企業(yè)網(wǎng)中計算機終端安全管理體系研究

企業(yè)網(wǎng)中計算機終端安全管理體系研究祖峰北京郵電大學計算機科學與技術系,北京(100876E-mail:摘要:計算機終端是大多數(shù)用戶訪問網(wǎng)絡和數(shù)據(jù)的工具,但是許多組織卻在信息安全管理及部署中忽略了對終端的控制,通常一個企業(yè)或組織會把安全精力集中放在部署防火墻等邊界安全防護上來保護其內(nèi)部數(shù)據(jù)不受外來入侵者的非法訪問,卻因為對計算機終端的管理不善而造成數(shù)據(jù)丟失或系統(tǒng)被入侵。這篇文章提供企業(yè)網(wǎng)計算機終端安全管理體系結(jié)構(gòu),可以實現(xiàn)對計算機終端安全的整體管理以降低風險。關鍵詞:終端管理,終端安全,計算機終端1.引言隨著近年來企業(yè)的信息化過程越來越迅速,信息安全問題也逐步被重視,但現(xiàn)今人們主要把焦點都集中在網(wǎng)絡邊界的防護上,而研究表明信息安全問題事件的大多數(shù)原因是由于對網(wǎng)絡內(nèi)部IT終端的管理不善而造成的,據(jù)CERT報道有九成以上的安全問題是由于計算機終端系統(tǒng)的脆弱性及配置不當造成的,諸如缺少補丁,脆弱的用戶名密碼或開啟不必要的服務等,可見計算機終端的安全管理已經(jīng)成為信息安全的最大潛在威脅。網(wǎng)絡安全呈現(xiàn)出了新的發(fā)展趨勢,安全戰(zhàn)場已經(jīng)逐步由對核心與主干的防護,轉(zhuǎn)向?qū)W(wǎng)絡邊緣的每一個終端的管理。2.體系架構(gòu)ISO27001[1]標準是簡歷信息安全管理系統(tǒng)的一套需求規(guī)范,其中詳細的說明了建立、實施和維護信息安全管理體系的要求,指出實施機構(gòu)應該遵循的風險評估標準。通過資產(chǎn)評估及風險評估后,對當前的安全狀況有了總體的認識和明確的目標,然后有重點有預防的來制定和建立相應的安全機制,以達到增強計算機終端系統(tǒng)的整體安全性。2.1總體結(jié)構(gòu)圖1計算機終端安全管理的總體設計結(jié)構(gòu)基于ISO27001的管理與技術相結(jié)合的思想,總體結(jié)構(gòu)如圖1所示。終端管理系統(tǒng)將實現(xiàn)管理支撐、終端設備支撐、技術支撐,包括以下三個方面:z建設終端支持管理平臺;z實現(xiàn)終端的安全管理;z建立規(guī)范化的終端運行維護管理制度、管理流程以及服務支持體系。本文主要詳細介紹終端支持管理平臺的設計與實現(xiàn)。3.終端支持管理平臺實現(xiàn)圖2終端支持管理平臺終端支持管理平臺是實現(xiàn)終端管理的基礎性平臺,其基本架構(gòu)如圖2所示,終端支持管理平臺通過基礎網(wǎng)絡對終端實現(xiàn)有效的安全管理策略,同時也可以對基礎網(wǎng)絡和服務實現(xiàn)支撐功能。系統(tǒng)管理員對終端安全管理平臺進行系統(tǒng)運行管理,包括系統(tǒng)配置、系統(tǒng)管理、系統(tǒng)運行報告、故障告警等;終端支持管理平臺主要有域管理,接入控制,補丁管理和運行監(jiān)控等功能,同時提供與跟其它系統(tǒng)的接口。3.1域管理系統(tǒng)域管理系統(tǒng)可以實現(xiàn)用戶和終端管理,提供對用戶、應用程序和設備的單一、一致性的管理點,加強終端安全性[2]。并且向用戶提供單一的網(wǎng)絡資源登錄,為管理員提供強大、一致性的工具以使他們能夠管理為內(nèi)部計算機用戶、遠程撥號用戶以及外部客戶提供的安全服務。域管理是實施服務器管理、終端管理的基礎,也為財務、人事、電子郵件、企業(yè)信息門戶、辦公自動化、防病毒系統(tǒng)等各種應用系統(tǒng)提供支持,是安全體系建設的基礎。在通常的設計中有單域和多域兩種域模型可以考慮,如表1所示。對于不同企業(yè)規(guī)?？筛鶕?jù)自身需求進行設計。表1單域與多域比較域管理系統(tǒng)可采用windows的活動目錄系統(tǒng)(ActiveDirectory。ActiveDirectory是面向WindowsStandardServer、WindowsEnterpriseServer以及WindowsDatacenterServer的目錄服務。ActiveDirectory存儲了有關網(wǎng)絡對象的信息,并且讓管理員和用戶能夠輕松地查找和使用這些信息。ActiveDirectory使用了一種結(jié)構(gòu)化的數(shù)據(jù)存儲方式,并以此作為基礎對目錄信息進行合乎邏輯的分層組織。目錄域主要實現(xiàn)如下功能[3]:z基礎網(wǎng)絡服務:包括DNS、WINS、DHCP、證書服務等。z服務器及客戶端計算機管理:管理服務器及客戶端計算機帳戶,所有服務器及客戶端計算機加入域管理并實施組策略。z用戶服務:管理用戶域帳戶、用戶信息、企業(yè)通訊錄(與電子郵件系統(tǒng)集成、用戶組管理、用戶身份認證、用戶授權管理等。