[[190093]]

中國(guó)移動(dòng)臺(tái)州分公司目前共有計(jì)算機(jī)終端3000多臺(tái)，由于長(zhǎng)期以來缺乏有效的技術(shù)手段對(duì)計(jì)算機(jī)終端的設(shè)置情況進(jìn)行有效管控，員工不按照規(guī)定進(jìn)行安全防護(hù)，私自修改電腦安全設(shè)置、重裝系統(tǒng)，通過IE代理瀏覽與工作無關(guān)的網(wǎng)站，操作系統(tǒng)和屏保不設(shè)置密碼，不按規(guī)定進(jìn)行安裝防毒軟件并更新最新病毒庫(kù)等現(xiàn)象時(shí)有發(fā)生。而內(nèi)網(wǎng)一旦發(fā)生問題，很容易導(dǎo)致企業(yè)其他正常網(wǎng)絡(luò)業(yè)務(wù)無法使用，因此，企業(yè)的終端安全問題對(duì)其管理及生產(chǎn)都至關(guān)重要。

1、終端安全管理需求

企業(yè)計(jì)算機(jī)終端安全現(xiàn)狀，迫切需要采取以下措施來加強(qiáng)對(duì)其進(jìn)行安全管理。

1)加強(qiáng)主動(dòng)防御控制管理，防止非授權(quán)、不安全的終端用戶接入受控網(wǎng)絡(luò)。

2)強(qiáng)制終端主機(jī)遵從安全策略，確保終端主機(jī)在接入受控網(wǎng)絡(luò)之前是安全的。

3)建立訪問權(quán)限管理機(jī)制，根據(jù)終端用戶的工作需要授予不同的訪問權(quán)限，保護(hù)企業(yè)核心網(wǎng)絡(luò)資源。

4)加強(qiáng)終端用戶的行為管理力度，保障終端用戶合理使用網(wǎng)絡(luò)資源。

5)主動(dòng)加固終端主機(jī)，修復(fù)已經(jīng)發(fā)現(xiàn)的終端主機(jī)的安全漏洞，在終端主機(jī)上建立安全防范機(jī)制。

2、系統(tǒng)功能及特點(diǎn)

2.1 系統(tǒng)功能

中國(guó)移動(dòng)臺(tái)州分公司部署的終端安全管理系統(tǒng)主要提供終端安全準(zhǔn)入控制、終端安全管理、補(bǔ)丁管理、終端用戶管理、軟件分發(fā)、資產(chǎn)管理等六大功能。系統(tǒng)通過終端網(wǎng)絡(luò)準(zhǔn)入控制，終端安全檢查、訪問控制和安全修復(fù)，有效控制包括企業(yè)員工、外部訪客、合作伙伴和臨時(shí)員工等對(duì)網(wǎng)絡(luò)的訪問，同時(shí)，系統(tǒng)還能夠隨時(shí)發(fā)現(xiàn)并隔離帶有威脅的終端主機(jī)，提升企業(yè)網(wǎng)絡(luò)防御安全威脅的能力。

2.2 系統(tǒng)特點(diǎn)

1)多種認(rèn)證方式

系統(tǒng)支持公司域帳號(hào)、USB-Key、用戶系統(tǒng)等3種身份認(rèn)證方式，實(shí)現(xiàn)對(duì)企業(yè)員工、外部訪客、合作伙伴和臨時(shí)員工等對(duì)網(wǎng)絡(luò)訪問的控制，保護(hù)內(nèi)部業(yè)務(wù)系統(tǒng)安全。

2)全面終端安全管理

系統(tǒng)通過檢查評(píng)估終端安全狀態(tài)，對(duì)于不符合安全設(shè)置要求的終端，能夠提供個(gè)性化的修復(fù)建議，并協(xié)助終端安裝各類補(bǔ)丁和必備的軟件，以確保終端達(dá)到企業(yè)終端安全設(shè)置要求，同時(shí)，對(duì)于存在重大安全隱患的終端、以及未授權(quán)的外部終端等系統(tǒng)能夠進(jìn)行強(qiáng)制隔離。

