企業(yè)網(wǎng)用戶終端安全管理系統(tǒng)的研究

呂濱 關雙城 劉曉紅

黑龍江工程學院 黑龍江 150050

0 引言

企業(yè)網(wǎng)建設之初較多側(cè)重網(wǎng)絡邊界安全，遵循常規(guī)的安全理念部署防火墻、防毒墻、IPS、IDS、VPN等邊界設備實現(xiàn)網(wǎng)絡信息安全防護。但是實際情況是網(wǎng)絡的大部分安全風險均來自于內(nèi)部。近兩年的安全防御調(diào)查表明，政府、企業(yè)、以及金融證券等單位中超過80%的管理和安全問題來自客戶端，客戶端安全管理涉及內(nèi)網(wǎng)的每個用戶，由于其分散性、獨立性、缺乏技術保障和有效管理的特點，已成為信息安全體系的薄弱環(huán)節(jié)。因此，網(wǎng)絡安全呈現(xiàn)出了新的發(fā)展趨勢，對于各政府企業(yè)網(wǎng)絡來說，安全戰(zhàn)場已經(jīng)逐步由核心與主干的防護，轉(zhuǎn)向網(wǎng)絡邊緣的每一個客戶端。為此，建立集中的安全管理平臺并提供高效可靠客戶端管理工具是非常重要的。

1 企業(yè)內(nèi)網(wǎng)絡安全現(xiàn)狀分析

1.1 企業(yè)網(wǎng)絡安全形勢分析

在知識型經(jīng)濟之下，企業(yè)信息資產(chǎn)顯得特別重要，能否有效保護專有技術等內(nèi)部信息，更是求存成功的關鍵，業(yè)務保障的基礎。進入信息年代，機密商業(yè)資料一經(jīng)泄露，不論是有意還是無意，始終會對企業(yè)的資產(chǎn)構(gòu)成損失。因此企業(yè)需要嚴格監(jiān)管員工使用電腦，防范因知識產(chǎn)權(quán)和機密商業(yè)資料通過電腦被泄漏而造成的重大損失。對于一個企業(yè)而言，需要保護的機密文件舉不勝舉，技術圖紙、市場方案、會議紀要、投標書、財務報表、客戶資料、價格體系目錄等等。在企業(yè)大部分信息數(shù)據(jù)以電子文檔保存的今天，如何才能既保證這些信息數(shù)據(jù)的全面共享，又能提高工作效率，保證其安全，防止泄密，是企業(yè)管理人員迫切希望解決的問題。

1.2 企業(yè)內(nèi)部網(wǎng)絡信息安全隱患

來自企業(yè)網(wǎng)絡內(nèi)部的安全威脅是普遍存在的。從SQL蠕蟲、“沖擊波”、“震蕩波”、“熊貓燒香”等破壞性病毒的連續(xù)性爆發(fā)，到非法入侵、文件泄密、口令泄露、服務器系統(tǒng)癱瘓等諸多終端安全事件在各地網(wǎng)絡頻繁中發(fā)生，讓所有政府機關和企業(yè)單位的網(wǎng)絡管理人員頭痛不已?？偨Y(jié)起來，企業(yè)單位的內(nèi)部網(wǎng)絡管理大致面臨著以下一些常見問題：

(1) 用戶計算機的安全設置不規(guī)范，缺乏基本的安全防護；

(2) 沒有及時安裝安全補丁和防病毒軟件，用戶系統(tǒng)缺乏常規(guī)的安全維護；

(3) 用戶隨意安裝未經(jīng)安全認證的應用軟件，或從外部網(wǎng)絡下載含有缺陷或木馬后門的程序，產(chǎn)生安全漏洞；

(4) 任意使用移動存儲工具、光驅(qū)、軟驅(qū)、或是打印設備等，非法復制，拷貝資料無法發(fā)現(xiàn)，事后也無法追查；

(5) 計算機硬件設備(如內(nèi)存，硬盤)被更換或盜走，軟件隨意變更。

1.3 企業(yè)的內(nèi)部安全需求

來自網(wǎng)絡內(nèi)部的計算機終端的安全威脅是眾多安全管理人員所普遍面臨的棘手問題。大量分散的網(wǎng)絡客戶端有效管理必須借助高效的管理工具才能實現(xiàn)。這類工具要具備以下基本功能：

