實(shí)訓(xùn)機(jī)房桌面終端統(tǒng)一安全管控模式探索與應(yīng)用

王 健，柳廣鵬，陳偉杰

（國(guó)家電網(wǎng)有限公司技術(shù)學(xué)院分公司，山東 濟(jì)南 250002）

0 引言

實(shí)訓(xùn)機(jī)房是高校、培訓(xùn)機(jī)構(gòu)學(xué)生學(xué)員學(xué)習(xí)理論知識(shí)與實(shí)踐實(shí)操的公共場(chǎng)所[1]，也是教師與培訓(xùn)師上課、指導(dǎo)實(shí)驗(yàn)的重要平臺(tái)。隨著高校教學(xué)模式轉(zhuǎn)變與信息化技術(shù)不斷革新，實(shí)訓(xùn)機(jī)房在高校中的應(yīng)用越來(lái)越廣泛，如很多教學(xué)、科研、培訓(xùn)、競(jìng)賽、考試等重要項(xiàng)目都要在實(shí)訓(xùn)機(jī)房里完成。隨著實(shí)訓(xùn)機(jī)房需求量的增大，用于實(shí)訓(xùn)機(jī)房建設(shè)的投入增加。部分高校實(shí)訓(xùn)機(jī)房最初的網(wǎng)絡(luò)接入架構(gòu)不具有較好的擴(kuò)展性，大部分實(shí)訓(xùn)平臺(tái)需要將實(shí)訓(xùn)機(jī)房桌面終端直接接入辦公網(wǎng)絡(luò)，對(duì)辦公網(wǎng)絡(luò)具有一定的安全威脅。部分高校實(shí)訓(xùn)機(jī)房采用老舊終端還原方式，無(wú)其他防護(hù)手段，無(wú)法保證終端安全性并且不便于統(tǒng)一管理，存在較大的網(wǎng)絡(luò)安全隱患[2]。一旦病毒接連爆發(fā)，會(huì)引起諸多終端安全事件[3]，對(duì)實(shí)訓(xùn)機(jī)房管理終端安全造成嚴(yán)重威脅[4]。

統(tǒng)計(jì)數(shù)據(jù)顯示，2019年上半年平均每周約23%的企業(yè)發(fā)生過(guò)終端木馬病毒感染事件，83%的企業(yè)終端至少存在一個(gè)未修復(fù)高危漏洞。究其根本存在企業(yè)終端操作系統(tǒng)版本較低，安全維護(hù)成本較高，不能及時(shí)安裝補(bǔ)丁等客觀因素，結(jié)果是企業(yè)終端病毒感染頻發(fā)[5]。在實(shí)訓(xùn)網(wǎng)絡(luò)中，因終端加固普遍缺失并且邊界安全防護(hù)不到位，若無(wú)意間通過(guò)U盤等方式傳播病毒，將在此類網(wǎng)絡(luò)中快速擴(kuò)散，嚴(yán)重威脅網(wǎng)絡(luò)的安全性。本文從網(wǎng)絡(luò)安全角度出發(fā)，針對(duì)實(shí)訓(xùn)室機(jī)房面臨的網(wǎng)絡(luò)安全問(wèn)題，建立實(shí)訓(xùn)桌面終端統(tǒng)一管控模式，實(shí)現(xiàn)了實(shí)訓(xùn)桌面終端統(tǒng)一更新病毒庫(kù)、統(tǒng)一策略分發(fā)、軟件更新、資產(chǎn)管理、終端審計(jì)等功能，減少了實(shí)訓(xùn)桌面終端的日常運(yùn)維工作量，提高了實(shí)訓(xùn)桌面終端的安全性和運(yùn)維效率。

1 實(shí)訓(xùn)機(jī)房桌面終端網(wǎng)絡(luò)安全威脅

實(shí)訓(xùn)機(jī)房網(wǎng)絡(luò)系統(tǒng)龐大，如不具備較強(qiáng)的安全管控手段，在組織大型培訓(xùn)、考試過(guò)程中，會(huì)出現(xiàn)終端藍(lán)屏、勒索病毒傳播等事件，且傳播速度較快，導(dǎo)致培訓(xùn)、考試過(guò)程中斷，并嚴(yán)重威脅辦公網(wǎng)絡(luò)安全。原實(shí)訓(xùn)機(jī)房網(wǎng)絡(luò)拓?fù)淙鐖D1所示。

