吳承坤

摘 要：隨著技術(shù)的發(fā)展，各種攻擊手段越來越高明，人們把外圍的封堵越做越復(fù)雜，相應(yīng)投入到開發(fā)、管理、維護(hù)的費(fèi)用也越來越高，然而實(shí)際的收效卻不盡如人意?？梢?，傳統(tǒng)的安全手段暴露出其局限性，已經(jīng)不能完全適應(yīng)當(dāng)前信息系統(tǒng)的安全需求。產(chǎn)生這種局面的根源在于不去控制安全問題發(fā)生的源頭—主機(jī)終端。從組成信息系統(tǒng)的服務(wù)器、網(wǎng)絡(luò)、主機(jī)終端三個(gè)層面上來看，現(xiàn)有的保護(hù)手段是逐層遞減的，這說明人們往往把過多的注意力放在對(duì)服務(wù)器和網(wǎng)絡(luò)的保護(hù)上，而忽略了對(duì)終端安全的保護(hù)。

關(guān)鍵詞：終端；安全；架構(gòu)；管理方法

終端往往是創(chuàng)建和存放重要數(shù)據(jù)的源頭，而且絕大多數(shù)的攻擊事件都是從終端發(fā)起的。如果信息系統(tǒng)中每一個(gè)使用者都是經(jīng)過授權(quán)和認(rèn)證的，其操作都是符合安全策略的規(guī)定，那么攻擊性事件就會(huì)大大降低，就能有效保證整個(gè)信息系統(tǒng)安全。因此，只有立足于主機(jī)終端，從終端安全管控入手，才能更好解決信息系統(tǒng)整體安全問題。通過對(duì)終端安全事件的追溯與研究，我們發(fā)現(xiàn)，終端安全主要由以下幾個(gè)方面引起的：一是終端資產(chǎn)管理問題，資產(chǎn)的識(shí)別和清算已經(jīng)成為信息安全管理的基礎(chǔ)，傳統(tǒng)上通常采用人工報(bào)備的資產(chǎn)管理方式。這種方式不但工作量大、信息收集不夠準(zhǔn)確全面，而且常常需要重復(fù)勞動(dòng)，無法提高安全管理部門的工作效率，滿足不了大型信息系統(tǒng)的細(xì)粒度資產(chǎn)管理需求。二是終端設(shè)備運(yùn)維管理問題，承載各種業(yè)務(wù)系統(tǒng)、應(yīng)用軟件和數(shù)據(jù)庫的服務(wù)器、終端以及網(wǎng)絡(luò)設(shè)備已經(jīng)成為保障業(yè)務(wù)系統(tǒng)正常運(yùn)轉(zhuǎn)的基礎(chǔ)設(shè)施。在整個(gè)網(wǎng)絡(luò)中，這些基礎(chǔ)設(shè)施設(shè)備必須進(jìn)行整體管理與監(jiān)控，發(fā)現(xiàn)異常立即報(bào)警已經(jīng)成為了避免系統(tǒng)性風(fēng)險(xiǎn)的必要技術(shù)手段。三是外設(shè)管理問題隨著U盤、光盤、無線、藍(lán)牙等外設(shè)的廣泛使用，外部設(shè)備已經(jīng)成為數(shù)據(jù)交換的主要途徑，與此同時(shí)也成為近幾年數(shù)據(jù)泄密、病毒感染的主要途徑。其中移動(dòng)存儲(chǔ)因其體積小、容量大、價(jià)格低、攜帶方便的特性，在日常工作中發(fā)揮著重要作用，但它為工作提供便利的同時(shí)，也為信息安全帶來了極大隱患，甚至已經(jīng)造成了非常嚴(yán)重的后果。已經(jīng)感染病毒、木馬的優(yōu)盤隨意插入終端、內(nèi)部存有敏感數(shù)據(jù)的移動(dòng)介質(zhì)毫無保護(hù)地拿到外部使用，都給內(nèi)部安全管理帶來極大的挑戰(zhàn)。

一、解決思路

要解決上面提出的終端系統(tǒng)存在的安全問題，在解決思路上我們要以安全管理為核心，安全技術(shù)為基礎(chǔ)。安全管理必須從實(shí)際管理需求出發(fā)，形成對(duì)安全管理、監(jiān)測(cè)、響應(yīng)、防護(hù)的工作閉環(huán)，形成對(duì)終端安全狀態(tài)、行為、安全事件全面監(jiān)測(cè)能力，實(shí)現(xiàn)對(duì)安全威脅和風(fēng)險(xiǎn)的分析、預(yù)判，事件的防護(hù)和控制，有效支撐安全管理工作需求，提供完整的安全管理解決方案和可操作的落地產(chǎn)品，幫助安全管理員有效監(jiān)控終端安全狀況，做出正確的安全決策。

