内网准入及终端管控在信息安全保护实践中的研究

内网准入及终端管控在信息安全保护实践中的研究摘要：为防范政府部门、金融机构等单位敏感信息泄露、提高信息安全保护能力，本文从单位内网准入及终端管控技术入手，在分析研究两者技术原理的基础上，结合自身项目实践，给出了一种把住终端“准入”、“管住”两个关键环节的技术方案。实践证明，该方案有效提升了单位信息安全保护水平，达到了预期目标。【关键词】内网准入终端管控信息安全保护1引言对数据保密性要求高的政府部门、金融机构等单位，防止敏感信息泄露始终是一个严峻的课题。在信息安全保护实践中，各单位往往对数据集中的后台服务端投入精力较多，对来自终端的威胁重视不足。来自终端的威胁主要为两方面：一是内部网络接入层侵入。二是内部计算机终端安全管理失控。信息安全事件调查经验表明，多数信息泄露安全事件的突破口来自终端。因此，各单位在防范敏感信息泄露时，应对来自终端的威胁给予足够的重视，牢牢把住终端“准入”、“管住”两个关键环节。2原理分析2.1网络准入与终端安全之间的关系内部网络准入，是指在人事管理层面识别用户身份后，通过技术手段给予合法用户、合法设备接入的过程。计算机终端安全，是指包含非法外联监控、移动存储管理等在内的一系列安全防范措施，是一个单位信息安全管理制度的技术化实现，构成了对合法接入终端的安全基线。达到终端安全基线是目的，网络准入是重要的前置保障手段。在实践中，只有把网络准入与终端管控结合起来，才能有效实现内网信息安全保护。2.2网络准入实现原理当前国际主流的企业级实现技术主要有802.1x认证、安全网关认证等。实施802.1x认证方式的前提是交换机支持802.1x认证协议。交换机与认证服务器联动，根据认证服务器下发的认证结果，提供基于端口的准入控制。这种认证方式的优势是若在接入层实施，终端互访控制力度很强。认证前，交换机接入端口关闭，终端完全隔离。认证后，接入端口开启，相同VLAN内的终端可以互访。缺点是实施、维护过程中网络部门的工作量很大，并且无法从原理上解决终端用户在交换机端口以下私接HUB的问题。实施安全网关认证方式需要在生产网络中添加硬件安全网关（防火墙）设备，旁路部署在核心交换机侧或汇聚交换机侧。然后通过在交换机上添加策略路由（Policybasedrouting），将需要认证的IP地址范围内终端流量上拉至安全网关进行身份认证。安全网关接收认证服务器下发的动态ACL，对流量选择回注至交换机或丢弃，从而达到网络准入的效果。这种认证方式的优势是配置实施简单，对现有生产网络改动要求小，并且因为采取三层认证方式，对人员、部门迁移支持性好，同时还能够有效防止私接HUB的情况。缺点是由于控制点在核心侧或汇聚侧，安全网关对终端之间的互访行为控制力度较弱。2.3终端安全实现原理为确保管控效果，企业级产品基本实现模式均为在计算机客户端驻留代理程序，对信息保密要求较高的单位常见的需求包括以下几方面：安全状态检查。最基础的要求包括是否安装了要求版本的杀毒软件，病毒库定义是否保持更新等。此类功能主要通过安全代理软件读取系统注册表及扫描特定位置文件系统实现。移动存储管理。根据各单位信息安全管理要求等级不同，检查是否存在违规使用移动存储介质管理的情况。此类功能主要通过安全代理软件提升运行权限后向操作系统底层驱动注入代码实现。非法外联监控。对信息保密要求高的单位，接入内网的计算机终端通常都是禁止与互联网直接或间接连通的。检查非法外联的通常做法是安全代理软件定期检查与某个互联网地址的连通性，若有连通便会触发监控报警。3项目实践案例笔者作为项目负责人，于近期完成了一次单位内网准入与终端管控项目建设工作。该项目实施环境为政府机构办公内网，实施目标网络运行着单位内部办公系统以及大量对外服务的业务系统，生产网络割接需要慎重。同时，在严格管控USB存储介质等外设使用的制度要求下，又因业务特点，需要使用品种型号各异的Ukey等特种设备。因此该项目建设中必须遵循对现有生产网络及系统影响最小的原则。为达到上述目标，笔者在对网络准入及终端管控技术进行研究的基础上，对市场相关主流产品进行了长达半年的多方调研与测试选型。根据单位综合布线基础设施现状、业务系统特点等实际情况，最终确定了使用硬件安全网关实现准入，在客户端驻留代理程序与安全网关联动实现终端管控的技术路线。在项目实施中，笔者总结了以下几点经验：（1）终端安全管控软件部署应严格遵循“充分测试，稳步推进”的原则。由于终端安全软件本身原理决定的底层侵入性（提权运行、操作系统驱动及协议栈注入等），部署过程必须先选取运行重要业务系统、特种外设部门的计算机为试点，局部安装客户端，排查兼容性风险，积累部署经验。（2）网络准入实施应注意排查哑终端盲点，细粒度开展网络割接。因网络准入控制功能需要在终端安装代理程序与防火墙交互实现，对不能安装代理的哑终端（如网络打印机等非PC类设备），需在硬件网关设备上做特殊策略放行。在利用策略路由进行流量上拉时，本质是对生产网络的割接。为便于控制与回退，建议采取细粒度方案，以部门或楼层VLAN为单位逐个进行实施。笔者实施的项目上线试运行后，从功能、性能及兼容性几方面看，均较好地实现了项目建设需求。同时笔者通过组织对现有内网在网设备管理制度开展修订完善，以制度和技术相结合的方式，形成了单位内网终端准入控制闭环，进一步提高了内网信息安全保障水平。4结语信息安全保障能否落实，往往在于一个“细”字。要实现对信息安全闭环式管理，仅仅重视信息系统服务端的保护是不够的，必须重视对每个入网终端的安全管理。同时，我们也必须认识到，对一个单位的信息安全管理而言，永远是“三分技术，七分管理”。再好的技术手段，也只有和管理制度相结合，并加以强力执行，才能达到预定的安全目标。作者单位中国人民银行营业管理部北京市100045