網絡終端與用戶行為安全管理方法探索

趙婷婷

摘要：隨著網絡技術應用的不斷深入，網絡與信息安全發展進入全新時代，而網絡終端安全作為網絡的最基本安全防護策略之一，在網絡安全防護中具有相當重要的作用。本文以南京不動產統一登記為例，對網絡終端和用戶行為安全管理進行全面分析，實時檢測系統補丁和病毒庫版本，配置合理桌面安全策略管控用戶行為，實現網絡準入控制，結合用戶良好的信息安全意識和使用習慣，從一定程度上提高不動產統一登記數據安全防護水平，有效保護整個規劃資源網絡安全。

關鍵詞：網絡終端;用戶行為;網絡準入控制;安全防護;網絡安全

1主要挑戰

1.1內部網絡面臨挑戰

攻擊方法日新月異，內部安全防范任務艱巨，ARP欺騙與惡意插件泛濫問題，網絡釣魚等新的安全問題，內網主機被植入木馬或其他惡意程序成為“肉雞”或“僵尸”，用以竊取內網機密數據，或將其作為DDOS（分布式拒絕服務攻擊）工具向外發送大量數據包，占用網絡帶寬;由于內部網絡各平臺主機和設備沒有及時升級安全補丁和殺毒軟件病毒庫，給惡意入侵提供可乘之機，使得病毒和蠕蟲大規模爆發成為可能，導致內網癱瘓;非法外聯難以控制，內部重要機密信息容易泄露，內部用戶誤將內外網互聯，使得內網資源暴露，攻擊或病毒乘機攻入，或通過移動終端等不受監控的網絡通道將內部機密信息泄露;便攜式計算機等移動設備經常接入內網使用，若管理不當，很有可能攜帶病毒或者木馬，未經審查評估或安全測試就直接接入，將對內網安全構成巨大威脅;隨時更換計算機終端IP地址等配置，導致難于統一管理，出現安全事件難以定位責任主體;缺乏U盤、移動硬盤、光驅等外設的靈活管理手段，數據泄露、病毒傳播難以控制;管理制度缺技術手段保障，安全策略無法有效落實。盡管已經制定安全管理制度，加強網絡安全意識培訓，但只依靠人員的工作責任心和自覺性，無法有效杜絕問題，還需要依靠靈活實用的技術手段，保障管理制度政策的落實和嚴格執行。

1.2傳統安全技術局限

隨著不動產業務形式不斷推廣，網絡邊界逐漸模糊，通過VPN、網閘等方式連接內網成為可能，使得終端的信息濫用、誤用、惡意使用行為增加，傳統安全技術如防火墻、入侵檢測、防病毒等稍顯無力。對于防火墻、防病毒網關、網閘等用于網絡邊界訪問控制的網關防護產品，重點是防止外部病毒和外部攻擊，缺乏對內部終端的攻擊防護;對于網絡入侵檢測、主機入侵檢測、安全審計等系統網絡審計產品，采用的監測技術重點是發現和記錄攻擊、非法訪問等安全事件發生，需與其他安全產品聯動實現對攻擊行為的阻斷;現有安全解決方案的防御重點是外網攻擊，內網保護基本依靠防病毒軟件，而防病毒軟件經常出現被隨意卸載或禁用，病毒庫更新不及時等情況，安全體系存在很大缺陷，無法防止蠕蟲病毒利用漏洞傳播，無法限制內網資源濫用，無法防止非法外聯行為。顯然，網絡終端安全管理是信息安全木桶原理中的短板，只有解決好基礎問題，才能提高整個網絡系統的堅固耐用性。

2網絡終端與用戶行為安全管理

2.1網絡安全現狀

南京規劃資源網絡系統遵循模塊化的設計思路，根據不同應用系統的需求按照縱向分層、橫向分區的設計理念進行合理規劃。以不動產統一登記系統平臺所對應的不同服務對象為依據進行區域劃分，區域間按照業務安全等級進行隔離防控，使不動產登記平臺更加具有可擴展性，業務流量更加清晰，運維管控更加便捷。

