常潤梅，孟利青

（1 內(nèi)蒙古電子信息職業(yè)技術(shù)學(xué)院，呼和浩特 010070；2 中國移動(dòng)通信集團(tuán)內(nèi)蒙古有限公司，呼和浩特 010020）

企業(yè)終端準(zhǔn)入控制與數(shù)據(jù)防泄密安全應(yīng)用

常潤梅1，孟利青2

（1 內(nèi)蒙古電子信息職業(yè)技術(shù)學(xué)院，呼和浩特 010070；2 中國移動(dòng)通信集團(tuán)內(nèi)蒙古有限公司，呼和浩特 010020）

企業(yè)級(jí)數(shù)據(jù)中心的數(shù)據(jù)是一個(gè)企業(yè)核心競爭力的重要體現(xiàn)，數(shù)據(jù)的安全性應(yīng)該被企業(yè)重視，利用終端準(zhǔn)入控制和數(shù)據(jù)防泄密技術(shù)提高企業(yè)安全管控能力。通過兩種技術(shù)結(jié)合方法與實(shí)踐，有效提高了企業(yè)數(shù)據(jù)的安全性。

數(shù)據(jù)安全；終端準(zhǔn)入；數(shù)據(jù)防泄密

隨著企業(yè)數(shù)據(jù)中心的快速發(fā)展，除了部門內(nèi)部員工，還有越來越多的第三方廠商人員需要參與到日常的系統(tǒng)維護(hù)和開發(fā)過程中。終端不僅數(shù)量多，而且來源復(fù)雜，流動(dòng)性大。這給日常的終端管理帶來了一定的困難，同時(shí)也對(duì)企業(yè)數(shù)據(jù)安全產(chǎn)生了極大的威脅。這些隱患主要體現(xiàn)在如下方面。

(1)由于缺乏技術(shù)和管理手段，許多終端安全管理規(guī)定難以落地。例如，將外部的電腦自行接入到數(shù)據(jù)中心，私自更改電腦的安全設(shè)置等行為。這些行為違反了數(shù)據(jù)中心的信息安全管理規(guī)定，也威脅到數(shù)據(jù)中心的信息安全，如果情況嚴(yán)重可能會(huì)導(dǎo)致網(wǎng)絡(luò)癱瘓，造成重大損失。

(2)廠商維護(hù)人員的迅速增加和流動(dòng)性使得安全管理面臨很大的挑戰(zhàn)。大型企業(yè)數(shù)據(jù)中心常駐的廠商維護(hù)人員大約200多人，還有一定數(shù)量的短期維護(hù)人員，這些人員經(jīng)常更替，他們的電腦也會(huì)隨時(shí)根據(jù)工作需要接入數(shù)據(jù)中心，從而給數(shù)據(jù)中心的信息安全帶來很大的威脅。

(3)部分廠商維護(hù)人員由于工作需要而能夠接觸到數(shù)據(jù)中心的敏感業(yè)務(wù)數(shù)據(jù)，隨著大量的終端接入數(shù)據(jù)中心和在終端上使用存儲(chǔ)設(shè)備或外設(shè)來存儲(chǔ)或傳輸數(shù)據(jù)，因此極易產(chǎn)生數(shù)據(jù)流失和泄漏的風(fēng)險(xiǎn)，例如通過U盤、光驅(qū)刻錄、紅外、藍(lán)牙、無線網(wǎng)卡等拷貝和發(fā)送數(shù)據(jù)。

因此，為進(jìn)一步提高數(shù)據(jù)中心的信息安全管控能力，在完善管理制度的基礎(chǔ)上，在技術(shù)上必須建立統(tǒng)一的終端準(zhǔn)入控制系統(tǒng)和數(shù)據(jù)防泄密體系，進(jìn)而提高終端的安全管控水平。

1 安全管控目標(biāo)

針對(duì)數(shù)據(jù)中心終端管理方面存在的安全風(fēng)險(xiǎn)，經(jīng)過調(diào)研和綜合分析，數(shù)據(jù)中心應(yīng)確立如下的終端安全管控目標(biāo)：

