网络安全准入控制

关键词： 终端 接入 网络 控制

网络安全准入控制（精选九篇）

网络安全准入控制 篇1

随着信息化的发展,当前医院的网络越来越复杂、越来越重要,如果不安全的用户终端接入网络,就等于给潜在的安全威胁敞开了大门,使安全威胁在更大范围内快速扩散,进而导致网络使用行为的失控[1]。终端准入控制从控制用户终端安全接入网络的角度入手,整合网络接入控制与终端安全产品,对接入网络的用户终端强制实施安全策略,严格控制终端用户的网络使用行为,有效地加强了用户终端的主动防御能力[2]。为保证用户终端的安全、阻止威胁入侵网络,对全院登陆网络的用户实施终端准入控制,对全网采取接入认证,对用户的网络访问行为进行有效地控制,使得非法用户无法进入医院网络,杜绝各种可能导致整网不安全的行为,如非法使用外置存储、不安装防火墙软件、私自修改注册表等。医院网络终端准入控制解决方案,对全院用户上网行为进行了有效地监控,为网络管理人员提供了有效、易用的管理工具和手段。

1 准入组网模型

H3C终端准入控制(End user Admission Domination,EAD)安全产品是一套融合网络设备、用户终端和第三方安全产品的全网安全体系框架,其目的是整合孤立的单点安全部件,形成完整的网络安全体系,最终为用户提供端到端的安全防护[3]。H3C EAD组网模型(图1),包括安全客户端、安全联动设备、安全策略服务器和第三方服务器。

安全客户端是指安装了H3C i Node智能客户端的用户接入终端,负责身份认证的发起和安全策略的检查。安全联动设备是指网络中的交换机、路由器、VPN网关等设备。EAD提供了灵活多样的组网方案,安全联动设备可以根据需要灵活部署在网络接入层和汇聚层。安全策略服务器和安全联动设备负责给客户端下发安全策略、接收客户端安全策略检查结果并进行审核,向安全联动设备发送网络访问的授权指令。第三方服务器是指补丁服务器、病毒服务器和安全代理服务器等,被部署在隔离区中。当用户通过身份认证、但安全认证失败时,将被隔离到隔离区,此时,用户仅能访问隔离区中的服务器,需通过第三方服务器进行自身安全修复,直到满足安全策略要求为止。

安全策略服务器是EAD系统的核心,如果安全策略服务器出现宕机将对终端用户接入网络产生影响。为了提高EAD系统的高可用性和容灾性,我们采用双机冷备方案。当主服务器出现故障时,交换机与主服务器之间通讯中断,发出的认证请求在一定时间内未得到响应,经过缺省的重试数次后,交换机自动将认证请求发往备服务器,同时将主服务器状态置为“封锁”。等待一定的时间间隔后,再次尝试将认证请求发往主服务器,若通讯恢复则立即将主服务器状态置为“激活”,从服务器状态不变。为了保证主服务器和备服务器上保存的账户信息同步,EAD系统提供了数据库自动同步功能,每间隔24h主服务器和备服务器会进行1次数据库同步,若有需要,也可手动立即执行数据库同步。

2 网络接入认证

EAD解决方案提供完善的接入控制,可以支持有线、无线各种接入方式,支持包括HUB在内的各种复杂网络、异构网络环境下的部署,保证从任何地点、任何方式下的接入安全。除基于用户名和密码的身份认证外,EAD还支持身份与接入终端的MAC地址、IP地址、所在VLAN(虚拟局域网)、接入设备IP、接入设备端口号等信息进行绑定,支持智能卡、数字证书认证,增强身份认证的安全性。

对于要接入网络的用户,EAD解决方案首先要对其进行身份认证,通过用户名和密码来确定用户是否合法,身份认证通过后的用户进行终端的安全认证。根据网络管理员定制的安全策略进行包括病毒库更新情况、系统补丁安装情况、软件的黑白名单、U盘外设使用情况等内容的安全检查,根据检查的结果,EAD对用户网络准入进行授权和控制[4,5]。通过安全认证后,隔离状态被解除,用户可以正常使用网络,与此同时,EAD可以对用户终端运行情况和网络使用情况进行审计和监控。如果安全认证未通过,则继续隔离用户,直到用户完成相关修复操作后通过安全认证为止。EAD解决方案对用户网络准入的整体认证过程,见图2。

医院网络分为线接入和无线接入两部分。根据EAD的部署效果,有线部分采用802.1x认证,无线部分采用portal认证。有线接入部分,认证全部终结在楼层的接入交换机上,在接入交换机上进行安全控制。对需要开启认证的交换机,在安全策略服务器上添加接入设备,根据从交换机端口接入的用户信息逐个配置交换机开启认证。无线部分的认证全部终结在无线交换机上。对于无线交换机,直接开启部分网段用户portal接入认证即可。网络接入认证时自适应绑定终端的MAC地址。

3 安全策略规划

EAD对终端用户的安全策略进行配置,安全策略服务器则用于对用户终端的染毒状况、杀毒策略、系统补丁、软件使用情况进行集中管理、强制配置(强制病毒客户端升级、强制打补丁),确保全网安全策略的统一。同时,通过客户端管理代理与安全客户端相配合,记录用户的安全日志,并提供查询及监控功能,为网络管理员提供网络安全状态的详细信息。通过这种防病毒软件、安全客户端的整合,EAD安全产品能够防止已感染病毒或存在系统漏洞的用户终端对网络中的其他用户产生危害,保护缺乏防御能力的用户因暴露在非安全的网络中而受到威胁,避免了来自网络内部的入侵。

安全检查基本策略如下:合法用户才能登录,如802.1x认证端口用户未认证不能访问任何地址;Portal认证用户认证前只能访问DHCP服务器和文件服务器等有限资源。用户必须安装防病毒客户端软件,防病毒客户端软件的杀毒引擎版本、病毒库版本必须符合要求。对安全策略模式进行如下规划。

3.1 隔离模式

对于一些关系比较重大的安全漏洞或补丁,如Windows服务器的致命安全补丁,需要进行比较严厉地控制。具体来说,就是一旦用户终端安全状态不合格,就限制其网络访问区域为隔离区,再进行修复操作,满足企业终端安全策略要求后,才能重新发起认证,正常接入网络。对有线接入终端,安全检查不合格时,设置隔离模式,只能访问隔离区的资源。

3.2 警告模式

某些应用环境下,不需要根据用户终端的安全状态严格控制用户终端的访问权限,可以采用警告模式来处理不合格的安全状态,如对于安全等级略低一些的补丁可以采取这种方式。在警告模式下,安全客户端检查用户终端的安全状态信息,并将不合格项以弹出窗口的形式提供给终端用户,同时提供修复指导和相关链接。用户的网络访问权限不因终端安全状态不合格而被更改。

3.3 监控模式

监控模式同警告模式的实现流程基本相同,区别在于在监控模式下,安全客户端不会弹出窗口向用户提示终端的不合格项。但网络管理员可在EAD安全策略服务器的管理界面中对用户终端安全状态进行实时监控,了解用户终端的安全信息。一些相对普通的安全问题,如提示性的补丁安装,可以在不影响终端用户工作的情况下,由管理员进行定期检查并通告。同时,对于重要的网络用户,如院领导、部门领导,管理员对其网络访问的管理也可应用监控模式。

4 结束语

我院“军字一号”网是全院的主要业务运行网络,是二、三层混合架构,拥有各类网络交换机110台,展开网络终端1600余个,对网络运行使用制定了相关管理规章制度,并对网络开展季度巡检[6],但并未消除用户的终端计算机不及时升级系统补丁和病毒库的现象,并未完全控制私设代理服务器、私自访问外部网络、滥用禁用软件等行为。实施终端准入控制后,EAD通过与交换机的联动,强制检查用户终端的病毒库和系统补丁信息,降低病毒和蠕虫蔓延的风险,同时,强制实施网络接入用户的安全策略,阻止了来自医院内部的安全威胁。在用户终端通过病毒、补丁等安全信息检查后,EAD可基于终端用户的角色,向安全联动设备下发事先配置的接入控制策略,按照用户角色权限规范用户的网络使用行为,保障了医院网络的安全[7,8]。

摘要：本文介绍了医院网络终端准入控制的组网模型、网络接入认证和安全策略规划。通过实施终端准入控制,对用户的网络访问行为进行有效地控制,规范用户的网络使用行为,使得非法用户无法进入医院网络。强制检查用户终端的安全,强制实施网络接入用户的安全策略,阻止来自医院内部的安全威胁,保障了医院网络的安全。

关键词：“军字一号”,医院网络安全,终端准入控制,接入认证,安全策略服务器

参考文献

[1]巩蕾,路万里,王伟伟.构建医院网络信息安全防护体系的探讨[J].当代医学,2010,16(6):26-27.

[2]周超,周城,丁晨路.计算机网络终端准入控制技术[J].计算机系统应用,2011,20(1):89-94.

[3]支林仙,朱宇阳.端点准入防御(EAD)解决方案简析[J].福建电脑,2007,(4):74.

[4]周祥峰.基于802.1X协议的网络准入控制技术在电力企业的推广应用[J].现代计算机,2010,(8):101-104.

[5]唐晓雷,余镇危,刘知一,等.准入控制研究综述[J].计算机工程与应用,2005,(5):129-131.

[6]马锡坤,杨国斌,袁波.构筑信息网络基础平台保障人财物科学管理[J].中国数字医学,2010,5(8):20-22.

