內(nèi)網(wǎng)安全管理整體防范的思考-安全準(zhǔn)入專家盈高

1、桌面終端安全準(zhǔn)入控制的思考 盈高TM多維終端安全管理平臺(tái)MSEP ,不容錯(cuò)過(guò)的選擇 摘要：過(guò)十幾年的發(fā)展，各縣級(jí)供電企業(yè)建立了相對(duì)完善的內(nèi)部局域網(wǎng)系統(tǒng)。在系統(tǒng)運(yùn)行過(guò)程中，面臨著來(lái)自局域網(wǎng)內(nèi)部以及外部的計(jì)算機(jī)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，在這種情況下，確保網(wǎng)絡(luò)的安全運(yùn)行，不僅要建立嚴(yán)密的計(jì)算機(jī)管理制度,還要從技術(shù)上加強(qiáng)安全措施以防止外部黑客的入侵和來(lái)自企業(yè)內(nèi)部的攻擊和威脅。桌面終端安全準(zhǔn)入控制系統(tǒng)可以在用戶接入網(wǎng)絡(luò)前，通過(guò)統(tǒng)一管理的安全策略檢查用戶終端的安全健康狀態(tài)，并根據(jù)對(duì)用戶桌面安全狀態(tài)的檢查結(jié)果實(shí)施是否接入，對(duì)不符合安全標(biāo)準(zhǔn)的用戶進(jìn)行“隔離”并強(qiáng)制用戶進(jìn)行病毒庫(kù)升級(jí)、系統(tǒng)補(bǔ)丁安裝等操作；在保證用戶終端具

2、備自防御能力并安全接入的前提下，可以通過(guò)動(dòng)態(tài)分配ACL、VLAN等合理控制用戶的網(wǎng)絡(luò)權(quán)限，從而提升網(wǎng)絡(luò)的整體安全。關(guān)鍵字:安全準(zhǔn)入控制、隔離、風(fēng)險(xiǎn)控制、管理目前在縣級(jí)供電企業(yè)，已經(jīng)實(shí)施多種網(wǎng)絡(luò)安全產(chǎn)品，如Symantec 企業(yè)版病毒防護(hù)系統(tǒng)、微軟補(bǔ)丁分發(fā)產(chǎn)品WSUS補(bǔ)丁更新系統(tǒng)，今年初，國(guó)網(wǎng)統(tǒng)一部署了桌面終端管理系統(tǒng)，國(guó)網(wǎng)公司部署中心服務(wù)器，省公司部署一級(jí)服務(wù)器，市局部署二級(jí)服務(wù)器，并給縣級(jí)供電企業(yè)提供一個(gè)管理客戶端，實(shí)現(xiàn)對(duì)接入終端的外聯(lián)管理、外設(shè)管理、資產(chǎn)管理、遠(yuǎn)程運(yùn)維、協(xié)議管理等。在統(tǒng)一的管理和控制策略下，使縣級(jí)供電企業(yè)對(duì)終端初步具有可管理性。同時(shí)，國(guó)網(wǎng)公司通過(guò)定期下發(fā)各類管理和安全檢查等

3、策略，對(duì)縣級(jí)供電企業(yè)的終端安全進(jìn)行定期抽查。通過(guò)這套系統(tǒng)，一方面解決了數(shù)量眾多的計(jì)算機(jī)的安全、管理、維護(hù)問(wèn)題，降低了單位的基礎(chǔ)設(shè)施構(gòu)建成本，另一方面保障了數(shù)據(jù)信息的安全。雖然縣級(jí)供電企業(yè)在內(nèi)網(wǎng)終端安全方面做了很多工作，部署了防火墻、安全VLAN的劃分、剛實(shí)施的內(nèi)外網(wǎng)物理隔離、Symantec 企業(yè)版病毒防護(hù)系統(tǒng)、補(bǔ)丁統(tǒng)一更新系統(tǒng)、以及國(guó)網(wǎng)統(tǒng)一部署的桌面終端管理系統(tǒng)，但是，對(duì)類似下面的安全問(wèn)題是否做到真正意義上的解決：是否已經(jīng)做到真正的隔離？目前在縣級(jí)供電企業(yè)實(shí)現(xiàn)了內(nèi)外網(wǎng)的物理隔離，但無(wú)法從技術(shù)手段來(lái)判斷并杜絕內(nèi)網(wǎng)計(jì)算機(jī)連接外網(wǎng)。終端接入可控嗎？雖然縣級(jí)供電企業(yè)已經(jīng)有一套IP與MAC綁定的系統(tǒng)，

