文/彭桂芬 楊彥光

利用準(zhǔn)入機(jī)制解決客戶端信息安全問題

文/彭桂芬1楊彥光2

近年來，高?？蛻舳擞?jì)算機(jī)安全管理矛盾越來越突出，高校的信息安全工作不能僅集中于后臺系統(tǒng)，更要擴(kuò)展到整個網(wǎng)絡(luò)，考慮如何要保障客戶端計(jì)算機(jī)安全，并采取有效的技術(shù)手段和管理措施。高?？蛻舳擞?jì)算機(jī)安全管理問題主要表現(xiàn)在：移動互聯(lián)技術(shù)的快速發(fā)展與信息技術(shù)風(fēng)險增大的矛盾；教職工隨時隨地接入網(wǎng)絡(luò)的需求與高校內(nèi)部信息安全的矛盾；方便多樣的信息交流分享需求與信息泄露風(fēng)險的矛盾。

存在問題

內(nèi)部網(wǎng)絡(luò)終端缺乏網(wǎng)絡(luò)用戶識別、準(zhǔn)入機(jī)制

任何外來人員或客戶只要將計(jì)算機(jī)插入網(wǎng)線，就可以進(jìn)入內(nèi)部網(wǎng)絡(luò)各個區(qū)域，其中沒有任何身份的認(rèn)證和安全措施，如知道相關(guān)應(yīng)用系統(tǒng)的賬號及密碼，就可以訪問相關(guān)的應(yīng)用數(shù)據(jù)，對整個網(wǎng)絡(luò)和應(yīng)用造成很大的安全威脅。網(wǎng)絡(luò)的終端全部都是基于工作組的模式，沒有進(jìn)行網(wǎng)絡(luò)域的集中管理模式和相關(guān)的策略性的定義。

終端安全管理的安全防護(hù)控制不足

1.無法確保這些終端是否安裝了防病毒軟件、更新了系統(tǒng)補(bǔ)丁和病毒代碼，現(xiàn)時的終端的防病軟件部署率底，防病毒軟件也不統(tǒng)一，時常發(fā)生感染病毒、間諜軟件等的問題，存在很大的安全隱患；2.用戶是否安裝了必須使用的軟件，是否安裝了非工作使用的軟件，硬件配置，軟件配置，信息的收集，都無法進(jìn)行確認(rèn)和收集；3.現(xiàn)時對網(wǎng)絡(luò)內(nèi)部出現(xiàn)的任何安全問題都無法及時發(fā)現(xiàn)、追蹤和審計(jì)。

客戶端準(zhǔn)入安全需求

客戶端區(qū)域需求

客戶端區(qū)有線網(wǎng)絡(luò)已建設(shè)完成，所有終端未設(shè)置安全準(zhǔn)入控制，一旦某個無線或者有線終端點(diǎn)出現(xiàn)病毒木馬將影響整個學(xué)校網(wǎng)絡(luò)，存在著安全隱患。

互聯(lián)網(wǎng)區(qū)域需求

互聯(lián)網(wǎng)區(qū)部署著多臺安全設(shè)備，這些安全設(shè)備都是基于數(shù)據(jù)流的安全防護(hù)，對于無線終端點(diǎn)未部署安全終端準(zhǔn)入控制，一旦無線終端接入點(diǎn)出現(xiàn)病毒木馬等將影響整個學(xué)校網(wǎng)絡(luò)，存在著安全隱患。

RTP區(qū)域需求

RTP區(qū)上聯(lián)骨干網(wǎng)，下聯(lián)接入網(wǎng)，接入網(wǎng)中有著無線終端接入、有線終端接入及3G終端接入，三者都未部署安全終端準(zhǔn)入控制，一旦其中一者終端接入點(diǎn)出現(xiàn)病毒將影響整個學(xué)校網(wǎng)絡(luò)，給學(xué)校網(wǎng)絡(luò)帶來了安全隱患。

