維護單位網絡終端安全管理

終端是組成網絡的基本單元，網絡終端安全已經逐步成為整個信息安全的核心和底線。它們的安全與否對網絡自身的健康運行有著深遠的影響，同時也對單位業務的順利開展有著的重要作用。

那么，終端安全究竟受到哪些威脅？我們如何才能打造一個整齊體系、統一管控的終端安全管理系統？這些成為當前信息安全的最具挑戰性問題。

IPTV終端管理的主要功能是完成對IPTV終端的統一管理，實現終端的網絡配置、狀態和性能監測、系統和業務配置、軟件版本和升級管理、故障診斷等功能。IPTV終端、網絡接口、管理服務器是組成IPTV終端管理的3個必備元素，如圖1所示。

IPTV終端管理的基本實現方式是管理服務器通過網絡接口協議，調用終端上的相應功能，實現終端管理的具體功能。

圖1 IPTV終端管理結構

終端：單位信息安全薄弱“底線”

隨著單位IT基礎架構的逐漸完善，單位信息安全防護的重心開始逐漸由邊界安全轉向內網安全。越來越多的管理者都已經發現內網中的價值所在和攻擊發起，往往都在終端。終端安全已經成為單位網絡安全防護的重中之重。

在單位的IT環境中，往往終端數量巨大，其形式多樣化、部署分散、不被重視、安全手段缺乏的現狀已成為信息安全體系的薄弱環節。權威統計數據表明，單位的安全損失有80%來自單位內部，終端安全管控是重中之重。某知名制造單位的CIO曾經訴苦道：“我們單位采用了最好的防火墻以及殺毒軟件。在內網的管理上，也采用郵件監控、端口封堵、URL過濾等技術。雖然這些對單位的安全性起到了很好的作用，可是面對上千臺內網計算機的上網安全管理問題我真的是無從下手。”這充分說明終端管理無論在重要性和操作難度上，都成為單位整體網絡安全的薄弱“底線”。

雖然終端資產的重要性級別通常低于網絡中的交換機、路由器等核心網絡設備以及各種業務主機和服務器，但終端數量眾多，而且是組織日常辦公和業務運行的載體。如果終端安全受到威脅，即使網絡中的核心設備安然無恙，整個網絡的業務運行也會受到嚴重影響。

目前，傳統安全廠商的產品很難真正實現對所有局域網內的終端都實現一體化安全管理。原因有二：一是缺乏統一的網絡技術標準限制了終端安全產品對網絡設備的兼容性；二是各種新應用和新攻擊層出不窮。

傳統的計算環境也在發生革命性變化。在日常運營中可以發現，在以數據中心為核心的IT環境中，應用的核心引擎已經向數據中心轉移。當終端作為一種輕便的接入方式后，用戶通過桌面的各種應用可以通過數據中心接入整個信息網絡系統，如 ERP、CRM、BOSS系統和計費系統等。但傳統的安全體系架構有一些致命性問題，如安全策略難以統一，而且桌面應用過于強大。正是由于傳統桌面操作過于強大，每個員工又可以做很多額外工作，因此造成不確定性過高。

對于信息安全的實施與管理來說，控制終端、控制應用是首要任務。在實際的單位IT環境中，信息安全的不確定性因素幾乎都是由人產生的，而人通過類似PC、手機、PDA等終端設備接入到信息系統的界面和接口主要設施。

六招打造牢固終端單位安全

信息安全是信息化社會的“底線”，而終端安全則是信息安全的“底線”。

如何保護這條最重要的安全底線？如何應對當前終端安全面臨的諸多困擾？顯然局部的、簡單的、被動的防護不足以解決問題。安全專家告訴我們，要想解決終端安全問題，一個好的思路是通過建設綜合終端與內網安全管理體系，多管齊下，綜合防護。單位針對整體終端安全防護體系研制推出的終端與內網安全管理系統，該系統的六大安全功能集群，相互配合，相互補充，形成一套組合拳，把對終端安全的各種威脅擊斃。

終端與內網安全管理系統可以對內部終端計算機進行集中的安全保護、監控、審計和管理，可自動向終端計算機分發系統補丁，禁止重要信息通過外設和端口泄漏，防止終端計算機非法外聯，防范非法設備接入內網，有效地管理終端資產等。終端與內網安全管理系統可以與防火墻、漏洞掃描設備進行聯動，共同提供全網安全解決方案。

第一招，“桌面戒嚴”——桌面安全管理。桌面安全管理重點解決客戶端計算機桌面安全管理和行為的審計。該系統可以對客戶端的防病毒軟件的安裝、運行以及病毒庫升級與否進行管理，可以對用戶的文件、進程和上網行為等進行管理，并可以對客戶端計算機上的文件、應用程序和上網行為等進行詳細的審計，同時支持進程白名單功能。桌面安全管理可以分為桌面安全管理和桌面行為審計兩個大的功能項。

第二招，“堵住漏洞”——漏洞掃描與補丁分發管理。該功能提供了網絡掃描與主機掃描兩種模式，內置Nessus掃描引擎，也可以與市場上主流漏洞掃描設備進行聯動。掃描完成后可以根據掃描結果自動對系統漏洞下發補丁并報警。而補丁分發管理主要完成客戶端的補丁檢測和安裝，強化客戶端自身健壯性。允許管理員自定義軟件分發，完成用戶自由系統的補丁管理。可以遠程進行軟件分發。可以深入結合對客戶端防病毒程序安裝和運行情況的檢測，為安全接入管理系統提供授權認證憑據。