圖1 原實(shí)訓(xùn)機(jī)房網(wǎng)絡(luò)拓?fù)鋱D

由圖1可見，實(shí)訓(xùn)網(wǎng)絡(luò)與內(nèi)部辦公網(wǎng)絡(luò)僅通過(guò)防火墻進(jìn)行隔離，無(wú)其他安全監(jiān)測(cè)與防護(hù)手段。對(duì)于內(nèi)部辦公網(wǎng)絡(luò)來(lái)說(shuō)，實(shí)訓(xùn)網(wǎng)絡(luò)范圍廣，人員流動(dòng)性較大，屬于不可信網(wǎng)絡(luò)。若實(shí)訓(xùn)網(wǎng)絡(luò)出現(xiàn)信息安全事件，將直接影響辦公網(wǎng)絡(luò)安全。實(shí)訓(xùn)室網(wǎng)絡(luò)具體存在的安全隱患有：

1）實(shí)訓(xùn)桌面操作系統(tǒng)版本不統(tǒng)一，涉及種類較多，如Win7、Win10、Win XP等，無(wú)法有效做好版本控制，安全漏洞無(wú)法及時(shí)有效進(jìn)行修復(fù)。

2）實(shí)訓(xùn)網(wǎng)絡(luò)并發(fā)能力差。部分實(shí)訓(xùn)室桌面終端使用HUB互聯(lián)，對(duì)于統(tǒng)一下發(fā)策略與軟件更新，網(wǎng)絡(luò)并發(fā)能力影響較大。

3）實(shí)訓(xùn)室配備老舊硬件還原卡或軟件還原卡，這些還原卡只提供傳統(tǒng)還原功能，無(wú)法增量系統(tǒng)軟件、補(bǔ)丁或策略。當(dāng)需要對(duì)終端進(jìn)行軟件與系統(tǒng)更新時(shí)，需逐臺(tái)手動(dòng)切換每臺(tái)終端至開放模式，更新完成后再手動(dòng)切換每臺(tái)終端至保護(hù)模式，工作量較大，缺少統(tǒng)一還原卡控制節(jié)點(diǎn)。

4）實(shí)訓(xùn)終端部署實(shí)訓(xùn)桌面與考試桌面雙系統(tǒng)，考試桌面系統(tǒng)采用自動(dòng)獲取IP地址方式接入辦公網(wǎng)，實(shí)訓(xùn)桌面配置靜態(tài)私網(wǎng)地址用于培訓(xùn)教學(xué)。但實(shí)訓(xùn)桌面也可通過(guò)手動(dòng)配置自動(dòng)獲取IP地址方式接入辦公網(wǎng)，從而導(dǎo)致非法接入事件的發(fā)生。

5）實(shí)訓(xùn)桌面終端殺毒軟件更新不及時(shí)，實(shí)訓(xùn)終端的防病毒軟件為個(gè)人免費(fèi)版本，無(wú)法及時(shí)連接互聯(lián)網(wǎng)進(jìn)行病毒庫(kù)更新，若終端遭受惡意攻擊和新型病毒感染，無(wú)法通過(guò)有效手段及時(shí)發(fā)現(xiàn)與阻斷。

6）實(shí)訓(xùn)桌面終端無(wú)法實(shí)現(xiàn)補(bǔ)丁修復(fù)，大部分實(shí)訓(xùn)桌面系統(tǒng)默認(rèn)已關(guān)閉或刪除Windows update服務(wù)，無(wú)法進(jìn)行系統(tǒng)補(bǔ)丁修復(fù)，導(dǎo)致終端中存在大量未修復(fù)漏洞，安全隱患較大。

