搜索
桌面安全管理技术现状与发展趋势来源:信息安全与技术作者:潘玉珣(北京圣博润高新技术股份有限公司)引言桌面安全已经成为当前信息安全领域的一个热点话题。近年来,从国家信息安全政策的广泛引导、信息安全厂商的持续技术投入和行业用户需求的逐渐清晰,桌面安全管理技术、桌面安全管理产品和桌面安全管理解决方案不断涌现,可谓是百花齐放。无疑,桌面安全管理技术与产品已经成为信息安全行业的新宠。同时,桌面安全管理市场也成为继防病毒、防火墙、入侵检测之后的又一个有着广泛需求和明确定位的信息安全细分市场。笔者将针对当前桌面安全管理的技术现状做一番回顾,并对桌面安全管理技术的发展趋势进行分析。桌面安全管理技术产生的背景经过数十年的信息安全建设,我国各级政府机关以及各行各业的内部网络和应用系统的安全防护能力已经达到一定水平。各级政府机关以及各行各业的内网结构复杂、应用系统众多,网络和应用系统的运维管理消耗了网络管理人员相当大的精力。虽然内部网络与应用系统的安全防护措施已经非常到位,但是网络管理人员却发现,信息安全故障却并没有随着信息安全投入的增加而下降。经过统计分析发现,内部网络和应用系统发生故障的原因很少是由于网络设备和应用系统自身的问题所引起,更多的是因为内网的其它安全因素导致,如病毒爆发、资源滥用、恶意接入、用户误操作等。而这些安全因素,则几乎全部来源于用户桌面计算机。具体来说,桌面计算机存在如下一些安全管理问题:1)桌面计算机缺乏必要的安全加固手段尽管多数政府部门和企业对桌面计算机的安全加固已经采取了部分安全措施,如安装了防病毒软件和个人防火墙软件,甚至部署了漏洞扫描系统定期对桌面计算机进行漏洞扫描,督促用户及时更新操作系统补丁。但是,这些努力措施却没有起到应有的效果。首先,企业管理者不能保证所有的终端用户都安装了防病毒软件和防火墙软件;其次,即便安装了这些防护软件,用户也常常因为各种原因无法及时更新病毒库,也不知道如何正确配置防火墙策略;另外,系统漏洞扫描虽然可以获得桌面计算机的补丁缺失情况,但是却缺乏有效的补丁安装手段。所有这些因素,均导致桌面计算机的安全无法得到有效的保障。2)桌面计算机缺乏有效的接入控制手段对于政府部门和大中型企业来说,内网计算机数量众多。网络管理人员很难统计内网计算机的确切数量,也无法区分哪些是内网授权使用的计算机,哪些是外来的非授权使用的计算机。这种状况下,很难控制外来人员随意的计算机接入。很容易导致政府部门和企业内网机密信息的泄漏,往往等泄密事件发生了,却还无法判断到底是哪一个环节出了差错。另外,对于内网授权使用的计算机,任何一台感染了病毒和木马,网络管理人员也无法及时定位和自动阻断该计算机的破坏行为。往往需要花费很长的时间才能判断和定位该计算机,然后再通过手动的方式断网。对安全强度差的桌面计算机缺乏有效的安全状态检测和内网接入控制,是导致内网安全事件不断发生的重要原因之一。3)桌面计算机缺乏有效的行为监控手段在政府部门的和企业单位中,内网的建设和使用促进了工作效率的提升,但是对部分政府部门和企业单位来说,恰恰正是由于内网的使用,反而导致部分人员的工作效率成倍下降。这主要是由于这些人员经常利用桌面计算机进行与业务无关的互联网访问、文件下载、网络聊天、网络游戏、看网络电影等。首先,这些用户行为给政府和企业造成了生产力损失,降低了工作效率;其次,互联网的过渡访问占用企业极大的网络带宽,对正常用户的网络使用造成冲击;另外,上网会增加桌面计算机感染病毒和木马的可能性,给内网带来新的安全隐患和风险。4)桌面计算机缺乏必要的配置管理手段对于政府部门和企业内部网络中众多的桌面计算机,依靠传统的资产登记管理办法,根本无法做到对计算机配置信息的准确掌握,对计算机配置的变化也无法及时跟踪。例如,要准确掌握每台计算机的软硬件配置信息,需要通过手工方式非常耗时及繁琐的工作。要想实时并准确地掌握内网桌面计算机的配置状况与配置变更状况,例如IP地址资源的有效使用,必须通过技术手段和工具来辅助实现,才能有效节省成本和资源,提高内网管理的效率。