【关键词】准入控制技术 计算机 网络终端
1 前言
近年来,计算机网络技术的发展速度日益加快,计算机网络技术在人们日常的生活和工作中都得到了广泛的运用,虽然给人们的生活和工作带了很多的方便,也给网络终端的安全管理带来了极大的挑战,网络终端经常受到各种恶意程序的感染和攻击,对网络终端的安全运行造成影响。因此,在各类终端接入到网络前,就应该对其身份进行严格的认证,对终端进行严格的安全检查,以确保网络运行的安全。而网络准入控制技术就是在此基础上产生的,是一种新型的网络安全管理方案,该项技术对身份认证、网络控制以及终端安全等进行了有效的整合,大幅度提高了现代计算机网络运行的安全性。
2 准入控制技术的基本原理
2.1 准入控制技术的理念
有关的统计数据显示,计算机网络攻击多数是因为用户使用终端时不规范或系统的安全级别较低造成的,许多网络的安全管理模式依然还是比较注重边界防控与保护,把安全防护的重点放在了内外网的边界。但是随着网络接入方式的多样化,计算机网络边界的动态变化速度日益加快,边界防护中存在着许多的问题。而准入控制技术就是通过多样化的控制方式,发挥准入技术的功能优势,从保护对象与开发模式进行明确划分,通过网络与终端两方面的可信接入控制,前者主要是把网络视作为可信主体,终端接入作为不可信任的主体,以此来确保各类终端接入到网络之后,网络系统运行的安全性。
2.2 准入控制技术的运行机制
准入控制是一种主动型的网络安全管理技术,注重主动防御的功能,以此来提高网络系统的安全性。准入控制技术可以在终端接入到网络之前,便对终端身份进行严格认证,对终端的安全性进行确认,最终只让可信,并且与相关的安全策略符合的终端才能访问网络,而不符合安全策略的终端设备则不允许接入,或者把终端设备先放到隔离区进行修复或者对其可访问的资源进行限制。
2.3 准入控制技术的系统框架
计算机网络终端准入控制技术的核心概念,就是从以网络终端接入的安全着手,对身份认证、安全策略的执行以及网络设备联动进行有效的结合,加上第三方软件控制系统,对终端接入进行强行认证,并严格落实各项安全策略,以此来确保整个网络系统运行的安全性。目前,大部分准入控制方案都是由三个逻辑部件组成,分别是策略实施构件、接入请求构件(AR)及策略决定部构件,而具体的应用过程中,还包括特定的第三方服务构件。
3 准入控制技术在计算机网终端中的应用
3.1 在网络安全检查中的应用
(1)账户检查,对网络接入终端的用户名与密码进行严格的检查,以免不法分子私自安装上相同的Agent之后,私自接入网络。
(2)严格规范安全设置,包括终端安全设置,系统账户检查,检查Guest账户与弱口令,检查Windows域,检查网络终端有没有加入相关的Windows域域,对可写的共享设置进行检查,对终端有无设置可写或无权限限定的可写共享进行检查,查看终端系统中是否安全了补丁软件,对终端内部的防病毒软件安装情况与升级情况进行检查,对终端中存在危险性的注册表项进行检查,检查终端内是否有危险文件和有无安装一些非法性软件。
(3)对终端注册ID进行严格的检查,查看终端内部是否有其他的网络注册或者登记过,检查网络接入的终端是否与相关的接入安全管理规范相符,以防止可疑终端的接入。
3.2 在网络安全管理与控制中的运用
3.2.1 安全加固
准入控制技术可以对网络接入终端的账户和屏保口令、共享目录以及自动加载服务进行安全加固,以强制性的方式将与终端安全管理规范相关的防病毒软件强制接入,并对病毒特征库进行更新,且自动安装上最新的终端补丁包,可有效提高终端的抗攻击能力。
3.2.2 安全评估
准入控制技术可以对连网终端的运行的状态与安全设置进行准确评估,让管理人员可以对终端安全策略进行自动定义,例如账户口令是否是强制性口令,目录是否存在可写共享,是否曾运行过危险程序或者危险软件,是否安装了最新的补丁包、防病毒软件、病毒特征库的更新情况以及终端网络的具体访问流量等。
3.2.3 安全审计
准入控制技术可以对网络内部各个终端设备的网络访问与操作行为进行安全审计,对终端的文件拷贝、FTP、mail以及互联网访问的行为等进行全方位审计,对终端内部有没有运行过非法软件进行审计,是否存在未经允许就可以自动对计算机中的软件与硬件配置进行更改的软件,一旦在评估与审计过程中发现问题,管理人员可以随时对终端进行集中设置与管理,以集中控制的方式对终端内部各类批量信息进行统计与查询,如策略的分发,以集中、分组以及批量处理的方式,对计算机终端的安全设置情况与状态进行检查,并分发补丁管理与软件,以此来减少终端管理人员的工作量。例如,远程控制功能,可以让终端系统的维护人员能够以远程方式对终端设备进行控制与保护。设备定位功能,可以让管理人员能够对接入网络终端设备进行快速的定位,并采取有效的措施防止攻击进一步扩散,特殊情况下可以直接将可疑设备与终端的连接断开。资产管理功能,可以帮助管理员对连接入网络中各类设备的软硬件配置情况进行统计与汇总,并对级别不一样的安全事件,采取对应处理措施,确保网络终端运行过程中的各类安全事件能够及时到得到处理,确保计算机网络运行的安全性。
4 结束语
总之,准入控制技术将终端的安全作为控制的根本,将准入控制作为安全管理的手段,对各类网络安全技术与设备进行综合运用,促进了计算机网络安全管理的相关安全策略的落实,大幅度的提升了计算机网络终端的主动防御、整体防御以及综合防御能力,确保了计算机网络终端运行的安全性。
参考文献
[1]刘美娟.网络准入控制技术在企业中的应用探讨[J].电脑编程技巧与维护,2016,04:83-84.
