內(nèi)網(wǎng)安全管理整體防范的思考-安全準入專家盈高

1、桌面終端安全準入控制的思考 盈高TM多維終端安全管理平臺MSEP ,不容錯過的選擇 摘要：過十幾年的發(fā)展，各縣級供電企業(yè)建立了相對完善的內(nèi)部局域網(wǎng)系統(tǒng)。在系統(tǒng)運行過程中，面臨著來自局域網(wǎng)內(nèi)部以及外部的計算機的網(wǎng)絡(luò)安全風險，在這種情況下，確保網(wǎng)絡(luò)的安全運行，不僅要建立嚴密的計算機管理制度,還要從技術(shù)上加強安全措施以防止外部黑客的入侵和來自企業(yè)內(nèi)部的攻擊和威脅。桌面終端安全準入控制系統(tǒng)可以在用戶接入網(wǎng)絡(luò)前，通過統(tǒng)一管理的安全策略檢查用戶終端的安全健康狀態(tài)，并根據(jù)對用戶桌面安全狀態(tài)的檢查結(jié)果實施是否接入，對不符合安全標準的用戶進行“隔離”并強制用戶進行病毒庫升級、系統(tǒng)補丁安裝等操作；在保證用戶終端具

2、備自防御能力并安全接入的前提下，可以通過動態(tài)分配ACL、VLAN等合理控制用戶的網(wǎng)絡(luò)權(quán)限，從而提升網(wǎng)絡(luò)的整體安全。關(guān)鍵字:安全準入控制、隔離、風險控制、管理目前在縣級供電企業(yè)，已經(jīng)實施多種網(wǎng)絡(luò)安全產(chǎn)品，如Symantec 企業(yè)版病毒防護系統(tǒng)、微軟補丁分發(fā)產(chǎn)品WSUS補丁更新系統(tǒng)，今年初，國網(wǎng)統(tǒng)一部署了桌面終端管理系統(tǒng)，國網(wǎng)公司部署中心服務(wù)器，省公司部署一級服務(wù)器，市局部署二級服務(wù)器，并給縣級供電企業(yè)提供一個管理客戶端，實現(xiàn)對接入終端的外聯(lián)管理、外設(shè)管理、資產(chǎn)管理、遠程運維、協(xié)議管理等。在統(tǒng)一的管理和控制策略下，使縣級供電企業(yè)對終端初步具有可管理性。同時，國網(wǎng)公司通過定期下發(fā)各類管理和安全檢查等

3、策略，對縣級供電企業(yè)的終端安全進行定期抽查。通過這套系統(tǒng)，一方面解決了數(shù)量眾多的計算機的安全、管理、維護問題，降低了單位的基礎(chǔ)設(shè)施構(gòu)建成本，另一方面保障了數(shù)據(jù)信息的安全。雖然縣級供電企業(yè)在內(nèi)網(wǎng)終端安全方面做了很多工作，部署了防火墻、安全VLAN的劃分、剛實施的內(nèi)外網(wǎng)物理隔離、Symantec 企業(yè)版病毒防護系統(tǒng)、補丁統(tǒng)一更新系統(tǒng)、以及國網(wǎng)統(tǒng)一部署的桌面終端管理系統(tǒng)，但是，對類似下面的安全問題是否做到真正意義上的解決：是否已經(jīng)做到真正的隔離？目前在縣級供電企業(yè)實現(xiàn)了內(nèi)外網(wǎng)的物理隔離，但無法從技術(shù)手段來判斷并杜絕內(nèi)網(wǎng)計算機連接外網(wǎng)。終端接入可控嗎？雖然縣級供電企業(yè)已經(jīng)有一套IP與MAC綁定的系統(tǒng)，

