1、终端计算环境现状让人忧
谈到信息系统安全问题,人们往往会想到防火墙、入侵检测和防病毒等。而面对不断发生的恶意攻击和病毒,人们只能把防火墙、入侵检测、病毒防范做的越来越复杂,但随着维护与管理复杂度的提高,使得整个信息系统变得更加复杂和难以实施,也使得信息系统的使用效率大大降低。面对这种形势,安氏开始从另一个角度来思考信息系统的安全问题,并有针对性地提出了面向终端安全的防护概念,为终端计算环境的安全,提出了从终端的安全问题解决信息系统安全问题。
那么,安氏为什么要提出这样的保护概念?这应归结于安氏多年来对各个行业信息安全建设的经验和理解,安氏认为如果从服务器、网络、终端三个组成信息系统层面上来看,现有的保护手段是逐层递减的,这说明人们往往把过多的注意力放在对服务器和网络的保护上,而忽略了对终端的保护,这显然是不合理的。这是因为三个方面的原因:
其一,终端往往是创建和存放重要数据的源头;
其二,绝大多数的攻击事件都是从终端发起的;
其三,数据泄密和蠕虫病毒感染都是因为终端脆弱性引起。
这三个方面恰恰说明人们对信息安全问题仍然存在着一个大盲区,究其根源,都是终端保护不足所引起的。如果我们在信息安全建设中,能够将不安全因素从终端源头被控制,使得系统中每一个使用者都是经过认证和授权,其操作都是符合规定的,那么再配合其他安全设施,就不会产生攻击性的事故,从而能够更加完善的保证整个信息系统的安全。由此不难得出,从终端安全入手才能更好地解决整个信息系统的安全问题。
2、安氏可信终端成就安全体系
安氏基于以上原因提出了可信终端安全思想,认为高安全等级的终端系统是可信计算平台的核心,并从众多的信息安全建设中吸取了很多有用的技术和经验,加以综合充实,从而形成一整套完整的终端保护技术框架。
在整个技术框架内,安氏首先认识到高安全等级的信息系统对应的是高安全等级的终端应用系统;其次,可信环境的建立是一个连续的过程,任何一个环节的漏洞都会导致整个信息系统不安全,从根本上体现了“自身强健,协同作战”的思想。
下图是终端保护结构图:![]()
在安氏构造的Terminal Guard可信计算环境的体系结构中,整个系统分别从被保护的终端安全引擎代理、下发各种安全策略的中心策略管理服务器、管理员直观可视的管理员控制台、内网隔离策略强制访问控制系统、各种终端升级与补丁管理系统等五部分组成,这五部分共同协作,构成了安氏可信终端保护的安全体系。
同时,在安氏可信终端保护系统中,独特的引入了信息资产管理的概念,将所需要保护的人、硬件、软件、系统都以信息资产的保护形式进行资产登记,比如Terminal Guard的客户端程序如果安装,则可以收集到各种信息资产,存放在服务器的数据库中,并不断跟踪终端的变化,从而保证管理员随时得到最新的信息,资产管理收集的信息包括各种硬件信息-IP地址、MAC地址、CPU、内存等,包括各种软件信息-安装的软件产品、补丁。用户可以通过业务系统和组织结构两种视图对所管理的终端进行查看。因此,安氏所有的管理功能都是基于信息资产的,包括了补丁管理、软件分发、安全策略等。
在整个终端体系中,Terminal Guard将计算机划分为特定的组,每个组可以拥有自己的策略,策略包括了补丁安装列表、软件安装列表、安全策略、完整性检查策略。每个客户可以根据不同组的需求定义相应策略,例如:某个补丁虽然是关键更新,但是该补丁一旦打到运行了某个应用的计算机上会导致该应用无法使用,这种情况下,应该针对该计算机组制定专门的策略不打该补丁,并采取其他安全措施(例如过滤相应端口)。
3、终端保护的机制
第一:终端受限
可信终端用户群安装安全引擎代理,它每次访问外网时,先根据自己的身份从中心策略管理服务器获取当前安全策略,再根据下载的安全策略,执行各项强制安全措施,检查本机的安全状态,进行资产登记,监视本机行为,发送各类日志和告警到中心策略服务器,从补丁库下载安装各类操作系统与应用软件的补丁,与内网隔离墙策略强制访问控制模块通信以获得所需的网络资源访问权限。
第二:中心策略管理主控
中心策略管理服务器来接受安全引擎代理的资产登记,为安全引擎代理提供安全策略下载,接收保存安全引擎代理发来的日志与告警,为管理员控制台界面提供管理接口,保存各类补丁信息,接收补丁库日志,为内网隔离墙策略强制访问控制模块提供安全策略确认服务并接收内网隔离墙强制访问控制模块发来的日志与告警。
第三:访问认证和控制
所有的管理都是通过全中文的图形界面来实现。在所有资产登记完后,通过内网隔离墙策略强制访问控制系统进行认证和策略控制,来强制保护信息资产的安全。如果被保护的终端符合安全策略的允许条件,用户则可正常访问外网,反之则被禁止。
第四:如果受控则完善终端
升级与补丁库存放各类操作系统及应用软件的补丁和更新数据文件,供安全引擎下载安装。它还负责存放安全引擎代理的安装与升级映象,入侵防护与防病毒特征库,供安全引擎升级自身及所用的特征库。它根据中心策略管理服务器转发来的管理员指令或定期从补丁源下载各类补丁,执行转发来的其它补丁库管理指令,发送日志信息到中心策略管理服务器。
这四种方式构成闭环,构成整个安氏可信终端计算环境的保护机制。
4、各种系统配合完善终端保护
当然,安氏Terminal Guard在整个安全终端的保护机制中,除软件及补丁管理外,同时为终端还配合有软件分发、个人防火墙、个人防病毒、主机入侵检测系统、完整性检查和自动修复、强制认证、内网隔离墙策略强制访问控制等。一方面,防止了终端系统免受来自内部或外部的恶意攻击外,阻止了蠕虫病毒的自我繁殖和感染,从根本上杜绝了利用软件漏洞而造成的网络拥塞、系统资源消耗和一系列安全隐患等;另一方面,经过内网隔离墙策略强制访问控制,从边界上隔离了不安全系统的终端,保证免疫能力底下的终端免受其害。同时,安氏Terminal Guard还可根据各种用户不同的安全需要,采用“自愿安全”和企业信息资产角度的“强制安全”方式,通过用户自己的安全管理设置,除保证整个安全系统的安全性外,同时也保证了系统的可用性,从根本上保证了企业终端计算环境的安全。
5、 小结
应该看到,安氏对企业信息安全的建设不但从边界防护和系统安全检测做起,还充分考虑到终端计算的安全。安氏Terminal Guard从终端开始,通过对终端的强制认证和完整性检查,及时强制并完善终端的安全,从源头抓起,有的放矢,真正打造了企业可信终端的安全计算环境,有效满足了各行业的迫切安全需求。