[2]李锁雷,王晨,李恒训,等.公安网终端计算机准入控制安全管理技术研究[J].警察技术,2015,01:54-56.
【关键词】烟草 准入控制 安全防护
1 前言
随着计算机网络的日益复杂化,要保证网络准入控制的成功部署,需要进行大量的前期研究工作,主要包括分析部署需求、对网络设备进行评估选型、评估网络准入控制系统是否与当前的网络运行架构相适应等。
2 地市烟草网络准入及终端管理的需求分析
2.1 需要对终端合法性进行检测
由于之前的地市烟草网络中,局域网是开放的,任何终端都能接入网络中,外来设备不需要任何验证就能随便插入到墙上端口中接入烟草内部网,进而访问内部网络中的资源。因此,非法用户根据这一弱点,可以从内部对烟草网络发动攻击,也可以盗取公司的敏感数据。这一内部缺陷使得公司必须要在网络入口出加强安全措施,采取相应的准入认证控制。
2.2 需要对终端安全性进行判断
当前,随着办公自动化的推进,有大量的桌面终端接入地市烟草网络。这些终端所使用的系统,安装的软件都不尽相同,安全状态水平与不尽相同,有的终端可能自身存在着安全缺陷。信息安全领域中“木桶效应”就可以导致任一存在安全隐患的终端成为网络中的“最短板”,成为攻击者的突破口。例如,当某一终端的系统存在漏洞、安全配置不合理、未安装防火墙等都可能使其成为攻击的对象,而一旦被攻克,其就将成为病毒、蠕虫进攻内部网络的“桥头堡”,进行导致网络与系统瘫痪,使所有的正常业务都无法开展。
2.3 需要支持多种准入控制方式
在烟草网络中存在着各种各样的终端,如桌面终端、网络打印机、网络传真机等。这些终端设备的应用场景与技术限制各不相同,这就要求地市烟草网络能支持多种准入控制方式,以确保所有的终端设备都能实现网络准入控制,杜绝出现控制盲区。
综上,将网络准入控制系统与终端管理每张引入到地市烟草网络中已成为了烟草公司发展的必要,必须要用好这两个系统,加强对地市烟草网络的安全管理。这需要引起各级的高度重视。
3 技术原理及应用模式
3.1 网络准入控制原理
网络准入控制是指利用相应的准备控制技术,对终端设备身份进行验证,使那些合法的、安全的、授权的终端接入到企业内网中,而将非法的、未经授权的设备挡在企业内网之外,防止不法攻击者对地市烟草网络的安全造成影响。
资源访问控制策略是整个网络准入控制的核心模块,其将企业网络划分为用户区、设备联动区、策略控制区三部分,并通过不同的策略来实现对企业网络的全方位管控。
(1)用户区安装相应的准入控制模块,从而实现用户身份认证、安全检查、准入策略联运等,达到终端控制与用户控制的目的。
(2)设备联动区对网络中的交换机、路由器、防火墙、入侵检测系统等进行改造,使这些设备能够与安全策略控制区形成联动,并能实现数据交换、策略接收、策略执行、监测信息上传等功能,起到终端入网控制、问题终端隔离、安全网络隔离等作用。
(3)资源访问控制策略系统是策略控制区的核心,其通过与DHCP服务器、漏洞补丁服务器、防病毒服务器、终端安全策略服务器、网管服务器等联动,并负责具体的安全策略部署下发、安全评估、资源访问控制、身份认证等任务,是整个网络准入控制的核心。
当终端设备连接到企业网络准备接入时,客户终端的准入模块就会主动对客户端的基础配置、系统版本、补丁信息、防病毒版本等信息进行检测,并将其上传到资源访问策略控制系统。系统根据所上传的信息对用户进行身份认证,并对安全策略进行对比检查。若检测出终端为非法用户,则拒绝其接入企业网络;若检测为合法用户,但存在安全缺陷的则将其进行访问限制,限制其只能访问特定的网络区域,同时根据安全缺陷的类型提示终端进行漏洞修复、病毒库升级、终端信息检查等。
3.2 网络准入控制技术在终端安全管理体系中的应用模式
地市烟草网络准入与终端管理系统的核心理念是从源头上消除网络威胁,将非法访问阻挡在网络之外,同时使用终端管理功能对已接入用户的网络行为进行规范,保证烟草网络的安全,避免出现安全事件。
利用网络准入控制对需接入的终端进行安全检测,检测的内容有:
3.2.1 ~户检查
检查用户的密码是否正确,以防止非法接入者安装相同的准入认证终端后接入网络。
3.2.2 安全设置规范检查
根据企业的需求对终端的安全设置进行检查,主要检查终端是否开启了访客账户;是否存在弱口令;是否加入了指定的Windows域名;是否及时对操作系统漏洞进行了升级更新;是否存在没有权限限制的共享;是否安装了防病毒软件并及时对病毒特征库进行了更新;是否存在可疑的注册表项目;是否安装了非法软件等。
3.2.3 终端注册ID检查
对终端ID进行检查,看其是否已在内部网络注册登记。通过终端注册ID检查确保接入网络的终端是合法的而且是符合相应的安全管理规范的,同时也确保所有接入网络的计算机终端接受相应的管理。
4 结语
在地市烟草网络中实施网络准入控制与终端安全防护,可有效防止终端信息泄露,构建起基于安全终端网络环境的全面安全防护体系,通过系统不断的修复提升,有效杜绝终端上的安全信息非法外传,有效提升烟草网络抗攻击力。
参考文献
[1]宋经伟.网络准入控制技术在终端安全管理系统中的应用[J].软件导刊,2014,13(02):136-138.
