維護單位網(wǎng)絡終端安全管理

終端是組成網(wǎng)絡的基本單元，網(wǎng)絡終端安全已經(jīng)逐步成為整個信息安全的核心和底線。它們的安全與否對網(wǎng)絡自身的健康運行有著深遠的影響，同時也對單位業(yè)務的順利開展有著的重要作用。

那么，終端安全究竟受到哪些威脅？我們?nèi)绾尾拍艽蛟煲粋€整齊體系、統(tǒng)一管控的終端安全管理系統(tǒng)？這些成為當前信息安全的最具挑戰(zhàn)性問題。

IPTV終端管理的主要功能是完成對IPTV終端的統(tǒng)一管理，實現(xiàn)終端的網(wǎng)絡配置、狀態(tài)和性能監(jiān)測、系統(tǒng)和業(yè)務配置、軟件版本和升級管理、故障診斷等功能。IPTV終端、網(wǎng)絡接口、管理服務器是組成IPTV終端管理的3個必備元素，如圖1所示。

IPTV終端管理的基本實現(xiàn)方式是管理服務器通過網(wǎng)絡接口協(xié)議，調(diào)用終端上的相應功能，實現(xiàn)終端管理的具體功能。

圖1 IPTV終端管理結(jié)構(gòu)

終端：單位信息安全薄弱“底線”

隨著單位IT基礎架構(gòu)的逐漸完善，單位信息安全防護的重心開始逐漸由邊界安全轉(zhuǎn)向內(nèi)網(wǎng)安全。越來越多的管理者都已經(jīng)發(fā)現(xiàn)內(nèi)網(wǎng)中的價值所在和攻擊發(fā)起，往往都在終端。終端安全已經(jīng)成為單位網(wǎng)絡安全防護的重中之重。

在單位的IT環(huán)境中，往往終端數(shù)量巨大，其形式多樣化、部署分散、不被重視、安全手段缺乏的現(xiàn)狀已成為信息安全體系的薄弱環(huán)節(jié)。權威統(tǒng)計數(shù)據(jù)表明，單位的安全損失有80%來自單位內(nèi)部，終端安全管控是重中之重。某知名制造單位的CIO曾經(jīng)訴苦道：“我們單位采用了最好的防火墻以及殺毒軟件。在內(nèi)網(wǎng)的管理上，也采用郵件監(jiān)控、端口封堵、URL過濾等技術。雖然這些對單位的安全性起到了很好的作用，可是面對上千臺內(nèi)網(wǎng)計算機的上網(wǎng)安全管理問題我真的是無從下手。”這充分說明終端管理無論在重要性和操作難度上，都成為單位整體網(wǎng)絡安全的薄弱“底線”。

雖然終端資產(chǎn)的重要性級別通常低于網(wǎng)絡中的交換機、路由器等核心網(wǎng)絡設備以及各種業(yè)務主機和服務器，但終端數(shù)量眾多，而且是組織日常辦公和業(yè)務運行的載體。如果終端安全受到威脅，即使網(wǎng)絡中的核心設備安然無恙，整個網(wǎng)絡的業(yè)務運行也會受到嚴重影響。

目前，傳統(tǒng)安全廠商的產(chǎn)品很難真正實現(xiàn)對所有局域網(wǎng)內(nèi)的終端都實現(xiàn)一體化安全管理。原因有二：一是缺乏統(tǒng)一的網(wǎng)絡技術標準限制了終端安全產(chǎn)品對網(wǎng)絡設備的兼容性；二是各種新應用和新攻擊層出不窮。

傳統(tǒng)的計算環(huán)境也在發(fā)生革命性變化。在日常運營中可以發(fā)現(xiàn)，在以數(shù)據(jù)中心為核心的IT環(huán)境中，應用的核心引擎已經(jīng)向數(shù)據(jù)中心轉(zhuǎn)移。當終端作為一種輕便的接入方式后，用戶通過桌面的各種應用可以通過數(shù)據(jù)中心接入整個信息網(wǎng)絡系統(tǒng)，如 ERP、CRM、BOSS系統(tǒng)和計費系統(tǒng)等。但傳統(tǒng)的安全體系架構(gòu)有一些致命性問題，如安全策略難以統(tǒng)一，而且桌面應用過于強大。正是由于傳統(tǒng)桌面操作過于強大，每個員工又可以做很多額外工作，因此造成不確定性過高。

對于信息安全的實施與管理來說，控制終端、控制應用是首要任務。在實際的單位IT環(huán)境中，信息安全的不確定性因素幾乎都是由人產(chǎn)生的，而人通過類似PC、手機、PDA等終端設備接入到信息系統(tǒng)的界面和接口主要設施。

