天津 宋亞錚

近年來(lái)銀行業(yè)數(shù)據(jù)泄露、遭受攻擊案件頻發(fā)，信息安全已呈現(xiàn)出新的發(fā)展趨勢(shì)，安全戰(zhàn)場(chǎng)已經(jīng)逐步由核心與主干的防護(hù)，轉(zhuǎn)向網(wǎng)絡(luò)邊緣的每一臺(tái)計(jì)算機(jī)，如何有效保護(hù)計(jì)算機(jī)自身系統(tǒng)及存儲(chǔ)信息的安全性，已成為當(dāng)前信息安全迫在眉睫的問(wèn)題。

防火墻、入侵檢測(cè)、防毒軟件等信息安全類(lèi)產(chǎn)品所提供的安全防護(hù)功能只是一種“隔離式”安全手段，無(wú)視內(nèi)部漏洞和安全管理不規(guī)范，可以保持90%時(shí)間的表象正常，但10%的風(fēng)險(xiǎn)就足以造成200%的損失，這就是典型的“亞安全”現(xiàn)象。

問(wèn)題現(xiàn)狀

隨著IT 技術(shù)的快速發(fā)展，各類(lèi)終端和網(wǎng)絡(luò)接入設(shè)備日趨復(fù)雜多樣，企業(yè)面臨無(wú)法確定現(xiàn)在網(wǎng)絡(luò)中有多少各種設(shè)備、終端，是什么種類(lèi)；無(wú)法確定入網(wǎng)終端的安全狀況、合法性；無(wú)法確定此時(shí)有哪些人員入網(wǎng)訪問(wèn)，訪問(wèn)了何種資源；機(jī)構(gòu)的安全規(guī)范無(wú)法得到有效遵從；私接hub 及無(wú)線路由器無(wú)法進(jìn)行有效的管理；無(wú)法迅速安全定位到終端設(shè)備和使用者等諸多現(xiàn)實(shí)問(wèn)題。

筆者單位的開(kāi)發(fā)測(cè)試區(qū)域主要為外包人員提供日常開(kāi)發(fā)、測(cè)試環(huán)境，同樣面臨上述一些問(wèn)題現(xiàn)象。

改善計(jì)劃和目標(biāo)

為進(jìn)一步加強(qiáng)對(duì)行外包人員及開(kāi)發(fā)測(cè)試環(huán)境的規(guī)范化管理，防范源代碼、客戶(hù)信息等重要信息資產(chǎn)泄露的風(fēng)險(xiǎn)，單位計(jì)劃通過(guò)實(shí)施網(wǎng)絡(luò)準(zhǔn)入控制、桌面安全管理等項(xiàng)目，在信息數(shù)據(jù)的使用安全性、終端主機(jī)防護(hù)的合理性、移動(dòng)介質(zhì)管理的規(guī)范性、監(jiān)測(cè)與審計(jì)的有效性等方面對(duì)計(jì)算機(jī)實(shí)行全面管控，最終建立起“事前預(yù)防、事中管理、事后追溯”的信息安全技術(shù)管理體系，功能上實(shí)現(xiàn)以下目標(biāo)：

1.測(cè)試開(kāi)發(fā)區(qū)域的終端PC 全部進(jìn)行標(biāo)準(zhǔn)化配置，只有安裝網(wǎng)絡(luò)準(zhǔn)入組件后才能登錄測(cè)試開(kāi)發(fā)區(qū)域網(wǎng)絡(luò)環(huán)境，并通過(guò)準(zhǔn)入系統(tǒng)進(jìn)行身份認(rèn)證、安全檢查和授權(quán)訪問(wèn)，達(dá)到全生命周期的入網(wǎng)審計(jì)，如圖1 所示。

圖1 全生命周期的入網(wǎng)審計(jì)

2.通過(guò)終端安全管理系統(tǒng)對(duì)測(cè)試開(kāi)發(fā)區(qū)域的終端PC進(jìn)行標(biāo)準(zhǔn)化管控，主要包括硬軟件使用控制、可信移動(dòng)介質(zhì)管理、行為預(yù)警及審計(jì)等內(nèi)容?？蓪?shí)現(xiàn)管控操作系統(tǒng)網(wǎng)絡(luò)及主機(jī)配置信息，控制外設(shè)端口使用，禁止修改IP 和MAC 地址，禁止非法軟件運(yùn)行，禁止無(wú)線網(wǎng)卡非法外聯(lián)，禁止非授權(quán)移動(dòng)存儲(chǔ)介質(zhì)使用，統(tǒng)一監(jiān)控配置變化及后期審計(jì)等實(shí)施效果。

3.測(cè)試開(kāi)發(fā)區(qū)域的終端PC 只有通過(guò)登錄運(yùn)維審計(jì)系統(tǒng)（堡壘機(jī)）后才能進(jìn)入測(cè)試開(kāi)發(fā)服務(wù)器進(jìn)行相關(guān)系統(tǒng)的開(kāi)發(fā)、運(yùn)維操作，且全程操作進(jìn)行記錄，便于后期審計(jì)，如圖2 所示。

圖2 部署測(cè)試開(kāi)發(fā)區(qū)堡壘機(jī)

經(jīng)驗(yàn)和技術(shù)

項(xiàng)目實(shí)施過(guò)程中，我們重點(diǎn)對(duì)采取哪種準(zhǔn)入控制技術(shù)更適合我們的自身的需求進(jìn)行了分析和測(cè)試。

