終端安全管理系統在企業內網中的應用

李碩

隨著信息安全技術不斷發展，內網終端安全管理問題日漸突出。本文在分析了當前企業內網終端安全隱患的基礎上，重點介紹了企業內網終端安全管理系統的體系構架、主要組件及功能應用。為企業的信息安全提供了一套完備、有效的內網終端安全一體化解決方案。

【關鍵詞】內網終端 安全管理

1 引言

處理、檢測和預防來自網絡外部的攻擊是目前國內常見的用于防護網絡安全的方式，該方式非常信任網絡內的計算機。實際上，根據統計結果顯示，只有千分之一的安全事件是來自外部攻擊，而絕大多數的安全問題都是來源于網絡內部。對于客戶端的安全管理不僅是管理企業內部局域網最繁雜的工作，也是關系到整個局域網安全運行的關鍵所在。有的企業采用了物理隔離的方式將內網和外網分開，有的企業要求必須通過統一的網關連接內網計算機和外網，同時為了加強網關安全，采用IDS監控的同時，加裝防火墻。盡管如上述所示的各類安全措施都得到了實現，眾多管理者們卻仍然頭疼于泄密事件或其它各類內網安全事件的頻繁發生。

企業內網中終端安全隱患隨時隨地都可能威脅到用戶網絡的正常運行，總結起來，內部網絡管理大致面臨以下問題：

（1）終端設備的系統漏洞如何檢測并自動分發補丁；

（2）內部局域網如何防范存儲設備和筆記本電腦的任意接入；

（3）U盤造成的病毒傳播和信息泄漏如何防止；

（4）內網設備非法外聯如何防范；

（5）怎樣在全網制訂統一的安全策略；

（6）如何防范內部涉密重要信息的泄露；

（7）已接入網內的電腦的軟件安裝情況如何管理與監控。

（8）如果網絡遭受到黑客、蠕蟲和病毒攻擊后，如何迅速定位被攻擊終端，并有效和快速的對發生問題的引入點的網絡進行切斷。

（9）如何建立一個可以查詢事件信息、響應安全事件的平臺，做到對網絡資源進行全面管理，對報警信息進行有效處理。

2 系統分析與應用

在企業中，內網的終端安全管理系統實施是一個復雜工程。網絡安全問題關聯著多種基礎的安全服務，包括：可靠性、可用性、審計、抗抵賴，保證數據完整和保密，控制訪問和及時驗證身份等。在構建終端安全管理系統前期，針對不同企業對信息安全保密要求不同的問題，需要進行綜合有效的風險分析，進而形成對各種風險合理控制的系統安全策略，同時根據具體需求與成本控制，調整與定制系統功能模塊組合，把各項安全控制的功能模塊融合在一個統一的管理、監控和響應的系統中。

2.1 系統體系構建

系統的基礎是XML，并且可以對系統架構進行擴展，在進行修改和擴展功能時具有低成本優勢。系統組件可以進行升級與功能的無縫擴展，并且支持API標準以及可以分布式部署，可以定制模塊化軟件等功能，采用C/S模式應用在各個組件之間。系統服務器安裝在專業的數據服務器上，配置相應數據庫。客戶端如果要與數據服務器進行連接，必須首先通過安全認證。服務器的作用是對于客戶端日志和策略進行存儲，同時收集客戶端日志和下發策略。通過HTTPS協議實現不同層級服務器的連接，完成對數據的統計和收集，數據類型包括：日志、報警信息和組織結構。系統客戶端安裝在內網中的終端計算機上，實時監控客戶端的網絡行為和安全狀態，實現客戶端安全策略管理。控制臺則是管理員實現對系統管理的工具。控制臺與服務器進行鏈接的前提都是必須通過安全認證。控制臺在鏈接后可以管理，審查數據以及制定和發放策略。準入控制網關設備部署在機房核心交換機旁路，在核心交換機配置相應端口鏡像，監控企業內網中所有數據流。企業內網終端安全管理系統結構如圖1所示。

2.2 系統組件分析

終端安全管理系統是以終端管理為核心，集八種主要組件為一體的綜合安全管理體系，系統組件分析如下：

（1）SQL Server管理信息庫：建立終端安全管理系統的初始化數據庫。報警、改變設備屬性、機器的注冊和未注冊信息，設備掃描器、區域管理器、客戶端等設備的屬性以及管理區域的范圍的相關信息都屬于該初始化的數據庫信息。

（2）網頁管理平臺：系統的管理配置中心。針對下列幾個方面進行配置管理：在客戶方面，對系統用戶進行維護，設定注冊客戶端的各類參數。在設備方面，識別網絡設備相關信息，包括掃描器、區域管理器。在策略方面，設定任務定義，為系統制定相關策略。

（3）區域管理器：系統數據處理中心。主要任務是接受和下達指令和對數據庫的管理。使用范圍是：不同客戶端、服務器以及通訊掃描終端設備。最終建立一個多級管理的網絡，系統數據在不同層級的區域管理器之間實現逐級傳遞。

（4）Winpcap程序：是嗅探所需的驅動軟件，主要功能是實現對網絡上的數據進行監聽。

（5）客戶端注冊程序：訪問指定網站自動獲得，用戶填寫必要的信息后，運行該程序，區域管理器將收到注冊終端的相關信息，同時終端可以接收、執行各種下發的指令。區域管理器獲取相關硬件的信息，包括來自用戶自填的信息和被系統自動偵測到的信息。程序使用策略會在管理器受到相關信息后自動的傳輸到客戶端，并實現即時更新。

