报告和报表,为领导决策提供数据依据。
2桌面终端安全系统在烟草网络安全管理中的应用
在深入调研、详细测试的基础上,在烟草企业内实施了功能较为完善的桌面终端安全系统,结合准入控制与终端安全管理,有效解决企业的桌面终端安全问题,提升信息运维部门的工作效率,规范员工操作行为。
2.1桌面终端安全系统的原理
通过技术对比与方案评估,我们采用了内网安全管理及补丁分发系统,以实现对烟草企业终端设备的集中式安全管理,通过软硬件结合的方式,对网络内部所有计算机接入网络进行准入控制,建立桌面电脑的集中式快速安全管理体系。以终端验证和终端安全为基础,通过身份认证、安全域控制等手段,保证接入网络终端的可信程度,并控制可信计算机的访问权限,为企业的终端人网安全管理提供了有力保障,规避由于不可信终端的随意接入而可能引发的企业网络及信息资源违规占用、病毒木马泛滥、资料泄密以及越权访问等安全问题。图1为企业网络准入控制部署原理图,图2为桌面终端安全系统管理流程图。
2.2桌面终端安全信息系统的应用
在烟草系统内部部署了桌面终端安全管理系统,采用准入控制与终端安全相结合、制订安全策略、分级管理的方式对桌面终端实施全面统一的管理策略。
2.2.1计算机入网审核
利用桌面终端软件和网络接入控制系统,通过注册一身份认证一安全检查一安全隔离/入网的统一入网审核流程,对所有接入烟草企业网络内的桌面终端设备进行人网认证。只有通过安全认证的终端设备才可访问内部专网及互联网,否则将被阻断。保证了桌面終端的安装率,防止外部计算机私自接入业务专网,控制外来设备对业务网关设备的有害行为。图3为计算机入网审核流程图。
2.2.2终端注册管理
单位各部门终端设备在接入网络前,需要安装安全客户端,使每台计算机接受管理。并将自己的个人信息提交到服务器,个人信息内容包含使用人、单位、部门、联系电话、设备类型等,见图4。系统将所填写信息和自动采集获得的设备信息发送到区域管理器,区域管理器将注册信息导人SQL数据库保存,设置的客户端参数策略将由区域扫描器扫描客户端后,发送给客户端驻留程序保存执行,该程序以服务方式实时运行,一旦有非法外联或违规设备,就会发送报警数据。对全市烟草系统办公区域的计算机进行注册管理,注册情况见图5,终端注册率达到98.8%。通过终端入网注册,不仅能对终端进行实名化管理,而且为终端资产信息的收集与终端安全策略的执行提供管理依据。
2.2.3 IT资产管理
系统对管辖范围内的所有桌面终端进行硬件资产管理、软件资产管理以及资产变更报警管理。自动搜集包括CPU、内存、硬盘分区总和、设备标识的大小、主板、显卡、键盘、鼠标、监视器、键盘等所有的硬件信息。自动发现并识别客户端已安装的所有软件信息(包括名称、版本、安装时间等),将相关数据入库,检测客户端运行软件信息,管理人员通过资产编号、所属部门、使用人、入网时间等属性信息对资产进行管理和信息查询,并能够定期输出资产信息报表。
图6、图7分别为本地应用桌面终端安全系统后,输出的员工终端设备信息及设备在线/离线活动情况。
2.2.4策略管理
策略中心是桌面终端安全系统的管理控制中心,对客户端进行策略的制定与下发,实现对企业网络终端的统一安全管理。依照系统“策略中心”中安全准入管理、行为管理及审计、基本安全管理、补丁分发管理、公共策略五个方面,按需求配置策略。图8为本地策略的配置与启用情况。按照行业要求对设备使用人变更、设备资产变化、终端访问异常、系统流量异常、违规软件使用等进行相应的策略启用和审计分析。及时为企业员工的终端设备检查安全情况,完成终端硬件设备信息统计、终端软件资产统计、审计与报警等项目管理。
2.2.5网络安全防护
一是通过终端软件对设备网络IP地址进行锁定,杜绝经常出现的因IP地址冲突导致业务停顿的现象发生,二是从源头控制计算机病毒的传播途径,利用桌面客户端配置计算机安全策略,增强计算机对病毒的防护能力。三是计算机远程巡检,对终端计算机定期进行扫描,将出现的故障隐患提前汇总至信息中心,技术人员可通过远程维护技术处理计算机存在的故障,从而提高计算机终端运维工作效率,降低运维成本。
2.2.6网络行为审计及舆情监控
利用桌面终端安全系统可以监控联网计算机的上网行为信息,对所有网络访问操作进行记录,杜绝从单位互联网出口发出的各种违法、违规信息。上网行为的审计信息包括:何时、那个终端、哪个用户、通过哪个程序访问网络、具体的网络行为、是否被终止、是否离线访问。通过白名单和黑名单,审计和控制web网站的访问,可以禁止终端用户访问一些非法web网站。
同时还可对敏感舆情进行策略控制,一旦发现所管理的终端设备IP地址发生更改、非法外联、探头被卸载、流量异常等情况,系统立即进行本机报警,并对违规行为做出相应的处理,同时上报到中央控制台,为管理员的安全管理提供重要数据信息。图9为本地24小时内网络违规行为报警数据。
3应用效果
自桌面终端安全信息项目实施以来,全面提升了烟草企业网络安全的管控能力,效果明显。
一是为网络系统构建了一个完整的客户端安全防护体系。从内部通过策略管理、入网设备认证管理、IT资产管理、行为审计等手段,完成对员工客户端的安全标准化管理;从外部对企业网络边界的完整性进行有效监控(即网络隔离度监控),减少风险隐患,为下一步构建烟草企业网络边界安全防护体系打下基础。
二是通过详细的数据报表分析功能为企业智能决策提供技术支持。使企业信息资产管理及报表统计从原来的手工模式变为现在的集中自动信息收集模式,保证了信息管理的时效性,提高了资源分配和使用的合理性,提升了西安烟草信息化服务的整体水平,为建立网络安全管理工作的长效机制提供数据保障。
三是改变了被动管理的模式。增强管理员对问题的主动发现和远程维护能力,降低运营维护和管理的成本,缩短了设备故障的处理时间,提高全局工作效率和质量。
四是加强员工的网络安全意识。系统在终端注册、终端身份认证、终端安全检查的时候都进行相应的原因提示。通过入网提示普及计算机网络安全知识,让员工意识到安全入网的重要性,加强对网络安全知識的了解,从而形成良好的计算机使用习惯,有效延长终端设备的使用寿命,节约资源成本。
4结束语
结合准入控制的桌面终端安全系统在烟草企业顺利的部署与应用,对企业内分散的终端设备形成一个有效的统一的监管手段,使桌面终端由被动管理向标准化、信息化、精细化管理转变,全面提升烟草企业网络安全管控能力。今后我们将进一步加强信息系统管理员培训,加强计算机终端入网管理和网络行为规范,充分发挥系统各项功能,保障企业整体网络安全。积极适应新形势下对信息网络安全的新要求,居安思危,常抓不懈,为烟草行业的网络安全建设做出贡献。