网络准入技术(精选七篇)
网络准入技术 篇1
1 概述
终端既是网络行为的执行者, 也是网络行为的发起者, 更是网络信息实现交流的最前沿, 因此终端的安全成为制约信息安全的瓶颈。 随着人们安全意识的增强, 网络安全问题也逐渐被重视, 企业在网络防护方面也投入了大量的精力和资源, 尤其在防火墙、 入侵检测等网络边界防护上。 但是据CERT报道, 在所有的计算机网络安全问题中, 有90%以上的案件都是由于终端管理不善导致的, 如计算机自身软硬件安全问题、 运行安全问题、 信息安全问题等都会对信息安全造成威胁。
目前大多数企业构建的还是开放式的网络, 虽然网络出口处部署了防火墙、 IPS、 防病毒、 防毒墙等安全设备, 但是网络安全事件依然层出不穷。 企业内部网络接入层采用开放式的网络架构, 给企业业务开展确实能够带来很多便捷, 但也带来了严重的安全风险, 随着IT技术的快速发展, 各种网络应用的日益增多, 病毒、 木马、 蠕虫以及黑客等等不断威胁并入侵企业网络。而企业内部终端设备众多, 终端使用的人, 水平参次不齐同且人员流动性较大, 用户的安全意识都非常薄弱, 伪造用户登录、滥用资源、 病毒木马攻击、 随意安装应用程序、 信息泄密、 网络连接威胁、 恶意破坏终端等安全问题不胜枚举, 对企业的信息安全管理造成极大的威胁。 因此企业要重视终端安全管理体系建设, 要不断引进先进的网络技术来保障企业的终端安全, 以提高企业网络的整体安全防御能力和企业的信息安全保密程度。
2 引入与工作原理
当前网络安全问题已经成为信息安全的主要威胁, 虽然人们在防火墙、 VPN、 IDS、 杀毒软件以及IPS等软硬件上进行了大量投资, 但是网络安全威胁问题依然没有得到有效的解决, 针对这一困境, 诞生了新的安全理念。 20 世纪90 年代, 西方发达国家率先提出了可信计算、 主动防御等观点, 他们认为计算机安全问题应该回归终端, 倡导研究以终端为核心的安全防御技术手段来解决信息安全问题。 同时很多安全厂商也开始进行了终端安全研究, 如自我防御网络和安全渗透网络等都是终端安全的具体体现, 并且安全厂商不约而同的将准入控制技术作为重要的技术实现方式, 其中最典型的代表就是由思科发起, 众多厂商参与的网络准入控制技术计划, 对终端安全控制提出了全新的思路和有效的方法。
网络准入控制的目的在于防止蠕虫和病毒等黑客攻击电脑技术对企业的信息安全造成威胁, 通过网络准入控制技术, 使经过授权的、 安全的、 合法的、 值得信任的终端设备可以接入企业网络, 但是未经授权的终端设备将无法接入企业网络。 网络准入控制技术将内网安全防护策略划分为内网边界安全防护、 安全威胁防护以及外网移动用户安全接入防护, 是一个全新的系统构架。 其中内网边界安全防护是指对内网以外的所有安全威胁进行防护, 内网安全威胁防护是指对网络内部的所有安全威胁进行防护, 外网移动用户安全接入防护是指公司内部的移动用户在不同的网络环境之下都能保证企业网络的安全以及自身移动终端的安全。 因此, 只有通过网络准入控制技术建立完善的终端安全管理体系, 才能保障企业的网络安全。
3 技术实现
网络准入控制技术将资源访问控制策略作为系统核心, 通过设备联动区、 策略控制区以及用户区3 个方面对企业网络实现全方位的控制与管理。 (1) 用户区通过安装准入控制模块, 以实现用户身份认证、 安全检查和策略系统联动进行终端控制与用户控制。 (2) 设备联动区通过对路由器、 交换机以及防火墙、 IDS等进行改造, 使之能够实现与安全策略控制区的联动, 完成基本数据的交换、 策略接收、 策略执行、网络监测信息上传等功能, 能够起到隔离问题终端设备、 强制用户入网认证、 为认证合格用户提供安全网络的作用。 (3) 资源访问控制策略系统作为策略控制区的核心, 通过与补丁服务器、 防病毒服务器、 DHCP服务器、 终端安全策略服务器、 网管服务器、 基础信息数据库等设备进行联动, 负责进行策略部署与下发、 内容审核、 资源访问、 安全评估以及身份认证等任务, 也是网络准入控制系统的中心枢纽。
当终端用户准备接入企业网络的时候, 安装在客户终端上的准入模块就会主动收集客户端的病毒版本、 系统补丁、 基础配置等信息, 并自动上传基本信息到资源访问策略控制系统, 资源访问策略控制系统就会根据上传的信息对用户的身份认证以及安全策略进行比对检查。 检查完成后, 非法用户将会被企业网络拒绝, 合法用户但终端存在安全问题的将被限制在特定网络区域, 资源访问策略控制系统就会提示问题终端进行病毒库升级、漏洞修复、 终端认证信息检查等行为, 问题终端设备完成修复后又会被准入模块接入资源访问控制策略系统进行认证, 合法又合规的终端用户就能够在系统权限内实现正常的网络行为, 用户网络资源使用情况将会被安全策略服务器进行实时监控。
4 企业应用
随着信息化时代的到来, 人们对信息安全程度的要求不断提高, 现有的网络防火墙、 IDS等无法满足企业网络安全的更多需求, 因此网络准入控制技术从诞生之日起就受到广泛的关注与应用, 尤其受到对信息安全要求较高的企业追捧。网络准入控制技术有利于完善企业终端安全防护体系, 确保企业网络系统的安全。
4.1 产品原则
(1) 要选择优质的产品。 产品必须要具有良好的网络环境适应性, 要避免选择对现有网络改造较多的的产品; 要选择成熟的网络准入控制方案, 要能实现快速部署, 在终端上最好不要安装客户端, 要便于终端用户的接受与使用, 要便于管理, 减少终端管理的工作; 产品本身需要具备良好的逃生方案, 要具备良好的可扩展性, 安全检查引擎要能够及时升级; 产品需要具备终端认证、 安全修复、 以及访问控制等一站式服务体系, 产品要具备完整的功能体系, 要适用于企业的实际情况。
(2) 要选择实力较强的安全厂商。 企业网络准入控制技术项目的建设, 必须要具有工作经验丰富、 专业实力深厚的管理服务团队为支撑, 只有实力厚的安全厂商, 才拥有专门的完整技术团队, 才能为网络准入控制项目建设的企业提供优质、 专业的服务。 在某种程度上可以说产品的技术服务要比产品自身更为重要, 因为在产品项目建设前期, 需要经验丰富的技术人员对产品网络准入系统进行方案规划, 在项目建设过程中, 需要有完整的项目建设计划与管理制度, 在项目建设结束以后还需要完善的售后服务体系, 以便及时解决项目建设在企业实施过程中的各种难题。 因为这些要求相对较小的安全厂商来说是很难办到的, 因此除了要重视产品本身的功能外, 还要重视对安全厂商的考察。
4.2 建设步骤
(1) 要明确网络准入控制建设要达到的目标。 要明确企业网络存在的问题与威胁, 要深入分析网络准入控制保障的对象及可能造成的积极影响与消极影响, 要权衡利弊。 只有当网络准入控制技术能够解决企业网络安全防护问题、 适合企业实际需求、 减少终端用户使用负担并且给企业带来的好处大于对其付出的成本时, 网络准入控制项目的建设才具有实际的意义。
(2) 要明确企业网络准入控制项目的实施对象和范围。通常网络准入控制产品厂商会为项目建设企业提供一个参考的项目实施范围, 企业再根据自身的实际需求, 与厂商进行讨论, 将网络准入控制项目建设包含的内容进行分析, 权衡利弊与实际需求, 综合考虑多方面因素确认范围是否合理, 是否有需要增删的地方。
(3) 要选择合适的网络准入控制系统。 网络准入控制项目建设的实施范围确定以后就要立即开展网络准入控制系统的选择工作。 由于网络准入控制技术可以在企业网络中的任何位置上进行, 因此提前确定执行点对于项目建设来说是非常重要的, 执行点的问题也成为网络准入控制项目建设最重要的设计问题之一。 从当前的实施应用情况来看, 执行点一般被设在企业的内联上。 项目建设企业需要根绝自身实际情况的需要选择执行点, 但是不能对终端用户的使用造成困扰。
(4) 进行成本分析和测试。 网络准入项目建设的成本高低通常取决于企业的设计选择, 因此项目建设企业需要根据项目实施的成本和方法来衡量自己的设计选择是否正确。 例如, 在企业网络中插入一个独立的准入控制设备虽然不会花费给很多的时间和精力, 但是其配置成本将会非常高昂, 因此在方案设计上要考虑建设备份单元以应对主要单元实效。通过这样的方法对网络准入控制项目建设设计进行调整后, 一定要在付款之前将产品用于企业网络测试, 通过测试了解产品是否能与企业的需求相一致。
(5) 实施网络准入控制项目建设。 主要就是通过搭建与服务器、 交换机全局配置、 终端配置、 交换机端口配置等设备之间的联系, 从而实现对企业网络的控制。 在项目实施之前, 企业需要考虑项目负责人, 内部工作部署及效果评价等问题。
5 结语
网络准入控制技术在企业中的应用, 对规范企业终端的入网流程和标准、 对终端的差异化安全管理, 以及在PDCA管理框架下对终端安全短板不断地进行修复和提升、 减少网络和终端的信息安全隐患的系列问题上, 对提升企业网络的终端安全与信息安全具有非常重要的意义和作用。
摘要:网络准入控制技术是企业实现终端安全管理的重要途径之一, 有助于弥补防火墙、入侵检测等网络安全系统的不足。从终端安全问题概述着手, 简述了网络准入控制技术的引进、工作原理和实现路径, 分析了网络准入控制在企业中的实际应用情况。
关键词:网络准入控制,技术应用,企业网络
参考文献
[1]刘佳.关于终端安全管理问题的研究——以盐城地税为例[D].苏州大学, 2012.
