企業(yè)終端準入控制與數據防泄密安全應用

常潤梅，孟利青

（1 內蒙古電子信息職業(yè)技術學院，呼和浩特 010070；2 中國移動通信集團內蒙古有限公司，呼和浩特 010020）

企業(yè)終端準入控制與數據防泄密安全應用

常潤梅1，孟利青2

（1 內蒙古電子信息職業(yè)技術學院，呼和浩特 010070；2 中國移動通信集團內蒙古有限公司，呼和浩特 010020）

企業(yè)級數據中心的數據是一個企業(yè)核心競爭力的重要體現，數據的安全性應該被企業(yè)重視，利用終端準入控制和數據防泄密技術提高企業(yè)安全管控能力。通過兩種技術結合方法與實踐，有效提高了企業(yè)數據的安全性。

數據安全；終端準入；數據防泄密

隨著企業(yè)數據中心的快速發(fā)展，除了部門內部員工，還有越來越多的第三方廠商人員需要參與到日常的系統(tǒng)維護和開發(fā)過程中。終端不僅數量多，而且來源復雜，流動性大。這給日常的終端管理帶來了一定的困難，同時也對企業(yè)數據安全產生了極大的威脅。這些隱患主要體現在如下方面。

(1)由于缺乏技術和管理手段，許多終端安全管理規(guī)定難以落地。例如，將外部的電腦自行接入到數據中心，私自更改電腦的安全設置等行為。這些行為違反了數據中心的信息安全管理規(guī)定，也威脅到數據中心的信息安全，如果情況嚴重可能會導致網絡癱瘓，造成重大損失。

(2)廠商維護人員的迅速增加和流動性使得安全管理面臨很大的挑戰(zhàn)。大型企業(yè)數據中心常駐的廠商維護人員大約200多人，還有一定數量的短期維護人員，這些人員經常更替，他們的電腦也會隨時根據工作需要接入數據中心，從而給數據中心的信息安全帶來很大的威脅。

(3)部分廠商維護人員由于工作需要而能夠接觸到數據中心的敏感業(yè)務數據，隨著大量的終端接入數據中心和在終端上使用存儲設備或外設來存儲或傳輸數據，因此極易產生數據流失和泄漏的風險，例如通過U盤、光驅刻錄、紅外、藍牙、無線網卡等拷貝和發(fā)送數據。

因此，為進一步提高數據中心的信息安全管控能力，在完善管理制度的基礎上，在技術上必須建立統(tǒng)一的終端準入控制系統(tǒng)和數據防泄密體系，進而提高終端的安全管控水平。

1 安全管控目標

針對數據中心終端管理方面存在的安全風險，經過調研和綜合分析，數據中心應確立如下的終端安全管控目標：

(1) 對所有接入數據中心的終端進行網絡準入控制，防止外來電腦或者不符合安全規(guī)定的電腦接入數據中心。

(2) 對所有接入數據中心的終端實施資產管理和控制。

(3)實時、動態(tài)掌握接入數據中心內終端的安全運行狀況，為部署安全策略提供支持，為維護人員提供管理的便利性。

(4)建立終端的集中式快速安全管理體系，對數量眾多，最難以管理、監(jiān)控的桌面電腦建立完善的安全評估、安全加固、集中維護體系，以提高桌面電腦的安全性及降低桌面電腦的日常維護工作量。

(5)建立防泄密體系，強化對U盤和光盤等移動存儲設備以及藍牙和紅外等無線外設的管理，對數據中心敏感數據進行保護，防止各種渠道造成數據的泄漏。

(6)規(guī)范內部人員和第三方廠商人員對數據的使用，建立以角色為基礎的保密體系，防范各類人員隨意使用數據而造成信息泄密。

2 安全管控策略與方案

2.1 終端準入控制系統(tǒng)

部署終端準入控制系統(tǒng)，防止外來或者不符合規(guī)定和安全策略的電腦接入數據中心訪問資源，對所有個人訪問數據中心的終端進行資產管理和控制，實時、動態(tài)掌握網絡整體安全狀況，建立實時安全評估體系。

