基于終端防護的網絡安全模型

喻曉偉

摘要：現如今，計算機技術在我國發展十分迅速，計算機終端己成為網絡中大部分事件的起點和源頭；更是病毒攻擊的源頭。因此，只有通過完善的終端安全防護才能夠真正從源頭上控制各種安全事件的發生，遏制網絡內部發起的攻擊和破壞。

關鍵詞：終端防護；網絡安全；模型

引言：

隨著企業信息化的廣泛應用和企業信息資源與數據的日益積累，信息資源安全成為企業乃至政府都比較關注的課題.本文提出一種基于終端防護的網絡安全模型，可擴展性良好，使用多層次、可堆疊、模塊化的設計思想，對網絡安全起到立體防護的作用。

1 終端安全防護存在的主要問題

1.1終端存在安全隱患

一方面，受國家電子信息產業叢礎的制約，計算機網絡終端的微處理器、操作系統和基礎軟件都使用國外產品，由于不掌握核心技術，這些終端本身不可避免地存在著安全漏洞，同時也無法排除存在陷阱、后門等隱患的可能性。

1.2終端入網無安全審查

一些網絡對終端接入不進行安全審查，即不檢查用戶是否為合法用戶，不檢查終端是否為合法的授權終端、是否帶有病毒等惡意代碼、是否存在著安全漏洞。

1.3終端操作無安全管控

一些網絡終端對用戶上網操作行為無安全監控和日志審計。這樣就使用戶在終端上能隨意安裝、運行可能帶有病毒等惡意代碼的非授權軟件；或者故意在終端上運行惡意軟件，傳播惡意代碼、實施破壞或竊密。

2 基于終端防護的網絡安全模型

2.1邏輯結構

內網信息安全管理的核心即客戶業務管理流程，采用PDCA的設計思想，多層次、可堆疊模塊融合而成的管理體系，包括安全策略管理軟件、安全準入控制中心和安全客戶端代理軟件。基于終端防護的網絡安全模型采用模塊化組件設計思想，具有很強的擴展性。系統部署包括數據支撐系統、文件服務器、級聯服務器、區域管理器、WEB應用服務器、補丁服務器、報警服務器、License管理服務器。內網信息安全管理由安全準入控制中心、安全策略管理中心和安全客戶端代理三大組件構成。各平臺組件采用分布式監控與策略執行點，集中管理的工作模式，組件的通信采用高度壓縮與加密方式，WEB平臺采用HTTP登錄方式。

2.2功能模塊

基于終端防護的網絡安全模型包括以下功能模塊：網絡進程監視功能模塊：統一匯總和監視網絡各終端的進程，增量式顯示網絡中新進程，具有網絡客戶端軟件使用情況統計功能，對網絡中出現的異常進程進行定位和報警。軟件黑白名單控制功能模塊：制定終端軟件安裝黑白名單，指定禁止安裝和必須安裝的軟件，并可對違規的終端進行報警提示、終端提示、阻斷聯網等措施。客戶端進程應用監控功能模塊：監控網絡客戶端軟件的違規使用情況，控制禁止啟用的程序，直接關閉終端的違規進程，對違規的終端進行報警提示、終端提示、阻斷聯網等措施。行為安全管理功能模塊：審計使用郵件和網絡拷貝等可能導致信息泄漏的行為，對用戶指定的目錄及文件進行訪問權限的控制，HTTP訪問審計，郵件審計，對客戶端的共享目錄訪問行為進行監控審計。IP/MAC地址綁定管理功能模塊：對IP地址使用情況進行監視和管理，精確統計網絡計算機設備，查詢當前網絡IP資源使用情況；通過系統安全策略下發對任意客戶端進行IP地址與MAC地址進行綁定管理；提供對關鍵客戶端進行IP保護，采集IP地址、網卡MAC地址變動情況。補丁管理功能模塊：提供有效的補丁及系統安全配置管理功能，通過中心管理服務器集中管理用戶網絡終端設備的軟件系統的補丁升級、系統配置策略，定義終端補丁下載，補丁升級策略以及增強終端系統安全配置策略并下發給運行于各終端設備上的客戶端。

3 終端安全防護方法

3.1準入控制

（1）安全檢查。對終端操作系統補丁、指定軟件（及版木）、防病毒軟件的狀態進行安全評估，使只有符合安全標準（如安裝了最新的操作系統補丁、及時升級了最新的病毒特征庫等）的終端才準許訪問網絡。（2）安全認證。對終端的IP地址、MAC地址、所連接交換機的IP地址和端口號、用戶名和口令進行綁定驗證，通過后才允許接入網絡，防止非法終端和非法用戶接入網絡。（3）安全修復。如果終端沒有安裝最新的操作系統補丁和升級了最新的病毒特征庫，那么系統將自動把這個終端隔離到修復區進行補丁和病毒特征庫的更新，當終端修復完成后才準許訪問網絡。

3.2安全工具

終端需安裝防病毒、防火墻軟件和補丁程序，開啟實時監控功能，并及時更新（每周至少升級兩次）。可通過在防病毒服務器中安裝網絡防病毒服務器軟件，在所有終端中安裝網絡防病毒客戶端軟件的方法來實現終端防病毒的統一管理，阻止病毒在網絡內的大肆傳播。終端需配置單機防火墻軟件，用于控制從網絡對終端系統的訪問，監控網絡訪問，記錄、統計網絡訪問數據，抵御對終端的探測和攻擊。要經常為終端操作系統和應用軟件打安全補丁。

3.3安全監控

安全監控對終端軟硬件資產，用戶操作行為、終端設備接口、網絡行為、進程和軟件使用行為等進行多角度、全方位的集中管控，實現對異常、可疑和違規行為的發現、報警、記錄、阻斷和審計，并與入侵檢測系統（IDS）聯動，以達到防止惡意攻擊和保護敏感信息的目的。

3.4安全設置

設置強壯口令。所有終端必須設置強壯安全的開機、屏幕保護和系統登錄三級口令。設置木地安全策略。關閉默認“文件和打印共享”，關閉移動存儲設備（U盤、硬盤和光盤）的自動運行功能，禁用不必要的外設端口（如無線網口）。

4 結語

企業信息安全是企業發展的有力保障，在互聯網時代，信息安全突顯其重要性.在網絡安全的實踐中，人們逐漸認識終端防護對于網絡安全的重要性.本文我們從企業內部網信息安全出發，從多維度多層面來闡述了基于終端防護的網絡安全模型，指出實現該系統的關鍵步驟在于可配置化動態安全檢查引擎、基于文件指紋的掃描優化算法、多層次終端防護管理系統.

參考文獻：

[l]孫陽波.準入控制保障內網合規[J].信息安個與通信保密，2008.

[2]肖治庭等.涉密內部網用戶終端安全防護研究.[J].電子科技，2008.