【正文】 ，直到 2022 年年初，中石油才開始著手布置薩班斯法案項目。但是在實施過程中，大量的問題和矛盾暴露出來，涉及制度完善、流程改造、企業(yè)文化等各方面。短時間內(nèi)完全建立完善的內(nèi)控環(huán)境是不可能的。但從根本上來說，公司治理和 IT 治理的問題遲早需要去面對和解決。. 中石油終端安全現(xiàn)狀終端安全是個入手簡單，想做好卻很難的工程，這也是這么多年中石油沒有著手建設(shè)這方面的一個重要原因。本次安全體系建設(shè)中石油考慮的很周全，除了我們經(jīng)常能夠想到的安全管理制度以外、終端的認證問題、終端的安全監(jiān)控、日后審計等均在考慮范圍內(nèi)。中石油終端安全管理問題比較復(fù)雜，除了前面提到的地域分散意外，還有技術(shù)水平不高，難于監(jiān)管等問題，這些都構(gòu)成了終端安全難以實現(xiàn)的重要因素，基于上述原因，本次安全方案設(shè)計主要著中的是通過安全產(chǎn)品的監(jiān)控實現(xiàn)對員工日常行為的監(jiān)控，并通過技術(shù)手段實現(xiàn)對安全管理制度的補充，以及強化，通過技術(shù)手段保障安全管理制度的執(zhí)行。在終端防護方面我司有專門的安全解決方案“端點準入防御”能夠提供一個全程的安全解決方案?！敖K端接入安全體系 ”端點準入防御方案包括兩個重要功能：安全防護和安全監(jiān)控。安全防護主要是對終端接入網(wǎng)絡(luò)進行認證，保證只有安全的終端才能接入網(wǎng)絡(luò)，對達不到安全要求的終端可以進行修復(fù)，保障終端和網(wǎng)絡(luò)的安全；安全監(jiān)控是指在上網(wǎng)過程中，系統(tǒng)實時監(jiān)控用戶終端的安全狀態(tài)，并針對用戶終端的安全事件采取相應(yīng)的應(yīng)對措施，實時保障網(wǎng)絡(luò)安全。6 / 44. “終端接入安全體系”解決方案的組成部分“終端接入安全體系 ”解決方案的實現(xiàn)思路，是通過將網(wǎng)絡(luò)接入控制和用戶終端安全策略控制相結(jié)合，以用戶終端對企業(yè)安全策略的符合度為條件，控制用戶訪問網(wǎng)絡(luò)的接入權(quán)限，從而降低病毒、非法訪問等安全威脅對企業(yè)網(wǎng)絡(luò)帶來的危害。為達到以上目的，提出了包括檢查——隔離——修復(fù)——監(jiān)控的整體解決思路。1. 檢查：? 檢查網(wǎng)絡(luò)接入用戶的身份；? 檢查網(wǎng)絡(luò)接入用戶的訪問權(quán)限；? 檢查網(wǎng)絡(luò)接入用戶終端的安全狀態(tài)；2. 隔離：? 隔離非法用戶終端和越權(quán)訪問；? 隔離存在重大安全問題或安全隱患的用戶終端；3. 修復(fù)：? 幫助存在安全問題或安全隱患的用戶終端進行安全修復(fù)，以便能夠正常使用網(wǎng)絡(luò)；4. 監(jiān)控：? 實時監(jiān)控在線用戶的終端安全狀態(tài)，及時獲取終端安全信息? 對非法用戶、越權(quán)訪問和存在安全問題的網(wǎng)絡(luò)終端進行定位統(tǒng)計，為網(wǎng)絡(luò)安全管理提供依據(jù)；? 通過制定新的安全策略，持續(xù)保障網(wǎng)絡(luò)的安全。為了有效實現(xiàn)用戶終端安全準入控制，需要實現(xiàn)終端安全信息采集點、終端安全信息決策點和終端安全信息執(zhí)行點的分離，同時還需要提供有效的技術(shù)手段，對用戶終端存在的安全問題進行修復(fù)，使之符合企業(yè)終端安全策略，順利接入網(wǎng)絡(luò)進行工作?！