基于终端防护的网络安全模型

喻晓伟

摘要：现如今，计算机技术在我国发展十分迅速，计算机终端己成为网络中大部分事件的起点和源头；更是病毒攻击的源头。因此，只有通过完善的终端安全防护才能够真正从源头上控制各种安全事件的发生，遏制网络内部发起的攻击和破坏。

关键词：终端防护；网络安全；模型

引言：

随着企业信息化的广泛应用和企业信息资源与数据的日益积累，信息资源安全成为企业乃至政府都比较关注的课题.本文提出一种基于终端防护的网络安全模型，可扩展性良好，使用多层次、可堆叠、模块化的设计思想，对网络安全起到立体防护的作用。

1 终端安全防护存在的主要问题

1.1终端存在安全隐患

一方面，受国家电子信息产业丛础的制约，计算机网络终端的微处理器、操作系统和基础软件都使用国外产品，由于不掌握核心技术，这些终端本身不可避免地存在着安全漏洞，同时也无法排除存在陷阱、后门等隐患的可能性。

1.2终端入网无安全审查

一些网络对终端接入不进行安全审查，即不检查用户是否为合法用户，不检查终端是否为合法的授权终端、是否带有病毒等恶意代码、是否存在着安全漏洞。

1.3终端操作无安全管控

一些网络终端对用户上网操作行为无安全监控和日志审计。这样就使用户在终端上能随意安装、运行可能带有病毒等恶意代码的非授权软件；或者故意在终端上运行恶意软件，传播恶意代码、实施破坏或窃密。

2 基于終端防护的网络安全模型

2.1逻辑结构

内网信息安全管理的核心即客户业务管理流程，采用PDCA的设计思想，多层次、可堆叠模块融合而成的管理体系，包括安全策略管理软件、安全准入控制中心和安全客户端代理软件。基于终端防护的网络安全模型采用模块化组件设计思想，具有很强的扩展性。系统部署包括数据支撑系统、文件服务器、级联服务器、区域管理器、WEB应用服务器、补丁服务器、报警服务器、License管理服务器。内网信息安全管理由安全准入控制中心、安全策略管理中心和安全客户端代理三大组件构成。各平台组件采用分布式监控与策略执行点，集中管理的工作模式，组件的通信采用高度压缩与加密方式，WEB平台采用HTTP登录方式。

2.2功能模块

基于终端防护的网络安全模型包括以下功能模块：网络进程监视功能模块：统一汇总和监视网络各终端的进程，增量式显示网络中新进程，具有网络客户端软件使用情况统计功能，对网络中出现的异常进程进行定位和报警。软件黑白名单控制功能模块：制定终端软件安装黑白名单，指定禁止安装和必须安装的软件，并可对违规的终端进行报警提示、终端提示、阻断联网等措施。客户端进程应用监控功能模块：监控网络客户端软件的违规使用情况，控制禁止启用的程序，直接关闭终端的违规进程，对违规的终端进行报警提示、终端提示、阻断联网等措施。行为安全管理功能模块：审计使用邮件和网络拷贝等可能导致信息泄漏的行为，对用户指定的目录及文件进行访问权限的控制，HTTP访问审计，邮件审计，对客户端的共享目录访问行为进行监控审计。IP/MAC地址绑定管理功能模块：对IP地址使用情况进行监视和管理，精确统计网络计算机设备，查询当前网络IP资源使用情况；通过系统安全策略下发对任意客户端进行IP地址与MAC地址进行绑定管理；提供对关键客户端进行IP保护，采集IP地址、网卡MAC地址变动情况。补丁管理功能模块：提供有效的补丁及系统安全配置管理功能，通过中心管理服务器集中管理用户网络终端设备的软件系统的补丁升级、系统配置策略，定义终端补丁下载，补丁升级策略以及增强终端系统安全配置策略并下发给运行于各终端设备上的客户端。

3 终端安全防护方法

3.1准入控制

（1）安全检查。对终端操作系统补丁、指定软件（及版木）、防病毒软件的状态进行安全评估，使只有符合安全标准（如安装了最新的操作系统补丁、及时升级了最新的病毒特征库等）的终端才准许访问网络。（2）安全认证。对终端的IP地址、MAC地址、所连接交换机的IP地址和端口号、用户名和口令进行绑定验证，通过后才允许接入网络，防止非法终端和非法用户接入网络。（3）安全修复。如果终端没有安装最新的操作系统补丁和升级了最新的病毒特征库，那么系统将自动把这个终端隔离到修复区进行补丁和病毒特征库的更新，当终端修复完成后才准许访问网络。

3.2安全工具

终端需安装防病毒、防火墙软件和补丁程序，开启实时监控功能，并及时更新（每周至少升级两次）。可通过在防病毒服务器中安装网络防病毒服务器软件，在所有终端中安装网络防病毒客户端软件的方法来实现终端防病毒的统一管理，阻止病毒在网络内的大肆传播。终端需配置单机防火墙软件，用于控制从网络对终端系统的访问，监控网络访问，记录、统计网络访问数据，抵御对终端的探测和攻击。要经常为终端操作系统和应用软件打安全补丁。

3.3安全监控

安全监控对终端软硬件资产，用户操作行为、终端设备接口、网络行为、进程和软件使用行为等进行多角度、全方位的集中管控，实现对异常、可疑和违规行为的发现、报警、记录、阻断和审计，并与入侵检测系统（IDS）联动，以达到防止恶意攻击和保护敏感信息的目的。

3.4安全设置

设置强壮口令。所有终端必须设置强壮安全的开机、屏幕保护和系统登录三级口令。设置木地安全策略。关闭默认“文件和打印共享”，关闭移动存储设备（U盘、硬盘和光盘）的自动运行功能，禁用不必要的外设端口（如无线网口）。

4 结语

企业信息安全是企业发展的有力保障，在互联网时代，信息安全突显其重要性.在网络安全的实践中，人们逐渐认识终端防护对于网络安全的重要性.本文我们从企业内部网信息安全出发，从多维度多层面来阐述了基于终端防护的网络安全模型，指出实现该系统的关键步骤在于可配置化动态安全检查引擎、基于文件指纹的扫描优化算法、多层次终端防护管理系统.

参考文献：

[l]孙阳波.准入控制保障内网合规[J].信息安个与通信保密，2008.

[2]肖治庭等.涉密内部网用户终端安全防护研究.[J].电子科技，2008.