4、但是我們可以偽造IP與MAC信息接入網(wǎng)絡(luò)。雖然作了物理隔離，可是正常工作中還是經(jīng)常會(huì)碰到外來(lái)計(jì)算機(jī)，如何來(lái)控制接入及做接入前管控？怎么樣可以做到很靈活的終端接入審查呢？在系統(tǒng)正常運(yùn)行之后所有接入網(wǎng)絡(luò)的終端如何做到只有通過(guò)管理員審查批準(zhǔn)才可以接入呢？目前縣級(jí)供電企業(yè)接入終端為數(shù)眾多，分布地域很廣，接入計(jì)算機(jī)密碼過(guò)于簡(jiǎn)單，管理人員、不知道哪些計(jì)算機(jī)未安裝殺毒軟件或安裝了沒(méi)有及時(shí)更新病毒庫(kù)，信息管理人員如何及時(shí)發(fā)現(xiàn)計(jì)算機(jī)的安全漏洞，提供用戶更改密碼，安裝殺毒軟件，更新病毒庫(kù)等，以保障系統(tǒng)不因?yàn)槿蹩诹畹脑虮徊《竞秃诳凸?？怎么?duì)終端進(jìn)行強(qiáng)制的安全加固？通過(guò)桌面終端管理系統(tǒng)，管理人員對(duì)計(jì)算機(jī)終端的安全

5、隱患將更加了解，但終端使用人員操作水平參差不齊，如何來(lái)保證計(jì)算機(jī)的操作系統(tǒng)沒(méi)有漏洞，補(bǔ)丁全部打齊，殺毒軟件版本及病毒庫(kù)都更新到最新以及賬號(hào)密碼具有一定強(qiáng)度的呢？終端計(jì)算機(jī)如果需要修復(fù)怎么辦？如何保證接入終端是處于健康狀態(tài)的，如果保障存在安全隱患的終端的安全修復(fù)，甚至強(qiáng)制讓接入終端修復(fù)其安全隱患呢？如何將異常狀態(tài)的終端快速隔離？如何快速有效的定位網(wǎng)絡(luò)中病毒、黑客的引入點(diǎn)，快速、安全的切斷安全事件發(fā)生點(diǎn)和相關(guān)網(wǎng)絡(luò)？為了解決上述問(wèn)題，從源頭杜絕安全隱患，應(yīng)該未雨綢繆，需要部署一套完整的終端安全準(zhǔn)入控制系統(tǒng)。準(zhǔn)入控制系統(tǒng)是防止病毒、蠕蟲(chóng)甚至人為破壞等技術(shù)和行為對(duì)企業(yè)網(wǎng)絡(luò)安全造成的危害。借助準(zhǔn)入控制系統(tǒng)

6、，可以只允許合法的、值得信任的端點(diǎn)設(shè)備接入網(wǎng)絡(luò)，而不允許其他設(shè)備接入。在初始階段，當(dāng)端點(diǎn)設(shè)備進(jìn)入網(wǎng)絡(luò)時(shí)，準(zhǔn)入控制系統(tǒng)能夠?qū)嵤┰L問(wèn)權(quán)限。準(zhǔn)入控制系統(tǒng)的接入規(guī)則可以根據(jù)端點(diǎn)設(shè)備的信息制定，例如設(shè)備的當(dāng)前防病毒狀況以及操作系統(tǒng)補(bǔ)丁等。準(zhǔn)入控制系統(tǒng)將按照客戶制定的策略實(shí)行相應(yīng)的準(zhǔn)入控制決策：允許、拒絕、隔離或限制.作為終端安全管理整體解決方案, 縣級(jí)供電企業(yè)已經(jīng)部署了桌面管理系統(tǒng)，但無(wú)有效地技術(shù)手段控制客戶端的準(zhǔn)入控制；同時(shí)，對(duì)于桌面管理系統(tǒng)采集上來(lái)的安全隱患，也沒(méi)有強(qiáng)制手段保證終端及時(shí)有效的加固。因此終端安全準(zhǔn)入控制系統(tǒng)建設(shè)重要性突顯出來(lái)，與桌面管理系統(tǒng)同時(shí)作為整體方案的兩塊重要部分，二者缺一不可。

