王彥文

【摘要】網(wǎng)絡(luò)中大量存在、數(shù)量最多的終端已經(jīng)成為企業(yè)中大量安全事件的直接風險來源，本文主要通過對終端風險分析，提出解決風險的思路。從終端入網(wǎng)的源頭開始，通過交換機和終端管控系統(tǒng)的互動控制，不滿足安全條件的終端禁止入網(wǎng)。并且終端使用過程中的關(guān)鍵操作進行監(jiān)控和控制。

【關(guān)鍵詞】終端管控自動化安全監(jiān)控

一、概述

信息技術(shù)革命和經(jīng)濟全球化的發(fā)展，使企業(yè)間的競爭已經(jīng)轉(zhuǎn)為技術(shù)和信息的競爭，企業(yè)是否能長期生存、企業(yè)的業(yè)務(wù)是否能高效的運作也越來越依賴于是否有一個穩(wěn)定、安全的信息系統(tǒng)和數(shù)據(jù)資產(chǎn)。因此，保證企業(yè)知識資產(chǎn)的安全，已經(jīng)成為現(xiàn)代企業(yè)發(fā)展的必然要求，信息安全能力已成為企業(yè)核心競爭力的重要部分。

但是大多數(shù)企業(yè)的安全防護卻忽視了網(wǎng)絡(luò)中大量存在、數(shù)量最多的終端的安全防護，而且終端往往是企業(yè)信息系統(tǒng)中比較難于控制，安全性最差的最短的那塊木板，是企業(yè)中大量安全事件的直接風險來源。終端所面臨的安全威脅已不再僅僅是傳統(tǒng)的病毒，而是更加復雜的惡意代碼（廣義病毒）、黑客攻擊，以及內(nèi)部終端用戶有意或無意的系統(tǒng)資源濫用、敏感信息竊取和泄密等。

二、終端管控背景

終端安全管控主要面臨著“管”、“控”、“防”3個方面的問題。

2.1安全管理角度

隨著企業(yè)網(wǎng)絡(luò)規(guī)模的擴大和應用的不斷豐富，終端數(shù)量增加，地理分布更加廣泛，訪問需求更加復雜，使得企業(yè)對桌面終端管理的要求已經(jīng)無法通過簡單的手工維護方式來實現(xiàn)。

數(shù)量眾多的終端具有不同的操作系統(tǒng)版本、補丁版本，用戶又隨意安裝各種應用軟件，使得管理員缺乏有效的手段進行集中管理。如何明確終端資產(chǎn)數(shù)量，終端實時使用狀態(tài)，也是終端管理員非常傷腦筋的事。

2.2 安全控制角度

企業(yè)網(wǎng)絡(luò)的合法使用者在安全防護較差的外網(wǎng)環(huán)境中使用VPN連接、遠程撥號、無線AP、以太網(wǎng)接入等等網(wǎng)絡(luò)接入方式連接到企業(yè)網(wǎng)，在外網(wǎng)和企業(yè)內(nèi)網(wǎng)之間建立一個訪問通道，成為成為了非法用戶進入企業(yè)網(wǎng)絡(luò)的跳板。

企業(yè)制定的防病毒、安全配置、補丁、安全軟件使用等安全策略很難被終端用戶準確無誤的貫徹并執(zhí)行。很容易成被惡意攻擊者利用攻擊企業(yè)內(nèi)部網(wǎng)絡(luò)。

互聯(lián)網(wǎng)文件傳輸越來越便利，移動電腦的普遍使用，而且大量支持USB連接的設(shè)備不斷涌現(xiàn)，使得企業(yè)的機密信息很可能便被方便地傳出。

