企业网中计算机终端安全管理体系研究

企业网中计算机终端安全管理体系研究祖峰北京邮电大学计算机科学与技术系,北京(100876E-mail:摘要:计算机终端是大多数用户访问网络和数据的工具,但是许多组织却在信息安全管理及部署中忽略了对终端的控制,通常一个企业或组织会把安全精力集中放在部署防火墙等边界安全防护上来保护其内部数据不受外来入侵者的非法访问,却因为对计算机终端的管理不善而造成数据丢失或系统被入侵。这篇文章提供企业网计算机终端安全管理体系结构,可以实现对计算机终端安全的整体管理以降低风险。关键词:终端管理,终端安全,计算机终端1.引言随着近年来企业的信息化过程越来越迅速,信息安全问题也逐步被重视,但现今人们主要把焦点都集中在网络边界的防护上,而研究表明信息安全问题事件的大多数原因是由于对网络内部IT终端的管理不善而造成的,据CERT报道有九成以上的安全问题是由于计算机终端系统的脆弱性及配置不当造成的,诸如缺少补丁,脆弱的用户名密码或开启不必要的服务等,可见计算机终端的安全管理已经成为信息安全的最大潜在威胁。网络安全呈现出了新的发展趋势,安全战场已经逐步由对核心与主干的防护,转向对网络边缘的每一个终端的管理。2.体系架构ISO27001[1]标准是简历信息安全管理系统的一套需求规范,其中详细的说明了建立、实施和维护信息安全管理体系的要求,指出实施机构应该遵循的风险评估标准。通过资产评估及风险评估后,对当前的安全状况有了总体的认识和明确的目标,然后有重点有预防的来制定和建立相应的安全机制,以达到增强计算机终端系统的整体安全性。2.1总体结构图1计算机终端安全管理的总体设计结构基于ISO27001的管理与技术相结合的思想,总体结构如图1所示。终端管理系统将实现管理支撑、终端设备支撑、技术支撑,包括以下三个方面:z建设终端支持管理平台;z实现终端的安全管理;z建立规范化的终端运行维护管理制度、管理流程以及服务支持体系。本文主要详细介绍终端支持管理平台的设计与实现。3.终端支持管理平台实现图2终端支持管理平台终端支持管理平台是实现终端管理的基础性平台,其基本架构如图2所示,终端支持管理平台通过基础网络对终端实现有效的安全管理策略,同时也可以对基础网络和服务实现支撑功能。系统管理员对终端安全管理平台进行系统运行管理,包括系统配置、系统管理、系统运行报告、故障告警等;终端支持管理平台主要有域管理,接入控制,补丁管理和运行监控等功能,同时提供与跟其它系统的接口。3.1域管理系统域管理系统可以实现用户和终端管理,提供对用户、应用程序和设备的单一、一致性的管理点,加强终端安全性[2]。并且向用户提供单一的网络资源登录,为管理员提供强大、一致性的工具以使他们能够管理为内部计算机用户、远程拨号用户以及外部客户提供的安全服务。域管理是实施服务器管理、终端管理的基础,也为财务、人事、电子邮件、企业信息门户、办公自动化、防病毒系统等各种应用系统提供支持,是安全体系建设的基础。在通常的设计中有单域和多域两种域模型可以考虑,如表1所示。对于不同企业规模可根据自身需求进行设计。表1单域与多域比较域管理系统可采用windows的活动目录系统(ActiveDirectory。ActiveDirectory是面向WindowsStandardServer、WindowsEnterpriseServer以及WindowsDatacenterServer的目录服务。ActiveDirectory存储了有关网络对象的信息,并且让管理员和用户能够轻松地查找和使用这些信息。ActiveDirectory使用了一种结构化的数据存储方式,并以此作为基础对目录信息进行合乎逻辑的分层组织。目录域主要实现如下功能[3]:z基础网络服务:包括DNS、WINS、DHCP、证书服务等。z服务器及客户端计算机管理:管理服务器及客户端计算机帐户,所有服务器及客户端计算机加入域管理并实施组策略。z用户服务:管理用户域帐户、用户信息、企业通讯录(与电子邮件系统集成、用户组管理、用户身份认证、用户授权管理等。z资源管理:管理打印机、文件共享服务等网络资源。z桌面配置:系统管理员可以集中的配置各种桌面配置策略,如:界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。