徐雷

摘要：隨著計(jì)算機(jī)和通訊技術(shù)的高速發(fā)展，網(wǎng)絡(luò)的開(kāi)放性、互連性、共享性程度的擴(kuò)大，工作越來(lái)越依賴信息和網(wǎng)絡(luò)技術(shù)來(lái)支持。但隨之而來(lái)的威脅也越來(lái)越多，而想只依賴安全產(chǎn)品硬件軟件就想解決所有的安全問(wèn)題是不現(xiàn)實(shí)的，安全和管理是密不可分的缺一不可，需要從網(wǎng)絡(luò)建設(shè)初期就考慮安全，運(yùn)行為維護(hù)管理的過(guò)程尤其重要，其中層次化安全管理和保障合法的身份驗(yàn)證和訪問(wèn)授權(quán)是最基本的安全管理辦法。

關(guān)鍵詞：用戶管理；內(nèi)網(wǎng)安全；訪問(wèn)控制；RADIUS

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2016）17-0041-04

1 安徽日?qǐng)?bào)集團(tuán)大廈基礎(chǔ)網(wǎng)絡(luò)布局和用戶結(jié)構(gòu)

1.1網(wǎng)路基礎(chǔ)布局

報(bào)業(yè)大廈的信息網(wǎng)絡(luò)系統(tǒng)包含以下幾種網(wǎng)絡(luò)設(shè)備：

1）對(duì)外出口的安全設(shè)備；

2）內(nèi)網(wǎng)的網(wǎng)絡(luò)交換設(shè)備；

3）內(nèi)網(wǎng)安全監(jiān)控設(shè)備和管理軟件；

4）各類應(yīng)用的服務(wù)器、數(shù)據(jù)存儲(chǔ)設(shè)備。

1.2人員結(jié)構(gòu)分布

集團(tuán)人員具有集中性、獨(dú)立性、分布性等特點(diǎn)：

1）所有的單位都集中在一棟大樓內(nèi)辦公，擁有各自獨(dú)立的辦公共區(qū)域，也有共同分布的區(qū)域；

2）同在一個(gè)內(nèi)網(wǎng)有共同的辦公系統(tǒng)，也有不同的業(yè)務(wù)系統(tǒng)；

3）有開(kāi)放的訪問(wèn)資源也有各自獨(dú)立的授權(quán)訪問(wèn)資源；

4）固定的辦公人員和臨時(shí)、外來(lái)訪客；

5）有需要跨部門權(quán)限的個(gè)人。

2 大廈網(wǎng)絡(luò)體系及安全狀況

目前集團(tuán)大廈局域網(wǎng)的建設(shè)都是基于TCP/IP參考模型而非OSI，TCP/IP是一組用于實(shí)現(xiàn)網(wǎng)絡(luò)互連的通信協(xié)議。Internet網(wǎng)絡(luò)體系結(jié)構(gòu)以TCP/IP為核心?；赥CP/IP的參考模型將協(xié)議分成四個(gè)層次，它們分別是：網(wǎng)絡(luò)訪問(wèn)層、網(wǎng)際互連層、傳輸層（主機(jī)到主機(jī)）、和應(yīng)用層。

1）OSI是七層模型，TCP/IP是四層結(jié)構(gòu)；

2）TCP/IP的可靠性更高；

3）OSI模型是在協(xié)議開(kāi)發(fā)前設(shè)計(jì)的， 具有通用性.TCP/IP是先有協(xié)議集然后建立模型， 不適用于非TCP/IP網(wǎng)絡(luò)；

4）實(shí)際市場(chǎng)應(yīng)用不同，OSI模型只是理論上的模型，并沒(méi)有成熟的產(chǎn)品，而TCP/IP已經(jīng)成為“實(shí)際上的國(guó)際標(biāo)準(zhǔn)”。

