文/彭桂芬 杨彦光

利用准入机制解决客户端信息安全问题

文/彭桂芬1杨彦光2

近年来，高校客户端计算机安全管理矛盾越来越突出，高校的信息安全工作不能仅集中于后台系统，更要扩展到整个网络，考虑如何要保障客户端计算机安全，并采取有效的技术手段和管理措施。高校客户端计算机安全管理问题主要表现在：移动互联技术的快速发展与信息技术风险增大的矛盾；教职工随时随地接入网络的需求与高校内部信息安全的矛盾；方便多样的信息交流分享需求与信息泄露风险的矛盾。

存在问题

内部网络终端缺乏网络用户识别、准入机制

任何外来人员或客户只要将计算机插入网线，就可以进入内部网络各个区域，其中没有任何身份的认证和安全措施，如知道相关应用系统的账号及密码，就可以访问相关的应用数据，对整个网络和应用造成很大的安全威胁。网络的终端全部都是基于工作组的模式，没有进行网络域的集中管理模式和相关的策略性的定义。

终端安全管理的安全防护控制不足

1.无法确保这些终端是否安装了防病毒软件、更新了系统补丁和病毒代码，现时的终端的防病软件部署率底，防病毒软件也不统一，时常发生感染病毒、间谍软件等的问题，存在很大的安全隐患；2.用户是否安装了必须使用的软件，是否安装了非工作使用的软件，硬件配置，软件配置，信息的收集，都无法进行确认和收集；3.现时对网络内部出现的任何安全问题都无法及时发现、追踪和审计。

客户端准入安全需求

客户端区域需求

客户端区有线网络已建设完成，所有终端未设置安全准入控制，一旦某个无线或者有线终端点出现病毒木马将影响整个学校网络，存在着安全隐患。

互联网区域需求

互联网区部署着多台安全设备，这些安全设备都是基于数据流的安全防护，对于无线终端点未部署安全终端准入控制，一旦无线终端接入点出现病毒木马等将影响整个学校网络，存在着安全隐患。

RTP区域需求

RTP区上联骨干网，下联接入网，接入网中有着无线终端接入、有线终端接入及3G终端接入，三者都未部署安全终端准入控制，一旦其中一者终端接入点出现病毒将影响整个学校网络，给学校网络带来了安全隐患。

安全性检查需求

安全补丁、防病毒软件、黑白软件、注册表、VIP用户权限、防ARP攻击、多元素绑定（可以绑定用户名、IP地址、MAC地址、设备端口、VLAN等）、 软、硬件资产调查、外设管理、软件分发、安全审计。

可靠性及管理需求

1.服务器支持双机备份：中心策略服务器支持双机冗余配置，主服务器发生故障时，功能可向从服务器转移。策略服务器配置具有良好的备份和恢复机制；

2.用户群组策略：能针对用户分组，安全策略针对单个用户，或某组用户绑定；

3.管理目标分组： 能针对不同的层级、区域、用户组、计算机组等设定不同的管理员。

客户端准入控制的实施

客户端准入控制包括两个重要功能：安全防护和安全监控。客户端准入控制的基本原理是通过智能客户端、智能联动设备（如VPN网关、路由器）、安全策略服务器以及防病毒服务器、补丁服务器的联动实现的，其基本原理如图1所示。

1.用户终端试图接入网络时，首先通过智能客户端进行用户身份认证，非法用户将被拒绝接入网络；2.合法用户将被要求进行安全状态认证，由安全策略服务器验证用户终端安全状态是否符合基于用户账号预定义的安全策略，不合格用户将被智能联动设备隔离到隔离区；3.进入隔离区的用户可以进行补丁、病毒库的升级、卸载非法程序、取消代理设置等操作，直到安全状态合格；4.安全状态合格的用户将实施由安全策略服务器下发的安全设置，并由智能联动设备提供基于身份的网络服务。

从客户端准入控制的主要功能和基本原理可以看出，客户端准入控制将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御；变单点防御为全面防御；变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。

图1 客户端准入控制原理实现图

方案的实现

客户端准入控制解决方案的实现，是通过将网络接入控制和用户终端安全策略控制相结合，以用户终端对高校安全策略的符合度为条件，控制用户访问网络的接入权限，从而降低病毒、非法访问等安全威胁对高校网络带来的危害。为达到以上目的，需要包括检查、隔离、修复、监控的整体解决方案。

