终端安全防护技术研究（四）

3 典型终端防护应用方案
3.1 终端行为安全管控
案例3.1-1：终端安全封控
终端安全封控是一些与互联网隔离的专用信息系统进行终端安全防护的典型应用模式。终端安全封控应用方案以解决终端计算机使用者由于安全意识薄弱或者在利益驱动下造成的信息泄露和病毒传播问题为主要目的，通过对计算机终端外设和网络访问行为进行管控，阻止信息外泄和病毒传播。
终端安全封控应用通过部署主机安全审计系统实现外设和网络使用封控及违规行为审计：
（1）设置网络非法访问控制策略，关闭终端威胁端口；
（2）启用终端主机非法外联功能，阻断终端主机非法外联行为；
（3）启用终端外设管控。对终端的USB存储、光盘刻录、文件打印等行为进行受控使用；
终端安全封控应用的典型部署组网如图 8所示：
图 8终端封控应用模式组网图
在局域网内部署主机安全审计系统服务器，分配管理地址，创建系统管理员、安全管理员和审计管理员账号。
通过主机安全审计系统服务器的安全管理员制定并为每台主机下发安全封控策略，安全封控策略包括桌面外设封控策略、网络非法访问控制策略、非法外联管控策略。
案例3.1-2：终端行为审计
终端行为审计应用是终端安全封控应用的提升，也是面向与互联网隔离的专用信息系统网络的终端安全防护方案。终端行为审计在终端安全封控的基础上，增加对终端使用的全方位行为审计，包括终端系统安全登录控制与审计、终端软件运行控制与审计、终端文件操作审计、终端资产变化审计等。
终端行为审计应用的典型部署组网与终端安全封控应用相同。在局域网内部署主机安全审计系统服务器，分配管理地址，创建系统管理员、安全管理员和审计管理员账号。
在局域网内所有终端主机上安装主机安全审计客户端软件，为每个用户配发USB-Key，作为用户登录桌面操作系统的凭证。
部署证书管理系统，通过证书管理系统为每个用户签发用户签名证书，写入用户USB-Key中，将证书管理系统的用户证书信息离线导入到主机安全审计服务器中，以建立终端主机的桌面登录策略。
通过主机安全审计系统服务器的安全管理员制定并为每台主机下发安全封控策略，安全封控策略包括桌面安全登录策略、外设封控策略、网络非法访问控制策略、非法外联管控策略，开启用户行为审计。对核心终端配置软件运行控制策略，以黑名单或者白名单模式指定非法应用程序。

3.2 终端安全加固
案例3.2-1：终端补丁分发
“千里之堤，始于蚁穴”，对于用户来说，操作系统、数据库和应用软件软件时常爆出的安全漏洞是终端安全面临的重要危险。在一些大型的具有多级管理结构的专用信息系统网络内部，终端补丁分发与管理显得尤其重要，在安全运维力量相对有限的情况下，如何通过技术手段实现终端计算机的自动补丁修复是安全运维管理面临的实际需求。
微软提供的WSUS解决方案能够较好的解决多级专用信息系统网络内部终端主机补丁自动修复的问题，使用WSUS搭建多级级联的补丁管理体系，实现终端补丁的自动检测与安装，在上下级之间建立补丁库自动更新的通道。WSUS还提供了补丁库在线更新服务，通过必要的网络隔离手段接入互联网即可完成补丁库的在线更新。WSUS补丁分发与管理的典型应用模式如图11所示：

