计算机终端安全管控

王彦文

【摘要】网络中大量存在、数量最多的终端已经成为企业中大量安全事件的直接风险来源，本文主要通过对终端风险分析，提出解决风险的思路。从终端入网的源头开始，通过交换机和终端管控系统的互动控制，不满足安全条件的终端禁止入网。并且终端使用过程中的关键操作进行监控和控制。

【关键词】终端管控自动化安全监控

一、概述

信息技术革命和经济全球化的发展，使企业间的竞争已经转为技术和信息的竞争，企业是否能长期生存、企业的业务是否能高效的运作也越来越依赖于是否有一个稳定、安全的信息系统和数据资产。因此，保证企业知识资产的安全，已经成为现代企业发展的必然要求，信息安全能力已成为企业核心竞争力的重要部分。

但是大多数企业的安全防护却忽视了网络中大量存在、数量最多的终端的安全防护，而且终端往往是企业信息系统中比较难于控制，安全性最差的最短的那块木板，是企业中大量安全事件的直接风险来源。终端所面临的安全威胁已不再仅仅是传统的病毒，而是更加复杂的恶意代码（广义病毒）、黑客攻击，以及内部终端用户有意或无意的系统资源滥用、敏感信息窃取和泄密等。

二、终端管控背景

终端安全管控主要面临着“管”、“控”、“防”3个方面的问题。

2.1安全管理角度

随著企业网络规模的扩大和应用的不断丰富，终端数量增加，地理分布更加广泛，访问需求更加复杂，使得企业对桌面终端管理的要求已经无法通过简单的手工维护方式来实现。

数量众多的终端具有不同的操作系统版本、补丁版本，用户又随意安装各种应用软件，使得管理员缺乏有效的手段进行集中管理。如何明确终端资产数量，终端实时使用状态，也是终端管理员非常伤脑筋的事。

2.2 安全控制角度

企业网络的合法使用者在安全防护较差的外网环境中使用VPN连接、远程拨号、无线AP、以太网接入等等网络接入方式连接到企业网，在外网和企业内网之间建立一个访问通道，成为成为了非法用户进入企业网络的跳板。

企业制定的防病毒、安全配置、补丁、安全软件使用等安全策略很难被终端用户准确无误的贯彻并执行。很容易成被恶意攻击者利用攻击企业内部网络。

互联网文件传输越来越便利，移动电脑的普遍使用，而且大量支持USB连接的设备不断涌现，使得企业的机密信息很可能便被方便地传出。

2.3安全防护角度

病毒、蠕虫很容易通过各种途径侵入企业的内部网络，除了利用企业网络安全防护措施的漏洞外，最大的威胁却是来自于网络用户的各种危险的应用：不安装杀毒软件；安装杀毒软件但未能及时升级；网络用户在安装完自己的办公桌面系统后未进行各种有效防护措施就直接连接到危险的开放网络环境中；移动用户计算机连接到各种情况不明网络环境后，在没有采取任何措施情况下又连入企业网络；终端用户在使用各种数据介质、软件介质时都可能将病毒、蠕虫在不知不觉中带入到企业网络中，给企业带来无法估量的损失。

终端用户办公桌面上的各种应用软件不胜繁杂，每一个软件系统都有不可避免的潜在的或已知的软件漏洞，每天软件开发者都在生产漏洞，每时每刻都可能有软件漏洞被发现被利用。这些漏洞均有可能使得黑客轻而一举的获得联网用户使用其它系统的口令，重新占领另一系统。

三、解决目标和效果要求

为了解决计算机终端存在的安全问题，提出安全管控的目标。

（1）通过交换机设置，对未进行管控的终端拒绝网络中资源的访问。（2）监测终端安全配置（补丁、基线、防病毒等），未达到安全配置要求的禁止访问网络资源。（3）检测到终端双网卡（含WLAN）同时启用时，拒绝对内网的访问。（4）IP地址、MAC地址和登录帐号一一对应，不匹配的禁止访问网络资源。（5）对USB接入进行授权访问，并做好使用日志记录。（6）特殊敏感终端增加使用录屏功能。

