東北空管信息安全系統(tǒng)淺析

摘要：本文主要分析了我局信息安全存在的隱患，并詳細(xì)介紹建設(shè)安全終端管理系統(tǒng)如何提高網(wǎng)絡(luò)信息和終端主機(jī)的安全。

關(guān)鍵詞：信息安全 TSM ACL

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-098X（2012）09（c）-0127-02

東北空管局信息化建設(shè)發(fā)展迅猛，已經(jīng)成為我局生產(chǎn)和辦公的重要組成部分。隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)越來越復(fù)雜，覆蓋范圍也越來越廣，目前東北空管局有近二千用戶在使用信息化。伴隨著信息化的發(fā)展，信息安全的問題日益突出，為了確保信息安全，我局建設(shè)了一套終端安全管理系統(tǒng)來解決信息安全問題。

1 東北空管信息化系統(tǒng)介紹

東北空管局信息化覆蓋東北三省，網(wǎng)絡(luò)設(shè)備連接沈陽、哈爾濱、長(zhǎng)春、大連。共有服務(wù)器50余臺(tái)，各類應(yīng)用系統(tǒng)10余套，包括OA系統(tǒng)、即時(shí)通信系統(tǒng)、工程檔案系統(tǒng)、人力資源系統(tǒng)、固定資產(chǎn)系統(tǒng)、通信導(dǎo)航監(jiān)視系統(tǒng)等。各類終端電腦近千臺(tái)，全部采用windows操作系統(tǒng)。

2 東北空管信息安全主要存在的問題

（1）員工安全意識(shí)薄弱。由于員工安全意識(shí)薄弱，設(shè)置弱口令、隨意使用USB移動(dòng)存儲(chǔ)設(shè)備、私自接入互聯(lián)網(wǎng)、不安裝防病毒軟件、不及時(shí)更新防病毒軟件病毒庫、隨意下載并安裝未經(jīng)驗(yàn)證的軟件、不及時(shí)安裝操作系統(tǒng)補(bǔ)丁，可能會(huì)導(dǎo)致重要信息泄密、感染病毒等嚴(yán)重后果。

（2）非法終端用戶接入。外來人員在未經(jīng)許可的情況下，能夠輕易接入并訪問公司的網(wǎng)絡(luò)。

（3）合法終端用戶越權(quán)訪問。因未對(duì)網(wǎng)絡(luò)資源進(jìn)行嚴(yán)格的訪問權(quán)限控制，導(dǎo)致合法終端用戶能夠隨意訪問系統(tǒng)中的機(jī)密信息。

（4）移動(dòng)存儲(chǔ)設(shè)備管理混亂。未區(qū)分網(wǎng)內(nèi)的移動(dòng)存儲(chǔ)設(shè)備和外來的移動(dòng)存儲(chǔ)設(shè)備。在使用網(wǎng)內(nèi)的移動(dòng)存儲(chǔ)設(shè)備對(duì)外傳輸數(shù)據(jù)時(shí)，未對(duì)移動(dòng)存儲(chǔ)設(shè)備中的數(shù)據(jù)進(jìn)行加密，員工可能會(huì)將重要信息拷貝到外來的移動(dòng)存儲(chǔ)設(shè)備并帶走。

（5）Windows操作系統(tǒng)安全漏洞。由于信息網(wǎng)內(nèi)的終端嚴(yán)禁接入互聯(lián)網(wǎng)，所以終端主機(jī)不能及時(shí)安裝補(bǔ)丁，可能招致黑客和惡意用戶的攻擊。

（6）病毒泛濫。因有些用戶未安裝防病毒軟件，終端容易感染病毒，并且容易在信息網(wǎng)中蔓延和傳播。

3 TSM系統(tǒng)介紹

為了解決網(wǎng)絡(luò)管理問題，保障網(wǎng)絡(luò)的暢通、終端主機(jī)的安全和信息數(shù)據(jù)的安全，實(shí)現(xiàn)網(wǎng)絡(luò)安全健康發(fā)展，我局采用了TSM（Terminal Security Management）終端安全管理系統(tǒng)，該系統(tǒng)實(shí)現(xiàn)從終端主機(jī)到業(yè)務(wù)系統(tǒng)的控制和管理功能。

TSM基于TSM代理為信息網(wǎng)提供安全接入控制、終端安全管理、補(bǔ)丁管理、終端用戶的行為管理四大功能。其核心思想是建立網(wǎng)絡(luò)準(zhǔn)入控制機(jī)制，基本功能是安全檢查、訪問控制和安全修復(fù)。有效控制網(wǎng)絡(luò)日漸增多的接入點(diǎn)，包括員工、外部訪客等對(duì)網(wǎng)絡(luò)的訪問，發(fā)現(xiàn)并隔離帶有威脅的終端主機(jī)，提升網(wǎng)絡(luò)防御安全威脅的能力。下圖1為TSM系統(tǒng)結(jié)構(gòu)圖。

該系統(tǒng)把我局信息化網(wǎng)絡(luò)資源分成了認(rèn)證前域、隔離域、認(rèn)證后域。

認(rèn)證前域：部署終端用戶在通過認(rèn)證之前需要訪問的網(wǎng)絡(luò)資源，包括TSM管理器、TSM控制器。認(rèn)證前域只部署終端用戶不需要身份認(rèn)證就能夠訪問的網(wǎng)絡(luò)資源。

