實訓(xùn)機房桌面終端統(tǒng)一安全管控模式探索與應(yīng)用

2021-03-27 10:17:00柳廣鵬陳偉杰

山東電力高等?？茖W(xué)校學(xué)報 2021年1期

王健，柳廣鵬，陳偉杰

（國家電網(wǎng)有限公司技術(shù)學(xué)院分公司，山東濟南 250002）

0 引言

實訓(xùn)機房是高校、培訓(xùn)機構(gòu)學(xué)生學(xué)員學(xué)習(xí)理論知識與實踐實操的公共場所[1]，也是教師與培訓(xùn)師上課、指導(dǎo)實驗的重要平臺。隨著高校教學(xué)模式轉(zhuǎn)變與信息化技術(shù)不斷革新，實訓(xùn)機房在高校中的應(yīng)用越來越廣泛，如很多教學(xué)、科研、培訓(xùn)、競賽、考試等重要項目都要在實訓(xùn)機房里完成。隨著實訓(xùn)機房需求量的增大，用于實訓(xùn)機房建設(shè)的投入增加。部分高校實訓(xùn)機房最初的網(wǎng)絡(luò)接入架構(gòu)不具有較好的擴展性，大部分實訓(xùn)平臺需要將實訓(xùn)機房桌面終端直接接入辦公網(wǎng)絡(luò)，對辦公網(wǎng)絡(luò)具有一定的安全威脅。部分高校實訓(xùn)機房采用老舊終端還原方式，無其他防護手段，無法保證終端安全性并且不便于統(tǒng)一管理，存在較大的網(wǎng)絡(luò)安全隱患[2]。一旦病毒接連爆發(fā)，會引起諸多終端安全事件[3]，對實訓(xùn)機房管理終端安全造成嚴(yán)重威脅[4]。

統(tǒng)計數(shù)據(jù)顯示，2019年上半年平均每周約23%的企業(yè)發(fā)生過終端木馬病毒感染事件，83%的企業(yè)終端至少存在一個未修復(fù)高危漏洞。究其根本存在企業(yè)終端操作系統(tǒng)版本較低，安全維護成本較高，不能及時安裝補丁等客觀因素，結(jié)果是企業(yè)終端病毒感染頻發(fā)[5]。在實訓(xùn)網(wǎng)絡(luò)中，因終端加固普遍缺失并且邊界安全防護不到位，若無意間通過U盤等方式傳播病毒，將在此類網(wǎng)絡(luò)中快速擴散，嚴(yán)重威脅網(wǎng)絡(luò)的安全性。本文從網(wǎng)絡(luò)安全角度出發(fā)，針對實訓(xùn)室機房面臨的網(wǎng)絡(luò)安全問題，建立實訓(xùn)桌面終端統(tǒng)一管控模式，實現(xiàn)了實訓(xùn)桌面終端統(tǒng)一更新病毒庫、統(tǒng)一策略分發(fā)、軟件更新、資產(chǎn)管理、終端審計等功能，減少了實訓(xùn)桌面終端的日常運維工作量，提高了實訓(xùn)桌面終端的安全性和運維效率。

1 實訓(xùn)機房桌面終端網(wǎng)絡(luò)安全威脅

實訓(xùn)機房網(wǎng)絡(luò)系統(tǒng)龐大，如不具備較強的安全管控手段，在組織大型培訓(xùn)、考試過程中，會出現(xiàn)終端藍(lán)屏、勒索病毒傳播等事件，且傳播速度較快，導(dǎo)致培訓(xùn)、考試過程中斷，并嚴(yán)重威脅辦公網(wǎng)絡(luò)安全。原實訓(xùn)機房網(wǎng)絡(luò)拓?fù)淙鐖D1所示。

