[[190093]]

中國移動臺州分公司目前共有計算機終端3000多臺，由于長期以來缺乏有效的技術(shù)手段對計算機終端的設(shè)置情況進行有效管控，員工不按照規(guī)定進行安全防護，私自修改電腦安全設(shè)置、重裝系統(tǒng)，通過IE代理瀏覽與工作無關(guān)的網(wǎng)站，操作系統(tǒng)和屏保不設(shè)置密碼，不按規(guī)定進行安裝防毒軟件并更新最新病毒庫等現(xiàn)象時有發(fā)生。而內(nèi)網(wǎng)一旦發(fā)生問題，很容易導致企業(yè)其他正常網(wǎng)絡(luò)業(yè)務(wù)無法使用，因此，企業(yè)的終端安全問題對其管理及生產(chǎn)都至關(guān)重要。

1、終端安全管理需求

企業(yè)計算機終端安全現(xiàn)狀，迫切需要采取以下措施來加強對其進行安全管理。

1)加強主動防御控制管理，防止非授權(quán)、不安全的終端用戶接入受控網(wǎng)絡(luò)。

2)強制終端主機遵從安全策略，確保終端主機在接入受控網(wǎng)絡(luò)之前是安全的。

3)建立訪問權(quán)限管理機制，根據(jù)終端用戶的工作需要授予不同的訪問權(quán)限，保護企業(yè)核心網(wǎng)絡(luò)資源。

4)加強終端用戶的行為管理力度，保障終端用戶合理使用網(wǎng)絡(luò)資源。

5)主動加固終端主機，修復已經(jīng)發(fā)現(xiàn)的終端主機的安全漏洞，在終端主機上建立安全防范機制。

2、系統(tǒng)功能及特點

2.1 系統(tǒng)功能

中國移動臺州分公司部署的終端安全管理系統(tǒng)主要提供終端安全準入控制、終端安全管理、補丁管理、終端用戶管理、軟件分發(fā)、資產(chǎn)管理等六大功能。系統(tǒng)通過終端網(wǎng)絡(luò)準入控制，終端安全檢查、訪問控制和安全修復，有效控制包括企業(yè)員工、外部訪客、合作伙伴和臨時員工等對網(wǎng)絡(luò)的訪問，同時，系統(tǒng)還能夠隨時發(fā)現(xiàn)并隔離帶有威脅的終端主機，提升企業(yè)網(wǎng)絡(luò)防御安全威脅的能力。

2.2 系統(tǒng)特點

1)多種認證方式

系統(tǒng)支持公司域帳號、USB-Key、用戶系統(tǒng)等3種身份認證方式，實現(xiàn)對企業(yè)員工、外部訪客、合作伙伴和臨時員工等對網(wǎng)絡(luò)訪問的控制，保護內(nèi)部業(yè)務(wù)系統(tǒng)安全。

2)全面終端安全管理

系統(tǒng)通過檢查評估終端安全狀態(tài)，對于不符合安全設(shè)置要求的終端，能夠提供個性化的修復建議，并協(xié)助終端安裝各類補丁和必備的軟件，以確保終端達到企業(yè)終端安全設(shè)置要求，同時，對于存在重大安全隱患的終端、以及未授權(quán)的外部終端等系統(tǒng)能夠進行強制隔離。

3)精細的員工行為管理

系統(tǒng)能夠?qū)T工的網(wǎng)絡(luò)行為進行精細管理，主要包括：控制各種非法外連行為，控制網(wǎng)絡(luò)流量，控制Web訪問和IP訪問，進行地址解析協(xié)議防護，對文件操作進行監(jiān)控，對移動存儲設(shè)備進行管理，對進程/服務(wù)黑白名單和外設(shè)接口進行管理，并能夠?qū)T工違規(guī)行為進行審計和取證，規(guī)范員工合理使用網(wǎng)絡(luò)資源，防止網(wǎng)絡(luò)濫用與惡意破壞。

4)計算機資產(chǎn)管理

系統(tǒng)可自動收集終端軟、硬件資產(chǎn)信息，統(tǒng)計輸出企業(yè)計算機資產(chǎn)狀態(tài)報表。另外，系統(tǒng)通過跟蹤資產(chǎn)變更，輸出變更報表，實現(xiàn)資產(chǎn)管理IT化，保障企業(yè)信息資產(chǎn)可控可管。

