構建集中式的桌面計算機安全防護體系

余新生

中國石化集團洛陽石油化工工程公司 河南 471003

0 引言

安全威脅在形式上呈多樣化，除傳統(tǒng)的計算機病毒、黑客攻擊及垃圾郵件外，間諜軟件、惡意軟件、網絡釣魚、網絡竊密和網絡犯罪等已成為新的威脅，而且危害程度遠高于傳統(tǒng)的病毒。它們在表現(xiàn)形式上不僅以單一形式出現(xiàn)，還往往以混合形式出現(xiàn)，破壞力更大，目的也從過去單純的攻擊破壞轉向網絡竊取等犯罪行為。如果不能防范這些安全威脅，造成信息泄露和信息破壞，勢必會給企業(yè)的信息系統(tǒng)及生產經營帶來不利影響甚至重大損失。

1 來自桌面計算機的安全威脅

由于桌面機數(shù)量與種類眾多，配置雜亂，軟硬件、操作系統(tǒng)種類五花八門，使得它們的安全狀況極其復雜。用戶沒有給系統(tǒng)打補丁的概念和習慣，也不知道如何打。未安裝殺毒軟件或病毒庫不升級。用戶私自安裝、卸載軟件。隨意改變硬件配置或重裝系統(tǒng)，使安全性降低。長期不關機。隨意使用移動存儲介質。有風險的上網行為。私設上網出口。

2 建立集中式的桌面計算機安全防護體系

來自桌面計算機的安全威脅給企業(yè)網絡及信息系統(tǒng)帶來了很大的安全威脅，沒有桌面機的安全就沒有整個網絡的安全。由于用戶水平參差不齊，缺乏專業(yè)知識，因此不能指望由用戶來對桌面機進行全面的安全防護，企業(yè)的信息管理部門必須構建一個集中式的桌面計算機安全管理和防護體系，通過統(tǒng)一的管理平臺對所有桌面機統(tǒng)一實施安全防護，包括統(tǒng)一打補丁，統(tǒng)一安裝與升級殺毒軟件，統(tǒng)一進行安全配置，統(tǒng)一實施安全策略等。

為了描述方便，本文中使用的桌面計算機、客戶機、用戶終端和用戶端計算機等術語含義一樣，均指用戶的個人計算機。

2.1 統(tǒng)一進行桌面安全管理

桌面計算機狀況混亂，地理位置分散，使得信息管理部門對它們的日常維護難度增大，效率降低，無法批量進行安裝殺毒軟件、打補丁的操作，更難以統(tǒng)計桌面計算機的軟硬資產。

建立企業(yè)級的桌面安全管理系統(tǒng)是解決這些問題的有效途徑。該系統(tǒng)能夠對桌面計算機實行統(tǒng)一的管理和保護，包括資產管理、資產分析統(tǒng)計、資產發(fā)現(xiàn)、移動設備控制、補丁分發(fā)、軟件分發(fā)、防病毒管理、遠程協(xié)助、終端操作監(jiān)管等。系統(tǒng)自動檢測收集桌面計算機的軟硬件資產信息，生成統(tǒng)計報表資料，減輕管理員日常維護的難度。通過病毒防護和補丁分發(fā)，可保證桌面計算機防病毒系統(tǒng)和系統(tǒng)補丁的及時更新。通過軟件分發(fā)將常用的工具軟件自動安裝到每臺機器，可解決用戶不安裝規(guī)定軟件的問題。還可以對移動存儲介質進行統(tǒng)一控制，防止由其引起的信息泄露和病毒感染。對實時了解桌面計算機的系統(tǒng)配置、在線情況和運行進程，監(jiān)控違規(guī)行為，限制其執(zhí)行不相關的軟件。可以統(tǒng)一強制關閉客戶機系統(tǒng)和電源。

2.2 使用活動目錄統(tǒng)一設置安全策略

Windows系統(tǒng)的活動目錄(AD)是為了便于對企業(yè)網絡中各類對象(如用戶、計算機)及各類資源(如打印機、文件夾、程序)進行集中管理而建立的。一個AD包含一個或多個域，為了讓用戶在本地的域控制器上登錄以節(jié)省時間，需在當?shù)亟⒁粋€站點。

