王 健，柳廣鵬，陳偉杰

（國家電網(wǎng)有限公司技術學院分公司，山東 濟南 250002）

0 引言

實訓機房是高校、培訓機構學生學員學習理論知識與實踐實操的公共場所[1]，也是教師與培訓師上課、指導實驗的重要平臺。隨著高校教學模式轉(zhuǎn)變與信息化技術不斷革新，實訓機房在高校中的應用越來越廣泛，如很多教學、科研、培訓、競賽、考試等重要項目都要在實訓機房里完成。隨著實訓機房需求量的增大，用于實訓機房建設的投入增加。部分高校實訓機房最初的網(wǎng)絡接入架構不具有較好的擴展性，大部分實訓平臺需要將實訓機房桌面終端直接接入辦公網(wǎng)絡，對辦公網(wǎng)絡具有一定的安全威脅。部分高校實訓機房采用老舊終端還原方式，無其他防護手段，無法保證終端安全性并且不便于統(tǒng)一管理，存在較大的網(wǎng)絡安全隱患[2]。一旦病毒接連爆發(fā)，會引起諸多終端安全事件[3]，對實訓機房管理終端安全造成嚴重威脅[4]。

統(tǒng)計數(shù)據(jù)顯示，2019年上半年平均每周約23%的企業(yè)發(fā)生過終端木馬病毒感染事件，83%的企業(yè)終端至少存在一個未修復高危漏洞。究其根本存在企業(yè)終端操作系統(tǒng)版本較低，安全維護成本較高，不能及時安裝補丁等客觀因素，結果是企業(yè)終端病毒感染頻發(fā)[5]。在實訓網(wǎng)絡中，因終端加固普遍缺失并且邊界安全防護不到位，若無意間通過U盤等方式傳播病毒，將在此類網(wǎng)絡中快速擴散，嚴重威脅網(wǎng)絡的安全性。本文從網(wǎng)絡安全角度出發(fā)，針對實訓室機房面臨的網(wǎng)絡安全問題，建立實訓桌面終端統(tǒng)一管控模式，實現(xiàn)了實訓桌面終端統(tǒng)一更新病毒庫、統(tǒng)一策略分發(fā)、軟件更新、資產(chǎn)管理、終端審計等功能，減少了實訓桌面終端的日常運維工作量，提高了實訓桌面終端的安全性和運維效率。

1 實訓機房桌面終端網(wǎng)絡安全威脅

實訓機房網(wǎng)絡系統(tǒng)龐大，如不具備較強的安全管控手段，在組織大型培訓、考試過程中，會出現(xiàn)終端藍屏、勒索病毒傳播等事件，且傳播速度較快，導致培訓、考試過程中斷，并嚴重威脅辦公網(wǎng)絡安全。原實訓機房網(wǎng)絡拓撲如圖1所示。

圖1 原實訓機房網(wǎng)絡拓撲圖

由圖1可見，實訓網(wǎng)絡與內(nèi)部辦公網(wǎng)絡僅通過防火墻進行隔離，無其他安全監(jiān)測與防護手段。對于內(nèi)部辦公網(wǎng)絡來說，實訓網(wǎng)絡范圍廣，人員流動性較大，屬于不可信網(wǎng)絡。若實訓網(wǎng)絡出現(xiàn)信息安全事件，將直接影響辦公網(wǎng)絡安全。實訓室網(wǎng)絡具體存在的安全隱患有：

1）實訓桌面操作系統(tǒng)版本不統(tǒng)一，涉及種類較多，如Win7、Win10、Win XP等，無法有效做好版本控制，安全漏洞無法及時有效進行修復。

2）實訓網(wǎng)絡并發(fā)能力差。部分實訓室桌面終端使用HUB互聯(lián)，對于統(tǒng)一下發(fā)策略與軟件更新，網(wǎng)絡并發(fā)能力影響較大。

3）實訓室配備老舊硬件還原卡或軟件還原卡，這些還原卡只提供傳統(tǒng)還原功能，無法增量系統(tǒng)軟件、補丁或策略。當需要對終端進行軟件與系統(tǒng)更新時，需逐臺手動切換每臺終端至開放模式，更新完成后再手動切換每臺終端至保護模式，工作量較大，缺少統(tǒng)一還原卡控制節(jié)點。

4）實訓終端部署實訓桌面與考試桌面雙系統(tǒng)，考試桌面系統(tǒng)采用自動獲取IP地址方式接入辦公網(wǎng)，實訓桌面配置靜態(tài)私網(wǎng)地址用于培訓教學。但實訓桌面也可通過手動配置自動獲取IP地址方式接入辦公網(wǎng)，從而導致非法接入事件的發(fā)生。

