桌面终端安全防护技术企业网管理中的应用研究.doc

桌面终端安全防护技术企业网管理中的应用研究杨庆明 杜保东（大庆油田公司信息中心，黑龙江大庆 163453）摘要:本文介绍的桌面终端安全防护技术是主动式网络安全管理的重要技术之一，它集成了防病毒、主动威胁防护、网络威胁防护和端点准入控制技术，实现了对所有企业网网络终端的规范化管理和策略准入控制,保证了合法用户进入网络、拒绝非用户进入网络或拷贝数据。该方案以安全策略为核心，以客户端策略遵从性为强制为手段，从控制网络单体入手，通过多方软硬件相结合，从而加强用户终端的主动防御能力，实现保障整体网络的安全性。关键词: 终端安全防护 端点准入控制 主动威胁防护 负载均衡1 引言随着油田企业信息化的不断进步和发展，我们的工作和生活越来越依赖网络。企业网络面临的威胁也越来越大。而传统的安全方案主要围绕网络实现，例如：在网络边界上，采用防火墙对网络连接和访问的合法性进行控制；在网络传输上，采用入侵检测系统监视黑客攻击和非法网络活动； 在主机设备上，采用主机加固措施加强主机防护能力等等。虽然部署了这么多的安全设备，网络还是处于一个不可控的局面，网络安全事件还是层出不穷。作为网络组成部分的终端是网络与用户的接口，是安全保障比较脆弱的地方，也是一般网络安全解决方案所容易忽视的地方。据统计数据表明，网络安全的威胁60% 的来自网络内部，也就是网络内部的终端结构和操作系统的不安全所引起的，仅仅关注来自外部威胁的防火墙、入侵检测系统等传统安全措施，对来自内部的威胁显得无能为力，因此我们必须关注计算机终端本身的安全性。只有做到面向用户终端的安全保护和控制，才能使得控制措施来得更直接，效果也更好。企业网中的大多数网络安全事件都是由脆弱的用户终端和“失控”的网络使用行为所引起的。保证用户终端的安全、阻止威胁入侵网络，对用户的网络访问行为进行有效的控制，是企业网安全管理急需解决的问题。传统的访问控制技术曾在网络环境中成功实施，然而，随着互联网技术的发展，传统上对单台主机的威胁已经发展为对网络基础设施的攻击，原有的访问管理控制技术无法适应这种网络安全特点的新变化，在这种情况下，集防病毒、主动威胁防护、网络威胁防护和端点准入控制技术于一体的计算机桌面终端安全防护技术顺势而生1。2 终端安全防护的机理 终端安全防护是结合新型的网络准入控制技术和终端保护技术对所有访问网络的终端进行安全性审计和防护，并按照端点接入网络前的安全策略对其安全状态进行评估，根据评估结果进行端点准入控制，从而将蠕虫、木马和病毒等屏蔽在网络之外，确保只有符合组织安全标准的终端才能够接入网络。 终端安全防护的核心概念是从网络接入终端的准入控制入手，结合身份认证服务器，安全策略服务器和网络设备，以及第三方软件系统（杀毒软件和系统补丁服务器），完成对接入终端用户的强制认证和安全策略应用，从而达到保障整个网络安全的目的。 端点准入控制系统的设计有两个基本的理论前提：第一，网络安全状态的非稳定性。安全状态属于非稳定状态，意味着系统会随着时间迁移、变迁到非安全状态。因而，及时做好系统更新，将系统状态重新调整回安全状态，能够有效减少受攻击的可能；第二，网络安全状态的可控性。在网络环境中收集的网络及用户主机的状态信息越多，越能够准确地判断出网络所面临的风险，并及时给出应对措施，控制网络安全状态2。 准入控制系统设计原则包括以下三个方面： 1、接入限制。要求用户主机在享受网络服务前达到一定的安全要求，尽量避免单个用户的网络安全隐患对整个网络构成威胁。 2、主动控制。主动侦测用户和系统的网络安全状态，发现非安全状态时，触发控制反馈来调整用户和系统状态，从而保障整个网络的安全运行。 3、动态调整。通过对整个园区网网络设备的安全状态分析，应用一定的策略，动态智能地为其它安全设备调整规则提供依据。