季佳華+李月+吳穗玲+張偉

【摘要】 終端準入控制EAD（End user Admission Domination，以下簡稱EAD）解決方案，整合網(wǎng)絡接入控制與終端安全產(chǎn)品，通過智能客戶端、安全策略服務器、網(wǎng)絡設備以及第三方軟件的聯(lián)動，對接入網(wǎng)絡的用戶終端強制實施安全策略，嚴格控制終端用戶的網(wǎng)絡使用行為，可以加強用戶終端的主動防御能力，大幅度提高網(wǎng)絡安全。本文重點闡述EAD解決方案的原理和EAD解決方案在上海出入境檢驗檢疫局的成功上線過程，并且對解決方案上線后的容災備份方案進行了詳細論述。通過EAD方案部署，解決檢驗檢疫信息化推進過程中網(wǎng)絡安全等問題，加強檢驗檢疫內(nèi)網(wǎng)安全防御能力，提升內(nèi)網(wǎng)的整體安全。

關鍵詞 EAD解決方案；準入控制；終端安全；BYOD；移動辦公

一、前言

2016年上海出入境檢驗檢疫局完成了上海國檢移動辦公應用的系統(tǒng)化建設工作，并于7月1日正式在上海局上線運行，也就此開啟了上海局移動辦公的新“時代之門”。與此同時上海局移動辦公應用信息化建設，引入了“BYOD（自帶設備）”辦公的概念。用戶可以攜帶自己的平板電腦、智能手機等移動終端設備到辦公場所，并可以用這些設備訪問上海局OA，郵件等業(yè)務辦公系統(tǒng)。BYOD的出現(xiàn)無疑提高了上海局移動辦公的新風尚，突破了傳統(tǒng)辦公模式下的局限性，提高了上海局移動辦公的自由度?？梢允垢嘤脩粲行Ю瞄g隙時間查看郵件充分體現(xiàn)了BYOD…On…the…GO理念。無間隙的業(yè)務連接利用移動終端設備接入上海局內(nèi)網(wǎng)保持與業(yè)務網(wǎng)絡的連通性，提升決策與工作效率保持業(yè)務連續(xù)性。

與此同時，隨著國內(nèi)檢驗檢疫網(wǎng)絡規(guī)模的不斷擴大以及業(yè)務的不斷擴展，網(wǎng)絡安全問題變得越來越重要。在針對不同安全區(qū)域邊界部署IPS、防火墻等設備進行防護的同時，我們認識到實際使用中更多的網(wǎng)絡安全事件都是由脆弱的用戶終端和“失控”的局域網(wǎng)使用行為引起。在局域網(wǎng)中，用戶終端不及時升級系統(tǒng)補丁和病毒庫的現(xiàn)象普遍存在；私設代理服務器、私自訪問外部網(wǎng)絡、濫用禁用軟件等行為也比比皆是?！笆Э亍钡挠脩艚K端一旦接入網(wǎng)絡，就相當于安全威脅繞過了IPS、防火墻這些“馬其諾防線”，直接面對網(wǎng)絡核心業(yè)務。因此保證用戶終端的安全，對用戶的局域網(wǎng)訪問行為進行有效的控制，是保證網(wǎng)絡安全運行的前提，也是目前上海局局域網(wǎng)安全管理急需解決的問題。

終端用戶準入控制系統(tǒng)（End…user…Admission…Domination，以下簡稱EAD）解決方案，整合網(wǎng)絡接入控制與終端安全產(chǎn)品，通過智能客戶端、安全策略服務器、網(wǎng)絡設備以及第三方軟件的聯(lián)動，對接入網(wǎng)絡的用戶終端強制實施安全策略，嚴格控制終端用戶的網(wǎng)絡使用行為，可以加強用戶終端的主動防御能力，大幅度提高網(wǎng)絡安全。