[7]马锡坤,徐旭东,张曙光.我院“军字一号”网络使用的科学管理[J].中国医疗设备,2008,23(11):70-72.

新疆油田启动端点准入控制系统项目 篇2

新系统将为油田信息系统安全加锁

中国石油网消息：（记者 杜中闻）10月30日，新疆油田公司端点准入控制系统项目启动会召开。明年1月，端点准入控制系统将投入使用，如何确保网络正常高效地运行，成为网络信息安全管理人员最头疼的问题。端点准入控制技术从网络接入端点的安全控制入手，结合认证服务器、安全策略服务器和网络设备及第三方软件系统（病毒和系统补丁服务器），完成对接入终端用户的强制认证和安全策略应用，充当“守门员”角色。用户在接入网络之前，必先接受其检查，只有达到安全标准才能被准予放行，享受网络服务。同时它还可以主动侦测用户和系统的网络安全状态，一旦发现用户出现了对网络影响的问题时，主动应对，采取各种措施切断用户的接入，从而实现从源头保证网络安全。端点准入技术应用是2007年集团公司信息管理的一项重点工作。新疆油田公司通过项目前期调研，对实施工作进行了详细的部署和安排。有关部门介绍说，端点准入系统的应用，可以从根本上改变网络安全被动防守的局面，有效地降低网络安全风险，保障公司整个网络的安全运行和客户端的数据安全。

新疆油田GPS基站网建设项目启动

中国石油网消息：（记者杜中闻 通讯员支志英）近日，新疆油田GPS基站网建设项目实施组开始基准站的选址工作。

这一项目将依托油气储运站库，在准噶尔盆地布设17个基准站，建成以GNSS观测技术为主的油田连续运行卫星定位导航系统，提供均匀覆盖准噶尔盆地的高精度定位服务。

油田GPS基站网的建成，将有效解决油田测量设备短缺、测量标志不足、维护费大等问题，大幅度提高油田基础测绘的工作效率，满足油田井位测量、产能建设、地面工程、勘探工程、地面沉降监测、精确导航等多种现代信息化管理的需求，同时也可为市政规划、国土普查、公共安全预警等提供可靠的定位服务。

集团公司离退休系统加快推进信息化建设

中国石油网消息：（记者 韩辛）11月5日，在广西北海市闭幕的集团公司离退休系统信息化建设暨统计工作会议上，信息技术服务中心的技术人员向与会的100余名各企事业单位的代表，详细讲解了系统管理软件知识和模板演示。这标志着离退休系统将融入集团公司“信息快车道”，服务和管理将上一个新台阶。

企业内网准入安全实务研究 篇3

关键词：网络安全；802.1X协议；企业内网；安全接入控制

中图分类号：TP393 文献标识码：A 文章编号：1009-2374（2013）23-0157-03

目前，国内的大中型企业均已完成了企业内部网络和信息系统的建设，但各类来访人员终端接入公司内部网络时，普遍处于不可控状态；另外，企业在金融资本市场上需要遵守某些国际的规则和法案（如SOX法案404条款）。企业成立内控部门，力求企业生产运营过程各环节的可追溯、可审计。因此，需要通过对于终端接入的认证管理，实现终端接入的可控和可审计，满足安全和内控要求。现有企业网络还不能满足上述需求。本文针对这些需求进行研究，提出解决方案。

1 802.1X协议及解决方案

1.1 什么是802.1X

IEEE 802.1X是IEEE制定关于用户接入网络的认证标准。它的全称是“基于端口的网络接入控制”。802.1X协议起源于802.11协议，802.1X协议的主要目的是为了解决无线局域网用户的接入认证问题。

在802.1X出现之前，企业网上有线LAN应用都没有直接控制到端口的方法，也不需要控制到端口，但是随着无线LAN的应用以及LAN接入在电信网上大规模开展，有必要对端口加以控制，以实现用户级的接入控制。802.1X就是IEEE为了解决基于端口的接入控制（Port-Based Access Control）而定义的一个标准。

1.2 802.1X认证体系结构

802.1X的认证体系分为三部分结构：Supplicant System客户端（PC/网络设备）、Authenticator System认证系统、Authentication Server System认证服务器。

基于以太网端口认证的802.1X协议有如下特点：IEEE802.1X协议为二层协议，不需要到达三层，对设备的整体性能要求不高，可以有效降低建网成本；借用了在RAS系统中常用的EAP（扩展认证协议），可以提供良好的扩展性和适应性，实现对传统PPP认证架构的兼容；802.1X的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能，从而可以实现业务与认证的分离，由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与控制，业务报文直接承载在正常的二层报文上通过可控端口进行交换，通过认证之后的数据包是无需封装的纯数据包；可以使用现有的后台认证系统降低部署的成本，并有丰富的业务支持；可以映射不同的用户认证等级到不同的VLAN；可以使交换端口和无线LAN具有安全的认证接入功能。

1.3 802.1X解决方案

1.3.1 Cisco NAC。思科与防病毒厂商（包括趋势、McAfee等）合作的安全网络接入控制（下称NAC）方案，可实现基于用户身份的认证，也可对客户端防病毒安全状态进行评估，对不满足条件（预先制定的策略）的用户，对其接入网络的能力和范围实现控制，从而提高全网整体的安全防护能力；采用思科网络安全接入控制方案（NAC），可以有效地解决SOX法案要求局域网接入认证的内控要求。

NAC是由思科公司倡导的跨业界合作的整套安全解决方案，自2003年11月提出后获得防病毒厂商的广泛支持。目前，包括国外软件厂商：趋势科技、McAfee、赛门铁克、CA、IBM，国内软件厂商：瑞星和金山等15家安全领域主要厂商，都已成为思科NAC合作伙伴。

1.3.2 华为 I3SAFE Numen。I3SAFE Numen终端安全系统（以下简称终端安全系统）是在I3SAFE Numen系统框架基础上开发的针对企业、运营商的内部网络终端安全防护产品。终端安全系统通过在每一台终端上安装安全代理，对终端的安全状况进行检测，并实时监控和采集用户涉及主机安全的行为记录。同时通过与接入设备的联动，限制不符合安全要求的终端的上网。

1.3.3 局域网准入方案比较。

实施方法比较：

（1）协议方面。两种方案都采用EAP协议、RADIUS协议和802.1X协议实现接入控制。但思科的方案还可以支持不采用客户端的方式实现接入认证，即无客户端方式，为用户提供另外一种选择。

身份认证管理方面。两种方案在后台都选择了使用RADIUS服务器作为认证管理平台；华为只能以用户名/密码方式进行身份认证，思科除了采用用户名/密码方式外，还可以采用证书方式管理用户身份。

管理方式方面。都采取集中式控制和管理方式。策略控制和应用由策略服务器（通常是RADIUS服务器）和第三方的软件产品（病毒库管理，系统补丁等）协作进行；用户资料和准入策略由统一的管理平台负责。

（2）协作厂商比较。NAC是由思科公司倡导的跨业界合作的整套安全解决方案，于2003年11月提出。其主旨是向已获授权的合作伙伴提供协议和技术信息，以便合作伙伴开发和销售支持NAC网络、策略服务器及客户端应用。NAC方案支持的厂商包括国外软件厂商：趋势科技、McAfee、赛门铁克、CA、IBM，国内软件厂商：瑞星和金山等15家安全领域主要厂商。

EAD方案，于2005年底在媒体上逐步推出。EAD方案目前支持的厂商主要有瑞星、江民、金山三家厂商。

（3）对现网设备利旧的支持。思科NAC方案和华为EAD方案虽然在业务控制流程和功能组件上类似，都是基于对802.1X和EAP协议的开发，但目前并不兼容。

NAC方案：由于目前大型企业数据网络设备中主要采用的是思科的接入设备和策略控制服务器，采用思科NAC方案可以充分利用现有的网络设备和策略控制设备。

EAD方案：如果采用华为EAD方案，现在思科的接入设备将全部更换，并且需要配置新的策略控制设备。

（4）与现网设备的兼容性。

NAC方案：思科方案与现网设备不存在兼容性问题。

EAD方案：由于华为EAD方案必须采用华为的二层交换机，与现网思科的交换机互联，很容易出现由于生成树协议配置不当而引起广播风暴。

2 接入控制技术的实际应用

2.1 企业内部网络现状

浙江某运营商DCN网络是企业的运行支撑网络，为各个专业网管系统和企业应用系统提供了统一的数据通信平台，目前网络已经覆盖到各交换母局和大的营业网点。

当前存在的问题如下：（1）移动办公和远程维护的需求强烈，但缺乏安全的接入手段，因此只能小范围试用。（2）内网多出口现象严重，绕开统一出口直接访问公网，造成病毒严重，严重威胁内网安全。（3）缺乏安全的内网无线接入手段。（4）内网缺乏统一的安全策略规范和控制机制。（5）没有接入控制机制，内网接入随意，基本没有保护，对第三方人员和企业内部员工不健康的终端均无限制手段，严重威胁企业信息安全。

2.2 工程实施内容及建设方案

2.2.1 工程建设需求：（1）满足远程接入需求，实现用户在外网时能够安全接入DCN网络；（2）满足用户通过统一入口VPN方式接入DCN网络后，能够访问各类内网应用系统；（3）用户在外网接入内网时，应首先通过入口的Radius认证和动态口令认证；（4）终端在局域网通过有线或无线方式接入时，对终端安全性进行检测，认证后准许进入网络。

