趙婷婷

摘要：隨著網(wǎng)絡(luò)技術(shù)應(yīng)用的不斷深入，網(wǎng)絡(luò)與信息安全發(fā)展進入全新時代，而網(wǎng)絡(luò)終端安全作為網(wǎng)絡(luò)的最基本安全防護策略之一，在網(wǎng)絡(luò)安全防護中具有相當重要的作用。本文以南京不動產(chǎn)統(tǒng)一登記為例，對網(wǎng)絡(luò)終端和用戶行為安全管理進行全面分析，實時檢測系統(tǒng)補丁和病毒庫版本，配置合理桌面安全策略管控用戶行為，實現(xiàn)網(wǎng)絡(luò)準入控制，結(jié)合用戶良好的信息安全意識和使用習(xí)慣，從一定程度上提高不動產(chǎn)統(tǒng)一登記數(shù)據(jù)安全防護水平，有效保護整個規(guī)劃資源網(wǎng)絡(luò)安全。

關(guān)鍵詞：網(wǎng)絡(luò)終端;用戶行為;網(wǎng)絡(luò)準入控制;安全防護;網(wǎng)絡(luò)安全

1主要挑戰(zhàn)

1.1內(nèi)部網(wǎng)絡(luò)面臨挑戰(zhàn)

攻擊方法日新月異，內(nèi)部安全防范任務(wù)艱巨，ARP欺騙與惡意插件泛濫問題，網(wǎng)絡(luò)釣魚等新的安全問題，內(nèi)網(wǎng)主機被植入木馬或其他惡意程序成為“肉雞”或“僵尸”，用以竊取內(nèi)網(wǎng)機密數(shù)據(jù)，或?qū)⑵渥鳛镈DOS（分布式拒絕服務(wù)攻擊）工具向外發(fā)送大量數(shù)據(jù)包，占用網(wǎng)絡(luò)帶寬;由于內(nèi)部網(wǎng)絡(luò)各平臺主機和設(shè)備沒有及時升級安全補丁和殺毒軟件病毒庫，給惡意入侵提供可乘之機，使得病毒和蠕蟲大規(guī)模爆發(fā)成為可能，導(dǎo)致內(nèi)網(wǎng)癱瘓;非法外聯(lián)難以控制，內(nèi)部重要機密信息容易泄露，內(nèi)部用戶誤將內(nèi)外網(wǎng)互聯(lián)，使得內(nèi)網(wǎng)資源暴露，攻擊或病毒乘機攻入，或通過移動終端等不受監(jiān)控的網(wǎng)絡(luò)通道將內(nèi)部機密信息泄露;便攜式計算機等移動設(shè)備經(jīng)常接入內(nèi)網(wǎng)使用，若管理不當，很有可能攜帶病毒或者木馬，未經(jīng)審查評估或安全測試就直接接入，將對內(nèi)網(wǎng)安全構(gòu)成巨大威脅;隨時更換計算機終端IP地址等配置，導(dǎo)致難于統(tǒng)一管理，出現(xiàn)安全事件難以定位責任主體;缺乏U盤、移動硬盤、光驅(qū)等外設(shè)的靈活管理手段，數(shù)據(jù)泄露、病毒傳播難以控制;管理制度缺技術(shù)手段保障，安全策略無法有效落實。盡管已經(jīng)制定安全管理制度，加強網(wǎng)絡(luò)安全意識培訓(xùn)，但只依靠人員的工作責任心和自覺性，無法有效杜絕問題，還需要依靠靈活實用的技術(shù)手段，保障管理制度政策的落實和嚴格執(zhí)行。