二、需求分析及選型

為了加強對終端安全的管理，我們建議在業(yè)務內(nèi)網(wǎng)部署終端計算機準入防御系統(tǒng)，該系統(tǒng)應滿足以下功能需求：

（1）…對接入業(yè)務內(nèi)網(wǎng)的終端實現(xiàn)用戶身份認證。對于認證失敗的用戶，斷開其網(wǎng)絡連接；認證成功但安全性檢查不通過的終端，放入隔離區(qū)自動引導其完成主機完整性修復；對于認證和安全性檢查全部通過的主機，按照策略設定完成相應網(wǎng)絡設置和終端安全客戶端設置，滿足終端相應權限的訪問；

（2）…能檢測終端的代理功能設置。對私設代理服務器、IE代理設置的終端，必須能限制其訪問；

（3）…能對接入的終端進行安全狀態(tài)檢查，包括：防病毒軟件安全檢查、補丁狀態(tài)安全檢查、安裝軟件應用檢查等；

（4）…能具備防ARP攻擊的特性；

（5）…該系統(tǒng)能支持冗余配置，具備高可靠性；

（6）…該系統(tǒng)能有效的識別移動設備是否被感染惡意軟件，并通過有效的策略保證移動設備的數(shù)據(jù)安全；

（7）…該系統(tǒng)能在移動業(yè)務辦公的環(huán)境下，保證其傳輸鏈路的可靠性；

目前各主流網(wǎng)絡廠商都提供終端準入控制的產(chǎn)品和解決方案，通過對解決方案功能的詳細了解和反復測試，我們確定了終端準入控制EAD（End…user…Admission…Domination，以下簡稱EAD）解決方案，最為符合當前國內(nèi)環(huán)境下檢驗檢疫業(yè)務內(nèi)網(wǎng)的安全接入。

三、EAD終端準入控制設計原理

3.1 終端準入控制的實現(xiàn)過程

EAD終端準入控制，將終端安全狀態(tài)與網(wǎng)絡接入控制相融合，加強了對用戶終端的集中管理，提高了終端的主動防御能力。通過智能客戶端、安全策略服務器、接入設備以及第三方服務器的聯(lián)動，可以將不符合安全要求的終端限制在“隔離區(qū)”內(nèi)，防止“危險”終端對局域網(wǎng)安全的損害，避免“易感”終端受病毒、蠕蟲的攻擊，從而大幅度提升了局域網(wǎng)抵御安全威脅的能力。

EAD解決方案對終端用戶的整體控制過程如下圖1所示。

3.2 終端準入控制的原理

EAD的基本原理是通過智能客戶端（iNode客戶端）、安全聯(lián)動設備（如交換機、VPN網(wǎng)關、路由器）、安全策略服務器以及防病毒服務器、補丁服務器的聯(lián)動實現(xiàn)的，其基本原理如下圖所示：

（1）…用戶終端試圖接入網(wǎng)絡時，首先通過智能客戶端進行用戶身份認證，非法用戶將被拒絕接入網(wǎng)絡；

（2）…合法用戶將被要求進行安全狀態(tài)認證，由安全策略服務器驗證用戶終端安全狀態(tài)是否符合基于用戶帳號預定義的安全策略，包括補丁版本、病毒庫版本是否合格，軟件安裝允許是否合格、是否使用代理服務器等信息，不合格用戶將被安全聯(lián)動設備隔離到隔離區(qū)；

（3）…進入隔離區(qū)的用戶可以進行補丁、病毒庫的升級、卸載非法程序、取消代理設置等操作，直到安全狀態(tài)合格；endprint

（4）…安全狀態(tài)合格的用戶將實施由安全策略服務器下發(fā)的安全設置，并由安全聯(lián)動設備提供基于身份的網(wǎng)絡服務。

3.3 終端準入控制的優(yōu)點

從EAD的控制過程和基本原理可以看出，EAD將終端病毒防護、補丁修復等終端安全措施與網(wǎng)絡接入控制、訪問權限控制等網(wǎng)絡安全措施整合為一個聯(lián)動的安全體系，通過對網(wǎng)絡接入終端的檢查、隔離、修復、管理和監(jiān)控，使整個網(wǎng)絡變被動防御為主動防御；變單點防御為全面防御；變分散管理為集中策略管理，提升了網(wǎng)絡對病毒、蠕蟲等新興安全威脅的整體防御能力?！?/p>

