【IT168 资讯】随着网络技术的迅速发展,企业和政府部门越来越多将信息技术应用于现代化办公和业务处理工作,与此对应,信息安全建设也取得了长足发展。但面对新时期以计算机终端为主要目标的蠕虫攻击、木马破坏、黑客入侵等各种安全事件的泛滥,以往围绕网络部署的安全措施已显得力不从心。
计算机终端作为信息存储、传输、应用处理的基础设施,其自身安全性涉及到系统安全、数据安全、网络安全等各个方面,任何一个节点都有可能影响整个网络的安全。计算机终端广泛涉及每个计算机用户,由于其分散性、不被重视、安全手段缺乏的特点,已成为信息安全体系的薄弱环节。这就要求我们及时调整安全防护战略,将着眼点重新回归到计算机终端安全上来。
传统意义上的终端保护主要依赖于防病毒技术,而终端安全事件的屡屡发生导致了用户对防病毒软件的不信任,以至于引发了防病毒软件是否卖“过期药”的激烈讨论。事实上,防病毒技术是众多安全防范技术中的一种,随着技术变化和安全威胁的花样翻新,病毒的概念得到了延伸。
现在统称的病毒,除了包括传统的文件型、引导型等计算机病毒之外,还泛指蠕虫、木马等恶意代码。由于蠕虫、木马脱离了传统病毒的技术范畴,单纯依靠防病毒技术难以彻底防范。因此,终端安全除了防病毒外,还需考虑更多方面的因素。
中办发27号文《国家信息化领导小组关于加强信息安全保障工作的意见》指出:加强信息安全保障工作的总体要求是,坚持积极防御、综合防范的方针,全面提高信息安全防护能力,重点保障基础信息网络和重要信息系统安全。
我们不能够依赖一种技术试图解决所有安全威胁引发的问题,而是要贯彻国家关于信息安全的综合防范方针,统筹各种安全技术,并加以合理运用。基于这样的理念,终端安全管理产品作为补充完善网络信息安全保障体系的重要一环,将为广泛使用的计算机终端提供不断完善的安全解决方案。
终端安全问题日益严重
企业级用户普遍使用的计算机设备中,除了少量采用大/中/小型机、服务器之外,多数都采用桌面级的PC或PC服务器。如何保护这些终端设备安全使用,并且有效地加以管理,成为企业和员工普遍关心的问题。
作为企业级用户的信息主管或IT/网络管理员,在安全保障工作中可能面临各种问题:对内部桌面终端资产状况缺乏了解;有哪些设备、哪些软件、配置如何、都发生了哪些变化等情况,往往只能通过人工登记的办法进行管理;对资产的流失和随意安装软件的现象无能为力。
虽然有内部IT管理制度,但随意使用磁盘拷贝来历不明的软件、使用Modem拨号上网等现象无法制止,可能导致设备滥用、病毒传播、数据泄密等。
员工使用的PC往往是(外部或内部)黑客入侵的目标,也是蠕虫(例如冲击波)用来传播扩散的主要途径。桌面PC由于缺乏科学统一的管理控制,难以防范黑客和蠕虫攻击。
员工在上班时间经常上网、网上聊天、玩游戏,很大程度上降低了劳动生产力水平,对此缺乏技术手段加以限制。
虽然安装部署了防病毒软件,但仍然依赖病毒特征库。对于蠕虫攻击、木马、未知病毒的防范,往往力不从心。希望借助新的措施,实现对恶意代码的主动综合防范。
移动办公的笔记本电脑可能会从外部引入新的安全隐患,但缺乏保护手段。
计算机终端不受控制地连接到外部网络,防不胜防地引入各种安全威胁,并且在内部网络传播。
外来人员未经同意就将笔记本电脑接入单位的网络,可能会非法获取资料、偷偷地在某个存在漏洞的地方种植木马、或者进行其它意想不到的网络入侵破坏。希望在非法电脑接入网络的时候能够及时发现并阻止其活动。
员工对安全技术了解有限,管理员也为此可能经常忙得不可开交。希望通过集中管理实现对所有计算机终端的有效保护。……
面对计算机终端的诸多安全问题,我们需要采取行之有效的措施加以解决。
传统解决方案很“蹩脚”
面对网络信息安全的各种风险,传统安全解决方案解决了许多安全问题。例如:在网络边界,通过防火墙对网络连接和访问的合法性进行控制,通过网关过滤设备对数据流非法内容进行控制;在网络传输上,通过入侵检测监视黑客攻击和非法网络活动,通过漏洞扫描发现系统缺陷;在主机设备,通过主机加固加强主机防护能力,通过防病毒、反间谍软件预防恶意代码。
安全措施还有很多,每一种措施都能起到它自身应有的作用。但当我们的视角必须关注到计算机桌面终端的安全时,以往的措施却存在无法回避的不足——
防火墙的不足:防外不防内。它侧重于防止外部网络对内部网络攻击,但对于网络内部计算机终端发起的攻击却难以防范。
入侵检测、漏洞扫描的不足:针对网络入侵攻击行为和系统漏洞,重点在发现问题,但并不真正解决问题。