數據中心的終端準入控制系統(tǒng)基于Cisco EoU接入認證，如圖1所示。

圖1 網絡準入控制架構

所有的移動終端和臺式終端等設備在接入數據中心時，都需要安裝準入認證客戶端Agent并接受EoU接入認證。未安裝客戶端Agent的終端設備接入數據中心時，將被拒絕接入；已安裝客戶端Agent的終端接入數據中心時，系統(tǒng)RADIUS服務器將首先對Agent所提供的用戶身份信息進行認證，認證通過后才允許接入網絡，否則將不允許接入數據中心。

終端在接入數據中心時，準入控制系統(tǒng)根據預先制定的準入控制策略對終端進行安全性檢查。終端接入網絡時檢查是否安裝數據中心中規(guī)定的防病毒軟件且是否為最新病毒庫；檢查客戶端系統(tǒng)是否啟用了Guest戶，是否有弱口令，是否存在可寫共享目錄，和未設權限的可讀目錄，如果存在以上問題，即視為不滿足準入安全策略，將客戶端機器轉入“修復區(qū)”進行安全隔離，同時通過Agent通知終端用戶被隔離的原因。對于符合準入策略的終端，準入控制系統(tǒng)將允許其接入數據中心。

由于本系統(tǒng)RADIUS服務器均采用雙機熱備的方式進行部署，和接入認證過程相關的設備和系統(tǒng)不存在單點故障，因此單臺設備的RADIUS服務異常或者斷線不影響網絡準入控制的使用。在特殊緊急情況下（例如雙機故障），系統(tǒng)管理員可以通過執(zhí)行腳本的方式，快速將網絡接入設置為“不設防”狀態(tài)，使得所有終端能夠正常接入網絡。通過上述手段，保障了準入控制系統(tǒng)的高可用性。

基于Cisco NAC的EAP over UDP（EoU）網絡準入控制，在接入層交換機不支持802.1x通用協議的環(huán)境下，如果匯聚層接入采用的是Cisco支持EoU協議的網絡設備，即使接入層交換機或者AP不支持802.1x協議，依然可以通過基于EoU的網絡準入控制驗證計算機終端的安全基線、隔離不安全的終端。

1) aaa new-model /啟用AAA

2) aaa authentication login default line none

/創(chuàng)建缺省的登陸認證方法，采用line password認證

3) aaa authentication eou default group radius

aaa authorization network default group radius

/創(chuàng)建EoU認證方法列表，group radius表示使用radius服務進行認證

4) ip admission name Cisco eapoudp

/創(chuàng)建ip準入控制名稱（Cisco是名稱，可以隨意定義）

5) ip device tracking

/啟用網絡設備的設備追蹤功能

6) eou allow clientless

eou timeout retransmit 30

eou max-retry 3

/配置EoU參數，允許網絡設備將無代理的設備的信息發(fā)送到radius服務器進行認證（根據ip、mac地址）；設置重傳的超時和次數。使用30s、3次這個設置可以避免代理啟動過慢被交換機誤認為是無代理設備。如果代理啟動速度加快，可以適當減小。

7) ip access-list extended default_acl

permit udp any any eq 21862

permit udp any eq bootpc any eq bootps

permit udp any any eq domain

permit icmp any any

permit ip any host 192.168.1.20

permit ip any host 192.168.1.204

deny ip any any

/配置一個接口默認的ACL，建議至少允許一下幾種ip包，：udp21862端口（EoU認證需要）、DHCP（獲取ip地址）、DNS（允許獲取域名的ip地址，以便http可以重定向）、ICMP（允許ping）、Leagview服務器所在的ip地址訪問、其他修復服務器地址等

8) ip access-list extended url-redir

deny tcp any host 192.168.1.204 eq www

permit tco any any eq www

permit tcp any any eq 443

/配置一個ACL，用來定義要重定向的HTTP訪問，上例中所有的http訪問被重定向到192.168.1.204

9) radius-server attribute 8 include-in-access-req

radius-server vsa send authentication

radius-server host 192.168.1.20 auth-port 1812 acctport 1813 key gmxy

/配置radius服務器

10) radius-sever retry method reorder

/將dead的radius的優(yōu)先級降低，缺省情況下不調整優(yōu)先級別，當已經發(fā)現第一個radius dead時，如果有認證請求，直接將認證包發(fā)給第二個

