計算機網(wǎng)絡(luò)終端安全防護模型與方法

摘要: 隨著計算機網(wǎng)絡(luò)應(yīng)用的日益深入，計算機終端己成為網(wǎng)絡(luò)中大部分事件的起點和源頭;更是病毒攻擊的源頭。因此，只有通過完善的終端安全防護才能夠真正從源頭上控制各種安全事件的發(fā)生，遏制網(wǎng)絡(luò)內(nèi)部發(fā)起的攻擊和破壞。

關(guān)鍵詞: 計算機中斷;模型

計算機網(wǎng)絡(luò)終端數(shù)量多、位置分散、使用者成份復雜且水平參差不齊，使得終端安全防護形勢更為復雜、嚴峻。隨著計算機網(wǎng)絡(luò)應(yīng)用的日益深入，計算機終端己成為網(wǎng)絡(luò)中大部分事件的起點和源頭一一是用戶登錄并訪問網(wǎng)絡(luò)的起點，是用戶透過內(nèi)網(wǎng)訪問互聯(lián)網(wǎng)(Internet)的起點，是應(yīng)用系統(tǒng)訪問和數(shù)據(jù)產(chǎn)生的起點;更是病毒攻擊的源頭，從內(nèi)部發(fā)起的惡意攻擊的源頭和內(nèi)部保密數(shù)據(jù)盜用或失竊的源頭。因此，只有通過完善的終端安全防護才能夠真正從源頭上控制各種安全事件的發(fā)生，遏制網(wǎng)絡(luò)內(nèi)部發(fā)起的攻擊和破壞。

1、終端安全防護存在的主要問題

目前，計算機網(wǎng)絡(luò)終端安全防護存在的主要問題有:

(1)終端存在安全隱患

一方面，受國家電子信息產(chǎn)業(yè)叢礎(chǔ)的制約，計算機網(wǎng)絡(luò)終端的微處理器、操作系統(tǒng)和基礎(chǔ)軟件都使用國外產(chǎn)品，由于不掌握核心技術(shù)，這些終端本身不可避免地存在著安全漏洞，同時也無法排除存在陷阱、后門等隱患的可能性。由于沒有及時升級操作系統(tǒng)或應(yīng)用軟件，使些終端長期存在著安全漏洞，從而給蠕蟲病毒、木馬程序和黑客軟件帶來了可乘之機。

(2)終端入網(wǎng)無安全審查

一些網(wǎng)絡(luò)對終端接入不進行安全審查，即不檢查用戶是否為合法用戶，不檢查終端是否為合法的授權(quán)終端、是否帶有病毒等惡意代碼、是否存在著安全漏洞。一些合法的授權(quán)終端被用戶隨意更換整機或部分硬件(如硬盤、網(wǎng)卡等)，或使用盜用的IP地址和網(wǎng)卡地址后就成為“非授權(quán)終端”。個別不懷好意的用戶利用這些“非授權(quán)終端”入網(wǎng)后(“違規(guī)接入”)，就可越權(quán)訪問網(wǎng)絡(luò)或發(fā)起網(wǎng)絡(luò)攻擊。

(3)終端操作無安全管控

一些網(wǎng)絡(luò)終端對用戶上網(wǎng)操作行為無安全監(jiān)控和日志審計。這樣就使用戶在終端上能隨意安裝、運行可能帶有病毒等惡意代碼的非授權(quán)軟件;或者故意在終端上運行惡意軟件，傳播惡意代碼、實施破壞或竊密;或者在網(wǎng)上發(fā)布或傳播不法言論;或者使用BT等P2P軟件惡意占用帶寬。由于無日志審計，對用戶的這些非法行為，事后都無法追究。

