远程终端安全管理技术研究

远程终端安全管理技术研究

焦丽颖任婕

（国网运城供电公司山西省044000）

摘要：随着计算机远程网络通讯技术的不断进步和发展，使信息存储总量不断扩大，信息应用速率显著提高。但是与此同时，网络安全形势也越来越严峻，对计算机网络管理及相关安全技术的研究对于保障互联网安全和用户的权益有着重要的意义，建立一套计算机终端信息安全管理体系势在必行。

关键词：远程终端；安全管理；技术研究

1研究背景分析

目前计算机网络已成为政府机关、银行、电力等社会重要部门信息处理与传输的载体。随着信息化建设的不断深入，各种网上业务的发展需求不断增强，使关键业务网络由对外相对隔离，发展成相对开放的网络结构。例如网络银行的发展，使银行关键业务系统与互联网融合在一起。远程终端的接入增加了网络结构的复杂度，给关键业务网络的安全防护带来了新的挑战。根据Anti-PhishingWorkingGroup(APWG)发布的一项研究，其监测的两千万台计算机中有48%被恶意软件感染。据PandaSecurity的报告称，全球至少11%的计算机都在攻击者的控制之下。图1显示了2009年PandaSecurity公司统计的10个国家和地区中，被感染计算机占全部计算机数量的百分比，信息安全问题造成的经济损失已难以估算。远程业务终端处于信息安全风险较高的互联网环境中，在其通过互联网接入业务网络时，将安全风险一起带入了内网。因此除了对远程终端的身份进行验证外，必须将远程终端的安全性作为安全接入的一项审查内容。目前主流的安全接入控制方案例如802.1x、Radius协议和网络接入控制(NAC)技术等均包含了终端安全性检查的思想。一般情况下安全接入方案对终端安全性的检查主要通过对操作系统补丁、病毒库版本等信息的验证，对系统安全性的检测依赖于杀毒软件的查杀能力。当系统被绕过杀毒软件的恶意程序感染时，安全接入控制系统也被同时绕过。事实上，能够绕过主流杀毒软件的恶意程序并不罕见。

2远程终端安全管理的亟待解决的问题

第一，系统安全问题。网络系统自身存在着一定的安全漏洞，包括不安全服务、服务器自身漏洞、还有一些比如像初始化不正确这样的问题等，平时在我们的工作中会出现很多以下的现象，例如，保护某一单位内部的网络安全的设施或技术手段等，无法做到保护好该单位的远程端，这就导致很多单位或部门需要设立专门的用来保护远程终端的设施，或为此采取一些必要的技术措施等。第二，管理的问题。管理的问题其实有很多，目前最明显的，也是亟待解决的应该属于管理者认证的问题，我们都知道这样做可以有效的避免很多问题，比如黑客攻击等。因为即使设计良好的软件代码也不能保证不会被黑客破解。主要威胁因素有密码陷阱、密码解码、算法不完整、编译漏洞等。第三，杀毒软件问题。杀毒软件现在是计算机用户必须使用的软件，这是一种用来除去病毒、木马和恶意程序的软件。杀毒软件通常集成了监查和识别、病毒监测及扫描删除和自带升级功能，一些杀毒软件还具有数据找寻、记忆和恢复功能，是计算机抵御系统的重要合成部分。杀毒软件通过向远程终端系统中添加驱动程序进入系统，并从操作系统开始。杀毒软件的工作是实时监督、控制和扫描磁盘的安全性，以检测威胁并及时移除它们。

3远程终端安全管理解决方案

远程终端安全管理系统是为了解决远程办公的安全问题而设计的。把内网的安全性延伸到远程办公中。实现整个系统的安全与高效。

3.1远程终端安全管理的实现

远程终端安全管理技术的核心是如何对远程终端进行有效的管理，网络的安全管理系统是安全技术的相互融合，不是安全技术的堆积，由安全系统的相互融合来共同维护管理系统的健康运行。远程终端安全管理所采用的技术可以划分3个子统，分别是通讯加密系统、终端操作系统和固子系统、身份认证子系统，这三个子系统分别有各自特殊的功能，有针对远程终端内网接入、系统的运行和终端管理的主要任务。它们相互融合、共同处理系统中遇到的安全问题。除了这三个主要程序外，其他一些外网功能，如通信报文格式、安全规则分发、升级等，都与内网安全管理基本相同。

3.2系统安全设计

作为远程终端管理控制的一部分，接入管理是安全的第一道门槛。对于本系统来说，用户所使用的云桌面统一存储于数据中心，并与核心业务应用直接交互，采用VPN技术作为接入管理尤为重要。目前本系统使用的VPN技术主要有两种：IPSecVPN，SSLVPN，分别提供C/S和B/S模式的认证。IPSecVPN技术目前采用的是EASYVPN技术，该公司在BOSS系统互联网出口部署了4台EASYVPNSERVER，终端安装有CiscoSystemsVPNClient软件，建立VPN连接时，作为EASYVPNClient。EASYVPNSERVER有到BOSS业务服务器的路由，当终端用户通过EASYVPNClient连接至EASYVPNSERVER时，EASYVPNSERVER在预先设定的IP地址池中选择可用的IP地址，分配给该客户端。连接建立后客户端和BOSS应用系统临时处于同一虚拟局域网内，可以像普通局域网一样，完成业务访问。SSLVPN是基于B/S结构的VPN技术，该公司在BOSS的互联网出口部署了2台F5firepass4300VPN接入设备，该设备代理终端用户与BOSS服务器系统进行交互，将来自远端浏览器的页面请求（采用HTTPS协议）转发给Web服务器，然后将服务器的响应回传给终端用户。（1）IPSecVPN接入时的安全审核。IPSecVPNSVERVER启用了AAA+LOCAL认证模式，用户使用CLIENT登陆时，SVERVER要求用户提交用户验证信息，用户验证信息后，SVERVER将用户信息，提交给AAA认证服务器进行匹配审核，匹配成功，用户Client状态切换，由解锁状态切换成锁定状态，当AAA认证失败时，IPSecVPNSVERVER启用本地认证模式。（2）SSLVPN接入时的安全审核。移动的对SSLVPN系统的登陆认证使用静态口令+动态短信认证的双重认证模式。由于该技术提供的是基于B/S架构的VPN连接，用户首先打开SSLVPN系统登录认证页，用户输入用户名及静态密码，等待系统验证。Radius认证服务器将收到的用户名、密码和数据库的用户信息进行比对，匹配成功，生成动态口令；将生成的动态口令回传给Radius认证服务器，同时触发短信网关，给用户发短信。用户输入手机收到的动态口令，等待系统验证，验证通过，登陆SSLVPN统。

4结束语

终端管理技术的掌握和使用将信息安全管理从网络应用扩展到终端计算机，使网络安全手段得到了进一步的提升。通过使用终端管理系统技术的安全方法管理的功能,病毒和木马的网络传输模式得到有效控制。在响应时间安装操作系统和应用程序的漏洞补丁软件已得到改进，真正保证终端安全。它也给人们的生活带来了方便。因此，我们需要加强计算机网络管理，积极研究网络安全技术，实现计算机终端安全防护技术的健康发展。

参考文献

[1]李正.计算机远程终端安全诊断关键技术研究[D].解放军信息工程大学,2010.

[2]曾志和.远程终端安全管理技术分析[J].信息与电脑(理论版),2011,03:34.

[3]张海强.智能网联汽车安全远程升级技术的研究与实现[D].电子科技大学,2018.