喻曉偉

摘要：現(xiàn)如今，計(jì)算機(jī)技術(shù)在我國發(fā)展十分迅速，計(jì)算機(jī)終端己成為網(wǎng)絡(luò)中大部分事件的起點(diǎn)和源頭；更是病毒攻擊的源頭。因此，只有通過完善的終端安全防護(hù)才能夠真正從源頭上控制各種安全事件的發(fā)生，遏制網(wǎng)絡(luò)內(nèi)部發(fā)起的攻擊和破壞。

關(guān)鍵詞：終端防護(hù)；網(wǎng)絡(luò)安全；模型

引言：

隨著企業(yè)信息化的廣泛應(yīng)用和企業(yè)信息資源與數(shù)據(jù)的日益積累，信息資源安全成為企業(yè)乃至政府都比較關(guān)注的課題.本文提出一種基于終端防護(hù)的網(wǎng)絡(luò)安全模型，可擴(kuò)展性良好，使用多層次、可堆疊、模塊化的設(shè)計(jì)思想，對(duì)網(wǎng)絡(luò)安全起到立體防護(hù)的作用。

1 終端安全防護(hù)存在的主要問題

1.1終端存在安全隱患

一方面，受國家電子信息產(chǎn)業(yè)叢礎(chǔ)的制約，計(jì)算機(jī)網(wǎng)絡(luò)終端的微處理器、操作系統(tǒng)和基礎(chǔ)軟件都使用國外產(chǎn)品，由于不掌握核心技術(shù)，這些終端本身不可避免地存在著安全漏洞，同時(shí)也無法排除存在陷阱、后門等隱患的可能性。

1.2終端入網(wǎng)無安全審查

一些網(wǎng)絡(luò)對(duì)終端接入不進(jìn)行安全審查，即不檢查用戶是否為合法用戶，不檢查終端是否為合法的授權(quán)終端、是否帶有病毒等惡意代碼、是否存在著安全漏洞。

1.3終端操作無安全管控

一些網(wǎng)絡(luò)終端對(duì)用戶上網(wǎng)操作行為無安全監(jiān)控和日志審計(jì)。這樣就使用戶在終端上能隨意安裝、運(yùn)行可能帶有病毒等惡意代碼的非授權(quán)軟件；或者故意在終端上運(yùn)行惡意軟件，傳播惡意代碼、實(shí)施破壞或竊密。

2 基于終端防護(hù)的網(wǎng)絡(luò)安全模型

2.1邏輯結(jié)構(gòu)

內(nèi)網(wǎng)信息安全管理的核心即客戶業(yè)務(wù)管理流程，采用PDCA的設(shè)計(jì)思想，多層次、可堆疊模塊融合而成的管理體系，包括安全策略管理軟件、安全準(zhǔn)入控制中心和安全客戶端代理軟件。基于終端防護(hù)的網(wǎng)絡(luò)安全模型采用模塊化組件設(shè)計(jì)思想，具有很強(qiáng)的擴(kuò)展性。系統(tǒng)部署包括數(shù)據(jù)支撐系統(tǒng)、文件服務(wù)器、級(jí)聯(lián)服務(wù)器、區(qū)域管理器、WEB應(yīng)用服務(wù)器、補(bǔ)丁服務(wù)器、報(bào)警服務(wù)器、License管理服務(wù)器。內(nèi)網(wǎng)信息安全管理由安全準(zhǔn)入控制中心、安全策略管理中心和安全客戶端代理三大組件構(gòu)成。各平臺(tái)組件采用分布式監(jiān)控與策略執(zhí)行點(diǎn)，集中管理的工作模式，組件的通信采用高度壓縮與加密方式，WEB平臺(tái)采用HTTP登錄方式。

2.2功能模塊

基于終端防護(hù)的網(wǎng)絡(luò)安全模型包括以下功能模塊：網(wǎng)絡(luò)進(jìn)程監(jiān)視功能模塊：統(tǒng)一匯總和監(jiān)視網(wǎng)絡(luò)各終端的進(jìn)程，增量式顯示網(wǎng)絡(luò)中新進(jìn)程，具有網(wǎng)絡(luò)客戶端軟件使用情況統(tǒng)計(jì)功能，對(duì)網(wǎng)絡(luò)中出現(xiàn)的異常進(jìn)程進(jìn)行定位和報(bào)警。軟件黑白名單控制功能模塊：制定終端軟件安裝黑白名單，指定禁止安裝和必須安裝的軟件，并可對(duì)違規(guī)的終端進(jìn)行報(bào)警提示、終端提示、阻斷聯(lián)網(wǎng)等措施?？蛻舳诉M(jìn)程應(yīng)用監(jiān)控功能模塊：監(jiān)控網(wǎng)絡(luò)客戶端軟件的違規(guī)使用情況，控制禁止啟用的程序，直接關(guān)閉終端的違規(guī)進(jìn)程，對(duì)違規(guī)的終端進(jìn)行報(bào)警提示、終端提示、阻斷聯(lián)網(wǎng)等措施。行為安全管理功能模塊：審計(jì)使用郵件和網(wǎng)絡(luò)拷貝等可能導(dǎo)致信息泄漏的行為，對(duì)用戶指定的目錄及文件進(jìn)行訪問權(quán)限的控制，HTTP訪問審計(jì)，郵件審計(jì)，對(duì)客戶端的共享目錄訪問行為進(jìn)行監(jiān)控審計(jì)。IP/MAC地址綁定管理功能模塊：對(duì)IP地址使用情況進(jìn)行監(jiān)視和管理，精確統(tǒng)計(jì)網(wǎng)絡(luò)計(jì)算機(jī)設(shè)備，查詢當(dāng)前網(wǎng)絡(luò)IP資源使用情況；通過系統(tǒng)安全策略下發(fā)對(duì)任意客戶端進(jìn)行IP地址與MAC地址進(jìn)行綁定管理；提供對(duì)關(guān)鍵客戶端進(jìn)行IP保護(hù)，采集IP地址、網(wǎng)卡MAC地址變動(dòng)情況。補(bǔ)丁管理功能模塊：提供有效的補(bǔ)丁及系統(tǒng)安全配置管理功能，通過中心管理服務(wù)器集中管理用戶網(wǎng)絡(luò)終端設(shè)備的軟件系統(tǒng)的補(bǔ)丁升級(jí)、系統(tǒng)配置策略，定義終端補(bǔ)丁下載，補(bǔ)丁升級(jí)策略以及增強(qiáng)終端系統(tǒng)安全配置策略并下發(fā)給運(yùn)行于各終端設(shè)備上的客戶端。

