葉水勇

（國網(wǎng)黃山供電公司，安徽 黃山 245000）

0 引言

近年來，黑客技術(shù)的發(fā)展使得處在計算機(jī)信息系統(tǒng)環(huán)境下的企業(yè)和人們愈加缺乏安全感，越來越多的安全問題來自于企業(yè)或機(jī)構(gòu)內(nèi)部的終端系統(tǒng)［1-2］。人們逐漸意識到，在應(yīng)對目前網(wǎng)絡(luò)安全風(fēng)險和威脅時，不僅需要自頂向下的網(wǎng)絡(luò)安全體系設(shè)計，還需要自底向上保證計算機(jī)終端及計算機(jī)網(wǎng)絡(luò)的安全可信，使得網(wǎng)絡(luò)成為一個可信的應(yīng)用環(huán)境。這其中包括在終端接入前對用戶身份進(jìn)行認(rèn)證，對終端進(jìn)行安全測量和評估，對終端可信狀態(tài)進(jìn)行審核，確保接入信息系統(tǒng)的終端是一個完全可信的終端。在新技術(shù)不斷涌現(xiàn)的背景下，如何在不同的網(wǎng)絡(luò)環(huán)境、應(yīng)用環(huán)境以及業(yè)務(wù)環(huán)境的基礎(chǔ)上營造信息系統(tǒng)的可信環(huán)境空間，是每一個信息安全從業(yè)者亟待考慮的問題。

針對存在黑客從網(wǎng)絡(luò)底層進(jìn)行最直接、方便快捷攻擊的問題，公司根據(jù)自身網(wǎng)絡(luò)運(yùn)行狀況，開展網(wǎng)絡(luò)接入控制技術(shù)（Network Access Control，簡稱NAC）的研究，以實(shí)現(xiàn)對終端設(shè)備接入的全過程安全管控。本文以北信源網(wǎng)絡(luò)接入控制系統(tǒng)為例進(jìn)行闡述。

1 系統(tǒng)原理

基于終端可信接入一站式解決方案，是北信源公司 “VRV SpecSEC面向網(wǎng)絡(luò)空間的終端安全管理體系”的重要組成部分［3-4］。系統(tǒng)原理如圖1所示，主要包括北信源網(wǎng)絡(luò)接入控制系統(tǒng)和網(wǎng)絡(luò)接入控制模型兩部分。其中網(wǎng)絡(luò)接入控制模型包括身份認(rèn)證、完整性測量、完整性評估、網(wǎng)絡(luò)訪問控制。

北信源網(wǎng)絡(luò)接入控制系統(tǒng)主要用于解決不可信終端的隨意接入可能帶來的企業(yè)網(wǎng)絡(luò)及信息資源違規(guī)占用、病毒木馬泛濫、企業(yè)資料泄密以及越權(quán)訪問等諸多安全問題。這些不可信終端包括企業(yè)內(nèi)部存在風(fēng)險漏洞的終端 （例如未安裝殺毒軟件、未安裝關(guān)鍵補(bǔ)?。┐嬖诓话踩呗耘渲玫慕K端、未經(jīng)身份授權(quán)的終端、外來未經(jīng)訪問許可的終端、越權(quán)訪問的終端［5-6］等。

圖1 系統(tǒng)原理圖

網(wǎng)絡(luò)接入控制系統(tǒng)采用軟硬件結(jié)合的方式，以終端驗(yàn)證和終端安全為基礎(chǔ)，通過身份認(rèn)證以及安全域控制等手段，從根本上保證接入網(wǎng)絡(luò)終端的可信程度，并控制可信計算機(jī)的訪問權(quán)限，為企業(yè)的終端入網(wǎng)安全管理提供強(qiáng)有力的保障，降低來自于企業(yè)內(nèi)部的信息安全風(fēng)險。

2 核心技術(shù)

2.1 重定向技術(shù)

接入控制的目的是為了阻止不可信終端隨意接入網(wǎng)絡(luò)，對于不可信終端的判定需要一個過程。如何在判定過程中進(jìn)行良好的提示，這就對產(chǎn)品的人機(jī)界面設(shè)計提出了較高的要求。業(yè)界通常的做法是針對http性質(zhì)的業(yè)務(wù)訪問進(jìn)行重定向，以往針對http的業(yè)務(wù)區(qū)分主要基于業(yè)務(wù)端口（主要為80端口），對于非80業(yè)務(wù)端口的http業(yè)務(wù)不能有效區(qū)分。針對以上情況，該網(wǎng)絡(luò)接入控制系統(tǒng)對http業(yè)務(wù)進(jìn)行了深度識別，除80端口的http業(yè)務(wù)可以進(jìn)行有效重定向之外，針對非80端口的http業(yè)務(wù)也能進(jìn)行有效的識別和重定向［7-8］。

2.2 身份認(rèn)證技術(shù)

