邊 遠(yuǎn)

（國(guó)防大學(xué)聯(lián)合作戰(zhàn)學(xué)院，石家莊 050084）

1 系統(tǒng)建設(shè)目標(biāo)

終端安全管控系統(tǒng)著力解決的是：什么人能上網(wǎng)？（準(zhǔn)入控制問(wèn)題）什么機(jī)器能上網(wǎng)？（健康檢查問(wèn)題）上網(wǎng)的人有權(quán)做什么？（受控訪問(wèn)問(wèn)題）上網(wǎng)的人都做了什么？（行為審計(jì)問(wèn)題）四類問(wèn)題，實(shí)現(xiàn)終端安全管控的一體化和精確化，確保終端合規(guī)、受控，從源頭消除漏洞和威脅。有效解決終端接入失控、終端安全失察、資源訪問(wèn)無(wú)序、管理效能不高這些現(xiàn)實(shí)性問(wèn)題。

2 終端安全管控系統(tǒng)的總體設(shè)計(jì)

2.1 設(shè)計(jì)思路

終端安全管控系統(tǒng)將用戶劃分為三類，非法用戶；合法不合規(guī)用戶，合法不合規(guī)用戶是指身份合法但是沒(méi)有通過(guò)終端健康檢查的用戶；對(duì)于非法用戶要阻止其訪問(wèn)網(wǎng)絡(luò)，對(duì)于合法不合規(guī)的用戶要進(jìn)行隔離修復(fù)，對(duì)于合法合規(guī)的用戶要實(shí)現(xiàn)其受控訪問(wèn)，加強(qiáng)對(duì)用戶行為的監(jiān)控和審計(jì)。這樣就實(shí)現(xiàn)了從用戶終端到應(yīng)用系統(tǒng)的全過(guò)程控制與管理。

2.2 系統(tǒng)部署

2.2.1 系統(tǒng)區(qū)域劃分

區(qū)域劃分是終端安全管控系統(tǒng)部署的前提條件，系統(tǒng)將校園網(wǎng)劃分為終端域、認(rèn)證域、隔離域和認(rèn)證后域4個(gè)區(qū)域。

（1）終端域。終端域是指用戶終端所在的區(qū)域，系統(tǒng)將所有的用戶終端從邏輯上規(guī)劃在這個(gè)區(qū)域，以便進(jìn)行集中管控。

（2）認(rèn)證域。認(rèn)證域是指對(duì)用戶進(jìn)行身份認(rèn)證和管理的區(qū)域。通過(guò)部署在該區(qū)域終端安全管控系統(tǒng)服務(wù)端，實(shí)現(xiàn)終端用戶的身份認(rèn)證、安全策略配置、訪問(wèn)權(quán)限分配、終端的安全狀態(tài)查詢等功能。

（3）隔離域。隔離域是指當(dāng)終端用戶未能夠通過(guò)終端健康度檢查時(shí)，將終端用戶隔離到的區(qū)域。通過(guò)該區(qū)域設(shè)置的防病毒服務(wù)器、補(bǔ)丁服務(wù)器等，實(shí)現(xiàn)用戶終端的健康修復(fù)。

（4）認(rèn)證后域。認(rèn)證后域是指終端用戶通過(guò)了身份認(rèn)證和終端健康檢查后，可以訪問(wèn)的區(qū)域。認(rèn)證后域部署著校園網(wǎng)各類信息資源和應(yīng)用系統(tǒng)，根據(jù)業(yè)務(wù)需求，認(rèn)證后域的資源可進(jìn)一步細(xì)分為若干個(gè)相互隔離的受控域，以此實(shí)現(xiàn)用戶的按權(quán)限訪問(wèn)。

2.2.2 服務(wù)端硬件部署

終端安全管控系統(tǒng)服務(wù)端采用2臺(tái)高性能服務(wù)器承載，部署于校園網(wǎng)數(shù)據(jù)中心，2臺(tái)服務(wù)器采用冗余熱備模式，防止單點(diǎn)故障。服務(wù)器通過(guò)光纖連接至核心交換機(jī)，鏈路帶寬達(dá)萬(wàn)兆。

