前言:想要寫出一篇引人入勝的文章?我們特意為您整理了網(wǎng)絡(luò)接入認(rèn)證控制系統(tǒng)分析范文,希望能給你帶來靈感和參考,敬請閱讀。
摘要:介紹了網(wǎng)絡(luò)接入認(rèn)證控制系統(tǒng)的原理,探討了網(wǎng)絡(luò)接入認(rèn)證控制系統(tǒng)的核心技術(shù)、部署方式,通過網(wǎng)絡(luò)接入控制系統(tǒng)的實施,實現(xiàn)對終端入網(wǎng)設(shè)備的安全認(rèn)證、訪問權(quán)限管理、上網(wǎng)行為審計等全過程的管控,從而杜絕非法終端設(shè)備的接入,防止黑客從網(wǎng)絡(luò)底層進(jìn)行攻擊,進(jìn)一步提高公司信息安全管控水平。
關(guān)鍵詞:網(wǎng)絡(luò)接入;認(rèn)證控制;訪問權(quán)限;行為審計;安全檢查
引言
近年來,黑客技術(shù)的發(fā)展使得處在計算機信息系統(tǒng)環(huán)境下的企業(yè)和人們愈加缺乏安全感,越來越多的安全問題來自于企業(yè)或機構(gòu)內(nèi)部的終端系統(tǒng)[1-2]。人們逐漸意識到,在應(yīng)對目前網(wǎng)絡(luò)安全風(fēng)險和威脅時,不僅需要自頂向下的網(wǎng)絡(luò)安全體系設(shè)計,還需要自底向上保證計算機終端及計算機網(wǎng)絡(luò)的安全可信,使得網(wǎng)絡(luò)成為一個可信的應(yīng)用環(huán)境。這其中包括在終端接入前對用戶身份進(jìn)行認(rèn)證,對終端進(jìn)行安全測量和評估,對終端可信狀態(tài)進(jìn)行審核,確保接入信息系統(tǒng)的終端是一個完全可信的終端。在新技術(shù)不斷涌現(xiàn)的背景下,如何在不同的網(wǎng)絡(luò)環(huán)境、應(yīng)用環(huán)境以及業(yè)務(wù)環(huán)境的基礎(chǔ)上營造信息系統(tǒng)的可信環(huán)境空間,是每一個信息安全從業(yè)者亟待考慮的問題。針對存在黑客從網(wǎng)絡(luò)底層進(jìn)行最直接、方便快捷攻擊的問題,公司根據(jù)自身網(wǎng)絡(luò)運行狀況,開展網(wǎng)絡(luò)接入控制技術(shù)(NetworkAccessControl,簡稱NAC)的研究,以實現(xiàn)對終端設(shè)備接入的全過程安全管控。本文以北信源網(wǎng)絡(luò)接入控制系統(tǒng)為例進(jìn)行闡述。
1系統(tǒng)原理
基于終端可信接入一站式解決方案,是北信源公司“VRVSpecSEC面向網(wǎng)絡(luò)空間的終端安全管理體系”的重要組成部分[3-4]。系統(tǒng)原理如圖1所示,主要包括北信源網(wǎng)絡(luò)接入控制系統(tǒng)和網(wǎng)絡(luò)接入控制模型兩部分。其中網(wǎng)絡(luò)接入控制模型包括身份認(rèn)證、完整性測量、完整性評估、網(wǎng)絡(luò)訪問控制。北信源網(wǎng)絡(luò)接入控制系統(tǒng)主要用于解決不可信終端的隨意接入可能帶來的企業(yè)網(wǎng)絡(luò)及信息資源違規(guī)占用、病毒木馬泛濫、企業(yè)資料泄密以及越權(quán)訪問等諸多安全問題。這些不可信終端包括企業(yè)內(nèi)部存在風(fēng)險漏洞的終端(例如未安裝殺毒軟件、未安裝關(guān)鍵補?。┐嬖诓话踩呗耘渲玫慕K端、未經(jīng)身份授權(quán)的終端、外來未經(jīng)訪問許可的終端、越權(quán)訪問的終端[5-6]等。網(wǎng)絡(luò)接入控制系統(tǒng)采用軟硬件結(jié)合的方式,以終端驗證和終端安全為基礎(chǔ),通過身份認(rèn)證以及安全域控制等手段,從根本上保證接入網(wǎng)絡(luò)終端的可信程度,并控制可信計算機的訪問權(quán)限,為企業(yè)的終端入網(wǎng)安全管理提供強有力的保障,降低來自于企業(yè)內(nèi)部的信息安全風(fēng)險。
2核心技術(shù)
2.1重定向技術(shù)
