长期以来,计算机终端安全管理一直是整个信息网安全管理的一个薄弱环节,本文分析了计算机终端安全的主要问题,阐述了福建邮政为加强计算机终端安全管理所采取的终端准入控制措施以及取得的效果,主要包括搭建终端准入控制系统、建立一体化终端安全管理体系和设计合理的终端准入控制安全策略。
为了加强信息安全管理,福建省邮政实施了一系列的网络改造和安全建设工程,通过部署防火墙设备、入侵检测系统、安全代理服务器、防病毒系统等以及下发了防火墙、远程接入、主干路由、主机、操作系统、数据库、网络、应用等方面的管理规定和技术规范,建立了以边界防护为主要模式的安全防护体系,信息网安全状况大大改善。但安全事件仍时有发生,计算机终端安全问题是主要原因之一。
一、 计算机终端安全管理存在的主要问题
在这几年的信息安全管理工作中,我们的精力主要集中在边界防护上,对于内部网络的计算机终端缺乏安全管理手段,使得由计算机终端引起的安全事件时有发生。计算机终端安全管理主要面临以下问题:
1、 接入管理混乱。外来终端可随意接入我省邮政信息网、无需认证,IP、MAC地址随意更改、盗用,极易造成非授权访问。
2、 接入终端安全管控不力。无法及时发现补丁漏洞未及时升级安装、防病毒软件未安装、病毒库未及时更新的接入终端,病毒、木马事件时有发生;无法根据终端的安全级别进行分类和控制,造成重要信息随意存取、散播和泄漏;无法对终端的接入端口、外设进行管理和审计,造成信息的泄漏。
3、 接入终端桌面管控不力。终端随意安装与工作无关的软件;终端维护只能现场手工处理,维护工作效率低下。
4、 接入终端身份有效性无法验证,难以追踪安全事件的责任主体。
5、 对接入终端的网络资源使用情况缺乏管理手段,无法有效阻止个别终端P2P下载软件或病毒、木马造成的网络带宽堵塞。
综上所述,我们可以将计算机终端安全的主要问题归纳为身份验证、接入授权、安全管控、桌面管理和资源分配5个方面。由于邮政信息网中计算机终端数量多(我省管理网和生产网共有1万多台计算机终端)、接入方式多样,使用人员层次不同、流动性大、安全意识薄弱,终端极易受到攻击。计算机终端是各类信息产生的起点和销毁的终点,各种操作的实施点,同时也是信息全过程安全的控制点。计算机终端安全影响着整个信息系统安全,忽视计算机终端安全可能导致我们通过部署防火墙、入侵检测等系统构筑的安全防护“千里之堤”毁于一旦。
因此,要解决计算机终端安全问题,首先要解决终端的准入和安全控制问题,保证安全、可信的计算机终端接入网络,消除终端的不安全因素或将其减少到更小,从而保护网络的安全。
二、 搭建终端安全控制平台——终端准入控制系统
(一) 终端准入控制系统产品的选择
经过可行性研究分析,我们于2008年下半年组织终端准入控制系统的建设。在对比测试了H3C、国内某厂商和国外某厂商的终端安全管理产品之后,H3C EAD终端准入控制系统以其能够实现准入控制系统与上网行为审计配合,能够与现有的网络管理系统及报表系统实现融合,可利用现网的H3C路由器、交换机、防火墙等设备作为策略执行器,节省设备投入,能够较好与我省的整体安全规划融合等突出表现,成为了我们更终的选择。
(二) 建设终端准入控制系统的主要设计考虑
1、终端准入控制系统组网方式选择:
EAD终端准入控制解决方案主要包括802.1X、Portal以及VPN准入控制协议三种组网方式。VPN准入控制协议主要使用在VPN网环境下,因此802.1X和Portal组网方式更适合我省邮政网络现状,前者根据部署方式的不同,又可分为接入层802.1X组网方式和汇聚层802.1X组网方式两种。组网如图1~图3所示。
图1 接入层802.1X网络拓扑图
图2 汇聚层802.1X网络拓扑图
图 3 Portal认证网络拓扑图
这三种组网方式可以并存在同一套网络中,但由于他们各有特点,因此需要结合现网实际的网络情况和安全考虑进行选择。
1) 接入层802.1X组网方式的安全级别更高。未通过身份和安全检查的终端,由于所连接的接入层交换机端口未打开,无法进行网络通信。
2) 汇聚层802.1X和Portal组网方式安全级别较接入层802.1X组网方式低。未通过身份和安全检查的终端,仍然可以访问终端到策略执行器之前的网络区域。可以在汇聚层或接入层网络设备上划分VLAN来保障不同网络区域之间的安全隔离。
