張亮

摘? 要：在煙草行業(yè)信息產(chǎn)業(yè)規(guī)劃中，煙草網(wǎng)絡(luò)得到了廣泛建設(shè)使用。然而系統(tǒng)濫用、惡意訪(fǎng)問(wèn)等問(wèn)題的發(fā)生，都將導(dǎo)致網(wǎng)絡(luò)面臨較大安全威脅。基于此，本文結(jié)合煙草網(wǎng)絡(luò)終端安全管控問(wèn)題，提出采用DNS技術(shù)加強(qiáng)桌面終端安全系統(tǒng)建設(shè)，用于加強(qiáng)終端接入安全管理，確保企業(yè)IT資產(chǎn)管理水平得到提升，繼而為煙草業(yè)務(wù)的安全開(kāi)展提供保障。

關(guān)鍵詞：桌面終端安全系統(tǒng);煙草網(wǎng)絡(luò);安全管控

引言：在煙草行業(yè)信息化建設(shè)進(jìn)程不斷推進(jìn)的背景下，煙草網(wǎng)絡(luò)需要連接更多的桌面終端，面臨較大安全威脅。應(yīng)用桌面終端安全系統(tǒng)，能夠在保證終端安全的基礎(chǔ)上，滿(mǎn)足網(wǎng)絡(luò)安全管控要求，使煙草企業(yè)內(nèi)部安全隱患得到消除，繼而為煙草行業(yè)的數(shù)字化轉(zhuǎn)型提供保障。

1煙草網(wǎng)絡(luò)桌面終端安全管控問(wèn)題

伴隨著辦公自動(dòng)化進(jìn)程的不斷推進(jìn)，煙草網(wǎng)絡(luò)需要接入大量桌面終端。但由于未能建立網(wǎng)絡(luò)準(zhǔn)入管理制度，外來(lái)設(shè)備在插入墻上端口后無(wú)需通過(guò)驗(yàn)證就可以訪(fǎng)問(wèn)網(wǎng)絡(luò)資源，內(nèi)部人員也可以隨意進(jìn)行IP混用。其次，終端用戶(hù)普遍缺乏安全認(rèn)識(shí)，使用的內(nèi)部計(jì)算機(jī)較少設(shè)置開(kāi)機(jī)口令，用網(wǎng)也存在不規(guī)范情況，容易導(dǎo)致企業(yè)面臨敏感數(shù)據(jù)被切取的風(fēng)險(xiǎn)[1]。再者，煙草企業(yè)普遍未能建立統(tǒng)一終端管理機(jī)制，造成終端故障、隱患未能得到按時(shí)排查。此外，日常人員隨意在終端使用移動(dòng)存儲(chǔ)介質(zhì)，容易造成終端被木馬、病毒感染，使終端成為網(wǎng)絡(luò)攻擊的突破口。受這些因素影響，桌面終端成為了煙草網(wǎng)絡(luò)安全管控“短板”，成為了病毒主要攻擊對(duì)象，使得網(wǎng)絡(luò)面臨癱瘓風(fēng)險(xiǎn)。煙草網(wǎng)絡(luò)主要采用局域網(wǎng)，可以通過(guò)任何計(jì)算機(jī)的桌面終端連接網(wǎng)絡(luò)。為避免煙草企業(yè)機(jī)密信息因?yàn)榫W(wǎng)絡(luò)遭受入侵或攻擊而泄漏，還要完成桌面終端安全系統(tǒng)建設(shè)，用于加強(qiáng)終端接入網(wǎng)絡(luò)的安全管理。

