端點(diǎn)準(zhǔn)入防御系統(tǒng)的建設(shè)

李秀君

[摘要]端點(diǎn)準(zhǔn)入是目前應(yīng)對(duì)網(wǎng)絡(luò)安全的一種先進(jìn)解決方案，它從網(wǎng)絡(luò)終端著手，通過(guò)安全客戶端、安全策略服務(wù)器、接入設(shè)備以及第三方服務(wù)器的聯(lián)動(dòng)，加強(qiáng)系統(tǒng)主動(dòng)防御，控制病毒等蔓延，提高系統(tǒng)整體安全性。從需求背景、技術(shù)特點(diǎn)以及解決方案等方面，對(duì)典型的端點(diǎn)準(zhǔn)入防御系統(tǒng)進(jìn)行論述。

[關(guān)鍵詞]端點(diǎn)準(zhǔn)入網(wǎng)絡(luò)安全

中圖分類號(hào)：TP3文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1671—7597(2009)0820041—01

一、產(chǎn)生背景

當(dāng)今的網(wǎng)絡(luò)世界，病毒、木馬日益肆虐，無(wú)孔不入。新的安全威脅不斷涌現(xiàn)，破壞程度和范圍持續(xù)擴(kuò)大，經(jīng)常引起系統(tǒng)崩潰、網(wǎng)絡(luò)癱瘓。不僅如此，一臺(tái)網(wǎng)絡(luò)終端的癱瘓，很容易引起多米諾骨牌效應(yīng)，直接影響到整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全。

而從目前情況看，現(xiàn)有的防御方式并不能有效應(yīng)對(duì)病毒威脅，主要表現(xiàn)在以下幾個(gè)方面：一是被動(dòng)防御，缺乏主動(dòng)抵抗能力。對(duì)網(wǎng)絡(luò)管理員來(lái)說(shuō)，目前無(wú)法有效監(jiān)控每一個(gè)終端安全狀態(tài)，也沒(méi)有隔離、修復(fù)不合格終端的手段，導(dǎo)致主動(dòng)防御能力低下：二是單點(diǎn)防御，對(duì)病毒的重復(fù)、交叉感染缺乏控制。目前更多的是采用單點(diǎn)防范，當(dāng)網(wǎng)絡(luò)中某臺(tái)或某幾臺(tái)終端存在安全問(wèn)題，整個(gè)網(wǎng)絡(luò)都會(huì)處于被感染、被攻擊狀態(tài)；三是分散管理，安全策略不統(tǒng)一，缺乏全局防御能力。分散管理的終端難以保證其安全狀態(tài)符合統(tǒng)一的安全策略，無(wú)法有效地從網(wǎng)絡(luò)接入點(diǎn)進(jìn)行安全防范。

二、功能需及技術(shù)特點(diǎn)

為解決現(xiàn)有安全防御體系中存在的不足。整合孤立的單點(diǎn)防御系統(tǒng)，加強(qiáng)對(duì)用戶的集中管理，統(tǒng)一實(shí)施安全策略，提高終端用戶的主動(dòng)抵抗能力，需要建立一套完整的防御系統(tǒng)，通過(guò)安全客戶端、安全策略服務(wù)器、接入設(shè)備以及與防病毒、桌面安全服務(wù)器的聯(lián)動(dòng)，將不符合安全要求的終端限制在“隔離區(qū)”內(nèi)，防止“危險(xiǎn)”終端對(duì)網(wǎng)絡(luò)安全的損害，避免“易感”終端受病毒的攻擊。典型的端點(diǎn)準(zhǔn)入防御系統(tǒng)功能如下：

1檢查一檢查用戶終端的安全狀態(tài)和防御能力。通過(guò)對(duì)終端安全狀態(tài)(指操作系統(tǒng)補(bǔ)丁、防病毒軟件版本、病毒庫(kù)版本、是否感染病毒等反映終端防御能力的狀態(tài)信息)的檢查，使得只有符合企業(yè)安全標(biāo)準(zhǔn)的終端才能正常訪問(wèn)網(wǎng)絡(luò)，同時(shí)配合802.1x的身份驗(yàn)證技術(shù)，可以確保接八終端的合法與安全。

2隔離一隔離“危險(xiǎn)”和“易感”終端。對(duì)系統(tǒng)補(bǔ)丁、病毒庫(kù)版本不及時(shí)更新或已感染病毒的用戶終端，將被限制訪問(wèn)權(quán)限，只能訪問(wèn)病毒服務(wù)器、補(bǔ)丁服務(wù)器等用于系統(tǒng)修復(fù)的網(wǎng)絡(luò)資源(稱之為“隔離區(qū)”)。

