通訊運營商內(nèi)網(wǎng)終端安全管理平臺設計分析

戚帥帥

【摘要】? ? 內(nèi)網(wǎng)終端系統(tǒng)決定著內(nèi)網(wǎng)管理系統(tǒng)以及生產(chǎn)系統(tǒng)的順利使用，同時也影響著辦公系統(tǒng)終端。在現(xiàn)代科學技術發(fā)展的推動下，各種類型的網(wǎng)絡病毒在信息系統(tǒng)中較為常見，對內(nèi)網(wǎng)終端平臺安全造成了較大威脅，因此通訊運營商就應當加強內(nèi)網(wǎng)終端安全管理，通過構建安全管理平臺貫徹落實全方位安全控制。基于此，本文主要探究通訊運營商內(nèi)網(wǎng)終端安全管理平臺的構建，并針對安全管理平臺的設計方案進行探討，簡述內(nèi)網(wǎng)資源管理等多個模塊的內(nèi)容，以此來提高終端安全管理平臺構建的有效性。

【關鍵詞】? ? 通訊運營? ? 內(nèi)網(wǎng)終端? ? 安全管理? ? 平臺設計

一、基本問題分析

當前通訊運營商內(nèi)網(wǎng)安全面臨著諸多安全隱患，因此應當及時優(yōu)化其管理結構，設計終端安全管理平臺。當前主要安全隱患包括以下三個方向：其一，公司內(nèi)部終端都連接著DCN網(wǎng)，經(jīng)過省中心認證后，才可進行后續(xù)的互聯(lián)網(wǎng)訪問。DCN網(wǎng)具有統(tǒng)一出口的特點，如果DCN網(wǎng)并不屬于集團公司，那么則不符合公司的安全運營管理需求，不允許其應用互聯(lián)網(wǎng)出口功能。[1]其二，諸多辦公與非辦公終端在應用時，并未采取物理隔離以及邏輯隔離，IP地址存在混用的情況。進而導致辦公終端很容易成為網(wǎng)絡攻擊的跳板，針對企業(yè)關鍵業(yè)務造成較為嚴重的安全威脅，導致企業(yè)的運營面臨著極大的安全風險。其三，當前DCN網(wǎng)和IP網(wǎng)都沒有落實實名制管理，進而導致無法全面追究溯源，使得運維管理難度系數(shù)加大，不能滿足企業(yè)的發(fā)展需求。

二、內(nèi)網(wǎng)終端安全管理平臺構建概述

（一）建設目標

通過內(nèi)網(wǎng)終端安全管理平臺的有效構建，各級區(qū)域的管理人員都可以利用此管理平臺實現(xiàn)對信息的有效管理，通過安全技術手段的應用，實現(xiàn)對計算機風險的評估，快速安裝桌面管理以及內(nèi)網(wǎng)終端補丁，實現(xiàn)全面管理，進而提高企業(yè)管理效果，保護信息安全，企業(yè)重要的信息內(nèi)容也不會因為管理平臺不完善而泄露，而企業(yè)計算機設備也不會受到病毒的侵擾，使得安全管理效果不斷增強。

（二）建設要求

根據(jù)通信運營商的經(jīng)營情況完善網(wǎng)絡終端管理平臺的構建，通過統(tǒng)一化的管理方式，實現(xiàn)對公司部門以及營業(yè)廳計算機終端的集中化管理，提高監(jiān)督效果。在初步設計安全管理平臺時，應當結合公司需求，與公司市場部門、客戶部門以及信息部門共同測試安全管理效果。終端安全管理平臺要能夠及時發(fā)現(xiàn)終端設備的異常，實現(xiàn)其監(jiān)控功能，同時自動恢復終端設備數(shù)據(jù)。結合內(nèi)網(wǎng)邊界安全需求，做好生產(chǎn)內(nèi)網(wǎng)安全管理，確保其不會受到外網(wǎng)攻擊與控制。[2]而企業(yè)辦公生產(chǎn)網(wǎng)絡嚴格規(guī)定不可外聯(lián)，做好邊界保護。