z应用系统支撑:支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。3.2终端接入保护系统接入防护主要解决桌面对于网络资源的使用问题。网络资源包括局域网络和VPN网络。网络资源是承载所有信息化应用的平台,这个资源的合法合理使用,有利于保证整个信息化系统的正常运转。在目前的网络资源使用中,有如下突出问题需要解决:非企业终端资产的计算机使用网络资源,例如外来办事的人员随意使用局域网资源。企业内部终端资产的计算机在使用网络资源时,感染病毒,并且成为病毒源,利用局域网络大量发送病毒信息,干扰正常的网络资源使用。通过VPN网络使用企业信息化应用时,往往使用笔记本或者家庭中的计算机,这些计算机如果没有防病毒软件以及及时补丁的保护,会造成病毒从VPN网络攻击到内部信息化应用。终端接入控制流程如图3所示:图3接入控制流程当计算机接入企业网络时,系统会对计算机终端进行安全检查,安装在计算机上的网络接入保护客户端自动启动终端检查过程,检查的项目包括:z补丁的安装情况:Windows系统的各种补丁是否按照企业的要求安装。z防病毒软件的安装情况:防病毒软件是否按照企业的要求安装。z病毒代码库的更新情况:病毒代码库是否是最新的。z防火墙的配置情况:是否开启了计算机防火墙功能。z特定服务的运行状况:计算机上的一些服务是否正常启动。z计算机或者用户所属的组:计算机或用户是否属于允许接入的安全组。z时间:计算机时钟是否正确。计算机通过了健康状态认证后,计算机可以正常接入企业内部网络,可以访问内部资源:文件、应用、内部网站等。如果计算机没有得到认可,计算机将被限制在控制区域内,进行修补服务,不能访问任何企业内部资源,直到修补完成,具备健康接入的条件后,重新接入。3.3补丁管理系统为重点解决网络安全的“常见病”、“多发病”,同时适应网络安全需求的动态变化性,需要随时掌握网络安全的最新信息,在对系统漏洞进行扫描的基础上,对终端和服务器进行补丁管理。补丁管理的功能主要包括补丁扫描、补丁分发和安装、软硬件资产信息收集、软件分发和远程支持等功能。补丁管理平台的主要实现如下功能:z安全补丁漏洞扫描系统可以提供对管理范围内的终端进行定期的、自动的补丁漏洞扫描,扫描范围包括大部分常用软件。z补丁分发和安装系统可以提供操作系统、Office系统、以及其他应用程序的补丁下载、打包、分发和安装。并能够有效监控补丁安全的状态信息。z远程支持补丁管理平台还需要提供远程桌面终端的协助功能。补丁管理平台要为系统管理员提供丰富的远程诊断、远程帮助工具,使得系统管理员能够对异地的终端系统进行远程诊断、修复。z软件分发补丁管理平台在提供安全补丁包分发外,还需要提供其他软件包分发的功能,以满足企业的应用软件和数据文件的分发需求。补丁管理系统可采用SystemsManagementServer实现。SMS提供了集中式修改与配置管理解决方案,以帮助组织机构针对由基于Windows操作系统的PC设备构成的各种规模的部署方式进行管理,补丁管理与软件分发过程如下所示:图4补丁管理流程补丁管理流程说明(如图4所示:工具安装阶段:将扫描工具同步组件安装到担当同步任务服务器上,同时也下发给终端;同步阶段:同步服务器通过Internet从微软不定发布网站下载最新的补丁公告列表,并将将最新的布丁公告列表下发给终端;更新阶段:终端在接到最新的补丁公告列表后,自动评估自身是否存在漏洞,然后将评估列表反馈给同步服务器,同步服务器根据反馈情况下载需要更新的补丁软件,然后打包下发给客户端;图5软件分发流程软件分发流程:如图5所示,系统管理员根据需要制作分发软件包,存放到发布存储服务器上,然后通告终端到指定的服务器上去获取软件包,软件包的安装支持网络安装和下载到本地安装两种模式。3.4平台监控系统平台监控系统使用综合的界面来实时监控服务器所遇到的各种问题,可以将系统与应用中发生的事件及时反映到平台监控管理系统,帮助系统管理员及时发现与解决问题,并可以通过电子邮件等方式将告警信息实时发送到管理员。运行监控的内容包括基础操作系统、域控制器、DNS服务、补丁管理服务器等,具体项目如下[4]:(1基础操作系统:(2域控制服务器:(3DNS服务:（4）补丁管理服务器：平台监控系统可采用MicrosoftMOM2005系统软件。