2桌面終端安全系統(tǒng)在煙草網(wǎng)絡(luò)安全管控中的應(yīng)用

2.1系統(tǒng)架構(gòu)分析

桌面終端安全系統(tǒng)采用DNS技術(shù)，能夠?qū)崿F(xiàn)終端接入控制，滿(mǎn)足煙草網(wǎng)絡(luò)安全管控需求。從系統(tǒng)架構(gòu)上來(lái)看，可以采用C/S模式進(jìn)行各項(xiàng)信息監(jiān)控與收集，并采用B/S架構(gòu)實(shí)現(xiàn)安全管理功能。從總體上來(lái)看，系統(tǒng)包含客戶(hù)端、服務(wù)器和輔助應(yīng)用三大模塊。其中，客戶(hù)端模塊用于實(shí)現(xiàn)信息傳遞，確保服務(wù)器能夠與輔助應(yīng)用模塊完成信息上傳和下發(fā)。利用客戶(hù)端，系統(tǒng)可以進(jìn)行終端信息上報(bào)和執(zhí)行控制指令，完成主機(jī)合法授權(quán)檢測(cè)與控制。系統(tǒng)服務(wù)器能夠?qū)υO(shè)備資產(chǎn)、終端數(shù)據(jù)和安全策略進(jìn)行集中管理，利用網(wǎng)頁(yè)進(jìn)行各種系統(tǒng)模塊集成控制。服務(wù)器包含Web、數(shù)據(jù)庫(kù)和管理平臺(tái)，可以對(duì)用戶(hù)客戶(hù)端進(jìn)行管理。具體來(lái)講，就是通過(guò)設(shè)定IP權(quán)限設(shè)確保只有管理員能夠登陸管理頁(yè)面，為頁(yè)面操作安全提供保障。系統(tǒng)數(shù)據(jù)庫(kù)采用SQL，能夠?qū)τ脩?hù)信息、系統(tǒng)信息等各種信息進(jìn)行記錄和存儲(chǔ)。在數(shù)據(jù)庫(kù)中的數(shù)據(jù)無(wú)法匹配時(shí)，將發(fā)出預(yù)警，通知管理人員進(jìn)行處理[2]。輔助模塊需要根據(jù)系統(tǒng)具體應(yīng)用需求進(jìn)行功能開(kāi)發(fā)，如移動(dòng)設(shè)備認(rèn)證、終端補(bǔ)丁安裝等，能夠?yàn)橄到y(tǒng)安全管理實(shí)現(xiàn)提供輔助。

2.2系統(tǒng)應(yīng)用策略

應(yīng)用系統(tǒng)進(jìn)行煙草網(wǎng)絡(luò)安全管控，需要將桌面終端安全當(dāng)成是基礎(chǔ)，采取身份認(rèn)證、終端監(jiān)測(cè)等技術(shù)預(yù)防病毒入侵、資料泄露等問(wèn)題的發(fā)生。在桌面終端接入系統(tǒng)時(shí)，需要統(tǒng)一經(jīng)過(guò)注冊(cè)，填寫(xiě)身份信息。經(jīng)審核注冊(cè)成功后，登錄煙草網(wǎng)絡(luò)需要經(jīng)過(guò)身份認(rèn)證和安全檢查，在入網(wǎng)審核通過(guò)后接入內(nèi)網(wǎng)。采取該種措施，即便有外來(lái)設(shè)備通過(guò)企業(yè)內(nèi)部端口連接煙草網(wǎng)絡(luò)，也需要通過(guò)身份認(rèn)證才能成功入網(wǎng)，因此可以避免外來(lái)人員私自使用業(yè)務(wù)專(zhuān)網(wǎng)。為保證各桌面終端運(yùn)行安全，系統(tǒng)將會(huì)定期進(jìn)行終端軟硬件設(shè)備監(jiān)測(cè)，對(duì)客戶(hù)端統(tǒng)一安裝的軟硬件信息進(jìn)行自動(dòng)識(shí)別。對(duì)照系統(tǒng)數(shù)據(jù)庫(kù)中的數(shù)據(jù)，能夠確認(rèn)各桌面終端是否存在異常。利用系統(tǒng)進(jìn)行各桌面終端網(wǎng)絡(luò)異常流量監(jiān)測(cè)，能夠?qū)K端訪(fǎng)問(wèn)異常次數(shù)等情況進(jìn)行統(tǒng)計(jì)，有針對(duì)性的檢查員工終端設(shè)備使用情況，督促員工做到規(guī)范操作，降低終端入網(wǎng)風(fēng)險(xiǎn)[3]。在煙草網(wǎng)絡(luò)進(jìn)行升級(jí)改造時(shí)，系統(tǒng)可以統(tǒng)一進(jìn)行各桌面終端管控，自動(dòng)下發(fā)升級(jí)補(bǔ)丁，確保終端始終處于安全狀態(tài)。