（三）優(yōu)化網(wǎng)絡結構

針對運營商內(nèi)部應用的辦公網(wǎng)，應當與DCN網(wǎng)相隔離。針對OA辦公網(wǎng)所需要的功能，通過使用CN2網(wǎng)PE設備和城域網(wǎng)BRAS等設備開通，并實現(xiàn)與DCN網(wǎng)MPLSVPN邏輯隔離，在接上相關網(wǎng)絡設備后，也應當進行物理隔離。

通過對網(wǎng)絡設備的優(yōu)化改造，OA辦公網(wǎng)應用了新型交換機設備。同時OA辦公網(wǎng)也接入了原辦公終端的DCN網(wǎng)接入段，從PON端接入具備PON資源的設備。當前OA辦公網(wǎng)應用了新型地址段，通過承載網(wǎng)將其與VPN業(yè)務實現(xiàn)區(qū)分，面對辦公室的IP地址需求，選擇公網(wǎng)私用方式解決現(xiàn)有問題，在終端設備得到省中心認證后，則可以實現(xiàn)在終端設備上應用OA辦公網(wǎng)訪問DCN網(wǎng)，實現(xiàn)Nat轉換。

在完成整體網(wǎng)絡結構優(yōu)化后，全部辦公設備應當由原有DCN網(wǎng)，接入OA辦公網(wǎng)，在完成具體認證后，通過二選一的方式訪問互聯(lián)網(wǎng)，在DCN網(wǎng)內(nèi)只需保留其IT資產(chǎn)，或者網(wǎng)絡資產(chǎn)即可，從而有效保障網(wǎng)絡使用的安全性。

（四）辦公終端安全管理

終端安全管理平臺應當強制電腦終端安裝桌面安全軟件，通過對網(wǎng)絡準入控制技術的應用，實現(xiàn)對OA辦公網(wǎng)的全面管理。辦公終端桌面安全軟件包括殺毒軟件、弱口令賬戶、屏幕保護、密碼策略設置以及禁止安裝軟件等多個內(nèi)容，可實現(xiàn)對終端的全面檢查。[3]在檢查過程中如果發(fā)現(xiàn)不符合安全管理需求的情況，終端安全系統(tǒng)會自動對企業(yè)進行警告與修復。

（五）IP地址管理

在加強IP地址管理時，應當從兩個方面入手。

首先應當制定完善的IP地址管理制度，明確各級單位使用IP地址的各個環(huán)節(jié)，如申請、注冊、使用、分配、回收等。

其次，構建完善的IP地址管理系統(tǒng)，在生產(chǎn)流程中融入IP地址的生命周期管理，實現(xiàn)對IP地址的全面化、動態(tài)化管理，確保管理方式的規(guī)范性。而對于OA網(wǎng)絡的IP地址，則應當經(jīng)過系統(tǒng)認證后采取實名制管理，具體管理信息包括認證時間、OA工號等等。而對于DCN網(wǎng)絡而言，IP地址的使用則應當先實名，在完成實名注冊流程以后，才可以允許用戶使用。每一DCN網(wǎng)的IP地址都需要對應到相應的責任人，具體責任信息包括單位部門以及設備等，以此來保障DCN網(wǎng)絡使用的安全性。

三、內(nèi)網(wǎng)終端安全管理平臺設計

構建內(nèi)網(wǎng)終端安全管理平臺，實現(xiàn)統(tǒng)一管理的主要核心點應當圍繞著集中式管理、分級部署而展開，在設計平臺時，應當由省中心統(tǒng)一管理，其他地級市以及省二級機構自主完成管理與維護，在平臺中出現(xiàn)的報警等多項信息應當上傳至省中心。

