王彥文

【摘要】網絡中大量存在、數量最多的終端已經成為企業(yè)中大量安全事件的直接風險來源，本文主要通過對終端風險分析，提出解決風險的思路。從終端入網的源頭開始，通過交換機和終端管控系統(tǒng)的互動控制，不滿足安全條件的終端禁止入網。并且終端使用過程中的關鍵操作進行監(jiān)控和控制。

【關鍵詞】終端管控自動化安全監(jiān)控

一、概述

信息技術革命和經濟全球化的發(fā)展，使企業(yè)間的競爭已經轉為技術和信息的競爭，企業(yè)是否能長期生存、企業(yè)的業(yè)務是否能高效的運作也越來越依賴于是否有一個穩(wěn)定、安全的信息系統(tǒng)和數據資產。因此，保證企業(yè)知識資產的安全，已經成為現代企業(yè)發(fā)展的必然要求，信息安全能力已成為企業(yè)核心競爭力的重要部分。

但是大多數企業(yè)的安全防護卻忽視了網絡中大量存在、數量最多的終端的安全防護，而且終端往往是企業(yè)信息系統(tǒng)中比較難于控制，安全性最差的最短的那塊木板，是企業(yè)中大量安全事件的直接風險來源。終端所面臨的安全威脅已不再僅僅是傳統(tǒng)的病毒，而是更加復雜的惡意代碼（廣義病毒）、黑客攻擊，以及內部終端用戶有意或無意的系統(tǒng)資源濫用、敏感信息竊取和泄密等。

二、終端管控背景

終端安全管控主要面臨著“管”、“控”、“防”3個方面的問題。

2.1安全管理角度

隨著企業(yè)網絡規(guī)模的擴大和應用的不斷豐富，終端數量增加，地理分布更加廣泛，訪問需求更加復雜，使得企業(yè)對桌面終端管理的要求已經無法通過簡單的手工維護方式來實現。

數量眾多的終端具有不同的操作系統(tǒng)版本、補丁版本，用戶又隨意安裝各種應用軟件，使得管理員缺乏有效的手段進行集中管理。如何明確終端資產數量，終端實時使用狀態(tài)，也是終端管理員非常傷腦筋的事。

2.2 安全控制角度

企業(yè)網絡的合法使用者在安全防護較差的外網環(huán)境中使用VPN連接、遠程撥號、無線AP、以太網接入等等網絡接入方式連接到企業(yè)網，在外網和企業(yè)內網之間建立一個訪問通道，成為成為了非法用戶進入企業(yè)網絡的跳板。

企業(yè)制定的防病毒、安全配置、補丁、安全軟件使用等安全策略很難被終端用戶準確無誤的貫徹并執(zhí)行。很容易成被惡意攻擊者利用攻擊企業(yè)內部網絡。

互聯(lián)網文件傳輸越來越便利，移動電腦的普遍使用，而且大量支持USB連接的設備不斷涌現，使得企業(yè)的機密信息很可能便被方便地傳出。

2.3安全防護角度

病毒、蠕蟲很容易通過各種途徑侵入企業(yè)的內部網絡，除了利用企業(yè)網絡安全防護措施的漏洞外，最大的威脅卻是來自于網絡用戶的各種危險的應用：不安裝殺毒軟件；安裝殺毒軟件但未能及時升級；網絡用戶在安裝完自己的辦公桌面系統(tǒng)后未進行各種有效防護措施就直接連接到危險的開放網絡環(huán)境中；移動用戶計算機連接到各種情況不明網絡環(huán)境后，在沒有采取任何措施情況下又連入企業(yè)網絡；終端用戶在使用各種數據介質、軟件介質時都可能將病毒、蠕蟲在不知不覺中帶入到企業(yè)網絡中，給企業(yè)帶來無法估量的損失。

終端用戶辦公桌面上的各種應用軟件不勝繁雜，每一個軟件系統(tǒng)都有不可避免的潛在的或已知的軟件漏洞，每天軟件開發(fā)者都在生產漏洞，每時每刻都可能有軟件漏洞被發(fā)現被利用。這些漏洞均有可能使得黑客輕而一舉的獲得聯(lián)網用戶使用其它系統(tǒng)的口令，重新占領另一系統(tǒng)。

三、解決目標和效果要求

為了解決計算機終端存在的安全問題，提出安全管控的目標。

（1）通過交換機設置，對未進行管控的終端拒絕網絡中資源的訪問。（2）監(jiān)測終端安全配置（補丁、基線、防病毒等），未達到安全配置要求的禁止訪問網絡資源。（3）檢測到終端雙網卡（含WLAN）同時啟用時，拒絕對內網的訪問。（4）IP地址、MAC地址和登錄帳號一一對應，不匹配的禁止訪問網絡資源。（5）對USB接入進行授權訪問，并做好使用日志記錄。（6）特殊敏感終端增加使用錄屏功能。

