紀(jì) 方 仇士春 趙 林

鐵路信息網(wǎng)絡(luò)是一個(gè)復(fù)雜的、分層、分域的網(wǎng)絡(luò)環(huán)境，橫向上鐵路總公司和各鐵路局機(jī)關(guān)局域網(wǎng)分為外部服務(wù)網(wǎng)、內(nèi)部服務(wù)網(wǎng)、安全生產(chǎn)網(wǎng)，縱向上分為鐵路總公司、鐵路局及站段三級(jí)結(jié)構(gòu)。鐵路信息網(wǎng)絡(luò)對(duì)外與互聯(lián)網(wǎng)連接，內(nèi)部有廣域網(wǎng)實(shí)現(xiàn)鐵路總公司、路局及站段的聯(lián)通。內(nèi)外服務(wù)網(wǎng)之間通過網(wǎng)絡(luò)安全平臺(tái)進(jìn)行信息交換。在鐵路信息網(wǎng)絡(luò)中運(yùn)行著大量的業(yè)務(wù)系統(tǒng)，工作人員可利用連入外部服務(wù)網(wǎng)及內(nèi)部服務(wù)網(wǎng)的辦公終端完成日常的各種業(yè)務(wù)。

由于病毒、木馬日益肆虐，鐵路信息網(wǎng)絡(luò)對(duì)信息安全的建設(shè)非常重視，從網(wǎng)絡(luò)邊界、計(jì)算環(huán)境、應(yīng)用、通信等方面進(jìn)行全方位的信息安全防護(hù)設(shè)計(jì)及建設(shè)?，F(xiàn)有安全措施已經(jīng)提供了網(wǎng)絡(luò)安全各層面的防護(hù)，起到了很好的網(wǎng)絡(luò)安全防御效果。但是，對(duì)于終端接入還沒有完善的安全控制防范機(jī)制，如用戶的認(rèn)證、授權(quán)、審計(jì)等。通常，網(wǎng)絡(luò)中的大部分資源濫用和未經(jīng)授權(quán)的訪問均來自于內(nèi)部。因此，需要對(duì)網(wǎng)絡(luò)終端進(jìn)行準(zhǔn)入控制，識(shí)別網(wǎng)絡(luò)用戶的身份，執(zhí)行相關(guān)設(shè)定的控制策略，從而提高網(wǎng)絡(luò)的可用性和安全性。

1 網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)

現(xiàn)在國際上關(guān)于網(wǎng)絡(luò)準(zhǔn)入控制的技術(shù)主要分為二類，一類是基于協(xié)議的終端安全準(zhǔn)入技術(shù)，另一類是專有的終端安全準(zhǔn)入技術(shù)?；趨f(xié)議的網(wǎng)絡(luò)終端準(zhǔn)入技術(shù)主要包括:802.1x準(zhǔn)入、EOU準(zhǔn)入、PORTAL準(zhǔn)入、ARP干擾準(zhǔn)入等。

1.801.1x準(zhǔn)入。這是一種國際標(biāo)準(zhǔn)的準(zhǔn)入控制技術(shù)，全稱為基于端口的網(wǎng)絡(luò)訪問控制技術(shù)，主要通過在交換機(jī)中集成該技術(shù)，實(shí)現(xiàn)終端計(jì)算機(jī)接入時(shí)的身份鑒別及健康檢查等控制。在現(xiàn)有的幾乎所有交換機(jī)中都支持該技術(shù)。

2.EOU準(zhǔn)入。這是CISCO公司專有的一種準(zhǔn)入控制技術(shù)，通過配合CISCO交換機(jī)，實(shí)現(xiàn)終端接入網(wǎng)絡(luò)的安全控制，可以實(shí)現(xiàn)HUB連接主機(jī)的安全接入控制。該技術(shù)只有在CISCO的交換機(jī)上具備。

3.PORTAL準(zhǔn)入。PORTAL是一種三層網(wǎng)絡(luò)接入認(rèn)證，在認(rèn)證之前用戶首先要獲取地址，這點(diǎn)與802.1x不同。未認(rèn)證用戶上網(wǎng)時(shí)，強(qiáng)制用戶登錄到特定站點(diǎn)，用戶可以訪問其中的服務(wù)。當(dāng)用戶需要使用網(wǎng)絡(luò)中的其他資源時(shí)，必須在門戶網(wǎng)站進(jìn)行認(rèn)證，只有認(rèn)證通過后才可以使用網(wǎng)絡(luò)資源。

