主动防御、接入安全——福建邮政的终端准入控制长期以来,计算机终端安全管理一直是整个信息网安全管理的一个薄弱环节,本文分析了计算机终端安全的主要问题,阐述了为加强计算机终端安全管理所采取的终端准入控制措施以及取得的效果,主要包括搭建终端准入控制系统、建立一体化终端安全管理体系和设计合理的终端准入控制安全策略。 为了加强信息安全管理,福建省邮政实施了一系列的网络改造和安全建设工程,通过部署防火墙设备、入侵检测系统、安全代理服务器、防病毒系统等以及下发了防火墙、远程接入、主干路由、主机、操作系统、数据库、网络、应用等方面的管理规定和技术规范,建立了以边界防护为主要模式的安全防护体系,信息网安全状况大大改善。但安全事件仍时有发生,计算机终端安全问题是主要原因之一。 一、 计算机终端安全管理存在的主要问题 在这几年的信息安全管理工作中,我们的精力主要集中在边界防护上,对于内部网络的计算机终端缺乏安全管理手段,使得由计算机终端引起的安全事件时有发生。计算机终端安全管理主要面临以下问题: 1、 接入管理混乱。外来终端可随意接入我省邮政信息网、无需认证,ip、mac地址随意更改、盗用,极易造成非授权访问。 2、 接入终端安全管控不力。无法及时发现补丁漏洞未及时升级安装、防病毒软件未安装、病毒库未及时更新的接入终端,病毒、木马事件时有发生;无法根据终端的安全级别进行分类和控制,造成重要信息随意存取、散播和泄漏;无法对终端的接入端口、外设进行管理和审计,造成信息的泄漏。 3、 接入终端桌面管控不力。终端随意安装与工作无关的软件;终端维护只能现场手工处理,维护工作效率低下。 4、 接入终端身份有效性无法验证,难以追踪安全事件的责任主体。 5、 对接入终端的网络资源使用情况缺乏管理手段,无法有效阻止个别终端p2p下载软件或病毒、木马造成的网络带宽堵塞。 综上所述,我们可以将计算机终端安全的主要问题归纳为身份验证、接入授权、安全管控、桌面管理和资源分配5个方面。由于邮政信息网中计算机终端数量多(我省管理网和生产网共有1万多台计算机终端)、接入方式多样,使用人员层次不同、流动性大、安全意识薄弱,终端极易受到攻击。计算机终端是各类信息产生的起点和销毁的终点,各种操作的实施点,同时也是信息全过程安全的控制点。计算机终端安全影响着整个信息系统安全,忽视计算机终端安全可能导致我们通过部署防火墙、入侵检测等系统构筑的安全防护“千里之堤”毁于一旦。 因此,要解决计算机终端安全问题,首先要解决终端的准入和安全控制问题,保证安全、可信的计算机终端接入网络,消除终端的不安全因素或将其减少到最小,从而保护网络的安全。 二、 搭建终端安全控制平台——终端准入控制系统 1、终端准入控制系统产品的选择 经过可行性研究分析,我们于2008年下半年组织终端准入控制系统的建设。在对比测试了h3c、国内某厂商和国外某厂商的终端安全管理产品之后,h3c ead终端准入控制系统以其能够实现准入控制系统与上网行为审计配合,能够与现有的网络管理系统及报表系统实现融合,可利用现网的h3c路由器、交换机、防火墙等设备作为策略执行器,节省设备投入,能够较好与我省的整体安全规划融合等突出表现,成为了我们最终的选择。 2、终端准入控制系统可靠性设计 由于安全策略服务器是全省windows 终端准入控制系统的核心指挥部件,该服务器的可靠运行关系到全网的正常运行,因此我省采用双机热备和逃生服务器相结合的方案提高终端准入控制系统的可靠性。 我们采用两台服务器和存储阵列构建双机热备的安全策略服务器集群,当主服务器失效时,可自动切换到备用服务器。但在极端情况下(如主、备服务器都出现异常,或者安全策略服务器上的终端准入控制软件出现异常),集群系统是无法保证终端准入控制系统的正常工作。此时,可采用逃生服务器方案作为应急方案,即在各地市中心再部署一台机器作为逃生服务器。 三、 建立一体化的终端安全管理体系 终端准入控制系统与其他的安全产品一样,同样会存在被破解、无法对所有用户完全覆盖等问题和风险。信息安全不是单纯的技术问题,唯有完善的管理,才能降低安全风险。因此需要在全网建立一体化的终端安全管理体系,实现终端安全全面和集中的管理。 我省终端安全管理工作主要体现在以下几个方面: (一)强化信息化安全宣传教育,提升全组织的安全意识。 成立各级信息安全领导小组,明确各部门在信息安全工作中的职责;每年定期组织安全管理员培训,提高安全管理员的理论知识和防范能力;适时对员工进行安全理念的灌输和相关安全管理办法的宣贯,提高全体员工对信息安全重要性的认识。 (二)建立终端管理的体系,明确全组织的安全责任。 要求在已有的省、市、县三级安全管理架构中,按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的要求,落实每一台终端的安全责任人,形成人人有责任、个个抓落实的责任机制。 (三)建立和完善终端准入相关的管理流程,减少安全隐患、降低安全事件的损害。 制定邮政员工和非邮政员工的入网流程,包括账户申请、变更和注销的管理流程;制定准入控制安全策略定制、分配、回收的流程;制定终端安全应急处理流程,明确突发的、重大的终端安全事件的应急处置流程,在危机出现时将损失降到最低;制定无线接入的流程和使用准则,加强对移动终端的安全控制;制定定期审计和分析机制,对各类终端行为进行有效审计,对各类风险予以完整、全面的识别、分析,对各类风险和事件进行关联性分析,从而实现对全网终端安全形势的全面了解,并在此基础上,不断完善各类安全策略和处置流程,达到安全管理的长期和有效。 (四)责任追究和奖惩。 责任追究目的是为了强化责任,奖励和惩罚是为了引导和规范用户的行为。一是要明确责任认定方法,二是要制定奖惩的标准。 三、 结束语 通过部署终端准入控制系统并制定和完善相关管理制度,我省终端接入混乱,终端安全和终端桌面管控不力的局面得到了很大的改善。但随着技术的发展,各种终端接入方式、终端外设接口类型以及针对终端的攻击技术日新月异,使得内部网络的计算机终端情况仍然错综复杂。计算机终端安全管理是一项任重而道远的工作。 | |||||
| |||||