企业终端准入控制与数据防泄密安全应用
2013-06-01常润梅孟利青
常润梅,孟利青
(1 内蒙古电子信息职业技术学院,呼和浩特 010070;2 中国移动通信集团内蒙古有限公司,呼和浩特 010020)
企业终端准入控制与数据防泄密安全应用
常润梅1,孟利青2
(1 内蒙古电子信息职业技术学院,呼和浩特 010070;2 中国移动通信集团内蒙古有限公司,呼和浩特 010020)
企业级数据中心的数据是一个企业核心竞争力的重要体现,数据的安全性应该被企业重视,利用终端准入控制和数据防泄密技术提高企业安全管控能力。通过两种技术结合方法与实践,有效提高了企业数据的安全性。
数据安全;终端准入;数据防泄密
随着企业数据中心的快速发展,除了部门内部员工,还有越来越多的第三方厂商人员需要参与到日常的系统维护和开发过程中。终端不仅数量多,而且来源复杂,流动性大。这给日常的终端管理带来了一定的困难,同时也对企业数据安全产生了极大的威胁。这些隐患主要体现在如下方面。
(1)由于缺乏技术和管理手段,许多终端安全管理规定难以落地。例如,将外部的电脑自行接入到数据中心,私自更改电脑的安全设置等行为。这些行为违反了数据中心的信息安全管理规定,也威胁到数据中心的信息安全,如果情况严重可能会导致网络瘫痪,造成重大损失。
(2)厂商维护人员的迅速增加和流动性使得安全管理面临很大的挑战。大型企业数据中心常驻的厂商维护人员大约200多人,还有一定数量的短期维护人员,这些人员经常更替,他们的电脑也会随时根据工作需要接入数据中心,从而给数据中心的信息安全带来很大的威胁。
(3)部分厂商维护人员由于工作需要而能够接触到数据中心的敏感业务数据,随着大量的终端接入数据中心和在终端上使用存储设备或外设来存储或传输数据,因此极易产生数据流失和泄漏的风险,例如通过U盘、光驱刻录、红外、蓝牙、无线网卡等拷贝和发送数据。
因此,为进一步提高数据中心的信息安全管控能力,在完善管理制度的基础上,在技术上必须建立统一的终端准入控制系统和数据防泄密体系,进而提高终端的安全管控水平。
1 安全管控目标
针对数据中心终端管理方面存在的安全风险,经过调研和综合分析,数据中心应确立如下的终端安全管控目标:
(1) 对所有接入数据中心的终端进行网络准入控制,防止外来电脑或者不符合安全规定的电脑接入数据中心。
(2) 对所有接入数据中心的终端实施资产管理和控制。
(3)实时、动态掌握接入数据中心内终端的安全运行状况,为部署安全策略提供支持,为维护人员提供管理的便利性。
(4)建立终端的集中式快速安全管理体系,对数量众多,最难以管理、监控的桌面电脑建立完善的安全评估、安全加固、集中维护体系,以提高桌面电脑的安全性及降低桌面电脑的日常维护工作量。
(5)建立防泄密体系,强化对U盘和光盘等移动存储设备以及蓝牙和红外等无线外设的管理,对数据中心敏感数据进行保护,防止各种渠道造成数据的泄漏。
(6)规范内部人员和第三方厂商人员对数据的使用,建立以角色为基础的保密体系,防范各类人员随意使用数据而造成信息泄密。
2 安全管控策略与方案
2.1 终端准入控制系统
部署终端准入控制系统,防止外来或者不符合规定和安全策略的电脑接入数据中心访问资源,对所有个人访问数据中心的终端进行资产管理和控制,实时、动态掌握网络整体安全状况,建立实时安全评估体系。
数据中心的终端准入控制系统基于Cisco EoU接入认证,如图1所示。
图1 网络准入控制架构
所有的移动终端和台式终端等设备在接入数据中心时,都需要安装准入认证客户端Agent并接受EoU接入认证。未安装客户端Agent的终端设备接入数据中心时,将被拒绝接入;已安装客户端Agent的终端接入数据中心时,系统RADIUS服务器将首先对Agent所提供的用户身份信息进行认证,认证通过后才允许接入网络,否则将不允许接入数据中心。
终端在接入数据中心时,准入控制系统根据预先制定的准入控制策略对终端进行安全性检查。终端接入网络时检查是否安装数据中心中规定的防病毒软件且是否为最新病毒库;检查客户端系统是否启用了Guest户,是否有弱口令,是否存在可写共享目录,和未设权限的可读目录,如果存在以上问题,即视为不满足准入安全策略,将客户端机器转入“修复区”进行安全隔离,同时通过Agent通知终端用户被隔离的原因。对于符合准入策略的终端,准入控制系统将允许其接入数据中心。
由于本系统RADIUS服务器均采用双机热备的方式进行部署,和接入认证过程相关的设备和系统不存在单点故障,因此单台设备的RADIUS服务异常或者断线不影响网络准入控制的使用。在特殊紧急情况下(例如双机故障),系统管理员可以通过执行脚本的方式,快速将网络接入设置为“不设防”状态,使得所有终端能够正常接入网络。通过上述手段,保障了准入控制系统的高可用性。
基于Cisco NAC的EAP over UDP(EoU)网络准入控制,在接入层交换机不支持802.1x通用协议的环境下,如果汇聚层接入采用的是Cisco支持EoU协议的网络设备,即使接入层交换机或者AP不支持802.1x协议,依然可以通过基于EoU的网络准入控制验证计算机终端的安全基线、隔离不安全的终端。
1) aaa new-model /启用AAA
2) aaa authentication login default line none
/创建缺省的登陆认证方法,采用line password认证
3) aaa authentication eou default group radius
