建立終端安全管理體系迫在眉睫

■北京交通大學(xué)國家氣象信息中心曹磊

隨著信息化建設(shè)的推進(jìn),目前整個(gè)IT系統(tǒng)的建設(shè)已經(jīng)具備了相當(dāng)?shù)囊?guī)模,網(wǎng)絡(luò)、服務(wù)器、終端機(jī)和運(yùn)行在上面的應(yīng)用系統(tǒng)形成了整個(gè)業(yè)務(wù)運(yùn)行的基礎(chǔ)支撐環(huán)境,業(yè)務(wù)系統(tǒng)越來越依賴于IT系統(tǒng),而作為整個(gè)IT基礎(chǔ)設(shè)施中數(shù)量最多的終端機(jī),是IT管理部門最為頭疼的問題。一方面,由于計(jì)算機(jī)設(shè)備的更新和變化,對(duì)計(jì)算機(jī)設(shè)備的管理經(jīng)常處于一種無序及手工統(tǒng)計(jì)的狀態(tài);另一方面,安全漏洞與日俱增,新的病毒充斥網(wǎng)絡(luò),原有的手工安裝和分發(fā)升級(jí)文件包及補(bǔ)丁不僅需要更多的人力資源,還會(huì)造成時(shí)間的遲滯,影響運(yùn)行效率,給單位帶來損失;再者,非法辦公軟件及其他軟件的使用,不但造成了生產(chǎn)效率的低下,也給單位的形象造成了很壞的影響。

終端桌面安全管理技術(shù)的興起是伴隨著網(wǎng)絡(luò)管理事務(wù)密集度的增加,作為網(wǎng)絡(luò)管理技術(shù)的邊緣產(chǎn)物而衍生的,它同傳統(tǒng)安全防御體系的缺陷相關(guān)聯(lián),是傳統(tǒng)網(wǎng)絡(luò)安全防范體系的補(bǔ)充,也是未來網(wǎng)絡(luò)安全防范體系重要的組成部分。

內(nèi)部網(wǎng)絡(luò)面臨安全問題

現(xiàn)代網(wǎng)絡(luò)安全管理體系的日臻完善,使得對(duì)網(wǎng)絡(luò)終端桌面安全管理的需求強(qiáng)烈凸現(xiàn)出來。正確、全面地認(rèn)識(shí)終端桌面管理產(chǎn)品的發(fā)展趨勢和技術(shù)特點(diǎn),是IT研發(fā)廠商面臨的發(fā)展抉擇,同時(shí)也是企、事業(yè)IT管理人員和高層決策人員在進(jìn)行終端桌面安全防護(hù)部署時(shí)必須考慮的問題。

近兩年的安全防御調(diào)查也表明,政府、企業(yè)及金融證券等單位中超過80%的管理和安全問題來自終端,計(jì)算機(jī)終端廣泛涉及每個(gè)用戶,由于其分散性、不被重視、安全手段缺乏的特點(diǎn),已成為信息安全體系的薄弱環(huán)節(jié)。因此,網(wǎng)絡(luò)安全呈現(xiàn)出了新的發(fā)展趨勢,對(duì)于各政府企業(yè)網(wǎng)絡(luò)來說,安全戰(zhàn)場已經(jīng)逐步由核心與主干的防護(hù),轉(zhuǎn)向網(wǎng)絡(luò)邊緣的每一個(gè)終端。

提起網(wǎng)絡(luò)安全,人們自然就會(huì)想到病毒破壞和黑客攻擊,其實(shí)不然。常規(guī)安全防御理念往往局限在網(wǎng)關(guān)級(jí)別、網(wǎng)絡(luò)邊界(防火墻、漏洞掃描、防病毒、IDS)等方面的防御,重要的安全設(shè)施大致集中于機(jī)房或網(wǎng)絡(luò)入口處,在這些設(shè)備的嚴(yán)密監(jiān)控下,來自網(wǎng)絡(luò)外部的安全威脅大大減小。相反,來自網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)終端的安全威脅卻是眾多安全管理人員普遍反映的問題。

自2003年來,以SQL蠕蟲、“沖擊波”、“震蕩波”等病毒的連續(xù)性爆發(fā)以及多種木馬程序的蔓延為起點(diǎn),到計(jì)算機(jī)文件泄密、硬件資產(chǎn)丟失、服務(wù)器系統(tǒng)癱瘓等諸多終端安全事件在各地網(wǎng)絡(luò)頻繁發(fā)生,增加了網(wǎng)絡(luò)管理人員的工作量。一些常見的終端安全威脅隨時(shí)隨地都可能影響著用戶網(wǎng)絡(luò)的正常運(yùn)行,這也顯現(xiàn)出終端管理的缺乏。

