某XXX网终端安全防护管理系统研究[终端安全防护管理系统研究].doc
- 文档编号:561268
- 上传时间:2022-10-11
- 格式:DOC
- 页数:55
- 大小:4.59MB
某XXX网终端安全防护管理系统研究[终端安全防护管理系统研究].doc
《某XXX网终端安全防护管理系统研究[终端安全防护管理系统研究].doc》由会员分享,可在线阅读,更多相关《某XXX网终端安全防护管理系统研究[终端安全防护管理系统研究].doc(55页珍藏版)》请在冰豆网上搜索。
Ss
某XXX网终端安全防护管理系统研究终端安全防护管理系统研究
摘要:
为了顺应时代发展,推进信息化建设,提高工作效率,政府机关企事业单位普遍建立了计算机内网,用以协同办公和部署各类信息化系统,随着内网广泛部署,在方便了工作的同时也带来了日益严重的安全问题。
为了保障内网运行良好,保证内网信息安全,内网安全防护问题必须被妥善处理。
传统的网络安全防护手段一般只注重边界防护,但数据统计表明内网的网络安全事件主要由终端问题引起,因此终端安全问题的解决应该是内网安全防护的重点。
本文归纳总结了当前终端安全防护的思路、方法和技术手段,然后针对作者所在工作单位的信息化系统内网现状,梳理了所面临的安全威胁,制定了全面的安全防护策略,设计了适合本单位特点的终端安全防护管理系统,介绍了系统框架设计和各个子系统的功能设计,主要包括接入控制、安全管理、平台监控等功能模块,还重点分析了关键技术难点的解决方案。
本文最后总结了终端安全防护系统在提升内网安全中所起的重要作用,并展望了未来内网安全面临的新形势以及应对的技术手段。
1绪论
1.1课题背景
当今世界网络技术和信息化水平发展迅速,信息资源的共享程度越来越大,网络的规模也越来越大,据国际电信联盟(ITU)发布的全球互联网使用情况报告显示,到2015年底,全球网民数量能达到32亿,据中国互联网络信息中心(CNNIC)发布的第36次全国互联网发展统计报告显示,截至2015年6月,互联网普及率为48.8%,我国网民总数已达6.68亿人。
网络已经成为生活离不开的工具,人们的生活、工作、学习、娱乐和交往都已离不开计算机网络,经济、文化、军事和社会活动都强烈地依赖于网络,各组织机构普遍将自身的机密信息和核心价值文档电子化网络化,以提升工作效率。
网络环境的复杂性、多变性以及信息系统的脆弱性、开放性和易受攻击性,决定了网络安全威胁的客观存在。
针对日益增大的网络规模和日益复杂的网络结构,攻击者使用系统和网络的安全漏洞而进行的攻击活动越来越频繁,手段越来越多。
因此,网络的安个风险、威胁等安全问题日益严重,网络安全已成变为影响国家发展的战略要素和社会经济以及政治发展的重贾因素之一。
FBI和CSI曾对484家公司进行了网络安全专项调查[1],调查结果显示:
超过85%的安全威胁来自公司内部;在损失金额损失上,由于内部人员泄密导致的损失是黑客造成损失的16倍,2009年的《公安部公共信息网络安全监察局报告》也指出政府和企事业单位的网络安全事件有80%来自终端问题[39]。
既然超过八成的网络安全威胁来自单位内部,且能造成多方面的损失,对于企事业机构内部网络的安全威胁防范,怎么强调都不过分,而且必将在未来成为信息安全的重中之重。
1.2内网安全现状
国内内网采用的网络安全防护手段大多强调对来自外部的主动攻击进行预防,检测以及处理,而授予内部主机更多的信任。
为保护内网的安全,一些单位将内网与外网物理隔离,或者将内网部通过统一的网关接入外网,并在网关处架设防火墙,IPS、IDS等安全监控设备。
尽管如上述所示的各类安全措施都得到了实现,但泄密事件或其它各类内网安全事件仍然频繁发生,这就充分说明了内网安全维护的复杂性。
总体上看,内网主机大多以LAN的方式进行接入,这些主机间以物理互连,逻辑隔离的方式共存,但为实现主机间的资料共享及数据通信需求,又不得不让其之间建立各种互信关系,因此某台主机的有意或无意的误操作都会对整网主机的安全性造成威胁,这些威胁点主要分为以下几类:
1、内网逻辑边界不完整。
无线技术的迅猛发展让随时随地接入internet这一想法成为现实,在无线技术为我们的生活带来便利的同时,也对我们的网络管理人员提出了更多的要求。
