2345安全中心主动防御_主动防御接入安全

　　摘要：长期以来，计算机终端安全管理一直是整个信息安全管理的一个薄弱环节，本文分析了计算机终端安全的主要问题，阐述了企业为加强计算机终端安全管理所采取的终端准入控制措施以及取得的效果，主要包括搭建终端准入控制系统，建立一体化终端安全管理体系和设计合理的终端准入控制安全策略。
　　关键词：计算机
　　终端安全存在的问题管理策略
　　一、计算机终端安全管理存在的主要问题
　　为了加强信息安全管理，实施了一系列的网络改造和安全建设工程，通过部署防火墙设备，入侵检测系统，防病毒系统等，以及下发了防火墙，终端介入，主机，操作系统，数据库，网络，应用等方面的管理规定和技术规范，建立了以边界防护为主要模式的安全防护体系，信息网络安全状况有了很大的改善。但安全事件有时的发生，计算机终端安全问题是主要原因之一。计算机终端安全管理主要面临以下问题：
　　1、接入管理混乱。外来终端可随意接入园区网络，无需认证，IP，MAC地址随意更改盗用，极易造成非授权访问。
　　2、接入终端安全管控不力。无法即时发现补丁漏洞，未及时升级安装防病毒软件，病毒库未及时更新。无法根据终端的安全级别进行分类和控制。容易造成重要信息的散播和泄漏。
　　3、接入终端桌面管控不力。终端随意安装与工作无关的软件；终端维护只能是现场手工处理，维护工作效率低下。
　　4、接入终端身份有效性无法验证，难以追踪安全事件的责任主体。
　　5、对接人终端的网络资源使用情况缺乏管理手段，无法有效阻止个别终端因为网卡的硬件故障，或感染病毒或木马造成的网络带宽堵塞。
　　综上所述，我们可以将计算机终端安全的主要问题归纳为身份验证，接入授权，安全管控和资源分配5个方面。园区网络中计算机终端数量多使用人员层次不同，有些用户安全意识薄弱，终端容易造成信息的泄露。计算机终端是各类信息产生的起点和销毁的终点，各类操作的实施点，同时也是信息全过程安全的控制点。因此要解决计算机终端安全问题，首先要解决终端的准入和安全控制问题，保证安全，可信的计算机终端接入网络，消除终端的不安全因素或将其减少到最小，从而保护网络的安全。
　　二、搭建终端安全控制平台―终端准入控制系统
　　经过可行性研究分析，决定采用AAARADIUS和IEEE 802.1x的终端准入控制系统。
　　1、AAA是Authenti c ati 0n、Authorization、Accounting(认证、授权、计费)的简称，是网络安全的一种管理机制，提供了认证、授权、计费三种安全功能。AAA是运行于NAS(Network Access Server，网络接入服务器)上的客户端程序，它提供了一个对认证、授权和计费这三种安全功能进行统一配置的框架。AAA一般采用客户机／服务器结构，客户端运行于NAS上，服务器上则集中管理用户信息。NAS对于用户来讲是服务器端，对于服务器来说是客户端。
　　当用户想要通过某网络与NAS建立连接，从而获得访问其它网络的权利或取得某些网络资源的权利时，NAS起到了验证用户或对应连接的作用。NAS负责把用户的认证、授权、计费信息透传给服务器(RADIUs服务器)，RADIUS协议规定了NAS与服务器之间如何传递用户信息。
　　AAA基本组网结构中有两台服务器，用户可以根据实际组网需求来决定认证、授权、计费功能分别由使用哪种协议类型的服务器来承担。例如，可以选择RADIUs服务器实现为认证、授权，HWTACACS服务器来实现计费。这三种安全服务功能的具体作用如下：
　　认证：确认远端访问用户的身份，判断访问者是否为合法的网络用户；
　　授权：对不用用户赋予不同的权限，限制用户可以使用的服务。例如用户成功登录服务器后，管理员可以授权用户对服务器中的文件进行访问和打印操作；
　　计费：记录用户使用网络服务中的所有操作，包括使用的服务类型、起始时间、数据流量等，它不仅是一种计费手段，也对网络安全起到了监视作用。
　　AAA可以通过多种协议来实现，目前设备支持基于RADIUS协议或HWTACACS协议来实现AAA，在实际应用中，最常使用RADIUS协议。
　　2、RADIUS(Remote AuthenticationDial In User Service，远程认证拨号用户服务)是一种分布式的、客户端／服务器结构的信息交互协议，能保护网络不受未授权访问的干扰，常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。该协议定义了基于UDP的RADIUS帧格式及其消息传输机制，并规定UDP端口1812、1813分别作为认证、计费端口。安全和认证机制。
　　3、IEEE802.1X802.1x协议是一种基于端口的网络接入控制协议(Port BasedNetwork Access Contr01)。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源。802.1x交换机是负责放行／阻塞通信的策略执行器。网络连接拓扑图如下：
　　因为RADIUs服务器是全部网络准入系统的核心指挥部件，该服务器的可靠运行关系到全网的正常运行，因此应该采用双机备份的方式提高准入控制系统的可靠性。
　　三，终端的安全管理策略设计
　　在终端安全管理中，终端的安全管理策略的制定是一个重要的方面。根据接入的网络区域，访问的信息系统，使用的用户类型等方面的不同，计算机终端对安全的要求是有差异的，所采取的安全策略也不尽相同。安全策略设计的内容包括：
　　1、可控软件组：制定软件或进程的黑白名单。
　　2、防病毒策略：检查病毒库和扫描引擎版本是否及时更新。
　　3、WINDOWS补丁管理：要求与widows补丁服务器联动检查补丁。
　　4、流量控制策略：包括IP流量监控，广播报文监控等。保证大部分用户获得基本的网络资源。
　　5、终端外设检查：主要包括USB，光躯等外设接口接入的监控或禁用。
　　6、客户端ACL设计：包括隔离ACL和安全ACL。隔离ACL包括隔离区的服务器，主要是病毒和补丁服务器等。
　　7、其他安全策略：包括禁止终端用户启用多网卡，限制终端用户使用代理服务器，禁止终端用户修改MAC地址，使用MAC地址和帐号绑定功能等。
　　通过部署终端准人控制系统并制定和完善相关管理制度，用户终端的安全性得到了很大的改善。但随着技术的发展，各种终端接入方式，终端外设接口类型以及针对终端的攻击技术日新月异，使得内部网络的计算机终端情况仍然错综复杂。计算机终端安全管理是一项任重而道远的工作。

推荐访问:接入 防御 主动