[2]钱杨.企业网网络准入控制及终端安全防护研究[D].华南理工大学, 2012.
[3]马岩岩.网络准入控制让企业网络更加安全[J].2011, (10) :66-67.
网络准入控制技术及在银行中的应用 篇2
一、网络准入控制技术的发展背景
网络准入控制是一项由主流网络厂商发起、多家厂商参加的计划, 其宗旨是防止病毒和蠕虫等新兴黑客技术对银行安全造成危害。借助网络准入控制技术, 客户可以只允许合法的、值得信任的端点设备 (例如PC、服务器、PDA) 接入网络, 而不允许其他设备接入。基于身份的网络服务 (IBNS) 能够在用户访问网络访问之前确保用户的身份是信任关系。但是, 识别用户的身份仅仅是其中一部分, 尽管依照总体安全策略, 用户有权进入网络, 但是其使用的计算机可能不适合接入网络。这种情况是因为笔记本电脑等移动计算设备的普及提高了用户的生产率, 但是同时会产生一定的问题:这些计算设备很容易在外部感染病毒或者蠕虫, 当它们重新接入银行网络时, 就会将病毒等恶意代码在不经意之间带入银行工作环境。
瞬间病毒和蠕虫侵入将继续干扰银行业务的正常运作, 造成停机、业务中断和不断地打补丁。利用网络准入控制技术, 能够减少病毒和蠕虫对信息系统运行的干扰, 因为它能够防止易损主机接入正常网络。在计算机接入正常网络之前, 网络准入控制能够检查它是否符合银行最新制定的防病毒和操作系统补丁策略。可疑计算机或有问题的计算机将被隔离或限制网络接入范围, 直到它经过修补或采取了相应的安全措施为止才可接入网络。这样不但可以防止这些主机成为蠕虫和病毒攻击的目标, 还可以防止这些主机成为传播病毒的源头。
基于身份的网络服务的作用是验证用户的身份, 而网络准入控制的作用是检查设备的“状态”。交换平台上的网络准入控制可以与信任代理共同构成一个系统。信任代理可以从多个安全软件客户端 (例如防病毒客户端) 搜集安全状态信息, 并将这些信息发送到制定访问控制决策的网络安全系统。应用和操作系统的状态 (例如防病毒和操作系统补丁等级或者身份证明) 可以被用于制定相应的网络准入决策。网络准入控制整体解决方案, 将会把信任代理与安全软件客户端集成到一起。
二、网络准入控制技术的主要优点
(一) 控制范围大。
它能够检测计算机用于与网络连接的所有接入方法, 包括园区网交换、无线接入、路由器WAN链路、IPSec远程接入和拨号接入。
(二) 多厂商解决方案。
网络准入控制是一项由思科发起、多家防病毒厂商参加的项目, 包括Network Associates、Symantec和Trend Micro。
(三) 现有技术和标准的扩展。
网络准入控制扩展了现有通信协议和安全技术的用途, 例如可扩展认证协议 (EAP) 、802.1X和RADIUS服务。
(四) 利用网络和防病毒投资。
网络准入控制将网络基础设施中的现有投资与防病毒技术结合在一起, 提供了准入控制设施。
三、网络准入控制技术原理
当运行网络准入控制时, 首先由网络接入设备发出消息, 从主机请求委托书;然后, AAA服务器信任代理与入网计算机的信任代理建立安全的EAP对话。此时, 信任代理对AAA服务器执行检查。委托书可以通过计算机的应用、信任代理或网络设备传递, 由安全接入控制服务器接收后进行认证和授权。某些情况下, 安全接入控制服务器可以作为防病毒策略服务器的代理, 直接将防病毒软件应用委托书传送到厂商的AV服务器接收检查。委托书通过审查后, 安全接入控制服务器将为网络设备选择相应的实施策略。例如, 安全接入控制服务器可以向路由器发送准入控制表, 对此主机实施特殊策略。
对于非响应性设备, 可以对主动运行信任代理 (网络或安全接入控制服务器) 的设备实施默认策略。在以后的各阶段, 还将通过扫描或其他机制对主机系统执行进一步检查, 以便收集其他端点安全信息。网络准入控制的示意图如图1所示。
网络准入控制系统包括端点安全软件 (Security Agent/防病毒软件) 、信任代理、网络接入设备 (接入交换机和无线访问点) 、策略/AAA服务器、防病毒服务器、管理系统。
(一) 端点安全软件
包括防病毒软件 (Antivirus Software) 、个人防火墙软件或安全代理 (Security Agent) 。这些软件负责端点安全, 并与信任代理 (Trust Agent) 通信, 共同决定对终端的信任关系。
(二) 信任代理
信任代理 (Trust Agent) 负责收集多个安全软件客户端的安全状态信息, 例如Antivirus Software和Security Agent软件客户端, 然后将信息传送到安全接入控制服务器, 并实施准入控制决策。对于未运行防病毒软件或者没有适当版本的主机, 按照预定策略, 可以限制其对网络的接入范围, 也可以拒绝其接入网络。
(三) 网络接入设备
实施准入控制的网络设备包括路由器、交换机、无线接入点和安全设备。这些设备接受主机委托, 然后将信息传送到策略服务器, 并实施网络准入控制决策。网络将按照客户制定的策略实施相应的准入控制决策:允许、拒绝、隔离或限制。
(四) 策略服务器
策略服务器负责评估来自网络设备的端点安全信息, 并决定应该使用哪种接入策略 (接入、拒绝、隔离或打补丁) 。安全接入控制服务器是一种认证、授权和审计RADIUS服务器, 构成了策略服务器系统的基础。它可以与NAC合作商的应用服务器配合使用, 提供更强的委托审核功能, 例如防病毒策略服务器。
(五) 防病毒服务器
防病毒服务器对防病毒软件客户端发送的状态报告进行检查, 并将检查的结果返回策略服务器, 对于感染病毒或防病毒软件设置不符合安全策略的客户端提供病毒库升级服务。
(六) 管理服务器
管理解决方案将提供相应的NAC组件的监控、报表及相关操作工具。
采用网络准入控制有关技术须通过两项最严格的兼容性测试:与防病毒软件的兼容性和与操作系统的兼容性。NAC技术不但包括防病毒厂商的软件版本、机器等级和签名文件等级, 还包括操作系统类型、补丁和热修复。随着网络准入控制技术的发展, 以后还将继续扩大安全保护以及工作地点应用检查的范围。
四、银行网络准入控制部署方案
一个较好的网络准入控制方案能够极大地改善网络的安全性。实施一个网络准入控制方案并不是简单地安装一个设备和一套软件, 必须对身份验证实现标准化、设置最小的准入标准, 后端的防火墙规则和网络设备必须与网络准入控制方案保持一致, 以允许策略服务器访问。这些正是所有的实践网络准入控制方案需要努力解决的问题。一个较好的网络准入控制解决方案能够保持终端用户设备遵循策略, 为临时用户提供一个安全简易的方法, 使其能够访问网络, 还使可以审核网络中的用户访问活动。
(一) 部署方案
我们以思科公司提供的网络准入控制产品为例, 进行部署网络准入控制方案 (见图2) , 基于思科公司提供的产品可以从以下方面进行部署。
1. 执行准入控制的网络设备, 包括路由器、交换机、无线接入点和安全设备。各种功能通过软件增强集成到新老平台中。
2. 部署AAA RADIUS服务器, 采用Cisco Se-cure ACS, 用于确定接入权限的策略决策点。为支持NAC的正在增强的ACS功能。
3. 部署可信代理, 采用Cisco Trust Agent (CTA) 。CTA由思科开发, 将通过多种方式分发:作为独立代理直接从思科或NAC合作商分发, 与Cisco Security Agent一起分发, 或者嵌入到NAC防病毒厂商的更新软件中。
4. 部署安全代理, 采用Cisco Security Agent, 可以在入网计算机上使用, 同时为防止蠕虫和病毒提供零天保护, 并为NAC提供操作系统补丁和热修复信息。