隨著信息系統(tǒng)的集中性和敏感性增大，非法和越權(quán)訪問(wèn)很容易造成數(shù)據(jù)丟失，系統(tǒng)故障，對(duì)信息安全的運(yùn)行是個(gè)極大的危害，已經(jīng)成為擺在我們面前的一個(gè)嚴(yán)峻的問(wèn)題。針對(duì)這個(gè)局域網(wǎng)中存在的安全隱患需要采取相應(yīng)的安全措施，可以從以下幾個(gè)方面來(lái)理解：1） 物理層是否可靠；2） 網(wǎng)絡(luò)層是否安全；3） 應(yīng)用層是否有漏洞；4） 管理是否全面。

3 大廈網(wǎng)絡(luò)應(yīng)用到的網(wǎng)絡(luò)權(quán)限管控技術(shù)

3.1 VLAN隔離

3.1.1 vlan的使用

VLAN（Virtual Local Area Network）的隔離整個(gè)2層網(wǎng)絡(luò)。VLAN是一種局域網(wǎng)（LAN）內(nèi)的設(shè)備從邏輯上劃分為不同網(wǎng)段，從而實(shí)現(xiàn)虛擬團(tuán)隊(duì)的新興數(shù)據(jù)交換技術(shù)。這種隔離技術(shù)主要應(yīng)用于交換機(jī)和路由器，但主應(yīng)用程序仍在交換機(jī)。VLAN是基于工作小組使用一個(gè)物理網(wǎng)絡(luò)，邏輯的應(yīng)用部門的局域網(wǎng)，一個(gè)廣播域，用戶的物理位置。VLAN通信網(wǎng)絡(luò)用戶通過(guò)局域網(wǎng)交換機(jī)。VLAN成員看不到VLAN的另一個(gè)成員。VLAN的方法，基于端口VLAN端口是基于物理層，MAC是基于數(shù)據(jù)鏈路層，網(wǎng)絡(luò)層和IP多播基于第三層。

3.1.2建立基于單位的網(wǎng)絡(luò)用戶身份

在整個(gè)大廈中根據(jù)用戶單位將其使用的物理端口劃分到不同的vlan，減少單位人員之間網(wǎng)絡(luò)使用的干擾。

在實(shí)際劃分過(guò)程中我們將192.168.1.0/24到192.168.32.0/24網(wǎng)段分別對(duì)應(yīng)vlan1到vlan 32，每個(gè)單位或部門分別劃分一個(gè)vlan。

3.2 無(wú)線網(wǎng)隔離

3.2.1 不同用戶無(wú)線ssid隔離

服務(wù)設(shè)置標(biāo)識(shí)符，例如，abbreviation服務(wù)集標(biāo)識(shí)符。技術(shù)可以分為多個(gè)SSID的無(wú)線本地區(qū)域網(wǎng)絡(luò)（LAN）需要驗(yàn)證的子網(wǎng)，每個(gè)子網(wǎng)獨(dú)立認(rèn)證的要求，只經(jīng)過(guò)身份驗(yàn)證的用戶可以對(duì)相應(yīng)的子網(wǎng)，以防止擅自進(jìn)入用戶的網(wǎng)絡(luò)。在nutshell SSID名稱，是本地區(qū)域網(wǎng)絡(luò)（LAN），只有設(shè)置為名稱相同SSID的值的設(shè)備才能互相通信。IEEE 802.11規(guī)范包括MAC子層和物理層（PHY）兩個(gè)協(xié)議層

3.2.2 建立基于設(shè)備功能的用戶身份

單位中使用無(wú)線網(wǎng)絡(luò)的通常可以分為不同設(shè)備和不同用處，手機(jī)上網(wǎng)、辦公移動(dòng)設(shè)備、無(wú)線管控設(shè)備、訪客使用等等，根據(jù)這幾個(gè)方面劃分基于不同vlan的不同的ssid，并且設(shè)定不用密鑰，防止交叉使用，降低使用過(guò)程中的風(fēng)險(xiǎn)。同一ssid下的用戶也根據(jù)用戶類型，如娛樂(lè)類型的在同一ssid下也互相不能訪問(wèn)。