安全性檢查需求

安全補(bǔ)丁、防病毒軟件、黑白軟件、注冊表、VIP用戶權(quán)限、防ARP攻擊、多元素綁定（可以綁定用戶名、IP地址、MAC地址、設(shè)備端口、VLAN等）、 軟、硬件資產(chǎn)調(diào)查、外設(shè)管理、軟件分發(fā)、安全審計(jì)。

可靠性及管理需求

1.服務(wù)器支持雙機(jī)備份：中心策略服務(wù)器支持雙機(jī)冗余配置，主服務(wù)器發(fā)生故障時，功能可向從服務(wù)器轉(zhuǎn)移。策略服務(wù)器配置具有良好的備份和恢復(fù)機(jī)制；

2.用戶群組策略：能針對用戶分組，安全策略針對單個用戶，或某組用戶綁定；

3.管理目標(biāo)分組： 能針對不同的層級、區(qū)域、用戶組、計(jì)算機(jī)組等設(shè)定不同的管理員。

客戶端準(zhǔn)入控制的實(shí)施

客戶端準(zhǔn)入控制包括兩個重要功能：安全防護(hù)和安全監(jiān)控?？蛻舳藴?zhǔn)入控制的基本原理是通過智能客戶端、智能聯(lián)動設(shè)備（如VPN網(wǎng)關(guān)、路由器）、安全策略服務(wù)器以及防病毒服務(wù)器、補(bǔ)丁服務(wù)器的聯(lián)動實(shí)現(xiàn)的，其基本原理如圖1所示。

1.用戶終端試圖接入網(wǎng)絡(luò)時，首先通過智能客戶端進(jìn)行用戶身份認(rèn)證，非法用戶將被拒絕接入網(wǎng)絡(luò)；2.合法用戶將被要求進(jìn)行安全狀態(tài)認(rèn)證，由安全策略服務(wù)器驗(yàn)證用戶終端安全狀態(tài)是否符合基于用戶賬號預(yù)定義的安全策略，不合格用戶將被智能聯(lián)動設(shè)備隔離到隔離區(qū)；3.進(jìn)入隔離區(qū)的用戶可以進(jìn)行補(bǔ)丁、病毒庫的升級、卸載非法程序、取消代理設(shè)置等操作，直到安全狀態(tài)合格；4.安全狀態(tài)合格的用戶將實(shí)施由安全策略服務(wù)器下發(fā)的安全設(shè)置，并由智能聯(lián)動設(shè)備提供基于身份的網(wǎng)絡(luò)服務(wù)。

從客戶端準(zhǔn)入控制的主要功能和基本原理可以看出，客戶端準(zhǔn)入控制將終端防病毒、補(bǔ)丁修復(fù)等終端安全措施與網(wǎng)絡(luò)接入控制、訪問權(quán)限控制等網(wǎng)絡(luò)安全措施整合為一個聯(lián)動的安全體系，通過對網(wǎng)絡(luò)接入終端的檢查、隔離、修復(fù)、管理和監(jiān)控，使整個網(wǎng)絡(luò)變被動防御為主動防御；變單點(diǎn)防御為全面防御；變分散管理為集中策略管理，提升了網(wǎng)絡(luò)對病毒、蠕蟲等新興安全威脅的整體防御能力。

圖1 客戶端準(zhǔn)入控制原理實(shí)現(xiàn)圖

方案的實(shí)現(xiàn)

客戶端準(zhǔn)入控制解決方案的實(shí)現(xiàn)，是通過將網(wǎng)絡(luò)接入控制和用戶終端安全策略控制相結(jié)合，以用戶終端對高校安全策略的符合度為條件，控制用戶訪問網(wǎng)絡(luò)的接入權(quán)限，從而降低病毒、非法訪問等安全威脅對高校網(wǎng)絡(luò)帶來的危害。為達(dá)到以上目的，需要包括檢查、隔離、修復(fù)、監(jiān)控的整體解決方案。

