(桌面终端安全防护技术企业网管理中的应用研究.docVIP

桌面终端安全防护技术企业网管理中的应用研究 杨庆明 杜保东?（大庆油田公司信息中心，黑龙江大庆 163453） 摘要:本文介绍的桌面终端安全防护技术是主动式网络安全管理的重要技术之一，它集成了防病毒、主动威胁防护、网络威胁防护和端点准入控制技术，实现了对所有企业网网络终端的规范化管理和策略准入控制,保证了合法用户进入网络、拒绝非用户进入网络或拷贝数据。该方案以安全策略为核心，以客户端策略遵从性为强制为手段，从控制网络单体入手，通过多方软硬件相结合，从而加强用户终端的主动防御能力，实现保障整体网络的安全性。 关键词: 终端安全防护 端点准入控制 主动威胁防护 负载均衡 1 引　言 随着油田企业信息化的不断进步和发展，我们的工作和生活越来越依赖网络。企业网络面临的威胁也越来越大。而传统的安全方案主要围绕网络实现，例如：在网络边界上，采用防火墙对网络连接和访问的合法性进行控制；在网络传输上，采用入侵检测系统监视黑客攻击和非法网络活动； 在主机设备上，采用主机加固措施加强主机防护能力等等。虽然部署了这么多的安全设备，网络还是处于一个不可控的局面，网络安全事件还是层出不穷。作为网络组成部分的终端是网络与用户的接口，是安全保障比较脆弱的地方，也是一般网络安全解决方案所容易忽视的地方。据统计数据表明，网络安全的威胁60% 的来自网络内部，也就是网络内部的终端结构和操作系统的不安全所引起的，仅仅关注来自外部威胁的防火墙、入侵检测系统等传统安全措施，对来自内部的威胁显得无能为力，因此我们必须关注计算机终端本身的安全性。只有做到面向用户终端的安全保护和控制，才能使得控制措施来得更直接，效果也更好。企业网中的大多数网络安全事件都是由脆弱的用户终端和“失控”的网络使用行为所引起的。保证用户终端的安全、阻止威胁入侵网络，对用户的网络访问行为进行有效的控制，是企业网安全管理急需解决的问题。 传统的访问控制技术曾在网络环境中成功实施，然而，随着互联网技术的发展，传统上对单台主机的威胁已经发展为对网络基础设施的攻击，原有的访问管理控制技术无法适应这种网络安全特点的新变化，在这种情况下，集防病毒、主动威胁防护、网络威胁防护和端点准入控制技术于一体的计算机桌面终端安全防护技术顺势而生[1]。 2 终端安全防护的机理 终端安全防护是结合新型的网络准入控制技术和终端保护技术对所有访问网络的终端进行安全性审计和防护，并按照端点接入网络前的安全策略对其安全状态进行评估，根据评估结果进行端点准入控制，从而将蠕虫、木马和病毒等屏蔽在网络之外，确保只有符合组织安全标准的终端才能够接入网络。 终端安全防护的核心概念是从网络接入终端的准入控制入手，结合身份认证服务器，安全策略服务器和网络设备，以及第三方软件系统（杀毒软件和系统补丁服务器），完成对接入终端用户的强制认证和安全策略应用，从而达到保障整个网络安全的目的。 端点准入控制系统的设计有两个基本的理论前提：第一，网络安全状态的非稳定性。安全状态属于非稳定状态，意味着系统会随着时间迁移、变迁到非安全状态。因而，及时做好系统更新，将系统状态重新调整回安全状态，能够有效减少受攻击的可能；第二，网络安全状态的可控性。在网络环境中收集的网络及用户主机的状态信息越多，越能够准确地判断出网络所面临的风险，并及时给出应对措施，控制网络安全状态[2]。 准入控制系统设计原则包括以下三个方面： 1、接入限制。要求用户主机在享受网络服务前达到一定的安全要求，尽量避免单个用户的网络安全隐患对整个网络构成威胁。 2、主动控制。主动侦测用户和系统的网络安全状态，发现非安全状态时，触发控制反馈来调整用户和系统状态，从而保障整个网络的安全运行。 3、动态调整。通过对整个园区网网络设备的安全状态分析，应用一定的策略，动态智能地为其它安全设备调整规则提供依据。 网络的安全威胁很大程度上来源于使用者本身。准入控制系统将自动更新、安全状态审核、准入控制等思想集中在一起，为整个企业网安全管理和安全审核应用提供了可扩展平台，实现了基于网络准入控制的企业网安全防御体系。 图1 网络准入控制的运行环境 3 终端安全防护系统架构 终端防护系统由3个层次构成，分别为策略管理层、强制接入控制层和终端接入层，可以根据具体情况和需求任意组合使用。如图2 图2 端点防护系统架构 策略管理层是由策略管理服务器和数据库服务器组成。策略管理服务器是端点防护系统的核心，其主要用于创建企业安全策略，规划部署计划，指导客户端如何保护自身及网络的安全。策略管理服务器还能够收集管理员在此定义和分发安全、强制策略，准入控制服务器、客户端防护代理进行管理，用以创建安全策略并将策略下发到准入控制服务