(1) 對(duì)所有接入數(shù)據(jù)中心的終端進(jìn)行網(wǎng)絡(luò)準(zhǔn)入控制，防止外來電腦或者不符合安全規(guī)定的電腦接入數(shù)據(jù)中心。

(2) 對(duì)所有接入數(shù)據(jù)中心的終端實(shí)施資產(chǎn)管理和控制。

(3)實(shí)時(shí)、動(dòng)態(tài)掌握接入數(shù)據(jù)中心內(nèi)終端的安全運(yùn)行狀況，為部署安全策略提供支持，為維護(hù)人員提供管理的便利性。

(4)建立終端的集中式快速安全管理體系，對(duì)數(shù)量眾多，最難以管理、監(jiān)控的桌面電腦建立完善的安全評(píng)估、安全加固、集中維護(hù)體系，以提高桌面電腦的安全性及降低桌面電腦的日常維護(hù)工作量。

(5)建立防泄密體系，強(qiáng)化對(duì)U盤和光盤等移動(dòng)存儲(chǔ)設(shè)備以及藍(lán)牙和紅外等無線外設(shè)的管理，對(duì)數(shù)據(jù)中心敏感數(shù)據(jù)進(jìn)行保護(hù)，防止各種渠道造成數(shù)據(jù)的泄漏。

(6)規(guī)范內(nèi)部人員和第三方廠商人員對(duì)數(shù)據(jù)的使用，建立以角色為基礎(chǔ)的保密體系，防范各類人員隨意使用數(shù)據(jù)而造成信息泄密。

2 安全管控策略與方案

2.1 終端準(zhǔn)入控制系統(tǒng)

部署終端準(zhǔn)入控制系統(tǒng)，防止外來或者不符合規(guī)定和安全策略的電腦接入數(shù)據(jù)中心訪問資源，對(duì)所有個(gè)人訪問數(shù)據(jù)中心的終端進(jìn)行資產(chǎn)管理和控制，實(shí)時(shí)、動(dòng)態(tài)掌握網(wǎng)絡(luò)整體安全狀況，建立實(shí)時(shí)安全評(píng)估體系。

數(shù)據(jù)中心的終端準(zhǔn)入控制系統(tǒng)基于Cisco EoU接入認(rèn)證，如圖1所示。

圖1 網(wǎng)絡(luò)準(zhǔn)入控制架構(gòu)

所有的移動(dòng)終端和臺(tái)式終端等設(shè)備在接入數(shù)據(jù)中心時(shí)，都需要安裝準(zhǔn)入認(rèn)證客戶端Agent并接受EoU接入認(rèn)證。未安裝客戶端Agent的終端設(shè)備接入數(shù)據(jù)中心時(shí)，將被拒絕接入；已安裝客戶端Agent的終端接入數(shù)據(jù)中心時(shí)，系統(tǒng)RADIUS服務(wù)器將首先對(duì)Agent所提供的用戶身份信息進(jìn)行認(rèn)證，認(rèn)證通過后才允許接入網(wǎng)絡(luò)，否則將不允許接入數(shù)據(jù)中心。

終端在接入數(shù)據(jù)中心時(shí)，準(zhǔn)入控制系統(tǒng)根據(jù)預(yù)先制定的準(zhǔn)入控制策略對(duì)終端進(jìn)行安全性檢查。終端接入網(wǎng)絡(luò)時(shí)檢查是否安裝數(shù)據(jù)中心中規(guī)定的防病毒軟件且是否為最新病毒庫；檢查客戶端系統(tǒng)是否啟用了Guest戶，是否有弱口令，是否存在可寫共享目錄，和未設(shè)權(quán)限的可讀目錄，如果存在以上問題，即視為不滿足準(zhǔn)入安全策略，將客戶端機(jī)器轉(zhuǎn)入“修復(fù)區(qū)”進(jìn)行安全隔離，同時(shí)通過Agent通知終端用戶被隔離的原因。對(duì)于符合準(zhǔn)入策略的終端，準(zhǔn)入控制系統(tǒng)將允許其接入數(shù)據(jù)中心。