4.ARP干擾準(zhǔn)入。通過發(fā)送ARP欺騙包實(shí)現(xiàn)對(duì)不合法終端攔截入網(wǎng)。該技術(shù)對(duì)非法主機(jī)有效，對(duì)于合法主機(jī)的接入控制無效。另外，由于該技術(shù)使用了ARP欺騙，存在可以繞過該控制的機(jī)制，因此該技術(shù)并不能徹底解決終端準(zhǔn)入問題。

專有的終端安全準(zhǔn)入技術(shù)主要包括網(wǎng)關(guān)級(jí)準(zhǔn)入、域認(rèn)證、交換機(jī)MAC綁定及自建等技術(shù)。由于這些技術(shù)使用專有協(xié)議，并且技術(shù)不標(biāo)準(zhǔn)，其安全性及可靠性需要專門分析。

2 鐵路信息網(wǎng)絡(luò)準(zhǔn)入控制方案研究

網(wǎng)絡(luò)準(zhǔn)入控制 (NAC)利用終端準(zhǔn)入技術(shù)對(duì)終端準(zhǔn)入進(jìn)行控制，其發(fā)展經(jīng)歷了以下3個(gè)階段。

第一代，基于端點(diǎn)系統(tǒng)的架構(gòu)Software-based NAC:純軟件方式的準(zhǔn)入，主要是桌面廠商的產(chǎn)品，采用ARP干擾、終端代理軟件的軟件防火墻等技術(shù)。

第二代，基于基礎(chǔ)網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)的架構(gòu)Infrastructure-based NAC:與網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)的準(zhǔn)入，主要是采用80X，EOU，PORTAL的產(chǎn)品。

第三代，基于應(yīng)用設(shè)備的架構(gòu)Appliance-based NAC:單臺(tái)設(shè)備實(shí)現(xiàn)的準(zhǔn)入，支持多種準(zhǔn)入技術(shù)，不需要大量安裝客戶端，具有框架無關(guān)性和很好的網(wǎng)絡(luò)兼容性。

由于第三代網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)不需要大量安裝客戶端，并且具有框架無關(guān)性和很好的網(wǎng)絡(luò)兼容性，因此適用于鐵路信息網(wǎng)絡(luò)終端數(shù)量眾多、類型多樣的環(huán)境，并且不需要調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)，實(shí)施和部署比較便捷。為此，鐵路信息網(wǎng)絡(luò)準(zhǔn)入控制方案將采用第三代準(zhǔn)入控制技術(shù)架構(gòu)，以身份認(rèn)證、安全檢查、權(quán)限控制、安全審計(jì)為核心，其中身份認(rèn)證與鐵路CA系統(tǒng)結(jié)合，實(shí)現(xiàn)基于證書認(rèn)證的準(zhǔn)入控制，安全檢查通過監(jiān)測(cè)計(jì)算機(jī)的病毒、木馬狀態(tài)營造安全的運(yùn)行環(huán)境，權(quán)限控制使得合法用戶接入網(wǎng)絡(luò)后只能干合法的事情，安全審計(jì)對(duì)合法計(jì)算機(jī)的各種操作行為進(jìn)行記錄、審計(jì)及備案。

2.1 工作流程

終端入網(wǎng)需要經(jīng)過身份認(rèn)證、安全檢查、授權(quán)訪問等過程。入網(wǎng)流程如圖1所示。

圖1 入網(wǎng)流程

身份認(rèn)證:對(duì)接入網(wǎng)絡(luò)的終端進(jìn)行身份識(shí)別，識(shí)別的信息包括用戶姓名、設(shè)備名稱、操作系統(tǒng)版本等，沒有通過身份認(rèn)證的終端不允許進(jìn)入網(wǎng)絡(luò)。

安全檢查:根據(jù)管理員設(shè)置的檢查項(xiàng)目 (殺毒軟件安裝、補(bǔ)丁安裝、加入域、必須安裝的軟件、不允許安裝的軟件)對(duì)終端進(jìn)行合規(guī)性檢查，對(duì)不合規(guī)的終端進(jìn)行隔離、修復(fù)。

隔離修復(fù):針對(duì)上一步驟中出現(xiàn)的不合規(guī)的終端進(jìn)行修復(fù)，終端可以被引導(dǎo)到相應(yīng)的修復(fù)界面，比如沒裝殺毒軟件的客戶端被重新定向到殺毒軟件的安裝界面，沒打系統(tǒng)補(bǔ)丁的終端定向到補(bǔ)丁修復(fù)的界面。

授權(quán)訪問:根據(jù)用戶所屬的角色不同，對(duì)其網(wǎng)絡(luò)訪問進(jìn)行授權(quán)，讓用戶“只能訪問到他應(yīng)該訪問的資源”，比如訪客只能訪問限定資源;普通員工可以訪問普通資源，總經(jīng)理可以訪問機(jī)密資源。