2.2.3 服務(wù)端軟件部署

系統(tǒng)硬件設(shè)備部署完成后，在其上搭建系統(tǒng)管理平臺(tái)，通過(guò)平臺(tái)對(duì)入網(wǎng)用戶信息進(jìn)行配置，將每一個(gè)用戶的用戶名、密碼、終端的IP地址、用戶有權(quán)訪問(wèn)的受控域等信息關(guān)聯(lián)起來(lái)，形成一個(gè)用戶配置表，以此實(shí)現(xiàn)用戶的身份認(rèn)證和安全管理。同時(shí)在平臺(tái)上配置終端健康檢查策略，從而為客戶端程序進(jìn)行終端健康檢查提供依據(jù)。

2.2.4 客戶端部署

每臺(tái)入網(wǎng)終端必須安裝終端安全管控系統(tǒng)客戶端?？蛻舳说闹饕δ苁前l(fā)起身份認(rèn)證請(qǐng)求，進(jìn)行終端健康檢查和用戶行為監(jiān)控。系統(tǒng)服務(wù)端搭建完成后，管理員可通過(guò)系統(tǒng)向全網(wǎng)終端用戶推送引導(dǎo)頁(yè)面，指導(dǎo)用戶下載安裝系統(tǒng)客戶端，通過(guò)這種方式，可極大地減少系統(tǒng)部署的工作量。

3 系統(tǒng)功能

終端安全管控系統(tǒng)，主要具備終端準(zhǔn)入控制、終端健康度檢查、用戶權(quán)限控制、IP地址管理、端口安全可視化管理等五個(gè)方面功能：

（1）終端準(zhǔn)入控制。準(zhǔn)入控制是終端安全管控的關(guān)鍵環(huán)節(jié)，解決的是“什么人能上網(wǎng)”的問(wèn)題。終端安全管控系統(tǒng)，采用用戶名+密碼的實(shí)名認(rèn)證方式，用戶名和密碼檢測(cè)通過(guò)后，用戶才能接入網(wǎng)絡(luò)。

（2）終端健康度檢查。終端健康度檢查是對(duì)入網(wǎng)終端進(jìn)行安全檢查，解決的是“什么機(jī)器能上網(wǎng)”的問(wèn)題。終端安全管控系統(tǒng)基于“先檢查，再入網(wǎng)”的原則，確保終端自身的安全性、合規(guī)性。

（3）用戶權(quán)限控制。用戶權(quán)限控制是對(duì)入網(wǎng)用戶訪問(wèn)網(wǎng)絡(luò)資源權(quán)限的管理，解決的是“上網(wǎng)的人有權(quán)做什么”的問(wèn)題。終端安全管控系統(tǒng)能夠基于部門、類型、角色等不同屬性配置訪問(wèn)規(guī)則，對(duì)越權(quán)訪問(wèn)可實(shí)時(shí)阻斷，從而實(shí)現(xiàn)安全可控的訪問(wèn)權(quán)限管理。

（4）IP地址管理。終端安全管控系統(tǒng)可對(duì)IP地址進(jìn)行自動(dòng)綁定、下發(fā)、回收、定位、追溯。對(duì)IP地址私設(shè)、私改行為實(shí)時(shí)告警并自動(dòng)阻斷。自動(dòng)采集終端IP地址的使用情況、在線狀態(tài)等信息，以圖形、圖表方式可視化呈現(xiàn)，實(shí)現(xiàn)IP地址全生命周期的可視化管理。

（5）端口安全可視化管理。系統(tǒng)利用簡(jiǎn)單可網(wǎng)管協(xié)議（SNMP）與交換機(jī)建立實(shí)時(shí)聯(lián)動(dòng)，將網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、終端分布情況、交換機(jī)運(yùn)行狀態(tài)以多視圖方式呈現(xiàn)，并能夠精確提供端口級(jí)統(tǒng)計(jì)、端口級(jí)下掛統(tǒng)計(jì)、端口空閑狀態(tài)統(tǒng)計(jì)，違規(guī)接入端口統(tǒng)計(jì)等圖表信息，管理員可在圖形界面下直接對(duì)端口進(jìn)行管理操作，實(shí)現(xiàn)網(wǎng)絡(luò)層端口級(jí)安全可視管理。