實(shí)際配置了六個(gè)ssid，在部分ssid下啟用[AP]user-isolation 以實(shí)現(xiàn)隔離功能。

3.3 訪問(wèn)控制列表

3.3.1訪問(wèn)控制的手段

ACL技術(shù)是一種基于包過(guò)濾的流量控制技術(shù)。標(biāo)準(zhǔn)的訪問(wèn)控制列表由源地址、目的地址和端口號(hào)作為數(shù)據(jù)包檢查的基本元素，并可以提供合格的數(shù)據(jù)包通過(guò)。作為本地區(qū)在內(nèi)部網(wǎng)絡(luò)資源的凈增加，一些企業(yè)已經(jīng)開(kāi)始使用ACL來(lái)控制訪問(wèn)內(nèi)部資源的能力，從而保證這些資源的安全。ACL技術(shù)可以有效地對(duì)三層的網(wǎng)絡(luò)資源，為網(wǎng)絡(luò)用戶控制接入方式，它可以具體到網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)應(yīng)用，也可以根據(jù)網(wǎng)絡(luò)段對(duì)一個(gè)廣泛的訪問(wèn)控制管理，是一種非常有效的安全網(wǎng)絡(luò)控制手段。

3.3.2建立基于職能的用戶身份

通過(guò)在內(nèi)網(wǎng)的交換機(jī)、路由器、防火墻上建立訪問(wèn)控制列表，控制終端ip訪問(wèn)各類服務(wù)器、或ip互訪、單向訪問(wèn)等。例如管理員可以訪問(wèn)全網(wǎng)，各單位工作人員只能訪問(wèn)自單位資源，集團(tuán)部分人員需要全網(wǎng)訪問(wèn)但是非網(wǎng)管，出于安全性考慮 他們可以訪問(wèn)全網(wǎng)反過(guò)來(lái)被他訪問(wèn)的ip不能訪問(wèn)他，這都是通過(guò)acl來(lái)實(shí)現(xiàn)。

3.4 用戶桌面管理及準(zhǔn)入

3.4.1桌面管理的概念

一個(gè)基于web的Windows桌面管理工具，管理員可以使用它集中管理大量的桌面設(shè)備。它能夠自動(dòng)完成桌面機(jī)的生命周期中小到配置更改、大到大型應(yīng)用程序部署等各種操作。同時(shí)基于其天生的網(wǎng)絡(luò)架構(gòu)，用戶亦可以使用它輕松管理各種Windows網(wǎng)絡(luò)環(huán)境，同時(shí)完美支持對(duì)硬件/軟件資產(chǎn)、許可順應(yīng)性明細(xì)的審計(jì)，監(jiān)測(cè)禁 用軟件的使用情況等。簡(jiǎn)單來(lái)說(shuō)，它能夠用戶實(shí)現(xiàn)桌面機(jī)自動(dòng)化、規(guī)范化、安全化管理及資產(chǎn)審計(jì)，軟件部署， 補(bǔ)丁管理， 資產(chǎn)管理， 遠(yuǎn)程桌面共享， 服務(wù)包部署， 配置管理， 活動(dòng)目錄報(bào)表， 用戶登錄報(bào)表以及Windows系統(tǒng)工具。監(jiān)控和控制終端計(jì)算機(jī)各種設(shè)備的使用，將用戶名和終端綁定認(rèn)證，未經(jīng)認(rèn)證的終端機(jī)器無(wú)法連接到網(wǎng)絡(luò)。

3.4.2建立基于個(gè)人終端的用戶身份

3.5 遠(yuǎn)程辦公

3.5.1虛擬化應(yīng)用的優(yōu)點(diǎn)