圖1 原實訓(xùn)機房網(wǎng)絡(luò)拓?fù)鋱D

由圖1可見，實訓(xùn)網(wǎng)絡(luò)與內(nèi)部辦公網(wǎng)絡(luò)僅通過防火墻進(jìn)行隔離，無其他安全監(jiān)測與防護手段。對于內(nèi)部辦公網(wǎng)絡(luò)來說，實訓(xùn)網(wǎng)絡(luò)范圍廣，人員流動性較大，屬于不可信網(wǎng)絡(luò)。若實訓(xùn)網(wǎng)絡(luò)出現(xiàn)信息安全事件，將直接影響辦公網(wǎng)絡(luò)安全。實訓(xùn)室網(wǎng)絡(luò)具體存在的安全隱患有：

1）實訓(xùn)桌面操作系統(tǒng)版本不統(tǒng)一，涉及種類較多，如Win7、Win10、Win XP等，無法有效做好版本控制，安全漏洞無法及時有效進(jìn)行修復(fù)。

2）實訓(xùn)網(wǎng)絡(luò)并發(fā)能力差。部分實訓(xùn)室桌面終端使用HUB互聯(lián)，對于統(tǒng)一下發(fā)策略與軟件更新，網(wǎng)絡(luò)并發(fā)能力影響較大。

3）實訓(xùn)室配備老舊硬件還原卡或軟件還原卡，這些還原卡只提供傳統(tǒng)還原功能，無法增量系統(tǒng)軟件、補丁或策略。當(dāng)需要對終端進(jìn)行軟件與系統(tǒng)更新時，需逐臺手動切換每臺終端至開放模式，更新完成后再手動切換每臺終端至保護模式，工作量較大，缺少統(tǒng)一還原卡控制節(jié)點。

4）實訓(xùn)終端部署實訓(xùn)桌面與考試桌面雙系統(tǒng)，考試桌面系統(tǒng)采用自動獲取IP地址方式接入辦公網(wǎng)，實訓(xùn)桌面配置靜態(tài)私網(wǎng)地址用于培訓(xùn)教學(xué)。但實訓(xùn)桌面也可通過手動配置自動獲取IP地址方式接入辦公網(wǎng)，從而導(dǎo)致非法接入事件的發(fā)生。

5）實訓(xùn)桌面終端殺毒軟件更新不及時，實訓(xùn)終端的防病毒軟件為個人免費版本，無法及時連接互聯(lián)網(wǎng)進(jìn)行病毒庫更新，若終端遭受惡意攻擊和新型病毒感染，無法通過有效手段及時發(fā)現(xiàn)與阻斷。

6）實訓(xùn)桌面終端無法實現(xiàn)補丁修復(fù)，大部分實訓(xùn)桌面系統(tǒng)默認(rèn)已關(guān)閉或刪除Windows update服務(wù)，無法進(jìn)行系統(tǒng)補丁修復(fù)，導(dǎo)致終端中存在大量未修復(fù)漏洞，安全隱患較大。

7）無法實現(xiàn)準(zhǔn)入控制、非法外聯(lián)監(jiān)測、安全基線核查、補丁管理、病毒查殺、移動存儲管理、主機防火墻、終端審計、軟件分發(fā)、資產(chǎn)管理等功能，不能有效進(jìn)行統(tǒng)一安全管控。在考試前需人工對每臺終端進(jìn)行病毒查殺、補丁修復(fù)與軟件安裝，工作量較大。

針對上述問題，實訓(xùn)室亟需進(jìn)行網(wǎng)絡(luò)安全改造，實現(xiàn)對實訓(xùn)桌面終端準(zhǔn)入檢查、病毒查殺、補丁安裝、安全基線核查等，并實時監(jiān)控終端運行狀態(tài)，使實訓(xùn)桌面終端處于較安全狀態(tài)，提高實訓(xùn)桌面終端安全穩(wěn)定性，間接保障辦公網(wǎng)絡(luò)的安全穩(wěn)定。

2 網(wǎng)絡(luò)安全架構(gòu)優(yōu)化與技術(shù)應(yīng)用

實訓(xùn)機房暴露的安全問題具有普遍性，同時又有一定的特殊性。針對每一項具體的安全問題，結(jié)合實訓(xùn)機房具體情況，經(jīng)過反復(fù)論證與實踐，提出了有效的安全保障措施。

