余新生

中國石化集團洛陽石油化工工程公司 河南 471003

0 引言

安全威脅在形式上呈多樣化，除傳統(tǒng)的計算機病毒、黑客攻擊及垃圾郵件外，間諜軟件、惡意軟件、網(wǎng)絡(luò)釣魚、網(wǎng)絡(luò)竊密和網(wǎng)絡(luò)犯罪等已成為新的威脅，而且危害程度遠高于傳統(tǒng)的病毒。它們在表現(xiàn)形式上不僅以單一形式出現(xiàn)，還往往以混合形式出現(xiàn)，破壞力更大，目的也從過去單純的攻擊破壞轉(zhuǎn)向網(wǎng)絡(luò)竊取等犯罪行為。如果不能防范這些安全威脅，造成信息泄露和信息破壞，勢必會給企業(yè)的信息系統(tǒng)及生產(chǎn)經(jīng)營帶來不利影響甚至重大損失。

1 來自桌面計算機的安全威脅

由于桌面機數(shù)量與種類眾多，配置雜亂，軟硬件、操作系統(tǒng)種類五花八門，使得它們的安全狀況極其復(fù)雜。用戶沒有給系統(tǒng)打補丁的概念和習(xí)慣，也不知道如何打。未安裝殺毒軟件或病毒庫不升級。用戶私自安裝、卸載軟件。隨意改變硬件配置或重裝系統(tǒng)，使安全性降低。長期不關(guān)機。隨意使用移動存儲介質(zhì)。有風(fēng)險的上網(wǎng)行為。私設(shè)上網(wǎng)出口。

2 建立集中式的桌面計算機安全防護體系

來自桌面計算機的安全威脅給企業(yè)網(wǎng)絡(luò)及信息系統(tǒng)帶來了很大的安全威脅，沒有桌面機的安全就沒有整個網(wǎng)絡(luò)的安全。由于用戶水平參差不齊，缺乏專業(yè)知識，因此不能指望由用戶來對桌面機進行全面的安全防護，企業(yè)的信息管理部門必須構(gòu)建一個集中式的桌面計算機安全管理和防護體系，通過統(tǒng)一的管理平臺對所有桌面機統(tǒng)一實施安全防護，包括統(tǒng)一打補丁，統(tǒng)一安裝與升級殺毒軟件，統(tǒng)一進行安全配置，統(tǒng)一實施安全策略等。

為了描述方便，本文中使用的桌面計算機、客戶機、用戶終端和用戶端計算機等術(shù)語含義一樣，均指用戶的個人計算機。

2.1 統(tǒng)一進行桌面安全管理

桌面計算機狀況混亂，地理位置分散，使得信息管理部門對它們的日常維護難度增大，效率降低，無法批量進行安裝殺毒軟件、打補丁的操作，更難以統(tǒng)計桌面計算機的軟硬資產(chǎn)。

建立企業(yè)級的桌面安全管理系統(tǒng)是解決這些問題的有效途徑。該系統(tǒng)能夠?qū)ψ烂嬗嬎銠C實行統(tǒng)一的管理和保護，包括資產(chǎn)管理、資產(chǎn)分析統(tǒng)計、資產(chǎn)發(fā)現(xiàn)、移動設(shè)備控制、補丁分發(fā)、軟件分發(fā)、防病毒管理、遠程協(xié)助、終端操作監(jiān)管等。系統(tǒng)自動檢測收集桌面計算機的軟硬件資產(chǎn)信息，生成統(tǒng)計報表資料，減輕管理員日常維護的難度。通過病毒防護和補丁分發(fā)，可保證桌面計算機防病毒系統(tǒng)和系統(tǒng)補丁的及時更新。通過軟件分發(fā)將常用的工具軟件自動安裝到每臺機器，可解決用戶不安裝規(guī)定軟件的問題。還可以對移動存儲介質(zhì)進行統(tǒng)一控制，防止由其引起的信息泄露和病毒感染。對實時了解桌面計算機的系統(tǒng)配置、在線情況和運行進程，監(jiān)控違規(guī)行為，限制其執(zhí)行不相關(guān)的軟件?？梢越y(tǒng)一強制關(guān)閉客戶機系統(tǒng)和電源。

2.2 使用活動目錄統(tǒng)一設(shè)置安全策略

Windows系統(tǒng)的活動目錄(AD)是為了便于對企業(yè)網(wǎng)絡(luò)中各類對象(如用戶、計算機)及各類資源(如打印機、文件夾、程序)進行集中管理而建立的。一個AD包含一個或多個域，為了讓用戶在本地的域控制器上登錄以節(jié)省時間，需在當(dāng)?shù)亟⒁粋€站點。

