馬 亮(石家莊陸軍指揮學(xué)院 河北 石家莊 050084)

園區(qū)網(wǎng)終端安全管控系統(tǒng)的構(gòu)建

馬 亮
(石家莊陸軍指揮學(xué)院 河北 石家莊 050084)

從終端安全存在隱患入手，著眼什么人能上網(wǎng)、什么機器能上網(wǎng)、上網(wǎng)的人有權(quán)做什么以及上網(wǎng)的人都做了什么等問題，辨析了終端安全的管控目標，提出了園區(qū)網(wǎng)終端安全管控系統(tǒng)的設(shè)計構(gòu)想，同時，從區(qū)域、接入控制網(wǎng)關(guān)、引流規(guī)則、客戶端和檢查策略等角度對系統(tǒng)進行規(guī)劃部署，并對準入權(quán)限控制、終端健康檢查和終端用戶行為管理的技術(shù)實現(xiàn)進行了詳細闡述，對園區(qū)網(wǎng)終端安全管控系統(tǒng)的構(gòu)建提出了建議。

園區(qū)網(wǎng) 終端 安全 管控 系統(tǒng)

1 引言

隨著信息化建設(shè)的不斷深入，信息化建設(shè)中最重要的基礎(chǔ)設(shè)施--園區(qū)網(wǎng)，發(fā)揮越來越重要的作用，園區(qū)網(wǎng)的規(guī)模在不斷擴大，網(wǎng)絡(luò)應(yīng)用日益復(fù)雜，網(wǎng)絡(luò)安全問題愈發(fā)凸顯。

在網(wǎng)絡(luò)安全防護方式的選擇上，傳統(tǒng)的邊界防護固然重要，通過部署安全設(shè)備、實施內(nèi)外網(wǎng)隔離以及加強數(shù)據(jù)中心防護，都可以較好地防范來自外部的安全威脅，但面對網(wǎng)絡(luò)內(nèi)部產(chǎn)生的威脅，這種方式顯得力不從心。據(jù)權(quán)威部門統(tǒng)計，大約60%到80%的網(wǎng)絡(luò)安全事件起源于內(nèi)部網(wǎng)絡(luò)終端計算機的硬件配置、軟件應(yīng)用與用戶行為，也就是說終端是內(nèi)部安全威脅的源頭。具體來說，終端存在以下安全問題[1]：

①終端用戶安全意識薄弱：用戶隨意使用移動存儲設(shè)備、設(shè)置弱口令、不安裝防病毒軟件、不及時更新病毒庫和不及時安裝操作系統(tǒng)補丁等這些違規(guī)現(xiàn)象還不同程度的存在；

②非法終端用戶未授權(quán)接入：缺乏上網(wǎng)認證機制，外來人員未經(jīng)許可，能夠輕易接入并訪問園區(qū)網(wǎng)；

③合法終端用戶越權(quán)訪問：對網(wǎng)絡(luò)資源缺乏嚴格的訪問權(quán)限控制，導(dǎo)致合法終端用戶能夠隨意訪問網(wǎng)絡(luò)中的涉密信息；

④終端用戶的違規(guī)行為得不到監(jiān)控，體現(xiàn)在缺乏對終端用戶違規(guī)行為的監(jiān)控手段，管理人員對終端的安全狀態(tài)不了解，不掌握；

⑤單點防御，缺乏全局防御能力，僅對終端的個別或局部安全問題采取防護措施，缺乏全要素和全生命周期的安全管控。

2 終端安全管控目標

要實現(xiàn)終端的安全管控，必須要回答和解決以下4個問題。

⑴什么人能上網(wǎng)

身份認證問題。隨便什么人都可以接入園區(qū)網(wǎng)的現(xiàn)象肯定是不安全的，必須建立起實名制準入控制機制，確保認證后用戶才能接入園區(qū)網(wǎng)。

⑵什么機器能上網(wǎng)

健康合規(guī)問題，用戶身份的合法性不等同于終端的健康度，終端的安全性對網(wǎng)絡(luò)具有潛在威脅，如終端存在病毒和木馬，接入網(wǎng)絡(luò)后就會感染其他的終端；終端未安裝涉密載體、標簽水印和防病毒等統(tǒng)一的安全軟件，也會帶來潛在威脅。