2、終端安全防護模型

借鑒人們己提出的PPDR網(wǎng)絡(luò)安全模型的思想，針對終端安全防護存在的問題，我們提出如圖1所示的終端安全防護模型，該模型將用戶通過終端上網(wǎng)的安全防護過程分為安全認證、安全檢查、安全修復、安全監(jiān)控和安全處置等五個環(huán)節(jié)。根據(jù)該模型，終端入網(wǎng)時需進行身份認證和安全檢查，通過后才能正常入網(wǎng)，否則要對終端進行安全修復;在終端的上網(wǎng)過程中還要進行行為監(jiān)控，發(fā)現(xiàn)終端安全事件要及時進行處置。這五個環(huán)節(jié)在安全策略的指導下，形成一個完整的、自我完善、循環(huán)往復的動態(tài)閉環(huán)自適應(yīng)過程，對終端上網(wǎng)過程進行全程安全管控。

(1)安全認證

對終端身份和用戶身份進行安全認證，即只有合法的用戶、使用指定的終端、在規(guī)定的時間和地點才能入網(wǎng)，以防止非法用戶或非法終端入網(wǎng)。終端身份認證就是要驗證終端的IP地址、網(wǎng)卡地址和接入地點(交換機及端日號)，用戶身份認證就是要驗證用戶的用戶名和密碼，或驗證用戶的指紋、USBKEY等標識。

(2)安全檢查

檢查入網(wǎng)終端是否滿足規(guī)定的安全要求，包括終端是否存在著安全漏洞?是否存在病毒等惡意軟件?是否安裝了防病毒軟件和進行了升級?是否打上了最新的操作系統(tǒng)和應(yīng)用軟件的補丁是否具有合法的軟、硬件配置(允許或者禁止某些程序的安裝)?是否正確執(zhí)行了指定的安全策略?

(3)安全修復

如果安全檢查不通過，則需對終端進行安全修復，即將終端隔離到相應(yīng)的修復區(qū)進行修復，如安裝或升級防病毒軟件，打上最新的操作系統(tǒng)補丁，執(zhí)行指定的安全策略。只有修復成功后，終端才能正常地訪問網(wǎng)絡(luò)。

(4)安全監(jiān)控

對終端的操作行為進行動態(tài)監(jiān)測、記錄(日志)、審計，發(fā)現(xiàn)安全事件及時報警。安全監(jiān)控包括:終端軟、硬件資產(chǎn)管理，終端運行狀態(tài)監(jiān)控，用戶和終端操作行為監(jiān)管，操作日志、管理日志、報警日志的審計分析。

(5)安全處置

當終端發(fā)生安全事件后，應(yīng)根據(jù)安全策略進行相應(yīng)的處置，只要有警告、通報、隔離和阻斷等。警告指向問題終端發(fā)出警示性消息，通報指向全網(wǎng)所有終端發(fā)出警示性消息，隔離指將問題終端隔離在修復區(qū)內(nèi)，阻斷指斷開終端與網(wǎng)絡(luò)的連接，不允許其訪問任何網(wǎng)絡(luò)。

3、終端安全防護方法

根據(jù)終端安全防護模型，我們認為，一可通過正確的終端安全設(shè)置和相應(yīng)的終端安全防護工具或系統(tǒng)來保障終端安全。

(1)安全設(shè)置

設(shè)置強壯口令。所有終端必須設(shè)置強壯安全的開機、屏幕保護和系統(tǒng)登錄三級口令。

設(shè)置木地安全策略。關(guān)閉默認“文件和打印共享”，關(guān)閉移動存儲設(shè)備(U盤、硬盤和光盤)的自動運行功能，禁用不必要的外設(shè)端口(如無線網(wǎng)口)。

