网络安全准入控制

网络安全准入控制（精选8篇）

网络安全准入控制 篇1

0 引言

随着网络环境愈发复杂,国家对铁路信息系统的安全级别提高到了《信息安全等级保护》的范畴,这就意味着铁路信息系统需要进一步提高安全等级。为此,铁路部门非常重视各种信息系统的安全建设。

现有铁路各信息系统中一般都部署了防病毒、补丁分发等安全措施,起到了一定的网络安全防护作用。但随着网络的发展,这些单个、相对静态的防护措施如何能够进一步的增强和扩展,如何能够有效的结合在一起提高系统安全性,达到国家对铁路系统的安全要求,这就是需要探讨的网络安全准入控制系统。

1 网络安全准入控制技术概述

网络安全准入控制的核心概念是从网络接入端点的安全控制入手,结合认证服务器,安全策略服务器和网络设备,以及第三方防病毒、系统补丁等服务器,完成对接入终端用户的强制认证和安全策略应用,从而保障网络安全。

现今,思科、赛门铁克、H3C等厂家已有成熟的网络安全准入控制系统,可以支持常见的准入控制、安全管理、防病毒、补丁分发、ACL(访问控制列表)下发、防ARP攻击、U盘外设管理等功能。其可以实现对整个系统的接入控制、可视化和动态的管理,增强系统的高安全。

2 铁路系统应用方案

对于铁路各信息系统应用网络安全准入控制系统,只需增加安全策略服务器、认证服务器,并结合已有的防病毒、补丁分发、网络设备等,即可进行无缝、有效的整合,形成一套联动的系统,实现准入控制等强大的功能。

2.1 铁路信息系统现状

铁路行业各信息系统的网络构架以典型的E1环形网络为主,网络接入节点为车站,核心节点一般为铁路局。铁路信息系统具备常用的防病毒和漏洞补丁等安全设备,可以起到对网内固定的计算机、服务器等设备进行病毒防护和补丁升级,但对于系统中是否有其他终端接入,接入的终端设备是否合法,合法用户终端系统是否安全等并未做更进一步的控制。

2.2 网络安全准入控制实现方式

网络安全准入控制系统以既有系统网络为基础,在网络核心交换机处设置隔离区,增加安全策略和认证服务器,并利旧补丁分发和防病毒服务器。隔离区中服务器与既有服务器群采用不同VLAN子网隔离开来。在既有车站路由器开启802.1x通用认证协议。

2.2.1 系统构成。(1)安全策略服务器及安全代理客户端。(2)认证服务器。(3)防病毒、补丁分发服务器。(4)网络设备。

2.2.2 系统要求。用户终端计算机必须安装准入控制系统客户

端软件,在接入网络前首先要进行802.1x和安全认证,否则将不能接入网络或者只能访问隔离区的资源。在接入路由器或交换机中要部署802.1x认证,结合认证服务器进行联动,强制进行基于用户的802.1x认证和动态ACL、VLAN控制。安全策略服务器中配置用户的服务策略、接入策略、安全策略,用户进行802.1x认证时,由安全策略服务器验证用户身份的合法性,并基于用户角色(服务)向安全客户端下发安全评估策略(如检查病毒库版本、补丁安装情况等),完成身份和安全评估后,由安全策略服务器确定用户的ACL、VLAN以及病毒监控策略等。防病毒、漏洞补丁服务器部署于隔离区。

2.2.3 流程说明。(1)用户上网前必须首先进行身份认证,确认是

合法用户后,安全客户端还要检测病毒软件和补丁安装情况,上报安全策略服务器。(2)安全策略服务器检测补丁安装、病毒库版本等是否合格。(3)安全策略服务器通知接入设备,将该用户的访问权限限制到隔离区内。此时,用户只能访问补丁服务器、防病毒服务器等安全资源,因此不会受到外部病毒和攻击的威胁。(4)安全客户端通知用户进行补丁和病毒库的升级操作。(5)用户升级完成后,可重新进行安全认证。(6)如果用户补丁升级不成功,用户仍然无法访问其他网络资源,可进行相应检测。(7)用户可以正常访问其他授权(ACL、VLAN)的网络资源。

2.3 实施效果

(1)由于接入节点路由器或交换机对端口部署了802.1x认证,所有非法用户将不能访问企业内部网络。并且认证通过前,用户终端之间无法实现互访(前提是车站交换机支持802.1x,如果是在路由器实现802.1x则无法控制车站内的终端之间互访)。(2)合法用户接入网络后,其访问权限受路由器或交换机中的ACL控制。特定的服务器只能由被授权的用户访问。(3)合法用户接入网络后,其互访权限受路由器控制,实现对终端接入网络访问控制。(4)用户正常接入网络前,必须通过安全客户端的安全检查,确保没有感染病毒且病毒库版本和补丁得到及时升级。降低了病毒和远程攻击对企业网带来的安全风险。(5)通过使用网络准入系统客户端软件,可对用户的终端使用行为进行严格管理,比如禁止U盘、禁止光驱等。

3 网络安全准入控制系统优势

(1)系统整合后将安全防范由静态转向动态方式,对于所有网络接入用户可实现接入控制和监控,及时发现非法接入情况,对整个系统实现“透明可视”,降低了系统风险。(2)系统整合后将以往部署的防病毒、补丁分发功能进一步的功能扩大,可实现对于既有系统正常用户进行“体检”,发现其安全缺陷,而进一步的进行修复,更加智能化,同时带来的是更高的安全性。(3)该系统可以无缝的直接整合在既有系统中,具备一定的兼容和适用性。(4)整合现有防病毒、补丁分发、终端操作系统管理维护等功能,进行集中、统一管理和维护,减少维护管理工作量。

4 结束语

网络安全准入控制系统旨在整合现有资源,全面、可靠的保证系统安全性和可靠性。在铁路信息系统应用,可以以较少的投入实现高安全性、可视化和动态防护的功能。同时,对于铁路各信息系统之间的访问控制,则可以新增或利旧既有的防火墙、网闸来实现安全隔离访问,进一步完善系统间的安全性。

随着国家铁路信息化安全建设的推进,网络安全准入控制系统以其全面、高效、安全的特点,必将在行业内得到应用和推广。

参考文献

[1]H3C EAD终端准入控制解决方案[Z].2010,3.

[2]思科NAC网络准入控制白皮书[Z].2008,4.

[3]SymantecTM Network Access Control[Z].2007,10.