接入控制的目的是為了阻止不可信終端隨意接入網(wǎng)絡(luò),對于不可信終端的判定需要一個過程。如何在判定過程中進(jìn)行良好的提示,這就對產(chǎn)品的人機界面設(shè)計提出了較高的要求。業(yè)界通常的做法是針對http性質(zhì)的業(yè)務(wù)訪問進(jìn)行重定向,以往針對http的業(yè)務(wù)區(qū)分主要基于業(yè)務(wù)端口(主要為80端口),對于非80業(yè)務(wù)端口的http業(yè)務(wù)不能有效區(qū)分。針對以上情況,該網(wǎng)絡(luò)接入控制系統(tǒng)對http業(yè)務(wù)進(jìn)行了深度識別,除80端口的http業(yè)務(wù)可以進(jìn)行有效重定向之外,針對非80端口的http業(yè)務(wù)也能進(jìn)行有效的識別和重定向[7-8]。
2.2身份認(rèn)證技術(shù)
身份認(rèn)證是終端可信認(rèn)證的一個重要環(huán)節(jié),隨著信息安全技術(shù)的不斷發(fā)展,對身份認(rèn)證的安全可靠特性也提出了更高的要求[9-10]。身份認(rèn)證最重要的部分是防偽造、防抵賴,因此身份認(rèn)證技術(shù)也從最初簡單的用戶名/口令,逐漸發(fā)展到證書、生物技術(shù)、動態(tài)密碼以及多因素認(rèn)證,防止一切可能偽造和抵賴的因素。為滿足不同安全程度的身份認(rèn)證需求,也為了適應(yīng)客戶網(wǎng)絡(luò)環(huán)境中可能已經(jīng)存在的身份存儲和認(rèn)證方式,該網(wǎng)絡(luò)接入控制系統(tǒng)針對各種主流身份認(rèn)證技術(shù)進(jìn)行了符合性開發(fā),為各種主流身份認(rèn)證技術(shù)提供了認(rèn)證接口,可以滿足當(dāng)前技術(shù)下大部分認(rèn)證系統(tǒng)的需求。
2.3安檢修復(fù)技術(shù)
除身份認(rèn)證外,安檢修復(fù)也是針對終端可信認(rèn)證的重要環(huán)節(jié),據(jù)權(quán)威機構(gòu)研究證明,80%的信息泄密來自于企業(yè)或機構(gòu)的內(nèi)部計算機終端。由于大部分企業(yè)計算機終端的使用人員安全意識薄弱且非計算機專業(yè)人員,對于計算機自主安全防護(hù)的能力存在一定欠缺,因此造成了很大的泄密隱患[11-12]。內(nèi)部終端被動泄密通常是因為終端的安全策略配置不夠嚴(yán)謹(jǐn)(例如guest賬戶開啟、弱口令設(shè)置以及不正常的注冊表鍵值等),或者計算機本身存在安全漏洞(例如關(guān)鍵補丁未安裝、殺毒軟件未安裝或者病毒庫過期)等造成的[13-14]。針對此類情況,該網(wǎng)絡(luò)接入控制系統(tǒng)采用主動探測和一鍵修復(fù)技術(shù),對入網(wǎng)計算機終端的安全測試進(jìn)行檢查和評分,對存在安全隱患的計算機終端強制禁止入網(wǎng),并提供一鍵策略修復(fù)技術(shù),解決終端可能存在的不安全隱患,從而實現(xiàn)全網(wǎng)終端的統(tǒng)一安全管理。
3部署方式
北信源網(wǎng)絡(luò)接入控制系統(tǒng)能夠適應(yīng)多種不同的網(wǎng)絡(luò)拓?fù)洵h(huán)境,具體有兩種典型的部署模式:一種為多種模式混合的總分部部署模式,另一種為雙星拓?fù)浯尤哂嗖渴鹉J?。系統(tǒng)實施兩種典型的總體部署如圖2所示。電力公司主要通過旁路模式進(jìn)行部署,這樣的部署方式不會影響現(xiàn)行網(wǎng)絡(luò)的使用。系統(tǒng)旁路部署方式如圖3所示。
3.1服務(wù)器部署
將策略文件VRVAuthorizeFile.xml替換到桌面終端標(biāo)準(zhǔn)化管理系統(tǒng)安裝目錄的VRV/VRVEIS/VRVAuthorizeFile的路徑下。確認(rèn)桌面終端標(biāo)準(zhǔn)化管理平臺中已存在“網(wǎng)關(guān)接入認(rèn)證配置”“接入認(rèn)證策略”“終端健康體檢”策略選項。
3.2認(rèn)證客戶端部署