5. 部署批量配置CSA, 采用CiscoWorks VMS, 批量进行设置CSA。
6. 部署NAC管理, 采用Cisco Security MARS, 可以管理NAC的设备和其他安全设备。
防病毒厂商将为入网计算机和AV策略服务器提供系统的防病毒组件。目前, 加入NAC计划的防病毒厂商包括:IBM、趋势科技、Mc Afee、赛门铁克、CA、瑞星和金山等15家安全领域主要厂商。
(二) 部署方案的具体步骤
为了部署基于思科产品的网络准入控制方案, 一般需要以下的具体步骤。
1. 升级网络设备上的IOS。
2. 升级主机上的防病毒软件。
3. 安装主机上的Cisco Trust Agent 2.0 (可以包含在防病毒软件升级过程中) 。
4. 安装Cisco Secure ACS 4.0服务器 (在实施基于802.1x的IBNS时已经部署, 可以从ACS 3.3升级到ACS4.0) 。
5. 安装用于配置、监控和报告NAC环境的管理工具Cisco Works VMS/CS-MARS。
另外, 进行部署时还需要考虑的问题包括:确定管理权限模式, 妥善管理系统, 并相应调整管理组件;确定和实施网络准入控制策略;确定可扩展性和性能要求, 保证系统可以应付高峰状况 (尤其是ACS等策略决策基础设施) ;确定和实施隔离和修复环境。
网络准入技术 篇3
近年来, 计算机网络技术的发展速度日益加快, 计算机网络技术在人们日常的生活和工作中都得到了广泛的运用, 虽然给人们的生活和工作带了很多的方便, 也给网络终端的安全管理带来了极大的挑战, 网络终端经常受到各种恶意程序的感染和攻击, 对网络终端的安全运行造成影响。因此, 在各类终端接入到网络前, 就应该对其身份进行严格的认证, 对终端进行严格的安全检查, 以确保网络运行的安全。而网络准入控制技术就是在此基础上产生的, 是一种新型的网络安全管理方案, 该项技术对身份认证、网络控制以及终端安全等进行了有效的整合, 大幅度提高了现代计算机网络运行的安全性。
2 准入控制技术的基本原理
2.1 准入控制技术的理念
有关的统计数据显示, 计算机网络攻击多数是因为用户使用终端时不规范或系统的安全级别较低造成的, 许多网络的安全管理模式依然还是比较注重边界防控与保护, 把安全防护的重点放在了内外网的边界。但是随着网络接入方式的多样化, 计算机网络边界的动态变化速度日益加快, 边界防护中存在着许多的问题。而准入控制技术就是通过多样化的控制方式, 发挥准入技术的功能优势, 从保护对象与开发模式进行明确划分, 通过网络与终端两方面的可信接入控制, 前者主要是把网络视作为可信主体, 终端接入作为不可信任的主体, 以此来确保各类终端接入到网络之后, 网络系统运行的安全性。
2.2 准入控制技术的运行机制
准入控制是一种主动型的网络安全管理技术, 注重主动防御的功能, 以此来提高网络系统的安全性。准入控制技术可以在终端接入到网络之前, 便对终端身份进行严格认证, 对终端的安全性进行确认, 最终只让可信, 并且与相关的安全策略符合的终端才能访问网络, 而不符合安全策略的终端设备则不允许接入, 或者把终端设备先放到隔离区进行修复或者对其可访问的资源进行限制。
2.3 准入控制技术的系统框架
计算机网络终端准入控制技术的核心概念, 就是从以网络终端接入的安全着手, 对身份认证、安全策略的执行以及网络设备联动进行有效的结合, 加上第三方软件控制系统, 对终端接入进行强行认证, 并严格落实各项安全策略, 以此来确保整个网络系统运行的安全性。目前, 大部分准入控制方案都是由三个逻辑部件组成, 分别是策略实施构件、接入请求构件 (AR) 及策略决定部构件, 而具体的应用过程中, 还包括特定的第三方服务构件。
3 准入控制技术在计算机网终端中的应用
3.1 在网络安全检查中的应用
(1) 账户检查, 对网络接入终端的用户名与密码进行严格的检查, 以免不法分子私自安装上相同的Agent之后, 私自接入网络。
(2) 严格规范安全设置, 包括终端安全设置, 系统账户检查, 检查Guest账户与弱口令, 检查Windows域, 检查网络终端有没有加入相关的Windows域域, 对可写的共享设置进行检查, 对终端有无设置可写或无权限限定的可写共享进行检查, 查看终端系统中是否安全了补丁软件, 对终端内部的防病毒软件安装情况与升级情况进行检查, 对终端中存在危险性的注册表项进行检查, 检查终端内是否有危险文件和有无安装一些非法性软件。
(3) 对终端注册ID进行严格的检查, 查看终端内部是否有其他的网络注册或者登记过, 检查网络接入的终端是否与相关的接入安全管理规范相符, 以防止可疑终端的接入。
3.2 在网络安全管理与控制中的运用
3.2.1 安全加固
准入控制技术可以对网络接入终端的账户和屏保口令、共享目录以及自动加载服务进行安全加固, 以强制性的方式将与终端安全管理规范相关的防病毒软件强制接入, 并对病毒特征库进行更新, 且自动安装上最新的终端补丁包, 可有效提高终端的抗攻击能力。
3.2.2 安全评估
准入控制技术可以对连网终端的运行的状态与安全设置进行准确评估, 让管理人员可以对终端安全策略进行自动定义, 例如账户口令是否是强制性口令, 目录是否存在可写共享, 是否曾运行过危险程序或者危险软件, 是否安装了最新的补丁包、防病毒软件、病毒特征库的更新情况以及终端网络的具体访问流量等。
3.2.3 安全审计
准入控制技术可以对网络内部各个终端设备的网络访问与操作行为进行安全审计, 对终端的文件拷贝、FTP、mail以及互联网访问的行为等进行全方位审计, 对终端内部有没有运行过非法软件进行审计, 是否存在未经允许就可以自动对计算机中的软件与硬件配置进行更改的软件, 一旦在评估与审计过程中发现问题, 管理人员可以随时对终端进行集中设置与管理, 以集中控制的方式对终端内部各类批量信息进行统计与查询, 如策略的分发, 以集中、分组以及批量处理的方式, 对计算机终端的安全设置情况与状态进行检查, 并分发补丁管理与软件, 以此来减少终端管理人员的工作量。例如, 远程控制功能, 可以让终端系统的维护人员能够以远程方式对终端设备进行控制与保护。设备定位功能, 可以让管理人员能够对接入网络终端设备进行快速的定位, 并采取有效的措施防止攻击进一步扩散, 特殊情况下可以直接将可疑设备与终端的连接断开。资产管理功能, 可以帮助管理员对连接入网络中各类设备的软硬件配置情况进行统计与汇总, 并对级别不一样的安全事件, 采取对应处理措施, 确保网络终端运行过程中的各类安全事件能够及时到得到处理, 确保计算机网络运行的安全性。
4 结束语
总之, 准入控制技术将终端的安全作为控制的根本, 将准入控制作为安全管理的手段, 对各类网络安全技术与设备进行综合运用, 促进了计算机网络安全管理的相关安全策略的落实, 大幅度的提升了计算机网络终端的主动防御、整体防御以及综合防御能力, 确保了计算机网络终端运行的安全性。
摘要:准入控制技术主要是提前制定相关的安全管理对策, 对网络终端的各类用户进行严格的身份认证与安全检查, 确保网络终端访问的安全性, 对于一些危险或者不安全的终端接入进行拒绝或者限制, 通过这种方式提升网络的防御功能, 确保网络运行的安全性。本文主要就准入控制技术在计算机网络终端中的应用进行分析与阐述。
关键词:准入控制技术,计算机,网络终端
参考文献
[1]刘美娟.网络准入控制技术在企业中的应用探讨[J].电脑编程技巧与维护, 2016, 04:83-84.