2.3安全防護角度

病毒、蠕蟲很容易通過各種途徑侵入企業(yè)的內(nèi)部網(wǎng)絡(luò)，除了利用企業(yè)網(wǎng)絡(luò)安全防護措施的漏洞外，最大的威脅卻是來自于網(wǎng)絡(luò)用戶的各種危險的應用：不安裝殺毒軟件；安裝殺毒軟件但未能及時升級；網(wǎng)絡(luò)用戶在安裝完自己的辦公桌面系統(tǒng)后未進行各種有效防護措施就直接連接到危險的開放網(wǎng)絡(luò)環(huán)境中；移動用戶計算機連接到各種情況不明網(wǎng)絡(luò)環(huán)境后，在沒有采取任何措施情況下又連入企業(yè)網(wǎng)絡(luò)；終端用戶在使用各種數(shù)據(jù)介質(zhì)、軟件介質(zhì)時都可能將病毒、蠕蟲在不知不覺中帶入到企業(yè)網(wǎng)絡(luò)中，給企業(yè)帶來無法估量的損失。

終端用戶辦公桌面上的各種應用軟件不勝繁雜，每一個軟件系統(tǒng)都有不可避免的潛在的或已知的軟件漏洞，每天軟件開發(fā)者都在生產(chǎn)漏洞，每時每刻都可能有軟件漏洞被發(fā)現(xiàn)被利用。這些漏洞均有可能使得黑客輕而一舉的獲得聯(lián)網(wǎng)用戶使用其它系統(tǒng)的口令，重新占領(lǐng)另一系統(tǒng)。

三、解決目標和效果要求

為了解決計算機終端存在的安全問題，提出安全管控的目標。

（1）通過交換機設(shè)置，對未進行管控的終端拒絕網(wǎng)絡(luò)中資源的訪問。（2）監(jiān)測終端安全配置（補丁、基線、防病毒等），未達到安全配置要求的禁止訪問網(wǎng)絡(luò)資源。（3）檢測到終端雙網(wǎng)卡（含WLAN）同時啟用時，拒絕對內(nèi)網(wǎng)的訪問。（4）IP地址、MAC地址和登錄帳號一一對應，不匹配的禁止訪問網(wǎng)絡(luò)資源。（5）對USB接入進行授權(quán)訪問，并做好使用日志記錄。（6）特殊敏感終端增加使用錄屏功能。

四、實施原則

終端安全解決方案首先要考慮的是以終端安全和核心業(yè)務(wù)的安全防御，其次要考慮部署安全設(shè)備及軟件系統(tǒng)的可靠性、可用性；因此，本方案遵循以下設(shè)計原則：（1）方案設(shè)計始終考慮以終端安全和核心業(yè)務(wù)為中心的安全需求；（2）建議的方案設(shè)施后不會影響現(xiàn)有業(yè)務(wù)系統(tǒng)的安全性，不會降低現(xiàn)有系統(tǒng)的可靠性和可用性，不影響現(xiàn)有系統(tǒng)和網(wǎng)絡(luò)的性能；（3）多維度覆蓋風險防御的各個方面；（4）確保網(wǎng)絡(luò)不會因為數(shù)據(jù)保護設(shè)備故障而造成中斷；（5）安全產(chǎn)品部署后，不會因此出現(xiàn)性能瓶頸；（6）在不增加現(xiàn)有工作量的基礎(chǔ)上，通過實現(xiàn)統(tǒng)一管理，能夠全面提升安全管理工作的效率。

五、實施思路

通過一個開放式平臺來統(tǒng)一進行管理，簡化風險與合規(guī)性管理。

系統(tǒng)通過靈活自動處理功能簡化工作流，從而大大降低安全和合規(guī)性管理的成本和復雜程度。

通過端到端監(jiān)控，從整體上監(jiān)控整體終端域安全狀態(tài)。提供跨終端、數(shù)據(jù)、手機和網(wǎng)絡(luò)的安全智能管理，以便可以及時洞察并快速響應。

使用簡化的安全操作工作流提高終端維護的效率。簡化管理任務(wù)，減輕繁雜的審計，減少與安全管理相關(guān)的硬件成本。

使用可擴展的開放式體系結(jié)構(gòu)，保證后期可與其他安全解決方案的管理功能融合后進一步提升安全管控水平。

5.1劃分安全區(qū)域

按照安全級別要求，劃分為工作區(qū)（正常的工作網(wǎng)路，用戶通過身份認證和安全檢查后進入的網(wǎng)絡(luò)）、訪客區(qū)（供來賓和未通過身份檢查的終端進入的網(wǎng)絡(luò)，該網(wǎng)絡(luò)與工作區(qū)網(wǎng)絡(luò)隔離，作為統(tǒng)計識別使用）、隔離區(qū)（通過身份認證但是沒有通過安全檢查的計算機進入的網(wǎng)絡(luò)，在這個網(wǎng)絡(luò)內(nèi)計算機可以在完成安全加固修復后重新申請進入工作區(qū)）。