3修復(fù)一強(qiáng)制修復(fù)系統(tǒng)補(bǔ)丁、升級(jí)防病毒軟件。當(dāng)不符合安全策略的用戶終端被限制到“隔離區(qū)”以后，系統(tǒng)可以自動(dòng)提醒用戶進(jìn)行缺失補(bǔ)丁或最新病毒庫(kù)的升級(jí)，完成修復(fù)并達(dá)到安全策略的要求以后，用戶終端將被取消隔離，可以正常訪問(wèn)網(wǎng)絡(luò)。

4管理與監(jiān)控。系統(tǒng)有集中、統(tǒng)一的安全策略管理和安全事件監(jiān)控，能夠提供集接入策略、安全策略、服務(wù)策略、安全事件監(jiān)控于一體的用戶管理平臺(tái)，幫助網(wǎng)絡(luò)管理員定制基于用戶身份的、個(gè)性化的網(wǎng)絡(luò)安全策略。

三、解決方案

端點(diǎn)準(zhǔn)入防御系統(tǒng)從網(wǎng)絡(luò)接入端點(diǎn)的安全控制入手，通過(guò)安全客戶端、安全策略組件、網(wǎng)絡(luò)接入設(shè)備以及第三方軟件的聯(lián)動(dòng)，對(duì)接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實(shí)施企業(yè)安全準(zhǔn)入策略，提高網(wǎng)絡(luò)用戶終端的主動(dòng)防御能力，并嚴(yán)格控制終端用戶的網(wǎng)絡(luò)使用行為，保護(hù)網(wǎng)絡(luò)安全。其拓?fù)浣Y(jié)構(gòu)如左圖。

各組件功能如下：

1安全客戶端安裝在用戶終端系統(tǒng)上，它是對(duì)用戶終端進(jìn)行身份認(rèn)證、安全狀態(tài)評(píng)估以及安全策略實(shí)施的主體。

2安全策略服務(wù)器是方案中的管理與控制中心，它作為一個(gè)軟件的集合，具有用戶管理、安全策略管理、安全狀態(tài)評(píng)估、安全聯(lián)動(dòng)控制以及安全事件審計(jì)等功能。

3安全聯(lián)動(dòng)設(shè)備是網(wǎng)絡(luò)中安全策略的實(shí)施點(diǎn)，起到強(qiáng)制用戶準(zhǔn)入認(rèn)證、隔離不合格終端、為合法用戶提供網(wǎng)絡(luò)服務(wù)的作用。根據(jù)應(yīng)用場(chǎng)合的不同，安全聯(lián)動(dòng)設(shè)備可以是交換機(jī)、路由器，實(shí)現(xiàn)802，h認(rèn)證方式的端點(diǎn)準(zhǔn)入控制。

4第三方服務(wù)器是指處于隔離區(qū)中，用于終端進(jìn)行自我修復(fù)的防病毒服務(wù)器或補(bǔ)丁服務(wù)器。

四、實(shí)現(xiàn)原理

端點(diǎn)準(zhǔn)入防御系統(tǒng)實(shí)現(xiàn)原理如下圖所示；

1用戶終端試圖接入網(wǎng)絡(luò)時(shí)，首先通過(guò)安全客戶端由安全聯(lián)動(dòng)設(shè)備和安全策略服務(wù)器配合進(jìn)行用戶身份認(rèn)證，非法用戶將被拒絕接入網(wǎng)絡(luò)。

2安全策略服務(wù)器對(duì)合法用戶下發(fā)安全策略，并要求合法用戶進(jìn)行安全狀態(tài)認(rèn)證。

3由客戶端的第三方桌面管理系統(tǒng)協(xié)同安全策略服務(wù)器對(duì)合法終端的補(bǔ)丁版本、病毒庫(kù)版本等進(jìn)行檢測(cè)。之后，安全客戶端將安全策略檢查的結(jié)果上報(bào)安全策略服務(wù)器。

4安全策略服務(wù)器根據(jù)檢查結(jié)果控制用戶的訪問(wèn)權(quán)限。安全狀態(tài)合格的用戶將實(shí)施由安全策略服務(wù)器下發(fā)的安全設(shè)置，并由安全聯(lián)動(dòng)設(shè)備提供基于身份的網(wǎng)絡(luò)服務(wù)。安全狀態(tài)不合格用戶將被安全聯(lián)動(dòng)設(shè)備隔離到隔離區(qū)。