對(duì)癥下藥主動(dòng)防御

解決以上這些問題的有效方法是建立終端安全管理體系。

操作系統(tǒng)存在自身的弱點(diǎn)就是在應(yīng)用中不斷出現(xiàn)漏洞,這將形成一個(gè)變化中的安全風(fēng)險(xiǎn),讓攻擊者有威脅計(jì)算機(jī)安全的可乘之機(jī)。一些蠕蟲會(huì)發(fā)現(xiàn)并利用漏洞進(jìn)入計(jì)算機(jī)操作系統(tǒng)。過去,我們被迫要等到爆發(fā)之后再寫一個(gè)特征碼來防護(hù)操作系統(tǒng);現(xiàn)在,我們要采用混合型威脅防護(hù),即主動(dòng)式防護(hù)來保護(hù)我們的計(jì)算機(jī)安全性。

病毒、蠕蟲破壞一類的網(wǎng)絡(luò)安全事件在網(wǎng)絡(luò)安全領(lǐng)域一直沒有一個(gè)根本的解決辦法,其中的原因是多方面的:有人為的原因,如不安裝防殺病毒軟件、病毒庫未及時(shí)升級(jí)等等;也有技術(shù)上的原因,如殺毒軟件、入侵防范系統(tǒng)等安全技術(shù)對(duì)新類型、新變異的病毒、蠕蟲的防護(hù)往往要落后一步,危害無法避免。通過終端安全管理系統(tǒng),我們可以控制病毒、蠕蟲的危害程度,只要我們針對(duì)不同的原因采取有針對(duì)性的切實(shí)有效的防護(hù)辦法,就會(huì)使病毒、蠕蟲對(duì)網(wǎng)絡(luò)的危害降低到最低限度。

僅靠單一、簡單的防護(hù)技術(shù)是難以防護(hù)病毒、蠕蟲的威脅的。對(duì)當(dāng)前肆虐于開放網(wǎng)絡(luò)環(huán)境中的大量病毒、蠕蟲威脅,必須采用多層次的安全防護(hù)策略,歸結(jié)起來是:事前預(yù)防、事中隔離、事后修復(fù)和殺毒聯(lián)動(dòng)。

新型的網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)(Network Access Control, NAC )是在端點(diǎn)連接到網(wǎng)絡(luò)之前對(duì)它們的安全狀態(tài)進(jìn)行審計(jì),并在連接到標(biāo)準(zhǔn)企業(yè)網(wǎng)絡(luò)之前進(jìn)行適當(dāng)?shù)馗?從而將蠕蟲和病毒屏蔽在網(wǎng)絡(luò)之外,也能強(qiáng)制執(zhí)行應(yīng)用級(jí)的安全策略。網(wǎng)絡(luò)準(zhǔn)入控制是一個(gè)過程,它通過強(qiáng)制執(zhí)行作為網(wǎng)絡(luò)訪問前提條件的IT安全策略,來減少網(wǎng)絡(luò)安全事件,增強(qiáng)對(duì)安全制度的遵從。網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)通過保證每個(gè)端點(diǎn)在安全上不做任何妥協(xié),阻止不安全和未授權(quán)的行為,在網(wǎng)絡(luò)中排除未授權(quán)的設(shè)備,從而保護(hù)網(wǎng)絡(luò)的安全性和完整性。網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)通過確認(rèn)設(shè)備的安全策略,創(chuàng)建加密的虛擬桌面環(huán)境,在會(huì)話結(jié)束后清除所有傳輸過去的數(shù)據(jù),將對(duì)機(jī)密數(shù)據(jù)的保護(hù)延展到非企業(yè)所屬的設(shè)備之上。

網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)基于一個(gè)全新系統(tǒng)架構(gòu),它將整個(gè)內(nèi)網(wǎng)安全防護(hù)策略劃分為邏輯上的三個(gè)組成部分:

1. 內(nèi)網(wǎng)邊界安全防護(hù):此部分架構(gòu)實(shí)現(xiàn)對(duì)來自網(wǎng)絡(luò)外部的安全威脅進(jìn)行安全防護(hù)。