針對(duì)移動(dòng)存儲(chǔ)介質(zhì)的使用現(xiàn)狀，在管理上，要制定完善的制度，實(shí)現(xiàn)對(duì)移動(dòng)存儲(chǔ)介質(zhì)的注冊(cè)管理要求，包括：登記、清點(diǎn)、責(zé)任人和責(zé)任部門等。在技術(shù)上要完成對(duì)移動(dòng)存儲(chǔ)介質(zhì)注冊(cè)、使用權(quán)限、操作內(nèi)容的檢測(cè)、控制和審計(jì)，對(duì)違規(guī)行為進(jìn)行相應(yīng)的阻斷和告警。整體以管理為核心，以技術(shù)為基礎(chǔ)，實(shí)現(xiàn)對(duì)移動(dòng)存儲(chǔ)介質(zhì)在管轄區(qū)域內(nèi)全生命周期的安全管理要求。

二、解決方法

終端安全監(jiān)管防護(hù)系統(tǒng)的目標(biāo)是實(shí)現(xiàn)終端計(jì)算機(jī)設(shè)備、安全事件統(tǒng)一管理，完成安全策略的統(tǒng)一配置，在功能上實(shí)現(xiàn)對(duì)設(shè)備、補(bǔ)丁、進(jìn)程、服務(wù)、運(yùn)維等安全要素的監(jiān)控，保證內(nèi)部數(shù)據(jù)安全，實(shí)現(xiàn)基于軟件標(biāo)簽技術(shù)實(shí)現(xiàn)對(duì)網(wǎng)內(nèi)的USB移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行統(tǒng)一注冊(cè)管理、權(quán)限控制和審計(jì)功能，可對(duì)違規(guī)使用移動(dòng)存儲(chǔ)介質(zhì)行為進(jìn)行智能識(shí)別和告警。實(shí)現(xiàn)終端系統(tǒng)的全面安全防護(hù)和加固，保障內(nèi)部網(wǎng)絡(luò)安全。

2.1系統(tǒng)架構(gòu)

終端安全監(jiān)管防護(hù)系統(tǒng)采用B/S、C/S結(jié)合的架構(gòu)模式，系統(tǒng)主要由終端代理軟件、管理服務(wù)組成。管理服務(wù)通過WEB統(tǒng)一管理策略和展示結(jié)果，終端代理軟件執(zhí)行策略要求的任務(wù)并上報(bào)結(jié)果數(shù)據(jù)。

（1）數(shù)據(jù)采集單元

數(shù)據(jù)采集單元由安全檢查項(xiàng)數(shù)據(jù)采集模塊、安全運(yùn)維與監(jiān)測(cè)數(shù)據(jù)項(xiàng)采集模塊組成。數(shù)據(jù)采集單元是整個(gè)系統(tǒng)對(duì)終端信息安全狀況的采集點(diǎn)，實(shí)現(xiàn)主機(jī)安全管理系統(tǒng)所需安全元數(shù)據(jù)的采集和對(duì)設(shè)備、系統(tǒng)的安全項(xiàng)檢查。系統(tǒng)的可擴(kuò)充架構(gòu)設(shè)計(jì)使得其數(shù)據(jù)采集與執(zhí)行單元包含的內(nèi)容可以隨著以后終端信息安全需求的不斷增加而擴(kuò)充。

（2）管理控制中心

管控中心單元作為系統(tǒng)終端控制的決策中心主要負(fù)責(zé)對(duì)系統(tǒng)檢查、控制策略和分析策略的配置以及系統(tǒng)功能模塊的前線配置，通過安全策略指揮數(shù)據(jù)采集、執(zhí)行單元和分析、認(rèn)證單元進(jìn)行有序的工作；同時(shí)還是系統(tǒng)數(shù)據(jù)轉(zhuǎn)接中心，負(fù)責(zé)把采集、執(zhí)行單元上報(bào)的日志數(shù)據(jù)進(jìn)行初步規(guī)整、過濾處理后，存入數(shù)據(jù)庫，給分析、認(rèn)證單元提供分析和認(rèn)證處理的源數(shù)據(jù)。保障系統(tǒng)的有序業(yè)務(wù)工作和穩(wěn)定運(yùn)行。

（3）數(shù)據(jù)分析、認(rèn)證單元

數(shù)據(jù)分析、認(rèn)證單元單元整合控制執(zhí)行單元采集的數(shù)據(jù)，結(jié)合后端各個(gè)數(shù)據(jù)邏輯分析和認(rèn)證部件，實(shí)現(xiàn)對(duì)身份認(rèn)證、終端安全狀態(tài)評(píng)估、違規(guī)事件提醒以及相關(guān)終端全事件和安全趨勢(shì)的統(tǒng)計(jì)分析過程。分析處理單元的輸出數(shù)據(jù)進(jìn)入系統(tǒng)數(shù)據(jù)庫，通過網(wǎng)頁形式詳細(xì)展現(xiàn)，并通過短信、頁面提醒方式，第一時(shí)間多渠道通知相關(guān)人員，及時(shí)提醒其做好對(duì)安全事件的查處工作。

