園區網終端安全管控系統的構建

馬 亮(石家莊陸軍指揮學院 河北 石家莊 050084)

園區網終端安全管控系統的構建

馬 亮
(石家莊陸軍指揮學院 河北 石家莊 050084)

從終端安全存在隱患入手，著眼什么人能上網、什么機器能上網、上網的人有權做什么以及上網的人都做了什么等問題，辨析了終端安全的管控目標，提出了園區網終端安全管控系統的設計構想，同時，從區域、接入控制網關、引流規則、客戶端和檢查策略等角度對系統進行規劃部署，并對準入權限控制、終端健康檢查和終端用戶行為管理的技術實現進行了詳細闡述，對園區網終端安全管控系統的構建提出了建議。

園區網 終端 安全 管控 系統

1 引言

隨著信息化建設的不斷深入，信息化建設中最重要的基礎設施--園區網，發揮越來越重要的作用，園區網的規模在不斷擴大，網絡應用日益復雜，網絡安全問題愈發凸顯。

在網絡安全防護方式的選擇上，傳統的邊界防護固然重要，通過部署安全設備、實施內外網隔離以及加強數據中心防護，都可以較好地防范來自外部的安全威脅，但面對網絡內部產生的威脅，這種方式顯得力不從心。據權威部門統計，大約60%到80%的網絡安全事件起源于內部網絡終端計算機的硬件配置、軟件應用與用戶行為，也就是說終端是內部安全威脅的源頭。具體來說，終端存在以下安全問題[1]：

①終端用戶安全意識薄弱：用戶隨意使用移動存儲設備、設置弱口令、不安裝防病毒軟件、不及時更新病毒庫和不及時安裝操作系統補丁等這些違規現象還不同程度的存在；

②非法終端用戶未授權接入：缺乏上網認證機制，外來人員未經許可，能夠輕易接入并訪問園區網；

③合法終端用戶越權訪問：對網絡資源缺乏嚴格的訪問權限控制，導致合法終端用戶能夠隨意訪問網絡中的涉密信息；

④終端用戶的違規行為得不到監控，體現在缺乏對終端用戶違規行為的監控手段，管理人員對終端的安全狀態不了解，不掌握；

⑤單點防御，缺乏全局防御能力，僅對終端的個別或局部安全問題采取防護措施，缺乏全要素和全生命周期的安全管控。

2 終端安全管控目標

要實現終端的安全管控，必須要回答和解決以下4個問題。

⑴什么人能上網

身份認證問題。隨便什么人都可以接入園區網的現象肯定是不安全的，必須建立起實名制準入控制機制，確保認證后用戶才能接入園區網。

⑵什么機器能上網

健康合規問題，用戶身份的合法性不等同于終端的健康度，終端的安全性對網絡具有潛在威脅，如終端存在病毒和木馬，接入網絡后就會感染其他的終端；終端未安裝涉密載體、標簽水印和防病毒等統一的安全軟件，也會帶來潛在威脅。

⑶上網的人有權做什么

權限受控問題，用戶身份合法，終端健康，不代表可以訪問網上的所有資源。領導和一般員工，不同身份角色的用戶對資源的訪問權限是不一樣的，必須依據角色權限嚴格控制訪問相應的資源。

⑷上網的人都做了什么

行為審計問題，要加強上網行為的審計和檢測，做到對用戶的違規行為可記錄、可追查和可回溯。

綜上可得出終端安全管控的目標是實現終端安全管控的一體化和精確化，確保終端合規和受控，從源頭消除漏洞和威脅，從而有效解決終端接入失控、終端安全失察、資源訪問無序及管理效能不高這些現實性問題。

3 終端安全管控總體設計

3.1 設計構想

用戶在使用終端訪問網絡資源前，首先要經過身份認證和終端健康檢查，在確認身份合法并通過健康檢查后，終端才可以訪問受控的網絡資源。認證不通過則不能訪問網絡，健康檢查不通過則要進行隔離修復，直到終端通過健康檢查后才允許訪問受控的網路資源，同時要對終端的行為進行監控和審計，這樣才能實現從終端主機到業務系統的控制與管理。

