朱啟躍，金德瑞

（中國鐵路濟(jì)南局集團(tuán)有限公司 信息技術(shù)所，濟(jì)南 250001）

濟(jì)南局集團(tuán)有限公司（簡稱：濟(jì)南局）綜合網(wǎng)是一個龐大且復(fù)雜的網(wǎng)絡(luò)系統(tǒng)，分為集團(tuán)公司機(jī)關(guān)、站段兩級結(jié)構(gòu)，擁有幾萬點規(guī)模的終端基數(shù)。

在IP地址管理方面，由最初的開放式管理，經(jīng)過演變形成了IP地址申請-審批-人工下發(fā)的管理流程，但仍存在IP地址亂用導(dǎo)致地址資源枯竭等問題，缺乏有效的技術(shù)管控手段從根本上解決IP地址亂用的現(xiàn)狀；在接入管理方面，由于終端分布點多面廣、未知終端隨意接入，使得綜合網(wǎng)數(shù)據(jù)安全、網(wǎng)絡(luò)安全存在潛在的風(fēng)險隱患。

網(wǎng)絡(luò)準(zhǔn)入控制是一項由多家廠商參加的計劃[1]，其宗旨是防止病毒和蠕蟲等新興黑客技術(shù)對企業(yè)安全造成危害。借助網(wǎng)絡(luò)準(zhǔn)入控制，客戶可以只允許合法的、值得信任的終端設(shè)備（例如PC、服務(wù)器、PDA）接入網(wǎng)絡(luò)，而不允許其它設(shè)備接入。隨著鐵路信息化的不斷發(fā)展，濟(jì)南局綜合網(wǎng)絡(luò)日益擴(kuò)大，終端隨意接入導(dǎo)致的數(shù)據(jù)泄密、網(wǎng)絡(luò)入侵監(jiān)聽、木馬植入、終端仿冒、IP地址管理繁復(fù)等安全準(zhǔn)入的問題日趨嚴(yán)重,本文旨在從計算機(jī)路由交換網(wǎng)絡(luò)層面和客戶端驅(qū)動層面，建設(shè)一套準(zhǔn)入控制系統(tǒng)，為網(wǎng)絡(luò)安全保駕護(hù)航。

1 安全風(fēng)險分析

1.1 數(shù)據(jù)泄密的安全風(fēng)險

濟(jì)南局綜合網(wǎng)所涉及的部分?jǐn)?shù)據(jù)比較重要和敏感。終端在通過網(wǎng)絡(luò)訪問這些數(shù)據(jù)時，如果有惡意程序在終端后臺運行，可能在用戶不知情的情況下對敏感數(shù)據(jù)做攔截、截圖等非法操作；如果不對終端連接互聯(lián)網(wǎng)做控制，終端隨意連接互聯(lián)網(wǎng)，包含敏感信息的數(shù)據(jù)在用戶不知的情況下可能被發(fā)送到互聯(lián)網(wǎng)指定位置；在日常工作中，用戶可能會將綜合網(wǎng)的敏感的信息文件存儲到終端的本地磁盤中進(jìn)行操作，導(dǎo)致這些敏感信息存在泄漏的風(fēng)險[2]。

1.2 網(wǎng)絡(luò)環(huán)境的安全風(fēng)險

終端有可能從任意站段、任意環(huán)境通過網(wǎng)絡(luò)訪問濟(jì)南局綜合網(wǎng)，如果不對其進(jìn)行有效的控制，當(dāng)數(shù)據(jù)在網(wǎng)絡(luò)上進(jìn)行傳輸時，可能會遭受到各類攻擊和竊聽。另外，終端在進(jìn)行遠(yuǎn)程辦公的過程中，如果還能繼續(xù)訪問互聯(lián)網(wǎng)，就會造成內(nèi)、外網(wǎng)交叉訪問，帶來嚴(yán)重的安全風(fēng)險。

1.3 終端自身的安全風(fēng)險

由于用戶終端接入網(wǎng)絡(luò)的安全性未知，在接入綜合網(wǎng)或安裝其他軟件的過程中，容易感染病毒或被惡意植入木馬，所以，當(dāng)用戶通過終端上網(wǎng)辦公的時候，這些病毒和木馬可能會擴(kuò)散到綜合網(wǎng)的內(nèi)部網(wǎng)絡(luò)中，從而帶來巨大的安全隱患。