1）統(tǒng)一實訓(xùn)桌面終端操作系統(tǒng)版本，完全棄用Windows XP系統(tǒng)，根據(jù)不同實訓(xùn)室的終端硬件配置Win7 sp1旗艦版或Win10專業(yè)版，并保持原版操作系統(tǒng)功能及服務(wù)。在滿足教學(xué)培訓(xùn)及考試要求的同時，確保能夠統(tǒng)一進(jìn)行自動化補丁安裝、系統(tǒng)安全配置等操作。

2）改造實訓(xùn)室內(nèi)部網(wǎng)絡(luò)，撤除HUB，統(tǒng)一將實訓(xùn)室桌面終端接入本實訓(xùn)室網(wǎng)絡(luò)交換機，實現(xiàn)終端策略與數(shù)據(jù)快速分發(fā)。

3）更換實訓(xùn)桌面終端老舊軟硬件還原卡，統(tǒng)一使用新版硬件還原卡。只需將新版還原卡插入終端主機，并配置操作系統(tǒng)驅(qū)動，即可實現(xiàn)一次部署、多次使用。新版還原卡提供統(tǒng)一管控功能，不僅可以實現(xiàn)操作系統(tǒng)增量還原功能，還可以實現(xiàn)計算機名按序設(shè)置及操作系統(tǒng)IP統(tǒng)一設(shè)置。還原卡主控端提供對被控端的統(tǒng)一控制，包括統(tǒng)一切換保護模式與開放模式，統(tǒng)一喚醒、關(guān)機、重啟，封禁U盤，廣播教學(xué)等，符合實訓(xùn)室管理與教學(xué)要求，為建立實訓(xùn)桌面終端管理流程提供技術(shù)支持。

4）部署內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)（以下簡稱“管控系統(tǒng)”），實訓(xùn)桌面終端系統(tǒng)中安裝管理客戶端，形成C/S架構(gòu)部署，對實訓(xùn)桌面終端實現(xiàn)準(zhǔn)入控制、非法外聯(lián)監(jiān)測、安全基線核查、補丁管理、病毒查殺、移動存儲管理、主機防火墻、終端審計、軟件分發(fā)、資產(chǎn)管理等功能。

對已安裝管理客戶端的實訓(xùn)桌面終端進(jìn)行注冊，采用樹形組織與部門結(jié)構(gòu)，有效進(jìn)行資產(chǎn)管理。管控系統(tǒng)服務(wù)器端配置安全基線核查策略，若實訓(xùn)終端存在未安裝必需軟件、系統(tǒng)密碼強度不符合要求、未安裝必要補丁等情況，或出現(xiàn)實訓(xùn)桌面系統(tǒng)設(shè)置為自動獲取IP地址，但未進(jìn)行桌面終端注冊的情況，管控系統(tǒng)根據(jù)安全基線策略及軟件安裝準(zhǔn)入策略，配合各實訓(xùn)室網(wǎng)絡(luò)交換機802.1x準(zhǔn)入?yún)f(xié)議自動禁止其接入網(wǎng)絡(luò)，確保不發(fā)生“帶病入網(wǎng)”和非法接入事件。管控系統(tǒng)準(zhǔn)入認(rèn)證過程如圖2所示。

圖2 管控系統(tǒng)準(zhǔn)入認(rèn)證過程

5）管控系統(tǒng)可以對移動存儲設(shè)備進(jìn)行授權(quán)及審計，只允許授權(quán)設(shè)備接入實訓(xùn)桌面終端，可最大程度杜絕移動設(shè)備病毒傳播。管理客戶端具備防病毒軟件及主機防火墻的功能，并可通過服務(wù)器端進(jìn)行病毒庫更新。若終端發(fā)生惡意攻擊、病毒感染等事件，管理客戶端可自動進(jìn)行查殺與阻斷，并回傳數(shù)據(jù)到服務(wù)器，及時告警，后臺管理員可快速進(jìn)行處置。

