終端安全管理系統(tǒng)在企業(yè)內網(wǎng)中的應用

李碩

隨著信息安全技術不斷發(fā)展，內網(wǎng)終端安全管理問題日漸突出。本文在分析了當前企業(yè)內網(wǎng)終端安全隱患的基礎上，重點介紹了企業(yè)內網(wǎng)終端安全管理系統(tǒng)的體系構架、主要組件及功能應用。為企業(yè)的信息安全提供了一套完備、有效的內網(wǎng)終端安全一體化解決方案。

【關鍵詞】內網(wǎng)終端 安全管理

1 引言

處理、檢測和預防來自網(wǎng)絡外部的攻擊是目前國內常見的用于防護網(wǎng)絡安全的方式，該方式非常信任網(wǎng)絡內的計算機。實際上，根據(jù)統(tǒng)計結果顯示，只有千分之一的安全事件是來自外部攻擊，而絕大多數(shù)的安全問題都是來源于網(wǎng)絡內部。對于客戶端的安全管理不僅是管理企業(yè)內部局域網(wǎng)最繁雜的工作，也是關系到整個局域網(wǎng)安全運行的關鍵所在。有的企業(yè)采用了物理隔離的方式將內網(wǎng)和外網(wǎng)分開，有的企業(yè)要求必須通過統(tǒng)一的網(wǎng)關連接內網(wǎng)計算機和外網(wǎng)，同時為了加強網(wǎng)關安全，采用IDS監(jiān)控的同時，加裝防火墻。盡管如上述所示的各類安全措施都得到了實現(xiàn)，眾多管理者們卻仍然頭疼于泄密事件或其它各類內網(wǎng)安全事件的頻繁發(fā)生。

企業(yè)內網(wǎng)中終端安全隱患隨時隨地都可能威脅到用戶網(wǎng)絡的正常運行，總結起來，內部網(wǎng)絡管理大致面臨以下問題：

（1）終端設備的系統(tǒng)漏洞如何檢測并自動分發(fā)補??；

（2）內部局域網(wǎng)如何防范存儲設備和筆記本電腦的任意接入；

（3）U盤造成的病毒傳播和信息泄漏如何防止；

（4）內網(wǎng)設備非法外聯(lián)如何防范；

（5）怎樣在全網(wǎng)制訂統(tǒng)一的安全策略；

（6）如何防范內部涉密重要信息的泄露；

（7）已接入網(wǎng)內的電腦的軟件安裝情況如何管理與監(jiān)控。

（8）如果網(wǎng)絡遭受到黑客、蠕蟲和病毒攻擊后，如何迅速定位被攻擊終端，并有效和快速的對發(fā)生問題的引入點的網(wǎng)絡進行切斷。

（9）如何建立一個可以查詢事件信息、響應安全事件的平臺，做到對網(wǎng)絡資源進行全面管理，對報警信息進行有效處理。

2 系統(tǒng)分析與應用

在企業(yè)中，內網(wǎng)的終端安全管理系統(tǒng)實施是一個復雜工程。網(wǎng)絡安全問題關聯(lián)著多種基礎的安全服務，包括：可靠性、可用性、審計、抗抵賴，保證數(shù)據(jù)完整和保密，控制訪問和及時驗證身份等。在構建終端安全管理系統(tǒng)前期，針對不同企業(yè)對信息安全保密要求不同的問題，需要進行綜合有效的風險分析，進而形成對各種風險合理控制的系統(tǒng)安全策略，同時根據(jù)具體需求與成本控制，調整與定制系統(tǒng)功能模塊組合，把各項安全控制的功能模塊融合在一個統(tǒng)一的管理、監(jiān)控和響應的系統(tǒng)中。

2.1 系統(tǒng)體系構建

系統(tǒng)的基礎是XML，并且可以對系統(tǒng)架構進行擴展，在進行修改和擴展功能時具有低成本優(yōu)勢。系統(tǒng)組件可以進行升級與功能的無縫擴展，并且支持API標準以及可以分布式部署，可以定制模塊化軟件等功能，采用C/S模式應用在各個組件之間。系統(tǒng)服務器安裝在專業(yè)的數(shù)據(jù)服務器上，配置相應數(shù)據(jù)庫。客戶端如果要與數(shù)據(jù)服務器進行連接，必須首先通過安全認證。服務器的作用是對于客戶端日志和策略進行存儲，同時收集客戶端日志和下發(fā)策略。通過HTTPS協(xié)議實現(xiàn)不同層級服務器的連接，完成對數(shù)據(jù)的統(tǒng)計和收集，數(shù)據(jù)類型包括：日志、報警信息和組織結構。系統(tǒng)客戶端安裝在內網(wǎng)中的終端計算機上，實時監(jiān)控客戶端的網(wǎng)絡行為和安全狀態(tài)，實現(xiàn)客戶端安全策略管理?？刂婆_則是管理員實現(xiàn)對系統(tǒng)管理的工具?？刂婆_與服務器進行鏈接的前提都是必須通過安全認證?？刂婆_在鏈接后可以管理，審查數(shù)據(jù)以及制定和發(fā)放策略。準入控制網(wǎng)關設備部署在機房核心交換機旁路，在核心交換機配置相應端口鏡像，監(jiān)控企業(yè)內網(wǎng)中所有數(shù)據(jù)流。企業(yè)內網(wǎng)終端安全管理系統(tǒng)結構如圖1所示。