首先，在構建安全管理平臺時，省中心可以獨立部署統(tǒng)一管理的中心服務器，控制網(wǎng)絡安全，而下屬地級市管理單位也應分別部署中心服務器，省中心服務器可以利用級聯(lián)服務器獲取低級服務器信息內(nèi)容，在派發(fā)管理員權限時，也應當由省中心統(tǒng)一管理與派發(fā)。省中心在集中管理中具備最高管理權利，能夠對下級服務器進行統(tǒng)一管理，制定管理策略。在安裝網(wǎng)絡終端時，也應當配套安裝客戶端程序，以此實現(xiàn)對網(wǎng)絡終端的全面管理與監(jiān)督，與此同時，網(wǎng)絡系統(tǒng)終端也應當安裝相應的補丁服務器以及殺毒軟件，并定期對殺毒信息庫進行更新，在與互聯(lián)網(wǎng)相連接時可以進行獨立部署，也可以使用管理服務器，以此來實現(xiàn)實時更新系統(tǒng)的相關補丁信息，加強病毒防控。

其次，終端安全管理平臺可以利用中心服務器，實現(xiàn)對各客戶端的優(yōu)化配置，如網(wǎng)絡補丁下發(fā)、入網(wǎng)設備聯(lián)網(wǎng)狀況、流量監(jiān)控、U盤使用監(jiān)控、終端軟件硬件管理、禁止安裝不允許軟件以及應用程序安全等等，同時也應當實時監(jiān)控客戶端的各種行為。[5]通過網(wǎng)絡終端客戶端程序的安裝，能夠實現(xiàn)對終端各項信息的有效管理，遇到風險時也能夠及時報警上報，針對終端設備的異常現(xiàn)象，可以對其管理節(jié)點進行斷網(wǎng)處理，同時也可以通過遠程操作診斷與維護客戶端設備。

最后，終端安全管理平臺可以通過利用多級級聯(lián)部署方式，實現(xiàn)各級網(wǎng)絡終端獨立下載安全管理軟件的功能。下級管理節(jié)點應當統(tǒng)一匯報各項報警信息以及管理情況;上級管理節(jié)點則向下級管理節(jié)點下發(fā)各項管理策略、病毒庫升級文件以及網(wǎng)絡補丁。安全管理平臺可以通過統(tǒng)計實際客戶端數(shù)量及管理功能，對安全管理方式進行拓展。

四、系統(tǒng)基本功能

（一）系統(tǒng)首頁

系統(tǒng)首頁應當為終端安全管理平臺的運營提供基本狀態(tài)信息、配置任務信息以及報警統(tǒng)計信息等多項管理內(nèi)容，為平臺管理人員提供可靠信息，進而第一時間掌握平臺安全情況。

（二）終端初始化

系統(tǒng)能夠結合安全管理策略對操作系統(tǒng)終端進行配置與定制，并結合不同管理策略選擇安裝相應的管理軟件，以此實現(xiàn)優(yōu)化配置。系統(tǒng)能夠根據(jù)計算機類型合理配置相關安裝內(nèi)容，也能夠具備終端映像恢復功能，讓企業(yè)能夠通過不同終端設備的映像，簡化管理模式。安全管理平臺能夠實現(xiàn)初始化在線安裝，同時也具備基本的備份功能。

（三）接入控制

1.接入控制技術

在應用接入控制技術時，應當結合企業(yè)內(nèi)部的實際情況做好控制工作。針對長期在網(wǎng)的計算機則務必要安裝Agent，并且按照網(wǎng)絡技術的安全管理規(guī)定完成安裝，比如企業(yè)內(nèi)合法訪問賬號及系統(tǒng)補丁。如果與企業(yè)安全管理規(guī)定并不相符，那么則拒絕網(wǎng)絡接入，或者利用網(wǎng)絡功能自動隔離電腦設備，并采取安全修復措施。臨時接入系統(tǒng)的電腦終端，應當通過Web控件接入。在打開Web瀏覽器訪問網(wǎng)頁過程中，則應當安裝IE控件，隨后才可進入公司內(nèi)網(wǎng)訪問。比如領導電腦終端等特殊電腦則可以通過配置專用軟件或者終端安全設備，實現(xiàn)無管控上網(wǎng)。