医院网络终端准入控制解决方案 篇4
随着信息化的发展,当前医院的网络越来越复杂、越来越重要,如果不安全的用户终端接入网络,就等于给潜在的安全威胁敞开了大门,使安全威胁在更大范围内快速扩散,进而导致网络使用行为的失控[1]。终端准入控制从控制用户终端安全接入网络的角度入手,整合网络接入控制与终端安全产品,对接入网络的用户终端强制实施安全策略,严格控制终端用户的网络使用行为,有效地加强了用户终端的主动防御能力[2]。为保证用户终端的安全、阻止威胁入侵网络,对全院登陆网络的用户实施终端准入控制,对全网采取接入认证,对用户的网络访问行为进行有效地控制,使得非法用户无法进入医院网络,杜绝各种可能导致整网不安全的行为,如非法使用外置存储、不安装防火墙软件、私自修改注册表等。医院网络终端准入控制解决方案,对全院用户上网行为进行了有效地监控,为网络管理人员提供了有效、易用的管理工具和手段。
1 准入组网模型
H3C终端准入控制(End user Admission Domination,EAD)安全产品是一套融合网络设备、用户终端和第三方安全产品的全网安全体系框架,其目的是整合孤立的单点安全部件,形成完整的网络安全体系,最终为用户提供端到端的安全防护[3]。H3C EAD组网模型(图1),包括安全客户端、安全联动设备、安全策略服务器和第三方服务器。
安全客户端是指安装了H3C i Node智能客户端的用户接入终端,负责身份认证的发起和安全策略的检查。安全联动设备是指网络中的交换机、路由器、VPN网关等设备。EAD提供了灵活多样的组网方案,安全联动设备可以根据需要灵活部署在网络接入层和汇聚层。安全策略服务器和安全联动设备负责给客户端下发安全策略、接收客户端安全策略检查结果并进行审核,向安全联动设备发送网络访问的授权指令。第三方服务器是指补丁服务器、病毒服务器和安全代理服务器等,被部署在隔离区中。当用户通过身份认证、但安全认证失败时,将被隔离到隔离区,此时,用户仅能访问隔离区中的服务器,需通过第三方服务器进行自身安全修复,直到满足安全策略要求为止。
安全策略服务器是EAD系统的核心,如果安全策略服务器出现宕机将对终端用户接入网络产生影响。为了提高EAD系统的高可用性和容灾性,我们采用双机冷备方案。当主服务器出现故障时,交换机与主服务器之间通讯中断,发出的认证请求在一定时间内未得到响应,经过缺省的重试数次后,交换机自动将认证请求发往备服务器,同时将主服务器状态置为“封锁”。等待一定的时间间隔后,再次尝试将认证请求发往主服务器,若通讯恢复则立即将主服务器状态置为“激活”,从服务器状态不变。为了保证主服务器和备服务器上保存的账户信息同步,EAD系统提供了数据库自动同步功能,每间隔24h主服务器和备服务器会进行1次数据库同步,若有需要,也可手动立即执行数据库同步。
2 网络接入认证
EAD解决方案提供完善的接入控制,可以支持有线、无线各种接入方式,支持包括HUB在内的各种复杂网络、异构网络环境下的部署,保证从任何地点、任何方式下的接入安全。除基于用户名和密码的身份认证外,EAD还支持身份与接入终端的MAC地址、IP地址、所在VLAN(虚拟局域网)、接入设备IP、接入设备端口号等信息进行绑定,支持智能卡、数字证书认证,增强身份认证的安全性。
对于要接入网络的用户,EAD解决方案首先要对其进行身份认证,通过用户名和密码来确定用户是否合法,身份认证通过后的用户进行终端的安全认证。根据网络管理员定制的安全策略进行包括病毒库更新情况、系统补丁安装情况、软件的黑白名单、U盘外设使用情况等内容的安全检查,根据检查的结果,EAD对用户网络准入进行授权和控制[4,5]。通过安全认证后,隔离状态被解除,用户可以正常使用网络,与此同时,EAD可以对用户终端运行情况和网络使用情况进行审计和监控。如果安全认证未通过,则继续隔离用户,直到用户完成相关修复操作后通过安全认证为止。EAD解决方案对用户网络准入的整体认证过程,见图2。
医院网络分为线接入和无线接入两部分。根据EAD的部署效果,有线部分采用802.1x认证,无线部分采用portal认证。有线接入部分,认证全部终结在楼层的接入交换机上,在接入交换机上进行安全控制。对需要开启认证的交换机,在安全策略服务器上添加接入设备,根据从交换机端口接入的用户信息逐个配置交换机开启认证。无线部分的认证全部终结在无线交换机上。对于无线交换机,直接开启部分网段用户portal接入认证即可。网络接入认证时自适应绑定终端的MAC地址。
3 安全策略规划
EAD对终端用户的安全策略进行配置,安全策略服务器则用于对用户终端的染毒状况、杀毒策略、系统补丁、软件使用情况进行集中管理、强制配置(强制病毒客户端升级、强制打补丁),确保全网安全策略的统一。同时,通过客户端管理代理与安全客户端相配合,记录用户的安全日志,并提供查询及监控功能,为网络管理员提供网络安全状态的详细信息。通过这种防病毒软件、安全客户端的整合,EAD安全产品能够防止已感染病毒或存在系统漏洞的用户终端对网络中的其他用户产生危害,保护缺乏防御能力的用户因暴露在非安全的网络中而受到威胁,避免了来自网络内部的入侵。
安全检查基本策略如下:合法用户才能登录,如802.1x认证端口用户未认证不能访问任何地址;Portal认证用户认证前只能访问DHCP服务器和文件服务器等有限资源。用户必须安装防病毒客户端软件,防病毒客户端软件的杀毒引擎版本、病毒库版本必须符合要求。对安全策略模式进行如下规划。
3.1 隔离模式
对于一些关系比较重大的安全漏洞或补丁,如Windows服务器的致命安全补丁,需要进行比较严厉地控制。具体来说,就是一旦用户终端安全状态不合格,就限制其网络访问区域为隔离区,再进行修复操作,满足企业终端安全策略要求后,才能重新发起认证,正常接入网络。对有线接入终端,安全检查不合格时,设置隔离模式,只能访问隔离区的资源。
3.2 警告模式
某些应用环境下,不需要根据用户终端的安全状态严格控制用户终端的访问权限,可以采用警告模式来处理不合格的安全状态,如对于安全等级略低一些的补丁可以采取这种方式。在警告模式下,安全客户端检查用户终端的安全状态信息,并将不合格项以弹出窗口的形式提供给终端用户,同时提供修复指导和相关链接。用户的网络访问权限不因终端安全状态不合格而被更改。
3.3 监控模式
监控模式同警告模式的实现流程基本相同,区别在于在监控模式下,安全客户端不会弹出窗口向用户提示终端的不合格项。但网络管理员可在EAD安全策略服务器的管理界面中对用户终端安全状态进行实时监控,了解用户终端的安全信息。一些相对普通的安全问题,如提示性的补丁安装,可以在不影响终端用户工作的情况下,由管理员进行定期检查并通告。同时,对于重要的网络用户,如院领导、部门领导,管理员对其网络访问的管理也可应用监控模式。
4 结束语
我院“军字一号”网是全院的主要业务运行网络,是二、三层混合架构,拥有各类网络交换机110台,展开网络终端1600余个,对网络运行使用制定了相关管理规章制度,并对网络开展季度巡检[6],但并未消除用户的终端计算机不及时升级系统补丁和病毒库的现象,并未完全控制私设代理服务器、私自访问外部网络、滥用禁用软件等行为。实施终端准入控制后,EAD通过与交换机的联动,强制检查用户终端的病毒库和系统补丁信息,降低病毒和蠕虫蔓延的风险,同时,强制实施网络接入用户的安全策略,阻止了来自医院内部的安全威胁。在用户终端通过病毒、补丁等安全信息检查后,EAD可基于终端用户的角色,向安全联动设备下发事先配置的接入控制策略,按照用户角色权限规范用户的网络使用行为,保障了医院网络的安全[7,8]。
摘要:本文介绍了医院网络终端准入控制的组网模型、网络接入认证和安全策略规划。通过实施终端准入控制,对用户的网络访问行为进行有效地控制,规范用户的网络使用行为,使得非法用户无法进入医院网络。强制检查用户终端的安全,强制实施网络接入用户的安全策略,阻止来自医院内部的安全威胁,保障了医院网络的安全。
关键词:“军字一号”,医院网络安全,终端准入控制,接入认证,安全策略服务器
参考文献
[1]巩蕾,路万里,王伟伟.构建医院网络信息安全防护体系的探讨[J].当代医学,2010,16(6):26-27.