（4）Web前端單元

Web前端單元包含三個(gè)部分：系統(tǒng)安全業(yè)務(wù)信息查詢安全配置和運(yùn)維管理。信息展現(xiàn)網(wǎng)頁是人機(jī)交互單元的主要部分，承載系統(tǒng)要求的各個(gè)功能模塊的數(shù)據(jù)顯示與配置操作功能。任何接入管轄區(qū)域網(wǎng)絡(luò)的計(jì)算機(jī)均可以直接通過瀏覽器連接站點(diǎn)進(jìn)行訪問，查看系統(tǒng)提供的開放數(shù)據(jù)；同時(shí)系統(tǒng)管理人員可通過特權(quán)賬號(hào)加密碼方式登錄系統(tǒng)網(wǎng)站后臺(tái)進(jìn)行管理員和用戶權(quán)限配置和各個(gè)模塊的功能配置操作。

2.2要實(shí)現(xiàn)的功能

（1）設(shè)備管理

通過技術(shù)手段對(duì)管轄范圍內(nèi)的內(nèi)網(wǎng)設(shè)備進(jìn)行自動(dòng)發(fā)現(xiàn)和識(shí)別，可以不依賴申報(bào)備案，發(fā)現(xiàn)并智能識(shí)別網(wǎng)絡(luò)中的各種設(shè)備（計(jì)算機(jī)、服務(wù)器、音視頻設(shè)備、網(wǎng)絡(luò)設(shè)備等），同時(shí)提供對(duì)設(shè)備的注冊(cè)管理功能。

（2）終端管控

根據(jù)終端設(shè)備運(yùn)行環(huán)境的安全狀態(tài)，控制設(shè)備、系統(tǒng)以及軟件程序的安全操作和運(yùn)行情況，主要包括：外設(shè)控制、進(jìn)程控制、開關(guān)機(jī)控制、共享控制、痕跡清理。實(shí)現(xiàn)對(duì)設(shè)備以及系統(tǒng)安全操作和數(shù)據(jù)出入口的安全管理，對(duì)安全事件和風(fēng)險(xiǎn)進(jìn)行有效防護(hù)。

（3）安全檢查

系統(tǒng)內(nèi)置安全檢查模塊，實(shí)現(xiàn)對(duì)未安裝和運(yùn)行殺毒軟件、未打補(bǔ)丁，賬戶安全、共享安全、USB使用安全、上網(wǎng)痕跡、軟件安裝、進(jìn)程運(yùn)行情況的檢查，并且對(duì)這些安全檢查項(xiàng)數(shù)據(jù)進(jìn)行按區(qū)域和部門匯總統(tǒng)計(jì)，輔助安全管理員及時(shí)發(fā)現(xiàn)問題，處理安全事件。

（4）運(yùn)維監(jiān)測(cè)

系統(tǒng)內(nèi)置安全運(yùn)維監(jiān)測(cè)和分析模塊，實(shí)現(xiàn)對(duì)CPU異常、內(nèi)存異常、流量異常、應(yīng)用點(diǎn)擊異常、連接數(shù)異常的數(shù)據(jù)采集，通過異常建模和數(shù)據(jù)關(guān)聯(lián)分析，實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)異常的判斷，輔助管理員對(duì)進(jìn)行安全決策，保障核心設(shè)備運(yùn)行穩(wěn)定。

結(jié)語：對(duì)終端用戶的安全策略進(jìn)行統(tǒng)一管理，根據(jù)不同的用戶和功能配置和執(zhí)行不同安全策略，策略的靈活管理滿足了在線用戶、離線用戶、以及筆記本用戶的使用，確保安全的情況下不影響應(yīng)用。終端安全監(jiān)管防護(hù)系統(tǒng)建設(shè)完成后，能夠?qū)崿F(xiàn)終端的智能監(jiān)控與管理，為加強(qiáng)內(nèi)部信息網(wǎng)絡(luò)安全管理提供高效的管理工具。滿足終端安全管理需要。能夠形成日?；O(jiān)測(cè)機(jī)制，實(shí)現(xiàn)對(duì)內(nèi)部信息網(wǎng)終端的監(jiān)測(cè)與檢查，形成終端安全管理的常態(tài)化、日?；ぷ鳈C(jī)制。實(shí)現(xiàn)對(duì)移動(dòng)存儲(chǔ)設(shè)備的有效管控。做到內(nèi)部信息帶不走：系統(tǒng)實(shí)現(xiàn)了對(duì)移動(dòng)存儲(chǔ)介質(zhì)信息交換出口的嚴(yán)格監(jiān)控，杜絕重要信息外泄。外部信息進(jìn)不來：系統(tǒng)拒絕未注冊(cè)外部介質(zhì)任意在內(nèi)部網(wǎng)絡(luò)中使用，杜絕了內(nèi)外部的攻擊泄密。

參考文獻(xiàn)

[1]宋漢石.加強(qiáng)受理終端安全管理的探索和實(shí)踐 [J].金融電子化，2017，（04）

[2]李定川.維護(hù)單位網(wǎng)絡(luò)終端安全管理[J].網(wǎng)絡(luò)安全和信息化，2017，（10）

（作者單位：濮陽市公安局）