上述桌面安全问题的存在及其对内网安全造成的威胁表明,内部网络和应用系统的维护管理不是独立的,应该从内网安全管理的全局出发,从事故发生的根源开始,对内网安全进行通盘考虑,尤其应当重视内网中数量庞大的桌面计算机的安全管理问题,才能避免信息安全建设出现如“木桶原理”所指明的信息安全短板问题。桌面安全管理技术正是在此背景下出现和逐步完善起来的。桌面安全管理技术现状针对上述的桌面计算机管理问题,信息安全厂商展开了大量的技术研究和产品开发工作,涌现出来一系列桌面安全管理技术和相关产品。这些技术和产品的推出,不断充实和完善了桌面安全解决方案。目前,在桌面安全管理领域,有如下一些比较成熟的技术得到了行业用户的认可,并获得了较为普遍的应用。1)补丁管理补丁管理是最早应用的桌面安全管理技术之一。微软提供的WSUS到SMS系统是其中的典型代表。通过补丁管理技术,能够实现对桌面计算机的安全漏洞扫描,并针对扫描到的安全漏洞安装相应的补丁程序。补丁程序是由补丁管理系统负责维护的。补丁管理系统维护本系统管理能力范围内的操作系统和产品补丁程序和对应的漏洞检测特征。一般地,补丁管理系统通过补丁索引对补丁进行维护管理。通过补丁分发管理,大大减少了操作系统和应用软件漏洞被利用所造成的安全隐患和经济损失。安全漏洞扫描和补丁程序安装是自动化和智能化的,无需管理人员的人工干预就可后台自动进行。但大部分补丁管理系统部署时,仍需要管理员针对本单位具体情况作一些相应的配置和管理,例如制定适合自己单位的漏洞检测和补丁安装配置参数,对补丁库中的补丁程序进行审批等等。如漏洞检测的时机和补丁安装的方式等。一般地,补丁管理系统可以通过安装在桌面计算机上的代理程序获得内网所有桌面计算机的补丁状况,包括桌面计算机的补丁缺失情况、补丁安装情况以及补丁安装的进度等。因此,系统可得到全网任何一台桌面计算机补丁安装快照,方便了对补丁分发过程的监控。考虑到对网络带宽资源的合理使用,大多数补丁管理系统都提供了诸如定时分发、带宽控制、代理转发、P2P分发等技术,以减少补丁分发过程对网络的影响。这些技术中尤以代理转发技术和P2P分发技术最为用户青睐。通过代理转发技术和P2P分发技术,既可以保证补丁分发的实时性,又可大大减少补丁分发过程中网络带宽的占用,是一项广为认可的补丁分发技术。2)主机防火墙主机防火墙是另一项应用比较广泛的桌面安全技术。微软公司在自己的操作系统中内置了主机防火墙,可以对主机与外部网络的访问进行强制控制。许多安全厂商和防病毒软件厂商也推出了更加强大的主机防火墙,除了网络访问控制功能外,还可对进出主机的数据包进行病毒和木马的查杀,进一步提高了桌面的安全防护能力。具有访问控制能力的主机防火墙一方面可以阻断来自外部的入侵,防止外来入侵给桌面计算机带来危害;另一方面,也可以对桌面计算机的网络访问行为进行控制,防止内网用户对网络资源的滥用行为,如BT下载导致网络带宽过渡占用。目前国内多家厂商可通过集中的策略配置,对内网所有主机进行统一的防火墙规则配置,显著提高了防火墙规则的配置效率、提高了主机防火墙的应用价值。3)主机准入控制所谓的主机准入控制,是指对接入内网的桌面计算机进行身份鉴别或者安全状态检查,阻止未授权或不安全的桌面计算机接入内网和访问内网资源。通过准入控制,可以将外来计算机阻挡在内网之外,也可以将内网中安全性较差(未及时安装补丁和防火墙软件)的计算机隔离出内网,保证内网整体的安全性。目前已经得到应用的主机准入控制技术包括如下三种:交换机端口MAC绑定技术最早的网络准入控制技术是利用交换机设备提供的端口与MAC地址绑定功能,将允许接入交换机的主机设备的MAC地址与交换机对应的端口进行绑定,当链路层通讯发生时,交换机可以对进入的MAC地址进行鉴别,如果与绑定MAC地址匹配则放行,否则将丢弃流入的数据包。通过上述手段,可以限定接入内部网络的终端计算机设备。