季佳華+李月+吳穗玲+張偉

【摘要】 終端準(zhǔn)入控制EAD（End user Admission Domination，以下簡稱EAD）解決方案，整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，通過智能客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及第三方軟件的聯(lián)動，對接入網(wǎng)絡(luò)的用戶終端強制實施安全策略，嚴(yán)格控制終端用戶的網(wǎng)絡(luò)使用行為，可以加強用戶終端的主動防御能力，大幅度提高網(wǎng)絡(luò)安全。本文重點闡述EAD解決方案的原理和EAD解決方案在上海出入境檢驗檢疫局的成功上線過程，并且對解決方案上線后的容災(zāi)備份方案進(jìn)行了詳細(xì)論述。通過EAD方案部署，解決檢驗檢疫信息化推進(jìn)過程中網(wǎng)絡(luò)安全等問題，加強檢驗檢疫內(nèi)網(wǎng)安全防御能力，提升內(nèi)網(wǎng)的整體安全。

關(guān)鍵詞 EAD解決方案；準(zhǔn)入控制；終端安全；BYOD；移動辦公

一、前言

2016年上海出入境檢驗檢疫局完成了上海國檢移動辦公應(yīng)用的系統(tǒng)化建設(shè)工作，并于7月1日正式在上海局上線運行，也就此開啟了上海局移動辦公的新“時代之門”。與此同時上海局移動辦公應(yīng)用信息化建設(shè)，引入了“BYOD（自帶設(shè)備）”辦公的概念。用戶可以攜帶自己的平板電腦、智能手機等移動終端設(shè)備到辦公場所，并可以用這些設(shè)備訪問上海局OA，郵件等業(yè)務(wù)辦公系統(tǒng)。BYOD的出現(xiàn)無疑提高了上海局移動辦公的新風(fēng)尚，突破了傳統(tǒng)辦公模式下的局限性，提高了上海局移動辦公的自由度?？梢允垢嘤脩粲行Ю瞄g隙時間查看郵件充分體現(xiàn)了BYOD…On…the…GO理念。無間隙的業(yè)務(wù)連接利用移動終端設(shè)備接入上海局內(nèi)網(wǎng)保持與業(yè)務(wù)網(wǎng)絡(luò)的連通性，提升決策與工作效率保持業(yè)務(wù)連續(xù)性。

與此同時，隨著國內(nèi)檢驗檢疫網(wǎng)絡(luò)規(guī)模的不斷擴大以及業(yè)務(wù)的不斷擴展，網(wǎng)絡(luò)安全問題變得越來越重要。在針對不同安全區(qū)域邊界部署IPS、防火墻等設(shè)備進(jìn)行防護(hù)的同時，我們認(rèn)識到實際使用中更多的網(wǎng)絡(luò)安全事件都是由脆弱的用戶終端和“失控”的局域網(wǎng)使用行為引起。在局域網(wǎng)中，用戶終端不及時升級系統(tǒng)補丁和病毒庫的現(xiàn)象普遍存在；私設(shè)代理服務(wù)器、私自訪問外部網(wǎng)絡(luò)、濫用禁用軟件等行為也比比皆是。“失控”的用戶終端一旦接入網(wǎng)絡(luò)，就相當(dāng)于安全威脅繞過了IPS、防火墻這些“馬其諾防線”，直接面對網(wǎng)絡(luò)核心業(yè)務(wù)。因此保證用戶終端的安全，對用戶的局域網(wǎng)訪問行為進(jìn)行有效的控制，是保證網(wǎng)絡(luò)安全運行的前提，也是目前上海局局域網(wǎng)安全管理急需解決的問題。

終端用戶準(zhǔn)入控制系統(tǒng)（End…user…Admission…Domination，以下簡稱EAD）解決方案，整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，通過智能客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及第三方軟件的聯(lián)動，對接入網(wǎng)絡(luò)的用戶終端強制實施安全策略，嚴(yán)格控制終端用戶的網(wǎng)絡(luò)使用行為，可以加強用戶終端的主動防御能力，大幅度提高網(wǎng)絡(luò)安全。

二、需求分析及選型

為了加強對終端安全的管理，我們建議在業(yè)務(wù)內(nèi)網(wǎng)部署終端計算機準(zhǔn)入防御系統(tǒng)，該系統(tǒng)應(yīng)滿足以下功能需求：