5)系統(tǒng)部署靈活、方便

服務(wù)器部署靈活，支持集中式或分布式部署;控制網(wǎng)關(guān)支持在網(wǎng)絡(luò)設(shè)備上的串聯(lián)部署或者旁路部署，對企業(yè)現(xiàn)有網(wǎng)絡(luò)改動小，同時，控制網(wǎng)關(guān)也支持集中式或分布式部署，可滿足復雜網(wǎng)絡(luò)環(huán)境下的部署需要。

6)系統(tǒng)具備高可靠性，提供逃生通道和負載均衡

系統(tǒng)自身具有高可靠性，服務(wù)器采用資源池方式，提供負載均衡和冗余備份，并提供系統(tǒng)安全逃生通道，靈活選擇安全優(yōu)先或業(yè)務(wù)優(yōu)先，最大限度地保障企業(yè)業(yè)務(wù)的連續(xù)性。

7)軟件分發(fā)和補丁管理

對于計算機終端需要安裝的軟件，系統(tǒng)支持將軟件通過手工或按計劃分發(fā)到終端主機，并支持按部門、按操作系統(tǒng)、按IP地址段進行分發(fā)。系統(tǒng)支持與WSUS無縫集成，通過自動化補丁檢查，能夠及時、安全和準確地偵測系統(tǒng)漏洞，并幫助終端主機通過連接WSUS及時更新補丁，從而及時、主動消除各種安全缺口，避免由于系統(tǒng)漏洞帶來的終端安全威脅。

3、系統(tǒng)實施

3.1系統(tǒng)部署方式

終端安全管理系統(tǒng)由1臺硬件控制網(wǎng)關(guān)設(shè)備、1臺控制管理服務(wù)器組成。其中硬件控制網(wǎng)關(guān)設(shè)備采用旁路方式部署，不影響企業(yè)現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，不會增加網(wǎng)絡(luò)故障點，系統(tǒng)部署拓撲圖如圖1所示。

圖1 終端安全管理系統(tǒng)部署拓撲圖

3.2系統(tǒng)組件功能

1)控制網(wǎng)關(guān)

控制網(wǎng)關(guān)用于控制終端訪問網(wǎng)絡(luò)的權(quán)限，向隸屬不同角色及不同安全狀況的終端用戶開放不同的權(quán)限。主要包括以下功能：

n根據(jù)控制管理服務(wù)器反饋的信息，開放終端用戶訪問網(wǎng)絡(luò)的權(quán)限;

n防止外部非授權(quán)的終端用戶訪問企業(yè)的網(wǎng)絡(luò);

n防止內(nèi)部合法但不安全的終端用戶訪問企業(yè)的網(wǎng)絡(luò);

n隔離連接到企業(yè)網(wǎng)絡(luò)但沒有進行安全認證的終端用戶;

n當控制管理服務(wù)器發(fā)生嚴重故障，無法承擔正常的身份認證和安全認證時，控制管理服務(wù)器與控制網(wǎng)關(guān)之間的心跳協(xié)議能夠及時檢測故障并打開逃生通道，系統(tǒng)自動開放網(wǎng)絡(luò)的訪問權(quán)限，以保證業(yè)務(wù)正常開展。當心跳協(xié)議發(fā)現(xiàn)控制管理服務(wù)器從故障中恢復后，控制網(wǎng)關(guān)將會自動關(guān)閉逃生通道，安全接入控制機制重新生效。

2)控制管理服務(wù)器

管理員可以通過IE瀏覽器登錄管理服務(wù)器進行日常維護操作，進行網(wǎng)絡(luò)準入配置、組織人員管理、安全策略管理、補丁管理、軟件分發(fā)、資產(chǎn)管理、公告管理以及報表管理等操作。主要負責驗證終端用戶的身份，對終端主機進行安全檢查，以及與準入控制設(shè)備聯(lián)動實現(xiàn)最小授權(quán)的訪問控制等。

3.3系統(tǒng)工作方式

1)控制網(wǎng)關(guān)工作方式

中國移動臺州分公司2臺核心交換機分別通過2條1000Mb/s鏈路與控制網(wǎng)關(guān)互聯(lián)，通過在2臺核心交換機上設(shè)置策略路由將數(shù)據(jù)流引向控制網(wǎng)關(guān)。正常工作時，控制網(wǎng)關(guān)負責核心交換機所接用戶的準入控制，控制網(wǎng)關(guān)工作方式如圖2所示。