2.2 系統(tǒng)架構(gòu)

由于不合法主機(jī)的接入及對(duì)網(wǎng)絡(luò)資源的隨意訪問帶來的威脅最大，本方案將以終端計(jì)算機(jī)合法準(zhǔn)入作為控制核心，主要采用PORTAL準(zhǔn)入、802.1x準(zhǔn)入，并通過對(duì)準(zhǔn)入后的終端計(jì)算機(jī)實(shí)施安全措施，保證合法主機(jī)只能做合法的事。系統(tǒng)架構(gòu)如圖2所示。

圖2 系統(tǒng)架構(gòu)

網(wǎng)絡(luò)終端準(zhǔn)入控制實(shí)現(xiàn)終端入網(wǎng)安全規(guī)范管理，解決了計(jì)算機(jī)終端隨意入網(wǎng)的問題，避免因個(gè)別不安全終端導(dǎo)致的內(nèi)網(wǎng)大面積堵塞和癱瘓，為鐵路核心業(yè)務(wù)的持續(xù)和穩(wěn)定運(yùn)行提供了可靠的支撐和保證。網(wǎng)絡(luò)終端準(zhǔn)入控制防止非法終端進(jìn)行非法訪問，合規(guī)受控的終端才能夠獲得相應(yīng)的訪問權(quán)限，防止移動(dòng)介質(zhì)隨意接入網(wǎng)絡(luò)，保證了鐵路核心業(yè)務(wù)數(shù)據(jù)不外泄。網(wǎng)絡(luò)終端準(zhǔn)入控制防止非法終端進(jìn)行內(nèi)網(wǎng)訪問，以及內(nèi)網(wǎng)終端非法訪問外網(wǎng)，有效切斷感染蠕蟲病毒的非受控終端對(duì)合規(guī)終端的病毒感染和傳播。

2.3 部署方案

以下說明網(wǎng)絡(luò)終端準(zhǔn)入控制方案的部署。鐵路局域網(wǎng)分為外部服務(wù)網(wǎng)、內(nèi)部服務(wù)網(wǎng)和安全生產(chǎn)網(wǎng)。根據(jù)鐵路信息網(wǎng)絡(luò)的劃分情況，在外部服務(wù)網(wǎng)和內(nèi)部服務(wù)網(wǎng)分別部署網(wǎng)絡(luò)終端準(zhǔn)入控制系統(tǒng)。如圖3、圖4所示。分別針對(duì)員工、運(yùn)維終端、VPN接入、無線接入、訪客進(jìn)行入網(wǎng)管理。

圖3 外部服務(wù)網(wǎng)部署方案

圖4 內(nèi)部服務(wù)網(wǎng)部署方案

1.員工入網(wǎng)管理。在鐵路局域網(wǎng)內(nèi)部，接入終端通過交換機(jī)接入網(wǎng)絡(luò)。這些接入終端的安全狀態(tài)將直接影響整個(gè)網(wǎng)絡(luò)的運(yùn)行安全。保證了這些終端的安全也就保證了整個(gè)網(wǎng)絡(luò)的安全，因此需要對(duì)這些終端的入網(wǎng)進(jìn)行嚴(yán)格的審核。審核的過程即身份認(rèn)證、安全檢查、隔離修復(fù)、授權(quán)訪問等步驟，通過這些步驟可以保證入網(wǎng)終端的安全性。入網(wǎng)時(shí)使用數(shù)字證書的方式進(jìn)行認(rèn)證，進(jìn)入網(wǎng)絡(luò)后依據(jù)員工所屬的角色進(jìn)行網(wǎng)絡(luò)訪問。

2.運(yùn)維終端管理?，F(xiàn)階段隨著鐵路信息化建設(shè)的不斷開展，鐵路信息網(wǎng)絡(luò)中部署了越來越多的服務(wù)器及網(wǎng)絡(luò)設(shè)備，各種服務(wù)器在必要時(shí)需要廠家人員進(jìn)行現(xiàn)場(chǎng)實(shí)施及維護(hù)。這些維護(hù)人員屬于外來人員，但是他們需要利用鐵路信息網(wǎng)絡(luò)進(jìn)行相關(guān)的業(yè)務(wù)工作，因此需要對(duì)這些終端的入網(wǎng)進(jìn)行嚴(yán)格的審核，并且使用專用的運(yùn)維終端，入網(wǎng)時(shí)使用數(shù)字證書的方式進(jìn)行認(rèn)證，進(jìn)入網(wǎng)絡(luò)后依據(jù)用戶所屬的運(yùn)維人員角色進(jìn)行網(wǎng)絡(luò)訪問。