网络安全准入控制 篇2

摘 要 我国食品市场准入制度在法律上并未明确地规定,都是由各部门根据法律的有关精神制定的部门规章,需要在法律的层面进一步的补充和完善。对于食品来说,更应加强政府对其的规制,可以借鉴美国的做法,由政府实施强制性检验,同时,将监督抽查、统一监督检查、定期监督检查有机结合起来,用定期监督检查来建立质量评价指数的样本总体,用统一监督检查或专项监督检查来对存有质量问题的一类产品进行行业性整治,用监督抽查来及时发现存有质量问题的商品。

关键词 食品质量 市场准入 免检制度

一、食品质量安全准入制度需要法律层面的完善

食品质量安全市场准入制度是指,为保证食品的质量安全,具备规定条件的生产者才允许进行生产经营活动、具备规定条件的食品才允许生产销售的监督制度。因此,实行食品质量安全市场准入制度是一种强制性规定。2005年7月9日,国务院颁布《中华人民共和国工业产品生产许可证管理条例》。条例规定,国家对生产乳制品、肉制品、饮料、米、面、食用油、酒类等直接关系人体健康的食品等重要工业产品的企业实行生产许可证制度,进一步明确了食品质量安全的重要性,为我国的食品质量安全写下了重要的一笔。

市场准入制度包括三个内容:(1)对食品生产加工企业实行生产许可证管理,即对食品生产加工企业的环境条件、生产设备、加工工艺过程、原材料把关、执行产品标准、人员资质、储运条件、检测能力、质量管理制度和包装要求等条件进行审查,并对其产品进行抽样检验。对符合条件且产品经过全部项目检验合格的企业,颁发食品质量安全生产许可证,允许其从事食品生产加工。(2)对食品出厂实行强制检验。(3)实施食品质量安全市场准入标志管理。即获得食品质量安全生产许可证的企业,其生产加工的实行食品质量安全市场准入制度的产品经出厂检验合格的,在出厂销售之前,必须在最小销售单元的食品包装上标注由国家统一制定的食品质量安全生产许可证编号并加印或者加贴食品质量安全市场准入标志,并以“质量安全”的英文名称Quality Safety的縮写“QS”表示。

从2001年开始,我国质检部门开始试行食品质量安全市场准入制度,但此项制度只是由质量监督部门一家实施的,存在诸多的局限性。目前,规制食品市场准入的还包括《食品卫生法》,由卫生部门负责;《动物防疫法》,由农业部负责;《生猪屠宰管理条例》,由商务部门负责等。食品市场准入制度在法律上并未明确地规定,都是由各部门根据法律的有关精神制定的部门规章。因此市场准入制度需要在法律的层面进一步的补充和完善。

二、企业产品免检制度存在的弊端

企业产品免检制度是我国在市场准入制度中的一个特例,它是指国家质量技术监督局将质量稳定、市场占有率高、产品标准达到或严于国家有关标准,以及国家或省、自治区、直辖市质量技术监督部门连续三次以上抽查合格的产品,确定为免检产品,其产品在一定时期内免于各地区、各部门、各种形式的质量监督检查的一种制度。应当说,这一制度的实施在提高企业质量监督的效率等方面起到了一定的积极作用,也树立和培育了一批龙头骨十企业,如海尔、格力等。

然而,近期出现的以雀巢奶粉碘超标为代表的一系列食品安全事件,引发了人们对现行产品免检制度必要性和合理性的怀疑。

我国目前免检制度有三个最严重的弊端:

第一,门槛太低,《产品免于质量监督检查管理办法》(以下简称《办法》)规定的免检产品是连续三次以上抽查合格,质量长期稳定的产品。然而事实上,对很多产品来说质量很难达到长期稳定。三次抽查合格代表不了其它批次的产品质量一定合格,甚至有些产品,随着科学技术的进步和人们认识能力的提高,以前检测为合格的产品可能存在很大的瑕疵。

第二,免检产品监督管理存在弊端。首先,《办法》规定在3年期限内,免检产品免于任何部门的监督检查。这样在免检期间内,对免检产品的监督则主要表现为消费者对其进行的社会监督。然而,对于有些产品,单凭消费者有限的认识能力很难发现质量缺陷。在这种情况下,消费者的社会监督职能就很难发挥作用,造成政府在免检产品上的监督真空。其次,《国务院关于进一步加强产品质量工作若干问题的决定》规定:免检有效期满,产品需要继续免检的,免检制度规定企业应当重新提出申请,对其进行重新审查,不符合条件的坚决取消资格。作为免检制度的一项事后监督机制,这一规定是存在逻辑缺陷的:免检产品不可能只是在重新申请时才出现不合格的情况,如果这种情况早就出现了,这一规定又有什么意义?产品免检制度保护的又是什么样的产品?

第三,产品免检破坏了公平有序的市场竞争秩序。申请产品免检的条件之一是产品市场占有率,经济效益在本行业内排名前列。这使得本行业内规模大、资本雄厚的企业的产品获得免检的机率将远高于业内的中小企业的产品,本来中小企业的整体实力就要弱于大企业,产品免检制度的设立在大型企业与中小企业之间建立一种不公平的外部竞争环境。而且,由于这一制度事实上造成一种假象,即免检产品的质量一定优于非免检产品,而成立不久的企业或中小企业的产品在短时间内很难申请免检,这就有可能在存在免检产品的行业造成市场准入的障碍。

三、企业产品免检制度的完善

企业产品免检制度的缺陷使废除这一制度势在必行。而对于食品来说,更应加强政府对其的规制,可以借鉴美国的做法,由政府实施强制性检验,同时,将监督抽查、统一监督检查、定期监督检查有机结合起来,用定期监督检查来建立质量评价指数的样本总体,用统一监督检查或专项监督检查来对存有质量问题的一类产品进行行业性整治,用监督抽查来及时发现存有质量问题的商品。对于产品不合格问题,一应加大监督检查的频率;二要按期对监督检查不合格的产品进行复查;三可采用跟踪或专项监督抽查的方式对其质量进行重点整治。

参考文献:

[1]张涛.食品安全法律规制研究.西南政法大学.2005届博士学位论文.

下一代网络准入控制技术研究 篇3

近20 年来,信息网络技术发展迅速,在各行各业得到了广泛应用,不仅提高了工作效率,而且方便了日常生活,在推动社会进步和国民经济发展等方面发挥着极为重要的作用。但与此同时,也带来了诸多的信息网络安全问题和压力[1,2]。防火墙、防毒墙、流量清洗系统、Web应用防火墙、入侵防御系统(Intrusion Prevention System,IPS)、入侵检测系统(Intrusion Detection System,IDS)等安全防护设备应运而生,在网络边界构筑了一道道安全防线,起到了一定的防御作用。但是,网络安全威胁不仅仅局限于外部攻击,内部不安全因素的危害性更大。内部不安全因素的最大威胁是终端行为不可控、安全状态不达标、网络接入不规范,接入的终端及其行为不可信、不安全,没有从源头上进行安全防控。因此,网络准入技术成为安全研究的热点,并在网络安全中发挥了主动防御的作用,通过阻挡非法终端和违规应用,保证网络的整体防护和完整性,降低网络安全的脆弱性,进而大大减少网络的可攻击面。

然而,在实际应用中,现有的网络准入技术由于商业考虑或技术壁垒,各自有所偏重[3,4]。同时,网络攻击技术不断更新,手段愈加复杂,安全形势对准入技术提出了更高的要求。事实上,综合以往关于网络安全问题的研究,在完善和提升网络准入控制主动防御技术的同时,在其中融入被动防御技术,能够很好地满足整个网络的安全需求,这也是下一代网络准入控制技术要解决的问题[2,5]。

1 主要问题分析

近年来,网络攻击呈现智能化、系统化、综合化的趋势,新的攻击方式不断涌现,下一代网络准入控制技术应重点关注并解决以下几方面的问题。

1.1 终端信息的全面收集

研究表明,大部分组织和单位通常只了解网络中80% 的设备,且这些设备中约50% 都存在安全或配置问题,现代网络中设备、连接、用户、应用和行为的多样性更加剧了这种复杂性。要在多样化的网络环境中保证网络安全,首先要尽可能多地收集终端信息,全面、准确地掌握在网设备和终端的基本配置、运行状况、异常情况等信息,对网络安全问题及早做出准确判断并进行安全响应至关重要。

1.2 终端大数据的互操作

随着网络攻击方式的隐蔽性越来越强,网络安全态势和异常行为的判定愈加需要将诸多安全因素进行关联。利用丰富的终端信息进行大数据构建,并与网络中各类安全平台进行互操作,是安全判定计算和安全趋势响应的基础。