1.4 接入身份的安全風(fēng)險

攻擊者可能偽裝、假冒成合法終端，通過網(wǎng)絡(luò)接入到應(yīng)用系統(tǒng)中，從而進(jìn)行信息竊取、破壞和攻擊等行為。

1.5 IP地址未及時回收的安全風(fēng)險

某IP地址，由于使用人員發(fā)生人事變動，需要及時被回收，否則，會導(dǎo)致被未知人員冒用，從而影響整個綜合網(wǎng)的安全。

1.6 IP地址未主動回收的安全風(fēng)險

需要及時主動回收長期未激活、未注冊或者未使用的IP地址，否則，會被未知人員冒用且導(dǎo)致IP地址資源浪費，從而影響整個綜合網(wǎng)的正常運行。

2 系統(tǒng)總體架構(gòu)

根據(jù)現(xiàn)狀分析，濟(jì)南局綜合網(wǎng)需要構(gòu)建集IP地址管理及終端準(zhǔn)入管理于一體的全方位管控平臺。基于安全性和穩(wěn)定性的考慮，系統(tǒng)建立在綜合辦公系統(tǒng)的大環(huán)境中，底層系統(tǒng)和應(yīng)用程序部署在統(tǒng)一的硬件平臺，規(guī)避環(huán)境兼容性、數(shù)據(jù)格式不一致等各種兼容性問題。

系統(tǒng)采用B/S + C/S架構(gòu)[3]。極少部分事務(wù)邏輯在前端（Browser）實現(xiàn)，主要事務(wù)邏輯在服務(wù)器端（Server）實現(xiàn)，極大地簡化了客戶端設(shè)備載荷，減輕了系統(tǒng)維護(hù)和升級的成本和工作量，降低了用戶的總體成本。必須由客戶端完成的功能，采用極簡策略，盡可能把業(yè)務(wù)邏輯和計算在服務(wù)器端（Server）完成，而客戶端（Client）僅為執(zhí)行單元,從而滿足高可擴(kuò)展、高可用性、高易用性的要求。

系統(tǒng)架構(gòu)如圖1所示。

圖1 系統(tǒng)架構(gòu)

2.1 內(nèi)核層和系統(tǒng)層

采用非常穩(wěn)定、安全的Linux作為系統(tǒng)內(nèi)核，進(jìn)行專用系統(tǒng)定制。

2.2 數(shù)據(jù)層

通過POSTGRES數(shù)據(jù)庫存儲數(shù)據(jù)、高速緩存各項數(shù)據(jù)，然后存儲在對應(yīng)的文件系統(tǒng)內(nèi)。

2.3 應(yīng)用層

內(nèi)置SCAN掃描插件，網(wǎng)絡(luò)設(shè)備的TELNET、SSH工具，以及客戶端的后臺服務(wù)應(yīng)用。

2.4 綜合層

內(nèi)置各類智能分析模塊 ，自動識別終端類型、自動歸類等。

2.5 業(yè)務(wù)層

（1）IP地址管理：對全網(wǎng)的IP地址進(jìn)行圖形化的展示和分析。

（2）網(wǎng)絡(luò)設(shè)備管理：通過聯(lián)動交換機(jī)路由器等網(wǎng)絡(luò)設(shè)備，進(jìn)行策略的下發(fā)。

（3）桌面運維管理：通過桌面管理軟件管理電腦的硬件資產(chǎn)等。

（4）在線信息搜集：實時發(fā)現(xiàn)設(shè)備在線狀態(tài)，同時收集可以在網(wǎng)絡(luò)層面收集到的信息，比如：IP/MAC、網(wǎng)卡、主機(jī)名、端口指紋等。

3 功能設(shè)計與解決方案

濟(jì)南局綜合網(wǎng)終端安全準(zhǔn)入[4]系統(tǒng)，針對終端連接互聯(lián)網(wǎng)做嚴(yán)格的管控，終端安裝客戶端管理軟件，從底層驅(qū)動層來杜絕終端連接互聯(lián)網(wǎng)。終端管理軟件自動注冊終端信息，包括終端名稱、終端使用單位、使用人等信息，并且實時同步更新濟(jì)南局運維平臺信息，滿足信息準(zhǔn)確性、及時性等要求，產(chǎn)品功能設(shè)計如圖2所示。

3.1 ACL管理

對未經(jīng)審批私自使用的IP地址、未經(jīng)管理員允許私自接入的終端，準(zhǔn)入系統(tǒng)首先發(fā)現(xiàn)其接入，結(jié)合交換機(jī)或者路由器訪問控制列表（ACL）規(guī)則動態(tài)下發(fā)，實現(xiàn)終端/IP地址隔離且拒絕入網(wǎng)。通過與網(wǎng)絡(luò)設(shè)備聯(lián)動、ACL動態(tài)設(shè)置，準(zhǔn)入系統(tǒng)實現(xiàn)以下管理功能。

