導語：制作網安全管理策略研究一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

一、制作網面臨的安全問題

制作網因為它的特殊性，必然要和外界做信息交換，如廣告商帶來的圖片數據資料、企業帶來的影像素材、來自移動存儲介質的字幕文件、來自數字攝像機的素材導入（如松下P2卡攝像機的數據導入）、來自筆記本電腦的對白文字或配音文件、來自其他網絡的數據文件（來自光纜的異地節目上傳）等。這些信息的導入也會帶來各種風險。如何解決制作網與外界信息安全交換的問題，對制作網的安全運行至關重要。在制作網環境中一個最重要的實體就是終端計算機。終端是網絡劃分中的最終節點，也是與使用者最接近的設備，所有基于網絡化的日常辦公、學習及娛樂等都直接與終端有關系。尤其是在信息化程度普及的今天，大量的辦公事物都需要通過計算機來完成，這種使用方式往往是使用者通過終端計算機登錄需要的業務系統，以獲得使用權限并完成相應的工作。在這種情況下，終端的安全往往成為了制作網整體環境安全的重要節點，這從以下幾點可以更充分的說明：

（1）終端計算機是內部網絡與外部游離設備的交互點，安全問題可以由此引入。事實上，由于計算機接口的標準化，很多電子設備都趨向于與計算機進行信息交互，如優盤、手機、數碼相機等，這些設備與終端形成離散的接入點，可以向終端寫入數據或從終端獲取數據；而終端使用者必須通過它訪問內部網路的授權業務系統來完成日常工作。這樣，當外部游離設備引入病毒或攻擊程序，在使用者訪問業務系統時，將會導致制作網環境受到攻擊。

（2）終端中運行的其他軟件可能影響制作網的正常使用。由于終端計算機為每一個不同的使用者使用，使用者可以在終端安裝各種軟件。這些軟件的使用可能造成制作網通信帶寬的大量占用及其它安全問題。

（3）終端使用者行為難以約束。終端使用者對終端的使用情況是難以控制的，使用者有可能在工作時間上網聊天、打游戲、下載電影；也可能下載各種黑客工具進行研究，把內部網絡作為試驗田；還可能瀏覽黃色網站，傳播不良信息。這些行為都可能導致內部網絡不正常。

（4）終端管理難以進行。政府或企業的IT管理人員往往承擔著維護內部網絡終端的任務，這些維護工作包括解決出現的問題、安裝日常軟件、配置系統等多方面。在現有條件下，管理員很難實現快速的軟件統一部署、在線解決遠程計算機的問題、統一終端安全策略的制定等，這些問題都需要其它技術手段輔助完成。

二、制作網的安全管理策略

通過以上分析，筆者認為制作網的安全建設目標是：建立完善的監控機制，實現對終端主機的實時監視；提供對終端主機的全面遠程安全管理，包括資產管理、事件管理、行為管理等一系列功能。要從一個更高的角度全面掌握網絡終端主機的運行態勢，為網絡環境的正常運轉、業務系統的正常運行提供可靠的保障。下面從終端主機安全管理、安全審計和邊界控制三個方面介紹制作網的安全管理策略。

1終端主機安全管理

（1）身份認證身份認證可以確保每個使用者的合法性，同時也為區分不同人的上網行為記錄提供依據。對于責任劃分、使用權限等都很有意義。身份認證一般有兩種方式：USBKey認證方式和口令認證方式。

（2）行為管理對于終端計算機管理的情況，應該能夠控制用戶對終端主機的各類操作行為，這些行為包括文件操作行為、軟件使用行為、上網行為、郵件發送行為、外設使用行為等。系統對用戶行為的監控主要包含兩方面：一是針對用戶的所有行為控制操作將生成詳細的日志記錄，以備管理員查詢；二是管理員可以通過策略設置用戶各種行為的使用范圍，例如只允許訪問哪些文件，基于黑白名單的軟件使用許可，只允許訪問哪些網站，是否允許使用哪種外設等。

（3）應用程序控制通過技術手段，實現基于黑名單及白名單的方式控制終端用戶允許運行的應用程序。在黑名單方式下，所有名單中的應用程序將不允許運行，其它程序可以運行，白名單則相反。應用程序控制方式不是基于應用程序的程序名實現的，而是基于特定應用程序的簽名實現的，能夠有效防止惡意使用者通過將未授權程序的名稱改為授權程序名稱而達到運行不合法程序的目的。

（4）Windows策略管理對安裝Windows系統的終端計算機來說，由于操作系統自身的原因和使用計算機用戶的原因，都普遍存在較多的安全問題，如攻擊者可以通過TCP或UDP等端口對Windows系統進行攻擊。針對這些問題，Windows自身提供了一套策略管理機制，Windows操作系統中具有可配置的策略模塊，其中有相當一部分策略可以加固系統的安全性。為了增強Windows系統的安全性，應該規范用戶外設使用策略，規范用戶上網行為策略、規范用戶軟件使用策略、系統補丁下發策略等。

（5）主機監視對終端主機運行狀態進行監視審計。包括CPU使用率、內存使用率、磁盤使用率、應用系統性能等，當監視的資源的指標和狀態違背預設規則時，將產生事件上報服務器，并可通過多種方式向管理員報警。對于某些監視事件，要提供處理功能，例如進程狀態監視中如果進程由運行狀態變為停止狀態，事件處理器可以根據規則自動將進程重新啟動。