1.3 在防御高级持续性威胁攻击方面发挥作用

高级持续性威胁(Advanced Persistent Threat,APT)具有高度的隐蔽性[5,6],传统的基于特征库的防护手段很难发现其攻击行为,且其具有潜伏性和持续性,威胁巨大。然而,APT攻击并非不可防御,通过对终端漏洞进行控制、对网络中的异常行为进行监视以及与周边安全设备进行互操作,构筑一套纵深防御的安全体系,可有效降低APT攻击的风险。

2 下一代准入关键技术

2.1 终端信息收集技术

早期的网络准入技术通过客户端收集终端信息,但受客户端与平台之间兼容性等问题的影响,信息收集不全面。通过主动发现和被动发现技术,可以不依赖客户端即可实现现有网络准入技术的许多功能。

2.1.1 被动发现技术

将端口镜像技术(Mirror或Span)应用于下一代网络准入中,通过捕获网络中进出的所有流量,能够发现流量中的设备信息和各种异常行为,尤其是来自内网的终端信息。

2.1.2 主动发现技术

被动的镜像技术并不能发现设备的所有属性,因此下一代网络准入还需要主动向网络中的周边设备进行查询,以获取更多信息。

1)二、三层网络信息发现。通过动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)及地址解析协议(Address Resolution Protocol,ARP),监测并获取设备的数据链路层和网络层信息。

2)第四层和高层网络信息发现。将网络连接端扫描软件(Network Mapper,NMap)应用于下一代网络准入控制,用于探测网络层、传输层甚至是应用层的数据。

3)用户、组织结构及高级属性发现。 通过向网络中的认证服务器(包括活动目录(Active Directory,AD)、轻量目录访问协议(Lightweight Directory Access Protocol,LDAP)、远程用户拨号认证服务(Remote Authentication Dial In User Service,RADIUS)等)主动发起查询请求,可获取必要的应用信息,包括用户和设备信息。

4)安全及网络环境数据发现。向网络设备发起查询,包括防火墙、路由器、交换机、VPN等,通过Syslog、SNMP等接口获取终端设备的实时安全数据和网络环境信息。

2.2 终端大数据构建与互操作技术

关于终端大数据的构建,至少应覆盖以下信息。1物理层信息:包括交换机、VLAN、物理端口、802.1x、设备的共享端口和物理位置等信息;2设备信息:包括IP地址、MAC地址、主机名、设备类型(PC、移动设备、打印机、无线路由、其他附加属性等);3操作系统信息:包括操作系统类型、防病毒软件的更新状态、未打补丁的漏洞、开放的服务、内存中的进程等;4应用程序信息:包括应用程序、版本号、注册表信息、文件信息等;5用户信息:包括用户名、用户组、认证状态、Email地址、角色、部门等;6设备行为信息:包括网络策略、恶意行为以及各种即时行为特征等;7状态信息:包括时间、物理位置、属性、变更情况等。

构建的终端大数据的分享应该是双向的,即实现与以下技术手段/ 工具的互操作。1网络设备:包括交换机、路由器、防火墙、VPN、无线AP、打印机等;2网络服务:包括AD域、LDAP、域名系统(Domain Name System,DNS)、DHCP、RADIUS等;3 终端:包括Windows、Mac、Linux/UNIX、移动设备、虚拟设备等;4终端管理技术:包括补丁管理系统、移动设备管理(Mobile Device Management,MDM)等;5终端防护技术:包括防病毒技术、数据防泄露技术、主机IPS、加密产品等;6安全管理平台:包括安全信息和事件管理(Security Information and Event Management,SIEM)、漏洞评估、IDS/IPS、APT防御产品等。

2.3 缓解APT攻击技术

现今的黑客和网络犯罪明显呈现组织化、专业化的趋势,同时具有明确的目标和针对性。通过构建纵深安全防御体系,能够有效降低APT等攻击的风险[4,6]。

2.3.1 通过漏洞控制减少攻击范围

预先减少可能遭受攻击的范围是缓解APT攻击的有效办法,下一代网络准入控制技术能有效地发现违规终端或网络中的未知系统,可实现以下功能:

1)对违规行为进行告警;

2)把违规终端或漏洞终端从网络中隔离;

3)直接修复或通过第三方系统修复网络中的漏洞及错误的安全配置;

4)确保主机防护软件的安装、更新、正确配置以及正常运行。

当网络中出现未知设备时,网络准入控制系统能够对其进行准确定位。另外,通过网络准入控制提高各种设备和系统的安全水平,有助于减少可被攻击的覆盖面,从而降低总体的安全风险。

2.3.2 监测可疑的网络行为

通常,攻击者一旦攻破某台终端,就会利用这台终端进行扩展攻击。通过对终端异常网络行为进行监测(包括监测非正常端口扫描行为和通过非标准端口进行数据通信的行为),能够及时发现各种异常的大流量操作[4],甚至可利用下一代网络准入控制技术设定“虚拟蜜罐”,提供给服务或应用系统来诱捕非授权的网络探测行为。被恶意软件感染的终端往往会主动攻击“虚拟蜜罐”,此时攻击行为将被捕捉,并触发网络准入控制及时响应事件,如记录、报警甚至隔离等。2.3.3 与网络中的安全架构联合起来实现纵深防御

近10 年来,SIEM平台之外的大部分工具和控制手段(如网络运维平台、安全资产管理平台、安全风险管理平台等)都采用了独立的方法或手段对网络安全进行分割,容易造成各自为政的局面。安全管理现状如图1 所示。

通过对终端信息进行大数据构建处理,下一代网络准入控制技术能够将终端信息和网络环境信息分享给网络中的其他设备或安全系统。同时,多平台的互操作性又保证了网络准入控制系统收到来自这些系统的消息后,可以迅速触发相关策略,对威胁进行缓解或阻止。这样,下一代网络准入控制就成为SIEM之外的另一种网络安全中心。网络安全管理蓝图如图2 所示。

通过与众多的第三方工具共享终端信息、网络环境信息以及实时的威胁事件信息,可以很好地实现纵深防御。例如,下一代网络准入控制系统和下一代防火墙、Web防火墙、APT防护平台协作,可达到以下效果:

1)终端环境共享:上述安全系统都缺少对网络中终端状况的了解,包括终端身份、终端配置信息和安全状态,而下一代网络准入控制系统则可以共享这些信息;

2)风险控制:在大部分情况下,攻击或数据泄漏可能只会引发报警而得不到有效处理,将风险数据传入到下一代网络准入控制系统,可以直接阻断终端或封闭特殊端口,从而保存入侵证据并控制风险。

3 下一代网络准入技术优势分析

随着移动设备和智能终端的广泛应用,网络边界不断延伸,访问与操作已变得极其复杂,虚拟化、软件定义架构不断打破传统技术的限制。因此,在传统手段下能够得到充分管理的、完全安全的端点正逐渐减少。当内部用户和访客、远程和本地、有线和无线、虚拟和实物、PC和移动端、授权访问和非法访问并存时,利用传统方式控制网络安全的难度和工作量呈几何级增加。

而下一代网络准入控制技术可利用或开发更先进的技术来顺应网络、终端环境的发展,包括提出更具有适应性的技术架构、更具广度的大数据计算、更具开放性的对外接口等,并在APT攻击中起到关键的桥梁作用。现有网络准入控制技术与下一代网络准入控制技术对比见表1 所列。

