摘要：本文在分析當(dāng)前信息安全現(xiàn)狀的基礎(chǔ)上，結(jié)合各種傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)優(yōu)點(diǎn)，構(gòu)建主動(dòng)式網(wǎng)絡(luò)安全體系，通過在網(wǎng)絡(luò)中部署端點(diǎn)準(zhǔn)入防御系統(tǒng)，從網(wǎng)絡(luò)接入端點(diǎn)的安全控制入手，實(shí)現(xiàn)客戶端、接入設(shè)備、策略服務(wù)器和第三方服務(wù)器的安全聯(lián)動(dòng)，有效地屏蔽病毒和非法入侵，增強(qiáng)網(wǎng)絡(luò)系統(tǒng)的健壯性，提高網(wǎng)絡(luò)系統(tǒng)的主動(dòng)防御能力

關(guān)鍵詞：網(wǎng)絡(luò)安全；端點(diǎn)準(zhǔn)入；專家系

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599 （2012） 23-0000-02

主動(dòng)防御技術(shù)是一種新的對(duì)抗網(wǎng)絡(luò)攻擊的技術(shù)。主動(dòng)防御的技術(shù)優(yōu)點(diǎn)在于能夠檢測(cè)未知的攻擊，并具有自學(xué)習(xí)功能，能夠適時(shí)地對(duì)網(wǎng)絡(luò)安全體系進(jìn)行維護(hù)和加固，使防御技術(shù)能夠適應(yīng)攻擊技術(shù)的快速變化。主動(dòng)防御技術(shù)以傳統(tǒng)的網(wǎng)絡(luò)安全保護(hù)為前提，除了包含傳統(tǒng)的防護(hù)技術(shù)與檢測(cè)技術(shù)，還包括人侵檢測(cè)技術(shù)和人侵響應(yīng)技術(shù)。

增強(qiáng)網(wǎng)絡(luò)自身的健壯性，能夠有效提高網(wǎng)絡(luò)抗風(fēng)險(xiǎn)能力。在有效利用防火墻、防毒墻、身份認(rèn)證等防護(hù)技術(shù)的基礎(chǔ)仁，構(gòu)建端點(diǎn)準(zhǔn)人防御（也稱網(wǎng)絡(luò)準(zhǔn)入控制）系統(tǒng)，從網(wǎng)絡(luò)終端接人控制人手，整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，通過安全策略服務(wù)器、安全客戶端、接入設(shè)備以及第三方服務(wù)器的聯(lián)動(dòng)，確保網(wǎng)絡(luò)中的每一個(gè)成員“健康”、“強(qiáng)壯”，對(duì)非法人侵具有很強(qiáng)的抵御能力、對(duì)病毒具有一定的免疫力，從而增強(qiáng)網(wǎng)絡(luò)系統(tǒng)的整體網(wǎng)絡(luò)安全防御能力。事”

1 構(gòu)建端點(diǎn)準(zhǔn)入防御系統(tǒng)

端點(diǎn)準(zhǔn)人防御是指用戶終端在接人網(wǎng)絡(luò)時(shí)，強(qiáng)制依據(jù)組織制定的安全策略對(duì)其安全狀態(tài)進(jìn)行評(píng)估，確保只有符合安全標(biāo)方能接人網(wǎng)絡(luò)并訪問相應(yīng)的應(yīng)用系統(tǒng)。安全策略能夠包括任何的系統(tǒng)或第三方軟件配置，完全視企業(yè)的需要而定，具有很強(qiáng)的包容性，使用端點(diǎn)準(zhǔn)人控制可以有效屏蔽蠕蟲、本馬等病毒程序。華為公司提出了EDAJ解決方案，在此方案中，安全網(wǎng)絡(luò)首先對(duì)接入用戶進(jìn)行身份認(rèn)證，通過身份認(rèn)證后對(duì)終端進(jìn)行安全認(rèn)證，根據(jù)網(wǎng)絡(luò)管理員定制的安全策略進(jìn)行安全檢查。根據(jù)檢查的結(jié)果，對(duì)用戶網(wǎng)絡(luò)進(jìn)行授權(quán)和控制。

2 端點(diǎn)準(zhǔn)入防御系統(tǒng)安全部件

（1）安全客戶端。安全客戶端是安裝在用戶終端上的軟件，該軟件使客戶端通過安全聯(lián)動(dòng)設(shè)備與安全策略服務(wù)器相連。用于進(jìn)行身份認(rèn)證和安全評(píng)估，只有符合安全標(biāo)準(zhǔn)的終端才能正常訪問資源

（2）安全聯(lián)動(dòng)設(shè)備。是用戶準(zhǔn)人控制的關(guān)鍵設(shè)備，可以是交換機(jī)、路由器、無線接入點(diǎn)、VPN網(wǎng)關(guān)等。安全聯(lián)動(dòng)設(shè)備通過標(biāo)準(zhǔn)協(xié)議與安全策略服務(wù)器聯(lián)動(dòng)，并依據(jù)安全策略隔離不合法用戶，為合法用戶提供權(quán)限范圍內(nèi)的服務(wù)。

