葉水勇

（國(guó)網(wǎng)黃山供電公司，安徽 黃山 245000）

0 引言

近年來(lái)，黑客技術(shù)的發(fā)展使得處在計(jì)算機(jī)信息系統(tǒng)環(huán)境下的企業(yè)和人們愈加缺乏安全感，越來(lái)越多的安全問(wèn)題來(lái)自于企業(yè)或機(jī)構(gòu)內(nèi)部的終端系統(tǒng)［1-2］。人們逐漸意識(shí)到，在應(yīng)對(duì)目前網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅時(shí)，不僅需要自頂向下的網(wǎng)絡(luò)安全體系設(shè)計(jì)，還需要自底向上保證計(jì)算機(jī)終端及計(jì)算機(jī)網(wǎng)絡(luò)的安全可信，使得網(wǎng)絡(luò)成為一個(gè)可信的應(yīng)用環(huán)境。這其中包括在終端接入前對(duì)用戶身份進(jìn)行認(rèn)證，對(duì)終端進(jìn)行安全測(cè)量和評(píng)估，對(duì)終端可信狀態(tài)進(jìn)行審核，確保接入信息系統(tǒng)的終端是一個(gè)完全可信的終端。在新技術(shù)不斷涌現(xiàn)的背景下，如何在不同的網(wǎng)絡(luò)環(huán)境、應(yīng)用環(huán)境以及業(yè)務(wù)環(huán)境的基礎(chǔ)上營(yíng)造信息系統(tǒng)的可信環(huán)境空間，是每一個(gè)信息安全從業(yè)者亟待考慮的問(wèn)題。

針對(duì)存在黑客從網(wǎng)絡(luò)底層進(jìn)行最直接、方便快捷攻擊的問(wèn)題，公司根據(jù)自身網(wǎng)絡(luò)運(yùn)行狀況，開(kāi)展網(wǎng)絡(luò)接入控制技術(shù)（Network Access Control，簡(jiǎn)稱NAC）的研究，以實(shí)現(xiàn)對(duì)終端設(shè)備接入的全過(guò)程安全管控。本文以北信源網(wǎng)絡(luò)接入控制系統(tǒng)為例進(jìn)行闡述。

1 系統(tǒng)原理

基于終端可信接入一站式解決方案，是北信源公司 “VRV SpecSEC面向網(wǎng)絡(luò)空間的終端安全管理體系”的重要組成部分［3-4］。系統(tǒng)原理如圖1所示，主要包括北信源網(wǎng)絡(luò)接入控制系統(tǒng)和網(wǎng)絡(luò)接入控制模型兩部分。其中網(wǎng)絡(luò)接入控制模型包括身份認(rèn)證、完整性測(cè)量、完整性評(píng)估、網(wǎng)絡(luò)訪問(wèn)控制。

北信源網(wǎng)絡(luò)接入控制系統(tǒng)主要用于解決不可信終端的隨意接入可能帶來(lái)的企業(yè)網(wǎng)絡(luò)及信息資源違規(guī)占用、病毒木馬泛濫、企業(yè)資料泄密以及越權(quán)訪問(wèn)等諸多安全問(wèn)題。這些不可信終端包括企業(yè)內(nèi)部存在風(fēng)險(xiǎn)漏洞的終端 （例如未安裝殺毒軟件、未安裝關(guān)鍵補(bǔ)?。┐嬖诓话踩呗耘渲玫慕K端、未經(jīng)身份授權(quán)的終端、外來(lái)未經(jīng)訪問(wèn)許可的終端、越權(quán)訪問(wèn)的終端［5-6］等。

圖1 系統(tǒng)原理圖

網(wǎng)絡(luò)接入控制系統(tǒng)采用軟硬件結(jié)合的方式，以終端驗(yàn)證和終端安全為基礎(chǔ)，通過(guò)身份認(rèn)證以及安全域控制等手段，從根本上保證接入網(wǎng)絡(luò)終端的可信程度，并控制可信計(jì)算機(jī)的訪問(wèn)權(quán)限，為企業(yè)的終端入網(wǎng)安全管理提供強(qiáng)有力的保障，降低來(lái)自于企業(yè)內(nèi)部的信息安全風(fēng)險(xiǎn)。