提前在桌面系統(tǒng)管理平臺上通過普通文件分發(fā)策略,將網(wǎng)關(guān)認(rèn)證客戶端分發(fā)到每一個已注冊的計算機終端,升級已注冊終端。準(zhǔn)入網(wǎng)關(guān)部署過程中停止普通文件分發(fā)策略,同時把策略文件打包到注冊程序中。
3.3準(zhǔn)入網(wǎng)關(guān)部署
在核心交換機上做鏡像配置,將連接匯聚層所使用的端口作為源端口鏡像到一個端口上,并將該端口與準(zhǔn)入網(wǎng)關(guān)使用的鏡像端口連接[15]。在交換機上選取一個端口保證其與所有源端口通信,并與準(zhǔn)入網(wǎng)關(guān)的干擾口連接。
3.4EDP服務(wù)器系統(tǒng)配置
登陸桌面系統(tǒng)管理平臺,依次選擇“策略中心-安全準(zhǔn)入管理-網(wǎng)關(guān)接入認(rèn)證配置”中創(chuàng)建新規(guī)則,按照紅色區(qū)域的描述進(jìn)行配置。配置完成后將策略保存即可。
4系統(tǒng)的創(chuàng)新點
4.1豐富的部署模式適應(yīng)性強
采用獨立硬件設(shè)計,支持多種部署模式,可以適應(yīng)不同的網(wǎng)絡(luò)拓?fù)洵h(huán)境。優(yōu)先采用旁路準(zhǔn)入控制部署模式,根據(jù)交換機的支持情況可以選擇策略路由控制模式和旁路鏡像控制模式,在既不支持策略路由也不支持旁路鏡像的拓?fù)淝闆r下,可以采用透明網(wǎng)橋串接模式進(jìn)行控制。對于無線、路由、HUB以及非網(wǎng)管型交換機的拓?fù)洵h(huán)境,可以支持NAT穿透和局域網(wǎng)互訪訪問控制。豐富的部署模式對于不同客戶的網(wǎng)絡(luò)環(huán)境適應(yīng)性非常強,可以將準(zhǔn)入控制部署到網(wǎng)絡(luò)的每一個角落,徹底解決不可信終端接入網(wǎng)絡(luò)的隱患。
4.2流程化入網(wǎng)規(guī)范統(tǒng)一性強
采用“注冊-身份認(rèn)證-安全檢查-安全隔離/入網(wǎng)”統(tǒng)一規(guī)范的入網(wǎng)流程,無論采用何種準(zhǔn)入控制機制,都不改變系統(tǒng)的入網(wǎng)流程。當(dāng)客戶網(wǎng)絡(luò)出現(xiàn)擴容、改造的時候,采用不同的部署模式不會影響用戶終端的入網(wǎng)習(xí)慣。尤其是采用標(biāo)準(zhǔn)的入網(wǎng)規(guī)范,可以從根本上解決終端身份的可信認(rèn)證、終端用戶的可信認(rèn)證以及終端安全層面可信認(rèn)證的問題,通過統(tǒng)一入網(wǎng)規(guī)范,杜絕來自內(nèi)部的信息泄密。
4.3人性化入網(wǎng)提醒可用性強
網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)在終端注冊、終端身份認(rèn)證、終端安全檢查、安全隔離以及來賓入網(wǎng)的時候都進(jìn)行人性化提示。避免了終端用戶在入網(wǎng)被阻斷后無法確定原因的尷尬,同時通過入網(wǎng)提示普及計算機信息安全知識,讓終端用戶意識到安全入網(wǎng)的重要性。
4.4基于角色訪問控制力強
可以實現(xiàn)基于角色的訪問控制,為不同的角色劃分不同的安全訪問控制域。將所有用戶分為企業(yè)內(nèi)部員工和來賓,針對來賓設(shè)特定的訪問控制權(quán)限,同時對于入網(wǎng)安檢不合格的用戶隔離特殊權(quán)限的控制域。實現(xiàn)不同部門不同員工權(quán)限區(qū)分管理、來賓用28葉水勇:網(wǎng)絡(luò)接入認(rèn)證控制系統(tǒng)探究戶權(quán)限定制以及不安全終端的安全修復(fù)隔離權(quán)限控制,具備非常強大的控制力度。
4.5來賓自助入網(wǎng)操作性強
針對來賓用戶,提供了便捷的入網(wǎng)途徑,來賓用戶只需提供自己的身份以及接待人員的信息,便可以快捷地接入網(wǎng)絡(luò)。來賓的網(wǎng)絡(luò)權(quán)限會受到一定的限制,系統(tǒng)支持針對不同的需求制定不同的來賓用戶信息填寫要求及來賓用戶訪問控制權(quán)限,以避免未知的安全隱患。來賓用戶可以通過自助查詢等方式獲取上網(wǎng)碼接入網(wǎng)絡(luò),授權(quán)管理員可以根據(jù)來賓的性質(zhì)有針對性地授予來賓用戶上網(wǎng)權(quán)限的生命周期,對來賓入網(wǎng)實現(xiàn)可知、可控、可記錄的管理要求。