7）無(wú)法實(shí)現(xiàn)準(zhǔn)入控制、非法外聯(lián)監(jiān)測(cè)、安全基線核查、補(bǔ)丁管理、病毒查殺、移動(dòng)存儲(chǔ)管理、主機(jī)防火墻、終端審計(jì)、軟件分發(fā)、資產(chǎn)管理等功能，不能有效進(jìn)行統(tǒng)一安全管控。在考試前需人工對(duì)每臺(tái)終端進(jìn)行病毒查殺、補(bǔ)丁修復(fù)與軟件安裝，工作量較大。

針對(duì)上述問(wèn)題，實(shí)訓(xùn)室亟需進(jìn)行網(wǎng)絡(luò)安全改造，實(shí)現(xiàn)對(duì)實(shí)訓(xùn)桌面終端準(zhǔn)入檢查、病毒查殺、補(bǔ)丁安裝、安全基線核查等，并實(shí)時(shí)監(jiān)控終端運(yùn)行狀態(tài)，使實(shí)訓(xùn)桌面終端處于較安全狀態(tài)，提高實(shí)訓(xùn)桌面終端安全穩(wěn)定性，間接保障辦公網(wǎng)絡(luò)的安全穩(wěn)定。

2 網(wǎng)絡(luò)安全架構(gòu)優(yōu)化與技術(shù)應(yīng)用

實(shí)訓(xùn)機(jī)房暴露的安全問(wèn)題具有普遍性，同時(shí)又有一定的特殊性。針對(duì)每一項(xiàng)具體的安全問(wèn)題，結(jié)合實(shí)訓(xùn)機(jī)房具體情況，經(jīng)過(guò)反復(fù)論證與實(shí)踐，提出了有效的安全保障措施。

1）統(tǒng)一實(shí)訓(xùn)桌面終端操作系統(tǒng)版本，完全棄用Windows XP系統(tǒng)，根據(jù)不同實(shí)訓(xùn)室的終端硬件配置Win7 sp1旗艦版或Win10專業(yè)版，并保持原版操作系統(tǒng)功能及服務(wù)。在滿足教學(xué)培訓(xùn)及考試要求的同時(shí)，確保能夠統(tǒng)一進(jìn)行自動(dòng)化補(bǔ)丁安裝、系統(tǒng)安全配置等操作。

2）改造實(shí)訓(xùn)室內(nèi)部網(wǎng)絡(luò)，撤除HUB，統(tǒng)一將實(shí)訓(xùn)室桌面終端接入本實(shí)訓(xùn)室網(wǎng)絡(luò)交換機(jī)，實(shí)現(xiàn)終端策略與數(shù)據(jù)快速分發(fā)。

3）更換實(shí)訓(xùn)桌面終端老舊軟硬件還原卡，統(tǒng)一使用新版硬件還原卡。只需將新版還原卡插入終端主機(jī)，并配置操作系統(tǒng)驅(qū)動(dòng)，即可實(shí)現(xiàn)一次部署、多次使用。新版還原卡提供統(tǒng)一管控功能，不僅可以實(shí)現(xiàn)操作系統(tǒng)增量還原功能，還可以實(shí)現(xiàn)計(jì)算機(jī)名按序設(shè)置及操作系統(tǒng)IP統(tǒng)一設(shè)置。還原卡主控端提供對(duì)被控端的統(tǒng)一控制，包括統(tǒng)一切換保護(hù)模式與開放模式，統(tǒng)一喚醒、關(guān)機(jī)、重啟，封禁U盤，廣播教學(xué)等，符合實(shí)訓(xùn)室管理與教學(xué)要求，為建立實(shí)訓(xùn)桌面終端管理流程提供技術(shù)支持。

4）部署內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)（以下簡(jiǎn)稱“管控系統(tǒng)”），實(shí)訓(xùn)桌面終端系統(tǒng)中安裝管理客戶端，形成C/S架構(gòu)部署，對(duì)實(shí)訓(xùn)桌面終端實(shí)現(xiàn)準(zhǔn)入控制、非法外聯(lián)監(jiān)測(cè)、安全基線核查、補(bǔ)丁管理、病毒查殺、移動(dòng)存儲(chǔ)管理、主機(jī)防火墻、終端審計(jì)、軟件分發(fā)、資產(chǎn)管理等功能。