[2]周超,周城,丁晨路.计算机网络终端准入控制技术[J].计算机系统应用,2011,20(1):89-94.
[3]支林仙,朱宇阳.端点准入防御(EAD)解决方案简析[J].福建电脑,2007,(4):74.
[4]周祥峰.基于802.1X协议的网络准入控制技术在电力企业的推广应用[J].现代计算机,2010,(8):101-104.
[5]唐晓雷,余镇危,刘知一,等.准入控制研究综述[J].计算机工程与应用,2005,(5):129-131.
[6]马锡坤,杨国斌,袁波.构筑信息网络基础平台保障人财物科学管理[J].中国数字医学,2010,5(8):20-22.
[7]马锡坤,徐旭东,张曙光.我院“军字一号”网络使用的科学管理[J].中国医疗设备,2008,23(11):70-72.
网络准入在县级供电企业的试点应用 篇5
临桂供电公司拥有计算机终端300多台,信息接入点较多,由于很多内部用户不遵守信息安全规章制度,私自修改电脑安全设置,安装各种与工作无关的软件,导致很多不符合信息安全策略要求的内部终端接入公司的局域网络中,未安装杀毒软件。同时,安装PPS、PPTV、BT、电驴等P2P大流量软件和开启影响网络安全的软件等现象经常发生。一直以来缺乏行之有效的技术手段对其进行管控,成为传播病毒的源头和被病毒感染的对象,造成网络拥堵,严重影响到信息系统的正常访问使用。终端安全问题对公司各项日常管理至关重要,因此迫切需要建设网络准入控制系统,确保终端只有符合安全策略、经过授权,才允许接入公司的局域网,确保接入内部网的计算机终端的合法性、可控性和安全性。
承接上级单位对县级供电企业网络准入推广的要求,临桂供电公司开展了北信源网络准入试点建设工作。
2 组网现状
临桂供电公司网络核心采用双H3C 7503E交换机,以OSPF方式组网,机关办公大楼各个楼层使用11台H3C3600接入交换机,均支持802.1X协议,均通过1 000 M光纤接入双核心交换机,乡镇营业所、变电站通过租用电信运营商的光纤通道接入本部,所有计算机终端均为静态IP地址。
3 网络准入实施目标
(1)只有经过授权的设备、合法的用户才允许接入公司信息网络,没有授权的设备和用户则拒绝接入。
(2)只允许符合设定安检准入规范的系统接入,不符合安检准入规范的系统须隔离到隔离网络进行安全修复处理合格后,方可接入网络。
(3)少数因厂商软件原因无法满足准入条件,但又需要联网工作的终端,可保证其能正常联网工作,例如乡镇营业厅的视频监控系统、自助缴费机等。
(4)对于外来人员临时办公,可为其提供临时联网。
4 技术方案
部署1台北信源网络准入网关。该网关提供2种工作模式,一是网关模式,二是旁路监听模式。如果使用第一种网关模式,网关部署在需要管理的系统区域前端,所有数据流必须经过此准入网关,实时捕获网络链路的所有数据包,但此方式会增加单点故障的风险,而使用双准入网关,虽然降低了单点故障风险,但增加了投资成本;如果采用第二种旁路监听模式,准入网关通过镜像口或TAP方式捕获网络链路中的数据包,并根据数据包的分析结果以TCP Reset报文干扰的方式决定是否实行准入策略,实现保护模式EDP联动认证,只需要将引擎的监听口与镜像口/TAP口连接即可,这样不仅不会影响现有网络结构,也不会增加网络故障点,不增加投资,保证了网络的稳定性。因此,临桂供电公司采用的是第二种旁路监听模式,网络拓扑连接方式如图1所示。
5 实施步骤
上架操作:在准入网关的MGT口,连接1根网线至核心1#交换机,使干扰和管理接口相连;在ETH0口连接1根网线至核心1#交换机,监听该交换机镜像口数据;在ETH1口连接1根网线至核心2#交换机,监听该交换机镜像口数据。在2个核心交换机分别设置镜像组,把所有端口的数据流量、镜像到与准入网关的连接口上,提供给准入网关监控所有的数据流量。
初始化设置:在注册管理下添加EDP联动信息;在认证管理下添加本地认证并设定镜像口和全网安全域:0.0.0.0-255.255.255.255;在安检规范中设置好准入条件;在网络准入添加入网策略。
初始化完毕后,通过WEB方式进行准入网关的配置管理,实现对企业内部网络的安全管理,强化网络管理员对计算机终端从准入一注册一监控一修复的全周期的安全管理。
临桂供电公司设定的准入条件为“注册+安检”,即终端必须注册对应厂商桌面安全管理终端软件,必须安装电网公司瑞星网络版杀毒软件,同时满足以上2个条件,才允许接入内网。
推广步骤为先在小范围的几台电脑做测试,再逐步扩大到几个部门,最后向全公司推广入网准入策略。
6 系统功能
6.1 普通员工用户身份认证
从接入层对访问的终端用户进行最小授权控制,普通员工用户须先注册对应厂商的桌面安全管理终端软件,注册信息上传准入网关后,先根据用户身份严格控制用户对内部网络访问范围,然后才允许接入内网。
6.2 终端完整性安检
通过身份认证的用户还必须通过终端完整性检查,除了必须安装电网公司企业版瑞星杀毒软件之外,还包括各种杀毒软件检查、1T主页检查、禁止启动项、进程检查、共享资源检查、Guest检查、弱口令检查、IE代理服务器检查、系统漏洞检查、远程桌面检查、必须启动的服务等,检查它们是否具有潜在的安全隐患。
6.3 终端安全隔离与修补
对通过身份认证但不满足安全检查的终端不予以网络接入,并强制引导移至隔离修复区,提示用户安装有关杀毒软件、配置操作系统有关安全设置等,直至其符合安检策略,才允许连入内网。
6.4 非法终端网络阻断
能及时发现并阻止未授权终端对内网资源的访问,降低非法终端对内网进行攻击、窃密等安全威胁,从而确保内部网络的安全。
6.5 接入强制技术
支持几乎所有的网络接入强制技术,如802.1X、DNS代理、防火墙、CISCO EOU、H3C Portal、VPN等,实现从网络层到系统层接入的全面、深度控制,有效拒绝未知设备接入。
7 例外设备和访客管理
对于少数因应用软件厂商原因而无法满足准入条件,但又需要联网工作的终端,例如乡镇营业厅的视频监控系统、自助缴费机等,无法安装桌面安全管理终端软件,为了保证其能正常联网工作,把其列入网络准入的例外设备中,不管理其网段或IP地址,这样就可以保证这些系统正常工作。
对于外来人员来公司临时办公,可为其提供临时联网,在访客管理中给其分配上网码,上网码可通过页面查询获取,也可以通过短信接收。
8 结语
终端所面临的安全威胁,已不再是传统的病毒,而是更加复杂、恶意的未知代码。分析恶意代码的发展趋势,可以帮助我们更好地构建终端安全防护体系,优化现有的网络安全体系,通过网络准入与终端安全防护体系的建设,可以更有效地保障终端及计算机网络安全,提高信息系统的可靠性、稳定性和可管理性。
网络准入技术 篇6
随着电力企业信息化程度的不断提高, 电网企业对信息网络的依赖程度越来越高, 各种各样的设备需要接入企业的内部网络来访问企业资源, 电网企业的内网安全管理工作面临的挑战越来越大。据统计, 83%的信息安全事件是由内部人员或内外人员勾结所为[1,2,3], 因此加强企业内部网络安全管理是非常必要的, 网络准入控制技术可以阻止外来人员未经允许非法接入企业内部网络、限制企业内部用户的网络访问行为、加强内部用户的网络接入控制, 日益受到企业的关注。目前很多企业部署了网络准入控制系统[4,5,6,7,8], 电网企业[9,10,11,12,13,14,15]也通过部署网络准入系统来保证用户终端的安全、阻止威胁入侵网络, 实现网络安全的主动有效控制。
网络准入控制 (Network Admission Control, NAC) 概念最早由Cisco公司于2003年提出[16,17], 其核心思想是从终端网络接入控制入手, 结合认证、安全策略服务器、网络设备, 以及第三方系统 (病毒和补丁服务器) , 完成对接入终端的认证和安全策略检查, 达到保障网络安全的目的。换言之, 网络准入控制系统将自动更新、安全状态审核、准入控制等思想集中在一起, 从过去的被动防御和分散安全管理变为主动防御和集中安全管理。图1展示了网络准入控制技术认证层级。