四、終端準入控制在上海出入境檢驗檢疫局的應用

4.1 選型測試過程

為了確保上海出入境檢驗檢疫局的終端準入控制應用實踐的成功，自2009年開始進行產(chǎn)品選型工作，2010年3月份正式開始EAD解決方案的測試，測試中包括了EAD解決方案中的多個產(chǎn)品：智能管理平臺（Intelligent…Management… Center，iMC）、iMC…EAD安全策略組件（End…user…Admission…Domination）、iMC…UAM（User…Access…Manager）用戶接入管理組件、iNode…PC客戶端、iNode…DC可溶解客戶端，同時測試了iMC雙機熱備功能。

EAD解決方案的選型測試和局部部署，歷時18個月，主要包括五個階段。

第一階段：2010年3月-2010年5月，在上海出入境檢驗檢疫局信息中心網(wǎng)絡科內(nèi)部初步測試，測試內(nèi)容為iNode…DC客戶端+Portal…EAD功能測試；

第二階段：2010年6月-2010年10月，在上海出入境檢驗檢疫局信息中心全部門進行測試，測試內(nèi)容為iNode…DC客戶端+Portal…EAD功能和iNode…PC客戶端+Portal…EAD功能測試；…

第三階段：2010年11月-2011年2月，在上海出入境檢驗檢疫局信息中心全部門進行測試，測試內(nèi)容為iNode…PC客戶端+Cisco…802.1x…EAD功能測試；…

第四階段：2011年3月-2011年4月，在崇明出入境檢驗檢疫局進行測試，測試內(nèi)容為iNode…PC客戶端EAD功能在分支區(qū)縣局的實際應用情況；

第五階段：2011年5月-2011年9月，在上海局和金山、奉賢、南匯等多個區(qū)縣局實施測試；為了保證iMC服務器的穩(wěn)定性，在上海出入境檢驗檢疫局信息中心機房實施并測試了iMC…雙機熱備功能。

第六階段：2013年4月-2016年12月，在洋山局進行即查即放無線智能終端接入測試，測試內(nèi)容為iNode…PC客戶端EAD功能在分支區(qū)縣局的無線安全接入的實際應用情況；

第七階段：2017年2月至今，在上海局全局進行無線安全接入部署；

4.2 選型過程中遇到的問題和解決方案

EAD解決方案在實踐過程中，存在如下問題：

（1）……EAD系統(tǒng)支持802.1x認證和Portal認證等；客戶端采用iNode…PC客戶端、iNode…DC可溶解客戶端不同方式，何種方式最符合上海出入境檢驗檢疫局的功能需求和現(xiàn)網(wǎng)環(huán)境？

（2）……iNode…PC智能客戶端與支持標準802.1x協(xié)議的交換機能配合使用，但部分區(qū)縣局點存在思科公司的C2950、C3550等老款接入交換機，這些交換機的802.1x的部分功能支持不完善，如只支持single-host模式，同一接入端口不允許下掛有多臺PC終端，而由于布線系統(tǒng)限制，網(wǎng)絡中恰恰有這種需求，如何解決？

（3）…對于部分PC終端，同時安裝了360安全衛(wèi)士軟件與趨勢殺毒軟件。在安裝iNode…PC智能客戶端時，趨勢殺毒軟件能夠正常識別軟件行為，認可iNode…PC智能客戶端；但是360安全衛(wèi)士軟件誤報EAD客戶端不安全，客戶端能否正確運行？