4 结语

下一代网络准入控制技术应实现实时发现、分类和评估用户、设备以及应用,并匹配入网前和入网后的策略,与其他网络设备、安全设备、管理平台等共享所有入网端点的大数据信息,并为这些设备提供精确的网络环境信息,帮助它们做出判断和反应。同时,从外部源获取有用信息,并依此进行有效防御,如对终端进行网络强制和修复,以及通知其他系统进行防御等。

下一代网络准入控制技术并不是万能的,但其能够提供实时的网络可视化和应对多种新IT风险的控制手段,同时能够保证不对网络架构或已有安全资产构成影响,具有很好的应用前景。

摘要：现有网络准入技术由于商业考虑或技术壁垒,各自有所偏重,不能很好地满足安全形势发展变化的需求。为解决该问题,文章提出在下一代网络准入控制技术中融入被动防御技术,通过分析下一代准入技术应重点关注和解决的问题,深入研究终端信息收集、终端大数据构建与互操作、缓解APT攻击等下一代准入关键技术。结果表明,在下一代网络准入控制技术中融入被动防御技术能够全面地收集网络及终端信息,进而构建纵深安全防御体系。与现有准入技术相比,下一代准入控制技术具有广泛支持第三方平台、风险控制、缓解APT攻击等诸多优势。

网络安全准入控制 篇4

重庆市电力公司教培中心学员培训计算机房已经使用多年, 但是存在着不少安全问题, 主要表现为:外来终端不难接入内网, 这样就会使一些已经感染了未知或新型病毒欺骗病毒的终端, 使内网受到病毒感染, 直接威胁网络的安全运行。在培训学员时, 没有注意让学员严格按照相关的规定对指定的防病毒软件、桌面安全管理等安全软件进行卸载, 在安装和运行游戏软件、网络视频工具等其他可能存在安全隐患的软件时也缺少相关的必要指导。内网多使用的是以U盘为代表的移动存储设备, 这样就不难导致病毒的侵袭或者是木马传播、泄露内部重要数据和文件;同时U盘的广泛使用也为机房组织考试增加了管理难度。随着网络技术的不断发展, 特别是无线网络互联技术的飞快发展, 使Internet的联入摆脱了地域的限制, 现在内、外网在一定程度上实现了互通, 一些不合法外联事件也逐渐的增多了, 这给企业核心业务系统的稳定安全运行造成了很大的影响。接入内网的终端, 在未授权的情况下就可连接其内部重要服务器, 这样给合法用户的访问带来不同程度影响的同时, 还可能成为来自内部或外部的非法人员, 以此为跳板, 攻击其内部关键业务系统……

经过一番认真的调查和仔细的研究, 我们发现现有多于80%的安全事故是在内网条件下出现的, 在整个网络安全管理中, 在内网的管理上还是很欠缺的。

1 内网终端合规管理实施终端准入控制

经过研究发信, 强制内网终端合规准入控制机制的建立, 从终端系统启动一直到终端之间互访的安全接入实施有效地控制, 从而实现对终端整个过程的管理与控制, 还能够对终端安全状态做好实时的监控, 并能够进行修复, 给内网建立“终端安检系统”, 这样, 不管是终端用户有意的还是无意的不按照内网合规管理方案操作, 这一管理系统就会自动开启违规处理, 对这些不按照相关规定进行操作的终端做出不同程度的处理, 如提示、警告、自动修复或者是对终端进行安全隔离, 但是违规终端会很好的保护网络资源, 更好的完成内网合规管理。

从上面的分析中, 我们制定了几种内网终端合规管理解决方案的原则: (1) 终端接入内网后, 从网络边界、业务应用系统到其他客户端做好控制。 (2) 终端接入内网后, 要对其强制执行内网合规管理策略。 (3) 监控终端的全过程、动态的合规状态, 如果出现终端违规现象, 就会对违规行为进行提示、警告、自动修复甚至对终端实施安全隔离。

2 能够实现合规管理无盲区, 不妥协

构筑多层准入的内网终端合规管理系统

基于以上原则, 我们广泛了解现在内网终端安全管理市场, 考察了多家国内外专业安全厂商, 深入了解和测试了多款这些厂家所提供的成熟和稳定的内网终端安全管理产品, 最终决定跟国内著名的安全公司“启明星辰”合作, 发展好内网终端计算机的综合信息中心, 在合规管理平台的运行上不断创新, 作为教培中心培训机房的内网终端合规管理系统承载平台, 这样就使得教培中心培训机房拥有了全新的多层准入内网安全管理体系架构。

在多层准入控制的帮助下, 我们能够实现以下准入控制流程:终端层→网络层→应用层 (包括客户端准入、网络准入和应用准入等) 。

2.1 如果终端想借助交换机接入内网

管理服务器可以跟接入层和汇聚层网络设备联动, 控制那些想要连入内网的终端网络准入, 不仅会对其进行严格的身份验证, 还要进行合理的合规检查, 我们要做到的是只允许合法的和安全的终端接入内网。那些违规的或者是不合法的终端, 系统会自动将其划入修复区甚至是隔离。详见下图:

2.2 当接入网络的终端试图访问内网服务器或关键业务系统时

在内网安全风险管理与审计系统中, 需要有一个特有准入控制组件—策略网关, 把它安装在企业网的重要服务器或者是关键业务系统上, 这样就能够保障有效地控制终端应用层的准入, 一旦出现不受控的终端或者是不合规的终端, 就无法访问该服务器或业务系统。

应用准入与网络准入的主要区别: (1) 在数据中心的服务器区就可实现应用准入, 不涉及网络环境, 如果出现与网络准入条件不相符合的情况, 或者是由于内网终端合规管理的现实情况, 在网络准入控制方面可以不必太严格, 此时使用应用准入控制就可以, 不必进行终端合规准入控制。 (2) 应用准入具有自动重定向功能, 一旦发现未受控终端, 以及不合规终端, 系统就会出现相关的提示, 通知其被拦截的消息, 并告知其原因。而且在提示页面中还能够设置合规管理客户端下载链接, 这样在很大程度上使系统维护人员的工作量变少了, 使用户的满意程度不断提高, 使他们更乐于接受, 进而实现了内网合规的最佳效果。

2.3 当两个终端相互之间进行访问时

来访的终端会受到合规受控的终端的客户端准入控制, 同时还要接受合规检查, 只有合规安全的终端才能进行访问, 如果是不合规的终端或者是不合法的终端都将无法访问, 这样当那些感染了蠕虫病毒的非受控终端想要对合规终端进行病毒感染时, 就可以将其及时的切断。

3 全面进入内网终端合规管理

教培中心培训机房首先完成构建混合准入控制体系, 然后充分考虑到内网终端合规管理以及内网安全等级保护的要求, 编辑和下发了一些终端合规安全管理策略, 通过对这些策略的认真执行, 使内网终端的安全保护能力得到显著提高, 而且由于非安全终端造成的很多内网安全问题也减少了很多, 此外, 不仅仅是教培中心培训学员网络安全防护等级提高了, 而且信息安全管理水平也有了明显的改善。

4 总结

教培中心培训学员机房通过部署内网安全风险管理与审计系统, 构建多种准入控制手段混合共存的内网终端合规准入管理体系, 更好地实施内网终端合规管理规范, 在信息安全系统投资中收到最好的效益。

参考文献

[1]孙强, 陈伟, 王东红著.信息安全管理:全球最佳实务与实施指南.北京:清华大学出版社, 2004.

[2]启明星辰编著.UTM (统一威胁管理) 技术概论.北京:电子工业出版社.