1 常见的网络准入控制技术
网络准入控制作为系统安全的关键技术之一, 很多机构和研究者对其进行了研究[16,18,19,20,21], 并在很多行业进行应用[4,5,6,7,8]。按实现方式, 可分为两大类:基于网络的准入控制和基于主机的网络准入控制。基于网络的准入控制主要有基于局域网的扩展认证协议 (Extensible Authentication Protocol Over LAN, EAPOL) 技术、基于用户数据报的扩展认证协议 (Extensible Authentication Protocol Over UDP, EAPOU) 技术、网络Plug-in技术;基于主机的准入控制技术主要有系统及应用准入、客户端准入。按准入控制所在的层次, 可分为终端层、网络层和应用层准入控制3种 (见表1) 。从目前网络准入控制技术发展的趋势来看, 网络准入控制系统将向全面、多层次方向发展, 不仅局限于终端, 还对用户上网行为的全过程进行监管。
2 几种主流的网络准入解决方案
前面介绍的网络准入控制技术是一项由思科发起、多厂商参加的项目, 因此不同的厂商具有不同的解决方案。就目前而言, 比较成熟解决方案有:Cisco NAC网络接入控制技术 (Network Access Control) 、Microsoft NAP网络接入保护技术 (Network Access Protection) 、华为3COM EAD准入控制技术、Symantec SNAC网络准入技术以及TNC可信网络连接技术 (Trusted Network Connection) 等[1], 这些解决方案的主要思路是从用户终端入手, 通过管理员指定的安全策略, 对接入私有网络的主机进行安全性检测, 自动拒绝不安全的主机接入, 保护网络直到这些主机符合网络内的安全策略为止。
2.1 Cisco NAC
Cisco NAC网络准入控制技术能够检测包括通过WAN链路、IPsec远程接入、拨号接入、VPN接入、局域网、无线设备等所有接入方法部署的终端。
NAC系统主要包含NAC Appliance (NAC产品) 和NAC Framework (NAC框架) 。NAC Appliance方案由3个组件构成:Cisco Clean Access Agent (有Web Agent或Exe Agent) 、Cisco Clean Access Server (评估设备并基于终端的策略符合情况授予访问权限) 、Cisco Clean Access Manager (集中管理CAS, 包括执行策略和修补服务等) 。NAC Appliance通过终端评估、策略管理和修补服务支持以实现快速部署, 适合规模较小、拓扑简单的网络。
NAC Framework的组成包括客户端Agent、策略服务器、网络设备及集中管理系统。安全认证分为基于L2-IP和基于802.1x 2种。表2详细介绍了NAC over 802.1x和NAC over L2-IP认证方式的特点。
NAC Framework虽然对网络环境要求高, 存在投资保护问题, 但可以很好地与第三方安全产品进行联动, 为规模较大、拓扑复杂的网络提供从无线到有线、本地到远端的多层次、多平台的安全防护。
2.2 Microsoft NAP
微软网络访问保护NAP是一种区别于NAC的准入控制体系结构, NAP提供了一套完整的校验方法来检测接入终端的健康状态, 确保终端运行状况策略符合要求, 并有选择地限制安全状况不正常的计算机的网络访问。NAP具有强制更新功能, 该功能可以和其他厂商的软件进行整合, 实现对接入终端特定系统或软件进行更新检查, 对不更新的终端限制其接入, 最终实现以下目标:
1) 监视计算机访问网络是否符合健康策略要求;
2) 自动更新计算机, 使其符合健康策略要求;
3) 限制不符合安全策略要求的计算机, 将其限制在受限制的网络中[16]。
2.3 H3C EAD
EAD是华为3COM在2005年前后推出的端点准入防御解决方案, 该方案通过客户端Agent、网络设备、安全策略服务器及防病毒软件对接入网络的终端下发安全策略, 控制用户终端网络使用行为, 以提高终端的主动防御能力。EAD解决方案包括补丁服务器、CAMS服务器 (安全策略服务器) 、防病毒服务器、H3C客户端Agent和安全联动设备等基本部件, 通过安全策略中心协调各部件实现对接入网络的终端的安全准入控制。
EAD解决方案主要有3种部署方式:接入层准入控制、汇聚层准入控制以及多厂商设备混合准入控制[16]。表3归纳了3种部署方式的特点。
2.4 Symantec SNAC
SNAC解决方案包含了LAN Enforcer, Gateway Enforcers, DHCP Enforcers。
1) 采用LAN Enforcers即802.1x, 网络准入的控制粒度较细, 但对网络设备有较高的要求:所有接入层交换机必须支持802.1x, 而且接入层交换机下面不能再接HUB或者非802.1x交换机。此外, 实施起来比较麻烦, 并非所有设备的操作系统都支持802.1x, 比如网络打印机、传真机、Linux机器等。
2) Gateway Enforcers方案是在网络瓶颈点部署的内嵌实施设备, 典型部署方案是位于远程分支机构与公司总部之间的VPN、无线网络和会议室网络等场景。
3) DHCP Enforcers以内嵌方式部署在端点和企业现有的DHCP服务基础架构之间, 如果端点没有运行代理或者处于不遵从状态, 则DHCP Enforcers会分配限制性的DHCP租用, 提供的是不可路由或隔离的IP地址, 降低网络访问权限, DHCP Enforcers不太适合大规模的应用, 只适合作为辅助方案。
SNAC的策略管理都通过一个管理控制台进行, 即SEPM服务器。在SEPM服务器里需要设置控制策略、交换机、Radius等信息。
2.5 TNC
TNC是建立在基于主机可信计算技术之上的一种网络准入控制技术, 通过使用可信主机提供的终端技术, 提供一种由多种协议规范组成的框架, 来实现终端网络访问准入控制。换句话说, 通过协议的扩展, 将TNC技术应用到网络上, 实现网络准入控制功能。当可信的端点要接入网络时, 须先使用整体性的安全策略评估后, 结合网络访问控制策略 (例如802.1x、Radius、IKE协议) 来完成网络接入过程。
TNC网络准入控制技术可以实现以下功能:
1) 验证用户身份及平台状态完整性检测;
2) 确认终端及其用户权限;
3) 建立在其接入网络前的可信级别;
4) 平衡已存在的产品、标准及技术;
5) 根据终端的状态建立一个可信级别, 实现终端访问策略授权;
6) 隔离不符合可信策略的终端, 使之在可信网络之外, 若可能, 对其进行修复。
3 网络准入产品技术比较
以上介绍的几种主流网络准入解决方案中, 虽然其实现方式各不相同, 但其实现的目标和采用的技术却有很大相似性, 可以理解为终端、网络设备、安全策略服务器这3个组件协同配合工作, 其区别主要表现在以下几个方面[19]。
1) 协议。Cisco、华为通过采用EAP、802.1x及RADIUS协议实现网络准入控制, 依赖于各自网络设备的特性。微软则采用DHCP和RADIUS来实现, 依赖于自身的OS及AD域, 并强制选择DHCP, IPSec, 802.1x, VPN隔离, 对不同厂家的网络设备进行了屏蔽。