3.VPN接入管理。員工通過VPN遠(yuǎn)程接入鐵路信息網(wǎng)絡(luò)，從而實(shí)現(xiàn)異地辦公，這給員工工作帶來極大的便利，但也給網(wǎng)絡(luò)帶來非常大的安全隱患。這些遠(yuǎn)程接入的計(jì)算機(jī)因處在互聯(lián)網(wǎng)中，本身可能已經(jīng)是病毒、木馬的攜帶者，一旦通過VPN接入，就會(huì)感染局域網(wǎng)的其他計(jì)算機(jī)，造成整個(gè)網(wǎng)絡(luò)的癱瘓，因此必須要對(duì)VPN接入的終端實(shí)施更加嚴(yán)格的防護(hù)策略。VPN接入的終端只允許接入到外部服務(wù)網(wǎng)的VPN接入?yún)^(qū)域，不能直接接入內(nèi)部服務(wù)網(wǎng)，通過網(wǎng)絡(luò)安全平臺(tái)實(shí)現(xiàn)內(nèi)外網(wǎng)信息交換，入網(wǎng)時(shí)使用數(shù)字證書的方式進(jìn)行認(rèn)證，進(jìn)入網(wǎng)絡(luò)后依據(jù)用戶所屬的移動(dòng)辦公角色進(jìn)行網(wǎng)絡(luò)訪問。

4.無線接入管理。無線接入和傳統(tǒng)的網(wǎng)線接入相比更加方便，可讓終端擺脫網(wǎng)線的限制，也可以讓很多沒有網(wǎng)口的設(shè)備 (比如IPAD、智能手機(jī)等)接入網(wǎng)絡(luò)，但是也給網(wǎng)絡(luò)帶來極大的安全隱患。很多無線AP都使用了弱口令，極易破解;或者這些口令被員工所熟知，隨意傳播，外來人員很容易就可以獲得無線AP的口令，因此使用AP口令已經(jīng)無法保證網(wǎng)絡(luò)的安全。對(duì)于無線接入的終端，只允許接入到外部服務(wù)網(wǎng)的無線接入?yún)^(qū)域，不能直接接入內(nèi)部服務(wù)網(wǎng)，通過網(wǎng)絡(luò)安全平臺(tái)實(shí)現(xiàn)內(nèi)外網(wǎng)信息交換，入網(wǎng)時(shí)使用數(shù)字證書的方式進(jìn)行認(rèn)證，進(jìn)入網(wǎng)絡(luò)后依據(jù)用戶所屬的移動(dòng)辦公角色進(jìn)行網(wǎng)絡(luò)訪問。

5.訪客接入管理。隨著業(yè)務(wù)的拓展，各種訪客來訪、接入網(wǎng)絡(luò)也是不可避免的事情，和內(nèi)部員工相比，訪客具有更大的不確定性，所以，需要在訪問權(quán)限上加以嚴(yán)格控制，不能讓訪客隨意訪問內(nèi)網(wǎng)的資源，并且對(duì)訪問的時(shí)間加以限制。

3 結(jié)束語

本文提出的鐵路信息網(wǎng)絡(luò)準(zhǔn)入方案的優(yōu)勢(shì)在于采用先進(jìn)的第三代準(zhǔn)入控制技術(shù)架構(gòu)，不需要大量安裝客戶端，具有框架無關(guān)性和很好的網(wǎng)絡(luò)兼容性，不需要調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)，實(shí)施和部署比較便捷。本方案以身份認(rèn)證、安全檢查、權(quán)限控制、安全審計(jì)為核心，對(duì)網(wǎng)絡(luò)終端的接入進(jìn)行控制，從網(wǎng)絡(luò)安全防范的源頭入手采取控制措施，提高了信息網(wǎng)絡(luò)的安全性。

［1］ 李赟.一種企業(yè)網(wǎng)用戶可信接入解決方案［J］.鐵路信息技術(shù)與電子商務(wù)，2010(12).

［2］ 盈高.ASM入網(wǎng)規(guī)范管理系統(tǒng)［EB/OL］.廣東銘冠信息科技有限公司.2012.04.13 http://www.gzmcrown.com/infogo/infogo.htm.

［3］ 范紅斌.網(wǎng)絡(luò)準(zhǔn)入控制在大中型企業(yè)中的應(yīng)用［J］.無限互聯(lián)科技，2013(4).

［4］ 張莉，齊錦.網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)與設(shè)計(jì)［J］.通信技術(shù)，2009(9).