（1）基本信息包括IP地址、所屬單位、所屬的子網(wǎng)、使用人、MAC地址、上線時間、更新時間等基本信息錄入和批量導(dǎo)入。

如果發(fā)生終端長時間不上線、終端使用人變更、終端未注冊等事件時，通過動態(tài)管理ACL，可以自動做到隔離IP地址入網(wǎng)，從而保證綜合網(wǎng)的基本安全及正常運行。

（2）準(zhǔn)入系統(tǒng)與既有運維平臺信息的同步。當(dāng)既有運維平臺IP地址信息發(fā)生變更時，會自動同步到準(zhǔn)入系統(tǒng)并下發(fā)到相應(yīng)的交換機(jī)或者路由器的ACL中。

（3）IP ACL信息查詢。方便快捷查詢到某IP地址應(yīng)用到具體哪臺網(wǎng)絡(luò)設(shè)備上。

（4）從設(shè)備列表中選擇各子系統(tǒng)所使用的設(shè)備，能夠從IP ACL項目信息關(guān)聯(lián)查詢設(shè)備及重要網(wǎng)絡(luò)設(shè)備信息。

具體IP地址管理數(shù)據(jù)流程如圖3所示。

圖3 IP地址管理數(shù)據(jù)流程圖

3.2 網(wǎng)絡(luò)設(shè)備管理

該模塊主要實現(xiàn)硬件設(shè)備信息的錄入、查詢、管理。

（1）硬件設(shè)備及網(wǎng)絡(luò)設(shè)備基本信息的錄入、查詢、批量導(dǎo)入。

圖2 產(chǎn)品功能設(shè)計圖

（2）硬件設(shè)備及網(wǎng)絡(luò)設(shè)備維修記錄、補(bǔ)丁記錄的錄入、查詢，維護(hù)文檔的上傳、查詢。

（3）從硬件設(shè)備關(guān)聯(lián)查詢運行在其上的應(yīng)用項目相關(guān)信息。

（4）網(wǎng)絡(luò)設(shè)備應(yīng)用的應(yīng)用項目系統(tǒng)及子系統(tǒng)信息錄入、查詢。

（5）硬件設(shè)備的歸檔。當(dāng)硬件設(shè)備更改用途或報廢時，將原有設(shè)備信息進(jìn)行歸檔，從而實現(xiàn)設(shè)備生命周期信息的保存和追溯。

（6）網(wǎng)絡(luò)設(shè)備密碼定期修改，通過系統(tǒng)批量進(jìn)行密碼修改，減少大量的人力物力資源。

3.3 IP地址管理

該模塊主要實現(xiàn)對濟(jì)南局綜合網(wǎng)IP地址的管理、分配、查詢等功能。

（1）按照IP地址的不同屬性，實現(xiàn)濟(jì)南局IP地址及其使用信息的錄入、查詢、批量導(dǎo)入。

（2）入網(wǎng)終端數(shù)據(jù)批量導(dǎo)入，并實現(xiàn)入網(wǎng)注冊數(shù)據(jù)與系統(tǒng)IP地址數(shù)據(jù)的比對分析，從而分析出全集團(tuán)公司局域網(wǎng)中存在的未入網(wǎng)注冊的、實際使用但沒有錄入運維平臺的以及一機(jī)多用等異常情況的IP地址信息。

（3）IP地址信息相關(guān)的參數(shù)維護(hù)。主要有設(shè)備用途字典、單位及IP地址范圍字典、車間/班組/部門字典。

（4）與運行在終端計算機(jī)上客戶端程序協(xié)同工作，實現(xiàn)對IP地址信息與終端使用人之間的對應(yīng)關(guān)系、終端計算機(jī)上網(wǎng)行為的監(jiān)控與報告。

3.4 客戶端管理

客戶端嚴(yán)格管控綜合網(wǎng)終端連接到互聯(lián)網(wǎng)，實時監(jiān)控連接狀態(tài)，一旦有連接則記錄連接事件，當(dāng)該終端再次接入綜合網(wǎng)時上報準(zhǔn)入系統(tǒng)外聯(lián)事件且告警。

3.4.1 客戶端工作流程

客戶端主動完成終端信息注冊、更新和修改等功能。每次終端入網(wǎng)客戶端都會主動更新其終端信息，且從既有運維平臺上同步終端信息，始終保持信息準(zhǔn)確性和實時性。

客戶端工作流程如圖4所示。

3.4.2 客戶端防卸載流程

圖4 客戶端工作流程圖

為了嚴(yán)格管控入網(wǎng)終端外聯(lián)和注冊情況，需要防止終端用戶私自卸載客戶端?？蛻舳朔佬遁d是采用底層驅(qū)動保護(hù)，以防止終端用戶隨意刪除客戶端文件。卸載操作需要經(jīng)管理員審核，產(chǎn)生動態(tài)卸載碼，才能完成卸載。