[2]梁彪.基于网络准入控制的内网安全防护方案探讨[J].广西电力,2014,37(06):59-62.
[3]邢海韬,孙宁青,吴伟琦.广西柳工机械股份有限公司网络的准入控制管理方案[J].广西科学院学报,2007,23(04):356-359.
[4]马锡坤.医院网络终端准入控制解决方案[J].医院数字化,2011,11(09):30-32.
作者简介
郭翔飞(1983-),男,福建省南平市人。大学本科学历。现为南平市烟草公司助理工程师。研究方向为信息技术应用及管理。
关键词:终端准入 网络安全 802.1x EAD
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2013)06-0014-02
1 引言
在创新无处不在的IT世界里,从要求可用性到安全性再到高效率,只经历了短短的几年时间。如何对终端设备进行高效、安全、全方位控制一直都困扰着众多IT管理者,由于终端设备数量多、分布广、使用者素质及应用水平参差不齐,而且终端设备所接入的网络环境异构化程度很高,导致了终端成为整个IT管理环境中最容易出现问题的一环,对终端问题的响应业已成为IT管理者日常最主要的工作之一,它同样遵循着从可用性到安全性再到追求效率的发展规律。
终端作为网络的关键组成和服务对象,其安全性受到极大关注。终端准入控制技术是网络安全一个重要的研究方向,它通过身份认证和完整性检查,依据预先设定的安全策略,通过软硬件结合的方式控制终端的访问权限,能有效限制不可信、非安全终端对网络的访问,从而达到保护网络及终端安全的目的。终端准入控制技术的研究与应用对于提高网络安全性,保障机构正常运转具有重要作用;对于机构解决信息化建设中存在的安全问题具有重要意义。目前,终端准入控制技术已经得到较大的发展和应用,在安全领域起到越来越重要的作用。
2 发展现状
为了解决网络安全问题,安全专家相继提出了新的理念。上世纪90年代以来,国内外提出了主动防御、可信计算等概念,认为安全应该回归终端,以终端安全为核心来解决信息系统的安全问题。
3 终端准动模型
H3C终端准入控制解决方案(EAD,End user Admission Domination)从控制用户终端安全接入网络的角度入手,整合网络接入控制与终端安全产品,通过智能客户端、安全策略服务器、联动设备以及第三方软件的联动,对接入网络的用户终端按需实施灵活的安全策略,并严格控制终端用户的网络使用行为,极大地加强了企业用户终端的主动防御能力,为企业IT管理人员提供了高效、易用的管理工具。
4 终端准入控制过程
EAD解决方案提供完善的接入控制,除基于用户名和密码的身份认证外,EAD还支持身份与接入终端的MAC地址、IP地址、所在VLAN、所在SSID、接入设备IP、接入设备端口号等信息进行绑定,支持智能卡、数字证书认证,支持域统一认证,增强身份认证的安全性。根据实际情况我们采用基于域统一认证,与接入终端MAC地址和接入设备IP信息进行绑定的严格身份认证模式。通过身份认证之后,根据管理员配置的安全策略,用户进行包括终端病毒库版本检查、终端补丁检查、是否有等安全认证检查。通过安全认证后,用户可正常使用网络,同时EAD将对终端运行情况和网络使用情况进行监控和审计。若未通过安全认证,则将用户放入隔离区,直到用户通过安全认证检查。EAD解决方案对终端用户的整体控制过程如图2所示。
5 终端准入控制策略的实现
5.1 接入用户身份认证
为了确保只有符合安全标准的用户接入网络,EAD通过交换机的配合,强制用户在接入网络前通过802.1x方式进行身份认证和安全状态评估,但很多单位已经建立了基于Windows域的信息管理系统,通过Windows域管理用户访问权限和应用执行权限。为了更加有效地控制和管理网络资源,提高网络接入的安全性,EAD实现了Windows 域与802.1x统一认证方案,平滑地解决了两种认证流程之间的矛盾,避免了用户二次认证的烦琐。该方案的关键在于两个“同步”过程:一是同步域用户与802.1x接入用户的身份信息(用户名、密码),EAD解决方案使用LDAP功能实现用户和Windows域用户信息的同步。二是同步域登录与802.1x认证流程,EAD解决方案通过H3C自主开发的iNode智能客户端实现认证流程的同步。统一认证的基本流程如图3所示。
5.2 安全策略状态评估