（1）…對接入業(yè)務(wù)內(nèi)網(wǎng)的終端實現(xiàn)用戶身份認(rèn)證。對于認(rèn)證失敗的用戶，斷開其網(wǎng)絡(luò)連接；認(rèn)證成功但安全性檢查不通過的終端，放入隔離區(qū)自動引導(dǎo)其完成主機完整性修復(fù)；對于認(rèn)證和安全性檢查全部通過的主機，按照策略設(shè)定完成相應(yīng)網(wǎng)絡(luò)設(shè)置和終端安全客戶端設(shè)置，滿足終端相應(yīng)權(quán)限的訪問；

（2）…能檢測終端的代理功能設(shè)置。對私設(shè)代理服務(wù)器、IE代理設(shè)置的終端，必須能限制其訪問；

（3）…能對接入的終端進(jìn)行安全狀態(tài)檢查，包括：防病毒軟件安全檢查、補丁狀態(tài)安全檢查、安裝軟件應(yīng)用檢查等；

（4）…能具備防ARP攻擊的特性；

（5）…該系統(tǒng)能支持冗余配置，具備高可靠性；

（6）…該系統(tǒng)能有效的識別移動設(shè)備是否被感染惡意軟件，并通過有效的策略保證移動設(shè)備的數(shù)據(jù)安全；

（7）…該系統(tǒng)能在移動業(yè)務(wù)辦公的環(huán)境下，保證其傳輸鏈路的可靠性；

目前各主流網(wǎng)絡(luò)廠商都提供終端準(zhǔn)入控制的產(chǎn)品和解決方案，通過對解決方案功能的詳細(xì)了解和反復(fù)測試，我們確定了終端準(zhǔn)入控制EAD（End…user…Admission…Domination，以下簡稱EAD）解決方案，最為符合當(dāng)前國內(nèi)環(huán)境下檢驗檢疫業(yè)務(wù)內(nèi)網(wǎng)的安全接入。

三、EAD終端準(zhǔn)入控制設(shè)計原理

3.1 終端準(zhǔn)入控制的實現(xiàn)過程

EAD終端準(zhǔn)入控制，將終端安全狀態(tài)與網(wǎng)絡(luò)接入控制相融合，加強了對用戶終端的集中管理，提高了終端的主動防御能力。通過智能客戶端、安全策略服務(wù)器、接入設(shè)備以及第三方服務(wù)器的聯(lián)動，可以將不符合安全要求的終端限制在“隔離區(qū)”內(nèi)，防止“危險”終端對局域網(wǎng)安全的損害，避免“易感”終端受病毒、蠕蟲的攻擊，從而大幅度提升了局域網(wǎng)抵御安全威脅的能力。

EAD解決方案對終端用戶的整體控制過程如下圖1所示。

3.2 終端準(zhǔn)入控制的原理

EAD的基本原理是通過智能客戶端（iNode客戶端）、安全聯(lián)動設(shè)備（如交換機、VPN網(wǎng)關(guān)、路由器）、安全策略服務(wù)器以及防病毒服務(wù)器、補丁服務(wù)器的聯(lián)動實現(xiàn)的，其基本原理如下圖所示：

（1）…用戶終端試圖接入網(wǎng)絡(luò)時，首先通過智能客戶端進(jìn)行用戶身份認(rèn)證，非法用戶將被拒絕接入網(wǎng)絡(luò)；

（2）…合法用戶將被要求進(jìn)行安全狀態(tài)認(rèn)證，由安全策略服務(wù)器驗證用戶終端安全狀態(tài)是否符合基于用戶帳號預(yù)定義的安全策略，包括補丁版本、病毒庫版本是否合格，軟件安裝允許是否合格、是否使用代理服務(wù)器等信息，不合格用戶將被安全聯(lián)動設(shè)備隔離到隔離區(qū)；

（3）…進(jìn)入隔離區(qū)的用戶可以進(jìn)行補丁、病毒庫的升級、卸載非法程序、取消代理設(shè)置等操作，直到安全狀態(tài)合格；endprint

（4）…安全狀態(tài)合格的用戶將實施由安全策略服務(wù)器下發(fā)的安全設(shè)置，并由安全聯(lián)動設(shè)備提供基于身份的網(wǎng)絡(luò)服務(wù)。