客戶端防卸載流程如圖5所示。

圖5 客戶端防卸載流程圖

3.5 與運維平臺聯(lián)動

既有運維平臺經(jīng)過長期的積累，IP地址臺賬相對齊全，由于其缺乏自動化，依賴于手動，因此準(zhǔn)入系統(tǒng)需要將自動讀取的數(shù)據(jù)與既有運維平臺進(jìn)行聯(lián)動，實現(xiàn)平臺之間的數(shù)據(jù)交互，以準(zhǔn)入系統(tǒng)為數(shù)據(jù)引擎及執(zhí)行引擎，以運維平臺為觸發(fā)引擎，完成自動銜接且不改變現(xiàn)有使用習(xí)慣。自動完成終端入網(wǎng)注冊且定期更新信息，與既有運維平臺信息聯(lián)動，從而完成從終端入網(wǎng)注冊、維護(hù)、更新到信息回收整個生命周期運維工作。

4 系統(tǒng)實現(xiàn)

濟(jì)南局綜合網(wǎng)分為幾個匯聚點[5]，每個匯聚點之間是通過3層路由進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。準(zhǔn)入系統(tǒng)可以部署在網(wǎng)絡(luò)的任何位置，唯一要求是準(zhǔn)入系統(tǒng)在這個網(wǎng)絡(luò)位置通過其IP地址能夠訪問到網(wǎng)絡(luò)其它地方，也就是說準(zhǔn)入系統(tǒng)此時與網(wǎng)絡(luò)中一臺普通的PC沒有任何區(qū)別，系統(tǒng)部署圖如圖6所示。

圖6 系統(tǒng)部署圖

采用面向?qū)ο蠛兔嫦蜻^程的軟件設(shè)計思想和方法，使用Linux下GNU的C/C++和PHP/JavaScritp[6]編程技術(shù)（操作系統(tǒng)使用Linux2.6.32，數(shù)據(jù)庫使用Postgres[7]），形成了技術(shù)先進(jìn)、設(shè)計合理、界面友好易用的綜合網(wǎng)終端安全接入動態(tài)管理平臺。

涉及到以下關(guān)鍵技術(shù)：（1）大數(shù)據(jù)實時并發(fā)高速存?。唬?）IP地址動態(tài)智能分析；（3）ARP數(shù)據(jù)池的動態(tài)實時監(jiān)控；（4）通過SNMP/Telnet[8]/SSH等協(xié)議對網(wǎng)絡(luò)設(shè)備進(jìn)行各種有效的智能化管理。

目前，該系統(tǒng)已將濟(jì)南局機(jī)關(guān)及所屬各單位綜合網(wǎng)終端納入管理，實現(xiàn)從既有運維平臺增減綜合網(wǎng)終端IP地址條目，通過聯(lián)動，準(zhǔn)入系統(tǒng)自動同步變動條目，并在對應(yīng)的網(wǎng)絡(luò)設(shè)備上同步更新策略。準(zhǔn)入系統(tǒng)停用/刪除、回收終端IP條目時，也同步傳送到運維平臺，提醒確認(rèn)，進(jìn)行相關(guān)操作。入網(wǎng)的終端設(shè)備必須在規(guī)定時間內(nèi)進(jìn)行入網(wǎng)注冊，超出規(guī)定期限提示回收，并傳送回運維平臺進(jìn)一步處置，解決了以往終端注冊率低且無有效控制手段的難題。終端一經(jīng)注冊，可被服務(wù)器自動推送關(guān)聯(lián)信息及版本更新，且無法瀏覽互聯(lián)網(wǎng)，改變了以往事后處罰的狀況，變?yōu)閺脑搭^掐斷、防止違規(guī)外聯(lián)的后果發(fā)生，切實保障網(wǎng)絡(luò)信息安全。

5 結(jié)束語

根據(jù)濟(jì)南局綜合網(wǎng)的網(wǎng)絡(luò)特點，研發(fā)了綜合網(wǎng)終端安全準(zhǔn)入系統(tǒng)，設(shè)計上采用已有的標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議，對網(wǎng)絡(luò)環(huán)境的適應(yīng)性強(qiáng)，無需改動現(xiàn)有網(wǎng)絡(luò)拓?fù)?，與既有的運維平臺實現(xiàn)無縫對接，規(guī)避了IP地址人工管理的諸多問題，保障了濟(jì)南局綜合網(wǎng)的邊界[9]安全，促進(jìn)了信息系統(tǒng)運維工作的自動化、規(guī)范化和標(biāo)準(zhǔn)化[10]。該系統(tǒng)也可移植推廣到IP地址管理模式相似的其他單位。