EAD终端准入控制解决方案在安全策略服务器统一进行安全策略的管理,并在安全策略管理中提供黑白软件统一管理功能。管理员可根据IT政令,在安全策略服务器定义员工终端黑白软件列表,通过智能客户端实时检测、网络设备联动控制,完成对用户终端的软件安装运行状态的统一监控和管理。如果用户通过安全策略检查,可以正常访问授权的网络资源;如果用户未满足安全策略,则将被强制放入隔离区内,直至通过安全策略检查才可访问授权的网络资源。
5.3 EAD与iMC融合管理
EAD通过与iMC(开放智能管理中枢,Intelligent Management Center)灵活组织功能组件,形成直接面向客户需求的业务流解决方案,从根本上解决多业务融合管理的复杂性。EAD实现了对用户的准入控制、终端安全、桌面资产管理等功能,iMC平台实现了对网络、安全、存储、多媒体等设备的资源管理功能,UBAS、NTA等组件实现了行为审计、流量分析等业务的管理功能,这几者结合在一起,为企业IT管理员提供了前所未有的融合用户、资源和业务三大要素的开放式管理体验。
6 结语
在未实施终端准入解决方案之前,本企业网络管理模式被动,虽制定完善的IT管理制度,但不能有效实行,比如不能及时升级系统补丁,不能及时升级杀毒软件病毒库,不能实时监控用户软件安装,不能实时监控计算机硬件信息等问题。通过实施终端准入解决方案,降低了来自企业内部网络的威胁,规范了终端准入安全策略,提高了IT管理员工作效率,从而保障了企业网络环境的安全。
参考文献
[1]周超,周城,丁晨路.计算机网络终端准入控制技术.计算机系统应用,2011,20(1):89—94.
[2]马锡坤.医院网络终端准入控制解决方案.医院数字化,2011,26(11):30-32.
[3]成大伟,吕锋.支持802.1x的网络准入系统在企业中的应用.中国科技博览,2012,27:296.
随着智能电网的发展,电力信息网终端设备接入不断增多,接入设备类型也趋向多样化,对终端设备接入行为的有效管控,及时阻断未知终端或非法终端接入、隔离存在异常异常行为的已接入终端成为日常信息安全运维的重点工作[1、3]。
以淮南供电公司为例,信息运维人员定期对各区域进行接入设备巡检,确定未知接入设备并处理,无法对未知终端接入进行及时的感知进而采用有效的隔离,给信息内网带来了一定的安全风险[4]。同时各终端上通过安装北信源桌面行为管理软件(简称VRV)对终端使用行为进行收集并告警,但目前告警由运维人员获取后进行处理,存在一定的滞后,对终端异常行为管控力度较弱。为此,通过终端接入管控体系建设,以终端接入、终端行为监控为基础,结合终端接入控制方法,实现对终端接入的全方位管控,提升电力信息网的终端安全管理水平。
2 地市电力公司终端接入管控体系方法
2.1体系建设目标
在已有VRV桌面管控系统及趋势防病毒系统的基础上建设终端接入管控体系,体系将围绕网络设备、网络资源及终端设备三类网络构成要素,建立公司的网络构成要素台账数据库及网络接入安全策略凭条,以此为基础对接入设备及终端设备进行安全审计,辅以交换机控制技术实现对网络接入行为进行控制,以提升公司网络管理效率,对网络安全多重防护机制。
2.2体系建设方法
体系建设包括合法终端设备台账建设,终端接入检测与终端行为审计以及终端准入控制技术三块。
2.2.1检测基线台账数据库建设
网络终端接入要素包括网络中接入的终端设备、服务器、网络设备等网络接入对象,网络接入对象存在各个范畴的属性,体系关注于网络接入控制,因此抽象出各类接入对象与网络接入相关的对象属性并建模,进而形成对象台账的元数据。再通过搜集目前所有接入网络的设备类型,并选取设备类型与网络安全及网络拓扑分析相关的属性参数形成该设备类型的接入要素模型,并依据接入要素模型对各类设备类型对应的设备集合进行梳理与录入,形成检测基线台账数据库。
2.2.2设备接入及终端行为监测
未知接入设备及存在异常行为(违规外联、弱口令、感染病毒、未安装最新补丁等)的终端给信息网安全带来一定安全隐患,需要对未知接入行为及终端的异常行为进行高效、准确的自动化监测,及时发现终端安全隐患。
(1)未知接入设备识别:通过接入层交换机接入网络的未知设备是网络中的潜在安全隐患,虽不能通过汇聚层交换机访问整个网络,但是能访问汇聚层交换机下的局部网络,因此给整个网络带来了潜在风险。为快速发现未知设备并进行阻断,以接入设备台账基线为可信设备集合,通过后台服务定期扫描所有接入层交换机,获取接入层交换机的设备MAC表,通过比对可信设备集合和接入设备MAC表发现未知的接入设备及其所在端口,并通知网络运维人员进行处理。