由于本系統(tǒng)RADIUS服務(wù)器均采用雙機(jī)熱備的方式進(jìn)行部署，和接入認(rèn)證過程相關(guān)的設(shè)備和系統(tǒng)不存在單點(diǎn)故障，因此單臺(tái)設(shè)備的RADIUS服務(wù)異?；蛘邤嗑€不影響網(wǎng)絡(luò)準(zhǔn)入控制的使用。在特殊緊急情況下（例如雙機(jī)故障），系統(tǒng)管理員可以通過執(zhí)行腳本的方式，快速將網(wǎng)絡(luò)接入設(shè)置為“不設(shè)防”狀態(tài)，使得所有終端能夠正常接入網(wǎng)絡(luò)。通過上述手段，保障了準(zhǔn)入控制系統(tǒng)的高可用性。

基于Cisco NAC的EAP over UDP（EoU）網(wǎng)絡(luò)準(zhǔn)入控制，在接入層交換機(jī)不支持802.1x通用協(xié)議的環(huán)境下，如果匯聚層接入采用的是Cisco支持EoU協(xié)議的網(wǎng)絡(luò)設(shè)備，即使接入層交換機(jī)或者AP不支持802.1x協(xié)議，依然可以通過基于EoU的網(wǎng)絡(luò)準(zhǔn)入控制驗(yàn)證計(jì)算機(jī)終端的安全基線、隔離不安全的終端。

1) aaa new-model /啟用AAA

2) aaa authentication login default line none

/創(chuàng)建缺省的登陸認(rèn)證方法，采用line password認(rèn)證

3) aaa authentication eou default group radius

aaa authorization network default group radius

/創(chuàng)建EoU認(rèn)證方法列表，group radius表示使用radius服務(wù)進(jìn)行認(rèn)證

4) ip admission name Cisco eapoudp

/創(chuàng)建ip準(zhǔn)入控制名稱（Cisco是名稱，可以隨意定義）

5) ip device tracking

/啟用網(wǎng)絡(luò)設(shè)備的設(shè)備追蹤功能

6) eou allow clientless

eou timeout retransmit 30

eou max-retry 3

/配置EoU參數(shù)，允許網(wǎng)絡(luò)設(shè)備將無代理的設(shè)備的信息發(fā)送到radius服務(wù)器進(jìn)行認(rèn)證（根據(jù)ip、mac地址）；設(shè)置重傳的超時(shí)和次數(shù)。使用30s、3次這個(gè)設(shè)置可以避免代理啟動(dòng)過慢被交換機(jī)誤認(rèn)為是無代理設(shè)備。如果代理啟動(dòng)速度加快，可以適當(dāng)減小。

7) ip access-list extended default_acl

permit udp any any eq 21862

permit udp any eq bootpc any eq bootps

permit udp any any eq domain

permit icmp any any

permit ip any host 192.168.1.20

permit ip any host 192.168.1.204

deny ip any any

/配置一個(gè)接口默認(rèn)的ACL，建議至少允許一下幾種ip包，：udp21862端口（EoU認(rèn)證需要）、DHCP（獲取ip地址）、DNS（允許獲取域名的ip地址，以便http可以重定向）、ICMP（允許ping）、Leagview服務(wù)器所在的ip地址訪問、其他修復(fù)服務(wù)器地址等

8) ip access-list extended url-redir

deny tcp any host 192.168.1.204 eq www

permit tco any any eq www

permit tcp any any eq 443

/配置一個(gè)ACL，用來定義要重定向的HTTP訪問，上例中所有的http訪問被重定向到192.168.1.204

9) radius-server attribute 8 include-in-access-req

radius-server vsa send authentication

radius-server host 192.168.1.20 auth-port 1812 acctport 1813 key gmxy

/配置radius服務(wù)器

10) radius-sever retry method reorder

/將dead的radius的優(yōu)先級(jí)降低，缺省情況下不調(diào)整優(yōu)先級(jí)別，當(dāng)已經(jīng)發(fā)現(xiàn)第一個(gè)radius dead時(shí)，如果有認(rèn)證請(qǐng)求，直接將認(rèn)證包發(fā)給第二個(gè)