2.2.2 工程建设方案。

工程组网：Internet统一出入口通过一台Juniper ISG2000防火墙DCN的出口网关设备，完成省公司员工访问Internet的访问控制和安全防护；两台SA4000设备部署在防火墙的DMZ区，连接在DMZ交换机上，采用A/P的高可用方式部署，防火墙映射一个公网地址到SA集群的浮动地址上。防火墙实现基本DOS保护、策略过滤，SA设备则实现SSL VPN，进行应用层保护过滤和接入。部署一套Juniper SBR radius软件，作为DCN网络AAA认证服务器，用于实现对内部各系统的集中身份认证和授权。该系统能够与原有的目录服务器结合，降低部署的复杂度。

终端安全检查策略：Juniper SA 4000设备在用户接入前通过预先设定的策略检查用户终端的安全状况，包括补丁、杀毒软件安装或更新情况。根据DCN的终端安全要求设定终端安全检查策略，一般建议检查是否安装有杀毒软件，不符合条件的拒绝登录或提示后登录。

接入方式：由于SA 4000设备具有Core、SAM和NC三种接入方式，三种方式获得的权限各不相同，对于每个用户组（Role），需要选择其能够使用的接入方式。

资源策略设置：在每种接入方式下，可以设定Role能够访问的资源，类似于防火墙的ACL（访问控制列表）。根据不同Role的实际需要，设定不同的访问权限，保证每个用户能够访问到其必须访问的资源，同时不获得超出其工作需要的权限。

局域网内，通过部署Cisco的NAC方案实现无线和有线接入时基于802.1X的终端认证和健康性检查。企业可以根据不同的安全策略对终端安全状况进行检测，内容包括终端补丁安装情况、终端防病毒软件安装以及版本更新情况、病毒代码库的更新情况、个人防火墙的配置情况、屏幕保护的配置情况等，并保护企业重要信息资源不被外来终端访问，阻止外来终端或者未纳入终端管理系统的终端接入到企业网络。通过企业目录服务集成，提供统一身份认证，统一授权的基础，确保用户信息在各系统中的

同步。

2.3 工程实施效果

工程实施效果见表1。

3 结语

企业信息化建设过程中，较多关注于信息系统建设，对于信息化基础的网络安全，关注不够全面，本文重点关注于之前企业安全管理薄弱的网络接入控制技术，并结合业界解决方案，应用于实际工程。

参考文献

[1] 宁宇鹏，薛静锋.信息安全-理论、实践与应用[M].

[2] 马燕，曹周湛，等.信息安全法规与标准[M].北京：机械工业出版社.

[3] 高海英.VPN技术[M].北京：机械工业出版社.

[4] 802.1X IEEE Standard for Localand metropolitan are ane tworksPort-Based Network Access Contr ol IEEEStd 802.1X?-2004.

企业网络终端准入控制解决方案 篇4

在创新无处不在的IT世界里, 从要求可用性到安全性再到高效率, 只经历了短短的几年时间。如何对终端设备进行高效、安全、全方位控制一直都困扰着众多IT管理者, 由于终端设备数量多、分布广、使用者素质及应用水平参差不齐, 而且终端设备所接入的网络环境异构化程度很高, 导致了终端成为整个IT管理环境中最容易出现问题的一环, 对终端问题的响应业已成为IT管理者日常最主要的工作之一, 它同样遵循着从可用性到安全性再到追求效率的发展规律。

终端作为网络的关键组成和服务对象, 其安全性受到极大关注。终端准入控制技术是网络安全一个重要的研究方向, 它通过身份认证和完整性检查, 依据预先设定的安全策略, 通过软硬件结合的方式控制终端的访问权限, 能有效限制不可信、非安全终端对网络的访问, 从而达到保护网络及终端安全的目的。终端准入控制技术的研究与应用对于提高网络安全性, 保障机构正常运转具有重要作用;对于机构解决信息化建设中存在的安全问题具有重要意义。目前, 终端准入控制技术已经得到较大的发展和应用, 在安全领域起到越来越重要的作用。

2 发展现状

为了解决网络安全问题, 安全专家相继提出了新的理念。上世纪90年代以来, 国内外提出了主动防御、可信计算等概念, 认为安全应该回归终端, 以终端安全为核心来解决信息系统的安全问题。

终端准入控制是目前一种新型的安全防御技术, 它通过对终端实施安全防护, 可以有效地解决因不安全终端接入网络而引起的安全威胁, 将病毒、蠕虫等各类攻击拒绝于网络之外, 从而真正保障网络的安全。目前, 对终端准入控制还没有一个权威、统一的定义, 国内外有代表性的终端准入控制技术有以下几种:思科的网络准入控制 (Network Admission Control, NAC) , 微软的网络接入保护 (Network Access Protection, NAP) , Juniper的统一接入控制 (Uniform Access Control, UAC) , 可信计算组织TCG的可信网络连接 (Trusted Network Connect, TNC) , H3C的终端准入控制 (EAD, End user Admission Domination) 等。

本文根据所在企业网络特点, 选择H3C EAD产品进行部署并作为研究探讨主体。

3 终端准入联动模型

H3C终端准入控制解决方案 (EAD, End user Admission Domination) 从控制用户终端安全接入网络的角度入手, 整合网络接入控制与终端安全产品, 通过智能客户端、安全策略服务器、联动设备以及第三方软件的联动, 对接入网络的用户终端按需实施灵活的安全策略, 并严格控制终端用户的网络使用行为, 极大地加强了企业用户终端的主动防御能力, 为企业IT管理人员提供了高效、易用的管理工具。

智能客户端是指安装了H3C i Node智能客户端的用户接入终端, 负责身份认证的发起、安全策略的检查以及和安全策略服务器配合进行终端控制。联动设备是网络中安全策略的实施点, 起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。根据应用场合的不同, 联动设备可以是交换机、路由器、VPN网关等设备, 分别实现不同认证方式的终端准入控制。针对本企业网络特性, 通过配合接入层交换机802.1x认证方式实现对接入用户的控制。安全策略服务器是方案中的管理与控制中心, 兼具终端用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。为了提高EAD系统的高可用性和容灾性, 我们采用双机冷备方案, 同时对系统自带数据库进行定时备份。第三方服务器是指补丁服务器、病毒服务器等, 被部署在隔离区中。当用户通过身份认证但安全认证失败时, 将被隔离到隔离区, 此时用户能且仅能访问隔离区中的服务器, 通过第三方服务器进行自身安全修复, 直到满足安全策略要求。终端准入组网模型如图1所示。

4 终端准入控制过程

EAD解决方案提供完善的接入控制, 除基于用户名和密码的身份认证外, EAD还支持身份与接入终端的MAC地址、IP地址、所在VLAN、所在SSID、接入设备IP、接入设备端口号等信息进行绑定, 支持智能卡、数字证书认证, 支持域统一认证, 增强身份认证的安全性。根据实际情况我们采用基于域统一认证, 与接入终端MAC地址和接入设备IP信息进行绑定的严格身份认证模式。通过身份认证之后, 根据管理员配置的安全策略, 用户进行包括终端病毒库版本检查、终端补丁检查、是否有代理等安全认证检查。通过安全认证后, 用户可正常使用网络, 同时EAD将对终端运行情况和网络使用情况进行监控和审计。若未通过安全认证, 则将用户放入隔离区, 直到用户通过安全认证检查。EAD解决方案对终端用户的整体控制过程如图2所示。

5 终端准入控制策略的实现

5.1 接入用户身份认证

为了确保只有符合安全标准的用户接入网络, EAD通过交换机的配合, 强制用户在接入网络前通过802.1x方式进行身份认证和安全状态评估, 但很多单位已经建立了基于Windows域的信息管理系统, 通过Windows域管理用户访问权限和应用执行权限。为了更加有效地控制和管理网络资源, 提高网络接入的安全性, EAD实现了Windows域与802.1x统一认证方案, 平滑地解决了两种认证流程之间的矛盾, 避免了用户二次认证的烦琐。该方案的关键在于两个“同步”过程:一是同步域用户与802.1x接入用户的身份信息 (用户名、密码) , EAD解决方案使用LDAP功能实现用户和Windows域用户信息的同步。二是同步域登录与802.1x认证流程, EAD解决方案通过H3C自主开发的i Node智能客户端实现认证流程的同步。统一认证的基本流程如图3所示。

5.2 安全策略状态评估

EAD终端准入控制解决方案在安全策略服务器统一进行安全策略的管理, 并在安全策略管理中提供黑白软件统一管理功能。管理员可根据IT政令, 在安全策略服务器定义员工终端黑白软件列表, 通过智能客户端实时检测、网络设备联动控制, 完成对用户终端的软件安装运行状态的统一监控和管理。如果用户通过安全策略检查, 可以正常访问授权的网络资源;如果用户未满足安全策略, 则将被强制放入隔离区内, 直至通过安全策略检查才可访问授权的网络资源。

5.3 EAD与i MC融合管理

EAD通过与i MC (开放智能管理中枢, Intelligent Management Center) 灵活组织功能组件, 形成直接面向客户需求的业务流解决方案, 从根本上解决多业务融合管理的复杂性。EAD实现了对用户的准入控制、终端安全、桌面资产管理等功能, i MC平台实现了对网络、安全、存储、多媒体等设备的资源管理功能, UBAS、NTA等组件实现了行为审计、流量分析等业务的管理功能, 这几者结合在一起, 为企业IT管理员提供了前所未有的融合用户、资源和业务三大要素的开放式管理体验。

6 结语

在未实施终端准入解决方案之前, 本企业网络管理模式被动, 虽制定完善的IT管理制度, 但不能有效实行, 比如不能及时升级系统补丁, 不能及时升级杀毒软件病毒库, 不能实时监控用户软件安装, 不能实时监控计算机硬件信息等问题。通过实施终端准入解决方案, 降低了来自企业内部网络的威胁, 规范了终端准入安全策略, 提高了IT管理员工作效率, 从而保障了企业网络环境的安全。

摘要：随着IT应用的不断发展, 大部分的企业及用户开始意识到对内网终端进行控制和管理的必要性, 实施网络终端安全准入控制, 确保企业网络安全, 已是许多企业网客户的迫切需求。终端准入控制解决方案从控制用户终端安全接入网络的角度入手, 整合网络接入控制与终端安全产品, 加强了用户终端的主动防御能力, 保障了企业网络的安全。

关键词：终端准入,网络安全,802.1x,EAD

参考文献

[1]周超, 周城, 丁晨路.计算机网络终端准入控制技术.计算机系统应用, 2011, 20 (1) :89—94.