身份認(rèn)證是終端可信認(rèn)證的一個重要環(huán)節(jié)，隨著信息安全技術(shù)的不斷發(fā)展，對身份認(rèn)證的安全可靠特性也提出了更高的要求［9-10］。身份認(rèn)證最重要的部分是防偽造、防抵賴，因此身份認(rèn)證技術(shù)也從最初簡單的用戶名／口令，逐漸發(fā)展到證書、生物技術(shù)、動態(tài)密碼以及多因素認(rèn)證，防止一切可能偽造和抵賴的因素。

為滿足不同安全程度的身份認(rèn)證需求，也為了適應(yīng)客戶網(wǎng)絡(luò)環(huán)境中可能已經(jīng)存在的身份存儲和認(rèn)證方式，該網(wǎng)絡(luò)接入控制系統(tǒng)針對各種主流身份認(rèn)證技術(shù)進(jìn)行了符合性開發(fā)，為各種主流身份認(rèn)證技術(shù)提供了認(rèn)證接口，可以滿足當(dāng)前技術(shù)下大部分認(rèn)證系統(tǒng)的需求。

2.3 安檢修復(fù)技術(shù)

除身份認(rèn)證外，安檢修復(fù)也是針對終端可信認(rèn)證的重要環(huán)節(jié)，據(jù)權(quán)威機(jī)構(gòu)研究證明，80%的信息泄密來自于企業(yè)或機(jī)構(gòu)的內(nèi)部計算機(jī)終端。由于大部分企業(yè)計算機(jī)終端的使用人員安全意識薄弱且非計算機(jī)專業(yè)人員，對于計算機(jī)自主安全防護(hù)的能力存在一定欠缺，因此造成了很大的泄密隱患［11-12］。

內(nèi)部終端被動泄密通常是因?yàn)榻K端的安全策略配置不夠嚴(yán)謹(jǐn)（例如guest賬戶開啟、弱口令設(shè)置以及不正常的注冊表鍵值等），或者計算機(jī)本身存在安全漏洞（例如關(guān)鍵補(bǔ)丁未安裝、殺毒軟件未安裝或者病毒庫過期）等造成的［13-14］。針對此類情況，該網(wǎng)絡(luò)接入控制系統(tǒng)采用主動探測和一鍵修復(fù)技術(shù)，對入網(wǎng)計算機(jī)終端的安全測試進(jìn)行檢查和評分，對存在安全隱患的計算機(jī)終端強(qiáng)制禁止入網(wǎng)，并提供一鍵策略修復(fù)技術(shù)，解決終端可能存在的不安全隱患，從而實(shí)現(xiàn)全網(wǎng)終端的統(tǒng)一安全管理。

3 部署方式

北信源網(wǎng)絡(luò)接入控制系統(tǒng)能夠適應(yīng)多種不同的網(wǎng)絡(luò)拓?fù)洵h(huán)境，具體有兩種典型的部署模式：一種為多種模式混合的總分部部署模式，另一種為雙星拓?fù)浯尤哂嗖渴鹉Ｊ?。系統(tǒng)實(shí)施兩種典型的總體部署如圖2所示。

圖2 系統(tǒng)實(shí)施總體部署圖

電力公司主要通過旁路模式進(jìn)行部署，這樣的部署方式不會影響現(xiàn)行網(wǎng)絡(luò)的使用。系統(tǒng)旁路部署方式如圖3所示。

圖3 系統(tǒng)旁路部署方式圖

3.1 服務(wù)器部署

將策略文件VRVAuthorizeFile.xml替換到桌面終端標(biāo)準(zhǔn)化管理系統(tǒng)安裝目錄的VRV／VRVEIS／VRVAuthorizeFile的路徑下。確認(rèn)桌面終端標(biāo)準(zhǔn)化管理平臺中已存在 “網(wǎng)關(guān)接入認(rèn)證配置”“接入認(rèn)證策略”“終端健康體檢”策略選項(xiàng)。

3.2 認(rèn)證客戶端部署

提前在桌面系統(tǒng)管理平臺上通過普通文件分發(fā)策略，將網(wǎng)關(guān)認(rèn)證客戶端分發(fā)到每一個已注冊的計算機(jī)終端，升級已注冊終端。準(zhǔn)入網(wǎng)關(guān)部署過程中停止普通文件分發(fā)策略，同時把策略文件打包到注冊程序中。

3.3 準(zhǔn)入網(wǎng)關(guān)部署

在核心交換機(jī)上做鏡像配置，將連接匯聚層所使用的端口作為源端口鏡像到一個端口上，并將該端口與準(zhǔn)入網(wǎng)關(guān)使用的鏡像端口連接［15］。在交換機(jī)上選取一個端口保證其與所有源端口通信，并與準(zhǔn)入網(wǎng)關(guān)的干擾口連接。

3.4 EDP服務(wù)器系統(tǒng)配置

登陸桌面系統(tǒng)管理平臺，依次選擇“策略中心-安全準(zhǔn)入管理-網(wǎng)關(guān)接入認(rèn)證配置”中創(chuàng)建新規(guī)則，按照紅色區(qū)域的描述進(jìn)行配置。配置完成后將策略保存即可。

4 系統(tǒng)的創(chuàng)新點(diǎn)

