喻曉偉

摘要：現(xiàn)如今，計算機技術(shù)在我國發(fā)展十分迅速，計算機終端己成為網(wǎng)絡(luò)中大部分事件的起點和源頭；更是病毒攻擊的源頭。因此，只有通過完善的終端安全防護才能夠真正從源頭上控制各種安全事件的發(fā)生，遏制網(wǎng)絡(luò)內(nèi)部發(fā)起的攻擊和破壞。

關(guān)鍵詞：終端防護；網(wǎng)絡(luò)安全；模型

引言：

隨著企業(yè)信息化的廣泛應(yīng)用和企業(yè)信息資源與數(shù)據(jù)的日益積累，信息資源安全成為企業(yè)乃至政府都比較關(guān)注的課題.本文提出一種基于終端防護的網(wǎng)絡(luò)安全模型，可擴展性良好，使用多層次、可堆疊、模塊化的設(shè)計思想，對網(wǎng)絡(luò)安全起到立體防護的作用。

1 終端安全防護存在的主要問題

1.1終端存在安全隱患

一方面，受國家電子信息產(chǎn)業(yè)叢礎(chǔ)的制約，計算機網(wǎng)絡(luò)終端的微處理器、操作系統(tǒng)和基礎(chǔ)軟件都使用國外產(chǎn)品，由于不掌握核心技術(shù)，這些終端本身不可避免地存在著安全漏洞，同時也無法排除存在陷阱、后門等隱患的可能性。

1.2終端入網(wǎng)無安全審查

一些網(wǎng)絡(luò)對終端接入不進行安全審查，即不檢查用戶是否為合法用戶，不檢查終端是否為合法的授權(quán)終端、是否帶有病毒等惡意代碼、是否存在著安全漏洞。

1.3終端操作無安全管控

一些網(wǎng)絡(luò)終端對用戶上網(wǎng)操作行為無安全監(jiān)控和日志審計。這樣就使用戶在終端上能隨意安裝、運行可能帶有病毒等惡意代碼的非授權(quán)軟件；或者故意在終端上運行惡意軟件，傳播惡意代碼、實施破壞或竊密。

2 基于終端防護的網(wǎng)絡(luò)安全模型

2.1邏輯結(jié)構(gòu)

內(nèi)網(wǎng)信息安全管理的核心即客戶業(yè)務(wù)管理流程，采用PDCA的設(shè)計思想，多層次、可堆疊模塊融合而成的管理體系，包括安全策略管理軟件、安全準入控制中心和安全客戶端代理軟件。基于終端防護的網(wǎng)絡(luò)安全模型采用模塊化組件設(shè)計思想，具有很強的擴展性。系統(tǒng)部署包括數(shù)據(jù)支撐系統(tǒng)、文件服務(wù)器、級聯(lián)服務(wù)器、區(qū)域管理器、WEB應(yīng)用服務(wù)器、補丁服務(wù)器、報警服務(wù)器、License管理服務(wù)器。內(nèi)網(wǎng)信息安全管理由安全準入控制中心、安全策略管理中心和安全客戶端代理三大組件構(gòu)成。各平臺組件采用分布式監(jiān)控與策略執(zhí)行點，集中管理的工作模式，組件的通信采用高度壓縮與加密方式，WEB平臺采用HTTP登錄方式。

2.2功能模塊

基于終端防護的網(wǎng)絡(luò)安全模型包括以下功能模塊：網(wǎng)絡(luò)進程監(jiān)視功能模塊：統(tǒng)一匯總和監(jiān)視網(wǎng)絡(luò)各終端的進程，增量式顯示網(wǎng)絡(luò)中新進程，具有網(wǎng)絡(luò)客戶端軟件使用情況統(tǒng)計功能，對網(wǎng)絡(luò)中出現(xiàn)的異常進程進行定位和報警。軟件黑白名單控制功能模塊：制定終端軟件安裝黑白名單，指定禁止安裝和必須安裝的軟件，并可對違規(guī)的終端進行報警提示、終端提示、阻斷聯(lián)網(wǎng)等措施?？蛻舳诉M程應(yīng)用監(jiān)控功能模塊：監(jiān)控網(wǎng)絡(luò)客戶端軟件的違規(guī)使用情況，控制禁止啟用的程序，直接關(guān)閉終端的違規(guī)進程，對違規(guī)的終端進行報警提示、終端提示、阻斷聯(lián)網(wǎng)等措施。行為安全管理功能模塊：審計使用郵件和網(wǎng)絡(luò)拷貝等可能導(dǎo)致信息泄漏的行為，對用戶指定的目錄及文件進行訪問權(quán)限的控制，HTTP訪問審計，郵件審計，對客戶端的共享目錄訪問行為進行監(jiān)控審計。IP/MAC地址綁定管理功能模塊：對IP地址使用情況進行監(jiān)視和管理，精確統(tǒng)計網(wǎng)絡(luò)計算機設(shè)備，查詢當前網(wǎng)絡(luò)IP資源使用情況；通過系統(tǒng)安全策略下發(fā)對任意客戶端進行IP地址與MAC地址進行綁定管理；提供對關(guān)鍵客戶端進行IP保護，采集IP地址、網(wǎng)卡MAC地址變動情況。補丁管理功能模塊：提供有效的補丁及系統(tǒng)安全配置管理功能，通過中心管理服務(wù)器集中管理用戶網(wǎng)絡(luò)終端設(shè)備的軟件系統(tǒng)的補丁升級、系統(tǒng)配置策略，定義終端補丁下載，補丁升級策略以及增強終端系統(tǒng)安全配置策略并下發(fā)給運行于各終端設(shè)備上的客戶端。