7、端點(diǎn)準(zhǔn)入控制系統(tǒng)的主要功能：一個(gè)完整的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，在終端設(shè)備接入時(shí)，應(yīng)該提供以下五步檢查和控制流程，缺少其中一個(gè)方面的內(nèi)容，就不是完善的準(zhǔn)入解決方案，都無(wú)法達(dá)到完整的安全風(fēng)險(xiǎn)控制、預(yù)防和響應(yīng)要求，會(huì)給準(zhǔn)入控制系統(tǒng)的部署和推廣使用帶來(lái)問(wèn)題。第一步，注冊(cè)登記：內(nèi)部終端要訪問(wèn)網(wǎng)絡(luò)資源之前，需要在網(wǎng)絡(luò)上注冊(cè)登記（用戶賬戶登記、終端ID注冊(cè)等），取得接入網(wǎng)絡(luò)的權(quán)限。第二步，接入檢查：終端在接入網(wǎng)絡(luò)時(shí)，準(zhǔn)入控制系統(tǒng)會(huì)檢查其用戶賬戶、安全設(shè)置狀態(tài)、終端硬件合法性等。第三步，安全隔離：如果在接入檢查時(shí)，發(fā)現(xiàn)終端不符合安全規(guī)定，需要對(duì)終端進(jìn)行隔離或拒絕其訪問(wèn)網(wǎng)絡(luò)資源，例如：發(fā)現(xiàn)是外來(lái)終端則拒絕接入或進(jìn)入“

8、訪客區(qū)”網(wǎng)段，或者是內(nèi)部不符合安全規(guī)定的終端，則讓其進(jìn)入“修復(fù)區(qū)”。第四步，安全通知：對(duì)被隔離的終端進(jìn)行通知，告知其被隔離的原因，在訪問(wèn)網(wǎng)頁(yè)資源時(shí)也會(huì)有相應(yīng)的安全通知告示。第五步，安全修復(fù)：自動(dòng)引導(dǎo)被隔離的終端，讓其修復(fù)安全設(shè)置或者進(jìn)行注冊(cè)登記，使得其可以正常訪問(wèn)網(wǎng)絡(luò)資源。具備功能多樣式的身份認(rèn)證提供自身用戶名、密碼身份認(rèn)證，也支持與AD域、LDAP、USB-KEY、 短信等第三方身份認(rèn)證系統(tǒng)進(jìn)行聯(lián)動(dòng)，保障身份認(rèn)證功能的多樣化。豐富的安全檢查規(guī)范庫(kù)安全檢查規(guī)范做為準(zhǔn)入控制系統(tǒng)對(duì)接入設(shè)備審核其安全性的依據(jù)，應(yīng)具有豐富性、完整性、擴(kuò)充性。桌面終端安全準(zhǔn)入控制系統(tǒng)應(yīng)該不僅已包含了補(bǔ)丁檢查、殺毒軟件檢

