安全准入专家盈高对内网安全管理整体防范的思考

xiaogang0303

桌面终端安全准入控制的思考           

—盈高TM多维终端安全管理平台MSEP ,不容错过的选择                       
摘要：经过十几年的发展，各县级供电企业建立了相对完善的内部局域网系统。在系统运行过程中，面临着来自局域网内部以及外部的计算机的网络安全风险，在这种情况下，确保网络的安全运行，不仅要建立严密的计算机管理制度,还要从技术上加强安全措施以防止外部黑客的入侵和来自企业内部的攻击和威胁。桌面终端安全准入控制系统可以在用户接入网络前，通过统一管理的安全策略检查用户终端的安全健康状态，并根据对用户桌面安全状态的检查结果实施是否接入，对不符合安全标准的用户进行“隔离”并强制用户进行病毒库升级、系统补丁安装等操作；在保证用户终端具备自防御能力并安全接入的前提下，可以通过动态分配ACL、VLAN等合理控制用户的网络权限，从而提升网络的整体安全。
关键字:安全准入控制、隔离、风险控制、管理
    目前在县级供电企业，已经实施多种网络安全产品，如Symantec 企业版病毒防护系统、微软补丁分发产品WSUS补丁更新系统，今年初，国网统一部署了桌面终端管理系统，国网公司部署中心服务器，省公司部署一级服务器，市局部署二级服务器，并给县级供电企业提供一个管理客户端，实现对接入终端的外联管理、外设管理、资产管理、远程运维、协议管理等。在统一的管理和控制策略下，使县级供电企业对终端初步具有可管理性。同时，国网公司通过定期下发各类管理和安全检查等策略，对县级供电企业的终端安全进行定期抽查。通过这套系统，一方面解决了数量众多的计算机的安全、管理、维护问题，降低了单位的基础设施构建成本，另一方面保障了数据信息的安全。
    虽然县级供电企业在内网终端安全方面做了很多工作，部署了防火墙、安全VLAN的划分、刚实施的内外网物理隔离、Symantec 企业版病毒防护系统、补丁统一更新系统、以及国网统一部署的桌面终端管理系统，但是，对类似下面的安全问题是否做到真正意义上的解决：
是否已经做到真正的隔离？目前在县级供电企业实现了内外网的物理隔离，但无法从技术手段来判断并杜绝内网计算机连接外网。
终端接入可控吗？虽然县级供电企业已经有一套IP与MAC绑定的系统，但是我们可以伪造IP与MAC信息接入网络。虽然作了物理隔离，可是正常工作中还是经常会碰到外来计算机，如何来控制接入及做接入前管控？怎么样可以做到很灵活的终端接入审查呢？在系统正常运行之后所有接入网络的终端如何做到只有通过管理员审查批准才可以接入呢？
    目前县级供电企业接入终端为数众多，分布地域很广，接入计算机密码过于简单，管理人员、不知道哪些计算机未安装杀毒软件或安装了没有及时更新病毒库，信息管理人员如何及时发现计算机的安全漏洞，提供用户更改密码，安装杀毒软件，更新病毒库等，以保障系统不因为弱口令的原因被病毒和黑客攻击？
怎么对终端进行强制的安全加固？通过桌面终端管理系统，管理人员对计算机终端的安全隐患将更加了解，但终端使用人员操作水平参差不齐，如何来保证计算机的操作系统没有漏洞，补丁全部打齐，杀毒软件版本及病毒库都更新到最新以及账号密码具有一定强度的呢？
终端计算机如果需要修复怎么办？如何保证接入终端是处于健康状态的，如果保障存在安全隐患的终端的安全修复，甚至强制让接入终端修复其安全隐患呢？
如何将异常状态的终端快速隔离？如何快速有效的定位网络中病毒、黑客的引入点，快速、安全的切断安全事件发生点和相关网络？
    为了解决上述问题，从源头杜绝安全隐患，应该未雨绸缪，需要部署一套完整的终端安全准入控制系统。
    准入控制系统是防止病毒、蠕虫甚至人为破坏等技术和行为对企业网络安全造成的危害。借助准入控制系统，可以只允许合法的、值得信任的端点设备接入网络，而不允许其他设备接入。在初始阶段，当端点设备进入网络时，准入控制系统能够实施访问权限。准入控制系统的接入规则可以根据端点设备的信息制定，例如设备的当前防病毒状况以及操作系统补丁等。准入控制系统将按照客户制定的策略实行相应的准入控制决策：允许、拒绝、隔离或限制.
      作为终端安全管理整体解决方案, 县级供电企业已经部署了桌面管理系统，但无有效地技术手段控制客户端的准入控制；同时，对于桌面管理系统采集上来的安全隐患，也没有强制手段保证终端及时有效的加固。因此终端安全准入控制系统建设重要性突显出来，与桌面管理系统同时作为整体方案的两块重要部分，二者缺一不可。

端点准入控制系统的主要功能：
     一个完整的网络准入控制系统，在终端设备接入时，应该提供以下五步检查和控制流程，缺少其中一个方面的内容，就不是完善的准入解决方案，都无法达到完整的安全风险控制、预防和响应要求，会给准入控制系统的部署和推广使用带来问题。
第一步，注册登记：内部终端要访问网络资源之前，需要在网络上注册登记（用户账户登记、终端ID注册等），取得接入网络的权限。
第二步，接入检查：终端在接入网络时，准入控制系统会检查其用户账户、安全设置状态、终端硬件合法性等。
第三步，安全隔离：如果在接入检查时，发现终端不符合安全规定，需要对终端进行隔离或拒绝其访问网络资源，例如：发现是外来终端则拒绝接入或进入“访客区”网段，或者是内部不符合安全规定的终端，则让其进入“修复区”。
第四步，安全通知：对被隔离的终端进行通知，告知其被隔离的原因，在访问网页资源时也会有相应的安全通知告示。
第五步，安全修复：自动引导被隔离的终端，让其修复安全设置或者进行注册登记，使得其可以正常访问网络资源。               
具备功能：