网络安全准入控制 篇5

人民银行系统建设和运维的安全规范体系已经基本形成, 但分支机构在安全规范的具体实施上仍存在不足, 表明分支机构内部管理仍有待进一步加强。一是项目建设前期安全规划不够。开发人员在项目建设周期中更多地考虑系统的功能及性能元素, 而容易轻视或忽略安全元素, 安全策略规划不完整容易导致系统上线后风险积聚和爆发。二是对运维管理的安全控制少度不足。例如变更管理缺少对变更的安全评估, 变更过程靠人员自觉控制, 无有效的技术手段实施监督审计;问题管理意识不足, 限于所面临的事件孤岛中, 深入剖析问题消除安全隐患的能力有待提升。三是缺乏全面而具体的实施细则或者操作指南, 将现有的安全规范具体有效落实到位。例如对各类节点的安全准入控制要求不明确、项目周期忽略有效的安全控制手段。

二、解决问题思路

为全面理解和解决企业IT基础架构中与安全有关的各种问题, IBM公司提出了企业信息安全框架。该白皮书提到了安全策略管理的相关观点, 安全策略主要包括信息安全流程和步骤, 目的是为了保证安全标准和指导方针的有效实施而制定的实施流程、指南与细则。安全流程和步骤是对信息安全标准与规范的解释与明细。安全策略以及相应的规范、规定、标准和流程应有明确的信息资产保护对象或保护对象类。

按照戴明环的工作思路, 应将安全策略按照信息安全管理的生命周期进行管理。从先后逻辑而言, 重点把握3个关键环节:安全规划、实施准入、安全运维。从管理范围而言, 应包括项目建设、网络、终端、系统等关键节点。具体工作应根据对计算机信息系统现状的风险分析结果, 确定安全策略的起点, 从而制定安全策略、标准和制度, 通过推行安全体系的执行和安全措施的实施, 有计划、分阶段的逐步建立安全体系。

三、具体工作建议

(一) 严把项目建设安全审核关口。

严格依照《中国人民银行信息系统建设安全指引 (试行) 》相关要求进行项目安全审查工作, 关注信息安全在系统建设的重要性, 明确安全人员的权责。其次, 建立对照审核机制。即梳理各阶段具体检查列表, 对照检查列表逐项检查落实, 进行合规性验证, 并同步输出阶段性安全成果记录。项目实施人员在每个阶段结束后要将安全成果文档和对照检查记录表一并提交安全人员评审, 并作为后续审计的文档记录加以归档。

(二) 实行网络、终端、服务器等全面安全准入控制。

安全准入的管理思路来源于终端接入控制, 在此基础上进而拓展到网络、系统等关键点, 可以保证安全策略得到强制实施, 减少安全事故。首先, 在两级数据中心架构下, 人民银行分支机构应对关键节点设置准入控制点, 对网络设备、客户终端、服务器进行全面接入控制。其次, 将各类安全准入流程标准化, 为关键系统、核心设备的准入定制审批流程, 拟定准入检测策略, 辅以检测用的技术工具, 按照预设的策略对接入节点的安全状态进行合规性检测, 拒绝不符合安全要求的节点, 不合格的节点需进行整改;检测成功的节点才允许运行, 确保可信、安全的节点接入生产网络。

(三) 运用各类安全策略实行精细化运维管理。

网络安全准入控制 篇6

1 部署所需相关技术

基于身份认证的准入控制是一种对局域网访问安全性的解决方法,由于学校采用的是域控制的管理,因此本部署设计主要包含了802.1X、AAA、PKI、域控制等技术的综合应用。

1.1 802.1X技术

802.1X技术旨在用认证方式解决并提供基于端口的访问控制,它主要有3部分组成:请求者、认证者、认证服务器。

请求者:请求访问网络的设备即客户端。

认证者:网络登录点设备。

认证服务器:对请求者执行认证的设备。

请求者与认证者之间运行的EAP协议,在以太网上的EAP称作为EAPOL,它是一种802.1X中的协议且承载了EAP协议,而EAP数据包内包含的是具体的认证信息。EAP提供了一种认证手段,它的常用类型包括:EAP-MD5、EAP-TLS、PEAP等。

1.2 AAA技术

AAA技术在网络准入控制中的起到了重要的作用,为了验证请求者的合法性,这个认证的任务是有认证服务器完成的,而认证服务器一般是AAA服务器,主要用来指导管理员以统一的方式设置三个独立的安全功能。AAA服务主要是指:认证、授权、审计。

认证:负责在用户访问网络或网络服务以前,对用户进行认证。

授权:为远程访问控制提供网络服务,包括一次性授权,或者基于每个用户账户列表或用户组为每个服务进行授权。

审计:主要是对记录用户对各种网络服务的使用情况提供计费、查账、报告。

1.3 PKI技术

PKI是一系列基于公钥密码学之上,用来创建、管理、存储、分布和作废证书的软件、硬件、人员、策略和过程的集合。该技术中的核心就是数字证书,它是由一个可信的CA颁发的,包含用户信息、用户公钥信息、以及身份验证机构数字签名数据。它可以认证持有者真实的身份。每一个申请者CA会给每一个用户分配一个唯一的名称并签发一个包含用户名称和公钥的证书。

2 部署设计的思路与解决方法

基于身份的准入控制部署是建立在802.1X、AAA、PKI技术之上的,结合该高校的网络拓扑以及实际的管理要求,部署前必须满足以下几个要求:

第一,该部署是基于802.1X技术的应用,那么要求硬件和软件设备能够支持802.1X,由于学校里的交换机都是思科2960系列的,完全支持802.1X技术,客户端系统都为Windows XP,默认带有802.1X客户端,其也支持该技术。

第二,为了能够将请求者的认证信息得以认证,部署中需架设AAA服务器,结合校园网的交换机都是思科设备,于是部署中使用了ACS作为AAA服务器。

第三,在802.1X技术中用来验证的身份信息都被封装在EAP中,而EAP的认证方式有多种,本部署采用PEAP的认证方式,而PEAP又涉及到服务器证书的认证,于是采用Windows 2003自带的证书服务进行搭建,由它来进行数字证书的申请颁发等过程。

综上所述,部署所需的硬件和软件条件已经满足,图1是在该高校拓扑图上进行简化后的部署设计图。

该部署设计最终达到的效果是:终端用户开机后只要通过输入域账户密码便能接入校园网,且又提供账户和机器的安全与合法性。

为了达到最终效果,以下是技术上的难点及解决方法:

第一,由于已加入域的用户必须在登录的时候能够访问域服务器才能够登录进系统,然而,默认情况下端口的状态是处于未授权状态的,端口是只接收EAP相关的控制帧,对于数据平面的数据是不允许通过的,这就导致了客户机无法连接到域而无法进入系统。因此如何使得用户能够一次性登录到域是十分关键的,而采用基于机器账号与域账户认证相结合的方法来解决此问题。

第二,由于用于认证账户的主要是ACS服务器和域服务器,前者掌管的是网络接入所使用的合法性,后者是用于针对接入的用户在域中的合法性,因此如何使得2个数据库合2为1双方使用一个数据库是要解决的问题,而ACS可以通过本地映射外部数据库的方式解决此问题。

第三,由于采用的是PEAP的方法进行身份验证,此方法又是基于证书的。因此如何部署证书服务器以及受信任的根证书的颁发是个繁琐的过程,通过域的组策略使用自动的证书颁发可以解决该问题。