2.2 系統(tǒng)組件分析

終端安全管理系統(tǒng)是以終端管理為核心，集八種主要組件為一體的綜合安全管理體系，系統(tǒng)組件分析如下：

（1）SQL Server管理信息庫：建立終端安全管理系統(tǒng)的初始化數(shù)據(jù)庫。報警、改變設備屬性、機器的注冊和未注冊信息，設備掃描器、區(qū)域管理器、客戶端等設備的屬性以及管理區(qū)域的范圍的相關信息都屬于該初始化的數(shù)據(jù)庫信息。

（2）網(wǎng)頁管理平臺：系統(tǒng)的管理配置中心。針對下列幾個方面進行配置管理：在客戶方面，對系統(tǒng)用戶進行維護，設定注冊客戶端的各類參數(shù)。在設備方面，識別網(wǎng)絡設備相關信息，包括掃描器、區(qū)域管理器。在策略方面，設定任務定義，為系統(tǒng)制定相關策略。

（3）區(qū)域管理器：系統(tǒng)數(shù)據(jù)處理中心。主要任務是接受和下達指令和對數(shù)據(jù)庫的管理。使用范圍是：不同客戶端、服務器以及通訊掃描終端設備。最終建立一個多級管理的網(wǎng)絡，系統(tǒng)數(shù)據(jù)在不同層級的區(qū)域管理器之間實現(xiàn)逐級傳遞。

（4）Winpcap程序：是嗅探所需的驅動軟件，主要功能是實現(xiàn)對網(wǎng)絡上的數(shù)據(jù)進行監(jiān)聽。

（5）客戶端注冊程序：訪問指定網(wǎng)站自動獲得，用戶填寫必要的信息后，運行該程序，區(qū)域管理器將收到注冊終端的相關信息，同時終端可以接收、執(zhí)行各種下發(fā)的指令。區(qū)域管理器獲取相關硬件的信息，包括來自用戶自填的信息和被系統(tǒng)自動偵測到的信息。程序使用策略會在管理器受到相關信息后自動的傳輸?shù)娇蛻舳?，并實現(xiàn)即時更新。

（6）與Internet相連，并以及時對軟件開發(fā)商發(fā)布的補丁進行及時下載的服務器被稱作補丁下載服務器。

（7）用來保護計算機免于病毒攻擊和防止惡意沖突計算機IP的模塊叫做管理器主機保護模塊。對于網(wǎng)絡安全級別要求高的計算機進行網(wǎng)絡配置，主要是通過網(wǎng)絡應用、IP范圍、網(wǎng)絡協(xié)議、相關服務器的端口和管理器進行定義實現(xiàn)的。

（8）通過手機短信、SNMP Trap、信使服務、email等方式通知管理員危險級別和報警事件的模塊叫做報警中心模塊。任何計算機只要能夠和區(qū)域管理器共享一個服務器，并可以正常通信，都可以安裝該模塊。

2.3 系統(tǒng)功能應用

終端安全管理系統(tǒng)從以下幾個方面對終端系統(tǒng)進行管理：

2.3.1 資產管理

管理全網(wǎng)硬件資產和軟件資產，以及軟、硬件設備的變更與備份信息。

2.3.2 安全準入控制

終端必須經過身份驗證合格后，才可以被授權和管理，最終實現(xiàn)接入網(wǎng)絡。這是通過對管理和控制終端的安全準入設備實現(xiàn)的。未經授權的或非法用戶由于沒有滿足安全策略或者相關安全要求被禁止加入內部網(wǎng)絡。

2.3.3 非法外聯(lián)管理

中斷、審查、監(jiān)控違規(guī)的外部連接方式包括：紅外、藍牙、4G、WIFI、雙網(wǎng)卡等。但是出于方便辦公的目的，對不同的場景進行不同的策略設置，同時監(jiān)控網(wǎng)絡行為，包括離線終端或者內部重點再沒授權的情況下接入外部網(wǎng)絡等行為，并且對該終端提取證據(jù)、強制關機、斷開連接或者發(fā)送警告燈。