3)精細(xì)的員工行為管理

系統(tǒng)能夠?qū)T工的網(wǎng)絡(luò)行為進(jìn)行精細(xì)管理，主要包括：控制各種非法外連行為，控制網(wǎng)絡(luò)流量，控制Web訪問和IP訪問，進(jìn)行地址解析協(xié)議防護(hù)，對(duì)文件操作進(jìn)行監(jiān)控，對(duì)移動(dòng)存儲(chǔ)設(shè)備進(jìn)行管理，對(duì)進(jìn)程/服務(wù)黑白名單和外設(shè)接口進(jìn)行管理，并能夠?qū)T工違規(guī)行為進(jìn)行審計(jì)和取證，規(guī)范員工合理使用網(wǎng)絡(luò)資源，防止網(wǎng)絡(luò)濫用與惡意破壞。

4)計(jì)算機(jī)資產(chǎn)管理

系統(tǒng)可自動(dòng)收集終端軟、硬件資產(chǎn)信息，統(tǒng)計(jì)輸出企業(yè)計(jì)算機(jī)資產(chǎn)狀態(tài)報(bào)表。另外，系統(tǒng)通過跟蹤資產(chǎn)變更，輸出變更報(bào)表，實(shí)現(xiàn)資產(chǎn)管理IT化，保障企業(yè)信息資產(chǎn)可控可管。

5)系統(tǒng)部署靈活、方便

服務(wù)器部署靈活，支持集中式或分布式部署;控制網(wǎng)關(guān)支持在網(wǎng)絡(luò)設(shè)備上的串聯(lián)部署或者旁路部署，對(duì)企業(yè)現(xiàn)有網(wǎng)絡(luò)改動(dòng)小，同時(shí)，控制網(wǎng)關(guān)也支持集中式或分布式部署，可滿足復(fù)雜網(wǎng)絡(luò)環(huán)境下的部署需要。

6)系統(tǒng)具備高可靠性，提供逃生通道和負(fù)載均衡

系統(tǒng)自身具有高可靠性，服務(wù)器采用資源池方式，提供負(fù)載均衡和冗余備份，并提供系統(tǒng)安全逃生通道，靈活選擇安全優(yōu)先或業(yè)務(wù)優(yōu)先，最大限度地保障企業(yè)業(yè)務(wù)的連續(xù)性。

7)軟件分發(fā)和補(bǔ)丁管理

對(duì)于計(jì)算機(jī)終端需要安裝的軟件，系統(tǒng)支持將軟件通過手工或按計(jì)劃分發(fā)到終端主機(jī)，并支持按部門、按操作系統(tǒng)、按IP地址段進(jìn)行分發(fā)。系統(tǒng)支持與WSUS無縫集成，通過自動(dòng)化補(bǔ)丁檢查，能夠及時(shí)、安全和準(zhǔn)確地偵測(cè)系統(tǒng)漏洞，并幫助終端主機(jī)通過連接WSUS及時(shí)更新補(bǔ)丁，從而及時(shí)、主動(dòng)消除各種安全缺口，避免由于系統(tǒng)漏洞帶來的終端安全威脅。

3、系統(tǒng)實(shí)施

3.1系統(tǒng)部署方式

終端安全管理系統(tǒng)由1臺(tái)硬件控制網(wǎng)關(guān)設(shè)備、1臺(tái)控制管理服務(wù)器組成。其中硬件控制網(wǎng)關(guān)設(shè)備采用旁路方式部署，不影響企業(yè)現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，不會(huì)增加網(wǎng)絡(luò)故障點(diǎn)，系統(tǒng)部署拓?fù)鋱D如圖1所示。

圖1 終端安全管理系統(tǒng)部署拓?fù)鋱D

3.2系統(tǒng)組件功能

1)控制網(wǎng)關(guān)