對(duì)已安裝管理客戶端的實(shí)訓(xùn)桌面終端進(jìn)行注冊(cè)，采用樹形組織與部門結(jié)構(gòu)，有效進(jìn)行資產(chǎn)管理。管控系統(tǒng)服務(wù)器端配置安全基線核查策略，若實(shí)訓(xùn)終端存在未安裝必需軟件、系統(tǒng)密碼強(qiáng)度不符合要求、未安裝必要補(bǔ)丁等情況，或出現(xiàn)實(shí)訓(xùn)桌面系統(tǒng)設(shè)置為自動(dòng)獲取IP地址，但未進(jìn)行桌面終端注冊(cè)的情況，管控系統(tǒng)根據(jù)安全基線策略及軟件安裝準(zhǔn)入策略，配合各實(shí)訓(xùn)室網(wǎng)絡(luò)交換機(jī)802.1x準(zhǔn)入?yún)f(xié)議自動(dòng)禁止其接入網(wǎng)絡(luò)，確保不發(fā)生“帶病入網(wǎng)”和非法接入事件。管控系統(tǒng)準(zhǔn)入認(rèn)證過(guò)程如圖2所示。

圖2 管控系統(tǒng)準(zhǔn)入認(rèn)證過(guò)程

5）管控系統(tǒng)可以對(duì)移動(dòng)存儲(chǔ)設(shè)備進(jìn)行授權(quán)及審計(jì)，只允許授權(quán)設(shè)備接入實(shí)訓(xùn)桌面終端，可最大程度杜絕移動(dòng)設(shè)備病毒傳播。管理客戶端具備防病毒軟件及主機(jī)防火墻的功能，并可通過(guò)服務(wù)器端進(jìn)行病毒庫(kù)更新。若終端發(fā)生惡意攻擊、病毒感染等事件，管理客戶端可自動(dòng)進(jìn)行查殺與阻斷，并回傳數(shù)據(jù)到服務(wù)器，及時(shí)告警，后臺(tái)管理員可快速進(jìn)行處置。

6）管控系統(tǒng)具備補(bǔ)丁的下發(fā)安裝功能。服務(wù)器端自動(dòng)匯總實(shí)訓(xùn)桌面終端缺失補(bǔ)丁詳細(xì)信息，后臺(tái)管理員只需在服務(wù)器中導(dǎo)入相應(yīng)補(bǔ)丁，并配置相應(yīng)的下發(fā)策略。在實(shí)訓(xùn)桌面終端開機(jī)并連接到管控系統(tǒng)的情況下，自動(dòng)進(jìn)行補(bǔ)丁安裝，可在短時(shí)間內(nèi)完成桌面終端加固。

7）新版還原卡與管控系統(tǒng)相互配合。使用還原卡主控端統(tǒng)一打開實(shí)訓(xùn)終端開放模式，利用管控系統(tǒng)服務(wù)器端下發(fā)策略進(jìn)行客戶端病毒查殺、病毒庫(kù)更新、補(bǔ)丁修復(fù)等工作，完成后再利用還原卡主控端統(tǒng)一打開實(shí)訓(xùn)終端保護(hù)模式，將已加固完成的操作系統(tǒng)進(jìn)行保存，增加實(shí)訓(xùn)終端的可控性與安全性，減少實(shí)訓(xùn)終端運(yùn)維管理的工作量。

通過(guò)部署安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)、完善實(shí)訓(xùn)桌面操作系統(tǒng)功能、配置增量還原卡、提高網(wǎng)絡(luò)并發(fā)能力等具體舉措，形成完整的實(shí)訓(xùn)桌面終端加固方案，實(shí)現(xiàn)實(shí)訓(xùn)桌面終端高效運(yùn)維的工作流程，大大提高實(shí)訓(xùn)桌面的安全性和運(yùn)維效率。