aaa authorization network default group radius
/创建EoU认证方法列表,group radius表示使用radius服务进行认证
4) ip admission name Cisco eapoudp
/创建ip准入控制名称(Cisco是名称,可以随意定义)
5) ip device tracking
/启用网络设备的设备追踪功能
6) eou allow clientless
eou timeout retransmit 30
eou max-retry 3
/配置EoU参数,允许网络设备将无代理的设备的信息发送到radius服务器进行认证(根据ip、mac地址);设置重传的超时和次数。使用30s、3次这个设置可以避免代理启动过慢被交换机误认为是无代理设备。如果代理启动速度加快,可以适当减小。
7) ip access-list extended default_acl
permit udp any any eq 21862
permit udp any eq bootpc any eq bootps
permit udp any any eq domain
permit icmp any any
permit ip any host 192.168.1.20
permit ip any host 192.168.1.204
deny ip any any
/配置一个接口默认的ACL,建议至少允许一下几种ip包,:udp21862端口(EoU认证需要)、DHCP(获取ip地址)、DNS(允许获取域名的ip地址,以便http可以重定向)、ICMP(允许ping)、Leagview服务器所在的ip地址访问、其他修复服务器地址等
8) ip access-list extended url-redir
deny tcp any host 192.168.1.204 eq www
permit tco any any eq www
permit tcp any any eq 443
/配置一个ACL,用来定义要重定向的HTTP访问,上例中所有的http访问被重定向到192.168.1.204
9) radius-server attribute 8 include-in-access-req
radius-server vsa send authentication
radius-server host 192.168.1.20 auth-port 1812 acctport 1813 key gmxy
/配置radius服务器
10) radius-sever retry method reorder
/将dead的radius的优先级降低,缺省情况下不调整优先级别,当已经发现第一个radius dead时,如果有认证请求,直接将认证包发给第二个
11) radius-server retransmit 2
/制定网络交换机向radius服务器的认证包重传次数,默认为3,减少该值可以更快地切换到下一台radius服务器来做认证
12) radius-server timeout 3
/指定认证包的超时,默认为5s
13) radius-server deadtime 3
/设置deadtime为3分钟过,3分钟后网络设备会再次尝试
14) radius-server vsa send authentication
/指定交换机发送radius包时加上Cisco自己的扩展(以便解析接入端口名)
15) ip http server
/在交换机上启动http服务器(需要URL重定向功能)
16) int f0/1
ip access-group default_acl in
ip adminssion CISCO
/在某个端口上启用CISCO,即EoU
17) show eou all
/查看EoU接入情况
18) show ip access-list int f0/1
/查看端口ACL应用情况
19) clear eou ip ***.***.***.***
/清除某个设备的EoU回话(以便开始一次新的认证过程)
2.2 数据防泄密系统
数据防泄密系统围绕数据在终端的存储、传输和交换过程中的风险,以环境保护的方式,对能够访问数据中心内数据的终端进行保护。系统采用了磁盘加密、外设控制、移动存储管理、网络传输控制和身份认证5个关键技术,对终端进行全方位的控制,数据只能够在终端本地使用,无法将数据随意外带,需要外带时必须经过特定审批,从而保障了数据安全环境的建立,如图2所示。
图2 终端数据安全环境
2.2.1 支持工作环境切换
数据防泄密系统通过模式切换,在终端上实现了“一机两用”,即将个人终端环境分为工作模式和普通模式两个环境。当终端接入内网时,系统会强制其进入工作模式,并对外设进行控制,禁用光驱、蓝牙、COM、LPT端口等设备,从而禁止刻录和打印等行为。终端在工作模式下才能够访问核心业务数据,此时数据只能存在特定的保密区域,无法通过任何方式外带。在工作模式下,所有数据和程序都能正常应用和修改,但是终端重启后只有在保密区域所做的修改能得以保存,在其他磁盘上做的一切操作将被还原。保密区域是将终端的一块或几块磁盘做加密处理后而得到的特殊区域,俗称工作盘。
普通模式是为了方便用户在非办公环境下可以正常使用个人终端,在这种模式下系统不会对终端有任何限制,唯一不同的是此时看不到工作盘里的数据,也无法对工作盘做任何操作,从而保障了数据的安全性并防止数据外泄。
