政府内网终端的安全监控与管理一直是个难点，特别是终端在接入与自身健康性、跨区域访问、终端上运行的文件等都会对信息网络带来极大的威胁，本文从主机单点防护、边界访问控制等角度，采用互联互通的技术，来有效监控终端的访问行为，提升终端的安全性。

　　方案背景

　　本方案根据某省电子政务安全建设中提出的“终端安全管理需求”而编写。针对典型政务网络，特别是终端在接入、自身健康性、跨区域访问、终端上运行的文件安全、内网终端在访问内网服务器和互联网过程中的安全监测与控制问题。

　　安全需求

　　非法接入终端带来的安全问题

　　缺少对便携终端或网络设备接入网络行为的有效监控措施，导致网络或系统遭到入侵与攻击;终端携带的病毒将直接对信息网络造成破坏;非法终端还将发布ARP欺骗等数据包，引起网络的瘫痪等。

　　终端自身安全带来的安全隐患

　　当终端没有安装防病毒软件或未及时更新病毒特征库，终端操作系统补丁未及时更新等，这些安全问题将导致病毒在网络中的传播，严重的也将导致交换机的负荷过重而瘫痪。

　　终端跨越区域访问中带来的安全问题

　　政务网络中，普遍将各业务系统及服务器部署在相同安全域内，以保障内部业务应用的安全，在策略上限制互联网用户不得直接访问内部服务区，并且内部服务区也不接受互联网的访问，但是由于终端即可以访问互联网，也可以访问内部服务区，那么当终端同时访问互联网和内部服务区时，终端可能被黑客或病毒当成跳板，在政务网络与互联网区交换数据，将导致重要业务服务受到攻击。

　　终端缓存的文件造成泄密

　　内网终端在进行日常操作的过程中，往往在本地缓存了很多重要文件，那么当终端在访问互联网的时候，这些缓存在本地的文件，在没有采取任何访问措施的时候，也将会成为互联网攻击者的目标，造成信息的泄密。

　　设计思路

　　针对以上问题，天融信从可信的角度，综合采用TopDesk以及防火墙技术，通过技术间的互联互通，实现政务网络的“分层防护、纵深防御”能力。

　　方案设计

　　在内网终端外访之前，先通过安装在内网终端上的防护代理进行健康性检查，并以此为依据，做为判断是否可进行下一步操作的关键，终端防护代理将检查的内容包括：

　　终端系统补丁更新情况

　　终端系统防病毒系统安装情况

　　终端系统防病毒系统防护强度

　　终端系统违规或恶意软件

　　终端系统非法的进程

　　利用技术间的互联互通特性，对检查中健康性未达标的终端，将借助防火墙控制器网络与资源访问能力。通过技术间的整合来实现有效的内网终端安全控制，实现部署方案。

　　方案效果

　　通过技术间的互联互通实现以下的安全建设效果：

　　解决了终端非法接入的问题

　　解决了终端健康性带来的威胁问题

　　解决了同时访问互联网和内网的安全问题

　　实现了对重要文件的保护

　　提高内网终端的自身安全级别

文章作者：计世网