在内外网隔离的环境中,如何确保内网边界的完整性,杜绝不明终端穿越网络边界接入是众多管理者面临的一大难题。
事实上,国内定义的网络边界防护往往被理解为网络出口保护,而在现实情况中的边界早已超越了"出口"这一狭隘的概念,而真正扩展到全网,其中的关键就是内网的边界--网络的入口。
换言之,边界防护更应该是所有网络边界的防护--并侧重于内网入口的防护。
2、缺乏有效身份认证机制。
对内部主机使用者缺乏特定的身份识别机制,只需一根网线或者在局域网AP信号覆盖的范围之内,即可连入内部网络获取机密文件资料。
内网犹如一座空门大宅,任何人都可以随意进入。
往往管理者都比较注重终端访问服务器时的身份验证,一时之间,CA、电子口令卡、radius等均大行其道,在这种环境下,终端之间非认证互访则成为了机密泄露和病毒传播的源头,而终端之间的联系恰巧就是--网络。
3、缺乏访问权限控制机制。
许多单位的网络大体上可以分为两大区域:
其一是办公或生产区域,其二是服务资源共享区域,上述两大逻辑网络物理上共存,并且尚未做明确的逻辑上的隔离,办公区域的人员往往可随意对服务器区域的资源进行访问。
另外需要的注意的是,来宾用户在默认情况下,只要其接入内部网络并开通其网络访问权限,相应的内部服务资源的访问权限也将一并开通,内网机密文件资源此时将赤裸暴露于外部。
4、内网主机漏洞。
现有企业中大多采用微软系列的产品,而调查显示80%以上的攻击和病毒都是针对windows系统而产生的,这也就引发了微软一月一次的补丁更新计划,包括IE补丁、office办公软件、以及操作系统等全系列产品都被纳入这个安全保护之中。
但如果由于用户处的设置不当导致补丁无法及时更新的话,一旦被黑客所利用,将会作为进一步攻击内网其他主机的跳板,引发更大的内网安全事故,如曾经爆发的各种蠕虫病毒大都是利用这种攻击方式,这也是为什么政府机构的信息安全检查都极其重视操作系统补丁更新的原因。
这些常见的客户端安全威胁随时随地都可能影响着用户网络的正常运行。
对于管理者而言,内网安全的管理与外网相比存在一定的难度,究其主要原因就在于,内网的管理面比较大,终端数较多,终端使用者的IT技能水平层次不齐,而这在领导看来往往会归结到管理的层面,因此实施起来压力大,抵触情绪多,并且会形成各种各样的违规对策,单枪匹马的"管理"往往身体悬在半空,心也悬在半空。
技术人员往往亟需技术手段的辅助来形成一个立体化的安全模型,也需要有更为开阔的思路看待内网的安全问题。
1.3本文的研究工作与成果
本文指明内网安全防护的薄弱点是网络终端安全防护,进一步总结归纳当前内网安全方面的相关研究后,对本单位建议去掉“本单位”
的内网设计了针对性的终端安全防护方案。
研究成果主要是两点:
1)总结归纳了当前内网安全防护的相关研究。
包括弥补各种安防漏洞的安全防护策略、应对单一威胁的安防技术手段、应对复杂威胁的综合安全防护系统、应对新兴威胁的新技术手段。
2)以一个我单位信息网为例,设计了一套内网安全防护系统这里,建议进行脱敏处理,尽量不要提我单位等,抽出问题即可。
方案。
本文以作者所在单位的XXX一个实际的信息网为实例,主要从内网安全防护方向入手,分析面临的管理漏洞和技术缺陷,研究确保接入网终端安全的技术方案,特别是接入控制、地址管理及绑定、用户监控、统一安全设置等技术手段等综合应用。
1.4本文的结构
本文共分为五个章节。
第一章为绪论
第二章为内网安全相关研究综述
第三章为内网安全相关概念和关键技术介绍
第四章针对为我单位XXX信息网安全防护现状及针对性的改进
第五章为小结
2、内网安全相关研究综述
近期内网终端安全研究主要有四个方向思路,一是从健全管理入手建立安全体系,二是研究增强某方面的安全技术手段应对单一的安全威胁,三是综合利用多种安全技术手段构建较全面的安全防护系统,四是采用引入大数据、云计算等新的技术手段提升安全防护水平。
2.1从健全管理机制确保安全入手