11) radius-server retransmit 2

/制定網絡交換機向radius服務器的認證包重傳次數，默認為3，減少該值可以更快地切換到下一臺radius服務器來做認證

12) radius-server timeout 3

/指定認證包的超時，默認為5s

13) radius-server deadtime 3

/設置deadtime為3分鐘過，3分鐘后網絡設備會再次嘗試

14) radius-server vsa send authentication

/指定交換機發(fā)送radius包時加上Cisco自己的擴展（以便解析接入端口名）

15) ip http server

/在交換機上啟動http服務器（需要URL重定向功能）

16) int f0/1

ip access-group default_acl in

ip adminssion CISCO

/在某個端口上啟用CISCO，即EoU

17) show eou all

/查看EoU接入情況

18) show ip access-list int f0/1

/查看端口ACL應用情況

19) clear eou ip ***.***.***.***

/清除某個設備的EoU回話（以便開始一次新的認證過程）

2.2 數據防泄密系統(tǒng)

數據防泄密系統(tǒng)圍繞數據在終端的存儲、傳輸和交換過程中的風險，以環(huán)境保護的方式，對能夠訪問數據中心內數據的終端進行保護。系統(tǒng)采用了磁盤加密、外設控制、移動存儲管理、網絡傳輸控制和身份認證5個關鍵技術，對終端進行全方位的控制，數據只能夠在終端本地使用，無法將數據隨意外帶，需要外帶時必須經過特定審批，從而保障了數據安全環(huán)境的建立，如圖2所示。

圖2 終端數據安全環(huán)境

2．2．1 支持工作環(huán)境切換

數據防泄密系統(tǒng)通過模式切換，在終端上實現了“一機兩用”，即將個人終端環(huán)境分為工作模式和普通模式兩個環(huán)境。當終端接入內網時，系統(tǒng)會強制其進入工作模式，并對外設進行控制，禁用光驅、藍牙、COM、LPT端口等設備，從而禁止刻錄和打印等行為。終端在工作模式下才能夠訪問核心業(yè)務數據，此時數據只能存在特定的保密區(qū)域，無法通過任何方式外帶。在工作模式下，所有數據和程序都能正常應用和修改，但是終端重啟后只有在保密區(qū)域所做的修改能得以保存，在其他磁盤上做的一切操作將被還原。保密區(qū)域是將終端的一塊或幾塊磁盤做加密處理后而得到的特殊區(qū)域，俗稱工作盤。

普通模式是為了方便用戶在非辦公環(huán)境下可以正常使用個人終端，在這種模式下系統(tǒng)不會對終端有任何限制，唯一不同的是此時看不到工作盤里的數據，也無法對工作盤做任何操作，從而保障了數據的安全性并防止數據外泄。

內網管理一般是指對單位內部網絡終端的綜合管理。內網管理軟件主要通過禁止遠程屏幕拷貝、遠程屏幕監(jiān)控、全硬盤文件監(jiān)控和文件監(jiān)視、上網行為檢查和打印監(jiān)控等網絡監(jiān)控功能；具有禁用USB、禁用光驅、軟驅、管理非法外聯等阻斷管理功能；具有禁用QQ、禁用P2P、禁用游戲、遠程修改IP、禁止修改IP、通過進程知識庫進行木馬分析和查殺、自動補丁分發(fā)的補丁管理、注冊表監(jiān)控、流量排名和流量報警阻斷等運行維護功能。