2.接入控制功能

接入控制功能應當做好安全檢查與評估工作，嚴格管理各項非法操作，限制違法行為。在使用U盤等功能時，應當接受可信授權，避免出現(xiàn)企業(yè)文件外傳的行為，同時通過安全審計等方式管理終端行為。針對終端采取集中化管理方式，比如軟件開發(fā)應用程序管理、資產(chǎn)管理、外聯(lián)管理等等都更適合集中化管理模式。

3.接入控制策略

接入控制策略決定著網(wǎng)絡系統(tǒng)的安全性，首先，安裝的Agent應當具備反卸載、禁止非法刪除等功能。其次，如果在進行重裝操作系統(tǒng)等操作時，存在私自終止Agent的運行或者卸載Agent情況時，通過終端安全管理平臺可以及時發(fā)現(xiàn)這一行為。按照相關管理規(guī)定對其進行處罰或警告，以免再次發(fā)生私自卸載的行為。最后，嚴格管理對NAT網(wǎng)絡的私自接入行為。

4.網(wǎng)絡安全接入認證功能設計

（1）身份認證

公司內(nèi)部所有需要入網(wǎng)的設備，都應當采取統(tǒng)一身份認證，包括web認證、IP地址、802.1x、用戶名及密碼、VLAN信息等等，同時也應當針對U盤、數(shù)字證書認證、無縫結合域管理等等。同時也應當根據(jù)管理需求提供認證協(xié)議，支持LDAP等第三方數(shù)據(jù)庫的檢查與認證。為了強化安全管理，在認證過程中也可以采取用戶綁定的指紋認證方式。

（2）接入設備的安全性檢查

對于安全管理系統(tǒng)應當對入網(wǎng)終端進行細致化檢測，了解其安全狀態(tài)，同時也應當針對病毒軟件版本、非法外聯(lián)、異常流量、補丁漏洞、非法代理、敏感操作等多種行為進行實時檢測。安全檢查也應當符合相應要求：第一，市場上所使用的金山毒霸、norton、卡巴斯基、瑞星、360殺毒等軟件應當被安全管理平臺所支持。第二，能夠支持細致化檢測項目的管理，如：桌面屬性、資產(chǎn)、系統(tǒng)設置項、注冊表項、外設管理等等。第三，通過ARP阻斷公司內(nèi)未進行注冊的IP或MAC終端系統(tǒng)，并提供阻斷配置。第四，合理控制特定用戶對公司特定業(yè)務信息的訪問權限。第五，控制特定終端及終端群接入特定網(wǎng)絡資源的情況。第六，合理過濾業(yè)務資源發(fā)的內(nèi)容，實現(xiàn)實時監(jiān)控。

（3）接入設備的安全修復

在進行安全檢查時，如果設備沒有通過，則應當為其提供統(tǒng)一安全修復，充分發(fā)揮安全管理平臺系統(tǒng)的修復功能以及自定義功能，逐步降低對外部廠商的需求與依賴，實現(xiàn)對產(chǎn)品的全面管理，保障產(chǎn)品的綜合效能。在進行安全修復過程中，應當為其提供引導界面，提高其人性化水平，從而保障每一終端設備都能夠符合安全管理需求。

5.資產(chǎn)登記與分級管理功能設計

（1）資產(chǎn)登記系統(tǒng)設計

針對系統(tǒng)資產(chǎn)采取分級管理方式，通過靈活的資產(chǎn)分組管理形式實現(xiàn)對不同資產(chǎn)的針對性管理。同時系統(tǒng)要定向管理相應資產(chǎn)信息，如：軟件資產(chǎn)統(tǒng)計、計算機IP地址、MC地址生產(chǎn)商、硬件設備、信息操作系統(tǒng)、日常維修、IP范操作系統(tǒng)類別、資產(chǎn)配置、操作系統(tǒng)語言等等。同時在設計終端安全管理平臺時，也應當使其支持多級管理形式，根據(jù)不同區(qū)域不同部門采取相應的管理辦法，同時也應當給予不同區(qū)域的系統(tǒng)管理員權限，實現(xiàn)精細化權限管理，進而保障用戶具有不同的管理權限及功能權限。同時系統(tǒng)管理員與系統(tǒng)審計員之間應當進行兩權分離，操作員所涉及的操作日志以及變更日志，審計員可以按照工作標準對其審核，而系統(tǒng)面只顯示機器設備運行情況及管理策略即可。除此之外，安全管理平臺也應當具備自動探測功能，檢查終端硬件使用情況。