（4）……對于網(wǎng)絡打印機等不支持802.1x認證的設備，如何實現(xiàn)網(wǎng)絡接入并保證接入交換機端口的安全性？

針對以上問題，需要分別從技術和管理體制流程兩個層面進行規(guī)范和解決：

（1）……通過測試，我們發(fā)現(xiàn)網(wǎng)絡中的原思科公司交換機產(chǎn)品不能配合EAD系統(tǒng)實現(xiàn)Portal認證。而如果在網(wǎng)絡匯聚層或核心層增加配置Portal網(wǎng)關設備，則對接入終端的控制點位置太高，不利于進行嚴格控制。同時iNode…DC可溶解客戶端由于技術限制，功能不如iNode…PC客戶端豐富，因此我們最終決定采用iNode…PC客戶端配合接入交換機802.1x認證的認證方式。

（2）……對于部分老款接入交換機網(wǎng)絡設備802.1x技術支持不完善的問題，通過將部分同一接入端口下確實需要連接多臺終端的接入交換機網(wǎng)絡設備進行更換，來確保EAD解決方案的成功實施。

（3）……對于360安全衛(wèi)士軟件誤報EAD客戶端不安全的問題；從技術上，在iNode…PC客戶端的安裝包中，添加了暫時關閉360安全衛(wèi)士軟件的相關提示，待軟件安裝完全后，360安全衛(wèi)士軟件可以與iNode…PC客戶端正常共存；從管理上，信息中心將要求上海局內(nèi)終端計算機全部安裝趨勢殺毒軟件，作為終端計算機入網(wǎng)的要求形成文件下發(fā)。

（4）……為了接入網(wǎng)絡打印機等不支持802.1x認證的設備，可以關閉接入交換機上連接該類設備的端口的802.1x認證功能，但這會造成安全漏洞。在該端口上配置MAC地址綁定或MAC認證功能，可以避免非法設備通過該交換機端口接入網(wǎng)絡。

4.3 容災備份方案

通過1年多的測試，EAD解決方案能滿足上海出入境檢驗檢疫局對終端準入控制的功能需求，而且也提供部分桌面管理和資產(chǎn)管理功能。

通過交換機的配合，強制用戶在接入網(wǎng)絡前通過802.1X等方式進行身份認證和安全狀態(tài)評估，確保只有符合安全標準的用戶接入網(wǎng)絡，實現(xiàn)了：endprint

（1）……沒有在EAD終端準入控制系統(tǒng)內(nèi)注冊的PC終端，即使正確配置了IP地址，也無法連入上海出入境檢驗檢疫局內(nèi)網(wǎng)；

（2）…對于連入內(nèi)網(wǎng)的PC終端進行合法性、安全性檢查；合法性主要檢查IP和用戶對應關系；安全性檢查例如：檢查防病毒軟件安裝、操作系統(tǒng)補丁的安裝等。

（3）…杜絕了內(nèi)網(wǎng)中私設代理服務器的現(xiàn)象

在實踐了EAD解決方案之后，如上圖3所示，EAD服務器的備份就顯得尤其重要了，如果沒有EAD服務器的備份方案，那就存在一個可能會導致全網(wǎng)中斷的單點故障。

在充分的衡量了各種容災備份方案的基礎上，上海局最終采用了最為穩(wěn)妥的Windows群集雙機熱備加離線逃生工具的備份方案。

如下圖4，EAD雙機熱備是采用兩臺服務器利用群集軟件實現(xiàn)服務器備份冗余的方案。iMC雙機熱備組網(wǎng)中，SQL…Server數(shù)據(jù)庫和EAD策略服務器軟件都安裝在存儲設備上，同一時間只會有一臺服務器使用共享磁盤陣列上的資源；兩臺服務器作為一個整體，對外提供一個虛IP作為服務器的IP地址；通過Windows的群集管理器軟件保持兩臺服務器之間的心跳，實時檢測EAD相關的進程運行是否正常，當發(fā)生故障時自動將業(yè)務切換到另一臺服務器上。

