網(wǎng)絡終端與用戶行為安全管理方法探索

趙婷婷

摘要：隨著網(wǎng)絡技術應用的不斷深入，網(wǎng)絡與信息安全發(fā)展進入全新時代，而網(wǎng)絡終端安全作為網(wǎng)絡的最基本安全防護策略之一，在網(wǎng)絡安全防護中具有相當重要的作用。本文以南京不動產(chǎn)統(tǒng)一登記為例，對網(wǎng)絡終端和用戶行為安全管理進行全面分析，實時檢測系統(tǒng)補丁和病毒庫版本，配置合理桌面安全策略管控用戶行為，實現(xiàn)網(wǎng)絡準入控制，結合用戶良好的信息安全意識和使用習慣，從一定程度上提高不動產(chǎn)統(tǒng)一登記數(shù)據(jù)安全防護水平，有效保護整個規(guī)劃資源網(wǎng)絡安全。

關鍵詞：網(wǎng)絡終端;用戶行為;網(wǎng)絡準入控制;安全防護;網(wǎng)絡安全

1主要挑戰(zhàn)

1.1內(nèi)部網(wǎng)絡面臨挑戰(zhàn)

攻擊方法日新月異，內(nèi)部安全防范任務艱巨，ARP欺騙與惡意插件泛濫問題，網(wǎng)絡釣魚等新的安全問題，內(nèi)網(wǎng)主機被植入木馬或其他惡意程序成為“肉雞”或“僵尸”，用以竊取內(nèi)網(wǎng)機密數(shù)據(jù)，或將其作為DDOS（分布式拒絕服務攻擊）工具向外發(fā)送大量數(shù)據(jù)包，占用網(wǎng)絡帶寬;由于內(nèi)部網(wǎng)絡各平臺主機和設備沒有及時升級安全補丁和殺毒軟件病毒庫，給惡意入侵提供可乘之機，使得病毒和蠕蟲大規(guī)模爆發(fā)成為可能，導致內(nèi)網(wǎng)癱瘓;非法外聯(lián)難以控制，內(nèi)部重要機密信息容易泄露，內(nèi)部用戶誤將內(nèi)外網(wǎng)互聯(lián)，使得內(nèi)網(wǎng)資源暴露，攻擊或病毒乘機攻入，或通過移動終端等不受監(jiān)控的網(wǎng)絡通道將內(nèi)部機密信息泄露;便攜式計算機等移動設備經(jīng)常接入內(nèi)網(wǎng)使用，若管理不當，很有可能攜帶病毒或者木馬，未經(jīng)審查評估或安全測試就直接接入，將對內(nèi)網(wǎng)安全構成巨大威脅;隨時更換計算機終端IP地址等配置，導致難于統(tǒng)一管理，出現(xiàn)安全事件難以定位責任主體;缺乏U盤、移動硬盤、光驅等外設的靈活管理手段，數(shù)據(jù)泄露、病毒傳播難以控制;管理制度缺技術手段保障，安全策略無法有效落實。盡管已經(jīng)制定安全管理制度，加強網(wǎng)絡安全意識培訓，但只依靠人員的工作責任心和自覺性，無法有效杜絕問題，還需要依靠靈活實用的技術手段，保障管理制度政策的落實和嚴格執(zhí)行。

1.2傳統(tǒng)安全技術局限

隨著不動產(chǎn)業(yè)務形式不斷推廣，網(wǎng)絡邊界逐漸模糊，通過VPN、網(wǎng)閘等方式連接內(nèi)網(wǎng)成為可能，使得終端的信息濫用、誤用、惡意使用行為增加，傳統(tǒng)安全技術如防火墻、入侵檢測、防病毒等稍顯無力。對于防火墻、防病毒網(wǎng)關、網(wǎng)閘等用于網(wǎng)絡邊界訪問控制的網(wǎng)關防護產(chǎn)品，重點是防止外部病毒和外部攻擊，缺乏對內(nèi)部終端的攻擊防護;對于網(wǎng)絡入侵檢測、主機入侵檢測、安全審計等系統(tǒng)網(wǎng)絡審計產(chǎn)品，采用的監(jiān)測技術重點是發(fā)現(xiàn)和記錄攻擊、非法訪問等安全事件發(fā)生，需與其他安全產(chǎn)品聯(lián)動實現(xiàn)對攻擊行為的阻斷;現(xiàn)有安全解決方案的防御重點是外網(wǎng)攻擊，內(nèi)網(wǎng)保護基本依靠防病毒軟件，而防病毒軟件經(jīng)常出現(xiàn)被隨意卸載或禁用，病毒庫更新不及時等情況，安全體系存在很大缺陷，無法防止蠕蟲病毒利用漏洞傳播，無法限制內(nèi)網(wǎng)資源濫用，無法防止非法外聯(lián)行為。顯然，網(wǎng)絡終端安全管理是信息安全木桶原理中的短板，只有解決好基礎問題，才能提高整個網(wǎng)絡系統(tǒng)的堅固耐用性。

2網(wǎng)絡終端與用戶行為安全管理

2.1網(wǎng)絡安全現(xiàn)狀

南京規(guī)劃資源網(wǎng)絡系統(tǒng)遵循模塊化的設計思路，根據(jù)不同應用系統(tǒng)的需求按照縱向分層、橫向分區(qū)的設計理念進行合理規(guī)劃。以不動產(chǎn)統(tǒng)一登記系統(tǒng)平臺所對應的不同服務對象為依據(jù)進行區(qū)域劃分，區(qū)域間按照業(yè)務安全等級進行隔離防控，使不動產(chǎn)登記平臺更加具有可擴展性，業(yè)務流量更加清晰，運維管控更加便捷。

