赵婷婷

摘要：随着网络技术应用的不断深入，网络与信息安全发展进入全新时代，而网络终端安全作为网络的最基本安全防护策略之一，在网络安全防护中具有相当重要的作用。本文以南京不动产统一登记为例，对网络终端和用户行为安全管理进行全面分析，实时检测系统补丁和病毒库版本，配置合理桌面安全策略管控用户行为，实现网络准入控制，结合用户良好的信息安全意识和使用习惯，从一定程度上提高不动产统一登记数据安全防护水平，有效保护整个规划资源网络安全。

关键词：网络终端;用户行为;网络准入控制;安全防护;网络安全

1主要挑战

1.1内部网络面临挑战

攻击方法日新月异，内部安全防范任务艰巨，ARP欺骗与恶意插件泛滥问题，网络钓鱼等新的安全问题，内网主机被植入木马或其他恶意程序成为“肉鸡”或“僵尸”，用以窃取内网机密数据，或將其作为DDOS（分布式拒绝服务攻击）工具向外发送大量数据包，占用网络带宽;由于内部网络各平台主机和设备没有及时升级安全补丁和杀毒软件病毒库，给恶意入侵提供可乘之机，使得病毒和蠕虫大规模爆发成为可能，导致内网瘫痪;非法外联难以控制，内部重要机密信息容易泄露，内部用户误将内外网互联，使得内网资源暴露，攻击或病毒乘机攻入，或通过移动终端等不受监控的网络通道将内部机密信息泄露;便携式计算机等移动设备经常接入内网使用，若管理不当，很有可能携带病毒或者木马，未经审查评估或安全测试就直接接入，将对内网安全构成巨大威胁;随时更换计算机终端IP地址等配置，导致难于统一管理，出现安全事件难以定位责任主体;缺乏U盘、移动硬盘、光驱等外设的灵活管理手段，数据泄露、病毒传播难以控制;管理制度缺技术手段保障，安全策略无法有效落实。尽管已经制定安全管理制度，加强网络安全意识培训，但只依靠人员的工作责任心和自觉性，无法有效杜绝问题，还需要依靠灵活实用的技术手段，保障管理制度政策的落实和严格执行。

1.2传统安全技术局限

随着不动产业务形式不断推广，网络边界逐渐模糊，通过VPN、网闸等方式连接内网成为可能，使得终端的信息滥用、误用、恶意使用行为增加，传统安全技术如防火墙、入侵检测、防病毒等稍显无力。对于防火墙、防病毒网关、网闸等用于网络边界访问控制的网关防护产品，重点是防止外部病毒和外部攻击，缺乏对内部终端的攻击防护;对于网络入侵检测、主机入侵检测、安全审计等系统网络审计产品，采用的监测技术重点是发现和记录攻击、非法访问等安全事件发生，需与其他安全产品联动实现对攻击行为的阻断;现有安全解决方案的防御重点是外网攻击，内网保护基本依靠防病毒软件，而防病毒软件经常出现被随意卸载或禁用，病毒库更新不及时等情况，安全体系存在很大缺陷，无法防止蠕虫病毒利用漏洞传播，无法限制内网资源滥用，无法防止非法外联行为。显然，网络终端安全管理是信息安全木桶原理中的短板，只有解决好基础问题，才能提高整个网络系统的坚固耐用性。

2网络终端与用户行为安全管理

2.1网络安全现状

南京规划资源网络系统遵循模块化的设计思路，根据不同应用系统的需求按照纵向分层、横向分区的设计理念进行合理规划。以不动产统一登记系统平台所对应的不同服务对象为依据进行区域划分，区域间按照业务安全等级进行隔离防控，使不动产登记平台更加具有可扩展性，业务流量更加清晰，运维管控更加便捷。

2.2安全管理需求

2.2.1支持多场景准入控制模式

不动产统一登记网络终端及用户遍布多个不同分中心、档案馆等，网络接口如何防止非法电脑接入，检测接入的电脑是否安全，并能够适应现有复杂的网络环境，灵活行使准入控制策略。