11) radius-server retransmit 2

/制定網(wǎng)絡(luò)交換機(jī)向radius服務(wù)器的認(rèn)證包重傳次數(shù)，默認(rèn)為3，減少該值可以更快地切換到下一臺(tái)radius服務(wù)器來做認(rèn)證

12) radius-server timeout 3

/指定認(rèn)證包的超時(shí)，默認(rèn)為5s

13) radius-server deadtime 3

/設(shè)置deadtime為3分鐘過，3分鐘后網(wǎng)絡(luò)設(shè)備會(huì)再次嘗試

14) radius-server vsa send authentication

/指定交換機(jī)發(fā)送radius包時(shí)加上Cisco自己的擴(kuò)展（以便解析接入端口名）

15) ip http server

/在交換機(jī)上啟動(dòng)http服務(wù)器（需要URL重定向功能）

16) int f0/1

ip access-group default_acl in

ip adminssion CISCO

/在某個(gè)端口上啟用CISCO，即EoU

17) show eou all

/查看EoU接入情況

18) show ip access-list int f0/1

/查看端口ACL應(yīng)用情況

19) clear eou ip ***.***.***.***

/清除某個(gè)設(shè)備的EoU回話（以便開始一次新的認(rèn)證過程）

2.2 數(shù)據(jù)防泄密系統(tǒng)

數(shù)據(jù)防泄密系統(tǒng)圍繞數(shù)據(jù)在終端的存儲(chǔ)、傳輸和交換過程中的風(fēng)險(xiǎn)，以環(huán)境保護(hù)的方式，對(duì)能夠訪問數(shù)據(jù)中心內(nèi)數(shù)據(jù)的終端進(jìn)行保護(hù)。系統(tǒng)采用了磁盤加密、外設(shè)控制、移動(dòng)存儲(chǔ)管理、網(wǎng)絡(luò)傳輸控制和身份認(rèn)證5個(gè)關(guān)鍵技術(shù)，對(duì)終端進(jìn)行全方位的控制，數(shù)據(jù)只能夠在終端本地使用，無法將數(shù)據(jù)隨意外帶，需要外帶時(shí)必須經(jīng)過特定審批，從而保障了數(shù)據(jù)安全環(huán)境的建立，如圖2所示。

圖2 終端數(shù)據(jù)安全環(huán)境

2．2．1 支持工作環(huán)境切換

數(shù)據(jù)防泄密系統(tǒng)通過模式切換，在終端上實(shí)現(xiàn)了“一機(jī)兩用”，即將個(gè)人終端環(huán)境分為工作模式和普通模式兩個(gè)環(huán)境。當(dāng)終端接入內(nèi)網(wǎng)時(shí)，系統(tǒng)會(huì)強(qiáng)制其進(jìn)入工作模式，并對(duì)外設(shè)進(jìn)行控制，禁用光驅(qū)、藍(lán)牙、COM、LPT端口等設(shè)備，從而禁止刻錄和打印等行為。終端在工作模式下才能夠訪問核心業(yè)務(wù)數(shù)據(jù)，此時(shí)數(shù)據(jù)只能存在特定的保密區(qū)域，無法通過任何方式外帶。在工作模式下，所有數(shù)據(jù)和程序都能正常應(yīng)用和修改，但是終端重啟后只有在保密區(qū)域所做的修改能得以保存，在其他磁盤上做的一切操作將被還原。保密區(qū)域是將終端的一塊或幾塊磁盤做加密處理后而得到的特殊區(qū)域，俗稱工作盤。

