东北空管信息安全系统浅析

东北空管信息安全系统浅析

摘要：本文主要分析了我局信息安全存在的隐患,并详细介绍建设安全终端管理系统如何提高网络信息和终端主机的安全。

关键词：信息安全TSM ACL

东北空管局信息化建设发展迅猛，已经成为我局生产和办公的重要组成部分。随着网络的发展，网络设备和应用系统越来越复杂，覆盖范围也越来越广，目前东北空管局有近二千用户在使用信息化。伴随着信息化的发展，信息安全的问题日益突出，为了确保信息安全，我局建设了一套终端安全管理系统来解决信息安全问题。

1 东北空管信息化系统介绍

东北空管局信息化覆盖东北三省，网络设备连接沈阳、哈尔滨、长春、大连。共有服务器50余台，各类应用系统10余套，包括OA 系统、即时通信系统、工程档案系统、人力资源系统、固定资产系统、通信导航监视系统等。各类终端电脑近千台，全部采用windows操作系统。

2 东北空管信息安全主要存在的问题

（1）员工安全意识薄弱。由于员工安全意识薄弱，设置弱口令、随意使用USB移动存储设备、私自接入互联网、不安装防病毒软件、不及时更新防病毒软件病毒库、随意下载并安装未经验证的软件、不

及时安装操作系统补丁，可能会导致重要信息泄密、感染病毒等严重后果。

（2）非法终端用户接入。外来人员在未经许可的情况下，能够轻易接入并访问公司的网络。

（3）合法终端用户越权访问。因未对网络资源进行严格的访问权限控制，导致合法终端用户能够随意访问系统中的机密信息。

（4）移动存储设备管理混乱。未区分网内的移动存储设备和外来的移动存储设备。在使用网内的移动存储设备对外传输数据时，未对移动存储设备中的数据进行加密，员工可能会将重要信息拷贝到外来的移动存储设备并带走。

（5）Windows操作系统安全漏洞。由于信息网内的终端严禁接入互联网，所以终端主机不能及时安装补丁，可能招致黑客和恶意用户的攻击。

（6）病毒泛滥。因有些用户未安装防病毒软件，终端容易感染病毒，并且容易在信息网中蔓延和传播。

3 TSM系统介绍

为了解决网络管理问题，保障网络的畅通、终端主机的安全和信

息数据的安全，实现网络安全健康发展，我局采用了TSM（Terminal Security Management）终端安全管理系统，该系统实现从终端主机到业务系统的控制和管理功能。

TSM基于TSM代理为信息网提供安全接入控制、终端安全管理、补丁管理、终端用户的行为管理四大功能。其核心思想是建立网络准入控制机制，基本功能是安全检查、访问控制和安全修复。有效控制网络日渐增多的接入点，包括员工、外部访客等对网络的访问，发现并隔离带有威胁的终端主机，提升网络防御安全威胁的能力。下图1为TSM系统结构图。

该系统把我局信息化网络资源分成了认证前域、隔离域、认证后

域。

认证前域：部署终端用户在通过认证之前需要访问的网络资源，包括TSM管理器、TSM控制器。认证前域只部署终端用户不需要身份认证就能够访问的网络资源。

隔离域：当终端用户通过了身份认证，但未能够通过安全认证时，终端用户进入隔离域。隔离域部署能够帮助终端用户消除违规信息的网络资源（如防病毒服务器、补丁服务器）。

认证后域：当终端用户通过了身份认证和安全认证时，终端用户进入认证后域。认证后域部署信息网中需要保护的网络资源。

安全接入控制网关（即防火墙）：连接TSM控制器，并向TSM 控制器请求同步认证前域的规则和认证后域的规则，把规则转换为防火墙的ACL（Access Control List）访问控制列表。其中认证前域对应1条ACL，每个受控域对应1对ACL。受控域对应的1对ACL由permit语句和deny语句组成，分别对应允许访问受控域和禁止访问受控域。从交换机或路由器上接收数据流，并检查进入安全接入控制网关的报文。根据报文对应的IP地址的认证状态确定下一步如何处理。如果该IP地址未经过身份认证，安全接入控制网关将会使用认证前域对应的ACL对报文进行处理，该条ACL与管理员在TSM管理器上配置的认证前域相对应。如果该IP地址已经通过身份认证，安全接入控制网关将该报文从认证前域切换至认证后域，并根据认证

后域对应的ACL对报文进行处理。

TSM代理的主要功能包括：身份认证，通过输入用户名和口令，完成终端用户的身份认证；安全认证，从TSM管理器获取安全策略参数，根据下载的参数对终端主机进行安全检查，例如补丁检查、杀毒软件检查等。当终端主机符合安全要求，则认证通过。

4 SM系统在东北空管局的应用

为了不改变我局现有网络结构，我们采用了安全接入网关即防火墙旁挂的形式，旁路方式部署在需要保护的网络资源与终端用户所在的网络之间的路由器旁边，并把路由器中所有网段的流量重定向到防火墙，这样做的好处是一旦TSM系统出现故障，只需关闭防火墙，网络就恢复到以前状态，将不影响信息网的正常运行。

所有终端用户只有安装了TSM代理，并输入有效的身份，经TSM 控制器认证通过后，才能访问该用户权限允许的网络资源。

系统管理员通过TSM管理器可以分配用户的权限，建立安全策略，如终端用户禁止接入互联网、禁止通过移动存储设备复制文件、终端主机必须安装杀毒软件等安全策略。这些策略结合防火墙的ACL 和终端主机的TSM客户端，对用户的本机操作和网络访问进行保护和控制。

我局TSM系统经过一段时间的运行，证明系统安全有效，管理员通过不同安全策略的实施，可以灵活有效的管理信息资源和终端用户的行为，提高了我局信息安全级别。

5 结语

我局虽然安装了终端安全管理系统,但任何网络安全防护产品都不是绝对安全的，只有大家都树立信息安全意识，自觉遵守各项管理规章和制度，并提高网络技术和管理水平,我局信息网才能安全健康的发展。

参考文献

[1] 曾庆凯，许峰，张有东.信息安全体系结构[M].北京：电子工业出版社，2010.

[2] 林国恩，李建彬.信息系统安全[M].北京：电子工业出版社，2010.