2.2安全管理需求

2.2.1支持多場景準入控制模式

不動產統一登記網絡終端及用戶遍布多個不同分中心、檔案館等，網絡接口如何防止非法電腦接入，檢測接入的電腦是否安全，并能夠適應現有復雜的網絡環境，靈活行使準入控制策略。

2.2.2內部數據防泄漏

不動產統一登記系統包含大量登記信息，而正常工作中又存在需要使用外聯設備的情況，需要靈活有效地防止終端用戶通過U盤、內存卡等外傳泄露。

2.2.3終端安全合規性

避免辦公終端系統隨意安裝軟件、修改IP管理地址等不符合內部安全管理規定的行為。

2.2.4終端統一運維

不動產登記網絡終端分布分散，需實現終端快速定位，軟硬件資產統計、統一管理，統一推送軟件，必要時對終端進行實時遠程協助等運維管理。

2.3管理方法實現探索

采用多層次的安全防護技術，從終端接入網絡之前開始，實現終端入網準入、終端安全加固、終端外設管控，保證接入內網的終端都是合法、安全、可控的，阻斷不符合安全要求的終端接入。

2.3.1整體描述

不動產統一登記網絡終端配置安全管理客戶端助手，終端連接網絡端口即發送訪問請求，連接的網絡交換機端口變成UP狀態，觸發準入協議啟動工作。網絡交換機向終端發出認證啟動報文信息，終端回復報文進行響應，直到完成準入協議的報文交互過程;本文方法將支持準入協議架構的網絡交換機作為端口訪問認證器，負責與端口訪問請求終端進行通信，并將來自端口訪問請求終端的身份信息、安全狀態信息轉發至認證服務器進行驗證，并依據認證服務器下發的授權信息，對端口訪問請求終端進行授權，通過該端口訪問的網絡資源實現對其控制;認證服務器接收端口訪問請求終端的身份信息和安全狀態檢查信息，并將身份信息發送至目錄服務器進行驗證，依據目錄服務器返回的驗證結果，認證服務器選取對應的授權信息，封裝至網絡交換機的回包中，完成對端口訪問請求終端可訪問網絡資源的授權。同時認證服務器將認證和授權信息寫入數據庫，用于準入控制審計;目錄服務器主要對收到的用戶名、密碼、數字證書等身份信息進行驗證，并將驗證結果返回給認證服務器。本文的安全管理方法將認

2.3.2準入認證方式

目前準入認證方式主要有策略路由、網關模式和802.1X三種方式。802.1X是一個國際標準，多廠商支持，管控力度高，結合不動產統一登記網絡現狀，在不改變現有網絡架構、不影響網絡性能的基礎上，選擇802.1X準入認證。

2.3.3用戶行為管理

通過非授權外聯（U盤等）、無線網卡、藍牙禁用等基本桌面安全控制手段實現用戶行為管理，結合補丁管理、軟件分發、遠程協助、設備發現和拓撲展示，實現對不動產統一登記網絡終端和用戶行為安全管理控制。

2.3.4主備雙認證模式

為了實現更加可靠的網絡安全管理，采用主備雙認證服務器模式，當其中一臺服務器故障無法提供準入認證服務時，網絡交換機自動切換至備份服務器進行驗證，無須人工干預，保障網絡安全管理認證和授權功能的高可用性。當雙認證服務器都出現異常，網絡交換機會自動采取AAAnone逃生機制，自動放行所有終端，保證不出現大范圍網絡癱瘓、應用中斷情況。

3總結與展望

本文以南京不動產登記終端管理為例，探索網絡終端與用戶行為安全管理方法，從終端接入網絡之前開始著手，實現終端入網準入、終端安全加固、終端外設管控，阻斷不符合安全要求的終端接入，確保授權接入的終端合法、安全、可控。結合各種行為管理策略，靈活有效地實現終端用戶行為管理，防止內網用戶終端隨意連接互聯網，確保登記信息不從移動存儲外泄，保證數據安全。

參考文獻

[1]祖峰.計算機終端安全管理策略及應用的研究[D].北京郵電大學，2008.

[2]楊大偉，鄭澎.終端安全管理系統提升運維效率[J].網絡安全和信息化，2017（3）：122-123.

[3]李峰，寧瑩，孫明，等.企業網絡用戶行為管理[C]//寧夏青年科學家論壇.2010.