2主機安全審計

對終端主機的各種系統行為及操作行為進行記錄，對日志審計查詢分析，實時發現主機出現的安全事件，保證主機處于安全運行狀態。包括：

（1）文件操作審計。對文件操作行為，包括新建、復制、移動、重命名、覆蓋、刪除等進行審計記錄。記錄信息包括主機名、時間、源文件、目標文件、操作行為等。

（2）共享文件審計。審計主機是否開啟文件共享功能。記錄信息包括主機名、共享名稱、共享路徑、時間等。

（3）程序運行審計。審計主機運行的所有應用程序。記錄信息包括程序名、主機名、時間等。

（4）上網行為審計。記錄終端主機使用者的網絡訪問行為?？蓪徲嫷姆诸惏ňW站訪問信息及郵件收發信息。記錄信息包括訪問的URL、郵件收發信箱等。

（5）文件打印審計。記錄主機通過本地或網絡打印機輸出的信息。記錄內容包括主機名、時間、打印內容等。

（6）用戶登錄審計。審計用戶等級計算機的信息。記錄內容包括主機名、時間、登錄用戶等。

（7）賬戶變更審計。審計登錄賬戶變更情況。記錄內容包括主機名、時間、源賬戶、現用賬戶等。

3主機邊界控制

3.1違規外聯控制由于終端計算機存在各種外設，如果安全策略設置不合理，或者使用者主動破壞安全策略企圖進行違規外聯，這時客戶端將有可能通過無線網卡、USB網卡或其他方式連接到互聯網絡，從而產生信息泄露及被攻擊的風險。要通過技術手段保證計算機在任何情況下不能違規連入互聯網，一旦檢測違規外聯，應該能自動阻斷違規外聯的行為。

3.2非法接入控制接入控制主要解決非法接入網絡計算機的檢測、警告、阻斷。對于非法接入網絡的主機，可采用多種方式進行檢測及阻斷，這些方式根據用戶的使用環境及對安全性要求的不同而不同。包括：

（1）基于ARP的掃描及欺騙技術，使用ARP掃描技術迅速檢測非法主機的接入，然后通過安全事件警告管理員，并可以通過策略管理和ARP欺騙自動阻斷非法主機訪問其它主機及外部網絡。

（2）基于交換機MAC綁定技術，與交換機聯動，通過IP、MAC綁定技術防止非法主機的接入。對于合法的終端主機也要根據策略的配置定期進行完整性檢查，檢查內容將涉及到主機是否安裝防病毒軟件、是否運行防病毒程序、病毒庫是否更新、補丁是否完整、主機是否存在木馬等，檢查條件可以配置，并且可以擴展。一旦完整性檢查不符合要求，該主機將被自動阻斷任何連接，并劃入威脅主機范圍內，必須等完整性檢查通過后才能重新接入網絡。

3.3移動存儲設備使用管理內部網絡終端主機的惡意攻擊及病毒程序很大一部分是通過頻繁使用移動存儲設備帶來的。一些帶有惡意代碼的數據文件從移動設備流入主機后，將會駐留在主機上，對內部網絡帶來安全威脅。為了解決使用移動設備帶來的安全隱患,所有移動設備都要求通過安全隔離設備才能與內網進行數據交換。

3.4外設控制隨著各種接口技術的發展，計算機的外設接口不斷豐富，使用者可以通過各種方式與外部介質進行數據交換，比較典型的外設接口包括光驅、軟驅、USB接口、網卡、藍牙、紅外、ADSL接口、PCMCIA等，這些接口有的可以直接連接數碼設備（如手機）進行數據交換，有的可以與其他計算機建立通信連接（如網卡），有的可以將信息輸出到外部設備（如USB打印機）等。無論哪種方式，都形成了信息的流入流出通道。出于安全管理的需要，往往要求對計算機的各種外設接口進行控制，保證只有授權的幾種接口才可以進行數據交換，并受到嚴格審計。

3.5終端防火墻終端計算機可能由于收到惡意攻擊或其它原因而感染病毒，造成頻繁與外部連接，消耗網絡資源。也有可能受到其它主機的非法訪問。終端防火墻功能可以基于網絡層及傳輸層對網絡信息進行過濾。在網絡層，可以控制連接的IP地址，也可以控制IP、ICMP及IGMP協議是否通過；在傳輸層可以控制網絡數據的源端口、目的端口及TCP、UDP協議。在網絡控制中，可以過濾數據的流向，可以控制策略的執行時間，也可以將網絡控制策略按照不同的工作組或安全域進行部署實施。

3.6集中管理與外界的數據交換數據信息的交換是業務工作的一部分，不能因為怕帶來網絡安全上的風險就不進行?；诎踩目紤]，同時要兼顧交換的需要，所以對于整個制作網而言，要把與外界的數據交換統一管理起來，不能隨意在任意內網終端上交換數據，所有數據交換的入口和出口都必須經過安全隔離網關統一隔離過濾，在把有用信息導入到內網的同時也能把危險阻擋在了網絡邊界之外。

三、小結

制作網的安全管理，是需要制度管理和技術管理相結合的。隨著三網融合大趨勢的發展，制作網會面臨越來越多的安全及管理問題，如何做到“數據不丟失、服務不中斷、安全地交換”是我們努力的方向。隨著新技術的不斷出現，制度管理和技術管理也需要不斷地補充和修正，安全思路也逐漸在向“主動防御、立體防護”的思想上邁進。網絡的優勢就在于數據交換，相信通過廣電同仁們的不懈努力，未來的廣電網絡一定會越來越安全。

作者：王曉成單位：蘭州市廣播電視總臺