公安內網中終端信息安全的研究分析

吳承坤

摘 要：隨著技術的發展，各種攻擊手段越來越高明，人們把外圍的封堵越做越復雜，相應投入到開發、管理、維護的費用也越來越高，然而實際的收效卻不盡如人意?？梢?，傳統的安全手段暴露出其局限性，已經不能完全適應當前信息系統的安全需求。產生這種局面的根源在于不去控制安全問題發生的源頭—主機終端。從組成信息系統的服務器、網絡、主機終端三個層面上來看，現有的保護手段是逐層遞減的，這說明人們往往把過多的注意力放在對服務器和網絡的保護上，而忽略了對終端安全的保護。

關鍵詞：終端；安全；架構；管理方法

終端往往是創建和存放重要數據的源頭，而且絕大多數的攻擊事件都是從終端發起的。如果信息系統中每一個使用者都是經過授權和認證的，其操作都是符合安全策略的規定，那么攻擊性事件就會大大降低，就能有效保證整個信息系統安全。因此，只有立足于主機終端，從終端安全管控入手，才能更好解決信息系統整體安全問題。通過對終端安全事件的追溯與研究，我們發現，終端安全主要由以下幾個方面引起的：一是終端資產管理問題，資產的識別和清算已經成為信息安全管理的基礎，傳統上通常采用人工報備的資產管理方式。這種方式不但工作量大、信息收集不夠準確全面，而且常常需要重復勞動，無法提高安全管理部門的工作效率，滿足不了大型信息系統的細粒度資產管理需求。二是終端設備運維管理問題，承載各種業務系統、應用軟件和數據庫的服務器、終端以及網絡設備已經成為保障業務系統正常運轉的基礎設施。在整個網絡中，這些基礎設施設備必須進行整體管理與監控，發現異常立即報警已經成為了避免系統性風險的必要技術手段。三是外設管理問題隨著U盤、光盤、無線、藍牙等外設的廣泛使用，外部設備已經成為數據交換的主要途徑，與此同時也成為近幾年數據泄密、病毒感染的主要途徑。其中移動存儲因其體積小、容量大、價格低、攜帶方便的特性，在日常工作中發揮著重要作用，但它為工作提供便利的同時，也為信息安全帶來了極大隱患，甚至已經造成了非常嚴重的后果。已經感染病毒、木馬的優盤隨意插入終端、內部存有敏感數據的移動介質毫無保護地拿到外部使用，都給內部安全管理帶來極大的挑戰。

一、解決思路

要解決上面提出的終端系統存在的安全問題，在解決思路上我們要以安全管理為核心，安全技術為基礎。安全管理必須從實際管理需求出發，形成對安全管理、監測、響應、防護的工作閉環，形成對終端安全狀態、行為、安全事件全面監測能力，實現對安全威脅和風險的分析、預判，事件的防護和控制，有效支撐安全管理工作需求，提供完整的安全管理解決方案和可操作的落地產品，幫助安全管理員有效監控終端安全狀況，做出正確的安全決策。

針對移動存儲介質的使用現狀，在管理上，要制定完善的制度，實現對移動存儲介質的注冊管理要求，包括：登記、清點、責任人和責任部門等。在技術上要完成對移動存儲介質注冊、使用權限、操作內容的檢測、控制和審計，對違規行為進行相應的阻斷和告警。整體以管理為核心，以技術為基礎，實現對移動存儲介質在管轄區域內全生命周期的安全管理要求。

二、解決方法

終端安全監管防護系統的目標是實現終端計算機設備、安全事件統一管理，完成安全策略的統一配置，在功能上實現對設備、補丁、進程、服務、運維等安全要素的監控，保證內部數據安全，實現基于軟件標簽技術實現對網內的USB移動存儲介質進行統一注冊管理、權限控制和審計功能，可對違規使用移動存儲介質行為進行智能識別和告警。實現終端系統的全面安全防護和加固，保障內部網絡安全。

2.1系統架構

終端安全監管防護系統采用B/S、C/S結合的架構模式，系統主要由終端代理軟件、管理服務組成。管理服務通過WEB統一管理策略和展示結果，終端代理軟件執行策略要求的任務并上報結果數據。