六招打造牢固終端單位安全

信息安全是信息化社會的“底線”，而終端安全則是信息安全的“底線”。

如何保護這條最重要的安全底線？如何應對當前終端安全面臨的諸多困擾？顯然局部的、簡單的、被動的防護不足以解決問題。安全專家告訴我們，要想解決終端安全問題，一個好的思路是通過建設綜合終端與內(nèi)網(wǎng)安全管理體系，多管齊下，綜合防護。單位針對整體終端安全防護體系研制推出的終端與內(nèi)網(wǎng)安全管理系統(tǒng)，該系統(tǒng)的六大安全功能集群，相互配合，相互補充，形成一套組合拳，把對終端安全的各種威脅擊斃。

終端與內(nèi)網(wǎng)安全管理系統(tǒng)可以對內(nèi)部終端計算機進行集中的安全保護、監(jiān)控、審計和管理，可自動向終端計算機分發(fā)系統(tǒng)補丁，禁止重要信息通過外設和端口泄漏，防止終端計算機非法外聯(lián)，防范非法設備接入內(nèi)網(wǎng)，有效地管理終端資產(chǎn)等。終端與內(nèi)網(wǎng)安全管理系統(tǒng)可以與防火墻、漏洞掃描設備進行聯(lián)動，共同提供全網(wǎng)安全解決方案。

第一招，“桌面戒嚴”——桌面安全管理。桌面安全管理重點解決客戶端計算機桌面安全管理和行為的審計。該系統(tǒng)可以對客戶端的防病毒軟件的安裝、運行以及病毒庫升級與否進行管理，可以對用戶的文件、進程和上網(wǎng)行為等進行管理，并可以對客戶端計算機上的文件、應用程序和上網(wǎng)行為等進行詳細的審計，同時支持進程白名單功能。桌面安全管理可以分為桌面安全管理和桌面行為審計兩個大的功能項。

第二招，“堵住漏洞”——漏洞掃描與補丁分發(fā)管理。該功能提供了網(wǎng)絡掃描與主機掃描兩種模式，內(nèi)置Nessus掃描引擎，也可以與市場上主流漏洞掃描設備進行聯(lián)動。掃描完成后可以根據(jù)掃描結(jié)果自動對系統(tǒng)漏洞下發(fā)補丁并報警。而補丁分發(fā)管理主要完成客戶端的補丁檢測和安裝，強化客戶端自身健壯性。允許管理員自定義軟件分發(fā)，完成用戶自由系統(tǒng)的補丁管理。可以遠程進行軟件分發(fā)。可以深入結(jié)合對客戶端防病毒程序安裝和運行情況的檢測，為安全接入管理系統(tǒng)提供授權認證憑據(jù)。

第三招，“外設管控”——外設與接口管理。外設與接口管理主要對終端上的各種外設和接口進行管理。終端與內(nèi)網(wǎng)安全管理系統(tǒng)可以禁用系統(tǒng)的外設和接口，防止用戶非法使用。在外部存儲設備的禁用方面，可以在禁止使用通用移動存儲設備的同時，對經(jīng)過認證的移動存儲設備允許使用。

第四招，“出入防護”——安全接入管理和非法外聯(lián)監(jiān)控。系統(tǒng)對于非法進入單位內(nèi)網(wǎng)的終端進入及內(nèi)網(wǎng)合法終端的非法外聯(lián)訪問進行監(jiān)控與管理。

在安全接入管理方面，系統(tǒng)可以通過監(jiān)聽和主動探測等方式檢測內(nèi)部網(wǎng)絡中所有在線的主機，并判別在線主機是否是信任主機，然后對于探測到的非法主機，系統(tǒng)可以主動阻止其訪問任何網(wǎng)絡資源，從而可保證非法主機不對網(wǎng)絡產(chǎn)生影響，無法有意或無意的對網(wǎng)絡進行攻擊或者試圖竊密。在非法外聯(lián)監(jiān)控方面，系統(tǒng)主要解決發(fā)現(xiàn)和管理用戶非法自行建立通路連接非授權網(wǎng)絡的行為。通過非法外聯(lián)監(jiān)控的管理，可以防止用戶訪問非信任網(wǎng)絡資源，并防止由于訪問非信任網(wǎng)絡資源而引入安全風險或者導致信息泄密。

第五招，“資產(chǎn)保護”——內(nèi)網(wǎng)資產(chǎn)統(tǒng)計管理。系統(tǒng)可以自動收集分析終端計算機的物理內(nèi)存、處理器類型、處理器速度、處理器個數(shù)、數(shù)學協(xié)處理器、總線類型等各種計算機硬件信息。系統(tǒng)可以通過組合查詢，報告硬件的各種信息，查詢可以基于硬件、存儲容量等多種關鍵字進行。