控制網(wǎng)關(guān)用于控制終端訪問網(wǎng)絡(luò)的權(quán)限，向隸屬不同角色及不同安全狀況的終端用戶開放不同的權(quán)限。主要包括以下功能：

n根據(jù)控制管理服務(wù)器反饋的信息，開放終端用戶訪問網(wǎng)絡(luò)的權(quán)限;

n防止外部非授權(quán)的終端用戶訪問企業(yè)的網(wǎng)絡(luò);

n防止內(nèi)部合法但不安全的終端用戶訪問企業(yè)的網(wǎng)絡(luò);

n隔離連接到企業(yè)網(wǎng)絡(luò)但沒有進(jìn)行安全認(rèn)證的終端用戶;

n當(dāng)控制管理服務(wù)器發(fā)生嚴(yán)重故障，無法承擔(dān)正常的身份認(rèn)證和安全認(rèn)證時(shí)，控制管理服務(wù)器與控制網(wǎng)關(guān)之間的心跳協(xié)議能夠及時(shí)檢測(cè)故障并打開逃生通道，系統(tǒng)自動(dòng)開放網(wǎng)絡(luò)的訪問權(quán)限，以保證業(yè)務(wù)正常開展。當(dāng)心跳協(xié)議發(fā)現(xiàn)控制管理服務(wù)器從故障中恢復(fù)后，控制網(wǎng)關(guān)將會(huì)自動(dòng)關(guān)閉逃生通道，安全接入控制機(jī)制重新生效。

2)控制管理服務(wù)器

管理員可以通過IE瀏覽器登錄管理服務(wù)器進(jìn)行日常維護(hù)操作，進(jìn)行網(wǎng)絡(luò)準(zhǔn)入配置、組織人員管理、安全策略管理、補(bǔ)丁管理、軟件分發(fā)、資產(chǎn)管理、公告管理以及報(bào)表管理等操作。主要負(fù)責(zé)驗(yàn)證終端用戶的身份，對(duì)終端主機(jī)進(jìn)行安全檢查，以及與準(zhǔn)入控制設(shè)備聯(lián)動(dòng)實(shí)現(xiàn)最小授權(quán)的訪問控制等。

3.3系統(tǒng)工作方式

1)控制網(wǎng)關(guān)工作方式

中國(guó)移動(dòng)臺(tái)州分公司2臺(tái)核心交換機(jī)分別通過2條1000Mb/s鏈路與控制網(wǎng)關(guān)互聯(lián)，通過在2臺(tái)核心交換機(jī)上設(shè)置策略路由將數(shù)據(jù)流引向控制網(wǎng)關(guān)。正常工作時(shí)，控制網(wǎng)關(guān)負(fù)責(zé)核心交換機(jī)所接用戶的準(zhǔn)入控制，控制網(wǎng)關(guān)工作方式如圖2所示。

圖2控制網(wǎng)關(guān)工作方式圖

2)身份認(rèn)證方式

中國(guó)移動(dòng)臺(tái)州分公司終端安全管理系統(tǒng)主要采用PKI/CA數(shù)字證書與服務(wù)器聯(lián)動(dòng)進(jìn)行用戶身份認(rèn)證，身份認(rèn)證過程如下：

a)準(zhǔn)入系統(tǒng)客戶端連接準(zhǔn)入系統(tǒng)服務(wù)器，發(fā)出訪問請(qǐng)求，建立加密隧道;

b)服務(wù)器響應(yīng)用戶請(qǐng)求，返回服務(wù)器證書，并要求客戶端提交用戶證書，客戶端調(diào)用證書處理模塊，驗(yàn)證服務(wù)器證書來驗(yàn)證系統(tǒng)服務(wù)器的身份;

c)服務(wù)器要求用戶使用證書進(jìn)行登錄，客戶端自動(dòng)調(diào)用證書處理模塊，實(shí)現(xiàn)USB-Key數(shù)字證書認(rèn)證;

d)客戶端將用戶證書提交服務(wù)器，服務(wù)器接收到客戶端提交的證書后，調(diào)用證書驗(yàn)證模塊，完成用戶證書的驗(yàn)證;

e)通過證書驗(yàn)證后服務(wù)器調(diào)用證書解析模塊，解析用戶證書，獲取用戶信息，并根據(jù)用戶信息，實(shí)現(xiàn)對(duì)用戶的訪問控制和安全控制。服務(wù)器身份認(rèn)證結(jié)束后，認(rèn)證結(jié)果有3種：

①用戶身份不合法，認(rèn)證不通過;

②用戶身份合法，認(rèn)證通過，但是計(jì)算機(jī)終端不符合安全標(biāo)準(zhǔn);

