制作网安全管理策略研究

一、制作网面临的安全问题

制作网因为它的特殊性，必然要和外界做信息交换，如广告商带来的图片数据资料、企业带来的影像素材、来自移动存储介质的字幕文件、来自数字摄像机的素材导入（如松下P2卡摄像机的数据导入）、来自笔记本电脑的对白文字或配音文件、来自其他网络的数据文件（来自光缆的异地节目上传）等。这些信息的导入也会带来各种风险。如何解决制作网与外界信息安全交换的问题，对制作网的安全运行至关重要。在制作网环境中一个最重要的实体就是终端计算机。终端是网络划分中的最终节点，也是与使用者最接近的设备，所有基于网络化的日常办公、学习及娱乐等都直接与终端有关系。尤其是在信息化程度普及的今天，大量的办公事物都需要通过计算机来完成，这种使用方式往往是使用者通过终端计算机登录需要的业务系统，以获得使用权限并完成相应的工作。在这种情况下，终端的安全往往成为了制作网整体环境安全的重要节点，这从以下几点可以更充分的说明：

（1）终端计算机是内部网络与外部游离设备的交互点，安全问题可以由此引入。事实上，由于计算机接口的标准化，很多电子设备都趋向于与计算机进行信息交互，如优盘、手机、数码相机等，这些设备与终端形成离散的接入点，可以向终端写入数据或从终端获取数据；而终端使用者必须通过它访问内部网路的授权业务系统来完成日常工作。这样，当外部游离设备引入病毒或攻击程序，在使用者访问业务系统时，将会导致制作网环境受到攻击。

（2）终端中运行的其他软件可能影响制作网的正常使用。由于终端计算机为每一个不同的使用者使用，使用者可以在终端安装各种软件。这些软件的使用可能造成制作网通信带宽的大量占用及其它安全问题。

（3）终端使用者行为难以约束。终端使用者对终端的使用情况是难以控制的，使用者有可能在工作时间上网聊天、打游戏、下载电影；也可能下载各种黑客工具进行研究，把内部网络作为试验田；还可能浏览黄色网站，传播不良信息。这些行为都可能导致内部网络不正常。

（4）终端管理难以进行。政府或企业的IT管理人员往往承担着维护内部网络终端的任务，这些维护工作包括解决出现的问题、安装日常软件、配置系统等多方面。在现有条件下，管理员很难实现快速的软件统一部署、在线解决远程计算机的问题、统一终端安全策略的制定等，这些问题都需要其它技术手段辅助完成。

二、制作网的安全管理策略

通过以上分析，笔者认为制作网的安全建设目标是：建立完善的监控机制，实现对终端主机的实时监视；提供对终端主机的全面远程安全管理，包括资产管理、事件管理、行为管理等一系列功能。要从一个更高的角度全面掌握网络终端主机的运行态势，为网络环境的正常运转、业务系统的正常运行提供可靠的保障。下面从终端主机安全管理、安全审计和边界控制三个方面介绍制作网的安全管理策略。

1终端主机安全管理

（1）身份认证身份认证可以确保每个使用者的合法性，同时也为区分不同人的上网行为记录提供依据。对于责任划分、使用权限等都很有意义。身份认证一般有两种方式：USBKey认证方式和口令认证方式。

（2）行为管理对于终端计算机管理的情况，应该能够控制用户对终端主机的各类操作行为，这些行为包括文件操作行为、软件使用行为、上网行为、邮件发送行为、外设使用行为等。系统对用户行为的监控主要包含两方面：一是针对用户的所有行为控制操作将生成详细的日志记录，以备管理员查询；二是管理员可以通过策略设置用户各种行为的使用范围，例如只允许访问哪些文件，基于黑白名单的软件使用许可，只允许访问哪些网站，是否允许使用哪种外设等。

（3）应用程序控制通过技术手段，实现基于黑名单及白名单的方式控制终端用户允许运行的应用程序。在黑名单方式下，所有名单中的应用程序将不允许运行，其它程序可以运行，白名单则相反。应用程序控制方式不是基于应用程序的程序名实现的，而是基于特定应用程序的签名实现的，能够有效防止恶意使用者通过将未授权程序的名称改为授权程序名称而达到运行不合法程序的目的。

（4）Windows策略管理对安装Windows系统的终端计算机来说，由于操作系统自身的原因和使用计算机用户的原因，都普遍存在较多的安全问题，如攻击者可以通过TCP或UDP等端口对Windows系统进行攻击。针对这些问题，Windows自身提供了一套策略管理机制，Windows操作系统中具有可配置的策略模块，其中有相当一部分策略可以加固系统的安全性。为了增强Windows系统的安全性，应该规范用户外设使用策略，规范用户上网行为策略、规范用户软件使用策略、系统补丁下发策略等。

（5）主机监视对终端主机运行状态进行监视审计。包括CPU使用率、内存使用率、磁盘使用率、应用系统性能等，当监视的资源的指标和状态违背预设规则时，将产生事件上报服务器，并可通过多种方式向管理员报警。对于某些监视事件，要提供处理功能，例如进程状态监视中如果进程由运行状态变为停止状态，事件处理器可以根据规则自动将进程重新启动。