(2)终端异常行为审计:在运的VRV系统及趋势防病毒系统能判断出终端的部分异常行为,如违规外联、弱口令、病毒感染等,但由于缺乏有效的联动机制,导致审计数据只用于告警,不能对异常终端进行网络接入审计并隔离,无法及时消除异常终端对网络带来的安全隐患。为此通过数据库触发器技术及时接入VRV系统及趋势防病毒系统的终端审计记录,并根据记录级别确定终端的异常行为类型,作为触发终端准入控制的源数据。
2.2.3终端接入准入控制
针对未知接入终端及发生异常行为的终端,采用在核心交换机ARP阻断方法实现准入控制,通过将终端的MAC地址绑定到到未使用的IP地址实现对终端接入行为的控制。同时为增加ARP绑定操作的自动化执行程度,利用SNMP操作完成交换机的ARP绑定操作操作。
2.3建设效果
通过体系建设实现了地市公司终端接入的统一管理,有效避免了未知终端及异常终端对信息网带来的安全风险,提高了终端异常处理效率。在实际运行中,某终端插入了未注册的U盘,体系支撑工具在10秒内发现并进行了阻断,并第一时间通过短信告警,此后运行监控组通过电话与终端使用人员进行沟通确认了未注册U盘的使用,如图1。
图1 终端异常行为审计及阻断控制实例
【关键词】计算机网络安全;CPK终端软件;安装CPK终端软件认证;CPK终端系统需求
为使互联网行业能够稳步快速、安全发展,国家相继起草并实行了一系列互联网安全管理草案,确保计算机用户可以安全放心地使用网络。要想互联网行业长久不衰、坚持走科学发展的长远道路,那么互联网行业除了安全综合政治管理以外,还要进行内外兼治,这样就不得不以科学的发展眼光引进CPK网络终端软件管理系统。它建立了交易信任和数据安全基础,然而CPK终端软件的核心是建立合理的管理机制,有效数据管理扼杀了木马病毒入侵计算机网络的摇篮之梦。
一、CPK终端软件管理系统的描述与分析
1.CPK终端软件管理系统
在网络广泛运行的今天,家庭及企事业单位等大型办公场所局域网可以随意自主安装,随意使用盗版软件、黑客软件及与工作业务无关的聊天、游戏等不良娱乐软件,这些网络终端软件的滥用威胁着系统的安全,影响网络的运行性能及速度,严重的影响整个网络的发展进程。所以合理化地管理网络管理终端软件已经迫在眉睫。CPK终端软件管理系统能够及时的拦截病毒的攻击。CPK终端软件管理系于1999年由南湘浩教授提案,2003年在《网络安全技术概论》中公布了基于椭圆形曲线ECC构造了基于标识的组合公钥。此密钥是离散对数难题型的基于标识的密钥生成与管理体制。依据对数据原理构建公开密钥与私有密钥的矩阵,采用杂凑函数与密码变换将实体的标识映射为矩阵的行作坐标与数列坐标序列中,用来对矩阵元素进行选取与组合,生成数量非常大的由公开密钥与私有密钥组成的公钥、私钥对,以此来实现基于标识的超达规模的密钥生成与分发。CPK密钥管理从体制上是依据数学原理离散对数问题的构建,也可以用椭圆形离散对数问题进行构建。
2.CPK终端软件管理系统的认证
网络安全问题伴随着互联网的成长逐步成为我们生活中不可避免的困扰。所以认证技术直接的建立安全可靠的基础设施平台,在网络交易事物的鉴别性证明和负责性证明提供了可信性的证明。从而为电子商务的有序发展提供了良好的环境。CPK身份认证无疑就是通过各种认证技术对用户的身份进行鉴别,是我们网络安全管理的重要基础,集防了互联网数据不被盗取与侵犯。合理的签名机制是核心问题,同时,签名机制要想顺利的实现,必须有好的密钥管理技术,互联网认证体系的密钥管理需要解决两个问题,就是有密钥管理规模化和基于密钥标识的分发。解决这两大问题的认证系统有基于PKI技术构建和CPK技术构建的认证系统的生成。
3.CPK终端软件管理系统的分析
网络安全问题不容忽视,网络安全中的认证技术是深入解决这一问题的核心技术,它具有规范化,机密性和完整性等特点。CPK认证体系具有抗抵赖性的安全服务,目前来说公钥基础设施、基于标识的加密系统和组合公钥系统得到大众的一致认可。在标识机制中,计算机用户可以设置自己的公钥证书要求,进一步提升了人们对于计算机认证体系的可信度。
二、CPK终端软件管理系统的需求分析
1.对于CPK终端软件管理系统感官认识
对于软件保护一般采用加密的方式进行数据保护,软件加密分为软加密和硬加密两种方式。软件加密一般的就是采取软件方法不依靠特殊硬件来配套加密,而硬加密就是将全部信息固定在硬件上,提供的数据是一个硬件实体,如CD指纹等一类电子产品。但是在互联网终端网络管理上通常一般通过360杀毒软件、补丁、网络行为管理和管理软件等方式进行计算机管理。网络行为管理是指通过过滤关键字、关闭特殊定的端口来管理终端软件的使用。软件实名认证则运用了公约密码数字签名技术,对于计算机软件进行身份认证和保护。同时对于计算机网的病毒损害提供了科学依据。
