边 远

（国防大学联合作战学院，石家庄 050084）

1 系统建设目标

终端安全管控系统着力解决的是：什么人能上网？（准入控制问题）什么机器能上网？（健康检查问题）上网的人有权做什么？（受控访问问题）上网的人都做了什么？（行为审计问题）四类问题，实现终端安全管控的一体化和精确化，确保终端合规、受控，从源头消除漏洞和威胁。有效解决终端接入失控、终端安全失察、资源访问无序、管理效能不高这些现实性问题。

2 终端安全管控系统的总体设计

2.1 设计思路

终端安全管控系统将用户划分为三类，非法用户；合法不合规用户，合法不合规用户是指身份合法但是没有通过终端健康检查的用户；对于非法用户要阻止其访问网络，对于合法不合规的用户要进行隔离修复，对于合法合规的用户要实现其受控访问，加强对用户行为的监控和审计。这样就实现了从用户终端到应用系统的全过程控制与管理。

2.2 系统部署

2.2.1 系统区域划分

区域划分是终端安全管控系统部署的前提条件，系统将校园网划分为终端域、认证域、隔离域和认证后域4个区域。

（1）终端域。终端域是指用户终端所在的区域，系统将所有的用户终端从逻辑上规划在这个区域，以便进行集中管控。

（2）认证域。认证域是指对用户进行身份认证和管理的区域。通过部署在该区域终端安全管控系统服务端，实现终端用户的身份认证、安全策略配置、访问权限分配、终端的安全状态查询等功能。

（3）隔离域。隔离域是指当终端用户未能够通过终端健康度检查时，将终端用户隔离到的区域。通过该区域设置的防病毒服务器、补丁服务器等，实现用户终端的健康修复。

（4）认证后域。认证后域是指终端用户通过了身份认证和终端健康检查后，可以访问的区域。认证后域部署着校园网各类信息资源和应用系统，根据业务需求，认证后域的资源可进一步细分为若干个相互隔离的受控域，以此实现用户的按权限访问。

2.2.2 服务端硬件部署

终端安全管控系统服务端采用2台高性能服务器承载，部署于校园网数据中心，2台服务器采用冗余热备模式，防止单点故障。服务器通过光纤连接至核心交换机，链路带宽达万兆。

2.2.3 服务端软件部署

系统硬件设备部署完成后，在其上搭建系统管理平台，通过平台对入网用户信息进行配置，将每一个用户的用户名、密码、终端的IP地址、用户有权访问的受控域等信息关联起来，形成一个用户配置表，以此实现用户的身份认证和安全管理。同时在平台上配置终端健康检查策略，从而为客户端程序进行终端健康检查提供依据。

2.2.4 客户端部署

每台入网终端必须安装终端安全管控系统客户端。客户端的主要功能是发起身份认证请求，进行终端健康检查和用户行为监控。系统服务端搭建完成后，管理员可通过系统向全网终端用户推送引导页面，指导用户下载安装系统客户端，通过这种方式，可极大地减少系统部署的工作量。

3 系统功能

终端安全管控系统，主要具备终端准入控制、终端健康度检查、用户权限控制、IP地址管理、端口安全可视化管理等五个方面功能：

（1）终端准入控制。准入控制是终端安全管控的关键环节，解决的是“什么人能上网”的问题。终端安全管控系统，采用用户名+密码的实名认证方式，用户名和密码检测通过后，用户才能接入网络。

（2）终端健康度检查。终端健康度检查是对入网终端进行安全检查，解决的是“什么机器能上网”的问题。终端安全管控系统基于“先检查，再入网”的原则，确保终端自身的安全性、合规性。

（3）用户权限控制。用户权限控制是对入网用户访问网络资源权限的管理，解决的是“上网的人有权做什么”的问题。终端安全管控系统能够基于部门、类型、角色等不同属性配置访问规则，对越权访问可实时阻断，从而实现安全可控的访问权限管理。

（4）IP地址管理。终端安全管控系统可对IP地址进行自动绑定、下发、回收、定位、追溯。对IP地址私设、私改行为实时告警并自动阻断。自动采集终端IP地址的使用情况、在线状态等信息，以图形、图表方式可视化呈现，实现IP地址全生命周期的可视化管理。

（5）端口安全可视化管理。系统利用简单可网管协议（SNMP）与交换机建立实时联动，将网络拓扑结构、终端分布情况、交换机运行状态以多视图方式呈现，并能够精确提供端口级统计、端口级下挂统计、端口空闲状态统计，违规接入端口统计等图表信息，管理员可在图形界面下直接对端口进行管理操作，实现网络层端口级安全可视管理。