苯K端接入安全體系” 解決方案的組成部分見下圖：7 / 44. CAMS 安全策略服 務(wù)器“終端接入安全體系”方案的核心是整合與聯(lián)動，而 CAMS 安全策略服務(wù)器是”終端接入安全體系” 方案中的管理與控制中心，兼具用戶管理、安全策略管理、安全狀態(tài)評估、安全聯(lián)動控制以及安全事件審計等功能。? 安全策略管理。安全策略服務(wù)器定義了對用戶終端進行準入控制的一系列策略，包括用戶終端安全狀態(tài)評估配置、補丁檢查項配置、安全策略配置、終端修復(fù)配置以及對終端用戶的隔離方式配置等。? 用戶管理。企業(yè)網(wǎng)中，不同的用戶、不同類型的接入終端可能要求不同級別的安全檢查和控制。安全策略服務(wù)器可以為不同用戶提供基于身份的個性化安全配置和網(wǎng)絡(luò)服務(wù)等級，方便管理員對網(wǎng)絡(luò)用戶制定差異化的安全策略。? 安全聯(lián)動控制。安全策略服務(wù)器負責(zé)評估安全客戶端上報的安全狀態(tài)，控制安全聯(lián)動設(shè)備對用戶的隔離與開放，下發(fā)用戶終端的修復(fù)方式與安全策略。通過安全策略服務(wù)器的控制，安全客戶端、安全聯(lián)動設(shè)備與修復(fù)服務(wù)器才可以協(xié)同工作，配合完成端到端的安全準入控制。? 日志審計。安全策略服務(wù)器收集由安全客戶端上報的安全事件，并形成安全日志，可以為管理員追蹤和監(jiān)控網(wǎng)絡(luò)的整個網(wǎng)絡(luò)的安全狀態(tài)提供依據(jù)。8 / 44. 修復(fù)服務(wù)器(與防病毒系統(tǒng)聯(lián)動)在”終端接入安全體系” 方案中，修復(fù)服務(wù)器可以是第三方廠商提供的防病毒服務(wù)器、補丁服務(wù)器或用戶自行架設(shè)的文件服務(wù)器。此類服務(wù)器通常放置于網(wǎng)絡(luò)隔離區(qū)中，用于終端進行自我修復(fù)操作。網(wǎng)絡(luò)版的防病毒服務(wù)器提供病毒庫升級服務(wù)，允許防病毒客戶端進行在線升級；補丁服務(wù)器則提供系統(tǒng)補丁升級服務(wù)，在用戶終端的系統(tǒng)補丁不能滿足安全要求時，用戶終端可連接至補丁服務(wù)器進行補丁下載和升級。目前的”終端接入安全體系”解決方案中，我們的認證體系可以和瑞星、金山、江民、Symantec 等國內(nèi)外大型防病毒廠商產(chǎn)品實現(xiàn)聯(lián)動，同時由于開發(fā)式的系統(tǒng)設(shè)計，我們可以很方便的整合其他的防病毒產(chǎn)品實現(xiàn)全網(wǎng)認證與防病毒體系的完美結(jié)合。. 安全聯(lián)動設(shè)備安全聯(lián)動設(shè)備是企業(yè)網(wǎng)絡(luò)中安全策略的實施點，起到強制用戶準入認證、隔離不合格終端、為合法用戶提供網(wǎng)絡(luò)服務(wù)的作用。根據(jù)應(yīng)用場合的不同，安全聯(lián)動設(shè)備可以是交換機或 BAS 設(shè)備，分別實現(xiàn)不同認證方式（如 或 Portal）的端點準入控制。不論是哪種接入設(shè)備或采用哪種認證方式，安全聯(lián)動設(shè)備均具有以下功能：? 強制網(wǎng)絡(luò)接入終端進行身份認證和安全狀態(tài)評估。? 