内网管理一般是指对单位内部网络终端的综合管理。内网管理软件主要通过禁止远程屏幕拷贝、远程屏幕监控、全硬盘文件监控和文件监视、上网行为检查和打印监控等网络监控功能;具有禁用USB、禁用光驱、软驱、管理非法外联等阻断管理功能;具有禁用QQ、禁用P2P、禁用游戏、远程修改IP、禁止修改IP、通过进程知识库进行木马分析和查杀、自动补丁分发的补丁管理、注册表监控、流量排名和流量报警阻断等运行维护功能。
2.2.2 对移动存储设备进行管理
数据中心内部使用的移动存储设备必须通过系统管理员进行注册登记后,才能在终端上使用,否则终端不能识别并读写移动存储设备。终端进入工作模式后,拷贝到移动存储设备的数据为加密格式存储,且只能在指定的内网终端打开,在其他终端上打开后显示为乱码。通过对移动存储设备进行管理,保证了数据在可控的范围内传播,保障了数据的安全性。硬件加密是通过专用加密芯片或独立的处理芯片等实现密码运算。将加密芯片、专有电子钥匙、硬盘一一对应到一起时,加密芯片将把加密芯片信息、专有钥匙信息、硬盘信息进行对应并做加密运算,同时写入硬盘的主分区表。这时加密芯片、专有电子钥匙、硬盘就绑定在一起,缺少任何一个都将无法使用。经过加密后硬盘如果脱离相应的加密芯片和电子钥匙,在计算机上就无法识别分区,更无法得到任何数据。硬件加密方式往往是对硬盘上的数据进行管控,使用范围相当有限,不是主要的防泄密手段。
2.2.3 终端行为审计
可以在数据防泄密系统中设置“文件操作记录”和“系统进程管理”等审计策略,从而按需对文件操作行为和网络行为进行有效的审计管理,例如记录终端日常的文件操作行为,或者禁止违规软件的使用。文件加密主要是指文档加密软件。文档加密软件是通过对内网员工客户端产生和存储的文档进行透明加密或者文档使用权限管理,实现文档安全管理。优盾智能信息防泄漏系统采用底层驱动透明加解密技术,在完全不改变企业原有工作流程和文件使用习惯的前提下,对企业内部的关键数据文件实行监控和强制加密保护,有效的防止被动和主动泄密。
3 结论
在终端准入控制系统和数据防泄密系统部署完毕后,不但掌控了终端在接入直到接出数据中心的整个过程,还通过限制数据的传输途径提高了数据的安全性。既方便了安全管理员的维护和管理,又使得终端管理办法易于落地执行。具体效果如下:
(1)将终端准入控制与数据防泄密系统有效结合,通过对终端和数据的有效管理和控制,最终达到较高的信息安全管理等级。
(2)阻止非法的未注册的外来用户电脑接入数据中心,只有通过管理员正常注册的、允许接入的、满足安全策略的、合法的外来设备才能接入数据中心。
(3)强制要求接入网络的终端设备安装准入控制Agent、防泄密Agent和杀毒软件,从而保证防泄密和杀毒软件的正常运行。
(4)在内网真正实现了设备准确定位。基于终端的设备发现和管理可以让管理员通过某个终端的特征定位到当前设备的IP地址、MAC地址、主机名、设备资产信息、资产编号、设备使用人、所属部门,甚至可以定位到设备所在的网络设备和端口、信息点号等。
(5)数据在流转的过程(存储、内部传输、介质交换、向外发送)中得到了全方位的加密与审批保护,使数据的生存环境得到有效控制。
(6)通过安全管理流程可把控终端从接入到接出数据中心的全过程,并保留有终端资产和人员流动的审计信息。
[1] 杨云峰,唐凤仙. 基于访问列表控制的Cisco路由器安全策略初探[J]. 中国新技术新产品. 2011(10).
[2] 富克春. 数据加密标准(DES)算法与安全性探析[J]. 产业与科技论坛. 2011,10(6).
[3] 董月博. 终端准入控制系统的研究与实现[D]. 天津:天津大学. 学位论文. 2007.
[4] 赵杰. 终端准入控制技术探讨[J]. 信息安全与通信保密.2012(1).
Enterprise terminal access control and data leakage prevention safety applications
CHANG Run-mei1, MENG Li-qing2
(1 Inner Mongolia Electronic Information Vocational Technical College, Hohhot 010070, China; 2 China Mobile Group Neimenggu Co., Ltd., Hohhot 010020, China)
Enterprise data center data is one of the core competitiveness of enterprises an important embodiment, data security should be taken by the enterprise, using the terminal access control and data leakage prevention technology to improve enterprise safety management and control ability. From two kinds of technology methods and practice, effectively improve the security of enterprise data.
data security; terminal access; data leakage prevention
TP3
A
1008-5599(2013)03-0076-05
2013-01-24