[2]马锡坤.医院网络终端准入控制解决方案.医院数字化, 2011, 26 (11) :30-32.

[3]成大伟, 吕锋.支持802.1x的网络准入系统在企业中的应用.中国科技博览, 2012, 27:296.

[4]杭州华三通信技术有限公司 (H3C Technologies Co, Limited) .EAD技术白皮书.[2010.l一12].http://www.h3c.com.cn/Service/Document—Center/.2008.

网络安全准入控制 篇5

随着电力企业信息化程度的不断提高, 电网企业对信息网络的依赖程度越来越高, 各种各样的设备需要接入企业的内部网络来访问企业资源, 电网企业的内网安全管理工作面临的挑战越来越大。据统计, 83%的信息安全事件是由内部人员或内外人员勾结所为[1,2,3], 因此加强企业内部网络安全管理是非常必要的, 网络准入控制技术可以阻止外来人员未经允许非法接入企业内部网络、限制企业内部用户的网络访问行为、加强内部用户的网络接入控制, 日益受到企业的关注。目前很多企业部署了网络准入控制系统[4,5,6,7,8], 电网企业[9,10,11,12,13,14,15]也通过部署网络准入系统来保证用户终端的安全、阻止威胁入侵网络, 实现网络安全的主动有效控制。

网络准入控制 (Network Admission Control, NAC) 概念最早由Cisco公司于2003年提出[16,17], 其核心思想是从终端网络接入控制入手, 结合认证、安全策略服务器、网络设备, 以及第三方系统 (病毒和补丁服务器) , 完成对接入终端的认证和安全策略检查, 达到保障网络安全的目的。换言之, 网络准入控制系统将自动更新、安全状态审核、准入控制等思想集中在一起, 从过去的被动防御和分散安全管理变为主动防御和集中安全管理。图1展示了网络准入控制技术认证层级。

1 常见的网络准入控制技术

网络准入控制作为系统安全的关键技术之一, 很多机构和研究者对其进行了研究[16,18,19,20,21], 并在很多行业进行应用[4,5,6,7,8]。按实现方式, 可分为两大类:基于网络的准入控制和基于主机的网络准入控制。基于网络的准入控制主要有基于局域网的扩展认证协议 (Extensible Authentication Protocol Over LAN, EAPOL) 技术、基于用户数据报的扩展认证协议 (Extensible Authentication Protocol Over UDP, EAPOU) 技术、网络Plug-in技术;基于主机的准入控制技术主要有系统及应用准入、客户端准入。按准入控制所在的层次, 可分为终端层、网络层和应用层准入控制3种 (见表1) 。从目前网络准入控制技术发展的趋势来看, 网络准入控制系统将向全面、多层次方向发展, 不仅局限于终端, 还对用户上网行为的全过程进行监管。

2 几种主流的网络准入解决方案

前面介绍的网络准入控制技术是一项由思科发起、多厂商参加的项目, 因此不同的厂商具有不同的解决方案。就目前而言, 比较成熟解决方案有:Cisco NAC网络接入控制技术 (Network Access Control) 、Microsoft NAP网络接入保护技术 (Network Access Protection) 、华为3COM EAD准入控制技术、Symantec SNAC网络准入技术以及TNC可信网络连接技术 (Trusted Network Connection) 等[1], 这些解决方案的主要思路是从用户终端入手, 通过管理员指定的安全策略, 对接入私有网络的主机进行安全性检测, 自动拒绝不安全的主机接入, 保护网络直到这些主机符合网络内的安全策略为止。

2.1 Cisco NAC

Cisco NAC网络准入控制技术能够检测包括通过WAN链路、IPsec远程接入、拨号接入、VPN接入、局域网、无线设备等所有接入方法部署的终端。

NAC系统主要包含NAC Appliance (NAC产品) 和NAC Framework (NAC框架) 。NAC Appliance方案由3个组件构成:Cisco Clean Access Agent (有Web Agent或Exe Agent) 、Cisco Clean Access Server (评估设备并基于终端的策略符合情况授予访问权限) 、Cisco Clean Access Manager (集中管理CAS, 包括执行策略和修补服务等) 。NAC Appliance通过终端评估、策略管理和修补服务支持以实现快速部署, 适合规模较小、拓扑简单的网络。

NAC Framework的组成包括客户端Agent、策略服务器、网络设备及集中管理系统。安全认证分为基于L2-IP和基于802.1x 2种。表2详细介绍了NAC over 802.1x和NAC over L2-IP认证方式的特点。

NAC Framework虽然对网络环境要求高, 存在投资保护问题, 但可以很好地与第三方安全产品进行联动, 为规模较大、拓扑复杂的网络提供从无线到有线、本地到远端的多层次、多平台的安全防护。

2.2 Microsoft NAP

微软网络访问保护NAP是一种区别于NAC的准入控制体系结构, NAP提供了一套完整的校验方法来检测接入终端的健康状态, 确保终端运行状况策略符合要求, 并有选择地限制安全状况不正常的计算机的网络访问。NAP具有强制更新功能, 该功能可以和其他厂商的软件进行整合, 实现对接入终端特定系统或软件进行更新检查, 对不更新的终端限制其接入, 最终实现以下目标:

1) 监视计算机访问网络是否符合健康策略要求;

2) 自动更新计算机, 使其符合健康策略要求;

3) 限制不符合安全策略要求的计算机, 将其限制在受限制的网络中[16]。

2.3 H3C EAD

EAD是华为3COM在2005年前后推出的端点准入防御解决方案, 该方案通过客户端Agent、网络设备、安全策略服务器及防病毒软件对接入网络的终端下发安全策略, 控制用户终端网络使用行为, 以提高终端的主动防御能力。EAD解决方案包括补丁服务器、CAMS服务器 (安全策略服务器) 、防病毒服务器、H3C客户端Agent和安全联动设备等基本部件, 通过安全策略中心协调各部件实现对接入网络的终端的安全准入控制。

EAD解决方案主要有3种部署方式:接入层准入控制、汇聚层准入控制以及多厂商设备混合准入控制[16]。表3归纳了3种部署方式的特点。

2.4 Symantec SNAC

SNAC解决方案包含了LAN Enforcer, Gateway Enforcers, DHCP Enforcers。

1) 采用LAN Enforcers即802.1x, 网络准入的控制粒度较细, 但对网络设备有较高的要求:所有接入层交换机必须支持802.1x, 而且接入层交换机下面不能再接HUB或者非802.1x交换机。此外, 实施起来比较麻烦, 并非所有设备的操作系统都支持802.1x, 比如网络打印机、传真机、Linux机器等。

2) Gateway Enforcers方案是在网络瓶颈点部署的内嵌实施设备, 典型部署方案是位于远程分支机构与公司总部之间的VPN、无线网络和会议室网络等场景。

3) DHCP Enforcers以内嵌方式部署在端点和企业现有的DHCP服务基础架构之间, 如果端点没有运行代理或者处于不遵从状态, 则DHCP Enforcers会分配限制性的DHCP租用, 提供的是不可路由或隔离的IP地址, 降低网络访问权限, DHCP Enforcers不太适合大规模的应用, 只适合作为辅助方案。

SNAC的策略管理都通过一个管理控制台进行, 即SEPM服务器。在SEPM服务器里需要设置控制策略、交换机、Radius等信息。

2.5 TNC

TNC是建立在基于主机可信计算技术之上的一种网络准入控制技术, 通过使用可信主机提供的终端技术, 提供一种由多种协议规范组成的框架, 来实现终端网络访问准入控制。换句话说, 通过协议的扩展, 将TNC技术应用到网络上, 实现网络准入控制功能。当可信的端点要接入网络时, 须先使用整体性的安全策略评估后, 结合网络访问控制策略 (例如802.1x、Radius、IKE协议) 来完成网络接入过程。

TNC网络准入控制技术可以实现以下功能:

1) 验证用户身份及平台状态完整性检测;

2) 确认终端及其用户权限;

3) 建立在其接入网络前的可信级别;

4) 平衡已存在的产品、标准及技术;

5) 根据终端的状态建立一个可信级别, 实现终端访问策略授权;

6) 隔离不符合可信策略的终端, 使之在可信网络之外, 若可能, 对其进行修复。

3 网络准入产品技术比较

以上介绍的几种主流网络准入解决方案中, 虽然其实现方式各不相同, 但其实现的目标和采用的技术却有很大相似性, 可以理解为终端、网络设备、安全策略服务器这3个组件协同配合工作, 其区别主要表现在以下几个方面[19]。

