利用準入機制解決客戶端信息安全問題

文/彭桂芬 楊彥光

利用準入機制解決客戶端信息安全問題

文/彭桂芬1楊彥光2

近年來，高?？蛻舳擞嬎銠C安全管理矛盾越來越突出，高校的信息安全工作不能僅集中于后臺系統，更要擴展到整個網絡，考慮如何要保障客戶端計算機安全，并采取有效的技術手段和管理措施。高校客戶端計算機安全管理問題主要表現在：移動互聯技術的快速發展與信息技術風險增大的矛盾；教職工隨時隨地接入網絡的需求與高校內部信息安全的矛盾；方便多樣的信息交流分享需求與信息泄露風險的矛盾。

存在問題

內部網絡終端缺乏網絡用戶識別、準入機制

任何外來人員或客戶只要將計算機插入網線，就可以進入內部網絡各個區域，其中沒有任何身份的認證和安全措施，如知道相關應用系統的賬號及密碼，就可以訪問相關的應用數據，對整個網絡和應用造成很大的安全威脅。網絡的終端全部都是基于工作組的模式，沒有進行網絡域的集中管理模式和相關的策略性的定義。

終端安全管理的安全防護控制不足

1.無法確保這些終端是否安裝了防病毒軟件、更新了系統補丁和病毒代碼，現時的終端的防病軟件部署率底，防病毒軟件也不統一，時常發生感染病毒、間諜軟件等的問題，存在很大的安全隱患；2.用戶是否安裝了必須使用的軟件，是否安裝了非工作使用的軟件，硬件配置，軟件配置，信息的收集，都無法進行確認和收集；3.現時對網絡內部出現的任何安全問題都無法及時發現、追蹤和審計。

客戶端準入安全需求

客戶端區域需求

客戶端區有線網絡已建設完成，所有終端未設置安全準入控制，一旦某個無線或者有線終端點出現病毒木馬將影響整個學校網絡，存在著安全隱患。

互聯網區域需求

互聯網區部署著多臺安全設備，這些安全設備都是基于數據流的安全防護，對于無線終端點未部署安全終端準入控制，一旦無線終端接入點出現病毒木馬等將影響整個學校網絡，存在著安全隱患。

RTP區域需求

RTP區上聯骨干網，下聯接入網，接入網中有著無線終端接入、有線終端接入及3G終端接入，三者都未部署安全終端準入控制，一旦其中一者終端接入點出現病毒將影響整個學校網絡，給學校網絡帶來了安全隱患。

安全性檢查需求

安全補丁、防病毒軟件、黑白軟件、注冊表、VIP用戶權限、防ARP攻擊、多元素綁定（可以綁定用戶名、IP地址、MAC地址、設備端口、VLAN等）、 軟、硬件資產調查、外設管理、軟件分發、安全審計。

可靠性及管理需求

1.服務器支持雙機備份：中心策略服務器支持雙機冗余配置，主服務器發生故障時，功能可向從服務器轉移。策略服務器配置具有良好的備份和恢復機制；

2.用戶群組策略：能針對用戶分組，安全策略針對單個用戶，或某組用戶綁定；

3.管理目標分組： 能針對不同的層級、區域、用戶組、計算機組等設定不同的管理員。

客戶端準入控制的實施

客戶端準入控制包括兩個重要功能：安全防護和安全監控?？蛻舳藴嗜肟刂频幕驹硎峭ㄟ^智能客戶端、智能聯動設備（如VPN網關、路由器）、安全策略服務器以及防病毒服務器、補丁服務器的聯動實現的，其基本原理如圖1所示。

1.用戶終端試圖接入網絡時，首先通過智能客戶端進行用戶身份認證，非法用戶將被拒絕接入網絡；2.合法用戶將被要求進行安全狀態認證，由安全策略服務器驗證用戶終端安全狀態是否符合基于用戶賬號預定義的安全策略，不合格用戶將被智能聯動設備隔離到隔離區；3.進入隔離區的用戶可以進行補丁、病毒庫的升級、卸載非法程序、取消代理設置等操作，直到安全狀態合格；4.安全狀態合格的用戶將實施由安全策略服務器下發的安全設置，并由智能聯動設備提供基于身份的網絡服務。

從客戶端準入控制的主要功能和基本原理可以看出，客戶端準入控制將終端防病毒、補丁修復等終端安全措施與網絡接入控制、訪問權限控制等網絡安全措施整合為一個聯動的安全體系，通過對網絡接入終端的檢查、隔離、修復、管理和監控，使整個網絡變被動防御為主動防御；變單點防御為全面防御；變分散管理為集中策略管理，提升了網絡對病毒、蠕蟲等新興安全威脅的整體防御能力。

圖1 客戶端準入控制原理實現圖

方案的實現

客戶端準入控制解決方案的實現，是通過將網絡接入控制和用戶終端安全策略控制相結合，以用戶終端對高校安全策略的符合度為條件，控制用戶訪問網絡的接入權限，從而降低病毒、非法訪問等安全威脅對高校網絡帶來的危害。為達到以上目的，需要包括檢查、隔離、修復、監控的整體解決方案。