2.3系統(tǒng)應(yīng)用分析

在系統(tǒng)功能實(shí)現(xiàn)上，可以在服務(wù)器上進(jìn)行DNS Shell程序安裝，在桌面終端提出訪(fǎng)問(wèn)請(qǐng)求時(shí)添加Tag指令，確認(rèn)域名符合要求后登陸網(wǎng)站，否則提示到Agent頁(yè)面下載終端。在登陸認(rèn)證上，利用Webservice接口將數(shù)據(jù)發(fā)送至SSO系統(tǒng)，利用賬號(hào)驗(yàn)證功能完成身份信息認(rèn)證。針對(duì)各終端，系統(tǒng)可以利用ARP技術(shù)完成安全探測(cè)，收集網(wǎng)絡(luò)拓?fù)湫畔?，并發(fā)送廣播包進(jìn)行流量異常監(jiān)測(cè)。通過(guò)Agent，可以對(duì)網(wǎng)絡(luò)環(huán)境流量進(jìn)行獲取，并對(duì)關(guān)鍵流量中的異常內(nèi)容進(jìn)行檢測(cè)，如權(quán)限獲取、病毒破壞等。發(fā)現(xiàn)問(wèn)題后，可以通過(guò)模仿ARP欺騙對(duì)客戶(hù)端訪(fǎng)問(wèn)進(jìn)行阻斷攔截。在系統(tǒng)補(bǔ)丁升級(jí)上，安裝客戶(hù)端軟件完成SP包和補(bǔ)丁等信息搜集，并反饋給DNS服務(wù)器實(shí)現(xiàn)自動(dòng)安裝，使系統(tǒng)漏洞得到修復(fù)[4]。從系統(tǒng)應(yīng)用效果來(lái)看，可以建立完整終端安全防護(hù)體系，實(shí)現(xiàn)終端運(yùn)營(yíng)維護(hù)管理，使煙草網(wǎng)絡(luò)邊界得到有效監(jiān)控。人員在系統(tǒng)提示下進(jìn)行身份認(rèn)證等操作，能夠得到安全管理意識(shí)培養(yǎng)，繼而使網(wǎng)絡(luò)安全管控水平得到提升。

結(jié)論：在煙草網(wǎng)絡(luò)安全管控方面，應(yīng)用桌面終端安全系統(tǒng)能夠加強(qiáng)終端接入管理，通過(guò)身份認(rèn)證后允許終端入網(wǎng)。利用系統(tǒng)安全監(jiān)測(cè)功能，可以加強(qiáng)終端安全狀態(tài)監(jiān)測(cè)，并通過(guò)補(bǔ)丁升級(jí)實(shí)現(xiàn)漏洞修復(fù)，繼而通過(guò)實(shí)現(xiàn)終端集中管控保證網(wǎng)絡(luò)安全。

參考文獻(xiàn)

[1] 胥強(qiáng).煙草行業(yè)工業(yè)網(wǎng)絡(luò)安全解決方案[J].自動(dòng)化博覽，2019（12）：78-80.

[2] 孟瑾，石懷忠，崔建華.基于煙草工控網(wǎng)絡(luò)安全防護(hù)策略與應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（12）：158-161.

[3] 黃馨漪.局域網(wǎng)計(jì)算機(jī)終端安全防護(hù)策略[J].科技創(chuàng)新與應(yīng)用，2020（17）：135-136.

[4] 裴志江.一種終端安全防護(hù)模型設(shè)計(jì)方法[J].現(xiàn)代電子技術(shù)，2020，43（09）：75-78.