⑶上網(wǎng)的人有權(quán)做什么

權(quán)限受控問題，用戶身份合法，終端健康，不代表可以訪問網(wǎng)上的所有資源。領(lǐng)導(dǎo)和一般員工，不同身份角色的用戶對資源的訪問權(quán)限是不一樣的，必須依據(jù)角色權(quán)限嚴格控制訪問相應(yīng)的資源。

⑷上網(wǎng)的人都做了什么

行為審計問題，要加強上網(wǎng)行為的審計和檢測，做到對用戶的違規(guī)行為可記錄、可追查和可回溯。

綜上可得出終端安全管控的目標是實現(xiàn)終端安全管控的一體化和精確化，確保終端合規(guī)和受控，從源頭消除漏洞和威脅，從而有效解決終端接入失控、終端安全失察、資源訪問無序及管理效能不高這些現(xiàn)實性問題。

3 終端安全管控總體設(shè)計

3.1 設(shè)計構(gòu)想

用戶在使用終端訪問網(wǎng)絡(luò)資源前，首先要經(jīng)過身份認證和終端健康檢查，在確認身份合法并通過健康檢查后，終端才可以訪問受控的網(wǎng)絡(luò)資源。認證不通過則不能訪問網(wǎng)絡(luò)，健康檢查不通過則要進行隔離修復(fù)，直到終端通過健康檢查后才允許訪問受控的網(wǎng)路資源，同時要對終端的行為進行監(jiān)控和審計，這樣才能實現(xiàn)從終端主機到業(yè)務(wù)系統(tǒng)的控制與管理。

3.2 規(guī)劃與部署

⑴區(qū)域規(guī)劃

終端安全管控系統(tǒng)根據(jù)安全管控需求，將園區(qū)網(wǎng)劃分成4個區(qū)域，分別是終端域、認證前域、隔離域和認證后域。①終端域：終端域是指用戶終端所在的區(qū)域，要將所有的用戶終端規(guī)劃在這個區(qū)域，以便進行集中管理；②認證前域：認證前域是指用戶認證需要訪問的區(qū)域。通過配置在該區(qū)域安全管理服務(wù)器，實現(xiàn)終端用戶管理、安全策略配置、用戶身份驗證、訪問權(quán)限分配和終端的安全狀態(tài)查詢等功能[2]；③隔離域：隔離域是指當終端用戶未能夠通過終端健康度檢查時，將終端隔離到的區(qū)域，通過該區(qū)域設(shè)置的防病毒服務(wù)器和補丁服務(wù)器，實現(xiàn)用戶終端健康修復(fù)；④認證后域：認證后域是指終端用戶通過了身份認證和終端健康檢查后可以訪問的區(qū)域，認證后域部署著園區(qū)網(wǎng)各類受保護的信息資源，根據(jù)業(yè)務(wù)需求，認證后域資源需要進一步細分為若干個相互隔離的受控域，用以實現(xiàn)用戶按權(quán)限訪問資源。

⑵部署安全接入控制網(wǎng)關(guān)

安全接入控制網(wǎng)關(guān)是實現(xiàn)準入控制和訪問權(quán)限控制的核心設(shè)備，以旁路方式部署在核心交換機旁邊。安全接入控制網(wǎng)關(guān)通過一臺具備數(shù)據(jù)包過濾功能的防火墻引流實現(xiàn)，就像一個哨兵，可以檢查所有從用戶終端過來的數(shù)據(jù)包，并依據(jù)訪問規(guī)則決定"放行"或"阻止"。

⑶配置引流規(guī)則

引流的規(guī)則是在核心交換機上配置的。在核心交換機上，要把所有與終端域相鏈接的端口，都配置上引流規(guī)則，即把進入該端口的數(shù)據(jù)包發(fā)送至與安全接入控制網(wǎng)關(guān)相連的端口上，而不是被核心交換機直接轉(zhuǎn)發(fā)到目的端。

⑷部署終端安全管控系統(tǒng)客戶端

每個合法的入網(wǎng)終端都必須安裝終端安全管控系統(tǒng)客戶端，不安裝客戶端的用戶無法發(fā)起認證流程，從而無法訪問網(wǎng)絡(luò)。客戶端的主要功能是實現(xiàn)身份認證、終端的健康檢查和用戶行為審計。