隔離域：當(dāng)終端用戶通過了身份認(rèn)證，但未能夠通過安全認(rèn)證時(shí)，終端用戶進(jìn)入隔離域。隔離域部署能夠幫助終端用戶消除違規(guī)信息的網(wǎng)絡(luò)資源（如防病毒服務(wù)器、補(bǔ)丁服務(wù)器）。

認(rèn)證后域：當(dāng)終端用戶通過了身份認(rèn)證和安全認(rèn)證時(shí)，終端用戶進(jìn)入認(rèn)證后域。認(rèn)證后域部署信息網(wǎng)中需要保護(hù)的網(wǎng)絡(luò)資源。

安全接入控制網(wǎng)關(guān)（即防火墻）：連接TSM控制器，并向TSM控制器請(qǐng)求同步認(rèn)證前域的規(guī)則和認(rèn)證后域的規(guī)則，把規(guī)則轉(zhuǎn)換為防火墻的ACL（Access Control List）訪問控制列表。其中認(rèn)證前域?qū)?yīng)1條ACL，每個(gè)受控域?qū)?yīng)1對(duì)ACL。受控域?qū)?yīng)的1對(duì)ACL由permit語句和deny語句組成，分別對(duì)應(yīng)允許訪問受控域和禁止訪問受控域。從交換機(jī)或路由器上接收數(shù)據(jù)流，并檢查進(jìn)入安全接入控制網(wǎng)關(guān)的報(bào)文。根據(jù)報(bào)文對(duì)應(yīng)的IP地址的認(rèn)證狀態(tài)確定下一步如何處理。如果該IP地址未經(jīng)過身份認(rèn)證，安全接入控制網(wǎng)關(guān)將會(huì)使用認(rèn)證前域?qū)?yīng)的ACL對(duì)報(bào)文進(jìn)行處理，該條ACL與管理員在TSM管理器上配置的認(rèn)證前域相對(duì)應(yīng)。如果該IP地址已經(jīng)通過身份認(rèn)證，安全接入控制網(wǎng)關(guān)將該報(bào)文從認(rèn)證前域切換至認(rèn)證后域，并根據(jù)認(rèn)證后域?qū)?yīng)的ACL對(duì)報(bào)文進(jìn)行處理。

TSM代理的主要功能包括：身份認(rèn)證，通過輸入用戶名和口令，完成終端用戶的身份認(rèn)證；安全認(rèn)證，從TSM管理器獲取安全策略參數(shù)，根據(jù)下載的參數(shù)對(duì)終端主機(jī)進(jìn)行安全檢查，例如補(bǔ)丁檢查、殺毒軟件檢查等。當(dāng)終端主機(jī)符合安全要求，則認(rèn)證通過。

4 SM系統(tǒng)在東北空管局的應(yīng)用

為了不改變我局現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，我們采用了安全接入網(wǎng)關(guān)即防火墻旁掛的形式，旁路方式部署在需要保護(hù)的網(wǎng)絡(luò)資源與終端用戶所在的網(wǎng)絡(luò)之間的路由器旁邊，并把路由器中所有網(wǎng)段的流量重定向到防火墻，這樣做的好處是一旦TSM系統(tǒng)出現(xiàn)故障，只需關(guān)閉防火墻，網(wǎng)絡(luò)就恢復(fù)到以前狀態(tài)，將不影響信息網(wǎng)的正常運(yùn)行。

所有終端用戶只有安裝了TSM代理，并輸入有效的身份，經(jīng)TSM控制器認(rèn)證通過后，才能訪問該用戶權(quán)限允許的網(wǎng)絡(luò)資源。

系統(tǒng)管理員通過TSM管理器可以分配用戶的權(quán)限，建立安全策略，如終端用戶禁止接入互聯(lián)網(wǎng)、禁止通過移動(dòng)存儲(chǔ)設(shè)備復(fù)制文件、終端主機(jī)必須安裝殺毒軟件等安全策略。這些策略結(jié)合防火墻的ACL和終端主機(jī)的TSM客戶端，對(duì)用戶的本機(jī)操作和網(wǎng)絡(luò)訪問進(jìn)行保護(hù)和控制。

我局TSM系統(tǒng)經(jīng)過一段時(shí)間的運(yùn)行，證明系統(tǒng)安全有效，管理員通過不同安全策略的實(shí)施，可以靈活有效的管理信息資源和終端用戶的行為，提高了我局信息安全級(jí)別。

5 結(jié)語

我局雖然安裝了終端安全管理系統(tǒng)，但任何網(wǎng)絡(luò)安全防護(hù)產(chǎn)品都不是絕對(duì)安全的，只有大家都樹立信息安全意識(shí)，自覺遵守各項(xiàng)管理規(guī)章和制度，并提高網(wǎng)絡(luò)技術(shù)和管理水平，我局信息網(wǎng)才能安全健康的發(fā)展。

參考文獻(xiàn)

[1] 曾慶凱，許峰，張有東.信息安全體系結(jié)構(gòu)[M].北京：電子工業(yè)出版社，2010.

[2] 林國恩，李建彬.信息系統(tǒng)安全[M].北京：電子工業(yè)出版社，2010.