[[190093]]

中國移動臺州分公司目前共有計算機終端3000多臺，由于長期以來缺乏有效的技術手段對計算機終端的設置情況進行有效管控，員工不按照規定進行安全防護，私自修改電腦安全設置、重裝系統，通過IE代理瀏覽與工作無關的網站，操作系統和屏保不設置密碼，不按規定進行安裝防毒軟件并更新最新病毒庫等現象時有發生。而內網一旦發生問題，很容易導致企業其他正常網絡業務無法使用，因此，企業的終端安全問題對其管理及生產都至關重要。

1、終端安全管理需求

企業計算機終端安全現狀，迫切需要采取以下措施來加強對其進行安全管理。

1)加強主動防御控制管理，防止非授權、不安全的終端用戶接入受控網絡。

2)強制終端主機遵從安全策略，確保終端主機在接入受控網絡之前是安全的。

3)建立訪問權限管理機制，根據終端用戶的工作需要授予不同的訪問權限，保護企業核心網絡資源。

4)加強終端用戶的行為管理力度，保障終端用戶合理使用網絡資源。

5)主動加固終端主機，修復已經發現的終端主機的安全漏洞，在終端主機上建立安全防范機制。

2、系統功能及特點

2.1 系統功能

中國移動臺州分公司部署的終端安全管理系統主要提供終端安全準入控制、終端安全管理、補丁管理、終端用戶管理、軟件分發、資產管理等六大功能。系統通過終端網絡準入控制，終端安全檢查、訪問控制和安全修復，有效控制包括企業員工、外部訪客、合作伙伴和臨時員工等對網絡的訪問，同時，系統還能夠隨時發現并隔離帶有威脅的終端主機，提升企業網絡防御安全威脅的能力。

2.2 系統特點

1)多種認證方式

系統支持公司域帳號、USB-Key、用戶系統等3種身份認證方式，實現對企業員工、外部訪客、合作伙伴和臨時員工等對網絡訪問的控制，保護內部業務系統安全。

2)全面終端安全管理

系統通過檢查評估終端安全狀態，對于不符合安全設置要求的終端，能夠提供個性化的修復建議，并協助終端安裝各類補丁和必備的軟件，以確保終端達到企業終端安全設置要求，同時，對于存在重大安全隱患的終端、以及未授權的外部終端等系統能夠進行強制隔離。

3)精細的員工行為管理

系統能夠對員工的網絡行為進行精細管理，主要包括：控制各種非法外連行為，控制網絡流量，控制Web訪問和IP訪問，進行地址解析協議防護，對文件操作進行監控，對移動存儲設備進行管理，對進程/服務黑白名單和外設接口進行管理，并能夠對員工違規行為進行審計和取證，規范員工合理使用網絡資源，防止網絡濫用與惡意破壞。

4)計算機資產管理

系統可自動收集終端軟、硬件資產信息，統計輸出企業計算機資產狀態報表。另外，系統通過跟蹤資產變更，輸出變更報表，實現資產管理IT化，保障企業信息資產可控可管。

5)系統部署靈活、方便

服務器部署靈活，支持集中式或分布式部署;控制網關支持在網絡設備上的串聯部署或者旁路部署，對企業現有網絡改動小，同時，控制網關也支持集中式或分布式部署，可滿足復雜網絡環境下的部署需要。

6)系統具備高可靠性，提供逃生通道和負載均衡

系統自身具有高可靠性，服務器采用資源池方式，提供負載均衡和冗余備份，并提供系統安全逃生通道，靈活選擇安全優先或業務優先，最大限度地保障企業業務的連續性。

7)軟件分發和補丁管理

對于計算機終端需要安裝的軟件，系統支持將軟件通過手工或按計劃分發到終端主機，并支持按部門、按操作系統、按IP地址段進行分發。系統支持與WSUS無縫集成，通過自動化補丁檢查，能夠及時、安全和準確地偵測系統漏洞，并幫助終端主機通過連接WSUS及時更新補丁，從而及時、主動消除各種安全缺口，避免由于系統漏洞帶來的終端安全威脅。

3、系統實施

3.1系統部署方式

終端安全管理系統由1臺硬件控制網關設備、1臺控制管理服務器組成。其中硬件控制網關設備采用旁路方式部署，不影響企業現有網絡結構，不會增加網絡故障點，系統部署拓撲圖如圖1所示。