（1）數據采集單元

數據采集單元由安全檢查項數據采集模塊、安全運維與監測數據項采集模塊組成。數據采集單元是整個系統對終端信息安全狀況的采集點，實現主機安全管理系統所需安全元數據的采集和對設備、系統的安全項檢查。系統的可擴充架構設計使得其數據采集與執行單元包含的內容可以隨著以后終端信息安全需求的不斷增加而擴充。

（2）管理控制中心

管控中心單元作為系統終端控制的決策中心主要負責對系統檢查、控制策略和分析策略的配置以及系統功能模塊的前線配置，通過安全策略指揮數據采集、執行單元和分析、認證單元進行有序的工作；同時還是系統數據轉接中心，負責把采集、執行單元上報的日志數據進行初步規整、過濾處理后，存入數據庫，給分析、認證單元提供分析和認證處理的源數據。保障系統的有序業務工作和穩定運行。

（3）數據分析、認證單元

數據分析、認證單元單元整合控制執行單元采集的數據，結合后端各個數據邏輯分析和認證部件，實現對身份認證、終端安全狀態評估、違規事件提醒以及相關終端全事件和安全趨勢的統計分析過程。分析處理單元的輸出數據進入系統數據庫，通過網頁形式詳細展現，并通過短信、頁面提醒方式，第一時間多渠道通知相關人員，及時提醒其做好對安全事件的查處工作。

（4）Web前端單元

Web前端單元包含三個部分：系統安全業務信息查詢安全配置和運維管理。信息展現網頁是人機交互單元的主要部分，承載系統要求的各個功能模塊的數據顯示與配置操作功能。任何接入管轄區域網絡的計算機均可以直接通過瀏覽器連接站點進行訪問，查看系統提供的開放數據；同時系統管理人員可通過特權賬號加密碼方式登錄系統網站后臺進行管理員和用戶權限配置和各個模塊的功能配置操作。

2.2要實現的功能

（1）設備管理

通過技術手段對管轄范圍內的內網設備進行自動發現和識別，可以不依賴申報備案，發現并智能識別網絡中的各種設備（計算機、服務器、音視頻設備、網絡設備等），同時提供對設備的注冊管理功能。

（2）終端管控

根據終端設備運行環境的安全狀態，控制設備、系統以及軟件程序的安全操作和運行情況，主要包括：外設控制、進程控制、開關機控制、共享控制、痕跡清理。實現對設備以及系統安全操作和數據出入口的安全管理，對安全事件和風險進行有效防護。

（3）安全檢查

系統內置安全檢查模塊，實現對未安裝和運行殺毒軟件、未打補丁，賬戶安全、共享安全、USB使用安全、上網痕跡、軟件安裝、進程運行情況的檢查，并且對這些安全檢查項數據進行按區域和部門匯總統計，輔助安全管理員及時發現問題，處理安全事件。

（4）運維監測

系統內置安全運維監測和分析模塊，實現對CPU異常、內存異常、流量異常、應用點擊異常、連接數異常的數據采集，通過異常建模和數據關聯分析，實現對風險異常的判斷，輔助管理員對進行安全決策，保障核心設備運行穩定。

結語：對終端用戶的安全策略進行統一管理，根據不同的用戶和功能配置和執行不同安全策略，策略的靈活管理滿足了在線用戶、離線用戶、以及筆記本用戶的使用，確保安全的情況下不影響應用。終端安全監管防護系統建設完成后，能夠實現終端的智能監控與管理，為加強內部信息網絡安全管理提供高效的管理工具。滿足終端安全管理需要。能夠形成日?；O測機制，實現對內部信息網終端的監測與檢查，形成終端安全管理的常態化、日?；ぷ鳈C制。實現對移動存儲設備的有效管控。做到內部信息帶不走：系統實現了對移動存儲介質信息交換出口的嚴格監控，杜絕重要信息外泄。外部信息進不來：系統拒絕未注冊外部介質任意在內部網絡中使用，杜絕了內外部的攻擊泄密。

參考文獻

[1]宋漢石.加強受理終端安全管理的探索和實踐 [J].金融電子化，2017，（04）

[2]李定川.維護單位網絡終端安全管理[J].網絡安全和信息化，2017，（10）

（作者單位：濮陽市公安局）