1.2傳統(tǒng)安全技術(shù)局限

隨著不動產(chǎn)業(yè)務(wù)形式不斷推廣，網(wǎng)絡(luò)邊界逐漸模糊，通過VPN、網(wǎng)閘等方式連接內(nèi)網(wǎng)成為可能，使得終端的信息濫用、誤用、惡意使用行為增加，傳統(tǒng)安全技術(shù)如防火墻、入侵檢測、防病毒等稍顯無力。對于防火墻、防病毒網(wǎng)關(guān)、網(wǎng)閘等用于網(wǎng)絡(luò)邊界訪問控制的網(wǎng)關(guān)防護產(chǎn)品，重點是防止外部病毒和外部攻擊，缺乏對內(nèi)部終端的攻擊防護;對于網(wǎng)絡(luò)入侵檢測、主機入侵檢測、安全審計等系統(tǒng)網(wǎng)絡(luò)審計產(chǎn)品，采用的監(jiān)測技術(shù)重點是發(fā)現(xiàn)和記錄攻擊、非法訪問等安全事件發(fā)生，需與其他安全產(chǎn)品聯(lián)動實現(xiàn)對攻擊行為的阻斷;現(xiàn)有安全解決方案的防御重點是外網(wǎng)攻擊，內(nèi)網(wǎng)保護基本依靠防病毒軟件，而防病毒軟件經(jīng)常出現(xiàn)被隨意卸載或禁用，病毒庫更新不及時等情況，安全體系存在很大缺陷，無法防止蠕蟲病毒利用漏洞傳播，無法限制內(nèi)網(wǎng)資源濫用，無法防止非法外聯(lián)行為。顯然，網(wǎng)絡(luò)終端安全管理是信息安全木桶原理中的短板，只有解決好基礎(chǔ)問題，才能提高整個網(wǎng)絡(luò)系統(tǒng)的堅固耐用性。

2網(wǎng)絡(luò)終端與用戶行為安全管理

2.1網(wǎng)絡(luò)安全現(xiàn)狀

南京規(guī)劃資源網(wǎng)絡(luò)系統(tǒng)遵循模塊化的設(shè)計思路，根據(jù)不同應(yīng)用系統(tǒng)的需求按照縱向分層、橫向分區(qū)的設(shè)計理念進行合理規(guī)劃。以不動產(chǎn)統(tǒng)一登記系統(tǒng)平臺所對應(yīng)的不同服務(wù)對象為依據(jù)進行區(qū)域劃分，區(qū)域間按照業(yè)務(wù)安全等級進行隔離防控，使不動產(chǎn)登記平臺更加具有可擴展性，業(yè)務(wù)流量更加清晰，運維管控更加便捷。

2.2安全管理需求

2.2.1支持多場景準入控制模式

不動產(chǎn)統(tǒng)一登記網(wǎng)絡(luò)終端及用戶遍布多個不同分中心、檔案館等，網(wǎng)絡(luò)接口如何防止非法電腦接入，檢測接入的電腦是否安全，并能夠適應(yīng)現(xiàn)有復(fù)雜的網(wǎng)絡(luò)環(huán)境，靈活行使準入控制策略。

2.2.2內(nèi)部數(shù)據(jù)防泄漏

不動產(chǎn)統(tǒng)一登記系統(tǒng)包含大量登記信息，而正常工作中又存在需要使用外聯(lián)設(shè)備的情況，需要靈活有效地防止終端用戶通過U盤、內(nèi)存卡等外傳泄露。

2.2.3終端安全合規(guī)性

避免辦公終端系統(tǒng)隨意安裝軟件、修改IP管理地址等不符合內(nèi)部安全管理規(guī)定的行為。

2.2.4終端統(tǒng)一運維

不動產(chǎn)登記網(wǎng)絡(luò)終端分布分散，需實現(xiàn)終端快速定位，軟硬件資產(chǎn)統(tǒng)計、統(tǒng)一管理，統(tǒng)一推送軟件，必要時對終端進行實時遠程協(xié)助等運維管理。

2.3管理方法實現(xiàn)探索

采用多層次的安全防護技術(shù)，從終端接入網(wǎng)絡(luò)之前開始，實現(xiàn)終端入網(wǎng)準入、終端安全加固、終端外設(shè)管控，保證接入內(nèi)網(wǎng)的終端都是合法、安全、可控的，阻斷不符合安全要求的終端接入。