管理員可使用組策略(GP)針對特定的計算機或用戶進行多種系統(tǒng)管理工作，比如設置賬戶策略、本地策略和用戶權限，分發(fā)與刪除軟件，配置桌面和 IE 瀏覽器，下載與安裝WSUS補丁，制定啟動/關機及登錄/注銷腳本等。

2.3 統(tǒng)一進行網絡準入控制

用戶計算機端普遍存在著病毒感染、不升級病毒庫和系統(tǒng)補丁、安裝禁用軟件、卸載規(guī)定軟件、濫用移動存儲設備等安全問題。這些計算機若接入網絡會造成嚴重的安全威脅，必須對它們實施入網準入控制。

網絡準入系統(tǒng)(或叫端點準入系統(tǒng))用來保護用戶終端的安全、防止非法入侵及控制用戶的網絡訪問行為。系統(tǒng)一般包含端點安全代理、網絡接入設備、策略服務器和準入控制等組件。端點安全代理即客戶端軟件安裝在每一臺端點計算機上，負責從終端上的安全軟件如防病毒軟件、操作系統(tǒng)收集安全狀態(tài)信息，并將其傳給網絡接入設備，包括路由器、交換機、VPN網關、無線接入點等，它們把端點的安全狀態(tài)信息傳給策略服務器，由它進行評估，確定將采用的接入策略是許可、拒絕、隔離還是限制端點接入網絡。

就是說，網絡準入系統(tǒng)要依靠各組件與第三方軟件之間的聯(lián)動，對接入網絡的終端計算機強制實施統(tǒng)一的安全策略，控制其對網絡的訪問權限。首先對要接入網絡的終端進行用戶身份認證，如基于802.1x協(xié)議，對連接到交換機端口上的用戶或設備進行認證，認證通過后再根據(jù)既定的安全策略對終端進行強制安全審計，判斷其是否安裝了系統(tǒng)補丁、防病毒軟件及病毒庫更新及規(guī)定的軟件等，對符合安全標準的端點允許接入，否則限制或拒絕接入，或者讓其進入隔離區(qū)進行修補，直至完全符合安全策略后才允許其接入。系統(tǒng)對接入的終端進行監(jiān)視，時刻檢查其是否符合安全策略。

2.4 統(tǒng)一分發(fā)補丁

客戶機不及時安裝補丁就不能保證系統(tǒng)安全。大部分用戶可能不會打補丁，或打不完整，所以打補丁應整體解決。設立WSUS服務器為本地計算機提供統(tǒng)一升級服務，讓服務器每日自動與微軟的更新服務器同步，下載最新補丁。針對客戶機應把相關組策略設置為自動從本地 WSUS服務器獲取更新并安裝，不要配置為手動安裝，因為這樣會被用戶忽略。客戶機自動與服務器通信，下載新補丁并在后臺安裝。

根據(jù)網絡規(guī)模可以設立多臺 WSUS服務器。為避免WSUS下載的補丁與客戶機上某些應用軟件發(fā)生沖突，建議在提供客戶機安裝之前針對所有客戶機的應用環(huán)境進行測試。

通過企業(yè)的桌面安全管理系統(tǒng)也可以強制客戶機安裝補丁，效果上還要優(yōu)于WSUS方式，因為后者不具有強制性。

2.5 統(tǒng)一防治病毒

網絡環(huán)境應使用網絡版防病毒軟件構建集中式的病毒防護體系，對桌面系統(tǒng)實行統(tǒng)一的防病毒策略控制和病毒庫升級。

根據(jù)網絡大小與計算機分布情況選擇建立分層的病毒防護體系。第一層是控制中心，在總部設立一臺或數(shù)臺防病毒服務器，負責總部客戶機(及下屬區(qū)域中心防病毒服務器)的病毒庫文件升級和防病毒策略制定。必要時建立第二層區(qū)域中心，設立一臺防病毒服務器，從中心防病毒服務器接受病毒庫信息和防護策略，為本區(qū)域客戶端服務。最后一層是客戶端，在各客戶機安裝防病毒客戶端，受防病毒服務器的統(tǒng)一管理。