网络的安全威胁很大程度上来源于使用者本身。准入控制系统将自动更新、安全状态审核、准入控制等思想集中在一起，为整个企业网安全管理和安全审核应用提供了可扩展平台，实现了基于网络准入控制的企业网安全防御体系。图1 网络准入控制的运行环境3 终端安全防护系统架构终端防护系统由3个层次构成，分别为策略管理层、强制接入控制层和终端接入层，可以根据具体情况和需求任意组合使用。如图2图2 端点防护系统架构策略管理层是由策略管理服务器和数据库服务器组成。策略管理服务器是端点防护系统的核心，其主要用于创建企业安全策略，规划部署计划，指导客户端如何保护自身及网络的安全。策略管理服务器还能够收集管理员在此定义和分发安全、强制策略，准入控制服务器、客户端防护代理进行管理，用以创建安全策略并将策略下发到准入控制服务收集日志，维护油田公司网络的完整性、可用性。 强制接入控制层由Gateway Enforcer强制服务器、DHCP Enforcer强制服务器和LAN Enforcer强制服务器3个组件组合构成，接受策略管理层的策略，可以在不同的网络层次对接入端点进行合规性检查，隔离并自动修复违背安全策略的终端，直到达到安全策略要求，才能允许其访问相应网络资源。 终端接入层是端点防护系统安全策略的最终执行者与体现者。终端接入层由防病毒防间谍软件防护、网络威胁防护、主动威胁防护、网络准入控制四个模块构成。防病毒和反间谍模块技术采用基于扫描的传统技术，来识别端点设备上的病毒、蠕虫、特洛伊木马、间谍软件和其它恶意软件；网络威胁防护模块能有效地防御混合型威胁和阻止爆发；主动威胁防护模块用来防御利用已知漏洞的多种变种和未知的威胁；网络准入控制是一种新型主动式网络安全准入控制技术，它通过LAN Enforcer强制策略、Gateway Enforcer强制策略、DHCP Enforcer强制策略等技术手段实现对所有网络终端的规范化管理和策略准入控制，能够允许合法用户接入网络、拒绝非法用户的接入。4 终端安全防护系统的实现与应用通过技术对比与方案评估,我们采用了SYMANTEC 公司的Symantec(TM) Endpoint Protection 及 Symantec Network Access Control1来实现企业网的全面的端点防护及准入控制。由于油田企业网通过2条千兆光纤链路接入互联网，同时公司还有相当数量的远程VPN 移动用户和拨号用户, 为实现对所有网络终端的规范化管理和策略准入控制, 接入企业网网络的所有终端(含远程VPN 用户) 均部署SNAC的终端保护代理。4.1 在机关办公大楼内的2L Switch （H3C 5600） 交换机通过接入LAN Enforcer 策略强制服务器满足公司机关终端的网络准入控制。4.2 在机关园区内接入的二级单位的上联汇聚交换机和核心层交换机（H3C 9512）中间, 接入Gateway Enforcer 策略强制服务器满足附近单位接入公司总部网络的准入控制。4.3 对于大量的远程VPN 用户和无线网络接入的用户, 通过在公司网关防火墙和核心层交换机之间, 部署Gateway Enforcer 策略强制服务器满足远程VPN 用户的网络准入控制和策略强制。在公司园区通过网络准入(LAN Enforcer ) 和网关准入(Gateway Enforcer ) 两种方式实现终端准接入控制。Symantec Gateway Enforcer 安装于Linux 平台, 需要两块网卡并以透明桥方式接入,其中放置在两台防火墙之后的网关准入服务器配置为负载均衡模式(同时工作, 负载均衡) ; 网络准入LAN Enforcer 安装于Linux 平台,部署并配置为负载均衡模式(同时工作, 负载均衡)。由于网络准入Lan Enforcer , 需要交换机支持802.1 x 协议并在端口上配置802.1 x 端口认证4。