1.檢查：檢查網(wǎng)絡(luò)接入用戶的身份、訪問權(quán)限以及終端的安全狀態(tài)；2.隔離：隔離非法用戶終端和越權(quán)訪問；隔離存在重大安全問題或安全隱患的用戶終端；3.修復(fù)：幫助存在安全問題或安全隱患的用戶終端進(jìn)行安全修復(fù)，以便能夠正常使用網(wǎng)絡(luò)；4.監(jiān)控：實(shí)時監(jiān)控在線用戶的終端安全狀態(tài)，及時獲取終端安全信息；對非法用戶、越權(quán)訪問和存在安全問題的網(wǎng)絡(luò)終端進(jìn)行定位統(tǒng)計(jì)，為網(wǎng)絡(luò)安全管理提供依據(jù)；通過制定新的安全策略，持續(xù)保障網(wǎng)絡(luò)的安全。

方案組成部分

為了有效實(shí)現(xiàn)用戶終端安全準(zhǔn)入控制，需要實(shí)現(xiàn)終端安全信息采集點(diǎn)、終端安全信息決策點(diǎn)和終端安全信息執(zhí)行點(diǎn)的分離，同時還需要提供有效的技術(shù)手段，對用戶終端存在的安全問題進(jìn)行修復(fù)，使之符合高校終端安全策略，順利接入網(wǎng)絡(luò)進(jìn)行工作。客戶端準(zhǔn)入控制解決方案的組成部分見圖如圖2所示。

客戶端準(zhǔn)入控制安全策略服務(wù)器

客戶端準(zhǔn)入控制方案的核心是整合與聯(lián)動，而客戶端準(zhǔn)入控制安全策略服務(wù)器是客戶端準(zhǔn)入控制方案中的管理與控制中心，兼具用戶管理、安全策略管理、安全狀態(tài)評估、安全聯(lián)動控制以及安全事件審計(jì)等功能。

修復(fù)服務(wù)器

在客戶端準(zhǔn)入控制方案中，修復(fù)服務(wù)器可以是第三方廠商提供的防病毒服務(wù)器、補(bǔ)丁服務(wù)器或用戶自行架設(shè)的文件服務(wù)器。此類服務(wù)器通常放置于網(wǎng)絡(luò)隔離區(qū)中，用于終端進(jìn)行自我修復(fù)操作。

圖2 客戶端準(zhǔn)入控制解決方案組成部分

安全聯(lián)動設(shè)備

安全聯(lián)動設(shè)備是高校網(wǎng)絡(luò)中安全策略的實(shí)施點(diǎn)，起到強(qiáng)制用戶準(zhǔn)入認(rèn)證、隔離不合格終端、為合法用戶提供網(wǎng)絡(luò)服務(wù)的作用。根據(jù)應(yīng)用場合的不同，安全聯(lián)動設(shè)備可以是交換機(jī)或BAS設(shè)備，分別實(shí)現(xiàn)不同認(rèn)證方式（如802.1x或Portal）的端點(diǎn)準(zhǔn)入控制。

準(zhǔn)入客戶端

準(zhǔn)入客戶端是安裝在用戶終端系統(tǒng)上的軟件，是對用戶終端進(jìn)行身份認(rèn)證、安全狀態(tài)評估以及安全策略實(shí)施的主體，其主要功能包括提供802.1x、Portal等多種認(rèn)證方式、檢查用戶終端的安全狀態(tài)、安全策略實(shí)施、實(shí)時監(jiān)控系統(tǒng)安全狀態(tài)等，實(shí)時監(jiān)控系統(tǒng)安全狀態(tài)又包括是否更改安全設(shè)置、是否發(fā)現(xiàn)新病毒等，并將安全事件定時上報到安全策略服務(wù)器，用于事后進(jìn)行安全審計(jì)。