中心防病毒服務器每日進行病毒庫的更新，更新方式有自動更新和手動更新兩種。下層區(qū)域中心的防病毒服務器既可采取這兩種方式更新，也可從上一層的防病毒服務器更新。客戶機更新一般通過防病毒服務器進行，筆記本計算機應允許手動更新。

2.6 統(tǒng)一管理上網行為

從如下方面對用戶的上網行為實行嚴格管理和審計：(1)過濾網頁，根據(jù)URL分類和關鍵字阻止訪問非法和不良網頁，封鎖或限制訪問影響工作效率、占用帶寬的網站。(2)控制網絡應用，對即時通信(如QQ、MSN等)、視頻、游戲、炒股等應用進行識別、控制、封鎖或限制訪問。(3)管理流量帶寬，封堵或限制占用帶寬的應用，特別是P2P下載(BT、迅雷等)和網絡視頻。(4)控制http、ftp上下載文件。(5)審計SMTP電子郵件或webmail郵件防止機密外泄。(6)審計與控制聊天和論壇發(fā)帖內容。(7)實時監(jiān)控上網行為，如在線用戶、網絡流量、帶寬占用、訪問網頁、發(fā)送的電子郵件等。

許多網絡應用為了突破封鎖，服務器采取多個IP地址、可變端口、內容加密傳輸?shù)确绞剑褂脗鹘y(tǒng)手段已很難識別，必須借助專業(yè)的上網行為管理設備來進行識別。

2.7 統(tǒng)一使用代理服務器上網

代理服務器被認為是防火墻的一種，也可以擔負一些內容過濾、訪問限制以及管理用戶控制用戶瀏覽權限的任務。傳統(tǒng)的代理服務器僅支持http、ftp服務，不支持P2P、IM等應用，所以用來限制上網行為更為便利。不過，隨著不少的應用如QQ、迅雷和網絡視頻等紛紛支持80端口傳輸，代理服務器也就無力限制了。

對上網用戶進行嚴格的身份認證，建議把用戶名、IP地址、MAC地址三者捆綁，有效防止盜用IP地址的行為。

2.8 統(tǒng)一控制網絡流量與帶寬

在企業(yè)的因特網出口、廣域網出口甚至內網的帶寬瓶頸處，P2P流量會擠占帶寬，影響正常業(yè)務的傳輸。在這些地方必須控制網絡流量，精細地識別各種應用，進行帶寬管理。在線路兩端同時實施流量控制效果最佳，或者在分支機構一端實施。

2.9 統(tǒng)一反垃圾郵件

垃圾郵件占電子郵件總量的一半以上，其中不乏病毒和不良信息。傳統(tǒng)的依靠關鍵字過濾、郵件地址和IP地址阻止、RBL黑名單過濾等技術已經對付不了當前的垃圾郵件，因此有必要在網絡邊界部署專業(yè)的反垃圾郵件網關，智能化地識別垃圾郵件，且準確率高，誤判率低。

3 結束語

在企業(yè)網絡中對桌面計算機實行集中式的安全防護，做到統(tǒng)一策略、統(tǒng)一部署、統(tǒng)一管理，克服各自為政、漏洞百出的混亂局面，是理想的解決方案。當然，這些防護措施離不開其它防護措施的配合，如網絡邊界安全防護、容災備份以及運維管理等，充分利用路由器、交換機、防火墻、入侵檢測/入侵防御、防病毒網關、VPN網關、日志審計等網絡設施開展協(xié)同工作，才能形成強有力的全方位安全防御體系。

[1]張桂新.桌面安全管理在油田企業(yè)中的應用[J].石油儀器.2008.

[2]侯志剛.端點準入系統(tǒng)在網絡中的應用[J].煉油與化工.2009.