2 核心技術(shù)

2.1 重定向技術(shù)

接入控制的目的是為了阻止不可信終端隨意接入網(wǎng)絡(luò)，對(duì)于不可信終端的判定需要一個(gè)過(guò)程。如何在判定過(guò)程中進(jìn)行良好的提示，這就對(duì)產(chǎn)品的人機(jī)界面設(shè)計(jì)提出了較高的要求。業(yè)界通常的做法是針對(duì)http性質(zhì)的業(yè)務(wù)訪問(wèn)進(jìn)行重定向，以往針對(duì)http的業(yè)務(wù)區(qū)分主要基于業(yè)務(wù)端口（主要為80端口），對(duì)于非80業(yè)務(wù)端口的http業(yè)務(wù)不能有效區(qū)分。針對(duì)以上情況，該網(wǎng)絡(luò)接入控制系統(tǒng)對(duì)http業(yè)務(wù)進(jìn)行了深度識(shí)別，除80端口的http業(yè)務(wù)可以進(jìn)行有效重定向之外，針對(duì)非80端口的http業(yè)務(wù)也能進(jìn)行有效的識(shí)別和重定向［7-8］。

2.2 身份認(rèn)證技術(shù)

身份認(rèn)證是終端可信認(rèn)證的一個(gè)重要環(huán)節(jié)，隨著信息安全技術(shù)的不斷發(fā)展，對(duì)身份認(rèn)證的安全可靠特性也提出了更高的要求［9-10］。身份認(rèn)證最重要的部分是防偽造、防抵賴，因此身份認(rèn)證技術(shù)也從最初簡(jiǎn)單的用戶名／口令，逐漸發(fā)展到證書(shū)、生物技術(shù)、動(dòng)態(tài)密碼以及多因素認(rèn)證，防止一切可能偽造和抵賴的因素。

為滿足不同安全程度的身份認(rèn)證需求，也為了適應(yīng)客戶網(wǎng)絡(luò)環(huán)境中可能已經(jīng)存在的身份存儲(chǔ)和認(rèn)證方式，該網(wǎng)絡(luò)接入控制系統(tǒng)針對(duì)各種主流身份認(rèn)證技術(shù)進(jìn)行了符合性開(kāi)發(fā)，為各種主流身份認(rèn)證技術(shù)提供了認(rèn)證接口，可以滿足當(dāng)前技術(shù)下大部分認(rèn)證系統(tǒng)的需求。

2.3 安檢修復(fù)技術(shù)

除身份認(rèn)證外，安檢修復(fù)也是針對(duì)終端可信認(rèn)證的重要環(huán)節(jié)，據(jù)權(quán)威機(jī)構(gòu)研究證明，80%的信息泄密來(lái)自于企業(yè)或機(jī)構(gòu)的內(nèi)部計(jì)算機(jī)終端。由于大部分企業(yè)計(jì)算機(jī)終端的使用人員安全意識(shí)薄弱且非計(jì)算機(jī)專業(yè)人員，對(duì)于計(jì)算機(jī)自主安全防護(hù)的能力存在一定欠缺，因此造成了很大的泄密隱患［11-12］。

內(nèi)部終端被動(dòng)泄密通常是因?yàn)榻K端的安全策略配置不夠嚴(yán)謹(jǐn)（例如guest賬戶開(kāi)啟、弱口令設(shè)置以及不正常的注冊(cè)表鍵值等），或者計(jì)算機(jī)本身存在安全漏洞（例如關(guān)鍵補(bǔ)丁未安裝、殺毒軟件未安裝或者病毒庫(kù)過(guò)期）等造成的［13-14］。針對(duì)此類(lèi)情況，該網(wǎng)絡(luò)接入控制系統(tǒng)采用主動(dòng)探測(cè)和一鍵修復(fù)技術(shù)，對(duì)入網(wǎng)計(jì)算機(jī)終端的安全測(cè)試進(jìn)行檢查和評(píng)分，對(duì)存在安全隱患的計(jì)算機(jī)終端強(qiáng)制禁止入網(wǎng)，并提供一鍵策略修復(fù)技術(shù)，解決終端可能存在的不安全隱患，從而實(shí)現(xiàn)全網(wǎng)終端的統(tǒng)一安全管理。