详见图3。 图3 企业网终端安全防护系统架构拓扑图4.4 端点防护系统在大庆油田应用的风险控制端点防护系统的策略管理器、强制服务器是系统最重要组成部分，如果他们当中的一个出了问题，系统就不能正常运行，这要考虑如何使系统稳定运行的问题。 大庆油田策略管理器实现负载平衡的方式是根据策略管理器内置的负载平衡功能，通过策略管理器，管理员创建一个策略管理器列表。配置该策略管理器列表，以列出允许与终端代理通信的任何服务器。列表中的策略管理器根据 IP 地址、主机名或域名来定义。另外，配置服务器优先级，如果一些服务器不可用，那么代理将自动与列表中低一级的服务器进行通信，为相同的优先级配置多个服务器，同时，代理能够自动在具备相同优先级的每个服务器之间进行负载平衡。这样就能保证大庆油田代理客户端SEPA始终与策略管理器通信。 Gateway Enforcer主备切换模式（HA）, 在同一个应用点前采用两台Gateway Enforcer强制服务器并联接入，这样两台服务器中同时只有一台服务器在工作，当一台服务器出现故障时，会自动切换到另一台服务器，这样保证应用点始终受到保护。如果两台都出现故障时，强制服务器自带Fail Open 功能，能自动把网络直连，不影响用户正常访问网络应用点。 LAN Enforcer负载均衡模式。两个以上LAN Enforcer强制服务器注册到策略管理器同一个服务器组中便可以实现负载均衡,负载均衡不但减轻强制服务器的负担，而且也提供了故障转移功能，从而为系统正常运行提供了保证。当然如果所有的强制服务器LAN Enforcer出现故障，这时我们可以手动取消交换机所有的802.1X协议，也可以通过放开隔离VLAN 的受限访问控制, 这时隔离VLAN 和正常VLAN 没有区别,即和没有实施802.1X之前访问方式是一样的，通过这两种方法解决LAN Enforcer强制服务器出现故障时可以正常访问网络3。5 终端安全防护技术的应用效果5.1 提高了桌面安全管理系统的部署率。通过终端安全防护系统实施和应用，搭建了包括SEP端点准入系统、SAV防病毒系统和SMS补丁分发系统的“三位一体”的桌面安全管理系统。通过SEP端点准入系统的实施，强制赛门铁克防病毒系统和微软补丁分发系统部署到位；通过赛门铁克防病毒系统和微软补丁分发系统实现防病毒和系统安全漏洞及时修补功能。经过试运行，各单位的防病毒系统和补丁分发系统的部署率达到96%以上，提高了各联网单位客户端计算机的安全性，保证合规接入到中石油内部网络。5.2 提高了网络安全管理的效率，保证了企业网的高可用性。终端安全防护系统的运维和管理非常方便, 同时可以通过Web 直接访问。尤其是在对网络计算机进行准入控制的时候, 可以通过管理界面直观地看到网络内计算机的连接以及非认证连接的计算机。因此, 在日常管理工作中, 可以通过监控功能实时察看网络内攻击行为、违规行为等日志, 不定期升级相关IPS 库、策略模版即可实现。6 结束语伴随着网络技术的迅猛发展，网络安全的理念也在时刻发生变化。由前面分析我们意识到：单凭一味被动防御的安全理念已经支撑不住网络的整体安全体系。我们应该注重防御的同时，拓展事前干预的安全理念，变被动抵御为主动防御。终端安全防护技术实现了从网络接人端点的安全控制人手, 通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动, 对接入网络的用户终端强制实施安全策略, 可以实现合法用户正常连接进入到网络, 非法用户无法连接进入网络, 远程连入的用户也能够按照企业的网络管理规则签到而进入网络。这项技术为在企业网网络内如何做好安全控制提供了新的研究方向。参 考 文 献1 赛门铁克公司.Symantec 全面网络准入控制技术白皮书 . 2007