5結(jié)語
通過網(wǎng)絡(luò)接入控制系統(tǒng)的實施,實現(xiàn)公司全網(wǎng)內(nèi)的終端入網(wǎng)設(shè)備的安全檢查認(rèn)證,認(rèn)證未通過的設(shè)備禁止訪問網(wǎng)絡(luò);實現(xiàn)公司全網(wǎng)內(nèi)的終端入網(wǎng)設(shè)備的訪問權(quán)限管理;實現(xiàn)公司全網(wǎng)內(nèi)的終端入網(wǎng)設(shè)備上網(wǎng)行為的審計;實現(xiàn)公司全網(wǎng)內(nèi)的終端入網(wǎng)安全及網(wǎng)絡(luò)的完整性;實現(xiàn)公司全網(wǎng)內(nèi)的終端日常辦公環(huán)境的網(wǎng)絡(luò)接入授權(quán)問題并對目前構(gòu)架進(jìn)行加固和優(yōu)化。
參考文獻(xiàn)
[1]司徒健輝.企業(yè)網(wǎng)絡(luò)安全準(zhǔn)入控制技術(shù)設(shè)計與應(yīng)用[J].大科技,2010,2(7):206-209.
[2]周琪鋒.準(zhǔn)入控制在校園網(wǎng)安全管理的應(yīng)用與研究[J].計算機與信息技術(shù),2008,15(11):48-50.
[3]葉水勇.基于網(wǎng)絡(luò)接入認(rèn)證對終端設(shè)備的管控研究[J].電力信息與通信技術(shù),2018,16(5):41-46.
[4]于微偉,盧澤新,康東明,等.關(guān)于網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的分析與優(yōu)化[J].計算機工程與科學(xué),2011,33(8):39-44.
[5]李興國,雷若寒.利用準(zhǔn)入控制實現(xiàn)校園網(wǎng)的安全管理[J].微計算機信息,2008,24(12):47-48.
[6]徐沛沛.桌面終端遠(yuǎn)程運維管理系統(tǒng)研究與設(shè)計[J].電力信息化,2012,10(6):16-20.
[7]葉水勇,朱兵,劉軍,等.基于網(wǎng)絡(luò)安全準(zhǔn)入對終端設(shè)備的管控研究[J].移動通信,2017,41(7):10-14.
[8]張鑫,陳雪華,劉新.電力系統(tǒng)信息安全基線標(biāo)準(zhǔn)體系的構(gòu)建[J].電力信息與通信技術(shù),2013,11(11):110-114.
[9]張濤.企業(yè)內(nèi)網(wǎng)準(zhǔn)入控制技術(shù)研究[J].中國信息化,2013,5(2):52-53.
[10]葉水勇.基于回溯技術(shù)的全景信息安全防護(hù)探究[J].電力信息與通信技術(shù),2018,16(7):34-39.
[11]呂維新.網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)在供電局終端安全管理中的應(yīng)用[J].電力信息化,2011,9(6):94-97.
[12]汪凱.基于身份認(rèn)證的準(zhǔn)入控制研究與實現(xiàn)[D].武漢:武漢理工大學(xué),2006.
[13]葉水勇,朱兵,劉軍,等.基于網(wǎng)絡(luò)安全準(zhǔn)入對終端設(shè)備的管控研究[J].移動通信,2017,41(7):10-14.
[14]張莉,齊錦,呂魯寧,等.網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)與設(shè)計[J].信息安全與通信保密,2009,31(9):60-62.
[15]魏克,段海新.校園網(wǎng)安全關(guān)鍵技術(shù)解析———身份認(rèn)證管理與準(zhǔn)入控制[J].中國教育網(wǎng)絡(luò),2005,2(9):13-14.
作者:葉水勇 單位:國網(wǎng)黃山供電公司