管理員可使用組策略(GP)針對特定的計算機或用戶進行多種系統(tǒng)管理工作，比如設(shè)置賬戶策略、本地策略和用戶權(quán)限，分發(fā)與刪除軟件，配置桌面和 IE 瀏覽器，下載與安裝WSUS補丁，制定啟動/關(guān)機及登錄/注銷腳本等。

2.3 統(tǒng)一進行網(wǎng)絡(luò)準入控制

用戶計算機端普遍存在著病毒感染、不升級病毒庫和系統(tǒng)補丁、安裝禁用軟件、卸載規(guī)定軟件、濫用移動存儲設(shè)備等安全問題。這些計算機若接入網(wǎng)絡(luò)會造成嚴重的安全威脅，必須對它們實施入網(wǎng)準入控制。

網(wǎng)絡(luò)準入系統(tǒng)(或叫端點準入系統(tǒng))用來保護用戶終端的安全、防止非法入侵及控制用戶的網(wǎng)絡(luò)訪問行為。系統(tǒng)一般包含端點安全代理、網(wǎng)絡(luò)接入設(shè)備、策略服務(wù)器和準入控制等組件。端點安全代理即客戶端軟件安裝在每一臺端點計算機上，負責(zé)從終端上的安全軟件如防病毒軟件、操作系統(tǒng)收集安全狀態(tài)信息，并將其傳給網(wǎng)絡(luò)接入設(shè)備，包括路由器、交換機、VPN網(wǎng)關(guān)、無線接入點等，它們把端點的安全狀態(tài)信息傳給策略服務(wù)器，由它進行評估，確定將采用的接入策略是許可、拒絕、隔離還是限制端點接入網(wǎng)絡(luò)。

就是說，網(wǎng)絡(luò)準入系統(tǒng)要依靠各組件與第三方軟件之間的聯(lián)動，對接入網(wǎng)絡(luò)的終端計算機強制實施統(tǒng)一的安全策略，控制其對網(wǎng)絡(luò)的訪問權(quán)限。首先對要接入網(wǎng)絡(luò)的終端進行用戶身份認證，如基于802.1x協(xié)議，對連接到交換機端口上的用戶或設(shè)備進行認證，認證通過后再根據(jù)既定的安全策略對終端進行強制安全審計，判斷其是否安裝了系統(tǒng)補丁、防病毒軟件及病毒庫更新及規(guī)定的軟件等，對符合安全標準的端點允許接入，否則限制或拒絕接入，或者讓其進入隔離區(qū)進行修補，直至完全符合安全策略后才允許其接入。系統(tǒng)對接入的終端進行監(jiān)視，時刻檢查其是否符合安全策略。

2.4 統(tǒng)一分發(fā)補丁

客戶機不及時安裝補丁就不能保證系統(tǒng)安全。大部分用戶可能不會打補丁，或打不完整，所以打補丁應(yīng)整體解決。設(shè)立WSUS服務(wù)器為本地計算機提供統(tǒng)一升級服務(wù)，讓服務(wù)器每日自動與微軟的更新服務(wù)器同步，下載最新補丁。針對客戶機應(yīng)把相關(guān)組策略設(shè)置為自動從本地 WSUS服務(wù)器獲取更新并安裝，不要配置為手動安裝，因為這樣會被用戶忽略?？蛻魴C自動與服務(wù)器通信，下載新補丁并在后臺安裝。

根據(jù)網(wǎng)絡(luò)規(guī)?？梢栽O(shè)立多臺 WSUS服務(wù)器。為避免WSUS下載的補丁與客戶機上某些應(yīng)用軟件發(fā)生沖突，建議在提供客戶機安裝之前針對所有客戶機的應(yīng)用環(huán)境進行測試。

通過企業(yè)的桌面安全管理系統(tǒng)也可以強制客戶機安裝補丁，效果上還要優(yōu)于WSUS方式，因為后者不具有強制性。

2.5 統(tǒng)一防治病毒

網(wǎng)絡(luò)環(huán)境應(yīng)使用網(wǎng)絡(luò)版防病毒軟件構(gòu)建集中式的病毒防護體系，對桌面系統(tǒng)實行統(tǒng)一的防病毒策略控制和病毒庫升級。

根據(jù)網(wǎng)絡(luò)大小與計算機分布情況選擇建立分層的病毒防護體系。第一層是控制中心，在總部設(shè)立一臺或數(shù)臺防病毒服務(wù)器，負責(zé)總部客戶機(及下屬區(qū)域中心防病毒服務(wù)器)的病毒庫文件升級和防病毒策略制定。必要時建立第二層區(qū)域中心，設(shè)立一臺防病毒服務(wù)器，從中心防病毒服務(wù)器接受病毒庫信息和防護策略，為本區(qū)域客戶端服務(wù)。最后一層是客戶端，在各客戶機安裝防病毒客戶端，受防病毒服務(wù)器的統(tǒng)一管理。