⑸配置用戶信息和終端健康檢查策略

配置用戶信息就是在安全管理服務(wù)器將每一個用戶的用戶名、密碼、IP地址和用戶有權(quán)訪問的受控域等信息關(guān)聯(lián)起來，形成一個用戶配置表，完成用戶基礎(chǔ)信息管理；配置用戶的終端健康檢查策略，就是指定終端要做哪些健康檢查，檢查的標準是什么，不達標的終端如何處置，從而為客戶端程序進行終端健康檢查提供依據(jù)。

4 主要功能的技術(shù)實現(xiàn)

4.1 準入控制和權(quán)限控制

準入控制和權(quán)限控制可分為合法合規(guī)用戶、合法不合規(guī)用戶和非法用戶3類流程控制。

4.1.1 合法合規(guī)用戶的流程控制

合法合規(guī)是指通過用戶通過身份認證且終端通過健康檢查。該類用戶的流程控制分為用戶認證流程、用戶訪問流程和用戶離線流程。

⑴用戶認證流程控制

用戶登錄時，安裝在終端上的客戶端會將用戶登錄信息以加密的方式發(fā)送給安全管理服務(wù)器。數(shù)據(jù)包到達核心交換機后，被引流到安全接入控制網(wǎng)關(guān)，網(wǎng)關(guān)將用戶數(shù)據(jù)包中的源地址和目的地址與網(wǎng)關(guān)內(nèi)的訪問規(guī)則進行匹配，以此來控制數(shù)據(jù)包的轉(zhuǎn)發(fā)[3]。

初始狀態(tài)下訪問規(guī)則中只有3條默認規(guī)則，規(guī)則1：允許所有訪問目的地址是認證前域的數(shù)據(jù)包通過；規(guī)則2：允許所有訪問目的地址是隔離域的數(shù)據(jù)包通過；規(guī)則3：阻止所有數(shù)據(jù)包通過。

對于用戶認證數(shù)據(jù)包來說，它的目的地址是認證前域中的安全管理服務(wù)器，那么它就和規(guī)則1相匹配，得到安全接入控制網(wǎng)關(guān)的"放行"。數(shù)據(jù)包通過由網(wǎng)關(guān)出端口返回核心交換機，核心交換機依據(jù)目的地址對數(shù)據(jù)包進行正常轉(zhuǎn)發(fā)，這樣數(shù)據(jù)包就會到達安全管理服務(wù)器。

安全管理服務(wù)器驗證數(shù)據(jù)包中用戶名和密碼，如果是合法用戶，安全管理服務(wù)器會將用戶對應(yīng)的終端健康檢查策略發(fā)送給終端客戶端，客戶端收到后依據(jù)下發(fā)的策略進行終端健康檢查，如果檢查通過了，客戶端會通告安全管理服務(wù)器，服務(wù)器收到健康檢查通過的通告后，查詢用戶配置表中用戶所能夠訪問的受控域信息。

⑵用戶訪問流程控制

認證通過后，終端會發(fā)起對受控資源的訪問。例如，訪問受控域1中的某臺服務(wù)器，請求數(shù)據(jù)包到達網(wǎng)關(guān)后，還是要匹配訪問規(guī)則，這時安全管理服務(wù)器剛剛下發(fā)的規(guī)則就會被命中，這條規(guī)則是允許終端訪問受控域1的地址段，命中后數(shù)據(jù)包會經(jīng)過網(wǎng)關(guān)出端口到達核心交換機，最終會到達要訪問的服務(wù)器，服務(wù)器會響應(yīng)用戶請求，向用戶發(fā)送響應(yīng)數(shù)據(jù)包，數(shù)據(jù)包經(jīng)數(shù)據(jù)中心交換機和核心交換機，最終到達用戶的終端。

⑶用戶離線流程控制

“離線”是指用戶中斷了與網(wǎng)絡(luò)的鏈接。這里面包含著2種情況：①用戶正常離線，通過點擊客戶端的注銷按鈕實現(xiàn)；②用戶非正常離線，是指用戶從認證狀態(tài)下直接關(guān)機，或者用戶終端發(fā)生掉電或硬件故障的情況。

解決方法是依靠終端客戶端會與安全管理服務(wù)器建立起心跳機制，客戶端會周期性地（比如每30 s）向安全管理服務(wù)器通告自己的在線狀態(tài)，稱之為心跳信息。安全管理服務(wù)器如果在30 s內(nèi)沒有收到終端的心跳信息，就會認為終端已經(jīng)離線，這時，安全管理服務(wù)器會向安全接入控制網(wǎng)關(guān)中的訪問控制列表發(fā)送指令，指令的內(nèi)容是"刪除與這個已經(jīng)離線終端對應(yīng)IP的所有規(guī)則"，這樣就防止了非法用戶盜用合法用戶IP地址訪問受控資源的問題。