2主机安全审计

对终端主机的各种系统行为及操作行为进行记录，对日志审计查询分析，实时发现主机出现的安全事件，保证主机处于安全运行状态。包括：

（1）文件操作审计。对文件操作行为，包括新建、复制、移动、重命名、覆盖、删除等进行审计记录。记录信息包括主机名、时间、源文件、目标文件、操作行为等。

（2）共享文件审计。审计主机是否开启文件共享功能。记录信息包括主机名、共享名称、共享路径、时间等。

（3）程序运行审计。审计主机运行的所有应用程序。记录信息包括程序名、主机名、时间等。

（4）上网行为审计。记录终端主机使用者的网络访问行为。可审计的分类包括网站访问信息及邮件收发信息。记录信息包括访问的URL、邮件收发信箱等。

（5）文件打印审计。记录主机通过本地或网络打印机输出的信息。记录内容包括主机名、时间、打印内容等。

（6）用户登录审计。审计用户等级计算机的信息。记录内容包括主机名、时间、登录用户等。

（7）账户变更审计。审计登录账户变更情况。记录内容包括主机名、时间、源账户、现用账户等。

3主机边界控制

3.1违规外联控制由于终端计算机存在各种外设，如果安全策略设置不合理，或者使用者主动破坏安全策略企图进行违规外联，这时客户端将有可能通过无线网卡、USB网卡或其他方式连接到互联网络，从而产生信息泄露及被攻击的风险。要通过技术手段保证计算机在任何情况下不能违规连入互联网，一旦检测违规外联，应该能自动阻断违规外联的行为。

3.2非法接入控制接入控制主要解决非法接入网络计算机的检测、警告、阻断。对于非法接入网络的主机，可采用多种方式进行检测及阻断，这些方式根据用户的使用环境及对安全性要求的不同而不同。包括：

（1）基于ARP的扫描及欺骗技术，使用ARP扫描技术迅速检测非法主机的接入，然后通过安全事件警告管理员，并可以通过策略管理和ARP欺骗自动阻断非法主机访问其它主机及外部网络。

（2）基于交换机MAC绑定技术，与交换机联动，通过IP、MAC绑定技术防止非法主机的接入。对于合法的终端主机也要根据策略的配置定期进行完整性检查，检查内容将涉及到主机是否安装防病毒软件、是否运行防病毒程序、病毒库是否更新、补丁是否完整、主机是否存在木马等，检查条件可以配置，并且可以扩展。一旦完整性检查不符合要求，该主机将被自动阻断任何连接，并划入威胁主机范围内，必须等完整性检查通过后才能重新接入网络。

3.3移动存储设备使用管理内部网络终端主机的恶意攻击及病毒程序很大一部分是通过频繁使用移动存储设备带来的。一些带有恶意代码的数据文件从移动设备流入主机后，将会驻留在主机上，对内部网络带来安全威胁。为了解决使用移动设备带来的安全隐患,所有移动设备都要求通过安全隔离设备才能与内网进行数据交换。

3.4外设控制随着各种接口技术的发展，计算机的外设接口不断丰富，使用者可以通过各种方式与外部介质进行数据交换，比较典型的外设接口包括光驱、软驱、USB接口、网卡、蓝牙、红外、ADSL接口、PCMCIA等，这些接口有的可以直接连接数码设备（如手机）进行数据交换，有的可以与其他计算机建立通信连接（如网卡），有的可以将信息输出到外部设备（如USB打印机）等。无论哪种方式，都形成了信息的流入流出通道。出于安全管理的需要，往往要求对计算机的各种外设接口进行控制，保证只有授权的几种接口才可以进行数据交换，并受到严格审计。

3.5终端防火墙终端计算机可能由于收到恶意攻击或其它原因而感染病毒，造成频繁与外部连接，消耗网络资源。也有可能受到其它主机的非法访问。终端防火墙功能可以基于网络层及传输层对网络信息进行过滤。在网络层，可以控制连接的IP地址，也可以控制IP、ICMP及IGMP协议是否通过；在传输层可以控制网络数据的源端口、目的端口及TCP、UDP协议。在网络控制中，可以过滤数据的流向，可以控制策略的执行时间，也可以将网络控制策略按照不同的工作组或安全域进行部署实施。

3.6集中管理与外界的数据交换数据信息的交换是业务工作的一部分，不能因为怕带来网络安全上的风险就不进行。基于安全的考虑，同时要兼顾交换的需要，所以对于整个制作网而言，要把与外界的数据交换统一管理起来，不能随意在任意内网终端上交换数据，所有数据交换的入口和出口都必须经过安全隔离网关统一隔离过滤，在把有用信息导入到内网的同时也能把危险阻挡在了网络边界之外。

三、小结

制作网的安全管理，是需要制度管理和技术管理相结合的。随着三网融合大趋势的发展，制作网会面临越来越多的安全及管理问题，如何做到“数据不丢失、服务不中断、安全地交换”是我们努力的方向。随着新技术的不断出现，制度管理和技术管理也需要不断地补充和修正，安全思路也逐渐在向“主动防御、立体防护”的思想上迈进。网络的优势就在于数据交换，相信通过广电同仁们的不懈努力，未来的广电网络一定会越来越安全。

作者：王晓成单位：兰州市广播电视总台