1）桌面虛擬化指的是電腦桌面虛擬化，桌面使用，以實(shí)現(xiàn)安全性和靈活性。可以在任何設(shè)備上，在任何地方，任何時(shí)間在網(wǎng)絡(luò)上訪問(wèn)屬于我們的個(gè)人桌面系統(tǒng)。桌面虛擬準(zhǔn)依賴于服務(wù)器虛擬化，并在數(shù)據(jù)中心服務(wù)器向服務(wù)器虛擬化，產(chǎn)生大量獨(dú)立桌面操作系統(tǒng)（虛擬機(jī)或虛擬桌面），同時(shí)根據(jù)虛擬桌面的專有協(xié)議發(fā)送到終端設(shè)備。用戶只需記住用戶名和密碼和網(wǎng)關(guān)信息，可以隨時(shí)隨地訪問(wèn)他們的桌面系統(tǒng)通過(guò)網(wǎng)絡(luò)。

2）應(yīng)用虛擬化應(yīng)用和操作系統(tǒng)，解耦為應(yīng)用提供了一個(gè)虛擬環(huán)境。在這樣的環(huán)境中，不僅包括可執(zhí)行文件的應(yīng)用，還包括其所需的運(yùn)行時(shí)環(huán)境。從本質(zhì)上說(shuō)，應(yīng)用虛擬化是對(duì)系統(tǒng)和硬件的抽象依賴，可以解決不兼容的軟件共享使用的軟件。

3.5.2建立基于資源使用的用戶身份

利用虛擬化賦予用戶權(quán)限可訪問(wèn)特定的辦公系統(tǒng)桌面資源，也可使用一些特定的辦公應(yīng)用軟件。

3.6 虛擬專用網(wǎng)絡(luò)

3.6.1VPN的功能及種類

虛擬專用網(wǎng)絡(luò)（Virtual Private Network ，簡(jiǎn)稱VPN）指的是通過(guò)利用對(duì)兩個(gè)專用終端之間的通訊進(jìn)行加密的方式在公用的國(guó)際互聯(lián)網(wǎng)上模擬出專用網(wǎng)絡(luò)。它在連通性、服務(wù)質(zhì)量和保密性等方面與現(xiàn)存的典型專用網(wǎng)絡(luò)具有相同的性能。一般說(shuō)來(lái)，虛擬專用網(wǎng)絡(luò)（VPN）可分為如下幾種：

1）傳統(tǒng)的虛擬專用網(wǎng)絡(luò)（VPN）：幀中繼虛擬專用網(wǎng)絡(luò)（VPN）（第二協(xié)議層）；ATM虛擬專用網(wǎng)絡(luò)（VPN）（第二協(xié)議層）

2）基于用戶地設(shè)備的虛擬專用網(wǎng)絡(luò)（VPN）：L2TP和PPTP虛擬專用網(wǎng)絡(luò)（VPN）（第二協(xié)議層） ；IPsec虛擬專用網(wǎng)絡(luò)（VPN）（第三協(xié)議層）

3）提供者指配的虛擬專用網(wǎng) （PP-VPNs）：BGP/MPLS 虛擬專用網(wǎng)（第二和第三協(xié)議層，RFC 2547）

4）基于會(huì)話的虛擬專用網(wǎng)：SSL虛擬專用網(wǎng)（第四及以下的協(xié)議層）；SOCKS虛擬專用網(wǎng)（第四及以下的協(xié)議層）

3.6.2建立基于目的訪問(wèn)的用戶身份

從外網(wǎng)訪問(wèn)內(nèi)網(wǎng)的資源，利用vpn建立不同用戶對(duì)不同內(nèi)網(wǎng)資源的訪問(wèn)權(quán)限。

3.7 用戶名加密碼的驗(yàn)證

3.7.1利用RADIUS或域的驗(yàn)證

1）RADIUS：Remote Authentication Dial In User Service，遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng)由RFC2865，RFC2866定義，是目前應(yīng)用最廣泛的AAA協(xié)議。RADIUS是一種C/S結(jié)構(gòu)的協(xié)議，它的客戶端最初就是NAS（Net Access Server）服務(wù)器，現(xiàn)在任何運(yùn)行RADIUS客戶端軟件的計(jì)算機(jī)都可以成為RADIUS的客戶端。