1) 协议。Cisco、华为通过采用EAP、802.1x及RADIUS协议实现网络准入控制, 依赖于各自网络设备的特性。微软则采用DHCP和RADIUS来实现, 依赖于自身的OS及AD域, 并强制选择DHCP, IPSec, 802.1x, VPN隔离, 对不同厂家的网络设备进行了屏蔽。

2) 身份认证。Cisco、Symantec使用RADIUS服务器作为身份认证平台, 微软则使用自身的AD域实现身份认证, 华为主要采用用户名/密码的方式进行身份认证。

3) 管理方式。Cisco、Symantec、微软、华为均选择了集中控制管理方式, 用户管理和准入策略由统一的管理平台负责, 策略控制、应用则由策略服务器和第三方产品协同进行。

4 网络准入控制系统在电网企业的应用概况

电网企业是信息化高度发达的行业之一, 为了提高企业终端的网络准入, 很多电网企业部署了网络准入系统, 从技术上加强了对局域网内计算机的监管, 从而终端设备的抗风险能力显著提升。表4归纳了文献中介绍的电网企业采用的网络准入解决方案, 根据企业自身的需求, 普遍采用Symantec SNAC网络准入系统。

从表4各供电局的需求来看, Symantec SNAC网络准入系统能够满足电网企业网络准入需求, 具有很好的适应性和扩展性, 因此在电网企业中得到了广泛的应用。

5 云南电网公司网络准入控制系统应用情况

为了提高企业终端的网络准入, 云南电网公司在全省地市供电局统一部署了华赛TSM网络准入控制系统, 系统主要提供终端安全接入控制、终端安全管理、补丁管理、终端用户行为管理、软件分发、资产管理等六大功能。系统通过终端网络准入控制、终端安全检查、访问控制和安全修复, 有效控制了包括企业员工、外部访客、合作伙伴的临时员工等对网络的访问, 同时, 系统还能够随时发现并隔离带有威胁的终端主机, 提升云南电网网络防御安全威胁的能力。

玉溪供电局实施的华赛TSM网络准入控制系统, 实现了计算机终端的实名制安全管控, 切实做到预防木马、病毒、ARP欺骗攻击以及非法外联等主动违规行为, 有效规范了计算机终端接入流程, 减轻了终端维护工作压力, 提高了网络与信息系统安全水平, 但同时也存在着一些亟需改进的地方。

1) TSM网络准入控制系统部署采用网关方式, 控制的细粒度较大。目前TSM将云南电网的网络资源按照业务和安全等级划分为3个安全域:认证前域、隔离域和认证后域。认证前域指终端在身份认证和安全检查通过前能够访问的网络资源, 认证后域指终端在通过身份认证和安全检查后能够访问数据中心的网络资源, 隔离域指终端在通过身份认证但没有通过安全检查时所能访问的网络资源。华赛TSM网络准入控制网关部署在云南电网公司数据中心和互联网资源核心交换机上, 而玉溪供电局的局域网资源处于认证前域, 接入玉溪供电局的终端无需经过身份认证和安全检查即可访问玉溪供电局的网络资源, 对终端的准入控制粒度较粗, 存在信息未经授权非法访问、数据泄露的风险。

2) 系统部署结构单一, Agent客户端无法实现异构系统的网络准入 (如Linux) 。云南电网华赛TSM网路准入控制系统采用了PKI/CA数字证书进行身份认证, 目前客户端Agent仅支持Windows系统, 对于Linux系统终端、Android、i OS移动终端无法通过PKI/CA数字证书进行准入, 极大地限制了这些移动设备的使用。而BYOD (Bring Your Own Device) 模式的兴起, 给企业的信息化工作带来了新的挑战。目前云南电网TSM网络准入系统还无法有效地对移动设备实施准入控制, 为不断适应信息技术的发展的要求, 不断对TSM网络准入系统进行完善是非常必要的。

3) 存在多主机模式。在TSM网络准入控制系统日常的维护中发现, 如果某个会议、培训需要临时开通无线网络时, 信息中心一般通过架设一个普通的无线AP或者一个充当HUB作用的交换机, 为这些会议和培训提供网络服务, 当接在这台HUB或AP上的一台终端通过认证并授权后, 这台HUB或AP后面任意数量的终端都可以访问网络, 这种现象在网络准入中称之为多主机模式。这种情况的出现削弱了网络准入系统的控制能力, 因此企业必须严格控制无线AP及HUB的使用。

4) 无线网络准入控制。由于无线网络是以电磁波来传输数据, 也带来了不容轻视的信息安全问题。从根本上讲, 无线网安全问题的根源在于无线网络信号的空间扩散特性。802.11无线网络的物理特征决定了其不可能阻止未经授权的第三者监听网络数据, 用户的网络接入也并不能像有线网络一样受到企业围墙大门的保护。当前企业无线网络安全威胁类型主要有以下4类:未授权用户非法访问服务;通过窃听、截取用户数据包, 盗取账号、密码等关键数据, 造成隐私信息外泄;攻击无线网络设备, 获取网络相关权限, 篡改网络相关配置或策略, 降低网络安全防护能力;带病毒主机接入无线网络将病毒木马引入企业内部, 严重危害企业信息系统安全。

无线网络的准入需要考虑2方面的因素:一方面是无线AP的准入、检测与定位;另外一方面是接入到无线网络终端的准入。对于接入到无线网络终端的准入, 利用现有的网络准入系统即可实现。但对于无线AP的准入、检测与定位, 现有的网络准入系统还不具有此功能。而在目前企业的网络管理中, 经常出现用户私接AP现象, 如果AP的设置不当, 往往会造成在同一个子网的用户获取了错误的IP地址, 出现无法访问网络的情况发生。因此, 为了实现无线AP的准入、AP的检测与定位、非法AP攻击的自动阻断, 可以通过部署无线入侵防护系统作为现有的网络准入系统的补充, 实现只有经过MAC地址认证成功的无线AP才能正常接入网络, 未经授权而认证失败的无线AP即使物理连入网络也将无法与网络交换设备进行正常通信, 从而做到无线网络准入从“被动发现监控”到“主动人为授权控制”, 从源头上主动消除私接AP安全隐患, 保障无线网络接入安全。

5) 对虚拟化应用的支持。虚拟化技术对终端的网络准入控制提出了更高的要求。网络准入控制系统很容易实现防止违反策略的物理终端接入网络, 但如何实现虚拟化终端的准入控制, 是TSM网络准入控制系统需要解决的一个问题。目前, 服务器虚拟化、桌面的虚拟化技术已经很普遍, 若网络准入控制系统无法区分真实网卡与虚拟网卡, 仅通过一刀切的方式禁用虚拟机 (虚拟网卡) 使用网络, 显然会影响到用户正常的网络接入。

6 结语

网络安全准入控制 篇6

1 概述

终端既是网络行为的执行者, 也是网络行为的发起者, 更是网络信息实现交流的最前沿, 因此终端的安全成为制约信息安全的瓶颈。 随着人们安全意识的增强, 网络安全问题也逐渐被重视, 企业在网络防护方面也投入了大量的精力和资源, 尤其在防火墙、 入侵检测等网络边界防护上。 但是据CERT报道, 在所有的计算机网络安全问题中, 有90%以上的案件都是由于终端管理不善导致的, 如计算机自身软硬件安全问题、 运行安全问题、 信息安全问题等都会对信息安全造成威胁。

目前大多数企业构建的还是开放式的网络, 虽然网络出口处部署了防火墙、 IPS、 防病毒、 防毒墙等安全设备, 但是网络安全事件依然层出不穷。 企业内部网络接入层采用开放式的网络架构, 给企业业务开展确实能够带来很多便捷, 但也带来了严重的安全风险, 随着IT技术的快速发展, 各种网络应用的日益增多, 病毒、 木马、 蠕虫以及黑客等等不断威胁并入侵企业网络。而企业内部终端设备众多, 终端使用的人, 水平参次不齐同且人员流动性较大, 用户的安全意识都非常薄弱, 伪造用户登录、滥用资源、 病毒木马攻击、 随意安装应用程序、 信息泄密、 网络连接威胁、 恶意破坏终端等安全问题不胜枚举, 对企业的信息安全管理造成极大的威胁。 因此企业要重视终端安全管理体系建设, 要不断引进先进的网络技术来保障企业的终端安全, 以提高企业网络的整体安全防御能力和企业的信息安全保密程度。

2 引入与工作原理

当前网络安全问题已经成为信息安全的主要威胁, 虽然人们在防火墙、 VPN、 IDS、 杀毒软件以及IPS等软硬件上进行了大量投资, 但是网络安全威胁问题依然没有得到有效的解决, 针对这一困境, 诞生了新的安全理念。 20 世纪90 年代, 西方发达国家率先提出了可信计算、 主动防御等观点, 他们认为计算机安全问题应该回归终端, 倡导研究以终端为核心的安全防御技术手段来解决信息安全问题。 同时很多安全厂商也开始进行了终端安全研究, 如自我防御网络和安全渗透网络等都是终端安全的具体体现, 并且安全厂商不约而同的将准入控制技术作为重要的技术实现方式, 其中最典型的代表就是由思科发起, 众多厂商参与的网络准入控制技术计划, 对终端安全控制提出了全新的思路和有效的方法。

