通訊運(yùn)營商內(nèi)網(wǎng)終端安全管理平臺設(shè)計分析

戚帥帥

【摘要】? ? 內(nèi)網(wǎng)終端系統(tǒng)決定著內(nèi)網(wǎng)管理系統(tǒng)以及生產(chǎn)系統(tǒng)的順利使用，同時也影響著辦公系統(tǒng)終端。在現(xiàn)代科學(xué)技術(shù)發(fā)展的推動下，各種類型的網(wǎng)絡(luò)病毒在信息系統(tǒng)中較為常見，對內(nèi)網(wǎng)終端平臺安全造成了較大威脅，因此通訊運(yùn)營商就應(yīng)當(dāng)加強(qiáng)內(nèi)網(wǎng)終端安全管理，通過構(gòu)建安全管理平臺貫徹落實全方位安全控制?；诖?，本文主要探究通訊運(yùn)營商內(nèi)網(wǎng)終端安全管理平臺的構(gòu)建，并針對安全管理平臺的設(shè)計方案進(jìn)行探討，簡述內(nèi)網(wǎng)資源管理等多個模塊的內(nèi)容，以此來提高終端安全管理平臺構(gòu)建的有效性。

【關(guān)鍵詞】? ? 通訊運(yùn)營? ? 內(nèi)網(wǎng)終端? ? 安全管理? ? 平臺設(shè)計

一、基本問題分析

當(dāng)前通訊運(yùn)營商內(nèi)網(wǎng)安全面臨著諸多安全隱患，因此應(yīng)當(dāng)及時優(yōu)化其管理結(jié)構(gòu)，設(shè)計終端安全管理平臺。當(dāng)前主要安全隱患包括以下三個方向：其一，公司內(nèi)部終端都連接著DCN網(wǎng)，經(jīng)過省中心認(rèn)證后，才可進(jìn)行后續(xù)的互聯(lián)網(wǎng)訪問。DCN網(wǎng)具有統(tǒng)一出口的特點，如果DCN網(wǎng)并不屬于集團(tuán)公司，那么則不符合公司的安全運(yùn)營管理需求，不允許其應(yīng)用互聯(lián)網(wǎng)出口功能。[1]其二，諸多辦公與非辦公終端在應(yīng)用時，并未采取物理隔離以及邏輯隔離，IP地址存在混用的情況。進(jìn)而導(dǎo)致辦公終端很容易成為網(wǎng)絡(luò)攻擊的跳板，針對企業(yè)關(guān)鍵業(yè)務(wù)造成較為嚴(yán)重的安全威脅，導(dǎo)致企業(yè)的運(yùn)營面臨著極大的安全風(fēng)險。其三，當(dāng)前DCN網(wǎng)和IP網(wǎng)都沒有落實實名制管理，進(jìn)而導(dǎo)致無法全面追究溯源，使得運(yùn)維管理難度系數(shù)加大，不能滿足企業(yè)的發(fā)展需求。

二、內(nèi)網(wǎng)終端安全管理平臺構(gòu)建概述

（一）建設(shè)目標(biāo)

通過內(nèi)網(wǎng)終端安全管理平臺的有效構(gòu)建，各級區(qū)域的管理人員都可以利用此管理平臺實現(xiàn)對信息的有效管理，通過安全技術(shù)手段的應(yīng)用，實現(xiàn)對計算機(jī)風(fēng)險的評估，快速安裝桌面管理以及內(nèi)網(wǎng)終端補(bǔ)丁，實現(xiàn)全面管理，進(jìn)而提高企業(yè)管理效果，保護(hù)信息安全，企業(yè)重要的信息內(nèi)容也不會因為管理平臺不完善而泄露，而企業(yè)計算機(jī)設(shè)備也不會受到病毒的侵?jǐn)_，使得安全管理效果不斷增強(qiáng)。