9、查、IP/MAC地址綁定檢查等常規(guī)安全檢查項(xiàng)，也包含了桌面客戶端運(yùn)行狀態(tài)檢查、域用戶檢查、必須/禁止安裝軟件檢查等個(gè)性化安全檢查項(xiàng)，還可以根據(jù)用戶的實(shí)際需求進(jìn)行擴(kuò)充。同時(shí)桌面終端安全準(zhǔn)入控制系統(tǒng)應(yīng)該根據(jù)不同的行業(yè)用戶對(duì)安全準(zhǔn)入控制力度的不同，專門(mén)提供了標(biāo)準(zhǔn)行業(yè)入網(wǎng)規(guī)范庫(kù)使各行業(yè)用戶根據(jù)自身行業(yè)的需求來(lái)應(yīng)用安全檢查規(guī)范。智能、快速的安全修復(fù)桌面終端安全準(zhǔn)入控制系統(tǒng)應(yīng)該為存在安全隱患的接入設(shè)備提供了智能、快速的“一鍵式”修復(fù)功能，避免因修復(fù)安全隱患的復(fù)雜性和專業(yè)性，使終端用戶面對(duì)漏洞而無(wú)從下手，導(dǎo)致不能及時(shí)接入網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)操作，同時(shí)也減少了管理員的工作量。靈活的訪問(wèn)權(quán)限控制可根據(jù)接入設(shè)備當(dāng)前安全狀

10、態(tài)或部門(mén)區(qū)域?yàn)槠鋭?dòng)態(tài)分配訪問(wèn)權(quán)限，無(wú)需管理員干預(yù)，智能式劃分安全域。精細(xì)的行為審計(jì)相比于傳統(tǒng)準(zhǔn)入控制系統(tǒng)而言，桌面終端安全準(zhǔn)入控制系統(tǒng)應(yīng)該加強(qiáng)了對(duì)入網(wǎng)后設(shè)備行為的審計(jì)，防止因終端設(shè)備非法外聯(lián)、各終端之間互訪、私改私設(shè)IP等存在安全風(fēng)險(xiǎn)的違規(guī)行為，從而破壞網(wǎng)絡(luò)的健全性和數(shù)據(jù)的安全性。精確的統(tǒng)計(jì)報(bào)表桌面終端安全準(zhǔn)入控制系統(tǒng)應(yīng)該收集接入設(shè)備的相關(guān)信息，對(duì)各檢查項(xiàng)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析并提供報(bào)表便于查看，管理員能一目了然地掌控全網(wǎng)的安全狀態(tài)。檢查項(xiàng)排行表 盈高TM多維終端安全管理平臺(tái)MSEP主要特點(diǎn)與優(yōu)勢(shì)1、更專業(yè)的安全準(zhǔn)入控制多維終端安全管理平臺(tái)從網(wǎng)絡(luò)接入端點(diǎn)的安全控制入手，結(jié)合認(rèn)證服務(wù)器，安全策略服務(wù)器

11、、補(bǔ)丁服務(wù)器和網(wǎng)絡(luò)設(shè)備，以及第三方軟件系統(tǒng)（防病毒）等，支持多種網(wǎng)絡(luò)強(qiáng)制認(rèn)證方式，支持針對(duì)用戶的安全策略設(shè)置，以標(biāo)準(zhǔn)協(xié)議與網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)，實(shí)現(xiàn)對(duì)用戶接入行為的控制，完成對(duì)接入終端用戶的強(qiáng)制認(rèn)證和安全策略應(yīng)用，從而保障網(wǎng)絡(luò)安全。完備的系統(tǒng)安全性檢查通過(guò)多維終端安全管理平臺(tái)的安全檢查與加固，系統(tǒng)管理員可以對(duì)全網(wǎng)的終端設(shè)備建立各種安全檢查與評(píng)估任務(wù)，實(shí)時(shí)的了解目前網(wǎng)內(nèi)設(shè)備的風(fēng)險(xiǎn)狀況。通過(guò)圖形化的展示方式，管理員可以了解目前網(wǎng)內(nèi)處于安全和高、中、低等各個(gè)級(jí)別風(fēng)險(xiǎn)的設(shè)備比例，了解各個(gè)終端目前的具體風(fēng)險(xiǎn)情況，并且系統(tǒng)可以根據(jù)目前的風(fēng)險(xiǎn)情況，提出存在問(wèn)題的原因和對(duì)如何進(jìn)行修復(fù)提出修改的建議。全方位、細(xì)粒度行為