2.整合管理服务的体系结构
采用服务器的证书管理器和客户端的终端软件安全管理器,其中服务器端负责终端的注册和证书的发放工作,它的工作内容主要包括密钥因子生产、终端注册管理、密钥生成和资料库管理。那么客户端主要负责安装的软件注册、签名等认证工作的完成。终端系统利用其CPK标识认证实现身份认证,终端安装的软件进行注册管路。以此达到终端网络安全管理的理想模式。
三、终端软件系统的开发及市场分析
1.终端软件管理系统市场发展方向
网络安全产业不仅具有高度的前瞻性,同时也具有较高的技术含量、高附加值的特点,已经跨步成为众多发达国家保持经济持续性发展的重要产业结构。作为信息产业中最活跃、最智力密集也是发展最快的软件产业,更是各国人民政府关注的焦点,其发展关系到互联网行业的稳定性和长久可靠性,并可能成为未来最大产业规模和最具开拓前景的新型产业。作为大众青睐的新兴支柱产业,同时也是互联网行业发展的后盾力量,不仅大众对它关注有佳,作为经济支点部分的政府也是撑腰在即,竭尽全力的发展此行业。
随着互联网《网络安全管理草案》的顺利颁布,作为国家经济和社会发展的战略性基础,软件的价值及其所附加的巨大辐射性和带动性作用将得到社会各界人士的高度重视。终端网络管理软件市场的进一步完善将成为必然,此环节的全面创新将共同推动未来软件市场的可持续发展。
关键词:机密 数据 威胁 网络安全 网络管理
一、概述
随着网络在企业生产经营中应用越来越广、越来越深,企业网络安全的问题也日益凸显。来自企业网外部和内部的攻击无时不刻都在威胁着企业网络的安全,也成了每一位网络管理人员都需要面临的考验。如何建立一个完整的企业网络安全解决方案,减少因网络攻击和病毒引发的生产经营数据的丢失和外泄引发的损失,本文将进行一个浅显的探讨。
二、网络安全的基础——网络设计
网络的设计与建设,是构建一个安全网络的基础。合理的网络构架设计将为未来网络安全的设计与构建节省一大部分开销,这些开销包括了设计、成本和系统的效率等。因此,在构建一个网络的初期,就必须将网络系统的安全作为设计的基本要素,考虑到整个系统中。一个大型的企业,如在地域上分部较为集中,其内网为了增大运行保险系数,一般主干采用双环网的网络构架。这种网络在一路主用线缆引故障停止时会自动切换到备用环上,当然,根据具体的系统配置的不同,双环网正常工作时又会被分为双路负载分担型和双路数据同步型等类型,在这里就不详细介绍了。一个企业如在地域上较为分散,下属有多家子公司且这些子公司又拥有自己的网络的情况下,最好采用以树形或星型网络结构为主的复合型网络设计。这种设计使得各网络层次的访问控制权限一目了然,便于内部网络的控制。
一个大型企业的网络在内部又会被分为许多特定的区域——普通的办公区,财务销售的核心业务区,应用服务器工作区,网络管理维护区,多方网络互联区域,VPN连接区等多个功能区域。其中普通的办公区有时是与财务销售类的业务区合并在一起的,但是,如果公司还涉及特殊业务的时候应当将这两个区域分开,甚至为其单独建立一套网络系统以增强其安全保密性。应用服务器区域一般承载着企业办公、生产等主要业务,因此在安全上其级别应当是最高的。一般对这一区域进行安全设置时最好将除所用端口以外的所有其他端口全部封锁,以避免多余端口通信造成的安全威胁。有条件的网络用户或对安全要求比较高的用户可以在不同的网络之间配置防火墙,使其对网络的访问进行更好的控制或者将不同的网络直接进行物理隔离,以完全绝断不同网络之间的互访。在网络中中有许多服务器,比如病毒服务器、邮件服务器等,有同时被内网及外网访问的需求,应当为这些有外网需求的服务器考虑设置DMZ区域。DMZ区域的安全级别较普通用户区高,即便得到访问授权的用户,其对DMZ区域的访问也是有限制的,只有管理人员才可以对这一区域的服务器进行完全的访问与控制。
三、终端的安全防护
病毒、木马无论通过何种途径传播,其最终都是感染终端为目的的,无论这个终端是指的服务器还是普通用户的终端,因此,对各类终端的安全防护可以说是网络安全构建的关键。对终端的安全防护可以分为两套系统;一种为硬件的防火墙类,一般由管理人员进行专业操作处理的防护系统,包括了反垃圾邮件系统、用户上网行为监控管理系统、网站防篡改系统等专业(服务器)终端防护系统;另一种为软件类的防火墙、杀毒软件及其他安装于各个用户终端由用户或管理人员进行操作管理的防护系统。现在多数的网络安全防护系统多由这两种类型的防护系统复合而成。这种复合式的系统所取得的效果在很大程度上依赖于终端用户的计算机水平及杀毒软件服务提供商的反应能力和软件更新能力,总之,这种方式是比较偏重于“被动防守”的一种防护措施。