（3）安全策略服務(wù)器。是端點(diǎn)準(zhǔn)人控制系統(tǒng)的核心部件，用于創(chuàng)建安全策略并將策略下發(fā)到準(zhǔn)人控制設(shè)備。安全策略服務(wù)器具有用戶管理、安全狀態(tài)評(píng)估、安全策略管理和安全事件審汁等功能。

（4）第三方服務(wù)器。位于隔離區(qū)，用于終端進(jìn)行自我修復(fù)的相關(guān)服務(wù)器，如防病毒服務(wù)器、補(bǔ)丁服務(wù)器、DHCP服務(wù)器，DNS服務(wù)器以及安個(gè)代理等

3 端點(diǎn)準(zhǔn)入防御體系結(jié)構(gòu)

端點(diǎn)準(zhǔn)入防御體系組網(wǎng)結(jié)構(gòu)匯集了多種網(wǎng)絡(luò)安全技術(shù)，如身份認(rèn)證、策略管理和安全市計(jì)等技術(shù)，并 能夠結(jié)合DHCP，VLAN等常規(guī)網(wǎng)絡(luò)管理技術(shù)。在終端接人時(shí)進(jìn)行身份一認(rèn)證和安全檢查，根據(jù)安全策略服務(wù)器檢查結(jié)果隔離不合格終端，對(duì)接人用戶強(qiáng)制實(shí)施安全策略，實(shí)時(shí)監(jiān)控用戶在線行為，審計(jì)終端及網(wǎng)絡(luò)運(yùn)行情況，強(qiáng)制違規(guī)或不合規(guī)用戶下線

3.1 準(zhǔn)人控制

安全策略是EAD系統(tǒng)的安全基線，也是對(duì)接人終端進(jìn)行安全評(píng)估的準(zhǔn)繩。為了保證網(wǎng)絡(luò)安全，接入終端無論采用什么樣的方式接人網(wǎng)絡(luò)，都必然進(jìn)行基線評(píng)估。因此，接人設(shè)備應(yīng)當(dāng)具有準(zhǔn)人控制的作用。

為了全方位地實(shí)施接人控制，必須對(duì)終端進(jìn)行身份驗(yàn)證。企業(yè)內(nèi)網(wǎng)接人一般選用802.1 X認(rèn)證方式，通過Internet接入的駐外機(jī)構(gòu)和移動(dòng)辦公用戶則使用VPN技術(shù)。

802.1 x定義了基于端日的網(wǎng)絡(luò)接人控制，802.1 x體系結(jié)構(gòu)中包含三個(gè)部分：用戶接人設(shè)備、接人控制單元和認(rèn)證服務(wù)器二接入交換機(jī)（包括無線AP ）能夠?qū)崿F(xiàn)802.1 x的身份認(rèn)證，終端計(jì)算機(jī)上需要安裝802.1 x客戶端軟件，認(rèn)一證服務(wù)器使用RA-DI US服務(wù)器。

802.1 x端口模式起初為常關(guān)模式。用戶通過啟動(dòng)客戶端軟件發(fā)送EAP報(bào)文發(fā)起802.1x認(rèn)證，認(rèn)證系統(tǒng)（交換機(jī)）終結(jié)EAP報(bào)文，并向認(rèn)一證服務(wù)器發(fā)送Raduis報(bào)文，認(rèn)證服務(wù)器驗(yàn)證用戶名、密碼是否匹配，認(rèn)證通過則傳送Raduis報(bào)文，告知交換機(jī)該用戶通過認(rèn)證：交換機(jī)收到信息后打開與該終端的接入端日用戶通過接人設(shè)備使用DHCP協(xié)議獲取規(guī)劃的1P地址；如果驗(yàn)證失敗，交換機(jī)關(guān)閉該接入端口。

認(rèn)證服務(wù)器通過與策略服務(wù)器聯(lián)動(dòng)，在傳送“認(rèn)證通過”Raduis報(bào)文的同時(shí)，策略服務(wù)器使用第三方管理軟件向用戶下發(fā)安全策略，要求進(jìn)行安全狀態(tài)認(rèn)證?？蛻舳送ㄟ^第三方客戶端軟件協(xié)同安全策略服務(wù)器對(duì)合法終端的補(bǔ)丁版本、病毒庫(kù)版本等進(jìn)行檢測(cè)，并將檢測(cè)結(jié)果上報(bào)安全策略控制器。安全策略服務(wù)器根據(jù)檢查結(jié)果控制用戶的訪問權(quán)限權(quán)。安全狀態(tài)合格的用戶將實(shí)施由安個(gè)策略服務(wù)器（如防火墻）下發(fā)的安全設(shè)置，在安全策略權(quán)限范圍內(nèi)進(jìn)行網(wǎng)絡(luò)活動(dòng)。安全狀態(tài)不合格的用戶被安全聯(lián)動(dòng)設(shè)備隔離到隔離區(qū)。用戶可以從隔離區(qū)的病毒服務(wù)器和補(bǔ)丁服務(wù)器上下載操作系統(tǒng)補(bǔ)丁或最新病毒庫(kù)升級(jí)，完成修復(fù)并達(dá)到安全策略的要求后，用戶終端將被授予相應(yīng)的訪問權(quán)限，能夠正常訪問網(wǎng)絡(luò)。

