內網準入及終端管控在信息安全保護實踐中的研究

薛金川

摘 要：為防范政府部門、金融機構等單位敏感信息泄露、提高信息安全保護能力，本文從單位內網準入及終端管控技術入手，在分析研究兩者技術原理的基礎上，結合自身項目實踐，給出了一種把住終端“準入”、“管住”兩個關鍵環節的技術方案。實踐證明，該方案有效提升了單位信息安全保護水平，達到了預期目標。

【關鍵詞】內網準入 終端管控 信息安全保護

1 引言

對數據保密性要求高的政府部門、金融機構等單位，防止敏感信息泄露始終是一個嚴峻的課題。在信息安全保護實踐中，各單位往往對數據集中的后臺服務端投入精力較多，對來自終端的威脅重視不足。

來自終端的威脅主要為兩方面：一是內部網絡接入層侵入。二是內部計算機終端安全管理失控。信息安全事件調查經驗表明，多數信息泄露安全事件的突破口來自終端。因此，各單位在防范敏感信息泄露時，應對來自終端的威脅給予足夠的重視，牢牢把住終端“準入”、“管住”兩個關鍵環節。

2 原理分析

2.1 網絡準入與終端安全之間的關系

內部網絡準入，是指在人事管理層面識別用戶身份后，通過技術手段給予合法用戶、合法設備接入的過程。計算機終端安全，是指包含非法外聯監控、移動存儲管理等在內的一系列安全防范措施，是一個單位信息安全管理制度的技術化實現，構成了對合法接入終端的安全基線。

達到終端安全基線是目的，網絡準入是重要的前置保障手段。在實踐中，只有把網絡準入與終端管控結合起來，才能有效實現內網信息安全保護。

2.2 網絡準入實現原理

當前國際主流的企業級實現技術主要有802.1x認證、安全網關認證等。

實施802.1x認證方式的前提是交換機支持802.1x認證協議。交換機與認證服務器聯動，根據認證服務器下發的認證結果，提供基于端口的準入控制。這種認證方式的優勢是若在接入層實施，終端互訪控制力度很強。認證前，交換機接入端口關閉，終端完全隔離。認證后，接入端口開啟，相同VLAN內的終端可以互訪。缺點是實施、維護過程中網絡部門的工作量很大，并且無法從原理上解決終端用戶在交換機端口以下私接HUB的問題。

實施安全網關認證方式需要在生產網絡中添加硬件安全網關（防火墻）設備，旁路部署在核心交換機側或匯聚交換機側。然后通過在交換機上添加策略路由（Policy based routing），將需要認證的IP地址范圍內終端流量上拉至安全網關進行身份認證。安全網關接收認證服務器下發的動態ACL，對流量選擇回注至交換機或丟棄，從而達到網絡準入的效果。這種認證方式的優勢是配置實施簡單，對現有生產網絡改動要求小，并且因為采取三層認證方式，對人員、部門遷移支持性好，同時還能夠有效防止私接HUB的情況。缺點是由于控制點在核心側或匯聚側，安全網關對終端之間的互訪行為控制力度較弱。

2.3 終端安全實現原理

為確保管控效果，企業級產品基本實現模式均為在計算機客戶端駐留代理程序，對信息保密要求較高的單位常見的需求包括以下幾方面：

安全狀態檢查。最基礎的要求包括是否安裝了要求版本的殺毒軟件，病毒庫定義是否保持更新等。此類功能主要通過安全代理軟件讀取系統注冊表及掃描特定位置文件系統實現。

移動存儲管理。根據各單位信息安全管理要求等級不同，檢查是否存在違規使用移動存儲介質管理的情況。此類功能主要通過安全代理軟件提升運行權限后向操作系統底層驅動注入代碼實現。

非法外聯監控。對信息保密要求高的單位，接入內網的計算機終端通常都是禁止與互聯網直接或間接連通的。檢查非法外聯的通常做法是安全代理軟件定期檢查與某個互聯網地址的連通性，若有連通便會觸發監控報警。

3 項目實踐案例

筆者作為項目負責人，于近期完成了一次單位內網準入與終端管控項目建設工作。該項目實施環境為政府機構辦公內網，實施目標網絡運行著單位內部辦公系統以及大量對外服務的業務系統，生產網絡割接需要慎重。同時，在嚴格管控USB存儲介質等外設使用的制度要求下，又因業務特點，需要使用品種型號各異的Ukey等特種設備。因此該項目建設中必須遵循對現有生產網絡及系統影響最小的原則。

為達到上述目標，筆者在對網絡準入及終端管控技術進行研究的基礎上，對市場相關主流產品進行了長達半年的多方調研與測試選型。根據單位綜合布線基礎設施現狀、業務系統特點等實際情況，最終確定了使用硬件安全網關實現準入，在客戶端駐留代理程序與安全網關聯動實現終端管控的技術路線。

在項目實施中，筆者總結了以下幾點經驗：

（1）終端安全管控軟件部署應嚴格遵循“充分測試，穩步推進”的原則。由于終端安全軟件本身原理決定的底層侵入性（提權運行、操作系統驅動及協議棧注入等），部署過程必須先選取運行重要業務系統、特種外設部門的計算機為試點，局部安裝客戶端，排查兼容性風險，積累部署經驗。

（2）網絡準入實施應注意排查啞終端盲點，細粒度開展網絡割接。因網絡準入控制功能需要在終端安裝代理程序與防火墻交互實現，對不能安裝代理的啞終端（如網絡打印機等非PC類設備），需在硬件網關設備上做特殊策略放行。在利用策略路由進行流量上拉時，本質是對生產網絡的割接。為便于控制與回退，建議采取細粒度方案，以部門或樓層VLAN為單位逐個進行實施。

筆者實施的項目上線試運行后，從功能、性能及兼容性幾方面看，均較好地實現了項目建設需求。同時筆者通過組織對現有內網在網設備管理制度開展修訂完善，以制度和技術相結合的方式，形成了單位內網終端準入控制閉環，進一步提高了內網信息安全保障水平。

4 結語

信息安全保障能否落實，往往在于一個“細”字。要實現對信息安全閉環式管理，僅僅重視信息系統服務端的保護是不夠的，必須重視對每個入網終端的安全管理。

同時，我們也必須認識到，對一個單位的信息安全管理而言，永遠是“三分技術，七分管理”。再好的技術手段，也只有和管理制度相結合，并加以強力執行，才能達到預定的安全目標。

作者單位

中國人民銀行營業管理部 北京市 100045