4.1.2 合法不合規(guī)用戶和非法用戶的流程控制

合法不合規(guī)是指通過用戶通過身份認證，但終端未通過健康檢查，非法用戶是指未通過身份認證的用戶。

這2類用戶的的訪問控制流程是類似的，由于沒有通過身份認證和終端健康檢查，所以安全管理服務(wù)器不會向網(wǎng)關(guān)中的訪問控制列表下發(fā)訪問規(guī)則，當這2類用戶發(fā)起對受控資源的訪問時，他們的請求數(shù)據(jù)包，只能匹配上訪問控制列表中的最后1條規(guī)則，這條規(guī)則是禁止所有IP地址的訪問，因為是禁止訪問，所以數(shù)據(jù)包就會被丟棄，這樣這2類用戶就訪問不到受保護的資源。

4.2 終端健康檢查內(nèi)容

4.2.1 檢查防病毒軟件

檢查內(nèi)容包括終端主機是否安裝了指定的防病毒軟件和防病毒軟件病毒庫是否更新。如果不滿足上述要求，首先要禁止終端訪問受控資源，其次還要協(xié)助用戶做好終端的防護工作，從而使用戶的終端合規(guī)。

4.2.2 檢查補丁安裝情況

終端安全管控系統(tǒng)支持對操作系統(tǒng)補丁、瀏覽器補丁、OFFICE補丁的檢查和修復(fù)。當檢查到終端沒有部署必須的補丁的時候，終端安全管控系統(tǒng)可通過部署在隔離區(qū)的補丁服務(wù)器協(xié)助終端快速完成補丁的修復(fù)[4]。

4.2.3 檢查屏保設(shè)置

檢查終端主機的屏幕保護參數(shù)設(shè)置是否滿足安全策略的要求，包括是否啟用屏幕保護功能、是否啟用密碼保護功能以及屏幕保護啟動時間，當不滿足是可自動修復(fù)。

4.2.4 檢查文件共享

檢查文件共享策略能夠降低無序共享導(dǎo)致信息泄密或惡意攻擊的風(fēng)險。如果終端主機的共享目錄則認為用戶有違規(guī)行為，可通過終端安全管控的自動修復(fù)功能取消共享。

4.2.5 檢查系統(tǒng)冗余賬號

系統(tǒng)冗余賬號往往容易成為黑客攻擊的目標，終端安全管控系統(tǒng)通過檢查操作系統(tǒng)冗余賬號策略，能夠提醒終端用戶及時刪除系統(tǒng)冗余賬號，降低因系統(tǒng)冗余賬號帶來的安全風(fēng)險。

除此之外，還要檢查主機端口、操作系統(tǒng)服務(wù)、軟件黑白名單和賬戶等安全。

4.3 終端用戶行為管理

終端安全管控系統(tǒng)提供基于終端用戶行為管理功能，通過規(guī)范用戶的行為來提高內(nèi)網(wǎng)安全管理的能力。

①監(jiān)控USB存儲設(shè)備：包括提供對USB允許/禁止/只讀的控制能力，提供USB存儲設(shè)備文件操作的監(jiān)控功能，提供USB存儲設(shè)備加密功能[5]；

②監(jiān)控非法外連：當終端安全管控系統(tǒng)的客戶端探測到終端訪問外部網(wǎng)絡(luò)時，會阻斷終端的所有網(wǎng)絡(luò)訪問，并且記錄終端訪問外部網(wǎng)路事件；

③監(jiān)控終端資產(chǎn)變更：終端安全管控系統(tǒng)通過安裝在終端主機上客戶端采集軟硬件資產(chǎn)信息，并能跟蹤資產(chǎn)信息變化。包括操作系統(tǒng)、軟件清單、硬件清單、硬盤序列號和BIOS等信息[6]；

④監(jiān)控網(wǎng)絡(luò)應(yīng)用程序：終端安全管控系統(tǒng)能夠監(jiān)控終端主機網(wǎng)絡(luò)應(yīng)用程序的運行狀態(tài)，攔截并禁止網(wǎng)絡(luò)應(yīng)用程序的啟動，例如P2P軟件和網(wǎng)絡(luò)游戲等；