3 終端安全防護方法

3.1準入控制

（1）安全檢查。對終端操作系統(tǒng)補丁、指定軟件（及版木）、防病毒軟件的狀態(tài)進行安全評估，使只有符合安全標準（如安裝了最新的操作系統(tǒng)補丁、及時升級了最新的病毒特征庫等）的終端才準許訪問網(wǎng)絡(luò)。（2）安全認證。對終端的IP地址、MAC地址、所連接交換機的IP地址和端口號、用戶名和口令進行綁定驗證，通過后才允許接入網(wǎng)絡(luò)，防止非法終端和非法用戶接入網(wǎng)絡(luò)。（3）安全修復(fù)。如果終端沒有安裝最新的操作系統(tǒng)補丁和升級了最新的病毒特征庫，那么系統(tǒng)將自動把這個終端隔離到修復(fù)區(qū)進行補丁和病毒特征庫的更新，當終端修復(fù)完成后才準許訪問網(wǎng)絡(luò)。

3.2安全工具

終端需安裝防病毒、防火墻軟件和補丁程序，開啟實時監(jiān)控功能，并及時更新（每周至少升級兩次）?？赏ㄟ^在防病毒服務(wù)器中安裝網(wǎng)絡(luò)防病毒服務(wù)器軟件，在所有終端中安裝網(wǎng)絡(luò)防病毒客戶端軟件的方法來實現(xiàn)終端防病毒的統(tǒng)一管理，阻止病毒在網(wǎng)絡(luò)內(nèi)的大肆傳播。終端需配置單機防火墻軟件，用于控制從網(wǎng)絡(luò)對終端系統(tǒng)的訪問，監(jiān)控網(wǎng)絡(luò)訪問，記錄、統(tǒng)計網(wǎng)絡(luò)訪問數(shù)據(jù)，抵御對終端的探測和攻擊。要經(jīng)常為終端操作系統(tǒng)和應(yīng)用軟件打安全補丁。

3.3安全監(jiān)控

安全監(jiān)控對終端軟硬件資產(chǎn)，用戶操作行為、終端設(shè)備接口、網(wǎng)絡(luò)行為、進程和軟件使用行為等進行多角度、全方位的集中管控，實現(xiàn)對異常、可疑和違規(guī)行為的發(fā)現(xiàn)、報警、記錄、阻斷和審計，并與入侵檢測系統(tǒng)（IDS）聯(lián)動，以達到防止惡意攻擊和保護敏感信息的目的。

3.4安全設(shè)置

設(shè)置強壯口令。所有終端必須設(shè)置強壯安全的開機、屏幕保護和系統(tǒng)登錄三級口令。設(shè)置木地安全策略。關(guān)閉默認“文件和打印共享”，關(guān)閉移動存儲設(shè)備（U盤、硬盤和光盤）的自動運行功能，禁用不必要的外設(shè)端口（如無線網(wǎng)口）。

4 結(jié)語

企業(yè)信息安全是企業(yè)發(fā)展的有力保障，在互聯(lián)網(wǎng)時代，信息安全突顯其重要性.在網(wǎng)絡(luò)安全的實踐中，人們逐漸認識終端防護對于網(wǎng)絡(luò)安全的重要性.本文我們從企業(yè)內(nèi)部網(wǎng)信息安全出發(fā)，從多維度多層面來闡述了基于終端防護的網(wǎng)絡(luò)安全模型，指出實現(xiàn)該系統(tǒng)的關(guān)鍵步驟在于可配置化動態(tài)安全檢查引擎、基于文件指紋的掃描優(yōu)化算法、多層次終端防護管理系統(tǒng).

參考文獻：

[l]孫陽波.準入控制保障內(nèi)網(wǎng)合規(guī)[J].信息安個與通信保密，2008.

[2]肖治庭等.涉密內(nèi)部網(wǎng)用戶終端安全防護研究.[J].電子科技，2008.