分支機(jī)構(gòu)和移動(dòng)辦公人員用于其通過公共網(wǎng)絡(luò)接入內(nèi)網(wǎng)，因此采用VPN安全接人方式。VPN是在Internet仁實(shí)時(shí)建立的安全專用虛擬網(wǎng)絡(luò)，它雖然不是真正的專用網(wǎng)絡(luò)，卻能夠通過創(chuàng)建安全加密“隧道”實(shí)現(xiàn)專用網(wǎng)絡(luò)的功能。VPN接人同樣也要接受EDA對(duì)端點(diǎn)的安全評(píng)估和準(zhǔn)入控制。首先，用戶通過加密隧道接人VPN網(wǎng)關(guān)，并向認(rèn)證服務(wù)器提交該用戶的身份信息，通過認(rèn)證后獲取對(duì)應(yīng)的角色。然后，根據(jù)策略服務(wù)器下發(fā)的安全策略檢測(cè)自身環(huán)境，并將得到的端點(diǎn)狀態(tài)提交給網(wǎng)關(guān)，策略服務(wù)器根據(jù)終端狀態(tài)最終確定該用戶的訪問權(quán)限，接人用戶只能訪問適合自身安全狀態(tài)的資源，而不適合自身安全狀態(tài)的資源則被隔離。

3.2 監(jiān)控與管理

在EDA中，有集中的安全策略管理和安全事件監(jiān)控，能夠?qū)崿F(xiàn)集接入策略、安全策略、服務(wù)策略、安全事件監(jiān)控于一體的用戶管理，可以根據(jù)組織內(nèi)不同的角色需要進(jìn)行不同的安全配幫助網(wǎng)絡(luò)管理員定制基于用戶身份的、個(gè)性化的網(wǎng)絡(luò)安全策從而更好地規(guī)范接入用戶的網(wǎng)絡(luò)行為。

EDA支持將用戶身份與終端MAC地址、1P地址、接入端口、所屬VLAN等信息進(jìn)行綁定，能夠有效預(yù)防MAC地址欺騙和DoS攻擊。可以通過綁定用戶網(wǎng)關(guān)地址來防止惡意的ARP欺騙，客戶端的流量監(jiān)控功能還可以實(shí)時(shí)監(jiān)控用戶的非法流量，當(dāng)出現(xiàn)異常時(shí)可以采取相應(yīng)的安全措施。

系統(tǒng)報(bào)告和監(jiān)控是EAD的重要組成部分，能夠提供狀態(tài)相符性和系統(tǒng)采取的認(rèn)證措施的審核軌跡。通過流量監(jiān)控能夠即時(shí)制止用戶的非法訪問，并通過端點(diǎn)安全狀態(tài)報(bào)告日志，了解端點(diǎn)安全變化情況，提前采取措施，有效應(yīng)對(duì)潛在安全威脅。

3.3 準(zhǔn)入控制產(chǎn)品

目前，很多大型廠商都開發(fā)了基于準(zhǔn)入控制技術(shù)的網(wǎng)絡(luò)產(chǎn)品。如，華為公司基于“EAD”技術(shù)實(shí)現(xiàn)的“綜合訪問管理服務(wù)器（CAMS ）”管理平臺(tái)；Cisco公司的“網(wǎng)絡(luò)準(zhǔn)人控制（NAC）”系統(tǒng)，以及Microsoft的“網(wǎng)絡(luò)接人保護(hù)（NAP）”系統(tǒng)等。這些產(chǎn)品在實(shí)際應(yīng)用中，對(duì)網(wǎng)絡(luò)安全防護(hù)與管理發(fā)揮了很大的作用

參考文獻(xiàn)：

[1]冷繼兵.基于主動(dòng)防御的校園網(wǎng)研究與實(shí)現(xiàn)[D].西安電子科技大學(xué)，2009，06，01.

[2]王雷.主動(dòng)式網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].南京航空航天大學(xué)，2007，01，01.

[3]何珺.計(jì)算機(jī)主動(dòng)式網(wǎng)絡(luò)安全監(jiān)控對(duì)策[J].軟件導(dǎo)刊，2009，07.

[作者簡(jiǎn)介]馬喆.山西農(nóng)業(yè)大學(xué)信息學(xué)院計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)技科信091班。