馮軍亮，李紅倩

（1.國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心，天津 300457；2.天津物產(chǎn)能源資源發(fā)展有限公司，天津 300074）

1 總體架構(gòu)設(shè)計(jì)

BYOD的安全接入控制，是當(dāng)前政府和企業(yè)非常關(guān)注的課題，本論文通過深入的分析和研究提供了一個(gè)較為完整BYOD無線安全接入控制的技術(shù)結(jié)構(gòu)。該架構(gòu)綜合運(yùn)用當(dāng)前的安全防護(hù)手段綜合保障信息系統(tǒng)的安全。[2]

1.1 總體架構(gòu)設(shè)計(jì)

1.1.1 功能模塊層

（1）接入策略：在該功能模塊中支持對(duì)所有接入的BYOD進(jìn)行合法性和合規(guī)性檢查的策略，提供統(tǒng)一策略庫的合規(guī)化管理體系，提供有客戶端模式和無客戶端模式兩種準(zhǔn)入模式，支持使用802.1X、DHCP、SNMP、ARP等多種單一準(zhǔn)入技術(shù)和多技術(shù)混合使用。[4]

（2）用戶管理：在該功能模塊中系統(tǒng)提供強(qiáng)大的入網(wǎng)BYOD的管理功能，通過提供可視化、實(shí)名化的終端管理，向管理員提供全方位視角的終端入網(wǎng)管理；[5]

（3）安全監(jiān)測(cè)：在該功能模塊中主要實(shí)現(xiàn)以下威脅行為的檢測(cè)：非法聯(lián)入、病毒傳播、網(wǎng)絡(luò)攻擊；

（4）違規(guī)管理：本論文主要針對(duì)非法聯(lián)入、病毒傳播、以及黑客的攻擊行為進(jìn)行監(jiān)測(cè)，同樣在進(jìn)行違規(guī)管理時(shí)主要針對(duì)非法聯(lián)入、病毒傳播、黑客攻擊以及系統(tǒng)自身使用的違規(guī)管理；

（5）系統(tǒng)管理：安全系統(tǒng)自身也有一套完整的管理機(jī)制，包括自身的配置管理、任務(wù)管理、策略管理、日志管理等等方面，這些和通常的系統(tǒng)沒有太大的區(qū)別，這里就不再詳細(xì)介紹；

（6）日志審計(jì)：日志審計(jì)是安全設(shè)備一項(xiàng)非常重要的功能，對(duì)于該系統(tǒng)來講日志的主要內(nèi)容包括：BYOD設(shè)備接入的日志、違規(guī)處理的日志、聯(lián)動(dòng)設(shè)備推送的日志、以及設(shè)備自身管理的日志。[6]

1.1.2 應(yīng)用支撐層

本系統(tǒng)的實(shí)現(xiàn)離不開以下幾種關(guān)鍵服務(wù)的支撐，例如DHCP、認(rèn)證管理等。

1.1.3 數(shù)據(jù)存儲(chǔ)層

（1）安全策略：該系統(tǒng)的安全策略采用統(tǒng)一管理的方式，安全策略包括安全接入策略、違規(guī)管理策略等；

（2）日志：BYOD設(shè)備接入的日志、違規(guī)處理的日志、聯(lián)動(dòng)設(shè)備推送的日志、以及設(shè)備自身管理的日志。[7]

2 BYOD安全接入控制技術(shù)研究

本論文關(guān)鍵技術(shù)涉及兩個(gè)方面：（1）BYOD設(shè)備識(shí)別技術(shù)：基于掃描技術(shù)的接入監(jiān)測(cè)技術(shù)、基于SNMP陷阱技術(shù)的接入檢測(cè)技術(shù)；（2）BYOD接入阻斷技術(shù)：基于旁路技術(shù)的網(wǎng)絡(luò)阻斷技術(shù)、基于SNMP的動(dòng)態(tài)安全策略調(diào)整技術(shù)。[8]

2.1 網(wǎng)絡(luò)掃描技術(shù)

網(wǎng)絡(luò)掃描技術(shù)就是通過實(shí)時(shí)地對(duì)網(wǎng)絡(luò)進(jìn)行掃描，一方面能夠及時(shí)地發(fā)現(xiàn)在線的網(wǎng)絡(luò)設(shè)備和終端的在線情況，便于網(wǎng)絡(luò)的管理，特別是有利于系統(tǒng)的資產(chǎn)管理；另一方面通過網(wǎng)絡(luò)掃描，安全接入系統(tǒng)接受來自各個(gè)網(wǎng)絡(luò)設(shè)備、服務(wù)器以及終端的回復(fù)的數(shù)據(jù)報(bào)文，這些報(bào)文里面也包含了終端的一些指紋信息，這些信息和MAC信息進(jìn)行結(jié)合形成指紋特征。

2.2 SNMP陷阱技術(shù)

SNMP陷阱技術(shù)的BYOD接入監(jiān)測(cè)機(jī)制，它包括三個(gè)方面：應(yīng)用層協(xié)議、數(shù)據(jù)庫模型和一組資源對(duì)象。SNMP協(xié)議主要用來進(jìn)行網(wǎng)絡(luò)的管理，利用該協(xié)議設(shè)備管理系統(tǒng)可以檢測(cè)到網(wǎng)絡(luò)中設(shè)備的各種情況，最主要的是網(wǎng)絡(luò)聯(lián)通情況。[11]

2.3 BYOD接入阻斷技術(shù)

（1）基于旁路技術(shù)的網(wǎng)絡(luò)阻斷技術(shù)：即采用并聯(lián)的方式部署在網(wǎng)絡(luò)中，例如接在核心交換機(jī)上，因此在進(jìn)行阻斷的方式采用旁路技術(shù)進(jìn)行阻斷，這種方式主要采用協(xié)議阻斷的方式，對(duì)內(nèi)容進(jìn)行阻斷。這種方式的優(yōu)點(diǎn)是部署簡(jiǎn)單，不影響原有的網(wǎng)絡(luò)結(jié)構(gòu)。

（2）基于SNMP的動(dòng)態(tài)安全策略調(diào)整技術(shù)：即根據(jù)系統(tǒng)監(jiān)測(cè)的結(jié)果下發(fā)安全管理策略，SNMP服務(wù)器按照策略的要求將策略發(fā)送到核心交換機(jī)對(duì)接入的BYOD進(jìn)行網(wǎng)絡(luò)策略的劃分，從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的動(dòng)態(tài)安全策略的調(diào)整。[12]

本論文通過BYOD設(shè)備識(shí)別技術(shù)和接入阻斷技術(shù)相互配合，最終實(shí)現(xiàn)對(duì)BYOD安全接入控制。

3 結(jié)束語

本文在針對(duì)當(dāng)前BYOD設(shè)備在安全接入方面存在的安全漏洞進(jìn)行深入的研究，通過對(duì)問題的深入研究和現(xiàn)場(chǎng)調(diào)研，提出了一套較為完善的BYOD的安全接入方案和系統(tǒng)原型，通過系統(tǒng)的應(yīng)用可以幫助組織完善自身的信息安全防護(hù)體系。