5）實訓桌面終端殺毒軟件更新不及時，實訓終端的防病毒軟件為個人免費版本，無法及時連接互聯(lián)網(wǎng)進行病毒庫更新，若終端遭受惡意攻擊和新型病毒感染，無法通過有效手段及時發(fā)現(xiàn)與阻斷。

6）實訓桌面終端無法實現(xiàn)補丁修復，大部分實訓桌面系統(tǒng)默認已關閉或刪除Windows update服務，無法進行系統(tǒng)補丁修復，導致終端中存在大量未修復漏洞，安全隱患較大。

7）無法實現(xiàn)準入控制、非法外聯(lián)監(jiān)測、安全基線核查、補丁管理、病毒查殺、移動存儲管理、主機防火墻、終端審計、軟件分發(fā)、資產(chǎn)管理等功能，不能有效進行統(tǒng)一安全管控。在考試前需人工對每臺終端進行病毒查殺、補丁修復與軟件安裝，工作量較大。

針對上述問題，實訓室亟需進行網(wǎng)絡安全改造，實現(xiàn)對實訓桌面終端準入檢查、病毒查殺、補丁安裝、安全基線核查等，并實時監(jiān)控終端運行狀態(tài)，使實訓桌面終端處于較安全狀態(tài)，提高實訓桌面終端安全穩(wěn)定性，間接保障辦公網(wǎng)絡的安全穩(wěn)定。

2 網(wǎng)絡安全架構優(yōu)化與技術應用

實訓機房暴露的安全問題具有普遍性，同時又有一定的特殊性。針對每一項具體的安全問題，結合實訓機房具體情況，經(jīng)過反復論證與實踐，提出了有效的安全保障措施。

1）統(tǒng)一實訓桌面終端操作系統(tǒng)版本，完全棄用Windows XP系統(tǒng)，根據(jù)不同實訓室的終端硬件配置Win7 sp1旗艦版或Win10專業(yè)版，并保持原版操作系統(tǒng)功能及服務。在滿足教學培訓及考試要求的同時，確保能夠統(tǒng)一進行自動化補丁安裝、系統(tǒng)安全配置等操作。

2）改造實訓室內(nèi)部網(wǎng)絡，撤除HUB，統(tǒng)一將實訓室桌面終端接入本實訓室網(wǎng)絡交換機，實現(xiàn)終端策略與數(shù)據(jù)快速分發(fā)。

3）更換實訓桌面終端老舊軟硬件還原卡，統(tǒng)一使用新版硬件還原卡。只需將新版還原卡插入終端主機，并配置操作系統(tǒng)驅(qū)動，即可實現(xiàn)一次部署、多次使用。新版還原卡提供統(tǒng)一管控功能，不僅可以實現(xiàn)操作系統(tǒng)增量還原功能，還可以實現(xiàn)計算機名按序設置及操作系統(tǒng)IP統(tǒng)一設置。還原卡主控端提供對被控端的統(tǒng)一控制，包括統(tǒng)一切換保護模式與開放模式，統(tǒng)一喚醒、關機、重啟，封禁U盤，廣播教學等，符合實訓室管理與教學要求，為建立實訓桌面終端管理流程提供技術支持。

4）部署內(nèi)網(wǎng)安全風險管理與審計系統(tǒng)（以下簡稱“管控系統(tǒng)”），實訓桌面終端系統(tǒng)中安裝管理客戶端，形成C/S架構部署，對實訓桌面終端實現(xiàn)準入控制、非法外聯(lián)監(jiān)測、安全基線核查、補丁管理、病毒查殺、移動存儲管理、主機防火墻、終端審計、軟件分發(fā)、資產(chǎn)管理等功能。

對已安裝管理客戶端的實訓桌面終端進行注冊，采用樹形組織與部門結構，有效進行資產(chǎn)管理。管控系統(tǒng)服務器端配置安全基線核查策略，若實訓終端存在未安裝必需軟件、系統(tǒng)密碼強度不符合要求、未安裝必要補丁等情況，或出現(xiàn)實訓桌面系統(tǒng)設置為自動獲取IP地址，但未進行桌面終端注冊的情況，管控系統(tǒng)根據(jù)安全基線策略及軟件安裝準入策略，配合各實訓室網(wǎng)絡交換機802.1x準入?yún)f(xié)議自動禁止其接入網(wǎng)絡，確保不發(fā)生“帶病入網(wǎng)”和非法接入事件。管控系統(tǒng)準入認證過程如圖2所示。