第三招，“外設管控”——外設與接口管理。外設與接口管理主要對終端上的各種外設和接口進行管理。終端與內網安全管理系統可以禁用系統的外設和接口，防止用戶非法使用。在外部存儲設備的禁用方面，可以在禁止使用通用移動存儲設備的同時，對經過認證的移動存儲設備允許使用。

第四招，“出入防護”——安全接入管理和非法外聯監控。系統對于非法進入單位內網的終端進入及內網合法終端的非法外聯訪問進行監控與管理。

在安全接入管理方面，系統可以通過監聽和主動探測等方式檢測內部網絡中所有在線的主機，并判別在線主機是否是信任主機，然后對于探測到的非法主機，系統可以主動阻止其訪問任何網絡資源，從而可保證非法主機不對網絡產生影響，無法有意或無意的對網絡進行攻擊或者試圖竊密。在非法外聯監控方面，系統主要解決發現和管理用戶非法自行建立通路連接非授權網絡的行為。通過非法外聯監控的管理，可以防止用戶訪問非信任網絡資源，并防止由于訪問非信任網絡資源而引入安全風險或者導致信息泄密。

第五招，“資產保護”——內網資產統計管理。系統可以自動收集分析終端計算機的物理內存、處理器類型、處理器速度、處理器個數、數學協處理器、總線類型等各種計算機硬件信息。系統可以通過組合查詢，報告硬件的各種信息，查詢可以基于硬件、存儲容量等多種關鍵字進行。

同時，系統可以自動收集分析終端計算機安裝的軟件信息，并通過多種條件進行查詢和統計。系統智能實現自動監測系統軟硬件資產的變動，記錄日志并可以產生報警，同時可以根據策略自主采用響應措施，防止資產變更給客戶端或者網絡帶來更大的危害。

第六招，“終端遙控”——用戶權限管理和終端遠程控制。終端與內網安全管理系統的用戶和權限管理采用的是由美國國家標準協會提出的RBAC模型，即基于角色訪問控制模型。基于角色的訪問控制提供了一種簡單靈活的訪問控制機制，只給角色分配權限，用戶通過成為角色的成員來獲得權限。這與過去系統中直接給用戶授權的管理模型相比更靈活方便。同時，管理人員可以通過控制臺遠程取得客戶機的控制權，身臨其境般進行操作。對于遠端客戶機出現的問題，管理人員能夠即時、方便的解決。在遠程維護或者遠程操作業務系統中發揮多方面的作用。

終端管理是IPTV技術中一個重要的研究領域，IPTV終端和業務的復雜性使得對IPTV終端的有效管理成為保障IPTV業務質量的一個必備條件，因此IPTV終端管理從一開始就是業界一個重要的研究課題。

由于IPTV是一項基于互聯網的業務，因此其終端形式多樣并且具備很高的智能性，不僅有基于SOC架構的機頂盒，基于智能芯片的智能終端，還有基于X86架構的類似于個人電腦的機頂盒。同時，IPTV業務是一項智能性、互動性很高的業務，種類多樣，邏輯復雜，由于其采用互聯網技術，對私密性、安全性有很高的要求。IPTV終端和業務的復雜性使得對IPTV終端的有效管理成為保障IPTV業務質量的一個必備條件，但是也對終端管理提出了很高的要求，因此IPTV終端管理從一開始就是業界一個重要的研究課題。

DSL Forum終端管理模型

DSL Forum的終端管理模型如圖2所示，它確定了BOSS、ACS、DSLAM、家庭網關、終端設備的整體模型，被業界廣泛引用。

HGI

HGI規定的技術實現方式特點是，在架構和遠程管理協議方面全面采用DSL Forum技術體制，同時對家庭網關的功能進行了額外的規定，增加了本地管理的使用場景，并定義該接口在本地采用HTTP+HTML方式（如圖3所示），遠程采用DSL Forum規定的方式（如圖4所示）。

圖2 DSLForum終端管理結構

圖3 HGI終端管理結構

圖4 ATIS終端管理結構

單位內網的安全性問題

由于IPTV終端管理的高優先級、配置和診斷等特殊功能，因此終端管理必須具備很高的安全性保障。而終端管理系統由于終端規模巨大，導致必須分層組網，為保證系統性能和支持大規模升級，必須簡化交互過程、降低協議的復雜度，以減輕系統負擔，同時IPTV使用基于互聯網技術的IP網絡，終端具備很高智能和復雜性，對安全性的保障，如使用安全協議、加密算法等業務安全措施，勢必造成管理協議復雜度的進一步提高，如何在降低負擔與安全保障之間尋找平衡點一直是IPTV終端管理的難題。

結語

IPTV終端管理是IPTV業務系統中不可缺少的一部分，對IPTV終端管理技術的研究也在不斷深入。隨著IPTV業務的迅速發展和用戶規模的不斷擴大。對IPTV終端管理技術也提出了新的要求，后續對于IPTV終端管理技術的研究，將面向實際的部署和實施，包括安全性、大規模組網、業務配置等方面，這些都影響著單位業務的順利進行。