6）管控系統(tǒng)具備補丁的下發(fā)安裝功能。服務(wù)器端自動匯總實訓(xùn)桌面終端缺失補丁詳細(xì)信息，后臺管理員只需在服務(wù)器中導(dǎo)入相應(yīng)補丁，并配置相應(yīng)的下發(fā)策略。在實訓(xùn)桌面終端開機并連接到管控系統(tǒng)的情況下，自動進(jìn)行補丁安裝，可在短時間內(nèi)完成桌面終端加固。

7）新版還原卡與管控系統(tǒng)相互配合。使用還原卡主控端統(tǒng)一打開實訓(xùn)終端開放模式，利用管控系統(tǒng)服務(wù)器端下發(fā)策略進(jìn)行客戶端病毒查殺、病毒庫更新、補丁修復(fù)等工作，完成后再利用還原卡主控端統(tǒng)一打開實訓(xùn)終端保護模式，將已加固完成的操作系統(tǒng)進(jìn)行保存，增加實訓(xùn)終端的可控性與安全性，減少實訓(xùn)終端運維管理的工作量。

通過部署安全風(fēng)險管理與審計系統(tǒng)、完善實訓(xùn)桌面操作系統(tǒng)功能、配置增量還原卡、提高網(wǎng)絡(luò)并發(fā)能力等具體舉措，形成完整的實訓(xùn)桌面終端加固方案，實現(xiàn)實訓(xùn)桌面終端高效運維的工作流程，大大提高實訓(xùn)桌面的安全性和運維效率。

3 實訓(xùn)機房桌面終端統(tǒng)一安全管控模式應(yīng)用成效

通過實訓(xùn)桌面終端統(tǒng)一安全管控模式探索與應(yīng)用，實現(xiàn)實訓(xùn)桌面終端統(tǒng)一更新病毒庫、統(tǒng)一策略分發(fā)、軟件更新、資產(chǎn)管理、終端審計等功能，提升了安全防護水平，減少了IT運維工作的投入，全面實現(xiàn)信息化技術(shù)監(jiān)管。安全加固后的實訓(xùn)機房網(wǎng)絡(luò)拓?fù)淙鐖D3所示。

圖3 安全加固后實訓(xùn)機房網(wǎng)絡(luò)拓?fù)鋱D

由圖3可見，實訓(xùn)機房經(jīng)過安全加固后，主要有以下成效：

1）網(wǎng)絡(luò)邊界安全。在實訓(xùn)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)邊界添加入侵防御（IPS）設(shè)備，監(jiān)測進(jìn)入辦公網(wǎng)絡(luò)的流量，攔截惡意流量，進(jìn)一步提高邊界安全性。

2）實訓(xùn)桌面終端安全性。實訓(xùn)桌面終端使用原版微軟系統(tǒng)，可杜絕系統(tǒng)自帶流氓軟件，新版還原卡與管控系統(tǒng)相互配合，對實訓(xùn)桌面終端進(jìn)行設(shè)備準(zhǔn)入檢查、病毒查殺、補丁安裝、安全基線核查等。實時監(jiān)控終端運行狀態(tài)，使實訓(xùn)終端保持較安全狀態(tài)，提高實訓(xùn)終端的安全性，間接保障辦公網(wǎng)絡(luò)的安全穩(wěn)定。

3）實訓(xùn)桌面終端運維管理。病毒查殺、補丁安裝等工作由服務(wù)器下發(fā)策略，客戶端自動執(zhí)行。實訓(xùn)機房桌面終端也可由每個實訓(xùn)機房的主控端進(jìn)行統(tǒng)一控制，無需對每臺實訓(xùn)終端進(jìn)行操作，減少運維操作工作量，提高運維效率。

4）提高培訓(xùn)教學(xué)效率。實訓(xùn)桌面終端教師機安裝新版還原卡主控端，主控端提供電子教室、文件共享、遠(yuǎn)程控制等功能，可直接用于培訓(xùn)教學(xué)，無需使用其他破解版電子教室軟件，提高培訓(xùn)教學(xué)效率。

4 結(jié)語