薛金川

摘 要：為防范政府部門(mén)、金融機(jī)構(gòu)等單位敏感信息泄露、提高信息安全保護(hù)能力，本文從單位內(nèi)網(wǎng)準(zhǔn)入及終端管控技術(shù)入手，在分析研究?jī)烧呒夹g(shù)原理的基礎(chǔ)上，結(jié)合自身項(xiàng)目實(shí)踐，給出了一種把住終端“準(zhǔn)入”、“管住”兩個(gè)關(guān)鍵環(huán)節(jié)的技術(shù)方案。實(shí)踐證明，該方案有效提升了單位信息安全保護(hù)水平，達(dá)到了預(yù)期目標(biāo)。

【關(guān)鍵詞】?jī)?nèi)網(wǎng)準(zhǔn)入 終端管控 信息安全保護(hù)

1 引言

對(duì)數(shù)據(jù)保密性要求高的政府部門(mén)、金融機(jī)構(gòu)等單位，防止敏感信息泄露始終是一個(gè)嚴(yán)峻的課題。在信息安全保護(hù)實(shí)踐中，各單位往往對(duì)數(shù)據(jù)集中的后臺(tái)服務(wù)端投入精力較多，對(duì)來(lái)自終端的威脅重視不足。

來(lái)自終端的威脅主要為兩方面：一是內(nèi)部網(wǎng)絡(luò)接入層侵入。二是內(nèi)部計(jì)算機(jī)終端安全管理失控。信息安全事件調(diào)查經(jīng)驗(yàn)表明，多數(shù)信息泄露安全事件的突破口來(lái)自終端。因此，各單位在防范敏感信息泄露時(shí)，應(yīng)對(duì)來(lái)自終端的威脅給予足夠的重視，牢牢把住終端“準(zhǔn)入”、“管住”兩個(gè)關(guān)鍵環(huán)節(jié)。

2 原理分析

2.1 網(wǎng)絡(luò)準(zhǔn)入與終端安全之間的關(guān)系

內(nèi)部網(wǎng)絡(luò)準(zhǔn)入，是指在人事管理層面識(shí)別用戶(hù)身份后，通過(guò)技術(shù)手段給予合法用戶(hù)、合法設(shè)備接入的過(guò)程。計(jì)算機(jī)終端安全，是指包含非法外聯(lián)監(jiān)控、移動(dòng)存儲(chǔ)管理等在內(nèi)的一系列安全防范措施，是一個(gè)單位信息安全管理制度的技術(shù)化實(shí)現(xiàn)，構(gòu)成了對(duì)合法接入終端的安全基線。

達(dá)到終端安全基線是目的，網(wǎng)絡(luò)準(zhǔn)入是重要的前置保障手段。在實(shí)踐中，只有把網(wǎng)絡(luò)準(zhǔn)入與終端管控結(jié)合起來(lái)，才能有效實(shí)現(xiàn)內(nèi)網(wǎng)信息安全保護(hù)。

2.2 網(wǎng)絡(luò)準(zhǔn)入實(shí)現(xiàn)原理

當(dāng)前國(guó)際主流的企業(yè)級(jí)實(shí)現(xiàn)技術(shù)主要有802.1x認(rèn)證、安全網(wǎng)關(guān)認(rèn)證等。

實(shí)施802.1x認(rèn)證方式的前提是交換機(jī)支持802.1x認(rèn)證協(xié)議。交換機(jī)與認(rèn)證服務(wù)器聯(lián)動(dòng)，根據(jù)認(rèn)證服務(wù)器下發(fā)的認(rèn)證結(jié)果，提供基于端口的準(zhǔn)入控制。這種認(rèn)證方式的優(yōu)勢(shì)是若在接入層實(shí)施，終端互訪控制力度很強(qiáng)。認(rèn)證前，交換機(jī)接入端口關(guān)閉，終端完全隔離。認(rèn)證后，接入端口開(kāi)啟，相同VLAN內(nèi)的終端可以互訪。缺點(diǎn)是實(shí)施、維護(hù)過(guò)程中網(wǎng)絡(luò)部門(mén)的工作量很大，并且無(wú)法從原理上解決終端用戶(hù)在交換機(jī)端口以下私接HUB的問(wèn)題。