（二）建設(shè)要求

根據(jù)通信運(yùn)營商的經(jīng)營情況完善網(wǎng)絡(luò)終端管理平臺的構(gòu)建，通過統(tǒng)一化的管理方式，實現(xiàn)對公司部門以及營業(yè)廳計算機(jī)終端的集中化管理，提高監(jiān)督效果。在初步設(shè)計安全管理平臺時，應(yīng)當(dāng)結(jié)合公司需求，與公司市場部門、客戶部門以及信息部門共同測試安全管理效果。終端安全管理平臺要能夠及時發(fā)現(xiàn)終端設(shè)備的異常，實現(xiàn)其監(jiān)控功能，同時自動恢復(fù)終端設(shè)備數(shù)據(jù)。結(jié)合內(nèi)網(wǎng)邊界安全需求，做好生產(chǎn)內(nèi)網(wǎng)安全管理，確保其不會受到外網(wǎng)攻擊與控制。[2]而企業(yè)辦公生產(chǎn)網(wǎng)絡(luò)嚴(yán)格規(guī)定不可外聯(lián)，做好邊界保護(hù)。

（三）優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)

針對運(yùn)營商內(nèi)部應(yīng)用的辦公網(wǎng)，應(yīng)當(dāng)與DCN網(wǎng)相隔離。針對OA辦公網(wǎng)所需要的功能，通過使用CN2網(wǎng)PE設(shè)備和城域網(wǎng)BRAS等設(shè)備開通，并實現(xiàn)與DCN網(wǎng)MPLSVPN邏輯隔離，在接上相關(guān)網(wǎng)絡(luò)設(shè)備后，也應(yīng)當(dāng)進(jìn)行物理隔離。

通過對網(wǎng)絡(luò)設(shè)備的優(yōu)化改造，OA辦公網(wǎng)應(yīng)用了新型交換機(jī)設(shè)備。同時OA辦公網(wǎng)也接入了原辦公終端的DCN網(wǎng)接入段，從PON端接入具備PON資源的設(shè)備。當(dāng)前OA辦公網(wǎng)應(yīng)用了新型地址段，通過承載網(wǎng)將其與VPN業(yè)務(wù)實現(xiàn)區(qū)分，面對辦公室的IP地址需求，選擇公網(wǎng)私用方式解決現(xiàn)有問題，在終端設(shè)備得到省中心認(rèn)證后，則可以實現(xiàn)在終端設(shè)備上應(yīng)用OA辦公網(wǎng)訪問DCN網(wǎng)，實現(xiàn)Nat轉(zhuǎn)換。

在完成整體網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)化后，全部辦公設(shè)備應(yīng)當(dāng)由原有DCN網(wǎng)，接入OA辦公網(wǎng)，在完成具體認(rèn)證后，通過二選一的方式訪問互聯(lián)網(wǎng)，在DCN網(wǎng)內(nèi)只需保留其IT資產(chǎn)，或者網(wǎng)絡(luò)資產(chǎn)即可，從而有效保障網(wǎng)絡(luò)使用的安全性。

（四）辦公終端安全管理

終端安全管理平臺應(yīng)當(dāng)強(qiáng)制電腦終端安裝桌面安全軟件，通過對網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)的應(yīng)用，實現(xiàn)對OA辦公網(wǎng)的全面管理。辦公終端桌面安全軟件包括殺毒軟件、弱口令賬戶、屏幕保護(hù)、密碼策略設(shè)置以及禁止安裝軟件等多個內(nèi)容，可實現(xiàn)對終端的全面檢查。[3]在檢查過程中如果發(fā)現(xiàn)不符合安全管理需求的情況，終端安全系統(tǒng)會自動對企業(yè)進(jìn)行警告與修復(fù)。

（五）IP地址管理

在加強(qiáng)IP地址管理時，應(yīng)當(dāng)從兩個方面入手。

首先應(yīng)當(dāng)制定完善的IP地址管理制度，明確各級單位使用IP地址的各個環(huán)節(jié)，如申請、注冊、使用、分配、回收等。

其次，構(gòu)建完善的IP地址管理系統(tǒng)，在生產(chǎn)流程中融入IP地址的生命周期管理，實現(xiàn)對IP地址的全面化、動態(tài)化管理，確保管理方式的規(guī)范性。而對于OA網(wǎng)絡(luò)的IP地址，則應(yīng)當(dāng)經(jīng)過系統(tǒng)認(rèn)證后采取實名制管理，具體管理信息包括認(rèn)證時間、OA工號等等。而對于DCN網(wǎng)絡(luò)而言，IP地址的使用則應(yīng)當(dāng)先實名，在完成實名注冊流程以后，才可以允許用戶使用。每一DCN網(wǎng)的IP地址都需要對應(yīng)到相應(yīng)的責(zé)任人，具體責(zé)任信息包括單位部門以及設(shè)備等，以此來保障DCN網(wǎng)絡(luò)使用的安全性。