圖2控制網(wǎng)關(guān)工作方式圖

2)身份認證方式

中國移動臺州分公司終端安全管理系統(tǒng)主要采用PKI/CA數(shù)字證書與服務(wù)器聯(lián)動進行用戶身份認證，身份認證過程如下：

a)準入系統(tǒng)客戶端連接準入系統(tǒng)服務(wù)器，發(fā)出訪問請求，建立加密隧道;

b)服務(wù)器響應用戶請求，返回服務(wù)器證書，并要求客戶端提交用戶證書，客戶端調(diào)用證書處理模塊，驗證服務(wù)器證書來驗證系統(tǒng)服務(wù)器的身份;

c)服務(wù)器要求用戶使用證書進行登錄，客戶端自動調(diào)用證書處理模塊，實現(xiàn)USB-Key數(shù)字證書認證;

d)客戶端將用戶證書提交服務(wù)器，服務(wù)器接收到客戶端提交的證書后，調(diào)用證書驗證模塊，完成用戶證書的驗證;

e)通過證書驗證后服務(wù)器調(diào)用證書解析模塊，解析用戶證書，獲取用戶信息，并根據(jù)用戶信息，實現(xiàn)對用戶的訪問控制和安全控制。服務(wù)器身份認證結(jié)束后，認證結(jié)果有3種：

①用戶身份不合法，認證不通過;

②用戶身份合法，認證通過，但是計算機終端不符合安全標準;

③用戶身份合法，認證通過，且計算機終端符合安全標準。服務(wù)器會將認證結(jié)果同時反饋至計算機終端以及控制網(wǎng)關(guān)。圖3為中國移動臺州分公司終端網(wǎng)絡(luò)接入認證圖。

圖3 終端網(wǎng)絡(luò)接入認證圖

3)終端訪問控制

用戶身份認證完成后，控制網(wǎng)關(guān)將根據(jù)控制管理服務(wù)器提供的認證結(jié)果對相應計算機終端應用相應的控制策略，對于用戶身份不合法，認證不通過的終端用戶，只能訪問認證前域;對于用戶身份合法，但是計算機終端不符合安全標準的終端用戶，只能訪問隔離域;對于同時通過身份認證和安全認證的終端用戶，則能夠完全訪問認證后域，終端數(shù)據(jù)流量走向如圖4所示。

圖4 終端訪問控制圖

4、系統(tǒng)應用

終端安全管理系統(tǒng)投入使用后，滿足了中國移動臺州分公司對全局計算機終端的安全管理需求，通過在全局部署終端安全防護、系統(tǒng)加固、非法外聯(lián)、外設(shè)管理、網(wǎng)絡(luò)行為管理等安全策略，使企業(yè)所有聯(lián)網(wǎng)的計算機終端均達到了統(tǒng)一的安全設(shè)置標準，杜絕了計算機用戶有意無意違反企業(yè)計算機終端安全管理的相關(guān)規(guī)章制度。

同時，在用戶訪問網(wǎng)絡(luò)的整個過程中，終端安全管理系統(tǒng)均可實時對各項策略進行檢查，一旦發(fā)現(xiàn)與預定義的策略不符，系統(tǒng)可以及時改變該用戶訪問網(wǎng)絡(luò)資源的權(quán)限或者禁用該終端用戶接入網(wǎng)絡(luò)，從根本上防止用戶在網(wǎng)絡(luò)使用過程中隨意改變終端安全策略情況的發(fā)生，很好地滿足了中國移動臺州分公司計算機終端安全管理需求。圖5-8展示終端安全系統(tǒng)部分功能界面截圖。

圖5.網(wǎng)絡(luò)交換機端口狀態(tài)圖

圖6.終端設(shè)備準入記錄后臺表

圖7.終端設(shè)備信息統(tǒng)計圖

圖8.網(wǎng)絡(luò)終端資產(chǎn)分配圖

終端安全管理系統(tǒng)通過從網(wǎng)絡(luò)接入端點的安全控制入手，結(jié)合認證服務(wù)器、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及第三方軟件系統(tǒng)(病毒和系統(tǒng)補丁服務(wù)器)，來完成對接入終端用戶的強制認證和安全策略應用，保障網(wǎng)絡(luò)安全。系統(tǒng)解決了企業(yè)內(nèi)部存在的非法終端用戶接入、合法終端用戶越權(quán)訪問、終端用戶濫用資源、病毒泛濫、黑客惡意破壞、安全策略不能及時落實等問題，實現(xiàn)終端安全方案在企業(yè)的強制執(zhí)行，將來自企業(yè)內(nèi)部的安全威脅降至最低，大幅度提升了企業(yè)終端及網(wǎng)絡(luò)安全水平。