同時，系統(tǒng)可以自動收集分析終端計算機安裝的軟件信息，并通過多種條件進行查詢和統(tǒng)計。系統(tǒng)智能實現(xiàn)自動監(jiān)測系統(tǒng)軟硬件資產(chǎn)的變動，記錄日志并可以產(chǎn)生報警，同時可以根據(jù)策略自主采用響應措施，防止資產(chǎn)變更給客戶端或者網(wǎng)絡帶來更大的危害。

第六招，“終端遙控”——用戶權限管理和終端遠程控制。終端與內(nèi)網(wǎng)安全管理系統(tǒng)的用戶和權限管理采用的是由美國國家標準協(xié)會提出的RBAC模型，即基于角色訪問控制模型。基于角色的訪問控制提供了一種簡單靈活的訪問控制機制，只給角色分配權限，用戶通過成為角色的成員來獲得權限。這與過去系統(tǒng)中直接給用戶授權的管理模型相比更靈活方便。同時，管理人員可以通過控制臺遠程取得客戶機的控制權，身臨其境般進行操作。對于遠端客戶機出現(xiàn)的問題，管理人員能夠即時、方便的解決。在遠程維護或者遠程操作業(yè)務系統(tǒng)中發(fā)揮多方面的作用。

終端管理是IPTV技術中一個重要的研究領域，IPTV終端和業(yè)務的復雜性使得對IPTV終端的有效管理成為保障IPTV業(yè)務質(zhì)量的一個必備條件，因此IPTV終端管理從一開始就是業(yè)界一個重要的研究課題。

由于IPTV是一項基于互聯(lián)網(wǎng)的業(yè)務，因此其終端形式多樣并且具備很高的智能性，不僅有基于SOC架構(gòu)的機頂盒，基于智能芯片的智能終端，還有基于X86架構(gòu)的類似于個人電腦的機頂盒。同時，IPTV業(yè)務是一項智能性、互動性很高的業(yè)務，種類多樣，邏輯復雜，由于其采用互聯(lián)網(wǎng)技術，對私密性、安全性有很高的要求。IPTV終端和業(yè)務的復雜性使得對IPTV終端的有效管理成為保障IPTV業(yè)務質(zhì)量的一個必備條件，但是也對終端管理提出了很高的要求，因此IPTV終端管理從一開始就是業(yè)界一個重要的研究課題。

DSL Forum終端管理模型

DSL Forum的終端管理模型如圖2所示，它確定了BOSS、ACS、DSLAM、家庭網(wǎng)關、終端設備的整體模型，被業(yè)界廣泛引用。

HGI

HGI規(guī)定的技術實現(xiàn)方式特點是，在架構(gòu)和遠程管理協(xié)議方面全面采用DSL Forum技術體制，同時對家庭網(wǎng)關的功能進行了額外的規(guī)定，增加了本地管理的使用場景，并定義該接口在本地采用HTTP+HTML方式（如圖3所示），遠程采用DSL Forum規(guī)定的方式（如圖4所示）。

圖2 DSLForum終端管理結(jié)構(gòu)

圖3 HGI終端管理結(jié)構(gòu)

圖4 ATIS終端管理結(jié)構(gòu)

單位內(nèi)網(wǎng)的安全性問題

由于IPTV終端管理的高優(yōu)先級、配置和診斷等特殊功能，因此終端管理必須具備很高的安全性保障。而終端管理系統(tǒng)由于終端規(guī)模巨大，導致必須分層組網(wǎng)，為保證系統(tǒng)性能和支持大規(guī)模升級，必須簡化交互過程、降低協(xié)議的復雜度，以減輕系統(tǒng)負擔，同時IPTV使用基于互聯(lián)網(wǎng)技術的IP網(wǎng)絡，終端具備很高智能和復雜性，對安全性的保障，如使用安全協(xié)議、加密算法等業(yè)務安全措施，勢必造成管理協(xié)議復雜度的進一步提高，如何在降低負擔與安全保障之間尋找平衡點一直是IPTV終端管理的難題。

結(jié)語

IPTV終端管理是IPTV業(yè)務系統(tǒng)中不可缺少的一部分，對IPTV終端管理技術的研究也在不斷深入。隨著IPTV業(yè)務的迅速發(fā)展和用戶規(guī)模的不斷擴大。對IPTV終端管理技術也提出了新的要求，后續(xù)對于IPTV終端管理技術的研究，將面向?qū)嶋H的部署和實施，包括安全性、大規(guī)模組網(wǎng)、業(yè)務配置等方面，這些都影響著單位業(yè)務的順利進行。