普通模式是為了方便用戶在非辦公環(huán)境下可以正常使用個(gè)人終端，在這種模式下系統(tǒng)不會(huì)對(duì)終端有任何限制，唯一不同的是此時(shí)看不到工作盤里的數(shù)據(jù)，也無法對(duì)工作盤做任何操作，從而保障了數(shù)據(jù)的安全性并防止數(shù)據(jù)外泄。

內(nèi)網(wǎng)管理一般是指對(duì)單位內(nèi)部網(wǎng)絡(luò)終端的綜合管理。內(nèi)網(wǎng)管理軟件主要通過禁止遠(yuǎn)程屏幕拷貝、遠(yuǎn)程屏幕監(jiān)控、全硬盤文件監(jiān)控和文件監(jiān)視、上網(wǎng)行為檢查和打印監(jiān)控等網(wǎng)絡(luò)監(jiān)控功能；具有禁用USB、禁用光驅(qū)、軟驅(qū)、管理非法外聯(lián)等阻斷管理功能；具有禁用QQ、禁用P2P、禁用游戲、遠(yuǎn)程修改IP、禁止修改IP、通過進(jìn)程知識(shí)庫進(jìn)行木馬分析和查殺、自動(dòng)補(bǔ)丁分發(fā)的補(bǔ)丁管理、注冊(cè)表監(jiān)控、流量排名和流量報(bào)警阻斷等運(yùn)行維護(hù)功能。

2．2．2 對(duì)移動(dòng)存儲(chǔ)設(shè)備進(jìn)行管理

數(shù)據(jù)中心內(nèi)部使用的移動(dòng)存儲(chǔ)設(shè)備必須通過系統(tǒng)管理員進(jìn)行注冊(cè)登記后，才能在終端上使用，否則終端不能識(shí)別并讀寫移動(dòng)存儲(chǔ)設(shè)備。終端進(jìn)入工作模式后，拷貝到移動(dòng)存儲(chǔ)設(shè)備的數(shù)據(jù)為加密格式存儲(chǔ)，且只能在指定的內(nèi)網(wǎng)終端打開，在其他終端上打開后顯示為亂碼。通過對(duì)移動(dòng)存儲(chǔ)設(shè)備進(jìn)行管理，保證了數(shù)據(jù)在可控的范圍內(nèi)傳播，保障了數(shù)據(jù)的安全性。硬件加密是通過專用加密芯片或獨(dú)立的處理芯片等實(shí)現(xiàn)密碼運(yùn)算。將加密芯片、專有電子鑰匙、硬盤一一對(duì)應(yīng)到一起時(shí)，加密芯片將把加密芯片信息、專有鑰匙信息、硬盤信息進(jìn)行對(duì)應(yīng)并做加密運(yùn)算，同時(shí)寫入硬盤的主分區(qū)表。這時(shí)加密芯片、專有電子鑰匙、硬盤就綁定在一起，缺少任何一個(gè)都將無法使用。經(jīng)過加密后硬盤如果脫離相應(yīng)的加密芯片和電子鑰匙，在計(jì)算機(jī)上就無法識(shí)別分區(qū)，更無法得到任何數(shù)據(jù)。硬件加密方式往往是對(duì)硬盤上的數(shù)據(jù)進(jìn)行管控，使用范圍相當(dāng)有限，不是主要的防泄密手段。

2．2．3 終端行為審計(jì)

可以在數(shù)據(jù)防泄密系統(tǒng)中設(shè)置“文件操作記錄”和“系統(tǒng)進(jìn)程管理”等審計(jì)策略，從而按需對(duì)文件操作行為和網(wǎng)絡(luò)行為進(jìn)行有效的審計(jì)管理，例如記錄終端日常的文件操作行為，或者禁止違規(guī)軟件的使用。文件加密主要是指文檔加密軟件。文檔加密軟件是通過對(duì)內(nèi)網(wǎng)員工客戶端產(chǎn)生和存儲(chǔ)的文檔進(jìn)行透明加密或者文檔使用權(quán)限管理，實(shí)現(xiàn)文檔安全管理。優(yōu)盾智能信息防泄漏系統(tǒng)采用底層驅(qū)動(dòng)透明加解密技術(shù)，在完全不改變企業(yè)原有工作流程和文件使用習(xí)慣的前提下，對(duì)企業(yè)內(nèi)部的關(guān)鍵數(shù)據(jù)文件實(shí)行監(jiān)控和強(qiáng)制加密保護(hù)，有效的防止被動(dòng)和主動(dòng)泄密。