3.2 規劃與部署

⑴區域規劃

終端安全管控系統根據安全管控需求，將園區網劃分成4個區域，分別是終端域、認證前域、隔離域和認證后域。①終端域：終端域是指用戶終端所在的區域，要將所有的用戶終端規劃在這個區域，以便進行集中管理；②認證前域：認證前域是指用戶認證需要訪問的區域。通過配置在該區域安全管理服務器，實現終端用戶管理、安全策略配置、用戶身份驗證、訪問權限分配和終端的安全狀態查詢等功能[2]；③隔離域：隔離域是指當終端用戶未能夠通過終端健康度檢查時，將終端隔離到的區域，通過該區域設置的防病毒服務器和補丁服務器，實現用戶終端健康修復；④認證后域：認證后域是指終端用戶通過了身份認證和終端健康檢查后可以訪問的區域，認證后域部署著園區網各類受保護的信息資源，根據業務需求，認證后域資源需要進一步細分為若干個相互隔離的受控域，用以實現用戶按權限訪問資源。

⑵部署安全接入控制網關

安全接入控制網關是實現準入控制和訪問權限控制的核心設備，以旁路方式部署在核心交換機旁邊。安全接入控制網關通過一臺具備數據包過濾功能的防火墻引流實現，就像一個哨兵，可以檢查所有從用戶終端過來的數據包，并依據訪問規則決定"放行"或"阻止"。

⑶配置引流規則

引流的規則是在核心交換機上配置的。在核心交換機上，要把所有與終端域相鏈接的端口，都配置上引流規則，即把進入該端口的數據包發送至與安全接入控制網關相連的端口上，而不是被核心交換機直接轉發到目的端。

⑷部署終端安全管控系統客戶端

每個合法的入網終端都必須安裝終端安全管控系統客戶端，不安裝客戶端的用戶無法發起認證流程，從而無法訪問網絡。客戶端的主要功能是實現身份認證、終端的健康檢查和用戶行為審計。

⑸配置用戶信息和終端健康檢查策略

配置用戶信息就是在安全管理服務器將每一個用戶的用戶名、密碼、IP地址和用戶有權訪問的受控域等信息關聯起來，形成一個用戶配置表，完成用戶基礎信息管理；配置用戶的終端健康檢查策略，就是指定終端要做哪些健康檢查，檢查的標準是什么，不達標的終端如何處置，從而為客戶端程序進行終端健康檢查提供依據。

4 主要功能的技術實現

4.1 準入控制和權限控制

準入控制和權限控制可分為合法合規用戶、合法不合規用戶和非法用戶3類流程控制。

4.1.1 合法合規用戶的流程控制

合法合規是指通過用戶通過身份認證且終端通過健康檢查。該類用戶的流程控制分為用戶認證流程、用戶訪問流程和用戶離線流程。

⑴用戶認證流程控制

用戶登錄時，安裝在終端上的客戶端會將用戶登錄信息以加密的方式發送給安全管理服務器。數據包到達核心交換機后，被引流到安全接入控制網關，網關將用戶數據包中的源地址和目的地址與網關內的訪問規則進行匹配，以此來控制數據包的轉發[3]。

初始狀態下訪問規則中只有3條默認規則，規則1：允許所有訪問目的地址是認證前域的數據包通過；規則2：允許所有訪問目的地址是隔離域的數據包通過；規則3：阻止所有數據包通過。

對于用戶認證數據包來說，它的目的地址是認證前域中的安全管理服務器，那么它就和規則1相匹配，得到安全接入控制網關的"放行"。數據包通過由網關出端口返回核心交換機，核心交換機依據目的地址對數據包進行正常轉發，這樣數據包就會到達安全管理服務器。