2. 內(nèi)網(wǎng)安全威脅防護(hù):此部分架構(gòu)實(shí)現(xiàn)對(duì)來自網(wǎng)絡(luò)內(nèi)部的安全威脅進(jìn)行防護(hù)。

3. 外網(wǎng)移動(dòng)用戶安全接入防護(hù):此部分架構(gòu)用于保證內(nèi)部移動(dòng)用戶所處網(wǎng)絡(luò)環(huán)境的變換,以及當(dāng)移動(dòng)用戶處于外網(wǎng)安全防護(hù)薄弱網(wǎng)絡(luò)環(huán)境中自身安全、接入企業(yè)網(wǎng)絡(luò)安全。

由此可見,只有建立完整的終端安全管理體系才能有效保護(hù)我們的內(nèi)部網(wǎng)絡(luò)安全。終端安全管理體系是能夠提供端點(diǎn)的全程、縱深端點(diǎn)安全保障體系(如圖1所示)。

利用全新系統(tǒng)架構(gòu),我們建立的終端安全管理系統(tǒng)是一個(gè)主動(dòng)的安全防御體系,與傳統(tǒng)的解決方案有所不同(如圖2 所示)。打個(gè)比方:子彈射出之后,如何阻截飛速前進(jìn)的子彈,以了解我們是否有比利用磁鐵來追趕子彈更好的解決方案。例如,我們可以適當(dāng)采取主動(dòng)的預(yù)防措施(比如防彈背心),以便在子彈導(dǎo)致破壞之前阻截子彈;或者為槍裝一把鎖,以防止子彈射出槍膛;或者我們可以使攻擊者不知道向哪里發(fā)射子彈,就像在布滿鏡子的大廳中一樣。在計(jì)算機(jī)世界,我們可能正在對(duì)付數(shù)以百萬的“子彈” —— 互聯(lián)網(wǎng)上每時(shí)每刻存在著數(shù)百萬蠕蟲和混合型威脅。要阻截這數(shù)百萬的“子彈”,我們必須在主機(jī)、服務(wù)器和整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)中部署功能相似的各種技術(shù),積極阻截這些威脅。

因此采取必要的措施和手段,來保護(hù)網(wǎng)絡(luò)與信息的安全是非常必要的。建立一個(gè)安全策略保證系統(tǒng),包括:內(nèi)網(wǎng)邊界安全防護(hù)實(shí)現(xiàn)對(duì)來自網(wǎng)絡(luò)外部的安全威脅進(jìn)行安全防護(hù);內(nèi)網(wǎng)安全威脅防護(hù)實(shí)現(xiàn)對(duì)來自網(wǎng)絡(luò)內(nèi)部的安全威脅進(jìn)行防護(hù);外網(wǎng)移動(dòng)用戶安全接入防護(hù)保證內(nèi)部移動(dòng)用戶所處網(wǎng)絡(luò)環(huán)境的變換,以及當(dāng)移動(dòng)用戶處于外網(wǎng)安全防護(hù)薄弱網(wǎng)絡(luò)環(huán)境中自身安全、接入網(wǎng)絡(luò)安全。通過保證網(wǎng)絡(luò)中所屬的每個(gè)終端的安全性,阻止不安全和未授權(quán)的行為,在網(wǎng)絡(luò)中排除未授權(quán)的設(shè)備,從而保護(hù)網(wǎng)絡(luò)的安全完整性。針對(duì)網(wǎng)絡(luò)端點(diǎn)在將來實(shí)際運(yùn)行過程中可能遇到的各種安全威脅,采用發(fā)現(xiàn)、遵守、強(qiáng)制、自動(dòng)修復(fù)四方面行之有效的安全措施,建立一個(gè)全方位并易于管理的安全體系,保證該內(nèi)部網(wǎng)絡(luò)能夠安全、穩(wěn)定、可靠地運(yùn)行。

綜上所述,終端安全管理體系可以提供全面的終端安全管理功能,對(duì)氣象業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)提供了有效的安全防護(hù),規(guī)范了所有的氣象業(yè)務(wù)網(wǎng)絡(luò)終端的網(wǎng)絡(luò)安全行為。終端安全管理體系可以實(shí)現(xiàn)從網(wǎng)絡(luò)、操作系統(tǒng)、主機(jī)完整性檢查和修復(fù)等多層面的整體端點(diǎn)安全方案,這將很好地保護(hù)終端的安全,更好地為用戶服務(wù)。