3.3 終端準(zhǔn)入控制的優(yōu)點

從EAD的控制過程和基本原理可以看出，EAD將終端病毒防護(hù)、補丁修復(fù)等終端安全措施與網(wǎng)絡(luò)接入控制、訪問權(quán)限控制等網(wǎng)絡(luò)安全措施整合為一個聯(lián)動的安全體系，通過對網(wǎng)絡(luò)接入終端的檢查、隔離、修復(fù)、管理和監(jiān)控，使整個網(wǎng)絡(luò)變被動防御為主動防御；變單點防御為全面防御；變分散管理為集中策略管理，提升了網(wǎng)絡(luò)對病毒、蠕蟲等新興安全威脅的整體防御能力?！?/p>

四、終端準(zhǔn)入控制在上海出入境檢驗檢疫局的應(yīng)用

4.1 選型測試過程

為了確保上海出入境檢驗檢疫局的終端準(zhǔn)入控制應(yīng)用實踐的成功，自2009年開始進(jìn)行產(chǎn)品選型工作，2010年3月份正式開始EAD解決方案的測試，測試中包括了EAD解決方案中的多個產(chǎn)品：智能管理平臺（Intelligent…Management… Center，iMC）、iMC…EAD安全策略組件（End…user…Admission…Domination）、iMC…UAM（User…Access…Manager）用戶接入管理組件、iNode…PC客戶端、iNode…DC可溶解客戶端，同時測試了iMC雙機熱備功能。

EAD解決方案的選型測試和局部部署，歷時18個月，主要包括五個階段。

第一階段：2010年3月-2010年5月，在上海出入境檢驗檢疫局信息中心網(wǎng)絡(luò)科內(nèi)部初步測試，測試內(nèi)容為iNode…DC客戶端+Portal…EAD功能測試；

第二階段：2010年6月-2010年10月，在上海出入境檢驗檢疫局信息中心全部門進(jìn)行測試，測試內(nèi)容為iNode…DC客戶端+Portal…EAD功能和iNode…PC客戶端+Portal…EAD功能測試；…

第三階段：2010年11月-2011年2月，在上海出入境檢驗檢疫局信息中心全部門進(jìn)行測試，測試內(nèi)容為iNode…PC客戶端+Cisco…802.1x…EAD功能測試；…

第四階段：2011年3月-2011年4月，在崇明出入境檢驗檢疫局進(jìn)行測試，測試內(nèi)容為iNode…PC客戶端EAD功能在分支區(qū)縣局的實際應(yīng)用情況；

第五階段：2011年5月-2011年9月，在上海局和金山、奉賢、南匯等多個區(qū)縣局實施測試；為了保證iMC服務(wù)器的穩(wěn)定性，在上海出入境檢驗檢疫局信息中心機房實施并測試了iMC…雙機熱備功能。

第六階段：2013年4月-2016年12月，在洋山局進(jìn)行即查即放無線智能終端接入測試，測試內(nèi)容為iNode…PC客戶端EAD功能在分支區(qū)縣局的無線安全接入的實際應(yīng)用情況；

第七階段：2017年2月至今，在上海局全局進(jìn)行無線安全接入部署；

4.2 選型過程中遇到的問題和解決方案

EAD解決方案在實踐過程中，存在如下問題：

（1）……EAD系統(tǒng)支持802.1x認(rèn)證和Portal認(rèn)證等；客戶端采用iNode…PC客戶端、iNode…DC可溶解客戶端不同方式，何種方式最符合上海出入境檢驗檢疫局的功能需求和現(xiàn)網(wǎng)環(huán)境？

（2）……iNode…PC智能客戶端與支持標(biāo)準(zhǔn)802.1x協(xié)議的交換機能配合使用，但部分區(qū)縣局點存在思科公司的C2950、C3550等老款接入交換機，這些交換機的802.1x的部分功能支持不完善，如只支持single-host模式，同一接入端口不允許下掛有多臺PC終端，而由于布線系統(tǒng)限制，網(wǎng)絡(luò)中恰恰有這種需求，如何解決？

（3）…對于部分PC終端，同時安裝了360安全衛(wèi)士軟件與趨勢殺毒軟件。在安裝iNode…PC智能客戶端時，趨勢殺毒軟件能夠正常識別軟件行為，認(rèn)可iNode…PC智能客戶端；但是360安全衛(wèi)士軟件誤報EAD客戶端不安全，客戶端能否正確運行？

（4）……對于網(wǎng)絡(luò)打印機等不支持802.1x認(rèn)證的設(shè)備，如何實現(xiàn)網(wǎng)絡(luò)接入并保證接入交換機端口的安全性？