(1) 基于統(tǒng)一的管理平臺；

(2) 自動分發(fā)和執(zhí)行統(tǒng)一的安全策略；

(3) 自動發(fā)現(xiàn)終端設備的系統(tǒng)漏洞并自動分發(fā)補丁；

(4) 快速有效的安全事件響應，及時阻斷入侵和異常網(wǎng)絡連接；

(5) 監(jiān)控和管理用戶的網(wǎng)上行為，限制某些網(wǎng)絡操作；

(6) 全面的日志審計功能。

2 客戶端安全管理解決方案

2.1 策略管理的基本概念

由IETF(Internet Engineering Task Force)提出的策略管理思想是先進的網(wǎng)絡管理技術，其設計目標就是使網(wǎng)絡管理過程的集成化和自動化。在標準的策略框架內(nèi)，無需考慮網(wǎng)絡設備數(shù)量、廠商型號和安裝位置，而網(wǎng)絡優(yōu)化、配置更新、調(diào)整服務等操作也可以輕而易舉地完成，極大地簡化了大型復雜網(wǎng)絡的管理維護工作。

當前，該領域的研究還處于起步階段，主要研究集中在策略語言描述、策略信息模型建立；安全策略規(guī)范、傳輸協(xié)議以及安全事件識別與聯(lián)動響應；策略管理系統(tǒng)設計和軟硬件接口等方面。多數(shù)研究還處于探索和試驗階段，限于網(wǎng)絡設備類型的復雜情況和各廠家產(chǎn)品對標準協(xié)議的支持不同，尤其在客戶端管理上，難于實現(xiàn)統(tǒng)一的策略管理系統(tǒng)，因此還沒有較為實用的解決方案。

2.2 策略管理的關鍵技術

策略管理系統(tǒng)由策略管理工具(PMT)、策略庫(PDB)、策略服務器(PDP)和策略執(zhí)行點(PEP) 四部分組成。涉及主要技術包括策略定義和描述、策略管理工具開發(fā)、策略決策與分發(fā)、策略事件響應與聯(lián)動、策略執(zhí)行與信息反饋等。本文重點討論用于客戶端管理的策略執(zhí)行點設計的幾個關鍵技術。

在策略管理系統(tǒng)中，策略執(zhí)行點作為一個軟件模塊安裝在受控主機中，實現(xiàn)安全監(jiān)控、事件響應、策略請求和策略執(zhí)行等一系列策略管理功能。該軟件模塊由信息采集、事件響應、狀態(tài)監(jiān)控、策略執(zhí)行、日志審計、通信接口等功能模塊組成。其基本結(jié)構(gòu)如圖1所示。

圖1 策略執(zhí)行點結(jié)構(gòu)

(1) 信息采集模塊設計

該模塊采集用戶主機配置、登錄賬戶、系統(tǒng)升級、安全補丁、防病毒軟件安裝和升級等信息，為策略決策和分發(fā)提供支持。

信息采集功能多數(shù)通過調(diào)用系統(tǒng)API實現(xiàn)，同時提供第三方應用程序接口，便于應用戶要求進行二次開發(fā)。

(2) 狀態(tài)監(jiān)控模塊設計

狀態(tài)監(jiān)控模塊可以在服務器支持下實現(xiàn)包括安全掃描、注冊表監(jiān)控、進程監(jiān)控、事件預警等各項功能。

狀態(tài)監(jiān)控是一個獨立開發(fā)的功能模塊，與一般的網(wǎng)絡安全軟件不同，基于策略的安全管理系統(tǒng)不需要將這類軟件都安裝在客戶機上，而是統(tǒng)一部署在專用服務器上，需要時由策略代理調(diào)用即可，這不但節(jié)省了用戶資源，而且也便于管理和維護。更重要的是把那些網(wǎng)絡安全廠家所提供的專業(yè)工具與企業(yè)網(wǎng)絡安全管理實現(xiàn)了無縫結(jié)合，既保證了系統(tǒng)的強大功能和可靠性，又極大地簡化了網(wǎng)絡安全管理工作。

(3) 事件響應模塊設計

事件響應模塊捕捉系統(tǒng)的安全事件，如變更登錄賬號、修改配置、軟件安裝、更新網(wǎng)絡連接、插拔移動設備以及系統(tǒng)定義的上網(wǎng)操作等。