3 實(shí)訓(xùn)機(jī)房桌面終端統(tǒng)一安全管控模式應(yīng)用成效

通過(guò)實(shí)訓(xùn)桌面終端統(tǒng)一安全管控模式探索與應(yīng)用，實(shí)現(xiàn)實(shí)訓(xùn)桌面終端統(tǒng)一更新病毒庫(kù)、統(tǒng)一策略分發(fā)、軟件更新、資產(chǎn)管理、終端審計(jì)等功能，提升了安全防護(hù)水平，減少了IT運(yùn)維工作的投入，全面實(shí)現(xiàn)信息化技術(shù)監(jiān)管。安全加固后的實(shí)訓(xùn)機(jī)房網(wǎng)絡(luò)拓?fù)淙鐖D3所示。

圖3 安全加固后實(shí)訓(xùn)機(jī)房網(wǎng)絡(luò)拓?fù)鋱D

由圖3可見，實(shí)訓(xùn)機(jī)房經(jīng)過(guò)安全加固后，主要有以下成效：

1）網(wǎng)絡(luò)邊界安全。在實(shí)訓(xùn)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)邊界添加入侵防御（IPS）設(shè)備，監(jiān)測(cè)進(jìn)入辦公網(wǎng)絡(luò)的流量，攔截惡意流量，進(jìn)一步提高邊界安全性。

2）實(shí)訓(xùn)桌面終端安全性。實(shí)訓(xùn)桌面終端使用原版微軟系統(tǒng)，可杜絕系統(tǒng)自帶流氓軟件，新版還原卡與管控系統(tǒng)相互配合，對(duì)實(shí)訓(xùn)桌面終端進(jìn)行設(shè)備準(zhǔn)入檢查、病毒查殺、補(bǔ)丁安裝、安全基線核查等。實(shí)時(shí)監(jiān)控終端運(yùn)行狀態(tài)，使實(shí)訓(xùn)終端保持較安全狀態(tài)，提高實(shí)訓(xùn)終端的安全性，間接保障辦公網(wǎng)絡(luò)的安全穩(wěn)定。

3）實(shí)訓(xùn)桌面終端運(yùn)維管理。病毒查殺、補(bǔ)丁安裝等工作由服務(wù)器下發(fā)策略，客戶端自動(dòng)執(zhí)行。實(shí)訓(xùn)機(jī)房桌面終端也可由每個(gè)實(shí)訓(xùn)機(jī)房的主控端進(jìn)行統(tǒng)一控制，無(wú)需對(duì)每臺(tái)實(shí)訓(xùn)終端進(jìn)行操作，減少運(yùn)維操作工作量，提高運(yùn)維效率。

4）提高培訓(xùn)教學(xué)效率。實(shí)訓(xùn)桌面終端教師機(jī)安裝新版還原卡主控端，主控端提供電子教室、文件共享、遠(yuǎn)程控制等功能，可直接用于培訓(xùn)教學(xué)，無(wú)需使用其他破解版電子教室軟件，提高培訓(xùn)教學(xué)效率。

4 結(jié)語(yǔ)

本文探索實(shí)訓(xùn)桌面終端網(wǎng)絡(luò)安全管理模式，建設(shè)實(shí)訓(xùn)桌面終端統(tǒng)一安全管控平臺(tái)，制定實(shí)訓(xùn)桌面終端網(wǎng)絡(luò)安全提升管理辦法，實(shí)現(xiàn)了實(shí)訓(xùn)終端資產(chǎn)信息、安全配置和用戶行為的集中化、統(tǒng)一化、主動(dòng)化管理，達(dá)到了對(duì)實(shí)訓(xùn)終端統(tǒng)一安全管理、統(tǒng)一安全策略和統(tǒng)一安全審計(jì)的效果。該模式不僅提高了實(shí)訓(xùn)桌面終端運(yùn)維效率，而且降低了實(shí)訓(xùn)終端接入辦公網(wǎng)絡(luò)存在的各種安全風(fēng)險(xiǎn)。面對(duì)日益增多的高級(jí)可持續(xù)威脅攻擊（APT）及0day漏洞攻擊，安全防護(hù)體系由靜態(tài)向動(dòng)態(tài)、由被動(dòng)向主動(dòng)的轉(zhuǎn)變將是下一步研究的方向。