多样式的身份认证
    提供自身用户名、密码身份认证，也支持与AD域、LDAP、USB-KEY、手机短信等第三方身份认证系统进行联动，保障身份认证功能的多样化。

丰富的安全检查规范库
安全检查规范做为准入控制系统对接入设备审核其安全性的依据，应具有丰富性、完整性、扩充性。桌面终端安全准入控制系统应该不仅已包含了补丁检查、杀毒软件检查、IP/MAC地址绑定检查等常规安全检查项，也包含了桌面客户端运行状态检查、域用户检查、必须/禁止安装软件检查等个性化安全检查项，还可以根据用户的实际需求进行扩充。同时桌面终端安全准入控制系统应该根据不同的行业用户对安全准入控制力度的不同，专门提供了标准行业入网规范库使各行业用户根据自身行业的需求来应用安全检查规范。

智能、快速的安全修复
    桌面终端安全准入控制系统应该为存在安全隐患的接入设备提供了智能、快速的“一键式”修复功能，避免因修复安全隐患的复杂性和专业性，使终端用户面对漏洞而无从下手，导致不能及时接入网络进行业务操作，同时也减少了管理员的工作量。

      可根据接入设备当前安全状态或部门区域为其动态分配访问权限，无需管理员干预，智能式划分安全域。  精细的行为审计
    相比于传统准入控制系统而言，桌面终端安全准入控制系统应该加强了对入网后设备行为的审计，防止因终端设备非法外联、各终端之间互访、私改私设IP等存在安全风险的违规行为，从而破坏网络的健全性和数据的安全性。
精确的统计报表
    桌面终端安全准入控制系统应该收集接入设备的相关信息，对各检查项数据进行统计分析并提供报表便于查看，管理员能一目了然地掌控全网的安全状态。

盈高TM多维终端安全管理平台MSEP主要特点与优势
1、更专业的安全准入控制
        多维终端安全管理平台从网络接入端点的安全控制入手，结合认证服务器，安全策略服务器、补丁服务器和网络设备，以及第三方软件系统（防病毒）等，支持多种网络强制认证方式，支持针对用户的安全策略设置，以标准协议与网络设备联动，实现对用户接入行为的控制，完成对接入终端用户的强制认证和安全策略应用，从而保障网络安全。        
2、完备的系统安全性检查
        通过多维终端安全管理平台的安全检查与加固，系统管理员可以对全网的终端设备建立各种安全检查与评估任务，实时的了解目前网内设备的风险状况。通过图形化的展示方式，管理员可以了解目前网内处于安全和高、中、低等各个级别风险的设备比例，了解各个终端目前的具体风险情况，并且系统可以根据目前的风险情况，提出存在问题的原因和对如何进行修复提出修改的建议。        
3、全方位、细粒度行为审计
    公司员工随意滥操作、误操作甚至非法操作，不但给管理员的日常维护工作带来极大的工作负担，更可能引发严重的泄密安全事故。因此管理员可以将行政层面的员工规范通过多维终端安全管理平台完全融合，通过多维终端安全管理平台细粒度的管理策略从技术层面得到有效支撑，这样不但可以合理分配员工的上网时间，规范员工行为、防止信息泄密，更能让管理员做到事前预防、事中控制、事后审计，真正做到信息安全的全局把控。
4、独有的内网补丁管理模式
    对于一直困扰系统管理员的隔离内网环境下系统补丁管理问题，多维终端安全管理平台采用先通过外网中补丁服务器定制下载补丁，再使用补丁下载管理工具将补丁拷贝到内网服务器补丁相应目录,采用独有的补丁包摆渡升级模式，便捷、完美的实现了客户内网补丁管理，再进行整个内网的补丁升级，这样极大的将管理员从繁杂、重复的工作中解放出来。
5、灵活多样的统计报表
    多维终端安全管理平台完全从实际应用出发，真正面向运维管理人员，从灵活、自动构造报表到手工定义报表结构，满足了所有报表结构与统计分析的要求。将传统的统计报表变得轻而易举、易如反掌，更使统计报表丰富多彩、复杂多变。
6、多种、多级的告警模式
    多维终端安全管理平台采用多种类型告警方式，以方便管理员快捷、及时、准确的了解每个终端以及平台自身的运行状况。管理员不仅可以通过专用的告警查看器实时监控，也可以更为方便直观的在管理的web页面中实时查看报警。还能对一些危险级别高的告警，多维终端安全管理平台还提供了EMAIL、手机短信等更为及时告警方式，以帮助管理员能够在第一时间发现问题，并在详尽的日志帮助快速准确定位问题、解决问题。
    系统更将不同的类别自动分级、分类在在系统的运行中会根据实际的情况产生各种报警，为了便于管理员及时迅速的了解这些系统意外状况，多维终端安全管理平台提供了丰富多样的报警方式。
7、深入系统内核，确保终端稳定和兼容性
    多维终端安全管理平台一般情况下占用cpu正常情况下<＝3％；内存占用在5M以内，尽可能对桌面终端用户透明，不影响