公安内网中终端信息安全的研究分析

1、    公安内网中终端信息安全的研究分析    吴承坤摘 要：随着技术的发展，各种攻击手段越来越高明，人们把外围的封堵越做越复杂，相应投入到开发、管理、维护的费用也越来越高，然而实际的收效却不尽如人意。可见，传统的安全手段暴露出其局限性，已经不能完全适应当前信息系统的安全需求。产生这种局面的根源在于不去控制安全问题发生的源头主机终端。从组成信息系统的服务器、网络、主机终端三个层面上来看，现有的保护手段是逐层递减的，这说明人们往往把过多的注意力放在对服务器和网络的保护上，而忽略了对终端安全的保护。关键词：终端；安全；架构；管理方法终端往往是创建和存放重要数

2、据的源头，而且绝大多数的攻击事件都是从终端发起的。如果信息系统中每一个使用者都是经过授权和认证的，其操作都是符合安全策略的规定，那么攻击性事件就会大大降低，就能有效保证整个信息系统安全。因此，只有立足于主机终端，从终端安全管控入手，才能更好解决信息系统整体安全问题。通过对终端安全事件的追溯与研究，我们发现，终端安全主要由以下几个方面引起的：一是终端资产管理问题，资产的识别和清算已经成为信息安全管理的基础，传统上通常采用人工报备的资产管理方式。这种方式不但工作量大、信息收集不够准确全面，而且常常需要重复劳动，无法提高安全管理部门的工作效率，满足不了大型信息系统的细粒度资产管理需求。二是终端设备运

3、维管理问题，承载各种业务系统、应用软件和数据库的服务器、终端以及网络设备已经成为保障业务系统正常运转的基础设施。在整个网络中，这些基础设施设备必须进行整体管理与监控，发现异常立即报警已经成为了避免系统性风险的必要技术手段。三是外设管理问题随着u盘、光盘、无线、蓝牙等外设的广泛使用，外部设备已经成为数据交换的主要途径，与此同时也成为近几年数据泄密、病毒感染的主要途径。其中移动存储因其体积小、容量大、价格低、携带方便的特性，在日常工作中发挥着重要作用，但它为工作提供便利的同时，也为信息安全带来了极大隐患，甚至已经造成了非常严重的后果。已经感染病毒、木马的优盘随意插入终端、内部存有敏感数据的移动介质

4、毫无保护地拿到外部使用，都给内部安全管理带来极大的挑战。一、解决思路要解决上面提出的终端系统存在的安全问题，在解决思路上我们要以安全管理为核心，安全技术为基础。安全管理必须从实际管理需求出发，形成对安全管理、监测、响应、防护的工作闭环，形成对终端安全状态、行为、安全事件全面监测能力，实现对安全威胁和风险的分析、预判，事件的防护和控制，有效支撑安全管理工作需求，提供完整的安全管理解决方案和可操作的落地产品，帮助安全管理员有效监控终端安全状况，做出正确的安全决策。针对移动存储介质的使用现状，在管理上，要制定完善的制度，实现对移动存储介质的注册管理要求，包括：登记、清点、责任人和责任部门等。在技术上

5、要完成对移动存储介质注册、使用权限、操作内容的检测、控制和审计，对违规行为进行相应的阻断和告警。整体以管理为核心，以技术为基础，实现对移动存储介质在管辖区域内全生命周期的安全管理要求。二、解决方法终端安全监管防护系统的目标是实现终端计算机设备、安全事件统一管理，完成安全策略的统一配置，在功能上实现对设备、补丁、进程、服務、运维等安全要素的监控，保证内部数据安全，实现基于软件标签技术实现对网内的usb移动存储介质进行统一注册管理、权限控制和审计功能，可对违规使用移动存储介质行为进行智能识别和告警。实现终端系统的全面安全防护和加固，保障内部网络安全。2.1系统架构终端安全监管防护系统采用b/s、c

6、/s结合的架构模式，系统主要由终端代理软件、管理服务组成。管理服务通过web统一管理策略和展示结果，终端代理软件执行策略要求的任务并上报结果数据。（1）数据采集单元数据采集单元由安全检查项数据采集模块、安全运维与监测数据项采集模块组成。数据采集单元是整个系统对终端信息安全状况的采集点，实现主机安全管理系统所需安全元数据的采集和对设备、系统的安全项检查。系统的可扩充架构设计使得其数据采集与执行单元包含的内容可以随着以后终端信息安全需求的不断增加而扩充。（2）管理控制中心管控中心单元作为系统终端控制的决策中心主要负责对系统检查、控制策略和分析策略的配置以及系统功能模块的前线配置，通过安全策略指挥数

7、据采集、执行单元和分析、认证单元进行有序的工作；同时还是系统数据转接中心，负责把采集、执行单元上报的日志数据进行初步规整、过滤处理后，存入数据库，给分析、认证单元提供分析和认证处理的源数据。保障系统的有序业务工作和稳定运行。（3）数据分析、认证单元数据分析、认证单元单元整合控制执行单元采集的数据，结合后端各个数据逻辑分析和认证部件，实现对身份认证、终端安全状态评估、违规事件提醒以及相关终端全事件和安全趋势的统计分析过程。分析处理单元的输出数据进入系统数据库，通过网页形式详细展现，并通过短信、页面提醒方式，第一时间多渠道通知相关人员，及时提醒其做好对安全事件的查处工作。（4）web前端单元web

8、前端单元包含三个部分：系统安全业务信息查询安全配置和运维管理。信息展现网页是人机交互单元的主要部分，承载系统要求的各个功能模块的数据显示与配置操作功能。任何接入管辖区域网络的计算机均可以直接通过浏览器连接站点进行访问，查看系统提供的开放数据；同时系统管理人员可通过特权账号加密码方式登录系统网站后台进行管理员和用户权限配置和各个模块的功能配置操作。2.2要实现的功能（1）设备管理通过技术手段对管辖范围内的内网设备进行自动发现和识别，可以不依赖申报备案，发现并智能识别网络中的各种设备（计算机、服务器、音视频设备、网络设备等），同时提供对设备的注册管理功能。（2）终端管控根据终端设备运行环境的安全状

9、态，控制设备、系统以及软件程序的安全操作和运行情况，主要包括：外设控制、进程控制、开关机控制、共享控制、痕迹清理。实现对设备以及系统安全操作和数据出入口的安全管理，对安全事件和风险进行有效防护。（3）安全检查系统内置安全检查模块，实现对未安装和运行杀毒软件、未打补丁，账户安全、共享安全、usb使用安全、上网痕迹、软件安装、进程运行情况的检查，并且对这些安全检查项数据进行按区域和部门汇总统计，辅助安全管理员及时发现问题，处理安全事件。（4）运维监测系统内置安全运维监测和分析模块，实现对cpu异常、内存异常、流量异常、应用点击异常、连接数异常的数据采集，通过异常建模和数据关联分析，实现对风险异常的判断，辅助管理员对进行安全决策，保障核心设备运行稳定。结语：对终端用户的安全策略进行统一管理，根据不同的用户和功能配置和执行不同安全策略，策略的灵活管理满足了在线用户、离线用户、以及笔记本用户的使用，确保安全的情况下不影响应用。终端安全监管防护系统建设完成后，能够实现终端的智能监控与管理，为加强内部信息网络安全管理提供高效的管理工具。满足终端安全管理需要。能够形成日常化监测机制，实现对内部信息网终端的监测与检查，形成终端安全管理的常态化、日常化工作机制。实现对移动存储设备的有效管控。做到内部信息带不走：系统实现了对移动存储介质信息交换出口的严格监控，