3 部署方式

北信源網(wǎng)絡(luò)接入控制系統(tǒng)能夠適應(yīng)多種不同的網(wǎng)絡(luò)拓?fù)洵h(huán)境，具體有兩種典型的部署模式：一種為多種模式混合的總分部部署模式，另一種為雙星拓?fù)浯尤哂嗖渴鹉Ｊ?。系統(tǒng)實(shí)施兩種典型的總體部署如圖2所示。

圖2 系統(tǒng)實(shí)施總體部署圖

電力公司主要通過(guò)旁路模式進(jìn)行部署，這樣的部署方式不會(huì)影響現(xiàn)行網(wǎng)絡(luò)的使用。系統(tǒng)旁路部署方式如圖3所示。

圖3 系統(tǒng)旁路部署方式圖

3.1 服務(wù)器部署

將策略文件VRVAuthorizeFile.xml替換到桌面終端標(biāo)準(zhǔn)化管理系統(tǒng)安裝目錄的VRV／VRVEIS／VRVAuthorizeFile的路徑下。確認(rèn)桌面終端標(biāo)準(zhǔn)化管理平臺(tái)中已存在 “網(wǎng)關(guān)接入認(rèn)證配置”“接入認(rèn)證策略”“終端健康體檢”策略選項(xiàng)。

3.2 認(rèn)證客戶端部署

提前在桌面系統(tǒng)管理平臺(tái)上通過(guò)普通文件分發(fā)策略，將網(wǎng)關(guān)認(rèn)證客戶端分發(fā)到每一個(gè)已注冊(cè)的計(jì)算機(jī)終端，升級(jí)已注冊(cè)終端。準(zhǔn)入網(wǎng)關(guān)部署過(guò)程中停止普通文件分發(fā)策略，同時(shí)把策略文件打包到注冊(cè)程序中。

3.3 準(zhǔn)入網(wǎng)關(guān)部署

在核心交換機(jī)上做鏡像配置，將連接匯聚層所使用的端口作為源端口鏡像到一個(gè)端口上，并將該端口與準(zhǔn)入網(wǎng)關(guān)使用的鏡像端口連接［15］。在交換機(jī)上選取一個(gè)端口保證其與所有源端口通信，并與準(zhǔn)入網(wǎng)關(guān)的干擾口連接。

3.4 EDP服務(wù)器系統(tǒng)配置

登陸桌面系統(tǒng)管理平臺(tái)，依次選擇“策略中心-安全準(zhǔn)入管理-網(wǎng)關(guān)接入認(rèn)證配置”中創(chuàng)建新規(guī)則，按照紅色區(qū)域的描述進(jìn)行配置。配置完成后將策略保存即可。

4 系統(tǒng)的創(chuàng)新點(diǎn)

4.1 豐富的部署模式適應(yīng)性強(qiáng)

采用獨(dú)立硬件設(shè)計(jì)，支持多種部署模式，可以適應(yīng)不同的網(wǎng)絡(luò)拓?fù)洵h(huán)境。優(yōu)先采用旁路準(zhǔn)入控制部署模式，根據(jù)交換機(jī)的支持情況可以選擇策略路由控制模式和旁路鏡像控制模式，在既不支持策略路由也不支持旁路鏡像的拓?fù)淝闆r下，可以采用透明網(wǎng)橋串接模式進(jìn)行控制。對(duì)于無(wú)線、路由、HUB以及非網(wǎng)管型交換機(jī)的拓?fù)洵h(huán)境，可以支持NAT穿透和局域網(wǎng)互訪訪問(wèn)控制。豐富的部署模式對(duì)于不同客戶的網(wǎng)絡(luò)環(huán)境適應(yīng)性非常強(qiáng)，可以將準(zhǔn)入控制部署到網(wǎng)絡(luò)的每一個(gè)角落，徹底解決不可信終端接入網(wǎng)絡(luò)的隱患。

4.2 流程化入網(wǎng)規(guī)范統(tǒng)一性強(qiáng)