4.1 豐富的部署模式適應(yīng)性強(qiáng)

采用獨(dú)立硬件設(shè)計，支持多種部署模式，可以適應(yīng)不同的網(wǎng)絡(luò)拓?fù)洵h(huán)境。優(yōu)先采用旁路準(zhǔn)入控制部署模式，根據(jù)交換機(jī)的支持情況可以選擇策略路由控制模式和旁路鏡像控制模式，在既不支持策略路由也不支持旁路鏡像的拓?fù)淝闆r下，可以采用透明網(wǎng)橋串接模式進(jìn)行控制。對于無線、路由、HUB以及非網(wǎng)管型交換機(jī)的拓?fù)洵h(huán)境，可以支持NAT穿透和局域網(wǎng)互訪訪問控制。豐富的部署模式對于不同客戶的網(wǎng)絡(luò)環(huán)境適應(yīng)性非常強(qiáng)，可以將準(zhǔn)入控制部署到網(wǎng)絡(luò)的每一個角落，徹底解決不可信終端接入網(wǎng)絡(luò)的隱患。

4.2 流程化入網(wǎng)規(guī)范統(tǒng)一性強(qiáng)

采用 “注冊-身份認(rèn)證-安全檢查-安全隔離／入網(wǎng)”統(tǒng)一規(guī)范的入網(wǎng)流程，無論采用何種準(zhǔn)入控制機(jī)制，都不改變系統(tǒng)的入網(wǎng)流程。當(dāng)客戶網(wǎng)絡(luò)出現(xiàn)擴(kuò)容、改造的時候，采用不同的部署模式不會影響用戶終端的入網(wǎng)習(xí)慣。尤其是采用標(biāo)準(zhǔn)的入網(wǎng)規(guī)范，可以從根本上解決終端身份的可信認(rèn)證、終端用戶的可信認(rèn)證以及終端安全層面可信認(rèn)證的問題，通過統(tǒng)一入網(wǎng)規(guī)范，杜絕來自內(nèi)部的信息泄密。

4.3 人性化入網(wǎng)提醒可用性強(qiáng)

網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)在終端注冊、終端身份認(rèn)證、終端安全檢查、安全隔離以及來賓入網(wǎng)的時候都進(jìn)行人性化提示。避免了終端用戶在入網(wǎng)被阻斷后無法確定原因的尷尬，同時通過入網(wǎng)提示普及計算機(jī)信息安全知識，讓終端用戶意識到安全入網(wǎng)的重要性。

4.4 基于角色訪問控制力強(qiáng)

可以實(shí)現(xiàn)基于角色的訪問控制，為不同的角色劃分不同的安全訪問控制域。將所有用戶分為企業(yè)內(nèi)部員工和來賓，針對來賓設(shè)特定的訪問控制權(quán)限，同時對于入網(wǎng)安檢不合格的用戶隔離特殊權(quán)限的控制域。實(shí)現(xiàn)不同部門不同員工權(quán)限區(qū)分管理、來賓用戶權(quán)限定制以及不安全終端的安全修復(fù)隔離權(quán)限控制，具備非常強(qiáng)大的控制力度。

4.5 來賓自助入網(wǎng)操作性強(qiáng)

針對來賓用戶，提供了便捷的入網(wǎng)途徑，來賓用戶只需提供自己的身份以及接待人員的信息，便可以快捷地接入網(wǎng)絡(luò)。來賓的網(wǎng)絡(luò)權(quán)限會受到一定的限制，系統(tǒng)支持針對不同的需求制定不同的來賓用戶信息填寫要求及來賓用戶訪問控制權(quán)限，以避免未知的安全隱患。來賓用戶可以通過自助查詢等方式獲取上網(wǎng)碼接入網(wǎng)絡(luò)，授權(quán)管理員可以根據(jù)來賓的性質(zhì)有針對性地授予來賓用戶上網(wǎng)權(quán)限的生命周期，對來賓入網(wǎng)實(shí)現(xiàn)可知、可控、可記錄的管理要求。

5 結(jié)語

通過網(wǎng)絡(luò)接入控制系統(tǒng)的實(shí)施，實(shí)現(xiàn)公司全網(wǎng)內(nèi)的終端入網(wǎng)設(shè)備的安全檢查認(rèn)證，認(rèn)證未通過的設(shè)備禁止訪問網(wǎng)絡(luò)；實(shí)現(xiàn)公司全網(wǎng)內(nèi)的終端入網(wǎng)設(shè)備的訪問權(quán)限管理；實(shí)現(xiàn)公司全網(wǎng)內(nèi)的終端入網(wǎng)設(shè)備上網(wǎng)行為的審計；實(shí)現(xiàn)公司全網(wǎng)內(nèi)的終端入網(wǎng)安全及網(wǎng)絡(luò)的完整性；實(shí)現(xiàn)公司全網(wǎng)內(nèi)的終端日常辦公環(huán)境的網(wǎng)絡(luò)接入授權(quán)問題并對目前構(gòu)架進(jìn)行加固和優(yōu)化。