1.檢查：檢查網絡接入用戶的身份、訪問權限以及終端的安全狀態；2.隔離：隔離非法用戶終端和越權訪問；隔離存在重大安全問題或安全隱患的用戶終端；3.修復：幫助存在安全問題或安全隱患的用戶終端進行安全修復，以便能夠正常使用網絡；4.監控：實時監控在線用戶的終端安全狀態，及時獲取終端安全信息；對非法用戶、越權訪問和存在安全問題的網絡終端進行定位統計，為網絡安全管理提供依據；通過制定新的安全策略，持續保障網絡的安全。

方案組成部分

為了有效實現用戶終端安全準入控制，需要實現終端安全信息采集點、終端安全信息決策點和終端安全信息執行點的分離，同時還需要提供有效的技術手段，對用戶終端存在的安全問題進行修復，使之符合高校終端安全策略，順利接入網絡進行工作。客戶端準入控制解決方案的組成部分見圖如圖2所示。

客戶端準入控制安全策略服務器

客戶端準入控制方案的核心是整合與聯動，而客戶端準入控制安全策略服務器是客戶端準入控制方案中的管理與控制中心，兼具用戶管理、安全策略管理、安全狀態評估、安全聯動控制以及安全事件審計等功能。

修復服務器

在客戶端準入控制方案中，修復服務器可以是第三方廠商提供的防病毒服務器、補丁服務器或用戶自行架設的文件服務器。此類服務器通常放置于網絡隔離區中，用于終端進行自我修復操作。

圖2 客戶端準入控制解決方案組成部分

安全聯動設備

安全聯動設備是高校網絡中安全策略的實施點，起到強制用戶準入認證、隔離不合格終端、為合法用戶提供網絡服務的作用。根據應用場合的不同，安全聯動設備可以是交換機或BAS設備，分別實現不同認證方式（如802.1x或Portal）的端點準入控制。

準入客戶端

準入客戶端是安裝在用戶終端系統上的軟件，是對用戶終端進行身份認證、安全狀態評估以及安全策略實施的主體，其主要功能包括提供802.1x、Portal等多種認證方式、檢查用戶終端的安全狀態、安全策略實施、實時監控系統安全狀態等，實時監控系統安全狀態又包括是否更改安全設置、是否發現新病毒等，并將安全事件定時上報到安全策略服務器，用于事后進行安全審計。

終端準入控制身份認證方式

終端準入控制是從控制用戶終端安全接入網絡的角度入手，整合網絡接入控制與終端安全產品，通過用戶端、準入控制組件、網絡設備（交換機、路由器、防火墻、無線）以及第三方軟件（殺毒軟件、補丁服務器）的聯動，對接入網絡的用戶終端強制實施安全策略，嚴格控制終端用戶的網絡使用行為，有效加強用戶終端的主動防御能力，為網絡管理人員提供有效、易用的管理工具和手段。

客戶端安全管理

1.防病毒管理

通過與第三方防病毒廠商合作，客戶端準入控制終端準入控制解決方案中，客戶端準入控制策略服務器根據安全策略對安裝了第三方防病毒產品客戶端和準入軟件的用戶終端計算機進行安全檢查。對于不符合安全策略的用戶終端，通過配合相關網絡設備采用ACL或VLAN訪問控制的方式，從物理或網絡層面上將“危險”終端限制在隔離區中。

2.與WSUS聯動的補丁管理

客戶端準入控制與WSUS聯動解決方案需要兩個系統協同工作：WSUS軟件補丁更新服務器負責對終端用戶的計算機進行補丁狀態檢查、判斷是否合格以及不合格時自動更新所缺少的補丁，客戶端準入控制安全策略服務器負責決定何時發起補丁狀態檢查操作，并負責控制補丁狀態檢查不合格的端點用戶只能訪問隔離區內的資源，待端點用戶的計算機的補丁狀態檢查合格后才解除對該用戶計算機的隔離。兩者通過客戶端準入控制安全客戶端與微軟公司支持聯動功能的補丁升級客戶端之間的API接口實現。

3.黑白名單軟件管理

客戶端準入控制提供黑白軟件統一管理功能。管理員可根據高校的IT政令，在安全策略服務器定義教職工終端黑白軟件列表，通過安全客戶端實時檢測、網絡設備聯動控制，完成對用戶終端的軟件安裝運行狀態的統一監控和管理。

4.注冊表安全檢查

注冊表安全檢測：客戶端準入控制支持系統服務檢測，包括服務種類、是否啟動等。對于不符合服務檢查項的用戶需要根據安全策略做出相應處理，包括提醒、隔離、下線等。遠程用戶修改本機注冊表防御；支持遠程訪問、共享、進程調用防御。

5.密碼強度控制

客戶端準入控制就是通過Gina獲取用戶登錄Windows時輸入的密碼并驗證密碼強度。對于密碼設置不符合預定策略用戶需采用強制下線等策略進行準入控制。

客戶端準入控制可以很好的解決高?？蛻舳司W絡接入，防病毒，數據安全等問題，使高校信息系統的安全得到了很大的提高。

（作者單位：1為昆明醫科大學現代教育技術中心，2為昆明醫科大學）