3) Portal协议允许客户端不安装智能客户端软件,适用于无法安装智能客户端软件的终端,但由于不安装智能客户端软件就无法强制进行病毒软件、补丁等安全检查,安全级别更低,不建议采用不安装客户端的Portal组网方式。
4) 汇聚层802.1X和Portal组网方式对于客户端PC的接入交换机/HUB没有要求,因此比接入层802.1X组网方式适用的网络环境多。
5) 802.1X协议基于二层,Portal协议基于IP层,因此802.1X组网方式不能跨三层而Portal组网方式可以跨三层。
6) 不同组网方式都有所适用的网络设备作为策略执行器,例如接入层802.1X组网方式要求接入层交换机必须支持802.1X协议和IP ACL协议,因此,现网中网络设备的实际部署情况是选择组网方式的一个考虑因素。
我省在选择终端准入控制系统组网方式时,要求各地市中心原则上选择安全级别更高的接入层802.1X组网方式,其次选择汇聚层802.1X和汇聚层Portal组网方式。
2、终端准入控制系统可靠性设计
由于安全策略服务器是全省Windows 终端准入控制系统的核心指挥部件,该服务器的可靠运行关系到全网的正常运行,因此我省采用双机热备和逃生服务器相结合的方案提高终端准入控制系统的可靠性。
我们采用两台服务器和存储阵列构建双机热备的安全策略服务器集群,当主服务器失效时,可自动切换到备用服务器。但在极端情况下(如主、备服务器都出现异常,或者安全策略服务器上的终端准入控制软件出现异常),集群系统是无法保证终端准入控制系统的正常工作。此时,可采用逃生服务器方案作为应急方案,即在各地市中心再部署一台机器作为逃生服务器,如图4所示。
说明:以上的EAD主服务器可看作双机热备服务器集群。
图4 EAD逃生原理
各地市部署EAD逃生服务器后,策略执行器上需要配置两个Radius服务器地址,一个为双机热备服务器集群地址,一个是逃生服务器地址。这样,当出现双机集群异常、终端准入控制软件异常等情况,将切换到逃生服务器进行认证。逃生服务器实际不做任何认证和授权,即放行所有通信。逃生方案是在极端情况下,为保证生产和办公的临时应急解决方案。由于EAD逃生软件对服务资源开销需求很小,因此,可利旧性能较差的服务器或者使用PC机作为逃生服务器。
3、终端准入控制系统身份验证
由于全省的用户数较多,为了管理方便,我们引入了Windows AD(Active Directory,活动目录)域系统。终端准入控制系统使用Windows AD域系统的用户信息。Windows AD域系统可实现对全网Windows 用户信息的统一管理,也为日后实现各种安全设备、系统提供统一的用户身份验证平台准备好基础平台。
为了简化用户的登录操作,需要实现Windows AD域系统和EAD智能客户端一次性登录,即:不必在Windows登录时输入一遍用户口令后又要在访问网络时又要在智能客户端里再输入一次。身份验证流程如图5所示。
图5 智能客户端与windows AD域一次登录流程图
接入认证阶段:安装有智能客户端的用户终端开机后进入域登录界面,用户执行正常的域登录操作。智能客户端截获Windows AD域登录请求,使用域登录输入的用户名、密码同步发起802.1x或Portal认证。802.1x/Portal认证请求通过交换机转发到EAD服务器。
认证转发阶段:EAD服务器将用户认证请求通过LDAP接口转发到Windows域控制器,进行Windows域用户名、密码验证。通过Windows域控制器的身份认证后,再由EAD向用户终端授权网络访问权限。
域认证阶段:认证通过并获得网络访问权限的用户终端通过智能客户端的控制,继续完成域登录流程。
通过认证流程,用户只需执行正常的域登录操作,即可同时完成802.1x/Portal接入认证和Windows域登录认证,达到了统一认证和单点登录的目的。
三、 建立一体化的终端安全管理体系
终端准入控制系统与其他的安全产品一样,同样会存在被破解、无法对所有用户完全覆盖等问题和风险。信息安全不是单纯的技术问题,唯有完善的管理,才能降低安全风险。因此需要在全网建立一体化的终端安全管理体系,实现终端安全全面和集中的管理。
我省终端安全管理工作主要体现在以下几个方面:
(一) 强化信息化安全宣传教育,提升全组织的安全意识。
成立各级信息安全领导小组,明确各部门在信息安全工作中的职责;每年定期组织安全管理员培训,提高安全管理员的理论知识和防范能力;适时对员工进行安全理念的灌输和相关安全管理办法的宣贯,提高全体员工对信息安全重要性的认识。
(二) 建立终端管理的体系,明确全组织的安全责任。
要求在已有的省、市、县三级安全管理架构中,按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的要求,落实每一台终端的安全责任人,形成人人有责任、个个抓落实的责任机制。
(三) 建立和完善终端准入相关的管理流程,减少安全隐患、降低安全事件的损害。
制定邮政员工和非邮政员工的入网流程,包括账户申请、变更和注销的管理流程;制定准入控制安全策略定制、分配、回收的流程;制定终端安全应急处理流程,明确突发的、重大的终端安全事件的应急处置流程,在危机出现时将损失降到更低;制定无线接入的流程和使用准则,加强对移动终端的安全控制;制定定期审计和分析机制,对各类终端行为进行有效审计,对各类风险予以完整、全面的识别、分析,对各类风险和事件进行关联性分析,从而实现对全网终端安全形势的全面了解,并在此基础上,不断完善各类安全策略和处置流程,达到安全管理的长期和有效。
(四) 责任追究和奖惩。
责任追究目的是为了强化责任,奖励和惩罚是为了引导和规范用户的行为。一是要明确责任认定方法,二是要制定奖惩的标准。
四、 终端的安全管理策略设计
在终端安全管理中,终端的安全管理策略的制定是一个重要的方面。根据接入的网络区域、访问的信息系统、使用的用户类型等方面的不同,计算机终端对安全的要求是有差异的,因此所采用的安全策略也不尽相同。我省的安全策略是根据终端的安全级别进行设计。从大的方面,可分为三类安全级别的终端:
生产网的终端,其对安全的要求更高;
管理网中的、需要访问较重要的系统、接触重要的信息、执行特殊的任务、不允许访问互联网的终端。此类终端对安全的要求也很高,但与生产网终端有差别。
管理网中的普通终端,其对安全的要求更低。
安全策略设计内容主要包括:
可控软件组:即制定软件或进程的黑、白名单。
防病毒策略:检查病毒库和扫描引擎版本是否及时更新。将EAD系统与防病毒系统联动,定期将趋势防病毒系统的病毒库和扫描引擎版本同步到EAD系统中。
Windows补丁管理:要求与Windows WSUS补丁服务器联动检查补丁。
流量控制策略:包括IP流量监控、广播报文监控、TCP/UDP连接数监控,保证大部分使用者获得基本的网络资源。同时视频会议系统的客户端对流量的需求不同于其他客户端,因此流量控制策略设计分为视频会议客户端策略和非视频会议客户端策略两类。
终端外设检查:主要包括USB、光驱等外设接口接入的监控或禁用。
客户端ACL设计:包括隔离ACL和安全ACL。隔离ACL包括隔离区的服务器,主要是病毒和补丁服务器等。安全ACL根据如下用户访问矩阵表中所允许访问的对象进行设计。
信息系统分类
人员类别 |
生产系统 |
生产辅助管理系统 |
邮政内部信息系统 |
开发系统 |
|
业务人员 |
√ |
× |
√ |
× |
|
业务管理人员 |
× |
√ |
√ |
× |
|
与业务无关人员 |
× |
× |
√ |
× |
|
与业务无关管理人员 |
× |
√ |
√ |
× |
|
业务系统维护人员 |
√ |
√ |
√ |
× |
|
开发人员 |
× |
× |
√ |
√ |
其他安全策略:包括禁止终端用户启用多网卡、限制终端用户使用代理服务器、禁止终端用户修改MAC地址、使用MAC地址和帐号绑定功能等,不再详述。
以上是大的方面的策略设计,在使用过程中,出现了一些具体的情况,需要设置特别的安全策略。例如,对于数据分析人员,不允许使用USB和光驱,对打印内容进行监控,不能上互联网。
五、 结束语
通过部署终端准入控制系统并制定和完善相关管理制度,我省终端接入混乱,终端安全和终端桌面管控不力的局面得到了很大的改善。但随着技术的发展,各种终端接入方式、终端外设接口类型以及针对终端的攻击技术日新月异,使得内部网络的计算机终端情况仍然错综复杂。计算机终端安全管理是一项任重而道远的工作。