z資源管理:管理打印機、文件共享服務等網(wǎng)絡資源。z桌面配置:系統(tǒng)管理員可以集中的配置各種桌面配置策略,如:界面功能的限制、應用程序執(zhí)行特征限制、網(wǎng)絡連接限制、安全配置限制等。z應用系統(tǒng)支撐:支持財務、人事、電子郵件、企業(yè)信息門戶、辦公自動化、補丁管理、防病毒系統(tǒng)等各種應用系統(tǒng)。3.2終端接入保護系統(tǒng)接入防護主要解決桌面對于網(wǎng)絡資源的使用問題。網(wǎng)絡資源包括局域網(wǎng)絡和VPN網(wǎng)絡。網(wǎng)絡資源是承載所有信息化應用的平臺,這個資源的合法合理使用,有利于保證整個信息化系統(tǒng)的正常運轉(zhuǎn)。在目前的網(wǎng)絡資源使用中,有如下突出問題需要解決:非企業(yè)終端資產(chǎn)的計算機使用網(wǎng)絡資源,例如外來辦事的人員隨意使用局域網(wǎng)資源。企業(yè)內(nèi)部終端資產(chǎn)的計算機在使用網(wǎng)絡資源時,感染病毒,并且成為病毒源,利用局域網(wǎng)絡大量發(fā)送病毒信息,干擾正常的網(wǎng)絡資源使用。通過VPN網(wǎng)絡使用企業(yè)信息化應用時,往往使用筆記本或者家庭中的計算機,這些計算機如果沒有防病毒軟件以及及時補丁的保護,會造成病毒從VPN網(wǎng)絡攻擊到內(nèi)部信息化應用。終端接入控制流程如圖3所示:圖3接入控制流程當計算機接入企業(yè)網(wǎng)絡時,系統(tǒng)會對計算機終端進行安全檢查,安裝在計算機上的網(wǎng)絡接入保護客戶端自動啟動終端檢查過程,檢查的項目包括:z補丁的安裝情況:Windows系統(tǒng)的各種補丁是否按照企業(yè)的要求安裝。z防病毒軟件的安裝情況:防病毒軟件是否按照企業(yè)的要求安裝。z病毒代碼庫的更新情況:病毒代碼庫是否是最新的。z防火墻的配置情況:是否開啟了計算機防火墻功能。z特定服務的運行狀況:計算機上的一些服務是否正常啟動。z計算機或者用戶所屬的組:計算機或用戶是否屬于允許接入的安全組。z時間:計算機時鐘是否正確。計算機通過了健康狀態(tài)認證后,計算機可以正常接入企業(yè)內(nèi)部網(wǎng)絡,可以訪問內(nèi)部資源:文件、應用、內(nèi)部網(wǎng)站等。如果計算機沒有得到認可,計算機將被限制在控制區(qū)域內(nèi),進行修補服務,不能訪問任何企業(yè)內(nèi)部資源,直到修補完成,具備健康接入的條件后,重新接入。3.3補丁管理系統(tǒng)為重點解決網(wǎng)絡安全的“常見病”、“多發(fā)病”,同時適應網(wǎng)絡安全需求的動態(tài)變化性,需要隨時掌握網(wǎng)絡安全的最新信息,在對系統(tǒng)漏洞進行掃描的基礎上,對終端和服務器進行補丁管理。補丁管理的功能主要包括補丁掃描、補丁分發(fā)和安裝、軟硬件資產(chǎn)信息收集、軟件分發(fā)和遠程支持等功能。補丁管理平臺的主要實現(xiàn)如下功能:z安全補丁漏洞掃描系統(tǒng)可以提供對管理范圍內(nèi)的終端進行定期的、自動的補丁漏洞掃描,掃描范圍包括大部分常用軟件。z補丁分發(fā)和安裝系統(tǒng)可以提供操作系統(tǒng)、Office系統(tǒng)、以及其他應用程序的補丁下載、打包、分發(fā)和安裝。并能夠有效監(jiān)控補丁安全的狀態(tài)信息。z遠程支持補丁管理平臺還需要提供遠程桌面終端的協(xié)助功能。補丁管理平臺要為系統(tǒng)管理員提供豐富的遠程診斷、遠程幫助工具,使得系統(tǒng)管理員能夠?qū)Ξ惖氐慕K端系統(tǒng)進行遠程診斷、修復。z軟件分發(fā)補丁管理平臺在提供安全補丁包分發(fā)外,還需要提供其他軟件包分發(fā)的功能,以滿足企業(yè)的應用軟件和數(shù)據(jù)文件的分發(fā)需求。補丁管理系統(tǒng)可采用SystemsManagementServer實現(xiàn)。SMS提供了集中式修改與配置管理解決方案,以幫助組織機構(gòu)針對由基于Windows操作系統(tǒng)的PC設備構(gòu)成的各種規(guī)模的部署方式進行管理,補丁管理與軟件分發(fā)過程如下所示:圖4補丁管理流程補丁管理流程說明(如圖4所示:工具安裝階段:將掃描工具同步組件安裝到擔當同步任務服務器上,同時也下發(fā)給終端;同步階段:同步服務器通過Internet從微軟不定發(fā)布網(wǎng)站下載最新的補丁公告列表,并將將最新的布丁公告列表下發(fā)給終端;更新階段:終端在接到最新的補丁公告列表后,自動評估自身是否存在漏洞,然后將評估列表反饋給同步服務器,同步服務器根據(jù)反饋情況下載需要更新的補丁軟件,然后打包下發(fā)給客戶端;圖5軟件分發(fā)流程軟件分發(fā)流程:如圖5所示,系統(tǒng)管理員根據(jù)需要制作分發(fā)軟件包,存放到發(fā)布存儲服務器上,然后通告終端到指定的服務器上去獲取軟件包,軟件包的安裝支持網(wǎng)絡安裝和下載到本地安裝兩種模式。3.4平臺監(jiān)控