4、但是我們可以偽造IP與MAC信息接入網(wǎng)絡(luò)。雖然作了物理隔離，可是正常工作中還是經(jīng)常會碰到外來計算機，如何來控制接入及做接入前管控？怎么樣可以做到很靈活的終端接入審查呢？在系統(tǒng)正常運行之后所有接入網(wǎng)絡(luò)的終端如何做到只有通過管理員審查批準才可以接入呢？目前縣級供電企業(yè)接入終端為數(shù)眾多，分布地域很廣，接入計算機密碼過于簡單，管理人員、不知道哪些計算機未安裝殺毒軟件或安裝了沒有及時更新病毒庫，信息管理人員如何及時發(fā)現(xiàn)計算機的安全漏洞，提供用戶更改密碼，安裝殺毒軟件，更新病毒庫等，以保障系統(tǒng)不因為弱口令的原因被病毒和黑客攻擊？怎么對終端進行強制的安全加固？通過桌面終端管理系統(tǒng)，管理人員對計算機終端的安全

5、隱患將更加了解，但終端使用人員操作水平參差不齊，如何來保證計算機的操作系統(tǒng)沒有漏洞，補丁全部打齊，殺毒軟件版本及病毒庫都更新到最新以及賬號密碼具有一定強度的呢？終端計算機如果需要修復怎么辦？如何保證接入終端是處于健康狀態(tài)的，如果保障存在安全隱患的終端的安全修復，甚至強制讓接入終端修復其安全隱患呢？如何將異常狀態(tài)的終端快速隔離？如何快速有效的定位網(wǎng)絡(luò)中病毒、黑客的引入點，快速、安全的切斷安全事件發(fā)生點和相關(guān)網(wǎng)絡(luò)？為了解決上述問題，從源頭杜絕安全隱患，應(yīng)該未雨綢繆，需要部署一套完整的終端安全準入控制系統(tǒng)。準入控制系統(tǒng)是防止病毒、蠕蟲甚至人為破壞等技術(shù)和行為對企業(yè)網(wǎng)絡(luò)安全造成的危害。借助準入控制系統(tǒng)

6、，可以只允許合法的、值得信任的端點設(shè)備接入網(wǎng)絡(luò)，而不允許其他設(shè)備接入。在初始階段，當端點設(shè)備進入網(wǎng)絡(luò)時，準入控制系統(tǒng)能夠?qū)嵤┰L問權(quán)限。準入控制系統(tǒng)的接入規(guī)則可以根據(jù)端點設(shè)備的信息制定，例如設(shè)備的當前防病毒狀況以及操作系統(tǒng)補丁等。準入控制系統(tǒng)將按照客戶制定的策略實行相應(yīng)的準入控制決策：允許、拒絕、隔離或限制.作為終端安全管理整體解決方案, 縣級供電企業(yè)已經(jīng)部署了桌面管理系統(tǒng)，但無有效地技術(shù)手段控制客戶端的準入控制；同時，對于桌面管理系統(tǒng)采集上來的安全隱患，也沒有強制手段保證終端及時有效的加固。因此終端安全準入控制系統(tǒng)建設(shè)重要性突顯出來，與桌面管理系統(tǒng)同時作為整體方案的兩塊重要部分，二者缺一不可。

7、端點準入控制系統(tǒng)的主要功能：一個完整的網(wǎng)絡(luò)準入控制系統(tǒng)，在終端設(shè)備接入時，應(yīng)該提供以下五步檢查和控制流程，缺少其中一個方面的內(nèi)容，就不是完善的準入解決方案，都無法達到完整的安全風險控制、預防和響應(yīng)要求，會給準入控制系統(tǒng)的部署和推廣使用帶來問題。第一步，注冊登記：內(nèi)部終端要訪問網(wǎng)絡(luò)資源之前，需要在網(wǎng)絡(luò)上注冊登記（用戶賬戶登記、終端ID注冊等），取得接入網(wǎng)絡(luò)的權(quán)限。第二步，接入檢查：終端在接入網(wǎng)絡(luò)時，準入控制系統(tǒng)會檢查其用戶賬戶、安全設(shè)置狀態(tài)、終端硬件合法性等。第三步，安全隔離：如果在接入檢查時，發(fā)現(xiàn)終端不符合安全規(guī)定，需要對終端進行隔離或拒絕其訪問網(wǎng)絡(luò)資源，例如：發(fā)現(xiàn)是外來終端則拒絕接入或進入“