⑤監(jiān)控屏幕拷貝：監(jiān)控屏幕拷貝策略在執(zhí)行時能夠防止終端用戶通過截屏鍵截取屏幕，可有效避免信息通過截屏流失問題；

⑥監(jiān)控訪問站點：通過配置網(wǎng)站的URL禁止終端用戶訪問某些網(wǎng)站，可有效降低外部黑客網(wǎng)站對內(nèi)網(wǎng)滲透的可能性；

⑦監(jiān)控系統(tǒng)設(shè)備：終端安全管控系統(tǒng)具有監(jiān)控終端主機使用外部設(shè)備的功能。包括：支持啟用或禁用打印機、串行接口、并行接口、紅外接口、1394接口和藍牙接口等；

⑧監(jiān)控多網(wǎng)卡：為了降低安全威脅從一個網(wǎng)絡(luò)傳播到另一個網(wǎng)絡(luò)的風(fēng)險，不允許一臺終端主機通過多塊網(wǎng)卡同時連接不同的網(wǎng)絡(luò)。監(jiān)控終端主機的網(wǎng)卡連接狀態(tài)和無線網(wǎng)卡，并提供禁用無線網(wǎng)卡功能；

⑨監(jiān)視文件操作：監(jiān)視終端用戶在終端主機的本地硬盤進行的文件操作，包括文件的創(chuàng)建、復(fù)制、編輯、重命名和刪除；

⑩監(jiān)控光驅(qū)：監(jiān)控光驅(qū)策略支持禁用所有光驅(qū)和禁用刻錄光驅(qū)的寫功能，防止終端主機通過光驅(qū)設(shè)備泄露涉密信息。

5 結(jié)束語

通過終端安全管控系統(tǒng)的部署，探索了一套能夠解決"什么人能上網(wǎng)、什么機器能上網(wǎng)、上網(wǎng)的用戶有權(quán)做什么、用戶在網(wǎng)上都做了什么"這些在日常網(wǎng)絡(luò)安全管理中難于解決的問題的辦法，可實現(xiàn)了園區(qū)網(wǎng)內(nèi)部用戶身份的實名化、網(wǎng)絡(luò)接入的有序化、資源控制的區(qū)域化、安全管理的智能化、問題發(fā)現(xiàn)的前置化和防護措施的一體化，從而實現(xiàn)了網(wǎng)絡(luò)安全從被動響應(yīng)到有預(yù)見性、主動性的防御方式轉(zhuǎn)變。

[1]陳志慧.終端安全準入與管理的技術(shù)策略探討[J].企業(yè)技術(shù)開發(fā),2013(10):56-57.

[2]黃 俊.大型企業(yè)計算機終端安全管理現(xiàn)狀與策略分析[J].科技信息,2013(11):99,136.

[3]楊國利,代 祥,毛悍東.內(nèi)網(wǎng)終端安全檢查與接入控制的設(shè)計與實現(xiàn)[J].計算機工程與應(yīng)用,2013(6):109-113.

[4]耿慶峰.終端安全建設(shè)在電力企業(yè)中的應(yīng)用[J].中國新通信, 2013(23):87-88.

[5]孟粉霞,王 越,雷 磊.統(tǒng)一終端安全管理系統(tǒng)在內(nèi)網(wǎng)中的分析及應(yīng)用[J].信息系統(tǒng)工程,2013(8)：70-71.

[6]王 銳.構(gòu)筑企業(yè)級終端安全管理平臺[J].電子技術(shù)與軟件工程,2013(15):197-198.

Construction of Campus Network Terminal Security Management and Control System

MA Liang
(Shijiazhuang Army Command College,Shijiazhuang Hebei 050084,China)

Starting with some existing hidden troubles in terminal security,with a view to the problems of who can access the network,which computer can access the network,what rights the online user has and what the online user has done,this paper analyses the terminal security management and control target,proposes the design concept of campus network terminal security management and control system.At the same time,this paper plans and develops the system in aspects of region,access control gateway,drainage rule,client and checking strategy,describes in detail the technical realization of access permission control,terminal health examination and terminal user behavior management,and proposes the suggestions on construction of campus network terminal security management and control system.

campus network;terminal;security;management and control;system

TP393

A

1008-1739（2014）22-64-4

定稿日期：2014-10-26