終端準(zhǔn)入控制身份認(rèn)證方式

終端準(zhǔn)入控制是從控制用戶終端安全接入網(wǎng)絡(luò)的角度入手，整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，通過用戶端、準(zhǔn)入控制組件、網(wǎng)絡(luò)設(shè)備（交換機(jī)、路由器、防火墻、無線）以及第三方軟件（殺毒軟件、補(bǔ)丁服務(wù)器）的聯(lián)動，對接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實(shí)施安全策略，嚴(yán)格控制終端用戶的網(wǎng)絡(luò)使用行為，有效加強(qiáng)用戶終端的主動防御能力，為網(wǎng)絡(luò)管理人員提供有效、易用的管理工具和手段。

客戶端安全管理

1.防病毒管理

通過與第三方防病毒廠商合作，客戶端準(zhǔn)入控制終端準(zhǔn)入控制解決方案中，客戶端準(zhǔn)入控制策略服務(wù)器根據(jù)安全策略對安裝了第三方防病毒產(chǎn)品客戶端和準(zhǔn)入軟件的用戶終端計(jì)算機(jī)進(jìn)行安全檢查。對于不符合安全策略的用戶終端，通過配合相關(guān)網(wǎng)絡(luò)設(shè)備采用ACL或VLAN訪問控制的方式，從物理或網(wǎng)絡(luò)層面上將“危險”終端限制在隔離區(qū)中。

2.與WSUS聯(lián)動的補(bǔ)丁管理

客戶端準(zhǔn)入控制與WSUS聯(lián)動解決方案需要兩個系統(tǒng)協(xié)同工作：WSUS軟件補(bǔ)丁更新服務(wù)器負(fù)責(zé)對終端用戶的計(jì)算機(jī)進(jìn)行補(bǔ)丁狀態(tài)檢查、判斷是否合格以及不合格時自動更新所缺少的補(bǔ)丁，客戶端準(zhǔn)入控制安全策略服務(wù)器負(fù)責(zé)決定何時發(fā)起補(bǔ)丁狀態(tài)檢查操作，并負(fù)責(zé)控制補(bǔ)丁狀態(tài)檢查不合格的端點(diǎn)用戶只能訪問隔離區(qū)內(nèi)的資源，待端點(diǎn)用戶的計(jì)算機(jī)的補(bǔ)丁狀態(tài)檢查合格后才解除對該用戶計(jì)算機(jī)的隔離。兩者通過客戶端準(zhǔn)入控制安全客戶端與微軟公司支持聯(lián)動功能的補(bǔ)丁升級客戶端之間的API接口實(shí)現(xiàn)。

3.黑白名單軟件管理

客戶端準(zhǔn)入控制提供黑白軟件統(tǒng)一管理功能。管理員可根據(jù)高校的IT政令，在安全策略服務(wù)器定義教職工終端黑白軟件列表，通過安全客戶端實(shí)時檢測、網(wǎng)絡(luò)設(shè)備聯(lián)動控制，完成對用戶終端的軟件安裝運(yùn)行狀態(tài)的統(tǒng)一監(jiān)控和管理。

4.注冊表安全檢查

注冊表安全檢測：客戶端準(zhǔn)入控制支持系統(tǒng)服務(wù)檢測，包括服務(wù)種類、是否啟動等。對于不符合服務(wù)檢查項(xiàng)的用戶需要根據(jù)安全策略做出相應(yīng)處理，包括提醒、隔離、下線等。遠(yuǎn)程用戶修改本機(jī)注冊表防御；支持遠(yuǎn)程訪問、共享、進(jìn)程調(diào)用防御。

5.密碼強(qiáng)度控制

客戶端準(zhǔn)入控制就是通過Gina獲取用戶登錄Windows時輸入的密碼并驗(yàn)證密碼強(qiáng)度。對于密碼設(shè)置不符合預(yù)定策略用戶需采用強(qiáng)制下線等策略進(jìn)行準(zhǔn)入控制。

客戶端準(zhǔn)入控制可以很好的解決高?？蛻舳司W(wǎng)絡(luò)接入，防病毒，數(shù)據(jù)安全等問題，使高校信息系統(tǒng)的安全得到了很大的提高。

（作者單位：1為昆明醫(yī)科大學(xué)現(xiàn)代教育技術(shù)中心，2為昆明醫(yī)科大學(xué)）