雙機熱備組網(wǎng)的優(yōu)點是能夠解決服務器本身的硬件故障。但是由于只有一套程序文件及數(shù)據(jù)存在，所以不能解決程序文件本身以及數(shù)據(jù)庫本身的軟件故障。為了解決這個問題，在部署EAD解決方案的同時，我們還部署了用戶接入逃生工具。

用戶接入逃生工具（以下簡稱為“逃生工具”）是iMC…EAD解決方案中UAM（User…Access…Manager）組件的后臺的替身。當iMC…UAM出現(xiàn)諸如進程宕機、數(shù)據(jù)庫異常、性能下降等故障無法處理認證請求時，逃生工具暫時替代iMC…UAM處理請求報文以保障用戶的業(yè)務不中斷。逃生工具不驗證用戶信息與用戶口令，不做綁定、授權處理，也不啟用安全認證，對于請求報文都直接回應成功。如圖5。

有了雙機熱備容災備份方案和逃生工具容災備份方案的雙保險，EAD終端準入控制解決方案在上海出入境檢驗檢疫局的運行更加穩(wěn)定，可以應對單臺服務器故障、存儲系統(tǒng)故障、iMC程序本身的故障以及數(shù)據(jù)庫程序的故障，可以最大程度地保證系統(tǒng)運行過程中的穩(wěn)定性，確保上海出入境檢驗檢疫局業(yè)務工作正常開展。

五、結語

全新的BYOD辦公模式，讓上海局辦公人員擺脫了時間和空間的束縛。業(yè)務信息可以隨時隨地通暢地進行交互流動，工作更加輕松有效，整體運作更加協(xié)調(diào)。有效提高了上海局業(yè)務辦公效率。在信息化飛速發(fā)展的時代，上海局將秉著持續(xù)探索、勇于創(chuàng)新的原則，不斷完善單位的信息化建設。信息技術已經(jīng)成為支持檢驗檢疫業(yè)務的主要技術手段，在推進檢驗檢疫信息化建設的過程中，如何不斷應對層出不窮的各類威脅、有效地管理和控制信息安全風險是檢驗檢疫在信息安全管理上的重中之重，在構成信息系統(tǒng)的網(wǎng)絡、服務器和終端這三大要素中，針對和利用終端計算機實施的攻擊急劇增多，終端安全問題日益凸顯，EAD解決方案從終端計算機這一源頭加強管理，提高終端計算機、智能無線設備的規(guī)避安全風險的能力，幫助掌握全網(wǎng)終端智能設備的安全狀況，為檢驗檢疫業(yè)務信息化建設過程中的安全性管控進一步加固了基石。利用EAD的安全管理功能模塊，實現(xiàn)對安裝軟件、網(wǎng)絡流量、外設USB接口應用等進行全面安全管理進而實現(xiàn)對終端的安全管控，在網(wǎng)絡層面進行訪問控制風險識別和分析，并通過信息安全管理和技術這兩個領域進行全面的風險控制，提高終端計算機規(guī)避安全風險的能力，幫助掌握全網(wǎng)終端計算機的安全狀況，確保入網(wǎng)終端處于可管、可控、可靠、安全的狀態(tài)。EAD解決方案在上海局的成功應用開創(chuàng)了國內(nèi)檢驗檢疫信息化安全接入控制管理的先河，對行政效率和公共服務水平的提升提供有力的保障。

參 考 文 獻

[1]…RFC…2865：Remote…Authentication…Dial…In…User…Service…（RADIUS）

[2]…GB/T…20984-2007，…信息安全技術…信息安全風險評估規(guī)范

[3]…Kadrich，…M.S.…終端安全，電子工業(yè)出版社，2009-5-1

[4]…王宇杰，，王鋒，…楊文賓，計算機網(wǎng)絡訪問控制技術研究，…現(xiàn)代計算機（專業(yè)版）2010年7期

[5]…杭州華三通信技術有限公司：EAD技術白皮書endprint