8、訪客區(qū)”網(wǎng)段，或者是內(nèi)部不符合安全規(guī)定的終端，則讓其進入“修復區(qū)”。第四步，安全通知：對被隔離的終端進行通知，告知其被隔離的原因，在訪問網(wǎng)頁資源時也會有相應(yīng)的安全通知告示。第五步，安全修復：自動引導被隔離的終端，讓其修復安全設(shè)置或者進行注冊登記，使得其可以正常訪問網(wǎng)絡(luò)資源。具備功能多樣式的身份認證提供自身用戶名、密碼身份認證，也支持與AD域、LDAP、USB-KEY、 短信等第三方身份認證系統(tǒng)進行聯(lián)動，保障身份認證功能的多樣化。豐富的安全檢查規(guī)范庫安全檢查規(guī)范做為準入控制系統(tǒng)對接入設(shè)備審核其安全性的依據(jù)，應(yīng)具有豐富性、完整性、擴充性。桌面終端安全準入控制系統(tǒng)應(yīng)該不僅已包含了補丁檢查、殺毒軟件檢

9、查、IP/MAC地址綁定檢查等常規(guī)安全檢查項，也包含了桌面客戶端運行狀態(tài)檢查、域用戶檢查、必須/禁止安裝軟件檢查等個性化安全檢查項，還可以根據(jù)用戶的實際需求進行擴充。同時桌面終端安全準入控制系統(tǒng)應(yīng)該根據(jù)不同的行業(yè)用戶對安全準入控制力度的不同，專門提供了標準行業(yè)入網(wǎng)規(guī)范庫使各行業(yè)用戶根據(jù)自身行業(yè)的需求來應(yīng)用安全檢查規(guī)范。智能、快速的安全修復桌面終端安全準入控制系統(tǒng)應(yīng)該為存在安全隱患的接入設(shè)備提供了智能、快速的“一鍵式”修復功能，避免因修復安全隱患的復雜性和專業(yè)性，使終端用戶面對漏洞而無從下手，導致不能及時接入網(wǎng)絡(luò)進行業(yè)務(wù)操作，同時也減少了管理員的工作量。靈活的訪問權(quán)限控制可根據(jù)接入設(shè)備當前安全狀

10、態(tài)或部門區(qū)域為其動態(tài)分配訪問權(quán)限，無需管理員干預，智能式劃分安全域。精細的行為審計相比于傳統(tǒng)準入控制系統(tǒng)而言，桌面終端安全準入控制系統(tǒng)應(yīng)該加強了對入網(wǎng)后設(shè)備行為的審計，防止因終端設(shè)備非法外聯(lián)、各終端之間互訪、私改私設(shè)IP等存在安全風險的違規(guī)行為，從而破壞網(wǎng)絡(luò)的健全性和數(shù)據(jù)的安全性。精確的統(tǒng)計報表桌面終端安全準入控制系統(tǒng)應(yīng)該收集接入設(shè)備的相關(guān)信息，對各檢查項數(shù)據(jù)進行統(tǒng)計分析并提供報表便于查看，管理員能一目了然地掌控全網(wǎng)的安全狀態(tài)。檢查項排行表 盈高TM多維終端安全管理平臺MSEP主要特點與優(yōu)勢1、更專業(yè)的安全準入控制多維終端安全管理平臺從網(wǎng)絡(luò)接入端點的安全控制入手，結(jié)合認證服務(wù)器，安全策略服務(wù)器