模塊感知事件信息后上傳給策略服務器，由服務器根據(jù)預定義的安全策略調(diào)用相應的策略規(guī)則下發(fā)給客戶端執(zhí)行，依此將客戶端置于安全策略的管理之下。

策略管理中的安全事件響應策略可以預先設定系統(tǒng)對哪些客戶端事件做出響應。用戶的安全級別不同，對應的安全策略也有所不同，系統(tǒng)管理員可以輕松地通過修改安全策略實現(xiàn)對網(wǎng)絡內(nèi)任意用戶的安全管理。

(4) 策略執(zhí)行模塊設計

策略執(zhí)行模塊負責受理和執(zhí)行服務器下發(fā)的安全策略，主要是安全配置、系統(tǒng)漏洞或病毒掃描、安裝補丁、軟件更新等操作，并將執(zhí)行情況存入日志庫備案。

策略執(zhí)行模塊提供客戶端操作界面，用戶可以手工執(zhí)行其功能來檢測和修補系統(tǒng)的安全漏洞，等同于為用戶配備了一組安全維護工具，有效地防止因隨意安裝第三方工具軟件而產(chǎn)生的沖突和故障，確保系統(tǒng)的完整性和可靠性。

2.3 策略管理系統(tǒng)拓撲結(jié)構(gòu)

基于策略的企業(yè)網(wǎng)安全管理系統(tǒng)由策略管理中心、策略服務器、策略數(shù)據(jù)庫和嵌入式的策略執(zhí)行點組成，其網(wǎng)絡結(jié)構(gòu)如圖2所示。

策略管理系統(tǒng)基于“集中管理、分布部署”的思想，采用模塊化結(jié)構(gòu)設計，以策略管理為核心，為客戶提供對全網(wǎng)的集中、高效的管理手段，客戶可根據(jù)自己網(wǎng)絡的實際需要進行有針對性的功能選擇，大大降低安全管理的工作負荷和技術風險，確保在有限的投資預算中滿足各種類型企業(yè)用戶的安全需求。適合部署在各類企業(yè)網(wǎng)絡系統(tǒng)中，保護終端主機的安全。

圖2 基于策略管理系統(tǒng)的網(wǎng)絡結(jié)構(gòu)

3 結(jié)論與展望

此項研究利用自主開發(fā)的策略代理模塊，將策略管理系統(tǒng)拓展至用戶桌面，真正實現(xiàn)通過單一的安全策略部署，就可以在組織內(nèi)部所有桌面主機、服務器、網(wǎng)絡設備上部署和執(zhí)行，為客戶提供了實用的整體安全解決方案。

該系統(tǒng)在簡化操作、降低總體擁有成本和適應未來擴展需求等方面都有突出的優(yōu)勢，隨著策略管理工具開發(fā)、策略代理和通信協(xié)議標準化以及策略驅(qū)動的聯(lián)動響應等各方面的研究和開發(fā)應用，將在未來的網(wǎng)絡安全管理中發(fā)揮出日益重要的作用。

[1]北信源軟件有限公司.內(nèi)網(wǎng)安全管理及補丁分發(fā)系統(tǒng)技術白皮書[R].http://www.docin.com/p-53461412.html. 2005.

[2]A.Westerinen,J.Schnizlein,J.Strassner.Terminology for Policy based Management [s].IETF RFC3198.2001.

[3]盧錦泉.基于策略的網(wǎng)絡管理的研究[D].廣西大學.2006.

[4]李敬國.基于策略的網(wǎng)絡安全管理的技術研究[D].上海交通大學.2003.

[5]郝寧,羅軍舟,楊明.安全聯(lián)動響應中安全策略中心的設計與應用[C].武漢大學學報(理學版).2004.

[6]向軍,齊德昱,徐克付等.基于綜合聯(lián)動機制的網(wǎng)絡安全模型研究[C].計算機工程與應用.2008.

[7]王新華,韋衛(wèi),朱震.基于策略的網(wǎng)絡安全設備管理系統(tǒng)[C].計算機工程與應用.2005.

[8]韓銳生,趙彬,徐開勇.基于策略的一體化網(wǎng)絡安全管理系統(tǒng)[C].計算機工程.2009.