摘要:现当今,通讯行业由于其独特的行业特性,其公司内部拥有数量众多的各种计算机终端和各种异构的网络,同时,其公司内部计算机上还拥有各种机密的用户信息乃至国家的敏感信息,如何保证这些信息资源的安全,如何对内部网络实施监控,如何有效地保证内部计算机设备免受病毒侵害,建立公司全网终端安全统一管理平台是一种行之有效的方式。
关键词:通讯运营商;网终端;安全管理;平台设计
引言
移动电话是目前世界上人们进行交流的重要工具,已是人们生活中不能缺少的部分。在实际的应用过程中,移动通讯从业务角度构成了终端业务支撑的平台,所涉及的业务内容包含了所有的通讯交流内容。所有的移动增值业务造就了庞大的移动数据系统,限制了移动通讯效益。根据实际移动增值业务情况,创建优质的业务终端平台已经成为了移动通讯建设过程中最为重要的内容。
1基本问题分析
当前通讯运营商内网安全面临着诸多安全隐患,因此应当及时优化其管理结构,设计终端安全管理平台。当前主要安全隐患包括以下三个方向:其一,公司内部终端都连接着DCN网,经过省中心认证后,才可进行后续的互联网访问。DCN网具有统一出口的特点,如果DCN网并不属于集团公司,那么则不符合公司的安全运营管理需求,不允许其应用互联网出口功能。其二,诸多办公与非办公终端在应用时,并未采取物理隔离以及逻辑隔离,IP地址存在混用的情况。进而导致办公终端很容易成为网络攻击的跳板,针对企业关键业务造成较为严重的安全威胁,导致企业的运营面临着极大的安全风险。其三,当前DCN网和IP网都没有落实实名制管理,进而导致无法全面追究溯源,使得运维管理难度系数加大,不能满足企业的发展需求。
2内网终端安全管理平台设计
构建内网终端安全管理平台,实现统一管理的主要核心点应当围绕着集中式管理、分级部署而展开,在设计平台时,应当由省中心统一管理,其他地级市以及省二级机构自主完成管理与维护,在平台中出现的报警等多项信息应当上传至省中心。首先,在构建安全管理平台时,省中心可以独立部署统一管理的中心服务器,控制网络安全,而下属地级市管理单位也
应分别部署中心服务器,省中心服务器可以利用级联服务器获取低级服务器信息内容,在派发管理员权限时,也应当由省中心统一管理与派发。省中心在集中管理中具备最高管理权利,能够对下级服务器进行统一管理,制定管理策略。在安装网络终端时,也应当配套安装客户端程序,以此实现对网络终端的全面管理与监督,与此同时,网络系统终端也应当安装相应的补丁服务器以及杀毒软件,并定期对杀毒信息库进行更新,在与互联网相连接时可以进行独立部署,也可以使用管理服务器,以此来实现实时更新系统的相关补丁信息,加强病毒防控。其次,终端安全管理平台可以利用中心服务器,实现对各客户端的优化配置,如网络补丁下发、入网设备联网状况、流量监控、U盘使用监控、终端软件硬件管理、禁止安装不允许软件以及应用程序安全等等,同时也应当实时监控客户端的各种行为。通过网络终端客户端程序的安装,能够实现对终端各项信息的有效管理,遇到风险时也能够及时报警上报,针对终端设备的异常现象,可以对其管理节点进行断网处理,同时也可以通过远程操作诊断与维护客户端设备。最后,终端安全管理平台可以通过利用多级级联部署方式,实现各级网络终端独立下载安全管理软件的功能。下级管理节点应当统一汇报各项报警信息以及管理情况;上级管理节点则向下级管理节点下发各项管理策略、病毒库升级文件以及网络补丁。安全管理平台可以通过统计实际客户端数量及管理功能,对安全管理方式进行拓展。
3接入控制