隔離不符合安全策略的用戶終端。聯(lián)動設(shè)備接收到安全策略服務(wù)器下發(fā)的隔離指令后，目前可以通過動態(tài)ACL方式限制用戶的訪問權(quán)限；同樣，收到解除用戶隔離的指令后也可以在線解除對用戶終端的隔離。? 提供基于身份的網(wǎng)絡(luò)服務(wù)。安全聯(lián)動設(shè)備可以根據(jù)安全策略服務(wù)器下發(fā)的策略，為用戶提供個性化的網(wǎng)絡(luò)服務(wù)，如提供不同的QoS、ACL、VLAN 等。. 安全客戶端H3C 客戶端是安裝在用戶終端系統(tǒng)上的軟件，是對用戶終端進行身份認證、安全狀態(tài)評估以及安全策略實施的主體，其主要功能包括：? 、Portal等多種認證方式，可以與 9 / 44S3000、S3500、S5000、S3900、S5600 等系列交換機、華為MA5200F等設(shè)備配合實現(xiàn)接入層、匯聚層的端點準入控制。? 檢查用戶終端的安全狀態(tài)，包括操作系統(tǒng)版本、系統(tǒng)補丁、共享目錄、已安裝的軟件、已啟動的服務(wù)等用戶終端信息；同時提供與防病毒客戶端聯(lián)動的接口，實現(xiàn)與第三方防病毒軟件產(chǎn)品客戶端的聯(lián)動，檢查用戶終端的防病毒軟件版本、病毒庫版本、以及病毒查殺信息。這些信息將被傳遞到CAMS 安全策略服務(wù)器，執(zhí)行端點準入的判斷與控制。? 安全策略實施，接收安全策略服務(wù)器下發(fā)的安全策略并強制用戶終端執(zhí)行，包括設(shè)置安全策略（是否監(jiān)控郵件、注冊表）、系統(tǒng)修復(fù)通知與實施（自動或手工升級補丁和病毒庫）等功能。不按要求實施安全策略的用戶終端將被限制在隔離區(qū)。? 實時監(jiān)控系統(tǒng)安全狀態(tài)，包括是否更改安全設(shè)置、是否發(fā)現(xiàn)新病毒等，并將安全事件定時上報到安全策略服務(wù)器，用于事后進行安全審計。. “終端接入安全體系”與微軟 SMS 聯(lián)動方案. 特性簡介端點準入防御（” 終端接入安全體系 ”）解決方案從網(wǎng)絡(luò)用戶終端準入控制入手，整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，通過安全客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及第三方軟件的聯(lián)動，可以對接入網(wǎng)絡(luò)的用戶終端強制實施企業(yè)安全策略，嚴格控制終端用戶的網(wǎng)絡(luò)使用行為，加強網(wǎng)絡(luò)用戶終端的主動防御能力，保護網(wǎng)絡(luò)安全。企業(yè)網(wǎng)中，對系統(tǒng)補丁的管理問題一直難以解決。我們經(jīng)常見到的情況是，新的補丁發(fā)布，卻無人理會，任由系統(tǒng)漏洞的存在。即使采用了微軟的 WSUS、SMS等補丁管理工具，此類工具也無法強制用戶進行系統(tǒng)補丁升級，給企業(yè)網(wǎng)絡(luò)安全帶來諸多隱患；更嚴重的情況是，用戶剛裝好操作系統(tǒng)，還沒來得及打補丁就被病毒感染或受到攻擊。如果能將微軟的補丁管理系統(tǒng)與的”終端接入安全體系” 端點準入防御方案集成，就可以徹底解決系統(tǒng)補丁管理的問題。