1.检查：检查网络接入用户的身份、访问权限以及终端的安全状态；2.隔离：隔离非法用户终端和越权访问；隔离存在重大安全问题或安全隐患的用户终端；3.修复：帮助存在安全问题或安全隐患的用户终端进行安全修复，以便能够正常使用网络；4.监控：实时监控在线用户的终端安全状态，及时获取终端安全信息；对非法用户、越权访问和存在安全问题的网络终端进行定位统计，为网络安全管理提供依据；通过制定新的安全策略，持续保障网络的安全。

方案组成部分

为了有效实现用户终端安全准入控制，需要实现终端安全信息采集点、终端安全信息决策点和终端安全信息执行点的分离，同时还需要提供有效的技术手段，对用户终端存在的安全问题进行修复，使之符合高校终端安全策略，顺利接入网络进行工作。客户端准入控制解决方案的组成部分见图如图2所示。

客户端准入控制安全策略服务器

客户端准入控制方案的核心是整合与联动，而客户端准入控制安全策略服务器是客户端准入控制方案中的管理与控制中心，兼具用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。

修复服务器

在客户端准入控制方案中，修复服务器可以是第三方厂商提供的防病毒服务器、补丁服务器或用户自行架设的文件服务器。此类服务器通常放置于网络隔离区中，用于终端进行自我修复操作。

图2 客户端准入控制解决方案组成部分

安全联动设备

安全联动设备是高校网络中安全策略的实施点，起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。根据应用场合的不同，安全联动设备可以是交换机或BAS设备，分别实现不同认证方式（如802.1x或Portal）的端点准入控制。

准入客户端

准入客户端是安装在用户终端系统上的软件，是对用户终端进行身份认证、安全状态评估以及安全策略实施的主体，其主要功能包括提供802.1x、Portal等多种认证方式、检查用户终端的安全状态、安全策略实施、实时监控系统安全状态等，实时监控系统安全状态又包括是否更改安全设置、是否发现新病毒等，并将安全事件定时上报到安全策略服务器，用于事后进行安全审计。

终端准入控制身份认证方式

终端准入控制是从控制用户终端安全接入网络的角度入手，整合网络接入控制与终端安全产品，通过用户端、准入控制组件、网络设备（交换机、路由器、防火墙、无线）以及第三方软件（杀毒软件、补丁服务器）的联动，对接入网络的用户终端强制实施安全策略，严格控制终端用户的网络使用行为，有效加强用户终端的主动防御能力，为网络管理人员提供有效、易用的管理工具和手段。

客户端安全管理

1.防病毒管理

通过与第三方防病毒厂商合作，客户端准入控制终端准入控制解决方案中，客户端准入控制策略服务器根据安全策略对安装了第三方防病毒产品客户端和准入软件的用户终端计算机进行安全检查。对于不符合安全策略的用户终端，通过配合相关网络设备采用ACL或VLAN访问控制的方式，从物理或网络层面上将“危险”终端限制在隔离区中。

2.与WSUS联动的补丁管理

客户端准入控制与WSUS联动解决方案需要两个系统协同工作：WSUS软件补丁更新服务器负责对终端用户的计算机进行补丁状态检查、判断是否合格以及不合格时自动更新所缺少的补丁，客户端准入控制安全策略服务器负责决定何时发起补丁状态检查操作，并负责控制补丁状态检查不合格的端点用户只能访问隔离区内的资源，待端点用户的计算机的补丁状态检查合格后才解除对该用户计算机的隔离。两者通过客户端准入控制安全客户端与微软公司支持联动功能的补丁升级客户端之间的API接口实现。

3.黑白名单软件管理

客户端准入控制提供黑白软件统一管理功能。管理员可根据高校的IT政令，在安全策略服务器定义教职工终端黑白软件列表，通过安全客户端实时检测、网络设备联动控制，完成对用户终端的软件安装运行状态的统一监控和管理。

4.注册表安全检查

注册表安全检测：客户端准入控制支持系统服务检测，包括服务种类、是否启动等。对于不符合服务检查项的用户需要根据安全策略做出相应处理，包括提醒、隔离、下线等。远程用户修改本机注册表防御；支持远程访问、共享、进程调用防御。

5.密码强度控制

客户端准入控制就是通过Gina获取用户登录Windows时输入的密码并验证密码强度。对于密码设置不符合预定策略用户需采用强制下线等策略进行准入控制。

客户端准入控制可以很好的解决高校客户端网络接入，防病毒，数据安全等问题，使高校信息系统的安全得到了很大的提高。

（作者单位：1为昆明医科大学现代教育技术中心，2为昆明医科大学）