采用 “注冊(cè)-身份認(rèn)證-安全檢查-安全隔離／入網(wǎng)”統(tǒng)一規(guī)范的入網(wǎng)流程，無(wú)論采用何種準(zhǔn)入控制機(jī)制，都不改變系統(tǒng)的入網(wǎng)流程。當(dāng)客戶網(wǎng)絡(luò)出現(xiàn)擴(kuò)容、改造的時(shí)候，采用不同的部署模式不會(huì)影響用戶終端的入網(wǎng)習(xí)慣。尤其是采用標(biāo)準(zhǔn)的入網(wǎng)規(guī)范，可以從根本上解決終端身份的可信認(rèn)證、終端用戶的可信認(rèn)證以及終端安全層面可信認(rèn)證的問(wèn)題，通過(guò)統(tǒng)一入網(wǎng)規(guī)范，杜絕來(lái)自內(nèi)部的信息泄密。

4.3 人性化入網(wǎng)提醒可用性強(qiáng)

網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)在終端注冊(cè)、終端身份認(rèn)證、終端安全檢查、安全隔離以及來(lái)賓入網(wǎng)的時(shí)候都進(jìn)行人性化提示。避免了終端用戶在入網(wǎng)被阻斷后無(wú)法確定原因的尷尬，同時(shí)通過(guò)入網(wǎng)提示普及計(jì)算機(jī)信息安全知識(shí)，讓終端用戶意識(shí)到安全入網(wǎng)的重要性。

4.4 基于角色訪問(wèn)控制力強(qiáng)

可以實(shí)現(xiàn)基于角色的訪問(wèn)控制，為不同的角色劃分不同的安全訪問(wèn)控制域。將所有用戶分為企業(yè)內(nèi)部員工和來(lái)賓，針對(duì)來(lái)賓設(shè)特定的訪問(wèn)控制權(quán)限，同時(shí)對(duì)于入網(wǎng)安檢不合格的用戶隔離特殊權(quán)限的控制域。實(shí)現(xiàn)不同部門(mén)不同員工權(quán)限區(qū)分管理、來(lái)賓用戶權(quán)限定制以及不安全終端的安全修復(fù)隔離權(quán)限控制，具備非常強(qiáng)大的控制力度。

4.5 來(lái)賓自助入網(wǎng)操作性強(qiáng)

針對(duì)來(lái)賓用戶，提供了便捷的入網(wǎng)途徑，來(lái)賓用戶只需提供自己的身份以及接待人員的信息，便可以快捷地接入網(wǎng)絡(luò)。來(lái)賓的網(wǎng)絡(luò)權(quán)限會(huì)受到一定的限制，系統(tǒng)支持針對(duì)不同的需求制定不同的來(lái)賓用戶信息填寫(xiě)要求及來(lái)賓用戶訪問(wèn)控制權(quán)限，以避免未知的安全隱患。來(lái)賓用戶可以通過(guò)自助查詢等方式獲取上網(wǎng)碼接入網(wǎng)絡(luò)，授權(quán)管理員可以根據(jù)來(lái)賓的性質(zhì)有針對(duì)性地授予來(lái)賓用戶上網(wǎng)權(quán)限的生命周期，對(duì)來(lái)賓入網(wǎng)實(shí)現(xiàn)可知、可控、可記錄的管理要求。

5 結(jié)語(yǔ)

通過(guò)網(wǎng)絡(luò)接入控制系統(tǒng)的實(shí)施，實(shí)現(xiàn)公司全網(wǎng)內(nèi)的終端入網(wǎng)設(shè)備的安全檢查認(rèn)證，認(rèn)證未通過(guò)的設(shè)備禁止訪問(wèn)網(wǎng)絡(luò)；實(shí)現(xiàn)公司全網(wǎng)內(nèi)的終端入網(wǎng)設(shè)備的訪問(wèn)權(quán)限管理；實(shí)現(xiàn)公司全網(wǎng)內(nèi)的終端入網(wǎng)設(shè)備上網(wǎng)行為的審計(jì)；實(shí)現(xiàn)公司全網(wǎng)內(nèi)的終端入網(wǎng)安全及網(wǎng)絡(luò)的完整性；實(shí)現(xiàn)公司全網(wǎng)內(nèi)的終端日常辦公環(huán)境的網(wǎng)絡(luò)接入授權(quán)問(wèn)題并對(duì)目前構(gòu)架進(jìn)行加固和優(yōu)化。