圖2 管控系統(tǒng)準入認證過程

5）管控系統(tǒng)可以對移動存儲設備進行授權及審計，只允許授權設備接入實訓桌面終端，可最大程度杜絕移動設備病毒傳播。管理客戶端具備防病毒軟件及主機防火墻的功能，并可通過服務器端進行病毒庫更新。若終端發(fā)生惡意攻擊、病毒感染等事件，管理客戶端可自動進行查殺與阻斷，并回傳數(shù)據(jù)到服務器，及時告警，后臺管理員可快速進行處置。

6）管控系統(tǒng)具備補丁的下發(fā)安裝功能。服務器端自動匯總實訓桌面終端缺失補丁詳細信息，后臺管理員只需在服務器中導入相應補丁，并配置相應的下發(fā)策略。在實訓桌面終端開機并連接到管控系統(tǒng)的情況下，自動進行補丁安裝，可在短時間內(nèi)完成桌面終端加固。

7）新版還原卡與管控系統(tǒng)相互配合。使用還原卡主控端統(tǒng)一打開實訓終端開放模式，利用管控系統(tǒng)服務器端下發(fā)策略進行客戶端病毒查殺、病毒庫更新、補丁修復等工作，完成后再利用還原卡主控端統(tǒng)一打開實訓終端保護模式，將已加固完成的操作系統(tǒng)進行保存，增加實訓終端的可控性與安全性，減少實訓終端運維管理的工作量。

通過部署安全風險管理與審計系統(tǒng)、完善實訓桌面操作系統(tǒng)功能、配置增量還原卡、提高網(wǎng)絡并發(fā)能力等具體舉措，形成完整的實訓桌面終端加固方案，實現(xiàn)實訓桌面終端高效運維的工作流程，大大提高實訓桌面的安全性和運維效率。

3 實訓機房桌面終端統(tǒng)一安全管控模式應用成效

通過實訓桌面終端統(tǒng)一安全管控模式探索與應用，實現(xiàn)實訓桌面終端統(tǒng)一更新病毒庫、統(tǒng)一策略分發(fā)、軟件更新、資產(chǎn)管理、終端審計等功能，提升了安全防護水平，減少了IT運維工作的投入，全面實現(xiàn)信息化技術監(jiān)管。安全加固后的實訓機房網(wǎng)絡拓撲如圖3所示。

圖3 安全加固后實訓機房網(wǎng)絡拓撲圖

由圖3可見，實訓機房經(jīng)過安全加固后，主要有以下成效：

1）網(wǎng)絡邊界安全。在實訓網(wǎng)絡與辦公網(wǎng)絡邊界添加入侵防御（IPS）設備，監(jiān)測進入辦公網(wǎng)絡的流量，攔截惡意流量，進一步提高邊界安全性。

2）實訓桌面終端安全性。實訓桌面終端使用原版微軟系統(tǒng)，可杜絕系統(tǒng)自帶流氓軟件，新版還原卡與管控系統(tǒng)相互配合，對實訓桌面終端進行設備準入檢查、病毒查殺、補丁安裝、安全基線核查等。實時監(jiān)控終端運行狀態(tài)，使實訓終端保持較安全狀態(tài)，提高實訓終端的安全性，間接保障辦公網(wǎng)絡的安全穩(wěn)定。

3）實訓桌面終端運維管理。病毒查殺、補丁安裝等工作由服務器下發(fā)策略，客戶端自動執(zhí)行。實訓機房桌面終端也可由每個實訓機房的主控端進行統(tǒng)一控制，無需對每臺實訓終端進行操作，減少運維操作工作量，提高運維效率。

4）提高培訓教學效率。實訓桌面終端教師機安裝新版還原卡主控端，主控端提供電子教室、文件共享、遠程控制等功能，可直接用于培訓教學，無需使用其他破解版電子教室軟件，提高培訓教學效率。

4 結語

本文探索實訓桌面終端網(wǎng)絡安全管理模式，建設實訓桌面終端統(tǒng)一安全管控平臺，制定實訓桌面終端網(wǎng)絡安全提升管理辦法，實現(xiàn)了實訓終端資產(chǎn)信息、安全配置和用戶行為的集中化、統(tǒng)一化、主動化管理，達到了對實訓終端統(tǒng)一安全管理、統(tǒng)一安全策略和統(tǒng)一安全審計的效果。該模式不僅提高了實訓桌面終端運維效率，而且降低了實訓終端接入辦公網(wǎng)絡存在的各種安全風險。面對日益增多的高級可持續(xù)威脅攻擊（APT）及0day漏洞攻擊，安全防護體系由靜態(tài)向動態(tài)、由被動向主動的轉(zhuǎn)變將是下一步研究的方向。