2．2．2 對移動存儲設備進行管理

數據中心內部使用的移動存儲設備必須通過系統(tǒng)管理員進行注冊登記后，才能在終端上使用，否則終端不能識別并讀寫移動存儲設備。終端進入工作模式后，拷貝到移動存儲設備的數據為加密格式存儲，且只能在指定的內網終端打開，在其他終端上打開后顯示為亂碼。通過對移動存儲設備進行管理，保證了數據在可控的范圍內傳播，保障了數據的安全性。硬件加密是通過專用加密芯片或獨立的處理芯片等實現密碼運算。將加密芯片、專有電子鑰匙、硬盤一一對應到一起時，加密芯片將把加密芯片信息、專有鑰匙信息、硬盤信息進行對應并做加密運算，同時寫入硬盤的主分區(qū)表。這時加密芯片、專有電子鑰匙、硬盤就綁定在一起，缺少任何一個都將無法使用。經過加密后硬盤如果脫離相應的加密芯片和電子鑰匙，在計算機上就無法識別分區(qū)，更無法得到任何數據。硬件加密方式往往是對硬盤上的數據進行管控，使用范圍相當有限，不是主要的防泄密手段。

2．2．3 終端行為審計

可以在數據防泄密系統(tǒng)中設置“文件操作記錄”和“系統(tǒng)進程管理”等審計策略，從而按需對文件操作行為和網絡行為進行有效的審計管理，例如記錄終端日常的文件操作行為，或者禁止違規(guī)軟件的使用。文件加密主要是指文檔加密軟件。文檔加密軟件是通過對內網員工客戶端產生和存儲的文檔進行透明加密或者文檔使用權限管理，實現文檔安全管理。優(yōu)盾智能信息防泄漏系統(tǒng)采用底層驅動透明加解密技術，在完全不改變企業(yè)原有工作流程和文件使用習慣的前提下，對企業(yè)內部的關鍵數據文件實行監(jiān)控和強制加密保護，有效的防止被動和主動泄密。

3 結論

在終端準入控制系統(tǒng)和數據防泄密系統(tǒng)部署完畢后，不但掌控了終端在接入直到接出數據中心的整個過程，還通過限制數據的傳輸途徑提高了數據的安全性。既方便了安全管理員的維護和管理，又使得終端管理辦法易于落地執(zhí)行。具體效果如下：

(1)將終端準入控制與數據防泄密系統(tǒng)有效結合，通過對終端和數據的有效管理和控制，最終達到較高的信息安全管理等級。

(2)阻止非法的未注冊的外來用戶電腦接入數據中心，只有通過管理員正常注冊的、允許接入的、滿足安全策略的、合法的外來設備才能接入數據中心。

(3)強制要求接入網絡的終端設備安裝準入控制Agent、防泄密Agent和殺毒軟件，從而保證防泄密和殺毒軟件的正常運行。

(4)在內網真正實現了設備準確定位。基于終端的設備發(fā)現和管理可以讓管理員通過某個終端的特征定位到當前設備的IP地址、MAC地址、主機名、設備資產信息、資產編號、設備使用人、所屬部門，甚至可以定位到設備所在的網絡設備和端口、信息點號等。

(5)數據在流轉的過程（存儲、內部傳輸、介質交換、向外發(fā)送）中得到了全方位的加密與審批保護，使數據的生存環(huán)境得到有效控制。

(6)通過安全管理流程可把控終端從接入到接出數據中心的全過程，并保留有終端資產和人員流動的審計信息。

[1] 楊云峰，唐鳳仙． 基于訪問列表控制的Cisco路由器安全策略初探[J]． 中國新技術新產品． 2011(10)．

[2] 富克春． 數據加密標準（DES）算法與安全性探析[J]． 產業(yè)與科技論壇． 2011，10(6)．

[3] 董月博． 終端準入控制系統(tǒng)的研究與實現[D]． 天津：天津大學． 學位論文． 2007．

[4] 趙杰． 終端準入控制技術探討[J]． 信息安全與通信保密．2012(1)．

Enterprise terminal access control and data leakage prevention safety applications

CHANG Run-mei1, MENG Li-qing2
(1 Inner Mongolia Electronic Information Vocational Technical College, Hohhot 010070, China; 2 China Mobile Group Neimenggu Co., Ltd., Hohhot 010020, China)

Enterprise data center data is one of the core competitiveness of enterprises an important embodiment, data security should be taken by the enterprise, using the terminal access control and data leakage prevention technology to improve enterprise safety management and control ability. From two kinds of technology methods and practice, effectively improve the security of enterprise data.

data security; terminal access; data leakage prevention

TP3

A

1008-5599（2013）03-0076-05

2013-01-24