（6）與Internet相連，并以及時對軟件開發商發布的補丁進行及時下載的服務器被稱作補丁下載服務器。

（7）用來保護計算機免于病毒攻擊和防止惡意沖突計算機IP的模塊叫做管理器主機保護模塊。對于網絡安全級別要求高的計算機進行網絡配置，主要是通過網絡應用、IP范圍、網絡協議、相關服務器的端口和管理器進行定義實現的。

（8）通過手機短信、SNMP Trap、信使服務、email等方式通知管理員危險級別和報警事件的模塊叫做報警中心模塊。任何計算機只要能夠和區域管理器共享一個服務器，并可以正常通信，都可以安裝該模塊。

2.3 系統功能應用

終端安全管理系統從以下幾個方面對終端系統進行管理：

2.3.1 資產管理

管理全網硬件資產和軟件資產，以及軟、硬件設備的變更與備份信息。

2.3.2 安全準入控制

終端必須經過身份驗證合格后，才可以被授權和管理，最終實現接入網絡。這是通過對管理和控制終端的安全準入設備實現的。未經授權的或非法用戶由于沒有滿足安全策略或者相關安全要求被禁止加入內部網絡。

2.3.3 非法外聯管理

中斷、審查、監控違規的外部連接方式包括：紅外、藍牙、4G、WIFI、雙網卡等。但是出于方便辦公的目的，對不同的場景進行不同的策略設置，同時監控網絡行為，包括離線終端或者內部重點再沒授權的情況下接入外部網絡等行為，并且對該終端提取證據、強制關機、斷開連接或者發送警告燈。

2.3.4 分發文件和補丁管理

管理和分發補丁，包括辦公軟件、瀏覽器和操作系統等的相關補丁。同時保證一定的帶寬來確保文件和補丁被及時下發。

2.3.5 桌面安全管理

防止網絡中出現不安全的終端電腦，避免由于各種不安全因素充斥網絡造成安全風險，實現終端電腦可控和易于管理，實現控制其安全并管理其合規性，是通過防護和管理桌面終端電腦安全實現的。

2.3.6 加固終端確保安全

管理終端計算機的設置，包括屏幕保護、登錄密碼等，實現管理外部設置到達一定的安全水平。監控、審查終端電腦上用戶權限的使用情況，實現變更監控。管理審計終端流量和硬件設備，包括顯卡、網卡、內存和硬盤等，防止終端連接非法網絡。

2.3.7 管理控制行為安全

分析、統計和管理終端用戶的傳輸機密信息、各類操作、應用網絡和上網的行為得以實現是因為建設了終端用戶的行為管理體系，從而使客戶終端訪問網絡造成的安全風險也得到降低。

2.3.8 安全U盤和移動存儲設備管理

不同網絡，例如外部網絡、內部辦公和生產網絡之間實現相互工作是通過U盤和其它移動存儲設備實現的，所以必須加強對它的安全管理。常見的管理手段有：使用適用于不同場景的安全U盤和加密內部U盤，不允許外部U盤接入系統，審計U盤操作，認證U盤身份。

2.3.9 外設硬件和端口控制

計算機設備如：打印機、藍牙、紅外、光驅、軟驅、USB和包括PCMCIA、網卡、無線網卡在內的網絡設備，可以通過系統設置禁止或者允許使用在受控主機上，該策略同時也適用于并口和串口。

2.3.10 終端數據管理

建設終端數據防護體系，對系統內的關鍵電子數據和移動介質進行統一管控，實現關鍵存儲介質中的重要信息被完全清除，確保內部信息資源安全、保密、可控。

2.3.11 管理安全審計

集中對終端電腦的行為包括遠程訪問和操作進行審計和記錄，其目的是能夠追蹤、調查安全事件，并分析和統計各類信息，該功能是通過審計和管理終端設備的行為實現的。

2.3.12 管理遠程維護

客戶端的桌面通過管理員進行遠程操作，包括安裝打印機驅動、維護系統、安裝和調試軟件、解決操作問題等。管理員和用戶之間的交流方式包括文字和多媒體通話等，同時管理員還可以錄像和回放屏幕、截圖屏幕、共享桌面、傳送文件等。

3 結論

終端安全管理系統的構建化解了在企業內網中終端安全管理的被動局面，實現了企業內網中自上而下的統一控制，保障了內網終端的信息安全，提高了網絡維護工作效率，降低了網絡安全管理成本，對內網安全風險進行有效的預防。該管理系統為企業提供了終端多位一體、統一管理的解決方案，為用戶創建了一個安全、可靠、穩定的辦公環境。

參考文獻

[1]王越，楊平利，宮殿慶.基于PKI的內網信息安全訪問控制體系設計與實現[J].計算機工程與設計，2011（32）：1249-1253.

[2]孟粉霞，王越，雷磊.統一終端安全管理系統在內網中的分析及應用[J].信息系統工程，2013（08）：70-71.

[3]劉麗.電力企業計算機桌面終端管理系統應用探討[J].寧夏電力，2010（s1）：180-183.

作者單位

中海油石化工程有限公司 山東省濟南市 250001