3 結(jié)論

在終端準(zhǔn)入控制系統(tǒng)和數(shù)據(jù)防泄密系統(tǒng)部署完畢后，不但掌控了終端在接入直到接出數(shù)據(jù)中心的整個(gè)過程，還通過限制數(shù)據(jù)的傳輸途徑提高了數(shù)據(jù)的安全性。既方便了安全管理員的維護(hù)和管理，又使得終端管理辦法易于落地執(zhí)行。具體效果如下：

(1)將終端準(zhǔn)入控制與數(shù)據(jù)防泄密系統(tǒng)有效結(jié)合，通過對(duì)終端和數(shù)據(jù)的有效管理和控制，最終達(dá)到較高的信息安全管理等級(jí)。

(2)阻止非法的未注冊(cè)的外來用戶電腦接入數(shù)據(jù)中心，只有通過管理員正常注冊(cè)的、允許接入的、滿足安全策略的、合法的外來設(shè)備才能接入數(shù)據(jù)中心。

(3)強(qiáng)制要求接入網(wǎng)絡(luò)的終端設(shè)備安裝準(zhǔn)入控制Agent、防泄密Agent和殺毒軟件，從而保證防泄密和殺毒軟件的正常運(yùn)行。

(4)在內(nèi)網(wǎng)真正實(shí)現(xiàn)了設(shè)備準(zhǔn)確定位?；诮K端的設(shè)備發(fā)現(xiàn)和管理可以讓管理員通過某個(gè)終端的特征定位到當(dāng)前設(shè)備的IP地址、MAC地址、主機(jī)名、設(shè)備資產(chǎn)信息、資產(chǎn)編號(hào)、設(shè)備使用人、所屬部門，甚至可以定位到設(shè)備所在的網(wǎng)絡(luò)設(shè)備和端口、信息點(diǎn)號(hào)等。

(5)數(shù)據(jù)在流轉(zhuǎn)的過程（存儲(chǔ)、內(nèi)部傳輸、介質(zhì)交換、向外發(fā)送）中得到了全方位的加密與審批保護(hù)，使數(shù)據(jù)的生存環(huán)境得到有效控制。

(6)通過安全管理流程可把控終端從接入到接出數(shù)據(jù)中心的全過程，并保留有終端資產(chǎn)和人員流動(dòng)的審計(jì)信息。

[1] 楊云峰，唐鳳仙． 基于訪問列表控制的Cisco路由器安全策略初探[J]． 中國新技術(shù)新產(chǎn)品． 2011(10)．

[2] 富克春． 數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）算法與安全性探析[J]． 產(chǎn)業(yè)與科技論壇． 2011，10(6)．

[3] 董月博． 終端準(zhǔn)入控制系統(tǒng)的研究與實(shí)現(xiàn)[D]． 天津：天津大學(xué)． 學(xué)位論文． 2007．

[4] 趙杰． 終端準(zhǔn)入控制技術(shù)探討[J]． 信息安全與通信保密．2012(1)．

Enterprise terminal access control and data leakage prevention safety applications

CHANG Run-mei1, MENG Li-qing2
(1 Inner Mongolia Electronic Information Vocational Technical College, Hohhot 010070, China; 2 China Mobile Group Neimenggu Co., Ltd., Hohhot 010020, China)

Enterprise data center data is one of the core competitiveness of enterprises an important embodiment, data security should be taken by the enterprise, using the terminal access control and data leakage prevention technology to improve enterprise safety management and control ability. From two kinds of technology methods and practice, effectively improve the security of enterprise data.

data security; terminal access; data leakage prevention

TP3

A

1008-5599（2013）03-0076-05

2013-01-24