12、審計(jì) 公司員工隨意濫操作、誤操作甚至非法操作，不但給管理員的日常維護(hù)工作帶來(lái)極大的工作負(fù)擔(dān)，更可能引發(fā)嚴(yán)重的泄密安全事故。因此管理員可以將行政層面的員工規(guī)范通過(guò)多維終端安全管理平臺(tái)完全融合，通過(guò)多維終端安全管理平臺(tái)細(xì)粒度的管理策略從技術(shù)層面得到有效支撐，這樣不但可以合理分配員工的上網(wǎng)時(shí)間，規(guī)范員工行為、防止信息泄密，更能讓管理員做到事前預(yù)防、事中控制、事后審計(jì)，真正做到信息安全的全局把控。獨(dú)有的內(nèi)網(wǎng)補(bǔ)丁管理模式 對(duì)于一直困擾系統(tǒng)管理員的隔離內(nèi)網(wǎng)環(huán)境下系統(tǒng)補(bǔ)丁管理問(wèn)題，多維終端安全管理平臺(tái)采用先通過(guò)外網(wǎng)中補(bǔ)丁服務(wù)器定制下載補(bǔ)丁，再使用補(bǔ)丁下載管理工具將補(bǔ)丁拷貝到內(nèi)網(wǎng)服務(wù)器補(bǔ)丁相應(yīng)目錄,采用獨(dú)有的

13、補(bǔ)丁包擺渡升級(jí)模式，便捷、完美的實(shí)現(xiàn)了客戶內(nèi)網(wǎng)補(bǔ)丁管理，再進(jìn)行整個(gè)內(nèi)網(wǎng)的補(bǔ)丁升級(jí)，這樣極大的將管理員從繁雜、重復(fù)的工作中解放出來(lái)。 靈活多樣的統(tǒng)計(jì)報(bào)表 多維終端安全管理平臺(tái)完全從實(shí)際應(yīng)用出發(fā)，真正面向運(yùn)維管理人員，從靈活、自動(dòng)構(gòu)造報(bào)表到手工定義報(bào)表結(jié)構(gòu)，滿足了所有報(bào)表結(jié)構(gòu)與統(tǒng)計(jì)分析的要求。將傳統(tǒng)的統(tǒng)計(jì)報(bào)表變得輕而易舉、易如反掌，更使統(tǒng)計(jì)報(bào)表豐富多彩、復(fù)雜多變。多種、多級(jí)的告警模式 多維終端安全管理平臺(tái)采用多種類型告警方式，以方便管理員快捷、及時(shí)、準(zhǔn)確的了解每個(gè)終端以及平臺(tái)自身的運(yùn)行狀況。管理員不僅可以通過(guò)專用的告警查看器實(shí)時(shí)監(jiān)控，也可以更為方便直觀的在管理的web頁(yè)面中實(shí)時(shí)查看報(bào)警。還能對(duì)一些危險(xiǎn)級(jí)別高的告警，多維終端安全管理平臺(tái)還提供了EMAIL、 短信等更為及時(shí)告警方式，以幫助管理員能夠在第一時(shí)間發(fā)現(xiàn)問(wèn)題，并在詳盡的日志幫助快速準(zhǔn)確定位問(wèn)題、解決問(wèn)題。系統(tǒng)更將不同的類別自動(dòng)分級(jí)、分類在在系統(tǒng)的運(yùn)行中會(huì)根據(jù)實(shí)際的情況產(chǎn)生各種報(bào)警，為了便于管理員及時(shí)迅速的了解這些系統(tǒng)意外狀況，多維終端安全管理平臺(tái)提供了豐富多樣的報(bào)警方式。深入系統(tǒng)內(nèi)核，確保終端穩(wěn)定和兼容性 多維終端安全管理平臺(tái)一般情況下占用cpu正常情況下3；內(nèi)存占用在5M以內(nèi)，盡可能對(duì)桌面終端用戶透明，不影響用戶的