MOM2005提供了全面的事件和性能管理、主动监视和警报、报告和趋势分析以及特定于系统和应用程序的知识和任务来改进基于Windows的服务器和应用程序的可管理性。MOM提供了复杂事件管理、监督和报警、报告及流向分析。MOM包括合并事件并确认哪些事件对于管理员来说是最重要的能力。基于预定义的标准，MOM能够自动配置对事件产生响应，包括联系管理员或自动解决事件。MOM结构包括不同组件，以图6所示说明了MOM的逻辑组件[2]：图6MOM逻辑组件配置组的基本组件为：MOM数据库—MicrosoftSQL服务器数据库存储配置数据并监测数据。所有的事件信息和规则逻辑均存储在其中MOMDCAM(数据访问服务器—中央MOM服务器代理程序—在每个被监测计算机上运行MOM管理员控制台—MOM用户界面MOM的拓扑结构支持单一配置组(Single、多主代理的多配置组(Multi-Home或报警转发的多配置组(Multi-TierwithAlertForwarding的三种拓扑模式：(1单一配置：在单一配置组拓扑中，是单一SQL数据库服务于一个或多个数据访问服务器。该拓扑提供了一个中央管理模型，是三种模式中最容易管理的一种，此模式支持在单个或多个域的环境下使用。(2支持多主机代理的多配置组：适于多种不同的管理需求，被管理的服务器可同时属于不同的配置组。(3支持报警转发的多配置组：适于层次化的管理需求，实现事件告警、管理/监控任务分配多级提升。企业可根据自身的情况选择合适的拓扑结构，已满足自身的需求。3.5系统接口终端支持管理平台可以与其它安全系统和体系进行接口。如图7所示。通过与终端支持-6-管理平台接口，SOC可以实现终端安全的集中控制和管理。通过与IPS/IDS等网络边界保护系统的接口实现安全互动。终端管理平台的活动目录域管理体系是统一电子邮件系统实现的基础。终端支持管理平台还与ERP/门户/OA等应用系统进行接口。图7系统接口3.5.1SOC接口安全管理中心（SOC）是一个管理的概念，而非常规安全产品的概念。它有机的将管理与技术相融合，将企业部署的安全产品结合成为一个整体，使得企业安全工作可量化、可考核。通过与终端支持管理平台接口，SOC可以实现终端安全的集中控制和管理。3.5.2统一邮件系统统一邮件系统与终端支持管理平台的接口主要有：(1与监控平台的接口：监控信息的邮件分发；(2与域管理系统的接口：用户信息存储：邮件系统的用户帐号信息统一存储在域管理系统中。用户认证：邮件系统的用户认证统一委托给域管理系统负责。帐户查询：邮件系统通过域管理系统进行帐户查询。3.5.3其它应用系统其它应用系统主要和终端支持管理平台的域管理系统存在接口关系。主要的操作有用户信息查询、用户认证等。3.5.4其它安全支持系统终端支持管理平台通过接口可与其他安全系统，如入侵检测系统和漏洞扫描系统等安全支持系统实现互动。4.结束语本文给出了一个计算机终端安全管理的体系结构，该体系结构主要从域管理，接入控制，补丁管理和系统监控四个方面考虑来实现企业网中对计算机终端的安全管理，该体系结构设计了每部分的主要功能需求和和相应的可行性实现方案，不同规模的企业可根据自身情况，以此系统框架为基础，实现组织内部对计算机终端的安全管理，提高办公效率，减少信息安全隐患，提高软硬件资产的可管理性，降低企业运行成本。-7-参考文献[1]ISO/IEC27001,Informationtechnology-Securitytechniques-Informationsecuritymanagementsystems-Requirements[S].ISO/IEC,2005[2]MicrosoftSecurityAnthology[Z],Microsoft,2006[3]ErikPaceBirkholz,HostandNetworkSecurityforMicrosoft,Unix,andOracle[M],北京：电子工业出版社，2004.7[4]戴宗坤，罗万伯，等.《信息系统安全》[M]，北京：电子工业出版社，2002.11.ResearchonSecurityManagementofComputerTerminalsinEnterpriseZuFengDepartmentofComputerScienceandTechnology,BeijingUniversityofPost