(1)接入控制技术要求。根据公司内部实际情况接入控制分以下三种情况:①面向长期在网的计算机必须安装Agent,必须符合网络接入安全管理规定,例如:拥有合法的访问帐号、安装指定的防病毒软件和操作系统补丁等。如果不符合管理规定,将拒绝其接入,或者通过网络对该电脑进行自动隔离,并且指引其进行安全修复。②对于临时接入的电脑终端则采用Web控件方式。其打开Web浏览器访问任何Web网站时,被提醒安装IE控件才能正常访问内部网络。③对于特殊电脑(譬如相关领导的电脑终端)可通过专用软件、U-KEY、终端安全准入设备上做配置等方式实现无管控访问内网。(2)接入控制功能要求。接入控制需要实现以下功能:①安全检查、评估、加固,非法操作的管理、限制;②U盘使用的可信授权管理,防止文件非法外传,终端行为安全审计等;③终端的集中式管理,例如:资产管理、软件分发、远程维护控制、补丁管理、应用程序安全管理、非法外联管理。(3)接入控制策略要求。接入控制策略包括以下要求:①Agent自带反卸载、反非法中止、非法删除功能;②如果电脑终端私自卸载Agent(如重新安装操作系统)或者中止Agent的运行,全网统一管理平台可以及时发现这种行为。可以依据有关安全管理规范对其进行警告或者处罚,防范这种行为的再次发生;③应支持对私自接入的NAT网络进行管理。
4网络安全接入认证功能要求
系统需要实现身份认证、安全检查、隔离修复等功能。(1)身份认证。要求对所有入网设备进行身份认证,支持包括AD域、802.1x、Web认证、MAC地址、IP地址、基于用户名和密码的身份、接入设备端口、所在VLAN等信息,还支持U-KEY、智能卡、数字证书认证,LDAP、无缝结合域管理。要求提供开放式认证协议,支持LDAP、AD等第三方的认证数据库。提供终端设备指纹与用户绑定的安全强化认证。(2)接入设备的安全性检查。对于入网终端需提供细致化的安全状态检测,包括各种防病毒软件版本、终端补丁漏洞、应用软件黑、白、红名单检测、非法外联、非法代理、异常流量、敏感操作行为检测等;同时还需达到以下要求:①支持市面上主流的防病毒软件,如:瑞星、江民、金山毒霸、McAfee、Norton、趋势科技、NOD32、卡巴斯基、F-Secure、360杀毒等;②支持基于资产、注册表项、桌面属性、本地安全策略、系统设置项、外设管理等非常细致化的检测项;③能够对未注册或未实行IP/MAC绑定的终端执行ARP阻断,提供阻断时间配置。④能控制特定用户或用户组对特定业务资源的访问;⑤能控制特定终端或终端对特定网络资源的接入;⑥对业务资源访问的内容监控和过滤。(3)接入设备的安全修复。对于没有通过安全检查的设备,提供一体化的隔离修复支持,通过使用系统内部提供的修复功能或者用户自定义的修复
功能,降低对第三方修复厂商的依赖,降低产品实施和管理的复杂度。要求提供友好的人性化引导界面,帮助用户一步一步进行安全修复,使终端符合网络安全管理的策略要求。白浩
结语
综上所述,移动通讯终端的业务支撑平台是人们生活中的重要平台,创建完善的业务支撑平台能够保证数据信息准确的传递,为用户提供更加完善的服务。在建设业务支撑平台过程中,根据移动终端平台特点,不断完善各项技术,为用户提供完善的服务,确保服务质量。
参考文献
[1]康雅萍,陈熠,白浩.基于多域网络环境的终端安全管理体系的研究[J].长江信息通信,2021,34(6):127-129.
[2]关天文.计算机终端安全管理研究[J].今日财富(中国知识产权),2021,(5):129-130.
[3]叶水勇.移动智能终端安全防护的探究[J].国网技术学院学报,2020,23(3):24-27.
发布评论