安全管理服務器驗證數據包中用戶名和密碼，如果是合法用戶，安全管理服務器會將用戶對應的終端健康檢查策略發送給終端客戶端，客戶端收到后依據下發的策略進行終端健康檢查，如果檢查通過了，客戶端會通告安全管理服務器，服務器收到健康檢查通過的通告后，查詢用戶配置表中用戶所能夠訪問的受控域信息。

⑵用戶訪問流程控制

認證通過后，終端會發起對受控資源的訪問。例如，訪問受控域1中的某臺服務器，請求數據包到達網關后，還是要匹配訪問規則，這時安全管理服務器剛剛下發的規則就會被命中，這條規則是允許終端訪問受控域1的地址段，命中后數據包會經過網關出端口到達核心交換機，最終會到達要訪問的服務器，服務器會響應用戶請求，向用戶發送響應數據包，數據包經數據中心交換機和核心交換機，最終到達用戶的終端。

⑶用戶離線流程控制

“離線”是指用戶中斷了與網絡的鏈接。這里面包含著2種情況：①用戶正常離線，通過點擊客戶端的注銷按鈕實現；②用戶非正常離線，是指用戶從認證狀態下直接關機，或者用戶終端發生掉電或硬件故障的情況。

解決方法是依靠終端客戶端會與安全管理服務器建立起心跳機制，客戶端會周期性地（比如每30 s）向安全管理服務器通告自己的在線狀態，稱之為心跳信息。安全管理服務器如果在30 s內沒有收到終端的心跳信息，就會認為終端已經離線，這時，安全管理服務器會向安全接入控制網關中的訪問控制列表發送指令，指令的內容是"刪除與這個已經離線終端對應IP的所有規則"，這樣就防止了非法用戶盜用合法用戶IP地址訪問受控資源的問題。

4.1.2 合法不合規用戶和非法用戶的流程控制

合法不合規是指通過用戶通過身份認證，但終端未通過健康檢查，非法用戶是指未通過身份認證的用戶。

這2類用戶的的訪問控制流程是類似的，由于沒有通過身份認證和終端健康檢查，所以安全管理服務器不會向網關中的訪問控制列表下發訪問規則，當這2類用戶發起對受控資源的訪問時，他們的請求數據包，只能匹配上訪問控制列表中的最后1條規則，這條規則是禁止所有IP地址的訪問，因為是禁止訪問，所以數據包就會被丟棄，這樣這2類用戶就訪問不到受保護的資源。

4.2 終端健康檢查內容

4.2.1 檢查防病毒軟件

檢查內容包括終端主機是否安裝了指定的防病毒軟件和防病毒軟件病毒庫是否更新。如果不滿足上述要求，首先要禁止終端訪問受控資源，其次還要協助用戶做好終端的防護工作，從而使用戶的終端合規。

4.2.2 檢查補丁安裝情況

終端安全管控系統支持對操作系統補丁、瀏覽器補丁、OFFICE補丁的檢查和修復。當檢查到終端沒有部署必須的補丁的時候，終端安全管控系統可通過部署在隔離區的補丁服務器協助終端快速完成補丁的修復[4]。