2.2.2内部数据防泄漏

不动产统一登记系统包含大量登记信息，而正常工作中又存在需要使用外联设备的情况，需要灵活有效地防止终端用户通过U盘、内存卡等外传泄露。

2.2.3终端安全合规性

避免办公终端系统随意安装软件、修改IP管理地址等不符合内部安全管理规定的行为。

2.2.4终端统一运维

不动产登记网络终端分布分散，需实现终端快速定位，软硬件资产统计、统一管理，统一推送软件，必要时对终端进行实时远程协助等运维管理。

2.3管理方法实现探索

采用多层次的安全防护技术，从终端接入网络之前开始，实现终端入网准入、终端安全加固、终端外设管控，保证接入内网的终端都是合法、安全、可控的，阻断不符合安全要求的终端接入。

2.3.1整体描述

不动产统一登记网络终端配置安全管理客户端助手，终端连接网络端口即发送访问请求，连接的网络交换机端口变成UP状态，触发准入协议启动工作。网络交换机向终端发出认证启动报文信息，终端回复报文进行响应，直到完成准入协议的报文交互过程;本文方法将支持准入协议架构的网络交换机作为端口访问认证器，负责与端口访问请求终端进行通信，并将来自端口访问请求终端的身份信息、安全状态信息转发至认证服务器进行验证，并依据认证服务器下发的授权信息，对端口访问请求终端进行授权，通过该端口访问的网络资源实现对其控制;认证服务器接收端口访问请求终端的身份信息和安全状态检查信息，并将身份信息发送至目录服务器进行验证，依据目录服务器返回的验证结果，认证服务器选取对应的授权信息，封装至网络交换机的回包中，完成对端口访问请求终端可访问网络资源的授权。同时认证服务器将认证和授权信息写入数据库，用于准入控制审计;目录服务器主要对收到的用户名、密码、数字证书等身份信息进行验证，并将验证结果返回给认证服务器。本文的安全管理方法将认

2.3.2准入认证方式

目前准入认证方式主要有策略路由、网关模式和802.1X三种方式。802.1X是一个国际标准，多厂商支持，管控力度高，结合不动产统一登记网络现状，在不改变现有网络架构、不影响网络性能的基础上，选择802.1X准入认证。

2.3.3用户行为管理

通过非授权外联（U盘等）、无线网卡、蓝牙禁用等基本桌面安全控制手段实现用户行为管理，结合补丁管理、软件分发、远程协助、设备发现和拓扑展示，实现对不动产统一登记网络终端和用户行为安全管理控制。

2.3.4主备双认证模式

为了实现更加可靠的网络安全管理，采用主备双认证服务器模式，当其中一台服务器故障无法提供准入认证服务时，网络交换机自动切换至备份服务器进行验证，无须人工干预，保障网络安全管理认证和授权功能的高可用性。当双认证服务器都出现异常，网络交换机会自动采取AAAnone逃生机制，自动放行所有终端，保证不出现大范围网络瘫痪、应用中断情况。

3总结与展望

本文以南京不动产登记终端管理为例，探索网络终端与用户行为安全管理方法，从终端接入网络之前开始着手，实现终端入网准入、终端安全加固、终端外设管控，阻断不符合安全要求的终端接入，确保授权接入的终端合法、安全、可控。结合各种行为管理策略，灵活有效地实现终端用户行为管理，防止内网用户终端随意连接互联网，确保登记信息不从移动存储外泄，保证数据安全。

参考文献

[1]祖峰.计算机终端安全管理策略及应用的研究[D].北京邮电大学，2008.

[2]杨大伟，郑澎.终端安全管理系统提升运维效率[J].网络安全和信息化，2017（3）：122-123.

[3]李峰，宁莹，孙明，等.企业网络用户行为管理[C]//宁夏青年科学家论坛.2010.