實(shí)施安全網(wǎng)關(guān)認(rèn)證方式需要在生產(chǎn)網(wǎng)絡(luò)中添加硬件安全網(wǎng)關(guān)（防火墻）設(shè)備，旁路部署在核心交換機(jī)側(cè)或匯聚交換機(jī)側(cè)。然后通過(guò)在交換機(jī)上添加策略路由（Policy based routing），將需要認(rèn)證的IP地址范圍內(nèi)終端流量上拉至安全網(wǎng)關(guān)進(jìn)行身份認(rèn)證。安全網(wǎng)關(guān)接收認(rèn)證服務(wù)器下發(fā)的動(dòng)態(tài)ACL，對(duì)流量選擇回注至交換機(jī)或丟棄，從而達(dá)到網(wǎng)絡(luò)準(zhǔn)入的效果。這種認(rèn)證方式的優(yōu)勢(shì)是配置實(shí)施簡(jiǎn)單，對(duì)現(xiàn)有生產(chǎn)網(wǎng)絡(luò)改動(dòng)要求小，并且因?yàn)椴扇∪龑诱J(rèn)證方式，對(duì)人員、部門(mén)遷移支持性好，同時(shí)還能夠有效防止私接HUB的情況。缺點(diǎn)是由于控制點(diǎn)在核心側(cè)或匯聚側(cè)，安全網(wǎng)關(guān)對(duì)終端之間的互訪行為控制力度較弱。

2.3 終端安全實(shí)現(xiàn)原理

為確保管控效果，企業(yè)級(jí)產(chǎn)品基本實(shí)現(xiàn)模式均為在計(jì)算機(jī)客戶(hù)端駐留代理程序，對(duì)信息保密要求較高的單位常見(jiàn)的需求包括以下幾方面：

安全狀態(tài)檢查。最基礎(chǔ)的要求包括是否安裝了要求版本的殺毒軟件，病毒庫(kù)定義是否保持更新等。此類(lèi)功能主要通過(guò)安全代理軟件讀取系統(tǒng)注冊(cè)表及掃描特定位置文件系統(tǒng)實(shí)現(xiàn)。

移動(dòng)存儲(chǔ)管理。根據(jù)各單位信息安全管理要求等級(jí)不同，檢查是否存在違規(guī)使用移動(dòng)存儲(chǔ)介質(zhì)管理的情況。此類(lèi)功能主要通過(guò)安全代理軟件提升運(yùn)行權(quán)限后向操作系統(tǒng)底層驅(qū)動(dòng)注入代碼實(shí)現(xiàn)。

非法外聯(lián)監(jiān)控。對(duì)信息保密要求高的單位，接入內(nèi)網(wǎng)的計(jì)算機(jī)終端通常都是禁止與互聯(lián)網(wǎng)直接或間接連通的。檢查非法外聯(lián)的通常做法是安全代理軟件定期檢查與某個(gè)互聯(lián)網(wǎng)地址的連通性，若有連通便會(huì)觸發(fā)監(jiān)控報(bào)警。

3 項(xiàng)目實(shí)踐案例

筆者作為項(xiàng)目負(fù)責(zé)人，于近期完成了一次單位內(nèi)網(wǎng)準(zhǔn)入與終端管控項(xiàng)目建設(shè)工作。該項(xiàng)目實(shí)施環(huán)境為政府機(jī)構(gòu)辦公內(nèi)網(wǎng)，實(shí)施目標(biāo)網(wǎng)絡(luò)運(yùn)行著單位內(nèi)部辦公系統(tǒng)以及大量對(duì)外服務(wù)的業(yè)務(wù)系統(tǒng)，生產(chǎn)網(wǎng)絡(luò)割接需要慎重。同時(shí)，在嚴(yán)格管控USB存儲(chǔ)介質(zhì)等外設(shè)使用的制度要求下，又因業(yè)務(wù)特點(diǎn)，需要使用品種型號(hào)各異的Ukey等特種設(shè)備。因此該項(xiàng)目建設(shè)中必須遵循對(duì)現(xiàn)有生產(chǎn)網(wǎng)絡(luò)及系統(tǒng)影響最小的原則。