现在有厂商提供了一种协调系统,使用这种系统能让以上所述的复合安全系统能够在网络管理员的干涉下实现主动的管理。这套系统一般在用户终端安装一个客户端,开机时,客户端自动判定本终端的安全状态并与安全服务器取得联系,当终端被判定正常时,终端可进行正常权限的网络访问;当终端被判定为非正常(威胁)时,此终端可根据预先堤定的安全策略,断绝与普通局域网的连接,只能与特定的服务器如病毒服务器等进行连接以解决问题。网络管理员可以通过这套系统实时监查每个终端的进程与数据状态,并通过管理终端对客户端进行控制,以解决安全威胁。此类系统的应用将所有用户的终端都纳入了系统管理员的控制下,以系统管理员专业化的技术知识实现对整个系统的监管与维护,能够在很大程度上减少威胁并提高系统的安全性和网络效率。
四、终端用户的规范
网络的安全除了在设计、硬件、技术管理上提高水平外,对网络用户进行必要的指导是十分重要的。普通的网络用户由于其计算机专业知识水平的不同,不可能要求其对终端进行专业的处理,告诫其正确的上网方式,减少各种网络(IE)软件、插件的使用及不明软件的下载是十分重要的。即使对于某些安全防护类软件(控件、插件)也应当控制使用,原因很简单,任何软件的编制都有BUG或漏洞的存在,终端用户所使用的网络软件(插件、控件)越多,这种硬伤类的安全威胁也就越多。终端所面临的威胁也就越多。不安装不必要的(网络)软件,也能在很大程度上避免网络威胁。
【关键词】终端接入控制 终端行为审计 终端接入管控
1 引言
随着智能电网的发展,电力信息网终端设备接入不断增多,接入设备类型也趋向多样化,对终端设备接入行为的有效管控,及时阻断未知终端或非法终端接入、隔离存在异常异常行为的已接入终端成为日常信息安全运维的重点工作[1、3]。
以淮南供电公司为例,信息运维人员定期对各区域进行接入设备巡检,确定未知接入设备并处理,无法对未知终端接入进行及时的感知进而采用有效的隔离,给信息内网带来了一定的安全风险[4]。同时各终端上通过安装北信源桌面行为管理软件(简称VRV)对终端使用行为进行收集并告警,但目前告警由运维人员获取后进行处理,存在一定的滞后,对终端异常行为管控力度较弱。为此,通过终端接入管控体系建设,以终端接入、终端行为监控为基础,结合终端接入控制方法,实现对终端接入的全方位管控,提升电力信息网的终端安全管理水平。
2 地市电力公司终端接入管控体系方法
2.1体系建设目标
在已有VRV桌面管控系统及趋势防病毒系统的基础上建设终端接入管控体系,体系将围绕网络设备、网络资源及终端设备三类网络构成要素,建立公司的网络构成要素台账数据库及网络接入安全策略凭条,以此为基础对接入设备及终端设备进行安全审计,辅以交换机控制技术实现对网络接入行为进行控制,以提升公司网络管理效率,对网络安全多重防护机制。
2.2体系建设方法
体系建设包括合法终端设备台账建设,终端接入检测与终端行为审计以及终端准入控制技术三块。
2.2.1检测基线台账数据库建设
网络终端接入要素包括网络中接入的终端设备、服务器、网络设备等网络接入对象,网络接入对象存在各个范畴的属性,体系关注于网络接入控制,因此抽象出各类接入对象与网络接入相关的对象属性并建模,进而形成对象台账的元数据。再通过搜集目前所有接入网络的设备类型,并选取设备类型与网络安全及网络拓扑分析相关的属性参数形成该设备类型的接入要素模型,并依据接入要素模型对各类设备类型对应的设备集合进行梳理与录入,形成检测基线台账数据库。
2.2.2设备接入及终端行为监测
未知接入设备及存在异常行为(违规外联、弱口令、感染病毒、未安装最新补丁等)的终端给信息网安全带来一定安全隐患,需要对未知接入行为及终端的异常行为进行高效、准确的自动化监测,及时发现终端安全隐患。
(1)未知接入设备识别:通过接入层交换机接入网络的未知设备是网络中的潜在安全隐患,虽不能通过汇聚层交换机访问整个网络,但是能访问汇聚层交换机下的局部网络,因此给整个网络带来了潜在风险。为快速发现未知设备并进行阻断,以接入设备台账基线为可信设备集合,通过后台服务定期扫描所有接入层交换机,获取接入层交换机的设备MAC表,通过比对可信设备集合和接入设备MAC表发现未知的接入设备及其所在端口,并通知网络运维人员进行处理。