三、內(nèi)網(wǎng)終端安全管理平臺設(shè)計

構(gòu)建內(nèi)網(wǎng)終端安全管理平臺，實現(xiàn)統(tǒng)一管理的主要核心點應(yīng)當(dāng)圍繞著集中式管理、分級部署而展開，在設(shè)計平臺時，應(yīng)當(dāng)由省中心統(tǒng)一管理，其他地級市以及省二級機(jī)構(gòu)自主完成管理與維護(hù)，在平臺中出現(xiàn)的報警等多項信息應(yīng)當(dāng)上傳至省中心。

首先，在構(gòu)建安全管理平臺時，省中心可以獨(dú)立部署統(tǒng)一管理的中心服務(wù)器，控制網(wǎng)絡(luò)安全，而下屬地級市管理單位也應(yīng)分別部署中心服務(wù)器，省中心服務(wù)器可以利用級聯(lián)服務(wù)器獲取低級服務(wù)器信息內(nèi)容，在派發(fā)管理員權(quán)限時，也應(yīng)當(dāng)由省中心統(tǒng)一管理與派發(fā)。省中心在集中管理中具備最高管理權(quán)利，能夠?qū)ο录壏?wù)器進(jìn)行統(tǒng)一管理，制定管理策略。在安裝網(wǎng)絡(luò)終端時，也應(yīng)當(dāng)配套安裝客戶端程序，以此實現(xiàn)對網(wǎng)絡(luò)終端的全面管理與監(jiān)督，與此同時，網(wǎng)絡(luò)系統(tǒng)終端也應(yīng)當(dāng)安裝相應(yīng)的補(bǔ)丁服務(wù)器以及殺毒軟件，并定期對殺毒信息庫進(jìn)行更新，在與互聯(lián)網(wǎng)相連接時可以進(jìn)行獨(dú)立部署，也可以使用管理服務(wù)器，以此來實現(xiàn)實時更新系統(tǒng)的相關(guān)補(bǔ)丁信息，加強(qiáng)病毒防控。

其次，終端安全管理平臺可以利用中心服務(wù)器，實現(xiàn)對各客戶端的優(yōu)化配置，如網(wǎng)絡(luò)補(bǔ)丁下發(fā)、入網(wǎng)設(shè)備聯(lián)網(wǎng)狀況、流量監(jiān)控、U盤使用監(jiān)控、終端軟件硬件管理、禁止安裝不允許軟件以及應(yīng)用程序安全等等，同時也應(yīng)當(dāng)實時監(jiān)控客戶端的各種行為。[5]通過網(wǎng)絡(luò)終端客戶端程序的安裝，能夠?qū)崿F(xiàn)對終端各項信息的有效管理，遇到風(fēng)險時也能夠及時報警上報，針對終端設(shè)備的異?，F(xiàn)象，可以對其管理節(jié)點進(jìn)行斷網(wǎng)處理，同時也可以通過遠(yuǎn)程操作診斷與維護(hù)客戶端設(shè)備。

最后，終端安全管理平臺可以通過利用多級級聯(lián)部署方式，實現(xiàn)各級網(wǎng)絡(luò)終端獨(dú)立下載安全管理軟件的功能。下級管理節(jié)點應(yīng)當(dāng)統(tǒng)一匯報各項報警信息以及管理情況;上級管理節(jié)點則向下級管理節(jié)點下發(fā)各項管理策略、病毒庫升級文件以及網(wǎng)絡(luò)補(bǔ)丁。安全管理平臺可以通過統(tǒng)計實際客戶端數(shù)量及管理功能，對安全管理方式進(jìn)行拓展。