5.2強制終端安全檢查

利用技術(shù)手段強制接入的終端進行安全檢查，建立安全檢查與網(wǎng)絡(luò)接入的互動機制，避免了外來終端隨意接入網(wǎng)絡(luò)及內(nèi)部終端不滿足安全條件在網(wǎng)使用的現(xiàn)象發(fā)生，如圖所示。

5.3防攻擊

通過終端管控，可防護已知和未知的病毒木馬，可防范內(nèi)存溢出攻擊，可防范APTs，策略統(tǒng)一下發(fā)，終端統(tǒng)一監(jiān)控，整體風險分析，虛擬補丁等能力。

5.4數(shù)據(jù)泄露保護

5.4.1數(shù)據(jù)流失保護

通過系統(tǒng)配置，控制數(shù)據(jù)的使用和存儲，保護敏感資料不被有意或無意的泄漏，提升基礎(chǔ)架構(gòu)和數(shù)據(jù)本身擁有防護能力。

實時發(fā)現(xiàn)泄露風險，進行防護、阻擋或敏感數(shù)據(jù)隔離，同時及時通知安全人員進行處理。

5.4.2設(shè)備控制

監(jiān)控并且只允許授權(quán)的設(shè)備連接到內(nèi)網(wǎng)；限制并且阻擋未授權(quán)的設(shè)備連接（如：外部的MP3，U盤等）；強制控制可以被復制到授權(quán)設(shè)備上的數(shù)據(jù)內(nèi)容；僅允許指定設(shè)備或數(shù)據(jù)的使用；

詳細記錄用戶和設(shè)備的訪問信息以符合審計和合規(guī)的要求。

5.4.3終端加密

可以基于文件或文件夾對筆記本電腦，桌面機和移動介質(zhì)中的內(nèi)容進行加密；保證設(shè)備遺失的時候存儲在上面的數(shù)據(jù)不被泄漏。

5.4.4U盤管控

通過U盤的集中管理，強制的訪問保護和加密，實現(xiàn)敏感數(shù)據(jù)對外傳輸?shù)目刂?，并確保授權(quán)用戶使用的外部介質(zhì)的安全。

5.4.5配置參數(shù)

（1）包括系統(tǒng)的操作系統(tǒng)、版本、CPU、內(nèi)存、硬盤空間，IP地址、DNS、網(wǎng)關(guān)等系統(tǒng)信息。（2）終端的安全配置狀況（違規(guī)情況）。包括完整性檢查策略中定義的安全配置要求項目。（3）終端的文件訪問及程序運行。包括對特定文件的讀取、修改、刪除以及應用程序、進程的運行狀態(tài)情況。（4）終端的外設(shè)使用狀況。包括監(jiān)控記錄外設(shè)的接入、使用及禁止情況。（5）屏幕監(jiān)控及截圖。

六、創(chuàng)新點

（1）強大的工作流，可以顯著提高終端管理員的工作效率，快速制定和部署安全措施，及時響應出現(xiàn)的事件和問題。（2）通過有效縮短事件響應時間的端到端監(jiān)控和自動化功能，能夠顯著增強終端安全保護能力，降低終端安全風險，提高終端安全管理的效率。（3）關(guān)鍵文件受到嚴格監(jiān)控，如有違規(guī)更改，管理員實時可以得到告警，防止黑客攻擊或不當使用。（4）只能在一個授權(quán)的可控的流程下進行服務(wù)器變更，系統(tǒng)會記錄所有的更改操作日志。

七、效果

終端安全管控系統(tǒng)可防護已知和未知的病毒木馬；可防范內(nèi)存溢出攻擊；防范Advanced Persistent Threats （APTs）；可以起到系統(tǒng)虛擬補丁的作用，為管理員減輕打補丁的壓力；提供高效的安全管控能力。