（2）硬件設備禁用功能設計

安全管理平臺應當給予硬件設備相應的禁用功能，比如外部設備的使用、打印機、USB接口、紅外接口、啟用或禁用光驅等等，尤其是對于USB存儲設備以及軟驅及光驅，只可為其提供禁用、只讀狀態(tài)，而終端安全管理平臺可以對所有的訪問行為進行綜合統(tǒng)計，完成全面審計。同時安全管理平臺也應當具備信息匯總功能，服務器系統(tǒng)應當根據(jù)收集到的動態(tài)或靜態(tài)信息進行匯總與歸檔。具有手工修改設備信息的功能，使得管理人員在操作系統(tǒng)時能夠通過手工錄入等方式，實現(xiàn)對網(wǎng)絡終端信息的管理，尤其是對于未出現(xiàn)的終端，則可以完善其不完整檔案。具體管理策略可以結合實際使用時間進行下發(fā)。

（3）設備資產(chǎn)管理功能設計

為了維護企業(yè)固定資產(chǎn)，防止用戶隨意拆卸終端設備情況的發(fā)生，因此安全管理平臺應具備自動探測硬件的功能。比如終端計算機名稱型號、內(nèi)存、MAC大小、硬盤品牌、設備編號以及CPU型號等等。所有設備數(shù)據(jù)都應當上報至中心管理平臺，自動形成報表信息，已錄入相關數(shù)據(jù)，針對設備變化情況完成報警。

6.外聯(lián)安全監(jiān)控功能設計

外聯(lián)安全監(jiān)控功能需要系統(tǒng)及時發(fā)現(xiàn)計算機通過離線等多種方式接入互聯(lián)網(wǎng)的行為，如VPN撥號、網(wǎng)卡、無線撥號、modem等等，同時也應當監(jiān)控設備違規(guī)接入網(wǎng)絡的行為。安全管理平臺應當精準記錄設備的非法上網(wǎng)情況，如上網(wǎng)時間、客戶端地址、IP地址等等，并記錄設備非法上網(wǎng)的計算機名稱、上網(wǎng)方式等信息。安全管理平臺應當具備多級報警功能，確保報警信息可以通過內(nèi)網(wǎng)本級報警的級聯(lián)方式上傳到上級管理中心。此外，安全管理平臺應當將對管轄范圍內(nèi)設備的信息進行整合，并以數(shù)據(jù)庫的形式向上級管理中心上報，以此來實現(xiàn)對數(shù)據(jù)信息的實時查詢。而系統(tǒng)也應當在自身的管轄權限內(nèi)，通過跨越網(wǎng)段的方式，對違規(guī)聯(lián)網(wǎng)的設備采取阻斷處理。

五、結束語

綜上所述，通訊運營商加強終端設備網(wǎng)絡安全管理具有重要作用，不僅能夠實現(xiàn)對企業(yè)信息的有效管控，降低經(jīng)營風險;同時也能夠實現(xiàn)公司管理方式的精細化管理，提高企業(yè)安全管理水平，為公司穩(wěn)定發(fā)展奠定良好基礎，發(fā)揮出網(wǎng)絡安全管理平臺的作用。

參? 考? 文? 獻

[1]康雅萍，陳熠，白浩.基于多域網(wǎng)絡環(huán)境的終端安全管理體系的研究[J].長江信息通信，2021，34（6）：127-129.

[2]關天文. 計算機終端安全管理研究[J].今日財富（中國知識產(chǎn)權）， 2021，（5）：129-130.

[3]葉水勇. 移動智能終端安全防護的探究[J].國網(wǎng)技術學院學報， 2020，23（3）：24-27.