四、系統(tǒng)基本功能

（一）系統(tǒng)首頁

系統(tǒng)首頁應(yīng)當(dāng)為終端安全管理平臺的運(yùn)營提供基本狀態(tài)信息、配置任務(wù)信息以及報警統(tǒng)計信息等多項管理內(nèi)容，為平臺管理人員提供可靠信息，進(jìn)而第一時間掌握平臺安全情況。

（二）終端初始化

系統(tǒng)能夠結(jié)合安全管理策略對操作系統(tǒng)終端進(jìn)行配置與定制，并結(jié)合不同管理策略選擇安裝相應(yīng)的管理軟件，以此實現(xiàn)優(yōu)化配置。系統(tǒng)能夠根據(jù)計算機(jī)類型合理配置相關(guān)安裝內(nèi)容，也能夠具備終端映像恢復(fù)功能，讓企業(yè)能夠通過不同終端設(shè)備的映像，簡化管理模式。安全管理平臺能夠?qū)崿F(xiàn)初始化在線安裝，同時也具備基本的備份功能。

（三）接入控制

1.接入控制技術(shù)

在應(yīng)用接入控制技術(shù)時，應(yīng)當(dāng)結(jié)合企業(yè)內(nèi)部的實際情況做好控制工作。針對長期在網(wǎng)的計算機(jī)則務(wù)必要安裝Agent，并且按照網(wǎng)絡(luò)技術(shù)的安全管理規(guī)定完成安裝，比如企業(yè)內(nèi)合法訪問賬號及系統(tǒng)補(bǔ)丁。如果與企業(yè)安全管理規(guī)定并不相符，那么則拒絕網(wǎng)絡(luò)接入，或者利用網(wǎng)絡(luò)功能自動隔離電腦設(shè)備，并采取安全修復(fù)措施。臨時接入系統(tǒng)的電腦終端，應(yīng)當(dāng)通過Web控件接入。在打開Web瀏覽器訪問網(wǎng)頁過程中，則應(yīng)當(dāng)安裝IE控件，隨后才可進(jìn)入公司內(nèi)網(wǎng)訪問。比如領(lǐng)導(dǎo)電腦終端等特殊電腦則可以通過配置專用軟件或者終端安全設(shè)備，實現(xiàn)無管控上網(wǎng)。

2.接入控制功能

接入控制功能應(yīng)當(dāng)做好安全檢查與評估工作，嚴(yán)格管理各項非法操作，限制違法行為。在使用U盤等功能時，應(yīng)當(dāng)接受可信授權(quán)，避免出現(xiàn)企業(yè)文件外傳的行為，同時通過安全審計等方式管理終端行為。針對終端采取集中化管理方式，比如軟件開發(fā)應(yīng)用程序管理、資產(chǎn)管理、外聯(lián)管理等等都更適合集中化管理模式。

3.接入控制策略

接入控制策略決定著網(wǎng)絡(luò)系統(tǒng)的安全性，首先，安裝的Agent應(yīng)當(dāng)具備反卸載、禁止非法刪除等功能。其次，如果在進(jìn)行重裝操作系統(tǒng)等操作時，存在私自終止Agent的運(yùn)行或者卸載Agent情況時，通過終端安全管理平臺可以及時發(fā)現(xiàn)這一行為。按照相關(guān)管理規(guī)定對其進(jìn)行處罰或警告，以免再次發(fā)生私自卸載的行為。最后，嚴(yán)格管理對NAT網(wǎng)絡(luò)的私自接入行為。

4.網(wǎng)絡(luò)安全接入認(rèn)證功能設(shè)計

（1）身份認(rèn)證

公司內(nèi)部所有需要入網(wǎng)的設(shè)備，都應(yīng)當(dāng)采取統(tǒng)一身份認(rèn)證，包括web認(rèn)證、IP地址、802.1x、用戶名及密碼、VLAN信息等等，同時也應(yīng)當(dāng)針對U盤、數(shù)字證書認(rèn)證、無縫結(jié)合域管理等等。同時也應(yīng)當(dāng)根據(jù)管理需求提供認(rèn)證協(xié)議，支持LDAP等第三方數(shù)據(jù)庫的檢查與認(rèn)證。為了強(qiáng)化安全管理，在認(rèn)證過程中也可以采取用戶綁定的指紋認(rèn)證方式。