2) 身份认证。Cisco、Symantec使用RADIUS服务器作为身份认证平台, 微软则使用自身的AD域实现身份认证, 华为主要采用用户名/密码的方式进行身份认证。
3) 管理方式。Cisco、Symantec、微软、华为均选择了集中控制管理方式, 用户管理和准入策略由统一的管理平台负责, 策略控制、应用则由策略服务器和第三方产品协同进行。
4 网络准入控制系统在电网企业的应用概况
电网企业是信息化高度发达的行业之一, 为了提高企业终端的网络准入, 很多电网企业部署了网络准入系统, 从技术上加强了对局域网内计算机的监管, 从而终端设备的抗风险能力显著提升。表4归纳了文献中介绍的电网企业采用的网络准入解决方案, 根据企业自身的需求, 普遍采用Symantec SNAC网络准入系统。
从表4各供电局的需求来看, Symantec SNAC网络准入系统能够满足电网企业网络准入需求, 具有很好的适应性和扩展性, 因此在电网企业中得到了广泛的应用。
5 云南电网公司网络准入控制系统应用情况
为了提高企业终端的网络准入, 云南电网公司在全省地市供电局统一部署了华赛TSM网络准入控制系统, 系统主要提供终端安全接入控制、终端安全管理、补丁管理、终端用户行为管理、软件分发、资产管理等六大功能。系统通过终端网络准入控制、终端安全检查、访问控制和安全修复, 有效控制了包括企业员工、外部访客、合作伙伴的临时员工等对网络的访问, 同时, 系统还能够随时发现并隔离带有威胁的终端主机, 提升云南电网网络防御安全威胁的能力。
玉溪供电局实施的华赛TSM网络准入控制系统, 实现了计算机终端的实名制安全管控, 切实做到预防木马、病毒、ARP欺骗攻击以及非法外联等主动违规行为, 有效规范了计算机终端接入流程, 减轻了终端维护工作压力, 提高了网络与信息系统安全水平, 但同时也存在着一些亟需改进的地方。
1) TSM网络准入控制系统部署采用网关方式, 控制的细粒度较大。目前TSM将云南电网的网络资源按照业务和安全等级划分为3个安全域:认证前域、隔离域和认证后域。认证前域指终端在身份认证和安全检查通过前能够访问的网络资源, 认证后域指终端在通过身份认证和安全检查后能够访问数据中心的网络资源, 隔离域指终端在通过身份认证但没有通过安全检查时所能访问的网络资源。华赛TSM网络准入控制网关部署在云南电网公司数据中心和互联网资源核心交换机上, 而玉溪供电局的局域网资源处于认证前域, 接入玉溪供电局的终端无需经过身份认证和安全检查即可访问玉溪供电局的网络资源, 对终端的准入控制粒度较粗, 存在信息未经授权非法访问、数据泄露的风险。
2) 系统部署结构单一, Agent客户端无法实现异构系统的网络准入 (如Linux) 。云南电网华赛TSM网路准入控制系统采用了PKI/CA数字证书进行身份认证, 目前客户端Agent仅支持Windows系统, 对于Linux系统终端、Android、i OS移动终端无法通过PKI/CA数字证书进行准入, 极大地限制了这些移动设备的使用。而BYOD (Bring Your Own Device) 模式的兴起, 给企业的信息化工作带来了新的挑战。目前云南电网TSM网络准入系统还无法有效地对移动设备实施准入控制, 为不断适应信息技术的发展的要求, 不断对TSM网络准入系统进行完善是非常必要的。
3) 存在多主机模式。在TSM网络准入控制系统日常的维护中发现, 如果某个会议、培训需要临时开通无线网络时, 信息中心一般通过架设一个普通的无线AP或者一个充当HUB作用的交换机, 为这些会议和培训提供网络服务, 当接在这台HUB或AP上的一台终端通过认证并授权后, 这台HUB或AP后面任意数量的终端都可以访问网络, 这种现象在网络准入中称之为多主机模式。这种情况的出现削弱了网络准入系统的控制能力, 因此企业必须严格控制无线AP及HUB的使用。
4) 无线网络准入控制。由于无线网络是以电磁波来传输数据, 也带来了不容轻视的信息安全问题。从根本上讲, 无线网安全问题的根源在于无线网络信号的空间扩散特性。802.11无线网络的物理特征决定了其不可能阻止未经授权的第三者监听网络数据, 用户的网络接入也并不能像有线网络一样受到企业围墙大门的保护。当前企业无线网络安全威胁类型主要有以下4类:未授权用户非法访问服务;通过窃听、截取用户数据包, 盗取账号、密码等关键数据, 造成隐私信息外泄;攻击无线网络设备, 获取网络相关权限, 篡改网络相关配置或策略, 降低网络安全防护能力;带病毒主机接入无线网络将病毒木马引入企业内部, 严重危害企业信息系统安全。
无线网络的准入需要考虑2方面的因素:一方面是无线AP的准入、检测与定位;另外一方面是接入到无线网络终端的准入。对于接入到无线网络终端的准入, 利用现有的网络准入系统即可实现。但对于无线AP的准入、检测与定位, 现有的网络准入系统还不具有此功能。而在目前企业的网络管理中, 经常出现用户私接AP现象, 如果AP的设置不当, 往往会造成在同一个子网的用户获取了错误的IP地址, 出现无法访问网络的情况发生。因此, 为了实现无线AP的准入、AP的检测与定位、非法AP攻击的自动阻断, 可以通过部署无线入侵防护系统作为现有的网络准入系统的补充, 实现只有经过MAC地址认证成功的无线AP才能正常接入网络, 未经授权而认证失败的无线AP即使物理连入网络也将无法与网络交换设备进行正常通信, 从而做到无线网络准入从“被动发现监控”到“主动人为授权控制”, 从源头上主动消除私接AP安全隐患, 保障无线网络接入安全。
5) 对虚拟化应用的支持。虚拟化技术对终端的网络准入控制提出了更高的要求。网络准入控制系统很容易实现防止违反策略的物理终端接入网络, 但如何实现虚拟化终端的准入控制, 是TSM网络准入控制系统需要解决的一个问题。目前, 服务器虚拟化、桌面的虚拟化技术已经很普遍, 若网络准入控制系统无法区分真实网卡与虚拟网卡, 仅通过一刀切的方式禁用虚拟机 (虚拟网卡) 使用网络, 显然会影响到用户正常的网络接入。
6 结语
网络准入技术 篇7
在信息网络应用技术快速发展的今天,网络安全问题显得越来越突出。目前大部分网络的安全管理重点放在防范来自外部的攻击,依赖于防火墙、入侵检测、防病毒软件等等。但是事实证明,企事业单位内部的不安全因素远比外部危害更恐怖。据权威统计显示,83%的信息安全事故是由内部人员和内外勾结所为,80%以上的企事业单位内部网络曾遭受过病毒的肆虐,60%以上的企事业网站受过黑客的攻击,从这一些数字足见内部网络安全管理问题的重要性。电力企业是信息技术使用较普及的单位,内部网络具有网络覆盖面广、应用复杂、微机数量众多等特点。如何阻止单位内部非法用户接入网络、限制用户的安全行为、加强内部用户的网络接入控制已成为电力信息网络安全防御体系必须重点考虑的问题。
1 系统概述
系统是以实现网络用户的接入和控制为目标,采用身份认证和安全规则检查相结合,在用户访问网络之前确保其身份是信任关系,使上网机器的安全性得到保障,提升网络的安全稳定性。系统在分析企业信息网络安全问题和总结网络安全管理经验基础之上,充分利用计算机技术、网络技术和数据库技术,解决信息网络用户接入的可管理问题和网络用户安全行为的可控制问题,对网络设备运行状况实行实时监控,保证网络可靠运行,提高信息网络的安全性。
系统采用802.1x协议+Radius服务的网络用户接入认证方案,解决合法用户访问网络,非法用户不能访问网络的问题。系统采取网络用户统一的安全规则检查,使其自身在处于相对安全的状态下访问网络,避免对整个信息网络造成破坏,以此达到控制网络用户安全行为的目的。系统对网络设备的运行情况进行监控,准确表现整个网络中所有网络设备的拓扑关系,网络设备与终端计算机的连接关系,网络设备端口详细状态变化,及时发现网络设备的故障情况,并以告警和短信方式通知管理人员。在此基础上,系统借助客户端软件对终端计算机进行远程诊断和维护,提高信息网络服务质量,减轻信息管理人员的工作量。