网络准入控制的目的在于防止蠕虫和病毒等黑客攻击电脑技术对企业的信息安全造成威胁, 通过网络准入控制技术, 使经过授权的、 安全的、 合法的、 值得信任的终端设备可以接入企业网络, 但是未经授权的终端设备将无法接入企业网络。 网络准入控制技术将内网安全防护策略划分为内网边界安全防护、 安全威胁防护以及外网移动用户安全接入防护, 是一个全新的系统构架。 其中内网边界安全防护是指对内网以外的所有安全威胁进行防护, 内网安全威胁防护是指对网络内部的所有安全威胁进行防护, 外网移动用户安全接入防护是指公司内部的移动用户在不同的网络环境之下都能保证企业网络的安全以及自身移动终端的安全。 因此, 只有通过网络准入控制技术建立完善的终端安全管理体系, 才能保障企业的网络安全。

3 技术实现

网络准入控制技术将资源访问控制策略作为系统核心, 通过设备联动区、 策略控制区以及用户区3 个方面对企业网络实现全方位的控制与管理。 (1) 用户区通过安装准入控制模块, 以实现用户身份认证、 安全检查和策略系统联动进行终端控制与用户控制。 (2) 设备联动区通过对路由器、 交换机以及防火墙、 IDS等进行改造, 使之能够实现与安全策略控制区的联动, 完成基本数据的交换、 策略接收、 策略执行、网络监测信息上传等功能, 能够起到隔离问题终端设备、 强制用户入网认证、 为认证合格用户提供安全网络的作用。 (3) 资源访问控制策略系统作为策略控制区的核心, 通过与补丁服务器、 防病毒服务器、 DHCP服务器、 终端安全策略服务器、 网管服务器、 基础信息数据库等设备进行联动, 负责进行策略部署与下发、 内容审核、 资源访问、 安全评估以及身份认证等任务, 也是网络准入控制系统的中心枢纽。

当终端用户准备接入企业网络的时候, 安装在客户终端上的准入模块就会主动收集客户端的病毒版本、 系统补丁、 基础配置等信息, 并自动上传基本信息到资源访问策略控制系统, 资源访问策略控制系统就会根据上传的信息对用户的身份认证以及安全策略进行比对检查。 检查完成后, 非法用户将会被企业网络拒绝, 合法用户但终端存在安全问题的将被限制在特定网络区域, 资源访问策略控制系统就会提示问题终端进行病毒库升级、漏洞修复、 终端认证信息检查等行为, 问题终端设备完成修复后又会被准入模块接入资源访问控制策略系统进行认证, 合法又合规的终端用户就能够在系统权限内实现正常的网络行为, 用户网络资源使用情况将会被安全策略服务器进行实时监控。

4 企业应用

随着信息化时代的到来, 人们对信息安全程度的要求不断提高, 现有的网络防火墙、 IDS等无法满足企业网络安全的更多需求, 因此网络准入控制技术从诞生之日起就受到广泛的关注与应用, 尤其受到对信息安全要求较高的企业追捧。网络准入控制技术有利于完善企业终端安全防护体系, 确保企业网络系统的安全。

4.1 产品原则

(1) 要选择优质的产品。 产品必须要具有良好的网络环境适应性, 要避免选择对现有网络改造较多的的产品; 要选择成熟的网络准入控制方案, 要能实现快速部署, 在终端上最好不要安装客户端, 要便于终端用户的接受与使用, 要便于管理, 减少终端管理的工作; 产品本身需要具备良好的逃生方案, 要具备良好的可扩展性, 安全检查引擎要能够及时升级; 产品需要具备终端认证、 安全修复、 以及访问控制等一站式服务体系, 产品要具备完整的功能体系, 要适用于企业的实际情况。

(2) 要选择实力较强的安全厂商。 企业网络准入控制技术项目的建设, 必须要具有工作经验丰富、 专业实力深厚的管理服务团队为支撑, 只有实力厚的安全厂商, 才拥有专门的完整技术团队, 才能为网络准入控制项目建设的企业提供优质、 专业的服务。 在某种程度上可以说产品的技术服务要比产品自身更为重要, 因为在产品项目建设前期, 需要经验丰富的技术人员对产品网络准入系统进行方案规划, 在项目建设过程中, 需要有完整的项目建设计划与管理制度, 在项目建设结束以后还需要完善的售后服务体系, 以便及时解决项目建设在企业实施过程中的各种难题。 因为这些要求相对较小的安全厂商来说是很难办到的, 因此除了要重视产品本身的功能外, 还要重视对安全厂商的考察。

4.2 建设步骤

(1) 要明确网络准入控制建设要达到的目标。 要明确企业网络存在的问题与威胁, 要深入分析网络准入控制保障的对象及可能造成的积极影响与消极影响, 要权衡利弊。 只有当网络准入控制技术能够解决企业网络安全防护问题、 适合企业实际需求、 减少终端用户使用负担并且给企业带来的好处大于对其付出的成本时, 网络准入控制项目的建设才具有实际的意义。

(2) 要明确企业网络准入控制项目的实施对象和范围。通常网络准入控制产品厂商会为项目建设企业提供一个参考的项目实施范围, 企业再根据自身的实际需求, 与厂商进行讨论, 将网络准入控制项目建设包含的内容进行分析, 权衡利弊与实际需求, 综合考虑多方面因素确认范围是否合理, 是否有需要增删的地方。

(3) 要选择合适的网络准入控制系统。 网络准入控制项目建设的实施范围确定以后就要立即开展网络准入控制系统的选择工作。 由于网络准入控制技术可以在企业网络中的任何位置上进行, 因此提前确定执行点对于项目建设来说是非常重要的, 执行点的问题也成为网络准入控制项目建设最重要的设计问题之一。 从当前的实施应用情况来看, 执行点一般被设在企业的内联上。 项目建设企业需要根绝自身实际情况的需要选择执行点, 但是不能对终端用户的使用造成困扰。

(4) 进行成本分析和测试。 网络准入项目建设的成本高低通常取决于企业的设计选择, 因此项目建设企业需要根据项目实施的成本和方法来衡量自己的设计选择是否正确。 例如, 在企业网络中插入一个独立的准入控制设备虽然不会花费给很多的时间和精力, 但是其配置成本将会非常高昂, 因此在方案设计上要考虑建设备份单元以应对主要单元实效。通过这样的方法对网络准入控制项目建设设计进行调整后, 一定要在付款之前将产品用于企业网络测试, 通过测试了解产品是否能与企业的需求相一致。

(5) 实施网络准入控制项目建设。 主要就是通过搭建与服务器、 交换机全局配置、 终端配置、 交换机端口配置等设备之间的联系, 从而实现对企业网络的控制。 在项目实施之前, 企业需要考虑项目负责人, 内部工作部署及效果评价等问题。

5 结语

网络准入控制技术在企业中的应用, 对规范企业终端的入网流程和标准、 对终端的差异化安全管理, 以及在PDCA管理框架下对终端安全短板不断地进行修复和提升、 减少网络和终端的信息安全隐患的系列问题上, 对提升企业网络的终端安全与信息安全具有非常重要的意义和作用。

摘要：网络准入控制技术是企业实现终端安全管理的重要途径之一, 有助于弥补防火墙、入侵检测等网络安全系统的不足。从终端安全问题概述着手, 简述了网络准入控制技术的引进、工作原理和实现路径, 分析了网络准入控制在企业中的实际应用情况。

关键词：网络准入控制,技术应用,企业网络

参考文献

[1]刘佳.关于终端安全管理问题的研究——以盐城地税为例[D].苏州大学, 2012.

[2]钱杨.企业网网络准入控制及终端安全防护研究[D].华南理工大学, 2012.

[3]马岩岩.网络准入控制让企业网络更加安全[J].2011, (10) :66-67.

网络准入控制技术及在银行中的应用 篇7

一、网络准入控制技术的发展背景

网络准入控制是一项由主流网络厂商发起、多家厂商参加的计划, 其宗旨是防止病毒和蠕虫等新兴黑客技术对银行安全造成危害。借助网络准入控制技术, 客户可以只允许合法的、值得信任的端点设备 (例如PC、服务器、PDA) 接入网络, 而不允许其他设备接入。基于身份的网络服务 (IBNS) 能够在用户访问网络访问之前确保用户的身份是信任关系。但是, 识别用户的身份仅仅是其中一部分, 尽管依照总体安全策略, 用户有权进入网络, 但是其使用的计算机可能不适合接入网络。这种情况是因为笔记本电脑等移动计算设备的普及提高了用户的生产率, 但是同时会产生一定的问题:这些计算设备很容易在外部感染病毒或者蠕虫, 当它们重新接入银行网络时, 就会将病毒等恶意代码在不经意之间带入银行工作环境。

瞬间病毒和蠕虫侵入将继续干扰银行业务的正常运作, 造成停机、业务中断和不断地打补丁。利用网络准入控制技术, 能够减少病毒和蠕虫对信息系统运行的干扰, 因为它能够防止易损主机接入正常网络。在计算机接入正常网络之前, 网络准入控制能够检查它是否符合银行最新制定的防病毒和操作系统补丁策略。可疑计算机或有问题的计算机将被隔离或限制网络接入范围, 直到它经过修补或采取了相应的安全措施为止才可接入网络。这样不但可以防止这些主机成为蠕虫和病毒攻击的目标, 还可以防止这些主机成为传播病毒的源头。