2.3.1整體描述

不動產(chǎn)統(tǒng)一登記網(wǎng)絡(luò)終端配置安全管理客戶端助手，終端連接網(wǎng)絡(luò)端口即發(fā)送訪問請求，連接的網(wǎng)絡(luò)交換機端口變成UP狀態(tài)，觸發(fā)準入?yún)f(xié)議啟動工作。網(wǎng)絡(luò)交換機向終端發(fā)出認證啟動報文信息，終端回復(fù)報文進行響應(yīng)，直到完成準入?yún)f(xié)議的報文交互過程;本文方法將支持準入?yún)f(xié)議架構(gòu)的網(wǎng)絡(luò)交換機作為端口訪問認證器，負責與端口訪問請求終端進行通信，并將來自端口訪問請求終端的身份信息、安全狀態(tài)信息轉(zhuǎn)發(fā)至認證服務(wù)器進行驗證，并依據(jù)認證服務(wù)器下發(fā)的授權(quán)信息，對端口訪問請求終端進行授權(quán)，通過該端口訪問的網(wǎng)絡(luò)資源實現(xiàn)對其控制;認證服務(wù)器接收端口訪問請求終端的身份信息和安全狀態(tài)檢查信息，并將身份信息發(fā)送至目錄服務(wù)器進行驗證，依據(jù)目錄服務(wù)器返回的驗證結(jié)果，認證服務(wù)器選取對應(yīng)的授權(quán)信息，封裝至網(wǎng)絡(luò)交換機的回包中，完成對端口訪問請求終端可訪問網(wǎng)絡(luò)資源的授權(quán)。同時認證服務(wù)器將認證和授權(quán)信息寫入數(shù)據(jù)庫，用于準入控制審計;目錄服務(wù)器主要對收到的用戶名、密碼、數(shù)字證書等身份信息進行驗證，并將驗證結(jié)果返回給認證服務(wù)器。本文的安全管理方法將認

2.3.2準入認證方式

目前準入認證方式主要有策略路由、網(wǎng)關(guān)模式和802.1X三種方式。802.1X是一個國際標準，多廠商支持，管控力度高，結(jié)合不動產(chǎn)統(tǒng)一登記網(wǎng)絡(luò)現(xiàn)狀，在不改變現(xiàn)有網(wǎng)絡(luò)架構(gòu)、不影響網(wǎng)絡(luò)性能的基礎(chǔ)上，選擇802.1X準入認證。

2.3.3用戶行為管理

通過非授權(quán)外聯(lián)（U盤等）、無線網(wǎng)卡、藍牙禁用等基本桌面安全控制手段實現(xiàn)用戶行為管理，結(jié)合補丁管理、軟件分發(fā)、遠程協(xié)助、設(shè)備發(fā)現(xiàn)和拓撲展示，實現(xiàn)對不動產(chǎn)統(tǒng)一登記網(wǎng)絡(luò)終端和用戶行為安全管理控制。

2.3.4主備雙認證模式

為了實現(xiàn)更加可靠的網(wǎng)絡(luò)安全管理，采用主備雙認證服務(wù)器模式，當其中一臺服務(wù)器故障無法提供準入認證服務(wù)時，網(wǎng)絡(luò)交換機自動切換至備份服務(wù)器進行驗證，無須人工干預(yù)，保障網(wǎng)絡(luò)安全管理認證和授權(quán)功能的高可用性。當雙認證服務(wù)器都出現(xiàn)異常，網(wǎng)絡(luò)交換機會自動采取AAAnone逃生機制，自動放行所有終端，保證不出現(xiàn)大范圍網(wǎng)絡(luò)癱瘓、應(yīng)用中斷情況。

3總結(jié)與展望

本文以南京不動產(chǎn)登記終端管理為例，探索網(wǎng)絡(luò)終端與用戶行為安全管理方法，從終端接入網(wǎng)絡(luò)之前開始著手，實現(xiàn)終端入網(wǎng)準入、終端安全加固、終端外設(shè)管控，阻斷不符合安全要求的終端接入，確保授權(quán)接入的終端合法、安全、可控。結(jié)合各種行為管理策略，靈活有效地實現(xiàn)終端用戶行為管理，防止內(nèi)網(wǎng)用戶終端隨意連接互聯(lián)網(wǎng)，確保登記信息不從移動存儲外泄，保證數(shù)據(jù)安全。

參考文獻

[1]祖峰.計算機終端安全管理策略及應(yīng)用的研究[D].北京郵電大學(xué)，2008.

[2]楊大偉，鄭澎.終端安全管理系統(tǒng)提升運維效率[J].網(wǎng)絡(luò)安全和信息化，2017（3）：122-123.

[3]李峰，寧瑩，孫明，等.企業(yè)網(wǎng)絡(luò)用戶行為管理[C]//寧夏青年科學(xué)家論壇.2010.