图 11WSUS补丁管理与分发系统
在专用网络的一级和二级中心和三级节点分别部署WSUS补丁管理服务器，实现补丁管理服务器的级联。在每级的局域网终端主机上安装补丁分发与管理客户端软件，注册至本级局域网的WSUS补丁管理服务器上，检测终端主机补丁安装情况并从本级的WSUS补丁管理服务器上下载并安装补丁。
各级WSUS补丁管理服务器通过其连接的上级补丁管理服务器进行补丁库下载，以实现垂直网络内各级节点补丁库的同步。
在一级节点配置WSUS补丁管理服务器的补丁库更新地址为微软的补丁更新服务器，为了保障专用网络与互联网的物理隔离，一级WSUS服务器通过双向隔离网闸接入互联网进行补丁库更新。
案例3.2-2：终端系统固化
对于一些对终端安全防护要求高，终端用途比较单一的应用环境，由于终端上所运行的应用及使用场景都很固定，适宜对终端的系统环境进行固化。比较常见的应用场景是军队和科研单位的指挥终端和大屏展示终端，该类终端具有如下几个方面的特点：
（1）终端用途单一。除了进行指挥控制、大屏展示等具体用途外，没有其他用途。
（2）终端上的应用系统单一。由于其用途单一，系统上运行的应用软件也是固定的。
（3）终端不存储数据。终端只进行实时数据处理，而不存储数据。
（4）终端比较敏感。终端上能够访问核心数据，且接入敏感网络，要求进行全面加固。
终端系统固化的典型应用组网与终端安全审计应用组网模式相同，通过主机安全审计系统或者专门的终端安全加固软件实现，在终端上部署系统固化软件，对系统的配置、文件和应用软件建立固化基线，阻断任何对系统基线的修改。
案例3.2-3：可信安全加固
在工业控制和航天应用等领域，对一些专用终端的安全防护要求比较高。终端对应用的访问严格受控，要求终端的使用和应用访问严格进行身份鉴别，并基于身份进行系统安全配置的可信安全加固。该类终端具有如下几个方面的特点：
（1）终端使用者严格受限。终端主要用于专业应用，终端的启动和登录都要严格受限，杜绝未授权人员的使用。
（2）终端的应用软件来源严格受控。终端软件的运行需要进行严格的来源限制，软件的运行权限也需要严格受限。
（3）终端位置固定。终端位置固定，一般不是用于给办公人员使用，因此终端的使用者权限区分不是人，而是系统或者应用。
基于上述特点，针对该类终端的防护可以采用可信密码模块进行安全加固。通过在终端上配置可信密码模块，通过可信密码模块标识终端的使用者，并依托于可信密码模块实现对终端主机的使用者可信认证、应用软件运行可信认证和终端安全配置的基线可信受控。
3.3 终端准入控制
案例3.3-1：终端准入控制
终端安全加固解决了终端自身存在的漏洞及终端信任问题，是终端安全防护的基础，终端安全管控解决了终端使用行为管控的问题，使得终端使用可控、可管、可审计，这两个方面基本上解决了可管理的计算机终端的自身安全防护。但是从体系化防御的角度出发，终端安全防护还需要解决非信任终端的入网管控和非法接入审计的问题，终端准入控制就是为解决终端信任和准入问题而推出的解决方案。
一般采取对终端的身份认证和终端环境安全检查作为信任终端的检测条件。终端身份认证实现对终端使用者的身份审核，确保使用终端的人是可信任的，终端环境安全检查确保终端的计算环境是安全可控的。
终端准入控制应用模式的典型部署的网络拓扑结构如图 14所示，包含接入认证服务器、第三方证书服务器、交换机以及准入控制客户端软件。

图 14终端准入控制应用模式
在局域网内部署准入控制服务器，配置终端准入的条件以及终端身份认证的相关认证策略。在接入交换机上配置802.1x接入认证策略，对交换机的接入端口开启802.1x接入认证，并设置认证的服务器地址为准入控制服务器地址。
通过统一的证书管理系统为每个终端用户签发用户证书，以USB-Key作为用户证书和私钥载体。在局域网内的可信终端上安装准入控制客户端软件。
在部署了准入控制系统的局域网内，可信任用户接入本局域网之前首先需要按照准入控制配置策略完成终端的安全配置，如需要开启终端主机的防火墙、设置复杂的操作系统登录口令、关闭guest账号访问、安装防病毒软件、更新病毒库等。终端用户插入合法的电子钥匙后方可连入局域网。
外来访客由于没有合法的身份钥匙，也没有安装准入控制客户端软件，无法与接入交换机完成身份认证，因此不能入网。本局域网内的非受信任终端，虽然有用户的身份钥匙，但是没有安装准入控制客户端软件，因此也就无法对客户端计算环境进行安全检查，也无法与接入交换机完成身份认证和准入条件检查。