(2)安全工具

終端需安裝防病毒、防火墻軟件和補丁程序，開啟實時監(jiān)控功能，并及時更新(每周至少升級兩次)。

可通過在防病毒服務(wù)器中安裝網(wǎng)絡(luò)防病毒服務(wù)器軟件，在所有終端中安裝網(wǎng)絡(luò)防病毒客戶端軟件的方法來實現(xiàn)終端防病毒的統(tǒng)一管理，阻止病毒在網(wǎng)絡(luò)內(nèi)的大肆傳播。終端需配置單機防火墻軟件，用于控制從網(wǎng)絡(luò)對終端系統(tǒng)的訪問，監(jiān)控網(wǎng)絡(luò)訪問，記錄、統(tǒng)計網(wǎng)絡(luò)訪問數(shù)據(jù)，抵御對終端的探測和攻擊。

要經(jīng)常為終端操作系統(tǒng)和應(yīng)用軟件打安全補丁。聯(lián)接互聯(lián)網(wǎng)的終端要開啟自動更新功能，不聯(lián)接互聯(lián)網(wǎng)的終端也要通過人工手段打安全補丁。一些終端漏洞掃描與修復工具能主動掃描終端安全漏洞，并通過互聯(lián)網(wǎng)下載補丁。還可根據(jù)需要安裝終端數(shù)據(jù)加密工具、數(shù)據(jù)粉碎工具等。

(3)準入控制

準入控制只讓安全的終端和用戶入網(wǎng)，而將不安全的終端隔離進行修復，與傳統(tǒng)的終端安全防護技術(shù)如防病毒、防火墻技術(shù)相結(jié)合，能將被動防御變?yōu)橹鲃臃烙柚咕W(wǎng)常用的網(wǎng)絡(luò)準入控制技術(shù)主要有EAPOL技術(shù)、EAPOU技術(shù)等，EAPOL技術(shù)在網(wǎng)絡(luò)接入層進行準入控制，而EAPOU技術(shù)則是在網(wǎng)絡(luò)匯聚層或核心層進行準入控制。

準入控制能實現(xiàn)前述安全模型中的安全認證、安全檢查和安全修復功能:(l)安全認證。對終端的IP地址、MAC地址、所連接交換機的IP地址和端口號、用戶名和口令進行綁定驗證，通過后才允許接入網(wǎng)絡(luò)，防止非法終端和非法用戶接入網(wǎng)絡(luò)。(2)安全檢查。對終端操作系統(tǒng)補丁、指定軟件(及版木)、防病毒軟件的狀態(tài)進行安全評估，使只有符合安全標準(如安裝了最新的操作系統(tǒng)補丁、及時升級了最新的病毒特征庫等)的終端才準許訪問網(wǎng)絡(luò)。(3)安全修復。如果終端沒有安裝最新的操作系統(tǒng)補丁和升級了最新的病毒特征庫，那么系統(tǒng)將自動把這個終端隔離到修復區(qū)進行補丁和病毒特征庫的更新，當終端修復完成后才準許訪問網(wǎng)絡(luò)。

(4)安全監(jiān)控

安全監(jiān)控對終端軟硬件資產(chǎn)，用戶操作行為、終端設(shè)備接口、網(wǎng)絡(luò)行為、進程和軟件使用行為等進行多角度、全方位的集中管控，實現(xiàn)對異常、可疑和違規(guī)行為的發(fā)現(xiàn)、報警、記錄、阻斷和審計，并與入侵檢測系統(tǒng)(IDS)聯(lián)動，以達到防止惡意攻擊和保護敏感信息的目的。

結(jié)束語

我們認為，應(yīng)將終端安全防護作為整個網(wǎng)絡(luò)安全防護的重點。只有對終端上網(wǎng)的全過程進行全程管控，并做好終端安全設(shè)置、防病毒、防黑客、打補丁、準入控制和安全監(jiān)控工作，才能從源頭上、根木上保障網(wǎng)絡(luò)信息安全。

參考文獻:

[l]孫陽波.準入控制保障內(nèi)網(wǎng)合規(guī)[J].信息安個與通信保密，2008

[2]肖治庭等.涉密內(nèi)部網(wǎng)用戶終端安全防護研究. [ J].電子科技，2008