防病毒软件、反间谍软件的不足:依赖已知特征库完成识别处理,所谓的“识别未知病毒”并不准确,对于新的安全问题难以做到提前主动预防,应对大规模恶意代码攻击事件的及时性也往往不能得到良好保证。
主机保护系统的不足:目前主要针对关键服务器、多数针对Unix类的系统,成本很高;对于使用广泛的计算机终端,保护手段相对匮乏。
为了有针对性地解决计算机终端安全问题,就必须因地制宜,围绕计算机终端本身采用相应的安全措施进行保护和管理。
终端安全应涉及到两个关键词:保护、管理。
保护的目标,就是要保障计算机终端安全使用,做到数据安全、系统安全、网络安全、应用安全。具体可通过防止恶意代码传播、控制网络访问、限制资源滥用、用户行为控制等方式实现。
管理的目标,就是要通过企业级的集中控制实现统一管理。一方面,集中收集终端信息、统一监控管理;另一方面,将企业级的安全策略分配落实到所有计算机客户终端,强制执行安全策略。
整个终端安全管理过程应围绕终端应用展开进行。此外,还应提供适合企业应用需要的应用监管和安全审计,保持安全管理的完整性。
策略保障终端有效运行
终端生命周期(Endpoint Lifecycle)的定义:当计算机终端加入组织机构后,就开始了其生命周期,直到其业务使命终止。终端对信息的存储、处理、传输过程代表了其生命活动。由于业务需要,这台终端可能会接入不同的网络环境中,包括独立运行。
终端生命周期管理(Endpoint Lifecycle Management, ELM)是在计算机终端的全生命周期中,将计算机终端的安全、管理和维护工作同其业务目标相结合,并保障计算机终端持续有效运行的一种策略。
终端生命周期过程要素主要包括以下几个方面:
业务目标。在IT技术逐渐成为业务重要支撑的背景下,IT治理成为了信息化建设领域的研究热点之一。IT治理的使命是,合理利用IT资源,控制IT风险,保持IT业务发展与目标一致。计算机终端作为IT系统的基础组成部分,其使命是完成用户的业务目标。每一台终端都具有其具体的使命,也就是说业务目标分解后形成每台终端的业务目的。
资产管理。软件和硬件是计算机终端运行的基础。软件和硬件的失效或意外变更可能会影响终端的正常运行和安全。所以,需要对软硬件资产进行统计管理,并且跟踪其变更情况。计算机终端用户作为一种特殊资产,同样需要进行有效管理。
终端保护。计算机终端在运行中最常遇到的就是蠕虫、病毒、木马、入侵等安全威胁。为了保障终端系统以及其中信息的机密性、完整性和可用性,需要整合多种安全防范技术对终端实施全面的安全保护。
应用监管。终端的具体业务目的决定其行为模式。由于每一台终端的具体业务目的和作用不同,其行为模式以及运行的应用等也都不尽相同。一些业务不需要的操作行为、应用程序等需要被禁止,并且需要有相关的监控措施。当终端处于不同网络中或单独运行的时候,需要有相应的保护和监管策略。
审计分析。良好的审计分析机制是确保策略得到有效执行的保障手段。在终端的使用、管理、保护以及监管的过程中,需要有一套行之有效的审计措施,并且由专门人员进行日志的分析整理,发现违反策略的行为、或者策略需要改进的地方。
综上所述,在终端安全管理的整个生命周期中,从开始的资产管理,到终端保护、应用监管、审计分析,涵盖四个步骤。整个过程构成一个完整的闭环,循环往复。而全部的安全管理过程都围绕着业务目标进行。终端生命周期管理(ELM)模型图示描述如下:
终端安全管理产品的选型
通过近年来研究对比、测试以及对企业、政府、军队等行业用户对终端安全管理产品的反馈来看,终端安全管理产品应该具备以下基础特征:
可以对终端防病毒软件客户端进行辅助管理、引擎发现和病毒库升级。
可以对终端安全管理产品客户端进行统一管理和策略分发,按组织、IP地址甚至单用户做针对性策略定义并实时更新。
可以对终端桌面的操作系统进行集中统一的补丁分发。
可以对终端的运行状况和行为、系统信息进行实时监控。
可以对终端的软硬件资源进行统计并针对发生变动作出响应。
可以对终端的应用程序和数据输出进行管理和监控。
可以对终端计算机进行身份认证。
可以对非法连入的外来计算机及时报警和进行主动处理。
可以根据用户的实际需要个性设计终端安全管理产品策略。
综上所述,现在的终端安全管理产品应该是一个功能高度集成,整合了防病毒软件、网络防火墙、系统资源监控软件、IT资产管理软件、本地应用控制与审计等单机信息安全软件的综合可管理系统。