2.2安全管理需求

2.2.1支持多場景準入控制模式

不動產(chǎn)統(tǒng)一登記網(wǎng)絡終端及用戶遍布多個不同分中心、檔案館等，網(wǎng)絡接口如何防止非法電腦接入，檢測接入的電腦是否安全，并能夠適應現(xiàn)有復雜的網(wǎng)絡環(huán)境，靈活行使準入控制策略。

2.2.2內(nèi)部數(shù)據(jù)防泄漏

不動產(chǎn)統(tǒng)一登記系統(tǒng)包含大量登記信息，而正常工作中又存在需要使用外聯(lián)設備的情況，需要靈活有效地防止終端用戶通過U盤、內(nèi)存卡等外傳泄露。

2.2.3終端安全合規(guī)性

避免辦公終端系統(tǒng)隨意安裝軟件、修改IP管理地址等不符合內(nèi)部安全管理規(guī)定的行為。

2.2.4終端統(tǒng)一運維

不動產(chǎn)登記網(wǎng)絡終端分布分散，需實現(xiàn)終端快速定位，軟硬件資產(chǎn)統(tǒng)計、統(tǒng)一管理，統(tǒng)一推送軟件，必要時對終端進行實時遠程協(xié)助等運維管理。

2.3管理方法實現(xiàn)探索

采用多層次的安全防護技術，從終端接入網(wǎng)絡之前開始，實現(xiàn)終端入網(wǎng)準入、終端安全加固、終端外設管控，保證接入內(nèi)網(wǎng)的終端都是合法、安全、可控的，阻斷不符合安全要求的終端接入。

2.3.1整體描述

不動產(chǎn)統(tǒng)一登記網(wǎng)絡終端配置安全管理客戶端助手，終端連接網(wǎng)絡端口即發(fā)送訪問請求，連接的網(wǎng)絡交換機端口變成UP狀態(tài)，觸發(fā)準入?yún)f(xié)議啟動工作。網(wǎng)絡交換機向終端發(fā)出認證啟動報文信息，終端回復報文進行響應，直到完成準入?yún)f(xié)議的報文交互過程;本文方法將支持準入?yún)f(xié)議架構的網(wǎng)絡交換機作為端口訪問認證器，負責與端口訪問請求終端進行通信，并將來自端口訪問請求終端的身份信息、安全狀態(tài)信息轉發(fā)至認證服務器進行驗證，并依據(jù)認證服務器下發(fā)的授權信息，對端口訪問請求終端進行授權，通過該端口訪問的網(wǎng)絡資源實現(xiàn)對其控制;認證服務器接收端口訪問請求終端的身份信息和安全狀態(tài)檢查信息，并將身份信息發(fā)送至目錄服務器進行驗證，依據(jù)目錄服務器返回的驗證結果，認證服務器選取對應的授權信息，封裝至網(wǎng)絡交換機的回包中，完成對端口訪問請求終端可訪問網(wǎng)絡資源的授權。同時認證服務器將認證和授權信息寫入數(shù)據(jù)庫，用于準入控制審計;目錄服務器主要對收到的用戶名、密碼、數(shù)字證書等身份信息進行驗證，并將驗證結果返回給認證服務器。本文的安全管理方法將認

2.3.2準入認證方式

目前準入認證方式主要有策略路由、網(wǎng)關模式和802.1X三種方式。802.1X是一個國際標準，多廠商支持，管控力度高，結合不動產(chǎn)統(tǒng)一登記網(wǎng)絡現(xiàn)狀，在不改變現(xiàn)有網(wǎng)絡架構、不影響網(wǎng)絡性能的基礎上，選擇802.1X準入認證。

2.3.3用戶行為管理

通過非授權外聯(lián)（U盤等）、無線網(wǎng)卡、藍牙禁用等基本桌面安全控制手段實現(xiàn)用戶行為管理，結合補丁管理、軟件分發(fā)、遠程協(xié)助、設備發(fā)現(xiàn)和拓撲展示，實現(xiàn)對不動產(chǎn)統(tǒng)一登記網(wǎng)絡終端和用戶行為安全管理控制。

2.3.4主備雙認證模式

為了實現(xiàn)更加可靠的網(wǎng)絡安全管理，采用主備雙認證服務器模式，當其中一臺服務器故障無法提供準入認證服務時，網(wǎng)絡交換機自動切換至備份服務器進行驗證，無須人工干預，保障網(wǎng)絡安全管理認證和授權功能的高可用性。當雙認證服務器都出現(xiàn)異常，網(wǎng)絡交換機會自動采取AAAnone逃生機制，自動放行所有終端，保證不出現(xiàn)大范圍網(wǎng)絡癱瘓、應用中斷情況。

3總結與展望

本文以南京不動產(chǎn)登記終端管理為例，探索網(wǎng)絡終端與用戶行為安全管理方法，從終端接入網(wǎng)絡之前開始著手，實現(xiàn)終端入網(wǎng)準入、終端安全加固、終端外設管控，阻斷不符合安全要求的終端接入，確保授權接入的終端合法、安全、可控。結合各種行為管理策略，靈活有效地實現(xiàn)終端用戶行為管理，防止內(nèi)網(wǎng)用戶終端隨意連接互聯(lián)網(wǎng)，確保登記信息不從移動存儲外泄，保證數(shù)據(jù)安全。

參考文獻

[1]祖峰.計算機終端安全管理策略及應用的研究[D].北京郵電大學，2008.

[2]楊大偉，鄭澎.終端安全管理系統(tǒng)提升運維效率[J].網(wǎng)絡安全和信息化，2017（3）：122-123.

[3]李峰，寧瑩，孫明，等.企業(yè)網(wǎng)絡用戶行為管理[C]//寧夏青年科學家論壇.2010.