第四,由于涉及到机器认证以及域账户的认证过程,因此在VLAN的规划中也必须考虑到的是机器认证后和所对应的用户认证后的VLAN授权问题以及DHCP服务器、域控制器、数字证书颁发机构的VLAN规划。具体规划如表1。

下面介绍该部署是如何对计算机账户和用户账户进行认证和授权的:

当加入域的计算机开机至欢迎界面后,由于交换机使用了802.1X的基于端口访问的认证,默认端口处于未授权状态,因此通过EAP与ACS进行机器账户的认证。

机器账户认证通过后,交换机将该端口授权打开,同时ACS服务器将该端口授权到与域服务器同一VLAN 110中,并且DHCP服务器会自动分配一个VLAN 110的IP地址,此时便能与域服务器通信了,然后使用域的用户名和密码登陆,用户账户通过了域服务器认证后进入系统,此时机器账户将自动注销,端口又处于未授权状态,此时计算机再次通过在PEAP的认证方式下将域用户名和密码进行认证,认证通过后由ACS服务器根据预先定义好的授权策略授权该计算机至VLAN 10中及自动获得该VLAN的IP地址从而接入校园网,用户账户具体验证过程如图2。

整个认证过程中,所有与ACS服务器通信的密码都是在客户机与服务器在PEAP方法所建立的TLS通道中进行验证的,因此整个验证过程十分安全的,保障了机器和用户账户的安全性,并且可以针对不同的用户名通过ACS实现动态VLAN的效果。

3 部署设计的测试结果与分析

通过在交换机上开启802.1X技术以及客户端XP系统开启802.1X身份验证后,计算机登录后在AAA服务器上的日志信息如图3。

图3中的日志中一共包含了3个过程:

框1的这个过程是开机至欢迎界面,计算机名字为jsj的机器账户由交换机将认证信息传递至认证服务器,并且通过了机器认证的合法性,当前处于机器账户运行下。

框2的这个过程是用户通过输入域的账户和密码登录后进入了XP系统,于是自动将机器账户注销,且XP系统的网络连接要求进行用户账户的认证,用户名为jsj的账户通过了验证后,所以当前运行状态为jsj用户账户。

框3的这个过程是当用户账户注销后,此时再次进入欢迎界面而交换机的端口由于用户账户注销后又是处于非授权状态要求进行802.1X认证,于是计算机再次将机器账号通过交换机传送到认证服务器进行认证通过后又处于计算机账户为jsj的状态下。

4 结论

基于身份的校园准入控制部署设计通过实际的应用后发现大大地降低了因为非法计算机和用户的接入而导致的局域网攻击,有效地保护了校园局域网的安全,该部署针对企业网的部署规划也有一定的参考价值。

摘要：随着网络技术的迅速发展,高校的校园网的安全性受到了严重的威胁。多数的局域网攻击都来自于校园网内部非法计算机与人员的接入,因此如何有效地进行准入控制的部署成为了解决内部攻击的首要任务。该部署设计以上海师范大学天华学院为背景,通过将域控制、802.1X、AAA等技术相结合的方式对计算机、用户的身份进行有效地认证,最终达到杜绝非法接入从而保护内网的安全。

关键词：身份认证,网络安全,802.1X,数字证书,AAA

参考文献

[1]童子方,李亦杰.基于802.1X协议解决校园网安全的探索[J].网络安全技术与应用,2011(1).

[2]陈莹.校园网安全问题及防范策略[J].信息安全与技术,2011(7).

[3](美)Cisco公司.信达工作室译.Cisco IOS网络安全[M].北京:人民邮电出版社,2001.

[4]齐铁.高校内网信息安全研究[J].赤峰学院学报:自然科学版,2011(4).

[5]钟永全.高校网络安全初探[J].计算机光盘软件与应用,2011(11).

[6](美)Eric Vyncke.LAN Switch Security[M].cisicopress.com,2010.

[7]王军号,陆奎.RADIUS协议在AAA系统中的应用研究[J].计算机技术与发展,2009(7).

网络准入技术研究 篇7

当前面临的主要问题是IP地址冲突现象频繁发生, 干扰正常计算机联网。计算机入网没有有效管控措施, 计算机随意接入。为了确保局域网环境运行良好, 有必要对IP地址资源进行科学管理, 对未授权计算机和非法制造IP地址冲突的行为进行限制, 本文深入分析问题产生的原因, 从技术角度, 提出对上述问题的解决方法。

2. IP冲突原因分析与防治技术

I P地址冲突的解决方法有很多, 局域网中发生IP地址冲突, 不仅是简单的技术问题, 还是网络管理员必须要认真面对的管理问题。在分析故障存在的基础上, 笔者结合实践经验与教训, 从技术层面提出IP地址冲突的解决办法, 为网络管理员提供一套可行的管理策略。

2.1 IP冲突原因

一是重新安装操作系统, 并且随意设置上网参数, 无意中造成IP地址冲突。

二是局域网中的一些非法攻击者企图破坏或干扰本地局域网中重要网络设备的稳定运行, 制造IP地址冲突故障现象, 造成整个局域网无法正常工作。

三是一些权限受限用户想获得特殊的访问权限, 冒用合法IP地址进行网络连接, 从而访问局域网的授权IP资源。

第一种情况发生频率较低, 归为特殊情况。第二种情况发生频率也较低, 但危害性最大。第三种情况发生频率最高, 行为发生人多为内部员工。

2.2 限制访问网络连接属性

用户可以修改本地主机的I P地址, 为了屏蔽修改功能, 可以通过修改本地系统组策略以禁止访问网络连接属性。具体操作方法是:单击“开始”、“运行”命令, 在弹出的系统运行框中敲入“gpedit.msc”命令, 打开系统的组策略编辑界面, 依次点选该界面左侧显示区域中的“用户配置”、“管理模板”、“网络”、“网络连接”等节点选项;之后用鼠标双击该节点选项下面的“禁止访问L A N连接组件的属性”, 打开目标组策略的属性设置窗口, 选中其中的“已启用”选项, 然后单击“确定”按钮。这样, 用户就不能随意打开T C P/I P属性设置窗口修改本地主机的I P地址, 此方法适合对特殊网络设备的保护。

2.3 IP-MAC地址绑定

在相同的局域网网段中, 二层网络寻址不是根据主机IP地址而是根据主机物理地址来进行的, 而在不同网段之间通信时才会根据主机的IP地址进行网络寻址, 所以作为局域网网关的三层交换设备上通常保存有IP-MAC地址映射表, 通过手工修改固化IPMAC地址映射表表项, 达到限制IP更改造成的地址冲突, 从而限制非法更改IP地址行为, 防止造成网络运行不稳定现象发生。ARP绑定操作:telnet或console登陆三层交换机, 输入命令“arp static IP地址MAC地址”然后回车, 保存配置即可。

3. 内部入网控制

身份证起到证明身份的作用。比如去银行提取大量现金, 这时就要用到身份证。那么MAC地址与IP地址绑定就如同我们在日常生活中的本人携带自己的身份证去做重要事情一样。我们为了防止IP地址被盗用, 就通过上面的方法, 简单的对MAC表使用静态表项, 而有时在一个VLAN内, 已使用的IP地址数量多, IP剩余资源量大, 虽然之前已经绑定了已使用的IP地址, 但是对陌生计算机并没有管控措施。