針對以上問題，需要分別從技術(shù)和管理體制流程兩個層面進(jìn)行規(guī)范和解決：

（1）……通過測試，我們發(fā)現(xiàn)網(wǎng)絡(luò)中的原思科公司交換機產(chǎn)品不能配合EAD系統(tǒng)實現(xiàn)Portal認(rèn)證。而如果在網(wǎng)絡(luò)匯聚層或核心層增加配置Portal網(wǎng)關(guān)設(shè)備，則對接入終端的控制點位置太高，不利于進(jìn)行嚴(yán)格控制。同時iNode…DC可溶解客戶端由于技術(shù)限制，功能不如iNode…PC客戶端豐富，因此我們最終決定采用iNode…PC客戶端配合接入交換機802.1x認(rèn)證的認(rèn)證方式。

（2）……對于部分老款接入交換機網(wǎng)絡(luò)設(shè)備802.1x技術(shù)支持不完善的問題，通過將部分同一接入端口下確實需要連接多臺終端的接入交換機網(wǎng)絡(luò)設(shè)備進(jìn)行更換，來確保EAD解決方案的成功實施。

（3）……對于360安全衛(wèi)士軟件誤報EAD客戶端不安全的問題；從技術(shù)上，在iNode…PC客戶端的安裝包中，添加了暫時關(guān)閉360安全衛(wèi)士軟件的相關(guān)提示，待軟件安裝完全后，360安全衛(wèi)士軟件可以與iNode…PC客戶端正常共存；從管理上，信息中心將要求上海局內(nèi)終端計算機全部安裝趨勢殺毒軟件，作為終端計算機入網(wǎng)的要求形成文件下發(fā)。

（4）……為了接入網(wǎng)絡(luò)打印機等不支持802.1x認(rèn)證的設(shè)備，可以關(guān)閉接入交換機上連接該類設(shè)備的端口的802.1x認(rèn)證功能，但這會造成安全漏洞。在該端口上配置MAC地址綁定或MAC認(rèn)證功能，可以避免非法設(shè)備通過該交換機端口接入網(wǎng)絡(luò)。

4.3 容災(zāi)備份方案

通過1年多的測試，EAD解決方案能滿足上海出入境檢驗檢疫局對終端準(zhǔn)入控制的功能需求，而且也提供部分桌面管理和資產(chǎn)管理功能。

通過交換機的配合，強制用戶在接入網(wǎng)絡(luò)前通過802.1X等方式進(jìn)行身份認(rèn)證和安全狀態(tài)評估，確保只有符合安全標(biāo)準(zhǔn)的用戶接入網(wǎng)絡(luò)，實現(xiàn)了：endprint

（1）……沒有在EAD終端準(zhǔn)入控制系統(tǒng)內(nèi)注冊的PC終端，即使正確配置了IP地址，也無法連入上海出入境檢驗檢疫局內(nèi)網(wǎng)；

（2）…對于連入內(nèi)網(wǎng)的PC終端進(jìn)行合法性、安全性檢查；合法性主要檢查IP和用戶對應(yīng)關(guān)系；安全性檢查例如：檢查防病毒軟件安裝、操作系統(tǒng)補丁的安裝等。

（3）…杜絕了內(nèi)網(wǎng)中私設(shè)代理服務(wù)器的現(xiàn)象

在實踐了EAD解決方案之后，如上圖3所示，EAD服務(wù)器的備份就顯得尤其重要了，如果沒有EAD服務(wù)器的備份方案，那就存在一個可能會導(dǎo)致全網(wǎng)中斷的單點故障。

在充分的衡量了各種容災(zāi)備份方案的基礎(chǔ)上，上海局最終采用了最為穩(wěn)妥的Windows群集雙機熱備加離線逃生工具的備份方案。

如下圖4，EAD雙機熱備是采用兩臺服務(wù)器利用群集軟件實現(xiàn)服務(wù)器備份冗余的方案。iMC雙機熱備組網(wǎng)中，SQL…Server數(shù)據(jù)庫和EAD策略服務(wù)器軟件都安裝在存儲設(shè)備上，同一時間只會有一臺服務(wù)器使用共享磁盤陣列上的資源；兩臺服務(wù)器作為一個整體，對外提供一個虛IP作為服務(wù)器的IP地址；通過Windows的群集管理器軟件保持兩臺服務(wù)器之間的心跳，實時檢測EAD相關(guān)的進(jìn)程運行是否正常，當(dāng)發(fā)生故障時自動將業(yè)務(wù)切換到另一臺服務(wù)器上。