為達(dá)到上述目標(biāo)，筆者在對(duì)網(wǎng)絡(luò)準(zhǔn)入及終端管控技術(shù)進(jìn)行研究的基礎(chǔ)上，對(duì)市場(chǎng)相關(guān)主流產(chǎn)品進(jìn)行了長(zhǎng)達(dá)半年的多方調(diào)研與測(cè)試選型。根據(jù)單位綜合布線基礎(chǔ)設(shè)施現(xiàn)狀、業(yè)務(wù)系統(tǒng)特點(diǎn)等實(shí)際情況，最終確定了使用硬件安全網(wǎng)關(guān)實(shí)現(xiàn)準(zhǔn)入，在客戶(hù)端駐留代理程序與安全網(wǎng)關(guān)聯(lián)動(dòng)實(shí)現(xiàn)終端管控的技術(shù)路線。

在項(xiàng)目實(shí)施中，筆者總結(jié)了以下幾點(diǎn)經(jīng)驗(yàn)：

（1）終端安全管控軟件部署應(yīng)嚴(yán)格遵循“充分測(cè)試，穩(wěn)步推進(jìn)”的原則。由于終端安全軟件本身原理決定的底層侵入性（提權(quán)運(yùn)行、操作系統(tǒng)驅(qū)動(dòng)及協(xié)議棧注入等），部署過(guò)程必須先選取運(yùn)行重要業(yè)務(wù)系統(tǒng)、特種外設(shè)部門(mén)的計(jì)算機(jī)為試點(diǎn)，局部安裝客戶(hù)端，排查兼容性風(fēng)險(xiǎn)，積累部署經(jīng)驗(yàn)。

（2）網(wǎng)絡(luò)準(zhǔn)入實(shí)施應(yīng)注意排查啞終端盲點(diǎn)，細(xì)粒度開(kāi)展網(wǎng)絡(luò)割接。因網(wǎng)絡(luò)準(zhǔn)入控制功能需要在終端安裝代理程序與防火墻交互實(shí)現(xiàn)，對(duì)不能安裝代理的啞終端（如網(wǎng)絡(luò)打印機(jī)等非PC類(lèi)設(shè)備），需在硬件網(wǎng)關(guān)設(shè)備上做特殊策略放行。在利用策略路由進(jìn)行流量上拉時(shí)，本質(zhì)是對(duì)生產(chǎn)網(wǎng)絡(luò)的割接。為便于控制與回退，建議采取細(xì)粒度方案，以部門(mén)或樓層VLAN為單位逐個(gè)進(jìn)行實(shí)施。

筆者實(shí)施的項(xiàng)目上線試運(yùn)行后，從功能、性能及兼容性幾方面看，均較好地實(shí)現(xiàn)了項(xiàng)目建設(shè)需求。同時(shí)筆者通過(guò)組織對(duì)現(xiàn)有內(nèi)網(wǎng)在網(wǎng)設(shè)備管理制度開(kāi)展修訂完善，以制度和技術(shù)相結(jié)合的方式，形成了單位內(nèi)網(wǎng)終端準(zhǔn)入控制閉環(huán)，進(jìn)一步提高了內(nèi)網(wǎng)信息安全保障水平。

4 結(jié)語(yǔ)

信息安全保障能否落實(shí)，往往在于一個(gè)“細(xì)”字。要實(shí)現(xiàn)對(duì)信息安全閉環(huán)式管理，僅僅重視信息系統(tǒng)服務(wù)端的保護(hù)是不夠的，必須重視對(duì)每個(gè)入網(wǎng)終端的安全管理。

同時(shí)，我們也必須認(rèn)識(shí)到，對(duì)一個(gè)單位的信息安全管理而言，永遠(yuǎn)是“三分技術(shù)，七分管理”。再好的技術(shù)手段，也只有和管理制度相結(jié)合，并加以強(qiáng)力執(zhí)行，才能達(dá)到預(yù)定的安全目標(biāo)。

作者單位

中國(guó)人民銀行營(yíng)業(yè)管理部 北京市 100045