11、、補丁服務(wù)器和網(wǎng)絡(luò)設(shè)備，以及第三方軟件系統(tǒng)（防病毒）等，支持多種網(wǎng)絡(luò)強制認證方式，支持針對用戶的安全策略設(shè)置，以標準協(xié)議與網(wǎng)絡(luò)設(shè)備聯(lián)動，實現(xiàn)對用戶接入行為的控制，完成對接入終端用戶的強制認證和安全策略應(yīng)用，從而保障網(wǎng)絡(luò)安全。完備的系統(tǒng)安全性檢查通過多維終端安全管理平臺的安全檢查與加固，系統(tǒng)管理員可以對全網(wǎng)的終端設(shè)備建立各種安全檢查與評估任務(wù)，實時的了解目前網(wǎng)內(nèi)設(shè)備的風險狀況。通過圖形化的展示方式，管理員可以了解目前網(wǎng)內(nèi)處于安全和高、中、低等各個級別風險的設(shè)備比例，了解各個終端目前的具體風險情況，并且系統(tǒng)可以根據(jù)目前的風險情況，提出存在問題的原因和對如何進行修復提出修改的建議。全方位、細粒度行為

12、審計 公司員工隨意濫操作、誤操作甚至非法操作，不但給管理員的日常維護工作帶來極大的工作負擔，更可能引發(fā)嚴重的泄密安全事故。因此管理員可以將行政層面的員工規(guī)范通過多維終端安全管理平臺完全融合，通過多維終端安全管理平臺細粒度的管理策略從技術(shù)層面得到有效支撐，這樣不但可以合理分配員工的上網(wǎng)時間，規(guī)范員工行為、防止信息泄密，更能讓管理員做到事前預防、事中控制、事后審計，真正做到信息安全的全局把控。獨有的內(nèi)網(wǎng)補丁管理模式 對于一直困擾系統(tǒng)管理員的隔離內(nèi)網(wǎng)環(huán)境下系統(tǒng)補丁管理問題，多維終端安全管理平臺采用先通過外網(wǎng)中補丁服務(wù)器定制下載補丁，再使用補丁下載管理工具將補丁拷貝到內(nèi)網(wǎng)服務(wù)器補丁相應(yīng)目錄,采用獨有的

13、補丁包擺渡升級模式，便捷、完美的實現(xiàn)了客戶內(nèi)網(wǎng)補丁管理，再進行整個內(nèi)網(wǎng)的補丁升級，這樣極大的將管理員從繁雜、重復的工作中解放出來。 靈活多樣的統(tǒng)計報表 多維終端安全管理平臺完全從實際應(yīng)用出發(fā)，真正面向運維管理人員，從靈活、自動構(gòu)造報表到手工定義報表結(jié)構(gòu)，滿足了所有報表結(jié)構(gòu)與統(tǒng)計分析的要求。將傳統(tǒng)的統(tǒng)計報表變得輕而易舉、易如反掌，更使統(tǒng)計報表豐富多彩、復雜多變。多種、多級的告警模式 多維終端安全管理平臺采用多種類型告警方式，以方便管理員快捷、及時、準確的了解每個終端以及平臺自身的運行狀況。管理員不僅可以通過專用的告警查看器實時監(jiān)控，也可以更為方便直觀的在管理的web頁面中實時查看報警。還能對一些危險級別高的告警，多維終端安全管理平臺還提供了EMAIL、 短信等更為及時告警方式，以幫助管理員能夠在第一時間發(fā)現(xiàn)問題，并在詳盡的日志幫助快速準確定位問題、解決問題。系統(tǒng)更將不同的類別自動分級、分類在在系統(tǒng)的運行中會根據(jù)實際的情況產(chǎn)生各種報警，為了便于管理員及時迅速的了解這些系統(tǒng)意外狀況，多維終端安全管理平臺提供了豐富多樣的報警方式。深入系統(tǒng)內(nèi)核，確保終端穩(wěn)定和兼容性 多維終端安全管理平臺一般情況下占用cpu正常情況下3；內(nèi)存占用在5M以內(nèi)，盡可能對桌面終端用戶透明，不影響用戶的