（2）接入設(shè)備的安全性檢查

對于安全管理系統(tǒng)應(yīng)當(dāng)對入網(wǎng)終端進(jìn)行細(xì)致化檢測，了解其安全狀態(tài)，同時也應(yīng)當(dāng)針對病毒軟件版本、非法外聯(lián)、異常流量、補(bǔ)丁漏洞、非法代理、敏感操作等多種行為進(jìn)行實時檢測。安全檢查也應(yīng)當(dāng)符合相應(yīng)要求：第一，市場上所使用的金山毒霸、norton、卡巴斯基、瑞星、360殺毒等軟件應(yīng)當(dāng)被安全管理平臺所支持。第二，能夠支持細(xì)致化檢測項目的管理，如：桌面屬性、資產(chǎn)、系統(tǒng)設(shè)置項、注冊表項、外設(shè)管理等等。第三，通過ARP阻斷公司內(nèi)未進(jìn)行注冊的IP或MAC終端系統(tǒng)，并提供阻斷配置。第四，合理控制特定用戶對公司特定業(yè)務(wù)信息的訪問權(quán)限。第五，控制特定終端及終端群接入特定網(wǎng)絡(luò)資源的情況。第六，合理過濾業(yè)務(wù)資源發(fā)的內(nèi)容，實現(xiàn)實時監(jiān)控。

（3）接入設(shè)備的安全修復(fù)

在進(jìn)行安全檢查時，如果設(shè)備沒有通過，則應(yīng)當(dāng)為其提供統(tǒng)一安全修復(fù)，充分發(fā)揮安全管理平臺系統(tǒng)的修復(fù)功能以及自定義功能，逐步降低對外部廠商的需求與依賴，實現(xiàn)對產(chǎn)品的全面管理，保障產(chǎn)品的綜合效能。在進(jìn)行安全修復(fù)過程中，應(yīng)當(dāng)為其提供引導(dǎo)界面，提高其人性化水平，從而保障每一終端設(shè)備都能夠符合安全管理需求。

5.資產(chǎn)登記與分級管理功能設(shè)計

（1）資產(chǎn)登記系統(tǒng)設(shè)計

針對系統(tǒng)資產(chǎn)采取分級管理方式，通過靈活的資產(chǎn)分組管理形式實現(xiàn)對不同資產(chǎn)的針對性管理。同時系統(tǒng)要定向管理相應(yīng)資產(chǎn)信息，如：軟件資產(chǎn)統(tǒng)計、計算機(jī)IP地址、MC地址生產(chǎn)商、硬件設(shè)備、信息操作系統(tǒng)、日常維修、IP范操作系統(tǒng)類別、資產(chǎn)配置、操作系統(tǒng)語言等等。同時在設(shè)計終端安全管理平臺時，也應(yīng)當(dāng)使其支持多級管理形式，根據(jù)不同區(qū)域不同部門采取相應(yīng)的管理辦法，同時也應(yīng)當(dāng)給予不同區(qū)域的系統(tǒng)管理員權(quán)限，實現(xiàn)精細(xì)化權(quán)限管理，進(jìn)而保障用戶具有不同的管理權(quán)限及功能權(quán)限。同時系統(tǒng)管理員與系統(tǒng)審計員之間應(yīng)當(dāng)進(jìn)行兩權(quán)分離，操作員所涉及的操作日志以及變更日志，審計員可以按照工作標(biāo)準(zhǔn)對其審核，而系統(tǒng)面只顯示機(jī)器設(shè)備運(yùn)行情況及管理策略即可。除此之外，安全管理平臺也應(yīng)當(dāng)具備自動探測功能，檢查終端硬件使用情況。