四、实施原则

终端安全解决方案首先要考虑的是以终端安全和核心业务的安全防御，其次要考虑部署安全设备及软件系统的可靠性、可用性；因此，本方案遵循以下设计原则：（1）方案设计始终考虑以终端安全和核心业务为中心的安全需求；（2）建议的方案设施后不会影响现有业务系统的安全性，不会降低现有系统的可靠性和可用性，不影响现有系统和网络的性能；（3）多维度覆盖风险防御的各个方面；（4）确保网络不会因为数据保护设备故障而造成中断；（5）安全产品部署后，不会因此出现性能瓶颈；（6）在不增加现有工作量的基础上，通过实现统一管理，能够全面提升安全管理工作的效率。

五、实施思路

通过一个开放式平台来统一进行管理，简化风险与合规性管理。

系统通过灵活自动处理功能简化工作流，从而大大降低安全和合规性管理的成本和复杂程度。

通过端到端监控，从整体上监控整体终端域安全状态。提供跨终端、数据、手机和网络的安全智能管理，以便可以及时洞察并快速响应。

使用简化的安全操作工作流提高终端维护的效率。简化管理任务，减轻繁杂的审计，减少与安全管理相关的硬件成本。

使用可扩展的开放式体系结构，保证后期可与其他安全解决方案的管理功能融合后进一步提升安全管控水平。

5.1划分安全区域

按照安全级别要求，划分为工作区（正常的工作网路，用户通过身份认证和安全检查后进入的网络）、访客区（供来宾和未通过身份检查的终端进入的网络，该网络与工作区网络隔离，作为统计识别使用）、隔离区（通过身份认证但是没有通过安全检查的计算机进入的网络，在这个网络内计算机可以在完成安全加固修复后重新申请进入工作区）。

5.2强制终端安全检查

利用技术手段强制接入的终端进行安全检查，建立安全检查与网络接入的互动机制，避免了外来终端随意接入网络及内部终端不满足安全条件在网使用的现象发生，如图所示。

5.3防攻击

通过终端管控，可防护已知和未知的病毒木马，可防范内存溢出攻击，可防范APTs，策略统一下发，终端统一监控，整体风险分析，虚拟补丁等能力。

5.4数据泄露保护

5.4.1数据流失保护

通过系统配置，控制数据的使用和存储，保护敏感资料不被有意或无意的泄漏，提升基础架构和数据本身拥有防护能力。

实时发现泄露风险，进行防护、阻挡或敏感数据隔离，同时及时通知安全人员进行处理。

5.4.2设备控制

监控并且只允许授权的设备连接到内网；限制并且阻挡未授权的设备连接（如：外部的MP3，U盘等）；强制控制可以被复制到授权设备上的数据内容；仅允许指定设备或数据的使用；

详细记录用户和设备的访问信息以符合审计和合规的要求。

5.4.3终端加密

可以基于文件或文件夹对笔记本电脑，桌面机和移动介质中的内容进行加密；保证设备遗失的时候存储在上面的数据不被泄漏。

5.4.4U盘管控

通过U盘的集中管理，强制的访问保护和加密，实现敏感数据对外传输的控制，并确保授权用户使用的外部介质的安全。

5.4.5配置参数

（1）包括系统的操作系统、版本、CPU、内存、硬盘空间，IP地址、DNS、网关等系统信息。（2）终端的安全配置状况（违规情况）。包括完整性检查策略中定义的安全配置要求项目。（3）终端的文件访问及程序运行。包括对特定文件的读取、修改、删除以及应用程序、进程的运行状态情况。（4）终端的外设使用状况。包括监控记录外设的接入、使用及禁止情况。（5）屏幕监控及截图。

六、创新点

（1）强大的工作流，可以显著提高终端管理员的工作效率，快速制定和部署安全措施，及时响应出现的事件和问题。（2）通过有效缩短事件响应时间的端到端监控和自动化功能，能够显著增强终端安全保护能力，降低终端安全风险，提高终端安全管理的效率。（3）关键文件受到严格监控，如有违规更改，管理员实时可以得到告警，防止黑客攻击或不当使用。（4）只能在一个授权的可控的流程下进行服务器变更，系统会记录所有的更改操作日志。

七、效果

终端安全管控系统可防护已知和未知的病毒木马；可防范内存溢出攻击；防范Advanced Persistent Threats （APTs）；可以起到系统虚拟补丁的作用，为管理员减轻打补丁的压力；提供高效的安全管控能力。