但是这种技术的缺点是配置较为繁琐,当桌面计算机设备变更频繁时也不容易维护。另外,用户也很容易通过MAC地址的冒用绕过准入控制。较早利用该技术实现准入控制的用户大多是因为早期没有其他替代方案可选。近年来,此种技术方案已经有逐渐被淘汰的趋势。802.1X认证技术802.1X认证技术最早由网络设备制造商提出,通过对支持802.1X协议的网络设备的配置,可以指定接入交换机某个端口或所有端口的桌面计算机必须通过身份认证,才允许接入网络。接入认证系统由安装在桌面计算机上的认证客户端、网络设备和认证服务器三部分组成,共同完成接入认证。虽然基于802.1X的接入认证技术很早就投入商业使用,但是由于网络设备的限制和部署的复杂性,目前采用此种方案的用户并不太多。基于桌面客户端与网关设备联动技术近年来,出现了一种新的准入控制技术,即通过桌面计算机上的认证客户端和网关设备联动方式实现准入控制。该技术通过认证客户端对主机的身份进行鉴别并对主机的安全状况进行检查,将身份认证信息和安全检查结果发送到网关设备,由网关设备进行认证。通过认证的主机将被允许访问网关后的资源,如互联网或者企业关键应用等。未通过认证的主机,则拒绝访问。这种技术的优势是部署简单、认证方式灵活。可以很好的发挥认证客户端对本地的安全检测能力和网关设备的访问控制能力。是准入控制技术发展的一个趋势。4)桌面监控审计桌面监控与审计技术是目前应用较为广泛的桌面安全防护技术之一。通过分布在桌面计算机上的代理程序,配合服务器端的统一策略部署,可以对桌面计算机的运行状况、用户操作、安全配置状况、资源使用情况等进行集中的监测和操作审计。主流监控审计技术可以做到如下一些桌面管理工作。桌面运行状况监控桌面运行状况监控可对桌面计算机上运行的程序、进程、服务等进行全面监测,并可以通过黑白名单的设置,限制用户运行某些程序和进程,例如游戏、攻击工具、视频播放器、MP3播放器等,从而达到禁止用户利用计算机进行与工作无关的操作。用户操作监控通过用户操作监控,可对用户执行的文件访问、文档打印、设备操作、拨号上网等行为进行实时监测。并可定义用户的访问权限,超出用户权限范围的操作行为一概禁止,如此可避免权限的滥用导致的桌面安全风险。安全配置监控通过安全配置监控,可对桌面计算机的组策略、用户权限、安全选项进行统一配置管理,在统一配置策略要求下,自动对桌面计算机的安全相关参数进行配置,并对配置状况进行跟踪审计,一旦发现用户私自更改配置的情况,可以通过报警方式通知管理人员,也可按照预定的策略对安全配置进行自动恢复。通过安全配置管理,可以保证全网桌面计算机的安全状况达到一个基线要求,提升全网桌面计算机的总体安全水平。资源使用监控通过对桌面计算机的资源使用情况进行监控和审计,可以获知全网桌面计算机的CPU、内存、磁盘和网络带宽等资源的使用状况。可以配置资源使用的阈值,当资源使用超过指定的阈值后,通过报警和阻断网络等措施,提醒桌面用户和网络管理人员。另外,还可以通过策略限制用户对资源的使用,如通过带宽控制技术限制桌面计算机对网络带宽的过多占用。5)网络行为监控对于用户数量庞大的政府和企业单位,如何规范内网用户行为,是节约成本、提高效率的关键因素之一。目前,通过网关设备对内网用户的上网行为进行管理的技术和产品非常流行。也是上网行为管理的主流技术。但近年来也出现了一些在桌面计算机上直接对用户行为进行管理的技术。与网关设备提供的上网行为管理技术相比,基于主机的上网行为管理不仅可以对用户访问互联网和广域网的行为进行控制,降低随意浏览互联网带来的安全隐患,还可以更好的控制用户访问内部网络服务器提供的游戏、电影站点等。而这些资源的滥用不仅消耗了网络带宽资源,也大大降低了工作效率。而上述问题是无法通过网关设备来解决的。6)桌面配置管理桌面配置管理可完成桌面计算机的各种信息的收集和系统参数的配置。通过配置管理,网络管理人员可以准确掌握每台桌面计算机的配置状况和运行参数,并可对桌面计算机的运行参数进行远程修改。主机信息收集