基于身份的网络服务的作用是验证用户的身份, 而网络准入控制的作用是检查设备的“状态”。交换平台上的网络准入控制可以与信任代理共同构成一个系统。信任代理可以从多个安全软件客户端 (例如防病毒客户端) 搜集安全状态信息, 并将这些信息发送到制定访问控制决策的网络安全系统。应用和操作系统的状态 (例如防病毒和操作系统补丁等级或者身份证明) 可以被用于制定相应的网络准入决策。网络准入控制整体解决方案, 将会把信任代理与安全软件客户端集成到一起。

二、网络准入控制技术的主要优点

(一) 控制范围大。

它能够检测计算机用于与网络连接的所有接入方法, 包括园区网交换、无线接入、路由器WAN链路、IPSec远程接入和拨号接入。

(二) 多厂商解决方案。

网络准入控制是一项由思科发起、多家防病毒厂商参加的项目, 包括Network Associates、Symantec和Trend Micro。

(三) 现有技术和标准的扩展。

网络准入控制扩展了现有通信协议和安全技术的用途, 例如可扩展认证协议 (EAP) 、802.1X和RADIUS服务。

(四) 利用网络和防病毒投资。

网络准入控制将网络基础设施中的现有投资与防病毒技术结合在一起, 提供了准入控制设施。

三、网络准入控制技术原理

当运行网络准入控制时, 首先由网络接入设备发出消息, 从主机请求委托书;然后, AAA服务器信任代理与入网计算机的信任代理建立安全的EAP对话。此时, 信任代理对AAA服务器执行检查。委托书可以通过计算机的应用、信任代理或网络设备传递, 由安全接入控制服务器接收后进行认证和授权。某些情况下, 安全接入控制服务器可以作为防病毒策略服务器的代理, 直接将防病毒软件应用委托书传送到厂商的AV服务器接收检查。委托书通过审查后, 安全接入控制服务器将为网络设备选择相应的实施策略。例如, 安全接入控制服务器可以向路由器发送准入控制表, 对此主机实施特殊策略。

对于非响应性设备, 可以对主动运行信任代理 (网络或安全接入控制服务器) 的设备实施默认策略。在以后的各阶段, 还将通过扫描或其他机制对主机系统执行进一步检查, 以便收集其他端点安全信息。网络准入控制的示意图如图1所示。

网络准入控制系统包括端点安全软件 (Security Agent/防病毒软件) 、信任代理、网络接入设备 (接入交换机和无线访问点) 、策略/AAA服务器、防病毒服务器、管理系统。

(一) 端点安全软件

包括防病毒软件 (Antivirus Software) 、个人防火墙软件或安全代理 (Security Agent) 。这些软件负责端点安全, 并与信任代理 (Trust Agent) 通信, 共同决定对终端的信任关系。

(二) 信任代理

信任代理 (Trust Agent) 负责收集多个安全软件客户端的安全状态信息, 例如Antivirus Software和Security Agent软件客户端, 然后将信息传送到安全接入控制服务器, 并实施准入控制决策。对于未运行防病毒软件或者没有适当版本的主机, 按照预定策略, 可以限制其对网络的接入范围, 也可以拒绝其接入网络。

(三) 网络接入设备

实施准入控制的网络设备包括路由器、交换机、无线接入点和安全设备。这些设备接受主机委托, 然后将信息传送到策略服务器, 并实施网络准入控制决策。网络将按照客户制定的策略实施相应的准入控制决策:允许、拒绝、隔离或限制。

(四) 策略服务器

策略服务器负责评估来自网络设备的端点安全信息, 并决定应该使用哪种接入策略 (接入、拒绝、隔离或打补丁) 。安全接入控制服务器是一种认证、授权和审计RADIUS服务器, 构成了策略服务器系统的基础。它可以与NAC合作商的应用服务器配合使用, 提供更强的委托审核功能, 例如防病毒策略服务器。

(五) 防病毒服务器

防病毒服务器对防病毒软件客户端发送的状态报告进行检查, 并将检查的结果返回策略服务器, 对于感染病毒或防病毒软件设置不符合安全策略的客户端提供病毒库升级服务。

(六) 管理服务器

管理解决方案将提供相应的NAC组件的监控、报表及相关操作工具。

采用网络准入控制有关技术须通过两项最严格的兼容性测试:与防病毒软件的兼容性和与操作系统的兼容性。NAC技术不但包括防病毒厂商的软件版本、机器等级和签名文件等级, 还包括操作系统类型、补丁和热修复。随着网络准入控制技术的发展, 以后还将继续扩大安全保护以及工作地点应用检查的范围。

四、银行网络准入控制部署方案

一个较好的网络准入控制方案能够极大地改善网络的安全性。实施一个网络准入控制方案并不是简单地安装一个设备和一套软件, 必须对身份验证实现标准化、设置最小的准入标准, 后端的防火墙规则和网络设备必须与网络准入控制方案保持一致, 以允许策略服务器访问。这些正是所有的实践网络准入控制方案需要努力解决的问题。一个较好的网络准入控制解决方案能够保持终端用户设备遵循策略, 为临时用户提供一个安全简易的方法, 使其能够访问网络, 还使可以审核网络中的用户访问活动。

(一) 部署方案

我们以思科公司提供的网络准入控制产品为例, 进行部署网络准入控制方案 (见图2) , 基于思科公司提供的产品可以从以下方面进行部署。

1. 执行准入控制的网络设备, 包括路由器、交换机、无线接入点和安全设备。各种功能通过软件增强集成到新老平台中。

2. 部署AAA RADIUS服务器, 采用Cisco Se-cure ACS, 用于确定接入权限的策略决策点。为支持NAC的正在增强的ACS功能。

3. 部署可信代理, 采用Cisco Trust Agent (CTA) 。CTA由思科开发, 将通过多种方式分发:作为独立代理直接从思科或NAC合作商分发, 与Cisco Security Agent一起分发, 或者嵌入到NAC防病毒厂商的更新软件中。

4. 部署安全代理, 采用Cisco Security Agent, 可以在入网计算机上使用, 同时为防止蠕虫和病毒提供零天保护, 并为NAC提供操作系统补丁和热修复信息。

5. 部署批量配置CSA, 采用CiscoWorks VMS, 批量进行设置CSA。

6. 部署NAC管理, 采用Cisco Security MARS, 可以管理NAC的设备和其他安全设备。

防病毒厂商将为入网计算机和AV策略服务器提供系统的防病毒组件。目前, 加入NAC计划的防病毒厂商包括:IBM、趋势科技、Mc Afee、赛门铁克、CA、瑞星和金山等15家安全领域主要厂商。

(二) 部署方案的具体步骤

为了部署基于思科产品的网络准入控制方案, 一般需要以下的具体步骤。

1. 升级网络设备上的IOS。

2. 升级主机上的防病毒软件。

3. 安装主机上的Cisco Trust Agent 2.0 (可以包含在防病毒软件升级过程中) 。

4. 安装Cisco Secure ACS 4.0服务器 (在实施基于802.1x的IBNS时已经部署, 可以从ACS 3.3升级到ACS4.0) 。

5. 安装用于配置、监控和报告NAC环境的管理工具Cisco Works VMS/CS-MARS。

另外, 进行部署时还需要考虑的问题包括:确定管理权限模式, 妥善管理系统, 并相应调整管理组件;确定和实施网络准入控制策略;确定可扩展性和性能要求, 保证系统可以应付高峰状况 (尤其是ACS等策略决策基础设施) ;确定和实施隔离和修复环境。

网络准入控制在大中型企业中的应用 篇8

在大中型企业中, 信息化建设已经达到一定高度, 网络环境已经建设完好。选择的产品必须能够适应用户多种多样的接入环境, 尽量避免改造用户网络, 要求产品支持多种入网强制技术, 能够适应各种网络设备及环境。

2 选择成熟的、先进的网络准入控制方案

现在各种厂家介绍了很多种网络准入控制的技术解决方案, 现行的网络准入控制框架基本上分为三个NAC技术框架:

⑴基于端点系统的架构——Software-base NAC, 主要是桌面厂商的产品, 采用ARP干扰、终端代理软件的软件防火墙等技术。

⑵基于基础网络设备联动的架构——Infrastructurebase NAC, 主要是采用802.1X技术的产品。

⑶基于应用设备的架构——Appliance-base NAC, 主要是专业准入控制厂商。

3 能够支持快速部署的, 最好不安装客户端

一个好的准入控制产品一定要能够让各类用户接受, 能够快速部署, 并且在部署时具有友好的WEB引导界面, 让终端用户一目了然, 可以减少管理员很多工作。用户上准入控制系统的目的, 就是要将之前经常出问题的网络从源头上保护起来, 但是安全性与易用性需要一个平衡的, 如果一味地追求安全性, 而给已经超负荷的管理员增加很多额外的工作, 会对系统的建设、运营都将带来非常严重的阻碍。所以在选择产品时要看, 是否支持快速部署, 是否提供友好的WEB引导界面, 终端最好不要安装客户端。

4 具有高可靠性, 一定要有很好的逃生方案

用户一旦建成网络准入控制系统后, 就意味着所有终端每天进入网络, 都依赖于这套网络准入控制系统的解决方案。现在市面上的网络准入控制方案有纯软件、有纯硬件也有软硬件结合等多种。但是建议用户一定要选择具有高可靠性的、系统集成度高的成熟方案, 而不要因为先期的低廉带来后期高额的维护成本, 另外选择无论哪种方案, 一定要求有完善的逃生方案, 不存在单点故障。

