从网络诞生以来,网络安全的威胁就是来自多方面的。其中,受到来自外部的袭击等威胁固然可怕,但更应该加以防范的是来自内部的安全威胁。调查显示,超过85%的安全威胁来自内部网络:16%来自内部未授权存取;14%源于专利信息被窃取;12%是内部人员的财务欺骗;另有11%资料或网络被破坏,等等。因此,在重金购置防火墙、防毒软件来防止外界威胁的同时,必须重视防止研究应对社保网络的内部安全威胁的对策,进而采取有效的防范措施。在这种情况,对于整体系统安全性来说,各个基层的终端接入点最易受到上述攻击的威胁,需要进行周详的设计。
1 系统安全目标
1.1 访问控制
(1)只有内部终端设备才能接入网络,可获得相应访问权限。另外,应对接入终端进行安全检查和认证,安检认证不合格的终端必须进行升级补丁、修复软件之后,才可接入网络。
(2)对终端操作人员进行身份验证和访问控制,拥有许可的工作人员才能通过身份验证。为防止身份冒用问题,应支持基于帐号、MAC、第三方认证系统(如AD、LDAP等)的认证,并设置IP、MAC与帐号绑定的功能。
通过实现严格控制终端的接入,可以确保只有系统认可的终端和人员才能接入网络。
1.2 终端安全检查
基层终端设备时刻面临着病毒、黑客入侵、木马软件等多种安全隐患。因此,应对接入终端的进行严格安检,只有合格的终端才被允许接入网络。而终端安全检查至少应包括以下几方面:
(1)检查终端防病毒软件安装与否,并是否及时更新。对于终端设备来说,病毒是最大的安全威胁,应作为安检的重点进行。
(2)检查终端的互联网浏览器、操作系统软件、办公软件等是否已及时更新安全漏洞补丁。木马及病毒最易攻击的目标就是系统及应用程序漏洞,应及时发现,并强制更新系统补丁,防患于未然。
(3)终端密码及账号信息。应能检查终端是否启用屏幕保护、是否设置密码,以及终端的屏幕保护的启动时间。另外,应能确定终端指定时间范围内未登录的账户,便于对闲置帐户进行管理。
(4)应具备检查终端软件信息的功能,对终端上的软件进行黑白名单管理,限制安装违规软件的终端接入网络,防止木马及其他风险对业务系统造成威胁。
通过终端的安检,能及时发现终端的各种安全隐患,及时消除,防患于未然。
1.3 用户行为管理
基层接入终端相对分散,应制定有效的终端统一安全策略,防止用户进行非法操作。因此,须要对终端用户进行相应的行为管理,包括以下几方面:
(1)支持远程管理功能。鉴于终端部署分散,管理员应能对远程终端拥有完全控制权限及监控权限,以方便运维管理。
(2)记录本地硬盘指定文件类型的删除、编辑、复制等操作,并将审计日志上传到服务器,保护原始数据不被篡改。
(3)应具备统一发布各类软件的功能,以保证新业务的终端软件灵活部署,并方便对现有软件进行及时升级。
(4)应具备将用户终端文件进行远程备份的功能,以确保对核心文件进行有效备份,防止意外损坏。
通过用户的行为管理,能够有效实现远程安全管理和运维,并保护分散在终端上的部分数据安全。
1.4 远程集中管理
基层终端有部署分散、日常操作人员的单位复杂的特点,对终端的安全管理应具备远程集中管理的特性,应至少包括以下几方面:
(1)终端管理软件应具有防卸载功能,以及强制升级功能,使终端软件保持新版本,并不会被用户自行卸载,造成违规行为而无法审计。
(2)应具备对所有终端进行安全策略下发和调整的能力。
(3)终端与服务器端通信、管理界面的访问应支持数据加密传输,防止被恶意拦截、破解。
(4)审计与报警功能应可视化,及时对全网信息进行收集和报警。
通过远程集中管理,能有效地将分散的终端统一的进行安全策略下发和管理,使分散的终端成为可管理的整体。
1.5 选择可靠备份线路
社保工程需要24小时不间断提供服务,应设计成本较低的方案,以为各节点提供备份线路。目前,移动网络发展迅速,3G技术成为成本低、部署灵活的最佳线路选择。但目前,普通的ADSL设备不支持3G备份线路。因此,考虑成本及管理方便的方面,应采用同时支持ADSL与3G线路的接入设备,并且设备可将ADSL作为主线路,3G为备份线路。
1.6 终端设备集成管理
目前,各个基层站点大都采用ADSL设备+PC终端的组合方式。这种方式带来的非法终端接入风险在前面已经进行了分析,不再赘述。以外,这种部署方式还会带来设备管理不便等问题,特别是网络设置被更改的情况下,如ADSL的线路被人为改动、设备被重置等。这造成管理人员无法对连接中断的终端及设备进行有效的远程管理,而基层终端使用人员又缺乏技术能力,无法判断当时状况,使问题解决困难。为此,应采用一体化设备,将终端机与ADSL进行集成,最大程度减少人为造成的链路中断等问题。
2 总结
综上所述,建议在社保工程基层接入点采取以下技术措施:
(1)在基层客户端终端部署安全管理类软件,以达成对终端的接入控制、安全检查、行为管理等安全功能的实现。另外,通过集中管理功能,确保实现终端安全策略的一致性,以及集中安全审计。
(2)在基层接入点部署高度集成设备。首先,支持终端接入控制的同时,要求能实现ADSL线路和3G线路的同时接入;应具备访问控制等防火墙功能;支持将接入线路和终端PC集成在一起,实现在每个基层点只需部署一台设备。
参考文献
[1]吕丽娟.金保工程中安全防护技术应用刍议[J].信息网络安全,2007(06).
[2]常勇斌.人力资源和社会保障的信息化建设探究[J].财经界:学术版,2012(02).
作者简介
桑卓,女,现为吉林省四平市人力资源和社会保障信息中心副研究员。