圖1 終端安全管理系統部署拓撲圖

3.2系統組件功能

1)控制網關

控制網關用于控制終端訪問網絡的權限，向隸屬不同角色及不同安全狀況的終端用戶開放不同的權限。主要包括以下功能：

n根據控制管理服務器反饋的信息，開放終端用戶訪問網絡的權限;

n防止外部非授權的終端用戶訪問企業的網絡;

n防止內部合法但不安全的終端用戶訪問企業的網絡;

n隔離連接到企業網絡但沒有進行安全認證的終端用戶;

n當控制管理服務器發生嚴重故障，無法承擔正常的身份認證和安全認證時，控制管理服務器與控制網關之間的心跳協議能夠及時檢測故障并打開逃生通道，系統自動開放網絡的訪問權限，以保證業務正常開展。當心跳協議發現控制管理服務器從故障中恢復后，控制網關將會自動關閉逃生通道，安全接入控制機制重新生效。

2)控制管理服務器

管理員可以通過IE瀏覽器登錄管理服務器進行日常維護操作，進行網絡準入配置、組織人員管理、安全策略管理、補丁管理、軟件分發、資產管理、公告管理以及報表管理等操作。主要負責驗證終端用戶的身份，對終端主機進行安全檢查，以及與準入控制設備聯動實現最小授權的訪問控制等。

3.3系統工作方式

1)控制網關工作方式

中國移動臺州分公司2臺核心交換機分別通過2條1000Mb/s鏈路與控制網關互聯，通過在2臺核心交換機上設置策略路由將數據流引向控制網關。正常工作時，控制網關負責核心交換機所接用戶的準入控制，控制網關工作方式如圖2所示。

圖2控制網關工作方式圖

2)身份認證方式

中國移動臺州分公司終端安全管理系統主要采用PKI/CA數字證書與服務器聯動進行用戶身份認證，身份認證過程如下：

a)準入系統客戶端連接準入系統服務器，發出訪問請求，建立加密隧道;

b)服務器響應用戶請求，返回服務器證書，并要求客戶端提交用戶證書，客戶端調用證書處理模塊，驗證服務器證書來驗證系統服務器的身份;

c)服務器要求用戶使用證書進行登錄，客戶端自動調用證書處理模塊，實現USB-Key數字證書認證;

d)客戶端將用戶證書提交服務器，服務器接收到客戶端提交的證書后，調用證書驗證模塊，完成用戶證書的驗證;

e)通過證書驗證后服務器調用證書解析模塊，解析用戶證書，獲取用戶信息，并根據用戶信息，實現對用戶的訪問控制和安全控制。服務器身份認證結束后，認證結果有3種：

①用戶身份不合法，認證不通過;

②用戶身份合法，認證通過，但是計算機終端不符合安全標準;

③用戶身份合法，認證通過，且計算機終端符合安全標準。服務器會將認證結果同時反饋至計算機終端以及控制網關。圖3為中國移動臺州分公司終端網絡接入認證圖。

圖3 終端網絡接入認證圖

3)終端訪問控制

用戶身份認證完成后，控制網關將根據控制管理服務器提供的認證結果對相應計算機終端應用相應的控制策略，對于用戶身份不合法，認證不通過的終端用戶，只能訪問認證前域;對于用戶身份合法，但是計算機終端不符合安全標準的終端用戶，只能訪問隔離域;對于同時通過身份認證和安全認證的終端用戶，則能夠完全訪問認證后域，終端數據流量走向如圖4所示。

圖4 終端訪問控制圖

4、系統應用

終端安全管理系統投入使用后，滿足了中國移動臺州分公司對全局計算機終端的安全管理需求，通過在全局部署終端安全防護、系統加固、非法外聯、外設管理、網絡行為管理等安全策略，使企業所有聯網的計算機終端均達到了統一的安全設置標準，杜絕了計算機用戶有意無意違反企業計算機終端安全管理的相關規章制度。

同時，在用戶訪問網絡的整個過程中，終端安全管理系統均可實時對各項策略進行檢查，一旦發現與預定義的策略不符，系統可以及時改變該用戶訪問網絡資源的權限或者禁用該終端用戶接入網絡，從根本上防止用戶在網絡使用過程中隨意改變終端安全策略情況的發生，很好地滿足了中國移動臺州分公司計算機終端安全管理需求。圖5-8展示終端安全系統部分功能界面截圖。

圖5.網絡交換機端口狀態圖

圖6.終端設備準入記錄后臺表

圖7.終端設備信息統計圖

圖8.網絡終端資產分配圖

終端安全管理系統通過從網絡接入端點的安全控制入手，結合認證服務器、安全策略服務器、網絡設備以及第三方軟件系統(病毒和系統補丁服務器)，來完成對接入終端用戶的強制認證和安全策略應用，保障網絡安全。系統解決了企業內部存在的非法終端用戶接入、合法終端用戶越權訪問、終端用戶濫用資源、病毒泛濫、黑客惡意破壞、安全策略不能及時落實等問題，實現終端安全方案在企業的強制執行，將來自企業內部的安全威脅降至最低，大幅度提升了企業終端及網絡安全水平。