③用戶身份合法，認(rèn)證通過，且計(jì)算機(jī)終端符合安全標(biāo)準(zhǔn)。服務(wù)器會(huì)將認(rèn)證結(jié)果同時(shí)反饋至計(jì)算機(jī)終端以及控制網(wǎng)關(guān)。圖3為中國(guó)移動(dòng)臺(tái)州分公司終端網(wǎng)絡(luò)接入認(rèn)證圖。

圖3 終端網(wǎng)絡(luò)接入認(rèn)證圖

3)終端訪問控制

用戶身份認(rèn)證完成后，控制網(wǎng)關(guān)將根據(jù)控制管理服務(wù)器提供的認(rèn)證結(jié)果對(duì)相應(yīng)計(jì)算機(jī)終端應(yīng)用相應(yīng)的控制策略，對(duì)于用戶身份不合法，認(rèn)證不通過的終端用戶，只能訪問認(rèn)證前域;對(duì)于用戶身份合法，但是計(jì)算機(jī)終端不符合安全標(biāo)準(zhǔn)的終端用戶，只能訪問隔離域;對(duì)于同時(shí)通過身份認(rèn)證和安全認(rèn)證的終端用戶，則能夠完全訪問認(rèn)證后域，終端數(shù)據(jù)流量走向如圖4所示。

圖4 終端訪問控制圖

4、系統(tǒng)應(yīng)用

終端安全管理系統(tǒng)投入使用后，滿足了中國(guó)移動(dòng)臺(tái)州分公司對(duì)全局計(jì)算機(jī)終端的安全管理需求，通過在全局部署終端安全防護(hù)、系統(tǒng)加固、非法外聯(lián)、外設(shè)管理、網(wǎng)絡(luò)行為管理等安全策略，使企業(yè)所有聯(lián)網(wǎng)的計(jì)算機(jī)終端均達(dá)到了統(tǒng)一的安全設(shè)置標(biāo)準(zhǔn)，杜絕了計(jì)算機(jī)用戶有意無意違反企業(yè)計(jì)算機(jī)終端安全管理的相關(guān)規(guī)章制度。

同時(shí)，在用戶訪問網(wǎng)絡(luò)的整個(gè)過程中，終端安全管理系統(tǒng)均可實(shí)時(shí)對(duì)各項(xiàng)策略進(jìn)行檢查，一旦發(fā)現(xiàn)與預(yù)定義的策略不符，系統(tǒng)可以及時(shí)改變?cè)撚脩粼L問網(wǎng)絡(luò)資源的權(quán)限或者禁用該終端用戶接入網(wǎng)絡(luò)，從根本上防止用戶在網(wǎng)絡(luò)使用過程中隨意改變終端安全策略情況的發(fā)生，很好地滿足了中國(guó)移動(dòng)臺(tái)州分公司計(jì)算機(jī)終端安全管理需求。圖5-8展示終端安全系統(tǒng)部分功能界面截圖。

圖5.網(wǎng)絡(luò)交換機(jī)端口狀態(tài)圖

圖6.終端設(shè)備準(zhǔn)入記錄后臺(tái)表

圖7.終端設(shè)備信息統(tǒng)計(jì)圖

圖8.網(wǎng)絡(luò)終端資產(chǎn)分配圖

終端安全管理系統(tǒng)通過從網(wǎng)絡(luò)接入端點(diǎn)的安全控制入手，結(jié)合認(rèn)證服務(wù)器、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及第三方軟件系統(tǒng)(病毒和系統(tǒng)補(bǔ)丁服務(wù)器)，來完成對(duì)接入終端用戶的強(qiáng)制認(rèn)證和安全策略應(yīng)用，保障網(wǎng)絡(luò)安全。系統(tǒng)解決了企業(yè)內(nèi)部存在的非法終端用戶接入、合法終端用戶越權(quán)訪問、終端用戶濫用資源、病毒泛濫、黑客惡意破壞、安全策略不能及時(shí)落實(shí)等問題，實(shí)現(xiàn)終端安全方案在企業(yè)的強(qiáng)制執(zhí)行，將來自企業(yè)內(nèi)部的安全威脅降至最低，大幅度提升了企業(yè)終端及網(wǎng)絡(luò)安全水平。