文献[2]根据信息安全管理和风险管理相关理论设计终端安全风险管理体系;文献[3]提出了一种重视终端防护的计算机终端安全管理架构;文献[19]研究了企业内部计算机终端管理系统的日常运维和管理策略;文献[20]结合计算机终端安全运行的实际情况,研究了计算机终端的安全管理策略及应用;文献[21]指明终端是企业网络安全的短板,探讨了对终端进行有效安全管理的对策;文献[7]基于多安全要素,提出来包含安全技术管理、安全保密管理、安全运行管理三个方面的综合安全管理方案;文献[14]从全生命周期管理、管控领域和管控技术三个方面探讨了计算机终端安全的管理框架;文献[17]提出了不同安全设备集成、管理系统整合、数据整合与统一应用的安全管理模式;文献[28]针对我国在网络终端安全状况评估方面缺乏量化评估技术的现状,提出了一套网络终端安全状况的评估指标体系。
内网的安全防护“三分靠技术,七分靠管理”,制定并执行完善合理的安全管理制度,即可预防大部分内网安全事件的发生,同时也能保障其他安全技术手段发挥作用。
2.2针对面对单一威胁的针对性技术防护手段
文献[1]利用包过滤技术在内网终端构建主机防火墙,以达到防范网络内部威胁的目的;文献[4]设计监控用户行为的内网安全管理系统;文献[6]和文献[35]研究通过接入控制技术实现内网安全;文献[12]和文献[13]则对用户终端进行安全审核来进行网络准入授权;文献[8]研究了网络访问控制技术在企业信息安全中的应用;文献[9]利用安全中间件和J2EE技术设计了加密程序来保障数据传输安全性;文献[15]着重于通过加密技术、冗灾技术等方法实现网络环境中计算机终端数据安全;文献[26]归纳了针对网络攻击常见手段的终端防护方法;文献[36]提出实时监控代码和数据的完整性,防止破坏,保证了系统的完整、安全和可靠的安全防护方案。
针对单一类型的网络威胁或安全需求可以用特定的安全技术手段应对,这也为综合性的安全防护系统打下了实践基础。
2.3综合性的安全防护系统注意采用书面语
一是针对有采用多种成熟安全技术结合来应对多种安全威胁的综合防护技术:
如文献[5]设计了涵盖监控用户行为,进程监控和权限管理三方面功能的内网终端安全操作监控方案;文献[10]和文献[11]通过整合目前现有的成熟技术来实现对网络终端的监控管理;文献[16]通过采用准入控制、桌面管理、用户行为监控等多种防护方法实现对终端数据的安全综合防护;文献[22]重点介绍了访问控制技术、VPN技术和反病毒技术在计算机办公终端中的应用。
二是有构建统一的安全防护管理平台的:
文献[23]提出搭建终端安全配置用户平台来实现对所有接入计算机终端的安全配置管理;文献[25]设计了包含数据加密、用户接入、访问控制等多个层次的校园网安全管理系统;文献[30]和文献[31]针对内网用户终端的不同威胁设计了安全管理系统;文献[33]开发了一套网络终端安全管控系统,综合采用了802.1x接入技术、CA认证等多种关键技术,从终端身份认证、数据安全以及网络终端行为监管等方面着手,实现终端可信接入和信息安全。
三是针对有在终端安装客户端进行监控的:
文献[24]则通过在终端安装终端安全管理客户端来实现对计算机终端行为的可控制、可管理和可审计;文献[29]设计了采用DNS重定向的准入控制,主动探测,补丁的发现及升级,移动存储管理、客户端状态管理等技术的终端安全管理系统;文献[32]通过部署包含客户端和服务器端两个部分的网络终端安全防护系统实现了对计算机终端的安全配置、漏洞修复和病毒查杀。
总的说来,多种安全技术手段的综合应用、部署统一安全管理平台以及在终端安装安防客户端都可以加强内网安全防护水平,但实践过程中要注意要根据实际需求合理搭配选择安防技术。
2.4应用新技术保障终端安全
文献[27]分析了网络安全领域的变革趋势,指明了大数据分析与传统安全技术的融合将成为必然的发展方向;文献[34]设计研发了多级级联架构的云终端管理系统,实现了终端和用户数据的集中管理;文献[37]在云计算环境下,利用大数据进行安全态势的深度分析,并智能分析处理,形成联动的一体化云安全解决方案。
文献[38]比较了终端安全管理(Termin
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 终端安全防护管理系统研究 XXX 终端 安全 防护 管理 系统 研究