2）負(fù)責(zé)各子到計(jì)算機(jī)網(wǎng)絡(luò)和用戶的驗(yàn)證工作，相當(dāng)于一個(gè)單位的門衛(wèi)，被稱為“域控制器（域控制器，簡(jiǎn)稱DC）”。包含域控制器的域帳戶，密碼，屬于計(jì)算機(jī)領(lǐng)域的信息，如數(shù)據(jù)庫(kù)。當(dāng)計(jì)算機(jī)訪問(wèn)網(wǎng)絡(luò)時(shí)，域控制器必須首先確定計(jì)算機(jī)是否屬于域，用戶登錄帳戶存在，密碼是正確的。如果上述信息不正確，則域控制器將拒絕該用戶登錄此計(jì)算機(jī)。不能登錄，用戶將無(wú)法訪問(wèn)服務(wù)器的權(quán)限，以保護(hù)資源，他只能在對(duì)等網(wǎng)絡(luò)的形式，用戶訪問(wèn)窗口共享資源，從而在一定程度上保護(hù)網(wǎng)絡(luò)上的資源。

3.7.2建立基于用戶名密碼的用戶身份

為了進(jìn)一步加強(qiáng)用戶身份權(quán)限的管理，也可對(duì)物理連入的用戶進(jìn)行域控的管理或者利用radius驗(yàn)證機(jī)制。

3.8跨部門及應(yīng)用系統(tǒng)的使用

3.8.1不同部門訪問(wèn)的問(wèn)題

在前面我們已經(jīng)實(shí)行了隔離，那么會(huì)有很多問(wèn)題，有各單位的統(tǒng)一財(cái)務(wù)，有整合的業(yè)務(wù)系統(tǒng)，有我們管理員需要訪問(wèn)的權(quán)限，管理的系統(tǒng)，這些都在三層網(wǎng)絡(luò)上被隔離了，如何解決訪問(wèn)在三層上隔離在應(yīng)用層上又能使用，可是一個(gè)硬件設(shè)備也可以是一種軟件代理。

3.8.2使用堡壘機(jī)解決的意義

通過(guò)考察我們選擇堡壘機(jī)作為我們?cè)趹?yīng)用和業(yè)務(wù)系統(tǒng)及特殊管理人員的工具，它可以完全控制所有授權(quán)訪問(wèn)，分配可以方位的地址、端口、應(yīng)用程序，記錄所有訪問(wèn)動(dòng)作，保證安全的同時(shí)便于管理，對(duì)業(yè)務(wù)系本身也起到一定的保護(hù)作用。

4 信息安全進(jìn)一步思考

網(wǎng)絡(luò)安全建設(shè)是一個(gè)系統(tǒng)工程，持續(xù)的過(guò)程，隨著網(wǎng)絡(luò)和計(jì)算機(jī)技術(shù)日新月異地飛速發(fā)展，新的安全問(wèn)題不斷產(chǎn)生和變化。網(wǎng)絡(luò)身份管理只是其中的一個(gè)點(diǎn)，僅僅做到這一步還是不夠的，因此網(wǎng)絡(luò)信息的安全必須依靠不斷創(chuàng)新的技術(shù)進(jìn)步與應(yīng)用、自身管理制度的不斷完善和加強(qiáng)、網(wǎng)絡(luò)工作人員素質(zhì)的不斷提高等措施來(lái)保障。同時(shí)要加快網(wǎng)絡(luò)信息安全技術(shù)手段的研究和創(chuàng)新，從而使網(wǎng)絡(luò)的信息能安全可靠地為廣大用戶服務(wù)。

參考文獻(xiàn)：

[1] 閆兵.企業(yè)信息安全概述及防范[J].科學(xué)咨訊，2010（2）：154-155.

[2] 高永強(qiáng)，郭世澤.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用大典[M].北京：人民郵電出版社，2003.

[3] 徐漢.超計(jì)算機(jī)網(wǎng)絡(luò)安全與數(shù)據(jù)完整性技術(shù)[M].北京：北京電子工業(yè)出版社，1999.

[4] 陳愛(ài)民.計(jì)算機(jī)的安全與保密[M].北京：電子工業(yè)出版社，2002.