四、實施原則

終端安全解決方案首先要考慮的是以終端安全和核心業(yè)務的安全防御，其次要考慮部署安全設備及軟件系統(tǒng)的可靠性、可用性；因此，本方案遵循以下設計原則：（1）方案設計始終考慮以終端安全和核心業(yè)務為中心的安全需求；（2）建議的方案設施后不會影響現有業(yè)務系統(tǒng)的安全性，不會降低現有系統(tǒng)的可靠性和可用性，不影響現有系統(tǒng)和網絡的性能；（3）多維度覆蓋風險防御的各個方面；（4）確保網絡不會因為數據保護設備故障而造成中斷；（5）安全產品部署后，不會因此出現性能瓶頸；（6）在不增加現有工作量的基礎上，通過實現統(tǒng)一管理，能夠全面提升安全管理工作的效率。

五、實施思路

通過一個開放式平臺來統(tǒng)一進行管理，簡化風險與合規(guī)性管理。

系統(tǒng)通過靈活自動處理功能簡化工作流，從而大大降低安全和合規(guī)性管理的成本和復雜程度。

通過端到端監(jiān)控，從整體上監(jiān)控整體終端域安全狀態(tài)。提供跨終端、數據、手機和網絡的安全智能管理，以便可以及時洞察并快速響應。

使用簡化的安全操作工作流提高終端維護的效率。簡化管理任務，減輕繁雜的審計，減少與安全管理相關的硬件成本。

使用可擴展的開放式體系結構，保證后期可與其他安全解決方案的管理功能融合后進一步提升安全管控水平。

5.1劃分安全區(qū)域

按照安全級別要求，劃分為工作區(qū)（正常的工作網路，用戶通過身份認證和安全檢查后進入的網絡）、訪客區(qū)（供來賓和未通過身份檢查的終端進入的網絡，該網絡與工作區(qū)網絡隔離，作為統(tǒng)計識別使用）、隔離區(qū)（通過身份認證但是沒有通過安全檢查的計算機進入的網絡，在這個網絡內計算機可以在完成安全加固修復后重新申請進入工作區(qū)）。

5.2強制終端安全檢查

利用技術手段強制接入的終端進行安全檢查，建立安全檢查與網絡接入的互動機制，避免了外來終端隨意接入網絡及內部終端不滿足安全條件在網使用的現象發(fā)生，如圖所示。

5.3防攻擊

通過終端管控，可防護已知和未知的病毒木馬，可防范內存溢出攻擊，可防范APTs，策略統(tǒng)一下發(fā)，終端統(tǒng)一監(jiān)控，整體風險分析，虛擬補丁等能力。

5.4數據泄露保護

5.4.1數據流失保護

通過系統(tǒng)配置，控制數據的使用和存儲，保護敏感資料不被有意或無意的泄漏，提升基礎架構和數據本身擁有防護能力。

實時發(fā)現泄露風險，進行防護、阻擋或敏感數據隔離，同時及時通知安全人員進行處理。

5.4.2設備控制

監(jiān)控并且只允許授權的設備連接到內網；限制并且阻擋未授權的設備連接（如：外部的MP3，U盤等）；強制控制可以被復制到授權設備上的數據內容；僅允許指定設備或數據的使用；

詳細記錄用戶和設備的訪問信息以符合審計和合規(guī)的要求。

5.4.3終端加密

可以基于文件或文件夾對筆記本電腦，桌面機和移動介質中的內容進行加密；保證設備遺失的時候存儲在上面的數據不被泄漏。

5.4.4U盤管控

通過U盤的集中管理，強制的訪問保護和加密，實現敏感數據對外傳輸的控制，并確保授權用戶使用的外部介質的安全。

5.4.5配置參數

（1）包括系統(tǒng)的操作系統(tǒng)、版本、CPU、內存、硬盤空間，IP地址、DNS、網關等系統(tǒng)信息。（2）終端的安全配置狀況（違規(guī)情況）。包括完整性檢查策略中定義的安全配置要求項目。（3）終端的文件訪問及程序運行。包括對特定文件的讀取、修改、刪除以及應用程序、進程的運行狀態(tài)情況。（4）終端的外設使用狀況。包括監(jiān)控記錄外設的接入、使用及禁止情況。（5）屏幕監(jiān)控及截圖。

六、創(chuàng)新點

（1）強大的工作流，可以顯著提高終端管理員的工作效率，快速制定和部署安全措施，及時響應出現的事件和問題。（2）通過有效縮短事件響應時間的端到端監(jiān)控和自動化功能，能夠顯著增強終端安全保護能力，降低終端安全風險，提高終端安全管理的效率。（3）關鍵文件受到嚴格監(jiān)控，如有違規(guī)更改，管理員實時可以得到告警，防止黑客攻擊或不當使用。（4）只能在一個授權的可控的流程下進行服務器變更，系統(tǒng)會記錄所有的更改操作日志。

七、效果

終端安全管控系統(tǒng)可防護已知和未知的病毒木馬；可防范內存溢出攻擊；防范Advanced Persistent Threats （APTs）；可以起到系統(tǒng)虛擬補丁的作用，為管理員減輕打補丁的壓力；提供高效的安全管控能力。