所謂網(wǎng)絡(luò)準(zhǔn)入控制，即當(dāng)終端接入網(wǎng)絡(luò)時(shí)，首先由終端設(shè)備和網(wǎng)絡(luò)接入設(shè)備（如交換機(jī)、無(wú)線AP、VPN 等）進(jìn)行交互通訊。然后，網(wǎng)絡(luò)接入設(shè)備將終端信息發(fā)給策略/AAA 服務(wù)器對(duì)接入終端和終端使用者進(jìn)行檢查。當(dāng)終端及使用者符合策略/AAA 服務(wù)器上定義的策略后，策略/AAA 服務(wù)器會(huì)通知網(wǎng)絡(luò)接入設(shè)備，對(duì)終端進(jìn)行授權(quán)和訪問(wèn)控制。

筆者單位結(jié)合自身的網(wǎng)絡(luò)架構(gòu)及交換機(jī)的功能配置情況，并根據(jù)廠商的實(shí)施經(jīng)驗(yàn)和部署建議對(duì)策略路由模式PBR(Policy-Based-Routing)和 MVG(Multi-Vendor Gateway)模式分別進(jìn)行了測(cè)試，并對(duì)實(shí)際管控效果進(jìn)行了對(duì)比。

1.CNAC 旁路部署，采用策略路由PBR（Policy-Based-Routing）模式，如圖3所示。

經(jīng)測(cè)試，策略路由模式管控的細(xì)粒度有所不足：首先同一交換機(jī)之間終端互訪沒(méi)法控制，其次同一VLAN 下的終端互訪不受限制。也就是說(shuō)，拋開(kāi)管理制度的約束，外包公司和合作公司人員有可能繞過(guò)準(zhǔn)入控制，訪問(wèn)其它終端在本地存放的文件和在線資源，導(dǎo)致文件還是可能被外泄，不能徹底解決非法外聯(lián)的問(wèn)題。

2.CNAC 旁路部署，采用 MVG（Multi-Vendor Gateway）模式，如圖4 所示。

實(shí)現(xiàn)原理

CNAC 準(zhǔn)入設(shè)備通過(guò)對(duì)新接入終端所在的端口進(jìn)行VLAN 切換的操作，將不符合要求的終端切換到隔離VLAN，只有符合安全規(guī)范要求之后，才會(huì)將其切換到正常VLAN，從而到達(dá)準(zhǔn)入控制的效果。

準(zhǔn)入控制流程

圖3 CNAC 旁路部署策略路由PBR 模式

圖4 CNAC 旁路部署采用MVG 模式

1.終端接入網(wǎng)絡(luò)，CNAC會(huì)將其所在交換機(jī)的端口切換到隔離VLAN，打開(kāi)任何瀏覽器頁(yè)面，都會(huì)重定向到指定的頁(yè)面，進(jìn)行人員身份信息、部門(mén)信息的登記，并提交管理員進(jìn)行審核。

2.系統(tǒng)管理員在后臺(tái)收到終端的注冊(cè)信息之后，對(duì)其進(jìn)行批準(zhǔn)審核，此時(shí)，該終端才能接入網(wǎng)絡(luò)，否則該終端在網(wǎng)絡(luò)中處于隔離狀態(tài)。

3.管理員批準(zhǔn)審核之后，終端能夠接入網(wǎng)絡(luò)當(dāng)中，無(wú)需再次入網(wǎng)注冊(cè)審核。

準(zhǔn)入控制效果

經(jīng)測(cè)試，采用該模式不僅策略路由模式下的準(zhǔn)入控制效果都能實(shí)現(xiàn)，而且同時(shí)能夠?qū)θW(wǎng)交換機(jī)進(jìn)行管理。CNAC 能夠呈現(xiàn)出每一個(gè)交換機(jī)的面板信息：端口狀態(tài)、端口下IP/MAC 信息、VLAN、使用人信息、部門(mén)等等，實(shí)現(xiàn)了到精確到端口級(jí)別的準(zhǔn)入控制管理，支持HUB、NAT 環(huán)境的準(zhǔn)入；實(shí)現(xiàn)完全基于MAC的準(zhǔn)入控制，較好地達(dá)到了入網(wǎng)管控效果。

環(huán)境要求

1.需要網(wǎng)絡(luò)為全二層架構(gòu)，交換機(jī)之間通過(guò)trunk連接，沒(méi)有使用三層路由協(xié)議。

2.需要所有交換機(jī)可網(wǎng)管，支持SNMP、Telnet 和SSH 等其中一種遠(yuǎn)程登錄方式。

3.現(xiàn)在使用中的VLAN 不能是VLAN1，并針對(duì)每個(gè)VLAN對(duì)應(yīng)配置一個(gè)隔離VLAN。

4.在現(xiàn)有交換機(jī)的trunk 接口上，配置放行隔離VLAN。

5.與準(zhǔn)入設(shè)備直連的交換機(jī)需要三個(gè)接口，其中一個(gè)是管理地址口，另外兩個(gè)配置為trunk 口。

項(xiàng)目總結(jié)

通過(guò)網(wǎng)絡(luò)準(zhǔn)入控制、終端安全管理及運(yùn)維審計(jì)系統(tǒng)3 道防線，構(gòu)建了安全的終端開(kāi)發(fā)測(cè)試環(huán)境，達(dá)到了對(duì)開(kāi)發(fā)測(cè)試區(qū)域規(guī)范化管理、嚴(yán)格控制訪問(wèn)權(quán)限的計(jì)劃目標(biāo)。

但技術(shù)方式只是實(shí)現(xiàn)目標(biāo)的一種手段，企業(yè)的信息安全還需要結(jié)合管理制度、員工安全意識(shí)培訓(xùn)等多方面進(jìn)行加強(qiáng)，才能將防范和降低安全風(fēng)險(xiǎn)落到實(shí)處。