政府內(nèi)網(wǎng)終端的安全監(jiān)控與管理一直是個難點，特別是終端在接入與自身健康性、跨區(qū)域訪問、終端上運行的文件等都會對信息網(wǎng)絡(luò)帶來極大的威脅，本文從主機(jī)單點防護(hù)、邊界訪問控制等角度，采用互聯(lián)互通的技術(shù)，來有效監(jiān)控終端的訪問行為，提升終端的安全性。

　　方案背景

　　本方案根據(jù)某省電子政務(wù)安全建設(shè)中提出的“終端安全管理需求”而編寫。針對典型政務(wù)網(wǎng)絡(luò)，特別是終端在接入、自身健康性、跨區(qū)域訪問、終端上運行的文件安全、內(nèi)網(wǎng)終端在訪問內(nèi)網(wǎng)服務(wù)器和互聯(lián)網(wǎng)過程中的安全監(jiān)測與控制問題。

　　安全需求

　　非法接入終端帶來的安全問題

　　缺少對便攜終端或網(wǎng)絡(luò)設(shè)備接入網(wǎng)絡(luò)行為的有效監(jiān)控措施，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)遭到入侵與攻擊;終端攜帶的病毒將直接對信息網(wǎng)絡(luò)造成破壞;非法終端還將發(fā)布ARP欺騙等數(shù)據(jù)包，引起網(wǎng)絡(luò)的癱瘓等。

　　終端自身安全帶來的安全隱患

　　當(dāng)終端沒有安裝防病毒軟件或未及時更新病毒特征庫，終端操作系統(tǒng)補(bǔ)丁未及時更新等，這些安全問題將導(dǎo)致病毒在網(wǎng)絡(luò)中的傳播，嚴(yán)重的也將導(dǎo)致交換機(jī)的負(fù)荷過重而癱瘓。

　　終端跨越區(qū)域訪問中帶來的安全問題

　　政務(wù)網(wǎng)絡(luò)中，普遍將各業(yè)務(wù)系統(tǒng)及服務(wù)器部署在相同安全域內(nèi)，以保障內(nèi)部業(yè)務(wù)應(yīng)用的安全，在策略上限制互聯(lián)網(wǎng)用戶不得直接訪問內(nèi)部服務(wù)區(qū)，并且內(nèi)部服務(wù)區(qū)也不接受互聯(lián)網(wǎng)的訪問，但是由于終端即可以訪問互聯(lián)網(wǎng)，也可以訪問內(nèi)部服務(wù)區(qū)，那么當(dāng)終端同時訪問互聯(lián)網(wǎng)和內(nèi)部服務(wù)區(qū)時，終端可能被黑客或病毒當(dāng)成跳板，在政務(wù)網(wǎng)絡(luò)與互聯(lián)網(wǎng)區(qū)交換數(shù)據(jù)，將導(dǎo)致重要業(yè)務(wù)服務(wù)受到攻擊。

　　終端緩存的文件造成泄密

　　內(nèi)網(wǎng)終端在進(jìn)行日常操作的過程中，往往在本地緩存了很多重要文件，那么當(dāng)終端在訪問互聯(lián)網(wǎng)的時候，這些緩存在本地的文件，在沒有采取任何訪問措施的時候，也將會成為互聯(lián)網(wǎng)攻擊者的目標(biāo)，造成信息的泄密。

　　設(shè)計思路

　　針對以上問題，天融信從可信的角度，綜合采用TopDesk以及防火墻技術(shù)，通過技術(shù)間的互聯(lián)互通，實現(xiàn)政務(wù)網(wǎng)絡(luò)的“分層防護(hù)、縱深防御”能力。

　　方案設(shè)計

　　在內(nèi)網(wǎng)終端外訪之前，先通過安裝在內(nèi)網(wǎng)終端上的防護(hù)代理進(jìn)行健康性檢查，并以此為依據(jù)，做為判斷是否可進(jìn)行下一步操作的關(guān)鍵，終端防護(hù)代理將檢查的內(nèi)容包括：

　　終端系統(tǒng)補(bǔ)丁更新情況

　　終端系統(tǒng)防病毒系統(tǒng)安裝情況

　　終端系統(tǒng)防病毒系統(tǒng)防護(hù)強(qiáng)度

　　終端系統(tǒng)違規(guī)或惡意軟件

　　終端系統(tǒng)非法的進(jìn)程

　　利用技術(shù)間的互聯(lián)互通特性，對檢查中健康性未達(dá)標(biāo)的終端，將借助防火墻控制器網(wǎng)絡(luò)與資源訪問能力。通過技術(shù)間的整合來實現(xiàn)有效的內(nèi)網(wǎng)終端安全控制，實現(xiàn)部署方案。

　　方案效果

　　通過技術(shù)間的互聯(lián)互通實現(xiàn)以下的安全建設(shè)效果：

　　解決了終端非法接入的問題

　　解決了終端健康性帶來的威脅問題

　　解決了同時訪問互聯(lián)網(wǎng)和內(nèi)網(wǎng)的安全問題

　　實現(xiàn)了對重要文件的保護(hù)

　　提高內(nèi)網(wǎng)終端的自身安全級別

文章作者：計世網(wǎng)