3 終端安全防護(hù)方法

3.1準(zhǔn)入控制

（1）安全檢查。對(duì)終端操作系統(tǒng)補(bǔ)丁、指定軟件（及版木）、防病毒軟件的狀態(tài)進(jìn)行安全評(píng)估，使只有符合安全標(biāo)準(zhǔn)（如安裝了最新的操作系統(tǒng)補(bǔ)丁、及時(shí)升級(jí)了最新的病毒特征庫等）的終端才準(zhǔn)許訪問網(wǎng)絡(luò)。（2）安全認(rèn)證。對(duì)終端的IP地址、MAC地址、所連接交換機(jī)的IP地址和端口號(hào)、用戶名和口令進(jìn)行綁定驗(yàn)證，通過后才允許接入網(wǎng)絡(luò)，防止非法終端和非法用戶接入網(wǎng)絡(luò)。（3）安全修復(fù)。如果終端沒有安裝最新的操作系統(tǒng)補(bǔ)丁和升級(jí)了最新的病毒特征庫，那么系統(tǒng)將自動(dòng)把這個(gè)終端隔離到修復(fù)區(qū)進(jìn)行補(bǔ)丁和病毒特征庫的更新，當(dāng)終端修復(fù)完成后才準(zhǔn)許訪問網(wǎng)絡(luò)。

3.2安全工具

終端需安裝防病毒、防火墻軟件和補(bǔ)丁程序，開啟實(shí)時(shí)監(jiān)控功能，并及時(shí)更新（每周至少升級(jí)兩次）。可通過在防病毒服務(wù)器中安裝網(wǎng)絡(luò)防病毒服務(wù)器軟件，在所有終端中安裝網(wǎng)絡(luò)防病毒客戶端軟件的方法來實(shí)現(xiàn)終端防病毒的統(tǒng)一管理，阻止病毒在網(wǎng)絡(luò)內(nèi)的大肆傳播。終端需配置單機(jī)防火墻軟件，用于控制從網(wǎng)絡(luò)對(duì)終端系統(tǒng)的訪問，監(jiān)控網(wǎng)絡(luò)訪問，記錄、統(tǒng)計(jì)網(wǎng)絡(luò)訪問數(shù)據(jù)，抵御對(duì)終端的探測(cè)和攻擊。要經(jīng)常為終端操作系統(tǒng)和應(yīng)用軟件打安全補(bǔ)丁。

3.3安全監(jiān)控

安全監(jiān)控對(duì)終端軟硬件資產(chǎn)，用戶操作行為、終端設(shè)備接口、網(wǎng)絡(luò)行為、進(jìn)程和軟件使用行為等進(jìn)行多角度、全方位的集中管控，實(shí)現(xiàn)對(duì)異常、可疑和違規(guī)行為的發(fā)現(xiàn)、報(bào)警、記錄、阻斷和審計(jì)，并與入侵檢測(cè)系統(tǒng)（IDS）聯(lián)動(dòng)，以達(dá)到防止惡意攻擊和保護(hù)敏感信息的目的。

3.4安全設(shè)置

設(shè)置強(qiáng)壯口令。所有終端必須設(shè)置強(qiáng)壯安全的開機(jī)、屏幕保護(hù)和系統(tǒng)登錄三級(jí)口令。設(shè)置木地安全策略。關(guān)閉默認(rèn)“文件和打印共享”，關(guān)閉移動(dòng)存儲(chǔ)設(shè)備（U盤、硬盤和光盤）的自動(dòng)運(yùn)行功能，禁用不必要的外設(shè)端口（如無線網(wǎng)口）。

4 結(jié)語

企業(yè)信息安全是企業(yè)發(fā)展的有力保障，在互聯(lián)網(wǎng)時(shí)代，信息安全突顯其重要性.在網(wǎng)絡(luò)安全的實(shí)踐中，人們逐漸認(rèn)識(shí)終端防護(hù)對(duì)于網(wǎng)絡(luò)安全的重要性.本文我們從企業(yè)內(nèi)部網(wǎng)信息安全出發(fā)，從多維度多層面來闡述了基于終端防護(hù)的網(wǎng)絡(luò)安全模型，指出實(shí)現(xiàn)該系統(tǒng)的關(guān)鍵步驟在于可配置化動(dòng)態(tài)安全檢查引擎、基于文件指紋的掃描優(yōu)化算法、多層次終端防護(hù)管理系統(tǒng).

參考文獻(xiàn)：

[l]孫陽波.準(zhǔn)入控制保障內(nèi)網(wǎng)合規(guī)[J].信息安個(gè)與通信保密，2008.

[2]肖治庭等.涉密內(nèi)部網(wǎng)用戶終端安全防護(hù)研究.[J].電子科技，2008.