10 / 44這個集成方案就被稱為補丁聯(lián)動方案，該方案需要”終端接入安全體系” 與軟件補丁更新服務(wù)器協(xié)同工作：軟件補丁更新服務(wù)器負責(zé)對端點用戶的計算機進行補丁狀態(tài)檢查、判斷是否合格以及不合格時自動更新所缺少的補丁，”終端接入安全體系”則負責(zé)決定何時發(fā)起補丁狀態(tài)檢查操作，并負責(zé)控制補丁狀態(tài)檢查不合格的端點用戶只能訪問隔離區(qū)內(nèi)的資源，待端點用戶的計算機的補丁狀態(tài)檢查合格后才解除對該用戶計算機的隔離。注 1：隔離區(qū)是指端點用戶在通過安全認證之前允許訪問的一組主機的集合。一般地，隔離區(qū)可能包含防病毒軟件安裝升級服務(wù)器（防病毒管理中心）、軟件補丁更新服務(wù)器和” 終端接入安全體系 ”管理代理服務(wù)器。隔離區(qū)具體包含哪些主機一般在接入設(shè)備上配置。注 2：補丁狀態(tài)檢查是指對接入用戶/端點用戶的計算機進行軟件補丁是否符合安全要求的檢查，檢查不合格時列舉出所有缺少的軟件補丁。注 3：補丁更新是指從補丁服務(wù)器下載軟件補丁到客戶機，并進行安裝與生效處理的全過程。. 系統(tǒng)架構(gòu)與基本交互流程. 系統(tǒng)架構(gòu)“終端接入安全體系 ”是一個融合網(wǎng)絡(luò)設(shè)備、用戶終端和第三方安全產(chǎn)品的客戶端準入安全框架，與補丁管理服務(wù)器的聯(lián)動主要通過”終端接入安全體系” 客戶端與補丁升級客戶端之間的 API 接口實現(xiàn)，其部署圖如下：W U S / S M S : 補丁服 務(wù)器接入用 戶 : W i n d o w sE A D 客 戶 端補 丁 客 戶 端補 丁 服 務(wù) 器**A P IE A D 策 略 服 務(wù) 器策 略 服 務(wù) 器**系統(tǒng)結(jié)構(gòu)圖11 / 44在接入用戶的終端需要同時安裝”終端接入安全體系” 客戶端和補丁客戶端?！苯K端接入安全體系” 客戶端負責(zé)完成與 ”終端接入安全體系 ”策略服務(wù)器的交互；補丁客戶端是微軟發(fā)布的與相應(yīng)的補丁服務(wù)器配合的 SUS（WSUS）或 SMS 客戶端。”終端接入安全體系” 客戶端與補丁客戶端通過微軟提供的 API 接口完成補丁檢查與安全準入的融合。這種方式下，” 終端接入安全體系 ”系統(tǒng)與微軟補丁系統(tǒng)是相互獨立的，可以不依賴于對方而完成自有功能。但可以通過 API 來實現(xiàn)兩個系統(tǒng)之間的聯(lián)動，彌補各自的不足，完善補丁管理和安全準入方案。. 特性的優(yōu)點（1） 聯(lián)動的松散耦合性：充分利用微軟成熟的補丁管理工具，”終端接入安全體系”不需要管理各種 Windows 環(huán)境的用戶機器缺少哪些補丁等繁瑣事務(wù)；（2） 補丁更新的安全性：用戶機器的補丁狀態(tài)不符合安全要求時，其訪問范圍控制在隔離區(qū)，即補丁更新是在隔離區(qū)進行的；（3） 補丁更新的自動性：補丁更新過程是自動完成的（機器需要重啟時會提示用戶確認），無需用戶手工下載和安裝補丁程序；（4） 補丁更新的即時性：用戶機器的補丁狀態(tài)檢查不合格后馬上轉(zhuǎn)入補丁自動更新過程；補丁更新的強制性：不完成補丁更新的用戶機器只能訪問隔離區(qū)內(nèi)的網(wǎng)絡(luò)資源，要訪問更多資源，只有完成補丁更新。. 應(yīng)用模型. 安全準入應(yīng)用模型“終端接入安全體系” 解決方案安全準入主要是通過身份認證和安全策略檢查的方式，對未通過身份認證或不符合安全策略的用戶終端進行網(wǎng)絡(luò)隔離，并幫助終端進行安全修復(fù)，以達到防范不安全網(wǎng)絡(luò)用戶終端給安全網(wǎng)絡(luò)帶來安全威脅的目的。