通过ARP绑定技术并不能达到理想的效果, 而MAC集中认证技术可以实现对入网计算机进行准入, 达到内部联网准入控制的目的。

3.1 MAC集中认证技术

MAC地址集中认证是一种基于端口和MAC地址对用户访问网络的权限进行控制的认证方法。它是一种通用的交换机安全控制技术, 各个厂商设备都有支持的型号。它不需要用户安装任何客户端软件, 交换机在首次检测到用户的MAC地址以后, 即启动对该用户的认证操作。

计算机在接入网络前必须与交换机的MAC认证表比对, 如果认证表中没有此计算机对应的MAC地址, 则按认证失败处理, 不学习此端口下连的MAC地址, 从而达到未认证计算机无法转发数据包的目的, 控制其非授权入网行为的发生。

M A C集中认证与A R P绑定的区别是, MAC集中认证不需要知道对应设备的IP地址, 而是对MAC进行处理。本单位管理员通过网络认证台账, 即可认证本单位的联网设备身份, 对联网设备实行准入控制。

4. 入网控制管理规范, 补充VRV管理盲区

M A C集中认证、A R P绑定、VRV内网安全管理平台三者结合。通过基础认证台账 (从VRV获得) , 添加MAC认证用户, 建立本地认证用户信息, 绑定认证IP-MAC, 查询VRV未注册设备, 然后绑定未注册IP与黑洞MAC地址, 限制未注册已认证计算机。一段时间后, 通过认证, 但未注册VRV的用户, 反映无法联网的情况, 管理员通过查询台账, 绑定正确信息。帮助用户注册VRV客户端, 保证内网安全管理平台的用户完整性, 入网控制流程。

5. 应用效果

通过一段时间的试点运行, 已经起到很好的准入控制效果, 试点单位IP冲突和IP占用现象已不再发生, 未注册用户数零, 技术应用稳定性良好。

6. 结论

通过ARP绑定技术与MAC集中认证技术相结合, 补充VRV内网安全管理平台应用, 有效防止非法违规入网设备获取资源, 内网IP冲突得到有效控制。同时完善了内网管理系统VRV用户完整性, 更好地帮助企业管理者实施实名制终端行为审计和实名制行为管理。填补了VRV管理平台漏洞, 保障网络安全和数据平稳传输, 起到良好的应用效果。

参考文献

[1][美]赖利 (Riley, C.) 等著.ISCO网络核心技术解析[M].江魁等译.水利水电出版社, 2005

[2]H3C公司著, H3C配置手册[S].杭州:华三通信技术有限公司, 2009.6

[3]王群著.非常网管.网络安全[M].北京:人民邮电出版社, 2007.4

网络安全准入控制 篇8

所谓外部终端就是非移动集团公司内部的自有终端统称为外部终端。此类终端有以下特性:

1) 集中分布在集团分公司的某些楼层。

2) 长期驻场完成业务软件开发和调试工作。

3) 短期驻场完成业务软件开发和调试工作。

4) 临时驻场完成业务软件开发和调试工作。

5) 这些终端均由驻场人员自行带进移动集团各分公司, 基本上为笔记本电脑。

6) 操作系统版本、类型不统一。

7) 防病毒软件安装与否无法控制, 防病毒软件版本无法控制。

8) 终端自身的安全状态无法检查和控制。

9) 终端访问集团分公司内部核心资源时, 无法保证数据不外泄。

鉴于此, 我认为必须建立一套有效的管理机制和流程, 除了行政上的管理手段以外, 特别是在外部终端的准入控制方面需要加强。

建立外部终端安全准入控制系统的意义在于:解决外部大批量的计算机安全管理问题。具体来说, 这些问题包括:

1) 实现对网络内部所有的计算机接入网络进行准入控制, 防止外来电脑或者不符合安全规定的外部电脑接入内部网络中;

2) 实时、动态掌握网络整体安全状况, 建立实时安全评估体系, 掌握外部各种终端接入设备的安全运行状况, 为领导决策、部署安全工作任务提供支持, 为维护人员的提供管理维护便利;

3) 建立防泄密体系, 强化存储设备管理, 对公司内部资料进行保护, 防止各种渠道外传, 对U盘、软盘、光盘等存储设备进行管理;

4) 建立桌面电脑的接入前的安全基线和接入后的强制安全加固措施, 对数量众多, 最难以管理、监控的桌面电脑建立完善的安全评估、安全加固、集中维护体系, 以提高桌面电脑的安全性及降低桌面电脑的日常维护工作量;

5) 确保集团内部的计算机使用制度得到落实, 例如:拨号上网, 使用外部邮箱, 访问非法网站, 聊天工具, P2P软件的使用等;

准入控制的终极意义:确保身份合法、安全状态健康的终端方可接入网络访问被授权的网络资源。

1.1 准入控制的模型

在详细介绍准入控制技术之前, 可以先看一下一个普通旅客的登机过程, 如上图所示, 登机由以下流程构成:

1) 注册登记——购买机票的过程。

2) 身份检查——校验机票、身份证以及行李的合法性。

3) 安全隔离——如出现不合法的身份和违禁携带的物品, 则进行隔离处理。

4) 安全修复——把违禁物品从行李中剥离出来。

5) 进入登机口——根据登机牌的指示, 从正确的登机口进入登机区域。

6) 登入正确的飞机——根据登机牌的指示, 登入正确的飞机。

为了更好的理解准入控制技术, 我们可以把以上6个步骤所在的区域划分一下:

1) 在没有购买机票之前, 旅客所活动的区域称为访客区域。

2) 在购买了机票之后, 换了登机牌, 进行安全检查的过程所在的区域, 称为修复区域。

3) 在通过了安全检查以后, 进入的活动区域, 称为工作区域。

【访客区】:一般情况下, 定义访客区的网络资源是可以被任何用户的终端访问的, 如Internet资源。一般外来用户的终端设备被限制只能访问访客区的网络资源。

【修复区】:修复区网络资源是用来修复安全漏洞的, 如补丁服务器、防病毒服务器、软件安装包服务器等, 不符合组织安全策略要求的终端被限制在修复区中, 强制它们进行安全修复。

【工作区】:工作区即是合法用户通过认证、检查并成功进入网络后, 规定用户可以访问的网络资源, 如:文件服务器、邮件服务器、其它应用系统等。

准入控制可以很好的跟旅客登机模型进行匹配, 部署准入控制系统后, 会改变了电脑终端接入网络的行为模式。一般来说, 外部终端接入网络需要:

1) 注册登记, 外部终端要访问网络资源之前, 需要在网络上注册登记 (用户账户登记、终端ID注册等) , 取得接入网络的权限。

2) 接入检查, 终端在接入网络时, 准入控制系统会检查其用户账户、安全设置状态、终端硬件合法性等。

3) 安全隔离, 如果在接入检查时, 发现终端不符合安全规定, 需要对终端进行隔离或拒绝其访问网络资源, 例如:发现是外来终端则拒绝接入或进入“访客区”网段, 或者是内部不符合安全规定的终端, 则让其进入“修复区”。

4) 安全通知, 对被隔离的终端进行通知, 告知其被隔离的原因。

5) 安全修复, 自动引导被隔离的终端, 让其修复安全设置或者进行注册登记, 使得其可以正常访问网络资源。

一个完整的网络准入控制系统, 应该必须包括以上五个方面的内容, 缺少其中一个或者两个方面的内容, 就不是完善的解决方案, 会给准入控制系统的部署和推广带来问题。

1.2 准入控制技术的工作原理

经过1.1章节对准入控制的模型有了初步了解之后, 我们明白借助准入控制技术来管理外部终端是非常有意义的。针对目前多种准入控制技术, 如何选择适合我们环境的准入控制方式呢?在做选择之前, 首先我们了解一下各类准入控制技术的工作原理。