5 能够提供不断更新的安全检查引擎和规则库升级, 具有较好的可扩展性

在选择网络准入控制产品时, 应该要考虑产品是否具有很好的可扩展性, 在产品的架构上是否可以很好实现扩展、方便升级, 可以满足企业未来几年的发展。尤其是像安全检查规范库、补丁漏洞库、支持联动的防病毒软件等。

6 具备从认证、安检、修复、访问控制“一条龙”体系

用户选择的网络准入控制产品应该具备完整的、健壮的功能体系, 包括身份认证、友好WEB重定向引导、可配置的安全检查规范库、“一键式”智能修复、基于角色的动态授权访问控制、实名日志审计等功能。

7 需要经验丰富、具有风险管理的专业技术服务团队支撑

要建设好网络准入控制的项目, 一定需要有一个相关项目实施经验丰富的, 具有良好风险管理的专业技术服务团队支撑。甚至可以说“技术服务比产品更重要”, 在项目建设前期, 需要能够规划出适合用户网络的准入控制解决方案;在项目实施时, 需要有一套完整的项目建设计划与配置的项目管理制度;在项目运行后, 一定要有及时响应的客服体系。

ASM盈高入网规范管理系统是一套基于最先进的第三代准入控制技术的纯硬件网络准入控制设备, 秉承“不改变网络、不装客户端”的特性, 为你解决网络的合规性要求, 达到“违规不入网, 入网必合规”的管理规范, 支持包括身份认证、友好WEB重定向引导、基于角色的动态授权访问控制、可配置的安全检查规范库、“一键式”智能修复、实名日志审计等功能, 满足等级保护对网络边界、终端防护的相应要求、同时提供更高效、智能式的网络准入防护功能。

ASM盈高入网规范管理系统部署在企业中达到的效果。

⑴通过部署盈高科技的ASM入网规范管理系统实现了对终端网络接入的控制, 未经允许的设备无法进放网络, 对所有入网终端做统一身份认证;

⑵每个入网终端用户都必须通过合规性检查, 必须检查系统安全补丁是否安装, 防病毒软件是否已及时升级, 以及有没有安装违规应用软件和违规代理行为等安全隐患;

⑶通过技术手段确保了规章制度顺利有效的执行, 真正做到了100%的执行率;

⑷细化的终端系统安全检查项, 做到系统进程, 磁盘空间, 安装及所执行的软件等全面的安全项检查控制。

摘要：网络准入控制NAC (Network Access Control) 从诞生之日起就引起人们的普遍关注, 尤其是对网络安全准入要求比较高的大中型企业, 应用比较广泛。在大中型企业中都建立了比较完善的内部局域网系统, 为了确保网络系统的安全, 不仅要建立严密的网络管理制度, 还要从技术上加强安全措施, 以防止外部黑客的入侵和来自内部的威胁, 那么对网络准入控制系统的需求就显得尤为迫切。

关键词：准入控制,威胁,网络管理,安全措施

参考文献

网络安全准入控制 篇9

近年来, 计算机网络技术的发展速度日益加快, 计算机网络技术在人们日常的生活和工作中都得到了广泛的运用, 虽然给人们的生活和工作带了很多的方便, 也给网络终端的安全管理带来了极大的挑战, 网络终端经常受到各种恶意程序的感染和攻击, 对网络终端的安全运行造成影响。因此, 在各类终端接入到网络前, 就应该对其身份进行严格的认证, 对终端进行严格的安全检查, 以确保网络运行的安全。而网络准入控制技术就是在此基础上产生的, 是一种新型的网络安全管理方案, 该项技术对身份认证、网络控制以及终端安全等进行了有效的整合, 大幅度提高了现代计算机网络运行的安全性。

2 准入控制技术的基本原理

2.1 准入控制技术的理念

有关的统计数据显示, 计算机网络攻击多数是因为用户使用终端时不规范或系统的安全级别较低造成的, 许多网络的安全管理模式依然还是比较注重边界防控与保护, 把安全防护的重点放在了内外网的边界。但是随着网络接入方式的多样化, 计算机网络边界的动态变化速度日益加快, 边界防护中存在着许多的问题。而准入控制技术就是通过多样化的控制方式, 发挥准入技术的功能优势, 从保护对象与开发模式进行明确划分, 通过网络与终端两方面的可信接入控制, 前者主要是把网络视作为可信主体, 终端接入作为不可信任的主体, 以此来确保各类终端接入到网络之后, 网络系统运行的安全性。

2.2 准入控制技术的运行机制

准入控制是一种主动型的网络安全管理技术, 注重主动防御的功能, 以此来提高网络系统的安全性。准入控制技术可以在终端接入到网络之前, 便对终端身份进行严格认证, 对终端的安全性进行确认, 最终只让可信, 并且与相关的安全策略符合的终端才能访问网络, 而不符合安全策略的终端设备则不允许接入, 或者把终端设备先放到隔离区进行修复或者对其可访问的资源进行限制。

2.3 准入控制技术的系统框架

计算机网络终端准入控制技术的核心概念, 就是从以网络终端接入的安全着手, 对身份认证、安全策略的执行以及网络设备联动进行有效的结合, 加上第三方软件控制系统, 对终端接入进行强行认证, 并严格落实各项安全策略, 以此来确保整个网络系统运行的安全性。目前, 大部分准入控制方案都是由三个逻辑部件组成, 分别是策略实施构件、接入请求构件 (AR) 及策略决定部构件, 而具体的应用过程中, 还包括特定的第三方服务构件。

3 准入控制技术在计算机网终端中的应用

3.1 在网络安全检查中的应用

(1) 账户检查, 对网络接入终端的用户名与密码进行严格的检查, 以免不法分子私自安装上相同的Agent之后, 私自接入网络。

(2) 严格规范安全设置, 包括终端安全设置, 系统账户检查, 检查Guest账户与弱口令, 检查Windows域, 检查网络终端有没有加入相关的Windows域域, 对可写的共享设置进行检查, 对终端有无设置可写或无权限限定的可写共享进行检查, 查看终端系统中是否安全了补丁软件, 对终端内部的防病毒软件安装情况与升级情况进行检查, 对终端中存在危险性的注册表项进行检查, 检查终端内是否有危险文件和有无安装一些非法性软件。

(3) 对终端注册ID进行严格的检查, 查看终端内部是否有其他的网络注册或者登记过, 检查网络接入的终端是否与相关的接入安全管理规范相符, 以防止可疑终端的接入。

3.2 在网络安全管理与控制中的运用

3.2.1 安全加固

准入控制技术可以对网络接入终端的账户和屏保口令、共享目录以及自动加载服务进行安全加固, 以强制性的方式将与终端安全管理规范相关的防病毒软件强制接入, 并对病毒特征库进行更新, 且自动安装上最新的终端补丁包, 可有效提高终端的抗攻击能力。

3.2.2 安全评估

准入控制技术可以对连网终端的运行的状态与安全设置进行准确评估, 让管理人员可以对终端安全策略进行自动定义, 例如账户口令是否是强制性口令, 目录是否存在可写共享, 是否曾运行过危险程序或者危险软件, 是否安装了最新的补丁包、防病毒软件、病毒特征库的更新情况以及终端网络的具体访问流量等。

3.2.3 安全审计

准入控制技术可以对网络内部各个终端设备的网络访问与操作行为进行安全审计, 对终端的文件拷贝、FTP、mail以及互联网访问的行为等进行全方位审计, 对终端内部有没有运行过非法软件进行审计, 是否存在未经允许就可以自动对计算机中的软件与硬件配置进行更改的软件, 一旦在评估与审计过程中发现问题, 管理人员可以随时对终端进行集中设置与管理, 以集中控制的方式对终端内部各类批量信息进行统计与查询, 如策略的分发, 以集中、分组以及批量处理的方式, 对计算机终端的安全设置情况与状态进行检查, 并分发补丁管理与软件, 以此来减少终端管理人员的工作量。例如, 远程控制功能, 可以让终端系统的维护人员能够以远程方式对终端设备进行控制与保护。设备定位功能, 可以让管理人员能够对接入网络终端设备进行快速的定位, 并采取有效的措施防止攻击进一步扩散, 特殊情况下可以直接将可疑设备与终端的连接断开。资产管理功能, 可以帮助管理员对连接入网络中各类设备的软硬件配置情况进行统计与汇总, 并对级别不一样的安全事件, 采取对应处理措施, 确保网络终端运行过程中的各类安全事件能够及时到得到处理, 确保计算机网络运行的安全性。

4 结束语

总之, 准入控制技术将终端的安全作为控制的根本, 将准入控制作为安全管理的手段, 对各类网络安全技术与设备进行综合运用, 促进了计算机网络安全管理的相关安全策略的落实, 大幅度的提升了计算机网络终端的主动防御、整体防御以及综合防御能力, 确保了计算机网络终端运行的安全性。

摘要：准入控制技术主要是提前制定相关的安全管理对策, 对网络终端的各类用户进行严格的身份认证与安全检查, 确保网络终端访问的安全性, 对于一些危险或者不安全的终端接入进行拒绝或者限制, 通过这种方式提升网络的防御功能, 确保网络运行的安全性。本文主要就准入控制技术在计算机网络终端中的应用进行分析与阐述。

关键词：准入控制技术,计算机,网络终端

参考文献

[1]刘美娟.网络准入控制技术在企业中的应用探讨[J].电脑编程技巧与维护, 2016, 04:83-84.