPTV終端和業(yè)務(wù)的復(fù)雜性使得對(duì)IPTV終端的有效管理成為保障IPTV業(yè)務(wù)質(zhì)量的一個(gè)必備條件，因此IPTV終端管理從一開始就是業(yè)界一個(gè)重要的研究課題。

由于IPTV是一項(xiàng)基于互聯(lián)網(wǎng)的業(yè)務(wù)，因此其終端形式多樣并且具備很高的智能性，不僅有基于SOC架構(gòu)的機(jī)頂盒，基于智能芯片的智能終端，還有基于X86架構(gòu)的類似于個(gè)人電腦的機(jī)頂盒。同時(shí)，IPTV業(yè)務(wù)是一項(xiàng)智能性、互動(dòng)性很高的業(yè)務(wù)，種類多樣，邏輯復(fù)雜，由于其采用互聯(lián)網(wǎng)技術(shù)，對(duì)私密性、安全性有很高的要求。IPTV終端和業(yè)務(wù)的復(fù)雜性使得對(duì)IPTV終端的有效管理成為保障IPTV業(yè)務(wù)質(zhì)量的一個(gè)必備條件，但是也對(duì)終端管理提出了很高的要求，因此IPTV終端管理從一開始就是業(yè)界一個(gè)重要的研究課題。

DSL Forum終端管理模型

DSL Forum的終端管理模型如圖2所示，它確定了BOSS、ACS、DSLAM、家庭網(wǎng)關(guān)、終端設(shè)備的整體模型，被業(yè)界廣泛引用。

HGI

HGI規(guī)定的技術(shù)實(shí)現(xiàn)方式特點(diǎn)是，在架構(gòu)和遠(yuǎn)程管理協(xié)議方面全面采用DSL Forum技術(shù)體制，同時(shí)對(duì)家庭網(wǎng)關(guān)的功能進(jìn)行了額外的規(guī)定，增加了本地管理的使用場(chǎng)景，并定義該接口在本地采用HTTP+HTML方式（如圖3所示），遠(yuǎn)程采用DSL Forum規(guī)定的方式（如圖4所示）。

圖2 DSLForum終端管理結(jié)構(gòu)

圖3 HGI終端管理結(jié)構(gòu)

圖4 ATIS終端管理結(jié)構(gòu)

單位內(nèi)網(wǎng)的安全性問題

由于IPTV終端管理的高優(yōu)先級(jí)、配置和診斷等特殊功能，因此終端管理必須具備很高的安全性保障。而終端管理系統(tǒng)由于終端規(guī)模巨大，導(dǎo)致必須分層組網(wǎng)，為保證系統(tǒng)性能和支持大規(guī)模升級(jí)，必須簡(jiǎn)化交互過程、降低協(xié)議的復(fù)雜度，以減輕系統(tǒng)負(fù)擔(dān)，同時(shí)IPTV使用基于互聯(lián)網(wǎng)技術(shù)的IP網(wǎng)絡(luò)，終端具備很高智能和復(fù)雜性，對(duì)安全性的保障，如使用安全協(xié)議、加密算法等業(yè)務(wù)安全措施，勢(shì)必造成管理協(xié)議復(fù)雜度的進(jìn)一步提高，如何在降低負(fù)擔(dān)與安全保障之間尋找平衡點(diǎn)一直是IPTV終端管理的難題。

結(jié)語

IPTV終端管理是IPTV業(yè)務(wù)系統(tǒng)中不可缺少的一部分，對(duì)IPTV終端管理技術(shù)的研究也在不斷深入。隨著IPTV業(yè)務(wù)的迅速發(fā)展和用戶規(guī)模的不斷擴(kuò)大。對(duì)IPTV終端管理技術(shù)也提出了新的要求，后續(xù)對(duì)于IPTV終端管理技術(shù)的研究，將面向?qū)嶋H的部署和實(shí)施，包括安全性、大規(guī)模組網(wǎng)、業(yè)務(wù)配置等方面，這些都影響著單位業(yè)務(wù)的順利進(jìn)行。