2013-08-21 09:14:35 来源:万方数据
随着社会信息化程度的不断提高,企业的信息化进程也在加速,然而,信息化在给企业带来效益的同时也给企业的信息安全和经营管理带来了一些负面影响,如信息泄密、员工利用计算机从事与业务无关的活动等等,因此,企业在制定各种信息安全规章制度的同时,也迫切需要通过技术手段来防范各种安全漏洞、规范员工的计算机操作行为,于是,为满足企业需求的桌面安全管理系统(也称之为内网安全管理系统)便应运而生。笔者所工作的单位曾经先后使用过三种桌面安全系统,因而对于桌面安全系统有较多的体验,本文根据笔者的经验,谈谈在桌面安全系统使用方面的体会。
一、桌面安全系统的功能
目前,市面上的桌面安全系统有很多,较为知名的系统有VRV、LanSecs,Topdesk以及D-Securer等,这些系统从大的方面看功能比较接近,通常都具有以下功能:
1.网络管理:对客户端的IP地址和计算机名进行管理;非法接入报警与阻断;违规外联报警与阻断。
2.行为审计:对客户端的文件操作、文档打印、共享设置、移动介质存储、黑白名单、注册表、账户密码强度、病毒库版本等进行审计,一些系统还提供对客户端的即时通讯、邮件收发和网站访问行为的审计,甚至对客户端的屏幕进行截屏。
3.应用服务:远程协助;补丁升级;软件分发;文件加密。
4.资产管理:对客户端的软硬件资源进行统计、监控和预警。
随着功能的不断丰富,桌面安全系统的已经成为集网络管理、上网行为管理和资源管理等诸多功能为一身的综合性安全系统。
二、桌面安全系统的组织架构
对于中小规模的计算机网络,其桌面安全系统的组织架构较为简单,不须分级管理,然而对于拥有几千个甚至几十万个网络节点的大规模和超大规模的计算机网络,则需要实行分级管理,不同级别的管理员拥有不同的管理权限,最高级别的管理员可以查询全网的各种信息,并制定全局性的安全策略,低级别的管理员只能查询本单位的信息,并制定仅适用于本单位的安全策略。
三、桌面安全系统的部署方式
目前,几乎所有的桌面安全系统都是采取客户端/服务器方式部署,在网络内的每一台计算机上安装客户端软件,计算机在安装了客户端软件后,系统自动将客户端的网络参数和软硬件信息上传至服务器,并定时与服务器进行信息交换。通常在一个网段内,系统会自动或由人工设定一台或多台计算机作为该网段的“探针”(也有称之为“警察”或者“种子”的)。“探针”负责对本网段内的计算机进行扫描检查,一旦发现非法入侵者,便向服务器发出警报,同时向入侵者发起阻断攻击,除此之外, “探针”还可以担负补丁中转分发的功能。
四、桌面安全系统的关键技术
对于企业的信息化工作,企业负责人最为关心的是要保证企业的信息安全,因此,桌面安全系统必须能够做到事前防止非法接入,事后能够进行追溯。从技术角度分析,事后追溯比较容易实现,事前防范的难度较大。目前,实现非法接人阻断的方式通常有两种,一是“硬阻断” ,即将桌面安全系统与交换机实现联动,当发现本网段内有非法接入的计算机时,立即通知交换机将所连接的端口关闭,通常凡是支持802.1x协议的智能交换机都可以实现这个功能。二是“软阻断” ,桌面安全系统通过“探针”对非法接人者进行ARP“广播”欺骗攻击。方式一的阻断效果较好,但是,它要求网内的所有交换机都支持802.1x协议,对于小规模的的计算机网络,由于投资不大,比较容易实现,但是,对于规模较大的企业网络而言,将原有的普通交换机升级为智能交换机,需要投入巨额的改造资金,实现起来难度较大。方式二不需要另外的投资,但是,由于这种方式是通过“广播”来实现的,“广播”少的时候不起作用,“广播”多的时候又会造成网络阻塞,另外,如果入侵者采取了反ARP攻击的措施,也不会起到阻断的效果。
除了阻断方式外,跨平台应用也是目前桌面安全系统中的一项关键技术,桌面安全系统不仅要兼容用户量最大的各种Windows版本,而且还要支持各种版本的UNIX平台和LINUX平台,目前,多数系统仅支持Windows平台,支持多平台的桌面安全系统并不多见。
五、桌面安全系统存在的问题
首先, 目前市场上的桌面安全系统在安装部署阶段都是在用户计算机上执行安装程序,系统通过安装程序采集用户端的信息。根据实践经验,由于管理上的不到位,或者用户出于抵触心理,在此过程中系统采集到的信息有很多都是不准确的,如果事后让管理员一一进行核实更正,理论上这么做是可行的,实际上不仅费时费力,而且对于一个大型网络也是不现实的。比较科学合理地解决的办法就是对部署方式和安装程序进行改进,即在安装部署之前,对网内所有计算机的IP地址和计算机名进行统一规范,并将这些信息提前导人到系统的数据库中,安装程序执行时,首先要把用户计算机的IP地址和计算机名与事先导入系统中的数据进行比较验证,若不匹配则不能继续执行。笔者所在单位的实践证明,这是一种比较有效的部署方式,既保证了网内计算机网络参数的规范性,又实现了入网计算机的实名化管理。
其次,从人性角度思考,企业员工都不希望“被”管束,为了规避监管,员工会想方设法卸载已经安装了的客户端软件,当客户端软件被卸载后,由于系统中已经保存了该计算机的IP地址和MAC地址,用户也未更改IP地址,此时,网络中的“探针”并不会将该计算机认定为“非法”,于是,这台计算机便成为一台可以不受管束的“马甲”计算机。因此,如何有效识别和限制此类“马甲”是桌面安全系统需要解决的另一个难题。从网络传输的机理和网络结构两方面看,目前单靠桌面安全系统本身尚无法从根本上解决这个问题,一般都是通过与第三方网关产品(如Sep11)相结合的方式来实现防卸载功能,但这电只能做到限制“马甲”通过网关,并不能限制它在网络内部的其它行为。
第三,目前多数系统可以对网络用户按行政隶属关系进行管理,但是不能对用户的权限和安全策略进行分组管理或者管理功能较弱,这是目前各桌面安全系统普遍存在的缺陷。在现实中,对于大型企业,其内部的情况千差万别,非常复杂,一个用户可能同时具有多重属性,并非非此即彼,因此,用户组的权限和策略设置功能有待进一步完善和提高。
第四,人性化设置。企业实施桌面安全系统的目的就是想实现对所有入网设备的精细管理,希望每一台设备都安装上系统的客户端软件,但是,在实际工作中,出于工作需要或者特殊原因(比如配置过低、与某些应用软件冲突、网络打印机等),一些设备不能或者无法安装客户端软件,因此,系统应当引入“特权IP”的概念,允许个别设备在没有安装客户端软件的情况下不受系统的干扰,能够在网络内部正常工作。
第五,法律问题。前文提到一些桌面安全系统可以对客户端的即时通讯、邮件收发、网站访问进行审计,还具有远程协助和截屏功能。 实际工作中,这些功能往往会在用户中引起很强烈的抵触反感情绪,企业方出于安全和管理的需要,可以要求在员工使用的计算机上安装桌面安全系统,但是,系统所具有的功能应事先向员工说明,否则有可能引起不必要的法律纠纷。
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。