（2）硬件設(shè)備禁用功能設(shè)計

安全管理平臺應(yīng)當(dāng)給予硬件設(shè)備相應(yīng)的禁用功能，比如外部設(shè)備的使用、打印機(jī)、USB接口、紅外接口、啟用或禁用光驅(qū)等等，尤其是對于USB存儲設(shè)備以及軟驅(qū)及光驅(qū)，只可為其提供禁用、只讀狀態(tài)，而終端安全管理平臺可以對所有的訪問行為進(jìn)行綜合統(tǒng)計，完成全面審計。同時安全管理平臺也應(yīng)當(dāng)具備信息匯總功能，服務(wù)器系統(tǒng)應(yīng)當(dāng)根據(jù)收集到的動態(tài)或靜態(tài)信息進(jìn)行匯總與歸檔。具有手工修改設(shè)備信息的功能，使得管理人員在操作系統(tǒng)時能夠通過手工錄入等方式，實現(xiàn)對網(wǎng)絡(luò)終端信息的管理，尤其是對于未出現(xiàn)的終端，則可以完善其不完整檔案。具體管理策略可以結(jié)合實際使用時間進(jìn)行下發(fā)。

（3）設(shè)備資產(chǎn)管理功能設(shè)計

為了維護(hù)企業(yè)固定資產(chǎn)，防止用戶隨意拆卸終端設(shè)備情況的發(fā)生，因此安全管理平臺應(yīng)具備自動探測硬件的功能。比如終端計算機(jī)名稱型號、內(nèi)存、MAC大小、硬盤品牌、設(shè)備編號以及CPU型號等等。所有設(shè)備數(shù)據(jù)都應(yīng)當(dāng)上報至中心管理平臺，自動形成報表信息，已錄入相關(guān)數(shù)據(jù)，針對設(shè)備變化情況完成報警。

6.外聯(lián)安全監(jiān)控功能設(shè)計

外聯(lián)安全監(jiān)控功能需要系統(tǒng)及時發(fā)現(xiàn)計算機(jī)通過離線等多種方式接入互聯(lián)網(wǎng)的行為，如VPN撥號、網(wǎng)卡、無線撥號、modem等等，同時也應(yīng)當(dāng)監(jiān)控設(shè)備違規(guī)接入網(wǎng)絡(luò)的行為。安全管理平臺應(yīng)當(dāng)精準(zhǔn)記錄設(shè)備的非法上網(wǎng)情況，如上網(wǎng)時間、客戶端地址、IP地址等等，并記錄設(shè)備非法上網(wǎng)的計算機(jī)名稱、上網(wǎng)方式等信息。安全管理平臺應(yīng)當(dāng)具備多級報警功能，確保報警信息可以通過內(nèi)網(wǎng)本級報警的級聯(lián)方式上傳到上級管理中心。此外，安全管理平臺應(yīng)當(dāng)將對管轄范圍內(nèi)設(shè)備的信息進(jìn)行整合，并以數(shù)據(jù)庫的形式向上級管理中心上報，以此來實現(xiàn)對數(shù)據(jù)信息的實時查詢。而系統(tǒng)也應(yīng)當(dāng)在自身的管轄權(quán)限內(nèi)，通過跨越網(wǎng)段的方式，對違規(guī)聯(lián)網(wǎng)的設(shè)備采取阻斷處理。

五、結(jié)束語

綜上所述，通訊運(yùn)營商加強(qiáng)終端設(shè)備網(wǎng)絡(luò)安全管理具有重要作用，不僅能夠?qū)崿F(xiàn)對企業(yè)信息的有效管控，降低經(jīng)營風(fēng)險;同時也能夠?qū)崿F(xiàn)公司管理方式的精細(xì)化管理，提高企業(yè)安全管理水平，為公司穩(wěn)定發(fā)展奠定良好基礎(chǔ)，發(fā)揮出網(wǎng)絡(luò)安全管理平臺的作用。

參? 考? 文? 獻(xiàn)

[1]康雅萍，陳熠，白浩.基于多域網(wǎng)絡(luò)環(huán)境的終端安全管理體系的研究[J].長江信息通信，2021，34（6）：127-129.

[2]關(guān)天文. 計算機(jī)終端安全管理研究[J].今日財富（中國知識產(chǎn)權(quán)）， 2021，（5）：129-130.

[3]葉水勇. 移動智能終端安全防護(hù)的探究[J].國網(wǎng)技術(shù)學(xué)院學(xué)報， 2020，23（3）：24-27.