12 / 44. 安全準入工作流程? 身份驗證：用戶終端接入網(wǎng)絡(luò)時，首先進行用戶身份認證，非法用戶將被拒絕接入網(wǎng)絡(luò)。目前”終端接入安全體系”。? 安全檢查：身份認證通過后進行終端安全檢查，由CAMS安全策略服務(wù)器驗證用戶終端的安全狀態(tài)（包括補丁版本、病毒庫版本、軟件安裝等）是否合格。? 安全隔離：不合格的終端將被安全聯(lián)動設(shè)備通過ACL策略限制在隔離區(qū)進行安全修復(fù)。? 安全修復(fù)：進入隔離區(qū)的用戶可以進行補丁、病毒庫的升級、卸載非法軟件和停止非法服務(wù)等操作，直到安全狀態(tài)合格。? 動態(tài)授權(quán)：如果用戶身份驗證、安全檢查都通過，則CAMS安全策略服務(wù)器將預(yù)先配置的該用戶的權(quán)限信息（包括網(wǎng)絡(luò)訪問權(quán)限、用戶帶寬限制參數(shù)、用戶優(yōu)先級等QOS參數(shù)、用戶組播權(quán)限等等）下發(fā)給安全聯(lián)動設(shè)備，由安全聯(lián)動設(shè)備實現(xiàn)按用戶身份的權(quán)限控制。? 實時監(jiān)控：在用戶網(wǎng)絡(luò)使用過程中，安全客戶端根據(jù)安全策略服務(wù)器下發(fā)的監(jiān)控策略，實時監(jiān)控用戶終端的安全狀態(tài)，一旦發(fā)現(xiàn)用戶終端安全狀態(tài)不符合企業(yè)安全策略，則向CAMS安全策略服務(wù)器上報安全事件，由CAMS安全策略服務(wù)器按照預(yù)定義的安全策略，采取相應(yīng)的控制措施，比如通知安全聯(lián)動設(shè)備隔離用戶。13 / 44用戶終端 安全聯(lián)動設(shè)備 安全策略服務(wù)器 修復(fù)服務(wù)器身份認證請求發(fā)起身份認證R a d i u s / 身份信息R a d i u s / 身份認證成功 ， 下發(fā)隔離 A C L安全認證請求安全狀態(tài)信息 （ 防病毒版本 、 系統(tǒng)補丁等信息 ）安全狀態(tài)不合格 （ 缺少補丁等 ）根據(jù)安全認證結(jié)果 ， 修復(fù)系統(tǒng)漏洞安全狀態(tài)檢查安全狀態(tài)檢查安全狀態(tài)信息 （ 防病毒版本 、 系統(tǒng)補丁等信息 ）安全認證成功 ， 下發(fā)監(jiān)控策略R a d i u s / 安全認證成功 ， 下發(fā)工作 A C L安全狀態(tài)監(jiān)控安全狀態(tài)信息檢查終端安全狀態(tài)具體部署方式如下：在區(qū)域二中部署中心認證服務(wù)器一臺，推薦中石油使用基于 CA 證書的認證系統(tǒng)，這樣在安全性會比簡單的用戶名密碼要高；在服務(wù)器與客戶端上均部署終端安全認證體系客戶端，保證服務(wù)器系統(tǒng)能夠強制進行系統(tǒng)補丁和病毒庫的升級；終端客戶端進行強制病毒庫、系統(tǒng)補丁的升級，在用戶接入網(wǎng)絡(luò)的同時對其日常網(wǎng)絡(luò)使用行為進行監(jiān)控；在終端部署支持 認證的交換設(shè)備與終端用戶認證體系進行聯(lián)動；在區(qū)域二部署日志服務(wù)器 XLOG 一臺，進行日常用戶行為訪問的記錄；14 / 44通過用戶終端行為記錄以及