从拓扑结构上看,几乎目前所有的主流终端安全管理产品都是C/S结构的,也就是说由服务器端统一进行集中的管理和策略下发,由客户端在每个终端机上进行策略接收和系统情况的监控,由控制台来进行管理操作和日志的审计等等。
由图可以看出,整个终端安全体系的完整性和健康性,都依赖于客户端与服务器端的正常通信。一旦服务器端与客户端的网络中断,或是服务器故障宕机,整个安全体系将陷入瘫痪;又或者客户端是移动电脑随时可能离开内网体系进行工作,网线一旦拔掉,也会导致监控失效。因此,终端安全管理产品也必须带有离线审计和离线紧急策略自动切换的功能。
同样的,在终端机上,客户端必须要完美地与操作系统兼容,并不与常见应用软件、杀毒软件和安全工具等发生冲突,且客户端程序和进程能对自己进行保护,避免被客户端操作者有意或无意地破坏,以达到逃避审计的目的。
因此,对于终端安全管理产品的评测点的设置,应该包含如下几点:
与客户端操作系统的兼容性。因为产品客户端基于操作系统并随操作系统同时启动,并常驻系统内存。因为客户端进程属于半强制性地对系统信息、用户操作等进行监控,对计算机外设进行管理,所以客户端必须尽可能地与操作系统底层结合,尽可能嵌入系统内核,以避免被操作者强行中止其进程,或删除客户端文件和修改注册表使其失效。另外,对于操作系统版本的兼容性也很重要,涵盖Windows系列版本应尽量多。这里有必要,到底有没有必要开发基于Linux或者Unix平台的版本?个人觉得意义不大,因为使用*NIX系统的操作员一般来讲本身就有一定的计算机水平,而*NIX系统相对来说具有一定的代码开放性,其系统内核或者shell直接遭到修改的可能性也较windows大,所以客户端进程与程序文件的安全性就无法得到保证,而其功能的实现就更无从说起了。
与客户端常见单机杀毒软件的兼容性。由于客户端程序往往使用将自身进程注入到系统进程的方式来隐藏自己的存在,或者将自己伪装成系统服务随系统启动而加载,因此客户端程序的安装往往伴随着对注册表的修改,而这一点是同很多病毒与木马的潜伏方式相同的。所以如何避免被杀毒软件误报为病毒或木马,也是评测点的一个关键所在。
客户端策略功能的全面性。终端安全产品的功能强大与否,在于客户端对于服务器端分发的策略是否能够完全接收并执行。表一列出了客户端功能全面性的测试点。
客户端与服务器端的通讯稳定性。由于内网网络环境的复杂性,服务器到客户端之间往往会穿越交换机和硬件防火墙等,甚至会经常地跨越VLAN。鉴于目前的安全策略,硬件防火墙或者路由器往往把ICMP包和UDP包过滤和阻塞掉。而且客户端的在线与离线情况监控,是由服务器端随时接收客户端发出的心跳信号并返回数据包的形式实现的。因此,只有采用包含三次握手的TCP/IP协议进行通讯才能保证顺利穿越网络交换设备。
而TCP端口的开放与否,则成为了决定通讯是否成功的要点。TCP端口的开放数目越多,则可能带来的安全隐患越大。传输的数据包如果遭到嗅探,则带来泄密,因此网络传输也需要采用加密传输。
服务器端的安全性与应急性。由于服务器等同于整个体系的心脏,服务器一旦瘫痪,则整个体系陷入崩溃,因此服务器端的安全性就放在了第一位。服务器选择什么样的操作系统,自身使用什么样的网络安全措施,一旦崩溃是否有紧急预案就显得非常重要。
一般来说,服务器选择非Windows系统平台的安全系数较高,再辅以适当的软件防火墙,基本上能保证较为稳定、安全的工作。当服务器一旦宕机或者网络中断的时候,一般来说有两种对策:客户端在与服务器心跳信号连接中断时,自动切换为更为严厉的紧急策略;采用多服务器并行处理或者双机热备的形式进行容灾。
控制台策略发放与继承的灵活性。控制台对于整个根安全域的划分应该灵活,可以按照不同的标准划分不同的安全域、安全组,且每个节点可以自动继承它所在安全组设定的安全组策略。单个或多个节点,可以由管理员操纵在安全组或安全域之间进行自由迁移。
审计平台强大的审计功能。对于提供的所有安全功能,都应有日志审计,且日志审计的查询功能必须强大,能够按照多种条件进行搜索查询,并能生成多种形式的报表。日志数据应提供压缩功能,或提供自动清空循环使用硬盘空间,或自动上传到第三方服务器;与此相应,应提供日志的离线审计工具。
非法内连的报警与主动阻断功能。在未安装客户端程序的计算机接入内网时,及时发现并以多种方式报警,主动阻断其网络连接。但也应允许设置某些特定主机不安装客户端程序,并在检测到这些主机时不做报警。
以上几点,包涵了当前终端安全管理产品的主要特性,在IT主管做产品选型的时候,可以依据自身的实际应用状况参考以上原则制定标准。
来源:《信息系统工程》