4.2.3 檢查屏保設置

檢查終端主機的屏幕保護參數設置是否滿足安全策略的要求，包括是否啟用屏幕保護功能、是否啟用密碼保護功能以及屏幕保護啟動時間，當不滿足是可自動修復。

4.2.4 檢查文件共享

檢查文件共享策略能夠降低無序共享導致信息泄密或惡意攻擊的風險。如果終端主機的共享目錄則認為用戶有違規行為，可通過終端安全管控的自動修復功能取消共享。

4.2.5 檢查系統冗余賬號

系統冗余賬號往往容易成為黑客攻擊的目標，終端安全管控系統通過檢查操作系統冗余賬號策略，能夠提醒終端用戶及時刪除系統冗余賬號，降低因系統冗余賬號帶來的安全風險。

除此之外，還要檢查主機端口、操作系統服務、軟件黑白名單和賬戶等安全。

4.3 終端用戶行為管理

終端安全管控系統提供基于終端用戶行為管理功能，通過規范用戶的行為來提高內網安全管理的能力。

①監控USB存儲設備：包括提供對USB允許/禁止/只讀的控制能力，提供USB存儲設備文件操作的監控功能，提供USB存儲設備加密功能[5]；

②監控非法外連：當終端安全管控系統的客戶端探測到終端訪問外部網絡時，會阻斷終端的所有網絡訪問，并且記錄終端訪問外部網路事件；

③監控終端資產變更：終端安全管控系統通過安裝在終端主機上客戶端采集軟硬件資產信息，并能跟蹤資產信息變化。包括操作系統、軟件清單、硬件清單、硬盤序列號和BIOS等信息[6]；

④監控網絡應用程序：終端安全管控系統能夠監控終端主機網絡應用程序的運行狀態，攔截并禁止網絡應用程序的啟動，例如P2P軟件和網絡游戲等；

⑤監控屏幕拷貝：監控屏幕拷貝策略在執行時能夠防止終端用戶通過截屏鍵截取屏幕，可有效避免信息通過截屏流失問題；

⑥監控訪問站點：通過配置網站的URL禁止終端用戶訪問某些網站，可有效降低外部黑客網站對內網滲透的可能性；

⑦監控系統設備：終端安全管控系統具有監控終端主機使用外部設備的功能。包括：支持啟用或禁用打印機、串行接口、并行接口、紅外接口、1394接口和藍牙接口等；

⑧監控多網卡：為了降低安全威脅從一個網絡傳播到另一個網絡的風險，不允許一臺終端主機通過多塊網卡同時連接不同的網絡。監控終端主機的網卡連接狀態和無線網卡，并提供禁用無線網卡功能；

⑨監視文件操作：監視終端用戶在終端主機的本地硬盤進行的文件操作，包括文件的創建、復制、編輯、重命名和刪除；

⑩監控光驅：監控光驅策略支持禁用所有光驅和禁用刻錄光驅的寫功能，防止終端主機通過光驅設備泄露涉密信息。

5 結束語

通過終端安全管控系統的部署，探索了一套能夠解決"什么人能上網、什么機器能上網、上網的用戶有權做什么、用戶在網上都做了什么"這些在日常網絡安全管理中難于解決的問題的辦法，可實現了園區網內部用戶身份的實名化、網絡接入的有序化、資源控制的區域化、安全管理的智能化、問題發現的前置化和防護措施的一體化，從而實現了網絡安全從被動響應到有預見性、主動性的防御方式轉變。

[1]陳志慧.終端安全準入與管理的技術策略探討[J].企業技術開發,2013(10):56-57.

[2]黃 俊.大型企業計算機終端安全管理現狀與策略分析[J].科技信息,2013(11):99,136.

[3]楊國利,代 祥,毛悍東.內網終端安全檢查與接入控制的設計與實現[J].計算機工程與應用,2013(6):109-113.

[4]耿慶峰.終端安全建設在電力企業中的應用[J].中國新通信, 2013(23):87-88.

[5]孟粉霞,王 越,雷 磊.統一終端安全管理系統在內網中的分析及應用[J].信息系統工程,2013(8)：70-71.

[6]王 銳.構筑企業級終端安全管理平臺[J].電子技術與軟件工程,2013(15):197-198.

Construction of Campus Network Terminal Security Management and Control System

MA Liang
(Shijiazhuang Army Command College,Shijiazhuang Hebei 050084,China)

Starting with some existing hidden troubles in terminal security,with a view to the problems of who can access the network,which computer can access the network,what rights the online user has and what the online user has done,this paper analyses the terminal security management and control target,proposes the design concept of campus network terminal security management and control system.At the same time,this paper plans and develops the system in aspects of region,access control gateway,drainage rule,client and checking strategy,describes in detail the technical realization of access permission control,terminal health examination and terminal user behavior management,and proposes the suggestions on construction of campus network terminal security management and control system.

campus network;terminal;security;management and control;system

TP393

A

1008-1739（2014）22-64-4

定稿日期：2014-10-26