2 系统设计原则
系统设计坚持2个原则:(1)系统要在保持原有网络结构基本不变、网络设备基本不增加的前提下进行系统设计; (2) 系统的运行不能对原有正常的网络业务有太明显的影响,保证日常网络业务的正常顺利运行。
系统涉及网络用户众多,稳定性对系统至关重要,因此系统采取平台化、模块化应用系统设计思想,各模块独立运行,共享数据。客户端软件要供所有网络用户使用,考虑到使用者计算机知识水平参差不齐,因此客户端软件尽量避免人为的参与操作,实现完全自动化。
3 系统设计方案
3.1 体系结构
系统采用c/s应用结构,分为应用层,逻辑层和数据层。应用层包括认证客户端和控制台系统;逻辑层包括网络信息管理平台和若干个模块;数据层包括数据库及其结构设计。如图1所示。
3.1.1 应用层设计
应用层包含认证客户端和控制台系统。
认证客户端系统主要实现网络用户接入认证、安全规则检查、远程协助、在线更新和信息采集等功能。
802.1 x认证方式的突出优点就是实现简单、认证效率高、安全可靠,不需要增加任何网络设备,不影响正常网络业务的效率,因此选作网络用户准入的认证方式,使得网络用户的准入可管理;安全规则检查能够拒绝不符合安全规则要求的网络用户接入网络,从而提高网络运行的安全和可靠性;远程协助是配合实现远程管理终端计算机;在线更新主要获取最新的客户端版本和安全策略,实现控制的及时性;信息采集则负责收集终端计算机的软、硬件信息,并上传给服务器。
控制台系统实现与逻辑层的交互,包含网络设备拓扑图形的显示、网络设备端口状态显示、网络设备与终端计算机连接关系的显示、节点管理、台账管理、告警信息显示及设置以及远程诊断等功能。
应用层系统中既有网络应用,也有Client/Server应用,因此,选择应用软件开发工具对整个系统快速及时的开发、安全可靠高效的运行均具有极其重要的意义。考虑到应用层系统必须与数据库打交道,因此,与数据库接口的方便程度也是选择开发工具必须考虑的因素之一。在本系统中,采用美国微软公司的MS Visual C++版作为主要的开发工具。
3.1.2 逻辑层设计
逻辑层包括若干个功能模块,是本系统的核心所在,采用模块化的设计结构。
Radius服务模块:接收终端计算机发起的认证请求,完成802.1x协议的认证功能,若认证通过则授权终端计算机访问网络,否则拒绝登陆网络。
拓扑分析模块:基于Cisco的cdp (Cisco Discovery Protocol) 和标准的SNMP协议,自动识别网络设备的拓扑关系。
设备监控模块:定时获取网络设备的各种信息及运行状态。
流量采集模块:采集网络设备端口的各流量数据,保存到数据库,形成流量历史数据。
故障处理模块:实时监测网络设备的运行状况,若遇到设备故障则根据设置启动故障处理任务。
台账信息模块:处理客户端系统上传的台账信息,并保存到数据库供控制台系统进行查询。
远程诊断模块:实现控制台远程操作终端计算机,进行维护和管理工作。
设备日志处理模块:接收网络设备转发来的各种日志信息并进行告警等相关处理,保存数据库形成历史记录。
客户端更新模块:提供客户端系统最新版本更新,保证终端计算机及时使用最新的客户端系统软件。
安全策略发放模块:设置终端计算机访问网络的统一安全策略,提供客户端系统对安全策略的更新。
数据备份恢复模块:自动备份数据,并提供手动恢复数据的功能。
3.1.3 数据层设计
根据实际应用需求,数据层系统是一个处理信息量较复杂的信息处理系统,包含用户信息、网络设备信息以及各主机信息,涉及范围广,信息传递频密,作为整个应用软件系统核心的数据库系统,必须满足系统内各类信息的存储、加工处理及查询的需要,达到准确、快速的处理要求。
系统设计开发时,综合比较目前国际流行的各种大型关系数据库系统的体系结构、系统处理能力、对应用的支持以及开发难易程度等因素,又考虑到成本,选择最为流行的mysql 4.0版作为数据库平台。
3.2 系统的特点
(1)采用了802.1x协议+Radius服务的认证方案,具有实现简单、认证效率高、安全可靠的特点;并能使系统在基本不改变现有网络结构和不增加网络设备的情况下完成预定目标,系统的成本降到最低。
(2)将信息网络用户接入认证和安全行为控制与网络设备管理相结合,提供了丰富的功能,能更大程度的满足用户的需求。
(3)认证客户端采用服务程序模式,使得运行稳定可靠;自动生成用户身份信息,认证过程无需人工干预,使用简单方便。
(4)逻辑层模块独立运行,互不干扰,共享数据,大大保证了整个系统运行的稳定和可靠性。
(5)控制台软件采用C/S结构,使得多人能同时进行操作。
(6)系统采用平台化、模块化应用系统设计思想,使得整个系统结构灵活,方便扩充与定制。
(7)用户界面设计充分体现人性化,易学易用,操作简单。
4 实现功能
系统提出了一种信息网络安全解决方案,其功能主要包括:身份认证与安全规则检查相结合的准入控制,接入控制与终端计算机资产信息相结合的资产完整性管理,网络拓扑分析,网络设备监控,设备故障告警,远程诊断,日志管理,数据备份与恢复,用户管理。
4.1 身份认证与安全规则检查相结合的准入控制
系统客户端软件自动采集终端计算机的软、硬件信息,并根据硬件信息生成识别用户的唯一身份信息,将此身份信息上传到认证服务器,管理人员可以通过控制台对用户进行授权等操作。授权用户被允许接入网络,但要想访问网络资源还要通过安全规则检查,客户端软件根据安全策略的要求对终端用户进行检查,若符合则允许访问网络资源;否则拒绝访问网络资源,并给出提示及不能访问的原因。
4.2 资产完整性控制
系统采取接入控制与终端计算机资产信息相结合的资产完整性管理措施。因为采用硬件信息生成识别用户的唯一身份信息,所以一旦用户硬件信息发生变化,则会生成新的用户身份信息,而新的身份信息尚未授权,自然就接入不了网络,并会在客户端给出提示。新的身份信息将被传送到认证服务器,通过控制台软件可以看到2条相近的用户信息。可对相近的用户信息进行比较,找出变化部分。若允许此变化,则可对二者进行合并操作,拥有新身份信息的用户成为授权用户,同时保存变更记录。系统可对所有的用户信息根据网段进行总量、永久、临时、授权、未授权、登陆在线、未登陆在线方面的统计。可对资产信息进行各种条件的组合查询,并对资产信息进行智能型统计分析。
4.3 网络拓扑分析
采用CDP协议和SNMP协议以及种子拓扑搜索算法能够快速获得整个网络设备的拓扑关系,准确表现网络设备之间的连接关系,监控网络设备的运行情况,获得网络设备与终端计算机的连接关系及网络设备端口详细状态变化情况。在拓扑图形上可进行显示/不显示设备名称、显示/不显示IMP地址、查找设备、查看设备信息、远程登陆、拓扑扫描等操作。如图2所示。
4.4 设备管理
通过对接入设备MAC表的提取和比对分析,可准确表现网络设备与终端计算机之间的连接关系,网络设备基本信息及端口参数信息。可对端口进行“禁止”和“启用”操作,能够显示终端用户的基本信息。服务器软件采集反映设备运行状况的CPU使用率和内存使用率数据,并保存数据库。控制台软件将这些性能数据以图形的方式表示出来,包括年、月、日曲线,并可实时显示设备端口的流量曲线图形。如图3所示。
4.5 故障告警
系统发现故障设备后,会自动在控制台软件的状态栏中闪烁红色标志告警,双击标志可弹出告警信息;还可用手机短信通知运行人员。除了设备发生故障进行告警,端口流量也可设置越限值,超过越限值也可进行告警提示。另外,可对不同级别的告警信息设置不同的告警方式。
4.6 远程诊断
借助客户端软件,管理人员能远程接管终端计算机的操作,从而实现对终端计算机故障进行诊断和维护。
5 结语