2.3.4 分發(fā)文件和補丁管理

管理和分發(fā)補丁，包括辦公軟件、瀏覽器和操作系統(tǒng)等的相關補丁。同時保證一定的帶寬來確保文件和補丁被及時下發(fā)。

2.3.5 桌面安全管理

防止網(wǎng)絡中出現(xiàn)不安全的終端電腦，避免由于各種不安全因素充斥網(wǎng)絡造成安全風險，實現(xiàn)終端電腦可控和易于管理，實現(xiàn)控制其安全并管理其合規(guī)性，是通過防護和管理桌面終端電腦安全實現(xiàn)的。

2.3.6 加固終端確保安全

管理終端計算機的設置，包括屏幕保護、登錄密碼等，實現(xiàn)管理外部設置到達一定的安全水平。監(jiān)控、審查終端電腦上用戶權限的使用情況，實現(xiàn)變更監(jiān)控。管理審計終端流量和硬件設備，包括顯卡、網(wǎng)卡、內存和硬盤等，防止終端連接非法網(wǎng)絡。

2.3.7 管理控制行為安全

分析、統(tǒng)計和管理終端用戶的傳輸機密信息、各類操作、應用網(wǎng)絡和上網(wǎng)的行為得以實現(xiàn)是因為建設了終端用戶的行為管理體系，從而使客戶終端訪問網(wǎng)絡造成的安全風險也得到降低。

2.3.8 安全U盤和移動存儲設備管理

不同網(wǎng)絡，例如外部網(wǎng)絡、內部辦公和生產網(wǎng)絡之間實現(xiàn)相互工作是通過U盤和其它移動存儲設備實現(xiàn)的，所以必須加強對它的安全管理。常見的管理手段有：使用適用于不同場景的安全U盤和加密內部U盤，不允許外部U盤接入系統(tǒng)，審計U盤操作，認證U盤身份。

2.3.9 外設硬件和端口控制

計算機設備如：打印機、藍牙、紅外、光驅、軟驅、USB和包括PCMCIA、網(wǎng)卡、無線網(wǎng)卡在內的網(wǎng)絡設備，可以通過系統(tǒng)設置禁止或者允許使用在受控主機上，該策略同時也適用于并口和串口。

2.3.10 終端數(shù)據(jù)管理

建設終端數(shù)據(jù)防護體系，對系統(tǒng)內的關鍵電子數(shù)據(jù)和移動介質進行統(tǒng)一管控，實現(xiàn)關鍵存儲介質中的重要信息被完全清除，確保內部信息資源安全、保密、可控。

2.3.11 管理安全審計

集中對終端電腦的行為包括遠程訪問和操作進行審計和記錄，其目的是能夠追蹤、調查安全事件，并分析和統(tǒng)計各類信息，該功能是通過審計和管理終端設備的行為實現(xiàn)的。

2.3.12 管理遠程維護

客戶端的桌面通過管理員進行遠程操作，包括安裝打印機驅動、維護系統(tǒng)、安裝和調試軟件、解決操作問題等。管理員和用戶之間的交流方式包括文字和多媒體通話等，同時管理員還可以錄像和回放屏幕、截圖屏幕、共享桌面、傳送文件等。

3 結論

終端安全管理系統(tǒng)的構建化解了在企業(yè)內網(wǎng)中終端安全管理的被動局面，實現(xiàn)了企業(yè)內網(wǎng)中自上而下的統(tǒng)一控制，保障了內網(wǎng)終端的信息安全，提高了網(wǎng)絡維護工作效率，降低了網(wǎng)絡安全管理成本，對內網(wǎng)安全風險進行有效的預防。該管理系統(tǒng)為企業(yè)提供了終端多位一體、統(tǒng)一管理的解決方案，為用戶創(chuàng)建了一個安全、可靠、穩(wěn)定的辦公環(huán)境。

參考文獻

[1]王越，楊平利，宮殿慶.基于PKI的內網(wǎng)信息安全訪問控制體系設計與實現(xiàn)[J].計算機工程與設計，2011（32）：1249-1253.

[2]孟粉霞，王越，雷磊.統(tǒng)一終端安全管理系統(tǒng)在內網(wǎng)中的分析及應用[J].信息系統(tǒng)工程，2013（08）：70-71.

[3]劉麗.電力企業(yè)計算機桌面終端管理系統(tǒng)應用探討[J].寧夏電力，2010（s1）：180-183.

作者單位

中海油石化工程有限公司 山東省濟南市 250001