中心防病毒服務(wù)器每日進行病毒庫的更新，更新方式有自動更新和手動更新兩種。下層區(qū)域中心的防病毒服務(wù)器既可采取這兩種方式更新，也可從上一層的防病毒服務(wù)器更新?？蛻魴C更新一般通過防病毒服務(wù)器進行，筆記本計算機應(yīng)允許手動更新。

2.6 統(tǒng)一管理上網(wǎng)行為

從如下方面對用戶的上網(wǎng)行為實行嚴格管理和審計：(1)過濾網(wǎng)頁，根據(jù)URL分類和關(guān)鍵字阻止訪問非法和不良網(wǎng)頁，封鎖或限制訪問影響工作效率、占用帶寬的網(wǎng)站。(2)控制網(wǎng)絡(luò)應(yīng)用，對即時通信(如QQ、MSN等)、視頻、游戲、炒股等應(yīng)用進行識別、控制、封鎖或限制訪問。(3)管理流量帶寬，封堵或限制占用帶寬的應(yīng)用，特別是P2P下載(BT、迅雷等)和網(wǎng)絡(luò)視頻。(4)控制http、ftp上下載文件。(5)審計SMTP電子郵件或webmail郵件防止機密外泄。(6)審計與控制聊天和論壇發(fā)帖內(nèi)容。(7)實時監(jiān)控上網(wǎng)行為，如在線用戶、網(wǎng)絡(luò)流量、帶寬占用、訪問網(wǎng)頁、發(fā)送的電子郵件等。

許多網(wǎng)絡(luò)應(yīng)用為了突破封鎖，服務(wù)器采取多個IP地址、可變端口、內(nèi)容加密傳輸?shù)确绞?，使用傳統(tǒng)手段已很難識別，必須借助專業(yè)的上網(wǎng)行為管理設(shè)備來進行識別。

2.7 統(tǒng)一使用代理服務(wù)器上網(wǎng)

代理服務(wù)器被認為是防火墻的一種，也可以擔(dān)負一些內(nèi)容過濾、訪問限制以及管理用戶控制用戶瀏覽權(quán)限的任務(wù)。傳統(tǒng)的代理服務(wù)器僅支持http、ftp服務(wù)，不支持P2P、IM等應(yīng)用，所以用來限制上網(wǎng)行為更為便利。不過，隨著不少的應(yīng)用如QQ、迅雷和網(wǎng)絡(luò)視頻等紛紛支持80端口傳輸，代理服務(wù)器也就無力限制了。

對上網(wǎng)用戶進行嚴格的身份認證，建議把用戶名、IP地址、MAC地址三者捆綁，有效防止盜用IP地址的行為。

2.8 統(tǒng)一控制網(wǎng)絡(luò)流量與帶寬

在企業(yè)的因特網(wǎng)出口、廣域網(wǎng)出口甚至內(nèi)網(wǎng)的帶寬瓶頸處，P2P流量會擠占帶寬，影響正常業(yè)務(wù)的傳輸。在這些地方必須控制網(wǎng)絡(luò)流量，精細地識別各種應(yīng)用，進行帶寬管理。在線路兩端同時實施流量控制效果最佳，或者在分支機構(gòu)一端實施。

2.9 統(tǒng)一反垃圾郵件

垃圾郵件占電子郵件總量的一半以上，其中不乏病毒和不良信息。傳統(tǒng)的依靠關(guān)鍵字過濾、郵件地址和IP地址阻止、RBL黑名單過濾等技術(shù)已經(jīng)對付不了當(dāng)前的垃圾郵件，因此有必要在網(wǎng)絡(luò)邊界部署專業(yè)的反垃圾郵件網(wǎng)關(guān)，智能化地識別垃圾郵件，且準確率高，誤判率低。

3 結(jié)束語

在企業(yè)網(wǎng)絡(luò)中對桌面計算機實行集中式的安全防護，做到統(tǒng)一策略、統(tǒng)一部署、統(tǒng)一管理，克服各自為政、漏洞百出的混亂局面，是理想的解決方案。當(dāng)然，這些防護措施離不開其它防護措施的配合，如網(wǎng)絡(luò)邊界安全防護、容災(zāi)備份以及運維管理等，充分利用路由器、交換機、防火墻、入侵檢測/入侵防御、防病毒網(wǎng)關(guān)、VPN網(wǎng)關(guān)、日志審計等網(wǎng)絡(luò)設(shè)施開展協(xié)同工作，才能形成強有力的全方位安全防御體系。

[1]張桂新.桌面安全管理在油田企業(yè)中的應(yīng)用[J].石油儀器.2008.

[2]侯志剛.端點準入系統(tǒng)在網(wǎng)絡(luò)中的應(yīng)用[J].煉油與化工.2009.