1.2.1802.1X准入控制技术

802.1x协议是基于Clie nt/Se rve r的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前, 802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前, 802.1x只允许EAPoL (基于局域网的扩展认证协议) 数据通过设备连接的交换机端口;认证通过以后, 正常的数据可以顺利地通过以太网端口。网络访问技术的核心部分是PAE (端口访问实体) 。在访问控制流程中, 端口访问实体包含3部分:认证者--对接入的用户/设备进行认证的端口;请求者--被认证的用户/设备;认证服务器--根据认证者的信息, 对请求访问网络资源的用户/设备进行实际认证功能的设备。

以太网的每个物理端口被分为受控和不受控的两个逻辑端口, 物理端口收到的每个帧都被送到受控和不受控端口。对受控端口的访问, 受限于受控端口的授权状态。认证者的PAE根据认证服务器认证过程的结果, 控制"受控端口"的授权/未授权状态。处在未授权状态的控制端口将拒绝用户设备的访问。

1.2.2802.1x认证特点

基于以太网端口认证的802.1x协议有如下特点:IEEE802.1x协议为二层协议, 不需要到达三层, 对设备的整体性能要求不高, 可以有效降低建网成本;借用了在RAS系统中常用的EAP (扩展认证协议) , 可以提供良好的扩展性和适应性, 实现对传统PPP认证架构的兼容;802.1x的认证体系结构中采用了"可控端口"和"不可控端口"的逻辑功能, 从而可以实现业务与认证的分离, 由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与控制, 业务报文直接承载在正常的二层报文上通过可控端口进行交换, 通过认证之后的数据包是无需封装的纯数据包;可以使用现有的后台认证系统降低部署的成本, 并有丰富的业务支持;可以映射不同的用户认证等级到不同的VLAN;可以使交换端口和无线LAN具有安全的认证接入功能。

1.2.3802.1x工作过程

1) 当用户有上网需求时打开802.1X客户端程序, 输入已经申请、登记过的用户名和口令, 发起连接请求。此时, 客户端程序将发出请求认证的报文给交换机, 开始启动一次认证过程。2) 交换机收到请求认证的数据帧后, 将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。3) 客户端程序响应交换机发出的请求, 将用户名信息通过数据帧送给交换机。交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。4) 认证服务器收到交换机转发上来的用户名信息后, 将该信息与数据库中的用户名表相比对, 找到该用户名对应的口令信息, 用随机生成的一个加密字对它进行加密处理, 同时也将此加密字传送给交换机, 由交换机传给客户端程序。5) 客户端程序收到由交换机传来的加密字后, 用该加密字对口令部分进行加密处理 (此种加密算法通常是不可逆的) , 并通过交换机传给认证服务器。6) 认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比, 如果相同, 则认为该用户为合法用户, 反馈认证通过的消息, 并向交换机发出打开端口的指令, 允许用户的业务流通过端口访问网络。否则, 反馈认证失败的消息, 并保持交换机端口的关闭状态, 只允许认证信息数据通过而不允许业务数据通过。

1.2.4EAPOU准入控制技术

目前主流和成熟的网络准入控制技术要有EAPOL (Extensible Authe ntication ProtocolOve rLAN, 或者称为EAP Ove r LAN或EAP ove r 802.1x) 技术和EAPOU (Exte ns ible Authe ntication Protocol Ove rUDP, 或者称为EAP Ove rUDP或EOU) 技术。EAPOL是在网络的接入层进行准入控制, 而EAPOU是在网络的汇聚层或核心层进行准入控制。

EAPOU是EAPOL网络准入控制技术的有益补充, 可有效解决因接入层设备不支持802.1X情况下的设备投入、网络改造及维护问题, 具有很高的灵活性和可靠性。

基于EAPOU网络准入控制应用场景中的需要专用EAPOU设备。一般部署在网络中的汇聚层或核心层, 与汇聚层或核心层的交换路由设备连接。EAPOU设备的工作原理是, 汇聚层或核心层设备启用策略路由, 可以将接入网络中的指定范围内的网络访问都路由到EAPOU设备, 当EAPOU设备接收到终端设备发来的数据包时, EAPOU设备将要求终端设备进行EAP认证。EAP认证包封装在UDP包内, 在EAP认证的内容中, 除了身份认证外, 还要进行终端设备的安全状态认证。EAPOU设备根据源IP地址对应的设备的网络准入控制状态来决定是允许、拒绝还是重定向。对于经过验证之后允许接入的数据包, 其下行的数据包则从正常的路由汇聚层或核心层设备走, 不再经过EAPOU设备。EAPOU设备的认证的流程如下:

1) 没有安装了准入客户端代理:如果没有安装, 则按照无代理 (nah, agentless host) 主机处理。其中, 被设置为例外 (nah-excpe tion) 的主机可以允许访问网络;其余的通过ACL限制其访问网络资源, 同时对该地址的Web访问进行重定向, 重定向到管理员指定的页面, 以便提醒、安装LeagView客户端代理;

2) 已经安装了准入客户端代理:如果已经安装了准入客户端代理, 则EAPOU设备对该客户端发起基于EoU (EAPoverUDP) 协议的认证, 将客户端的EAP包转发到准入控制策略管理服务器中的Radius服务器, 由Radius服务器对接入的客户端进行身份验证和安全策略校验;如果身份验证不通过或安全策略校验不通过, 准入控制策略管理服务器则下发ACL到EAPOU设备对其网络访问进行限制, 同时也可以通过对Web访问重定向进行提醒和协助修复;如果身份验证通过并且安全策略符合, 则下发ACL允许其访问网络资源。

1.3 准入控制技术的选择

通过对802.1x?和EAPOU的工作原理的分析, 同时结合目前外部办公人员的网络环境, 选择EAPOU的准入控制技术是比较合适的。原因如下:

1) 接入层交换机型号较老, 存在部分交换机不支持802.1X协议和需要升级或更换交换机。2) 采用802.1X会带来比较繁重的施工量。3) 系统可靠性方面的考虑, 如关键组件故障会导致接入层的终端准入校验失败, 影响面较大。4) 系统实施完毕后, 维护工作量较大。5) 不能解决私接HUB, 无线路由器和AP的准入控制问题。

2 准入控制技术的对比和总结

通过第1章的详细介绍, 下面我针对该2种技术做以详细的对比:

3 总结

根据以上的论述, 我认为选择EAPOU的技术来建立对外部终端的准入控制管理体系是非常有价值, 主要体现在以下几个方面:

1) 可以分批分阶段, 根据VLAN进行建设;2) 可以快速部署, 能立竿见影;3) 易维护, 易管理, 易排错;4) 对网络环境及配置变更最小;5) 能有效解决外部终端接入的随意性;6) 能有效解决外部终端对内部资源访问的不能灵活控制的局面;7) 能有效解决不安装客户端的终端对内部资源访问的灵活授权问题;8) 能全面增强信息系统的安全性;9) 具有可实施、可管理、可推广的特点。

摘要：本文主要阐述如何利用准入控制技术有效的安全管理长期 (短期临时) 的驻场外包人员。主要论证基于802.1X、EAPOVERUDP二种准入控制技术中哪一种或多种技术能适应移动运营商驻场外包人员的环境。最终选用基于旁路部署准入控制网关的方式来解决外部终端的准入控制问题。

关键词：准入控制,外部终端

参考文献

[1]RFC3580-IEEE802.1X Remote Authentication Dial In User Servic.