(2)终端异常行为审计:在运的VRV系统及趋势防病毒系统能判断出终端的部分异常行为,如违规外联、弱口令、病毒感染等,但由于缺乏有效的联动机制,导致审计数据只用于告警,不能对异常终端进行网络接入审计并隔离,无法及时消除异常终端对网络带来的安全隐患。为此通过数据库触发器技术及时接入VRV系统及趋势防病毒系统的终端审计记录,并根据记录级别确定终端的异常行为类型,作为触发终端准入控制的源数据。
2.2.3终端接入准入控制
针对未知接入终端及发生异常行为的终端,采用在核心交换机ARP阻断方法实现准入控制,通过将终端的MAC地址绑定到到未使用的IP地址实现对终端接入行为的控制。同时为增加ARP绑定操作的自动化执行程度,利用SNMP操作完成交换机的ARP绑定操作操作。
2.3建设效果
通过体系建设实现了地市公司终端接入的统一管理,有效避免了未知终端及异常终端对信息网带来的安全风险,提高了终端异常处理效率。在实际运行中,某终端插入了未注册的U盘,体系支撑工具在10秒内发现并进行了阻断,并第一时间通过短信告警,此后运行监控组通过电话与终端使用人员进行沟通确认了未注册U盘的使用,如图1。
图1 终端异常行为审计及阻断控制实例
3 结语
电力网络终端接入的有效管控是日常网络运维中的重点工作。本文依据P2DR理论给出了一种适合地市电力公司使用的终端接入管控体系,通过建立终端台账基线,监测未知接入及终端异常行为,并进行合理阻断,一方面保障了可信设备的安全接入,同时也能及时发现未知接入设备及异常设备,较好了实现了电力网络接入设备的全面管控,具有较好的实用价值。
参考文献:
[1] 张羽.基于IP接入实现桌面终端安全准入控制管理[J].电力信息化,2009.10.
[2] 周祥峰.基于802.1X协议的网络准入控制技术在电力企业的推广应用[J].现代计算机,2010年8期.
4月15日,启明星辰了网关和终端安全相结合的统一安全防护产品――UTM2网关・终端统一安全套件。使用该套件,用户只需安装一台安全网关,即可简单快捷地实现对网络边界和内网终端的全面防护。
UTM2的平方论
启明星辰副总裁、产品管理中心总监张建军解释说,传统的UTM只是整合了企业IT网络的边界安全,在内部终端的控制方面存在短板。UTM2即是UTM的平方――通过UTM网关和客户端的协同,实现各自防护效果的互相加强。
在传统的安全方案中,部署防火墙或UTM等设备可以在网关处实现网络访问控制、入侵防御、P2P控制等功能;部署防病毒软件、终端安全软件,可以对终端进行安全检查和防护。在这样的方案中,网关和终端各自独立,互相之间难以形成有效的呼应。
但实际上,随着接入方式的多样化和移动办公的日益普遍,终端正在成为新的网络边界。因此,CIO需要以网关的视角来重新审视终端安全。另一方面,网关处也存在着诸多像ARP攻击、P2P防控之类的难题。这些问题的根源都在内网,而通过网关进行控制治标不治本,只有从终端入手,才能做到精确的控制。
因此,如果能将网关和终端有机结合起来,做到协同配合,就能大大增强各自的安全防护能力,实现一体化的纵深防御。
张建军表示:“借助UTM2网关・终端统一安全套件,用户第一次拥有了在网关处掌控全网安全的能力。终端安全检查和网关准入控制的结合,可以保证不安全的终端无法接入内联网和互联网,从而彻底消除内网的隐患,确保用户资产和信息的安全。”
四大增强特性
记者了解到,启明星辰UTM2安全套件建立在天清汉马USG一体化安全网关的基础之上,内置了天内网安全风险管理与审计系统的服务器软件。它具有四大增强特性:
・ 一体化协同防护体系:通过统一的管理界面,实现对网关的配置和终端安全策略的下发,能够从网关对接入网络的所有终端进行进程管理、服务管理、网络应用管理和补丁管理。
同时,终端负责各种安全性检查,网关根据检查结果进行准入控制,彻底杜绝不安全的终端接入,保障内网合规。
・ 精确的上网行为管理:通过网关协议解析和终端进程管理的结合,可以对IM、P2P、流媒体等网络应用实现精确控制。
针对各种网络应用,在安全网关上可通过安全策略、主机或服务进行流量控制,在终端上可实现基于进程和访问端口的流量控制,两者搭配可以实现更细粒度的流量管理。
・ 全面的网络准入控制:传统防火墙只能根据5元组进行准入控制,无法实现应用层控制,而UTM2除了具备UTM的应用层安全检查功能,更可根据终端的进程检查、防病毒检查和系统补丁检查等多种安全检查结果,实现强大的进程级准入控制。
购物车(0)