雙機熱備組網(wǎng)的優(yōu)點是能夠解決服務(wù)器本身的硬件故障。但是由于只有一套程序文件及數(shù)據(jù)存在，所以不能解決程序文件本身以及數(shù)據(jù)庫本身的軟件故障。為了解決這個問題，在部署EAD解決方案的同時，我們還部署了用戶接入逃生工具。

用戶接入逃生工具（以下簡稱為“逃生工具”）是iMC…EAD解決方案中UAM（User…Access…Manager）組件的后臺的替身。當(dāng)iMC…UAM出現(xiàn)諸如進(jìn)程宕機、數(shù)據(jù)庫異常、性能下降等故障無法處理認(rèn)證請求時，逃生工具暫時替代iMC…UAM處理請求報文以保障用戶的業(yè)務(wù)不中斷。逃生工具不驗證用戶信息與用戶口令，不做綁定、授權(quán)處理，也不啟用安全認(rèn)證，對于請求報文都直接回應(yīng)成功。如圖5。

有了雙機熱備容災(zāi)備份方案和逃生工具容災(zāi)備份方案的雙保險，EAD終端準(zhǔn)入控制解決方案在上海出入境檢驗檢疫局的運行更加穩(wěn)定，可以應(yīng)對單臺服務(wù)器故障、存儲系統(tǒng)故障、iMC程序本身的故障以及數(shù)據(jù)庫程序的故障，可以最大程度地保證系統(tǒng)運行過程中的穩(wěn)定性，確保上海出入境檢驗檢疫局業(yè)務(wù)工作正常開展。

五、結(jié)語

全新的BYOD辦公模式，讓上海局辦公人員擺脫了時間和空間的束縛。業(yè)務(wù)信息可以隨時隨地通暢地進(jìn)行交互流動，工作更加輕松有效，整體運作更加協(xié)調(diào)。有效提高了上海局業(yè)務(wù)辦公效率。在信息化飛速發(fā)展的時代，上海局將秉著持續(xù)探索、勇于創(chuàng)新的原則，不斷完善單位的信息化建設(shè)。信息技術(shù)已經(jīng)成為支持檢驗檢疫業(yè)務(wù)的主要技術(shù)手段，在推進(jìn)檢驗檢疫信息化建設(shè)的過程中，如何不斷應(yīng)對層出不窮的各類威脅、有效地管理和控制信息安全風(fēng)險是檢驗檢疫在信息安全管理上的重中之重，在構(gòu)成信息系統(tǒng)的網(wǎng)絡(luò)、服務(wù)器和終端這三大要素中，針對和利用終端計算機實施的攻擊急劇增多，終端安全問題日益凸顯，EAD解決方案從終端計算機這一源頭加強管理，提高終端計算機、智能無線設(shè)備的規(guī)避安全風(fēng)險的能力，幫助掌握全網(wǎng)終端智能設(shè)備的安全狀況，為檢驗檢疫業(yè)務(wù)信息化建設(shè)過程中的安全性管控進(jìn)一步加固了基石。利用EAD的安全管理功能模塊，實現(xiàn)對安裝軟件、網(wǎng)絡(luò)流量、外設(shè)USB接口應(yīng)用等進(jìn)行全面安全管理進(jìn)而實現(xiàn)對終端的安全管控，在網(wǎng)絡(luò)層面進(jìn)行訪問控制風(fēng)險識別和分析，并通過信息安全管理和技術(shù)這兩個領(lǐng)域進(jìn)行全面的風(fēng)險控制，提高終端計算機規(guī)避安全風(fēng)險的能力，幫助掌握全網(wǎng)終端計算機的安全狀況，確保入網(wǎng)終端處于可管、可控、可靠、安全的狀態(tài)。EAD解決方案在上海局的成功應(yīng)用開創(chuàng)了國內(nèi)檢驗檢疫信息化安全接入控制管理的先河，對行政效率和公共服務(wù)水平的提升提供有力的保障。

參 考 文 獻(xiàn)

[1]…RFC…2865：Remote…Authentication…Dial…In…User…Service…（RADIUS）

[2]…GB/T…20984-2007，…信息安全技術(shù)…信息安全風(fēng)險評估規(guī)范

[3]…Kadrich，…M.S.…終端安全，電子工業(yè)出版社，2009-5-1

[4]…王宇杰，，王鋒，…楊文賓，計算機網(wǎng)絡(luò)訪問控制技術(shù)研究，…現(xiàn)代計算機（專業(yè)版）2010年7期

[5]…杭州華三通信技術(shù)有限公司：EAD技術(shù)白皮書endprint