1. 方案背景
随着各行各業本地信息化工作(zuò)的開展,網絡結構趨于複雜,網内終端不斷增加,信息系統面臨前所未有的安(ān)全挑戰。在信息安(ān)全保障建設中,終端往往成為(wèi)組織機構安(ān)全短闆,難以控制,網内病毒、蠕蟲擴散,工作(zuò)信息洩密以及應用(yòng)攻擊行為(wèi)頻繁發生,嚴重影響組織機構的日常工作(zuò)開展。較多(duō)組織機構建立了終端管理(lǐ)制度、終端操作(zuò)規範,苦于缺少有效的終端安(ān)全管理(lǐ)技(jì )術措施,終端安(ān)全問題無法得到緩解。
為(wèi)解決這一難題,天融信針對終端常見的安(ān)全問題,提出本解決方案。
2. 安(ān)全需求
非法接入終端帶來的安(ān)全問題
在沒有嚴格的監視措施下,外來攻擊者将自己的終端直接連接到信息網絡,并對信息網絡進行攻擊和破壞,其造成的後果是:非法訪問信息網絡,特别是内網服務(wù)區(qū),造成重要信息的洩露;終端攜帶的病毒将直接對信息網絡造成破壞;非法終端還将發布 ARP欺騙等數據包,引起網絡的癱瘓等。
終端自身安(ān)全帶來的安(ān)全隐患
終端自身的安(ān)全問題也将對信息網絡造成威脅,比如終端自身已經攜帶了病毒,終端沒有安(ān)裝(zhuāng)防病毒軟件,終端的防病毒軟件沒有及時更新(xīn),終端操作(zuò)系統補丁也沒有及時更新(xīn)等,這些安(ān)全問題将對内網其他(tā)終端,甚至内網服務(wù)器造成很(hěn)大的麻煩,嚴重的将導緻病毒在網絡中的傳播,或者終端上攜帶的蠕蟲病毒在網絡中大量散播的時候,也将導緻交換機的負荷過重,而引起癱瘓。
終端緩存的文(wén)件造成洩密
内網終端在進行日常操作(zuò)的過程中,往往在本地緩存了很(hěn)多(duō)重要文(wén)件,那麽當終端在訪問互聯網的時候,這些緩存在本地的文(wén)件,在沒有采取任何訪問措施的時候,也将會成為(wèi)互聯網攻擊者的目标,造成信息的洩密。
3. 解決方案
針對以上問題,天融信從可(kě)信的角度,綜合采用(yòng)終端安(ān)全管理(lǐ)平台,部署在網絡中,通過技(jì )術間的整合來實現有效的内網終端安(ān)全控制,實現以下的部署方案:
圖 1 内網終端安(ān)全控制解決方案示意圖
針對内網終端安(ān)全控制需求,方案充分(fēn)發揮了終端安(ān)全管理(lǐ)平台作(zuò)用(yòng),通過設計如下功能(néng)解決用(yòng)戶安(ān)全需求。
( 1 )終端非法接入的問題
利用(yòng)終端安(ān)全管理(lǐ)平台與交換機802.1X功能(néng)實現認證聯動。終端在接入網絡後,必須進行認證,認證不通過的終端屬于非法接入終端,是無法訪問網絡的任何資源的。
( 2 )終端健康性帶來的威脅問題
終端在接入網絡進行訪問前進行的健康性檢查,是确保終端可(kě)信的首要條件。如果内網終端存在安(ān)全隐患,極易成為(wèi)病毒滋生地,對信息系統造成破壞,因此,在内網終端訪問之前,先通過安(ān)裝(zhuāng)在内網終端上的防護代理(lǐ)進行健康性檢查,并以此為(wèi)依據,做為(wèi)判斷是否可(kě)進行下一步操作(zuò)的關鍵,終端防護代理(lǐ)将檢查的内容包括:
終端操作(zuò)系統補丁是否為(wèi)最 新(xīn)版本
終端是否有病毒防護措施
終端上的防病毒系統是否有效
終端上的病毒庫是否為(wèi)最 新(xīn)
終端上有否安(ān)裝(zhuāng)了非法的軟件
終端是否運行了非法的進程
終端是否已經感染了病毒(通過非法進程監控來判斷)
( 4 )對重要文(wén)件的保護
端代理(lǐ)在終端硬盤上劃分(fēn)出專用(yòng)文(wén)件夾(文(wén)件保險櫃),所有存儲在本文(wén)件夾下的文(wén)件都将加密,隻有提交了正确的帳号和口令後方可(kě)正确訪問文(wén)件。。
通過專用(yòng)文(wén)件夾技(jì )術,可(kě)以很(hěn)好的保護重要文(wén)件的機密性,提升了總體(tǐ)的安(ān)全性。
( 5 )利用(yòng)終端防護系統提高内網終端的自身安(ān)全
内網終端的自身安(ān)全是可(kě)信外訪的首要前提,隻有每個内網終端的桌面系統安(ān)全了才能(néng)保證外訪過程的安(ān)全性。這裏通過在每個内網終端上部署終端防護系統代理(lǐ),同時接受終端防護系統服務(wù)器管理(lǐ)監控,從而能(néng)保證辦公終端的自身安(ān)全性。具體(tǐ)重點包括:
能(néng)夠自動檢測内網終端桌面系統的安(ān)全狀态,檢測桌面系統的病毒防護軟件是否工作(zuò)正常。針對桌面系統的補丁自動檢測、下發和安(ān)裝(zhuāng),修複存在的安(ān)全漏洞。
對内網終端桌面行為(wèi)監管,對桌面系統上撥号行為(wèi)、打印行為(wèi)、外存使用(yòng)行為(wèi)、文(wén)件操作(zuò)行為(wèi)的監控,确保機密數據的安(ān)全,避免了内部保密數據的洩漏。
對内網終端的IP管理(lǐ):限制内網終端用(yòng)戶私自修改IP地址、MAC地址;通過策略可(kě)限制未分(fēn)配的地址,終端用(yòng)戶不得私自使用(yòng);
對内網終端桌面系統監管,管理(lǐ)員能(néng)夠遠(yuǎn)程查看桌面系統當前的詳細信息,包括:已安(ān)裝(zhuāng)軟件、已安(ān)裝(zhuāng)硬件、進程等。從而及早察覺發生在内網終端上的木(mù)馬、病毒等安(ān)全威脅。
