網絡接入認證控制系統(tǒng)分析

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了網絡接入認證控制系統(tǒng)分析范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：介紹了網絡接入認證控制系統(tǒng)的原理，探討了網絡接入認證控制系統(tǒng)的核心技術、部署方式，通過網絡接入控制系統(tǒng)的實施，實現(xiàn)對終端入網設備的安全認證、訪問權限管理、上網行為審計等全過程的管控，從而杜絕非法終端設備的接入，防止黑客從網絡底層進行攻擊，進一步提高公司信息安全管控水平。

關鍵詞：網絡接入；認證控制；訪問權限；行為審計；安全檢查

引言

近年來，黑客技術的發(fā)展使得處在計算機信息系統(tǒng)環(huán)境下的企業(yè)和人們愈加缺乏安全感，越來越多的安全問題來自于企業(yè)或機構內部的終端系統(tǒng)［1-2］。人們逐漸意識到，在應對目前網絡安全風險和威脅時，不僅需要自頂向下的網絡安全體系設計，還需要自底向上保證計算機終端及計算機網絡的安全可信，使得網絡成為一個可信的應用環(huán)境。這其中包括在終端接入前對用戶身份進行認證，對終端進行安全測量和評估，對終端可信狀態(tài)進行審核，確保接入信息系統(tǒng)的終端是一個完全可信的終端。在新技術不斷涌現(xiàn)的背景下，如何在不同的網絡環(huán)境、應用環(huán)境以及業(yè)務環(huán)境的基礎上營造信息系統(tǒng)的可信環(huán)境空間，是每一個信息安全從業(yè)者亟待考慮的問題。針對存在黑客從網絡底層進行最直接、方便快捷攻擊的問題，公司根據自身網絡運行狀況，開展網絡接入控制技術（NetworkAccessControl，簡稱NAC）的研究，以實現(xiàn)對終端設備接入的全過程安全管控。本文以北信源網絡接入控制系統(tǒng)為例進行闡述。

1系統(tǒng)原理

基于終端可信接入一站式解決方案，是北信源公司“VRVSpecSEC面向網絡空間的終端安全管理體系”的重要組成部分［3-4］。系統(tǒng)原理如圖1所示，主要包括北信源網絡接入控制系統(tǒng)和網絡接入控制模型兩部分。其中網絡接入控制模型包括身份認證、完整性測量、完整性評估、網絡訪問控制。北信源網絡接入控制系統(tǒng)主要用于解決不可信終端的隨意接入可能帶來的企業(yè)網絡及信息資源違規(guī)占用、病毒木馬泛濫、企業(yè)資料泄密以及越權訪問等諸多安全問題。這些不可信終端包括企業(yè)內部存在風險漏洞的終端（例如未安裝殺毒軟件、未安裝關鍵補?。┐嬖诓话踩呗耘渲玫慕K端、未經身份授權的終端、外來未經訪問許可的終端、越權訪問的終端［5-6］等。網絡接入控制系統(tǒng)采用軟硬件結合的方式，以終端驗證和終端安全為基礎，通過身份認證以及安全域控制等手段，從根本上保證接入網絡終端的可信程度，并控制可信計算機的訪問權限，為企業(yè)的終端入網安全管理提供強有力的保障，降低來自于企業(yè)內部的信息安全風險。

2核心技術

2.1重定向技術

接入控制的目的是為了阻止不可信終端隨意接入網絡，對于不可信終端的判定需要一個過程。如何在判定過程中進行良好的提示，這就對產品的人機界面設計提出了較高的要求。業(yè)界通常的做法是針對http性質的業(yè)務訪問進行重定向，以往針對http的業(yè)務區(qū)分主要基于業(yè)務端口（主要為80端口），對于非80業(yè)務端口的http業(yè)務不能有效區(qū)分。針對以上情況，該網絡接入控制系統(tǒng)對http業(yè)務進行了深度識別，除80端口的http業(yè)務可以進行有效重定向之外，針對非80端口的http業(yè)務也能進行有效的識別和重定向［7-8］。

2.2身份認證技術

身份認證是終端可信認證的一個重要環(huán)節(jié)，隨著信息安全技術的不斷發(fā)展，對身份認證的安全可靠特性也提出了更高的要求［9-10］。身份認證最重要的部分是防偽造、防抵賴，因此身份認證技術也從最初簡單的用戶名／口令，逐漸發(fā)展到證書、生物技術、動態(tài)密碼以及多因素認證，防止一切可能偽造和抵賴的因素。為滿足不同安全程度的身份認證需求，也為了適應客戶網絡環(huán)境中可能已經存在的身份存儲和認證方式，該網絡接入控制系統(tǒng)針對各種主流身份認證技術進行了符合性開發(fā)，為各種主流身份認證技術提供了認證接口，可以滿足當前技術下大部分認證系統(tǒng)的需求。

2.3安檢修復技術

除身份認證外，安檢修復也是針對終端可信認證的重要環(huán)節(jié)，據權威機構研究證明，80%的信息泄密來自于企業(yè)或機構的內部計算機終端。由于大部分企業(yè)計算機終端的使用人員安全意識薄弱且非計算機專業(yè)人員，對于計算機自主安全防護的能力存在一定欠缺，因此造成了很大的泄密隱患［11-12］。內部終端被動泄密通常是因為終端的安全策略配置不夠嚴謹（例如guest賬戶開啟、弱口令設置以及不正常的注冊表鍵值等），或者計算機本身存在安全漏洞（例如關鍵補丁未安裝、殺毒軟件未安裝或者病毒庫過期）等造成的［13-14］。針對此類情況，該網絡接入控制系統(tǒng)采用主動探測和一鍵修復技術，對入網計算機終端的安全測試進行檢查和評分，對存在安全隱患的計算機終端強制禁止入網，并提供一鍵策略修復技術，解決終端可能存在的不安全隱患，從而實現(xiàn)全網終端的統(tǒng)一安全管理。

3部署方式

北信源網絡接入控制系統(tǒng)能夠適應多種不同的網絡拓撲環(huán)境，具體有兩種典型的部署模式：一種為多種模式混合的總分部部署模式，另一種為雙星拓撲串接冗余部署模式。系統(tǒng)實施兩種典型的總體部署如圖2所示。電力公司主要通過旁路模式進行部署，這樣的部署方式不會影響現(xiàn)行網絡的使用。系統(tǒng)旁路部署方式如圖3所示。

3.1服務器部署

將策略文件VRVAuthorizeFile.xml替換到桌面終端標準化管理系統(tǒng)安裝目錄的VRV／VRVEIS／VRVAuthorizeFile的路徑下。確認桌面終端標準化管理平臺中已存在“網關接入認證配置”“接入認證策略”“終端健康體檢”策略選項。

3.2認證客戶端部署

提前在桌面系統(tǒng)管理平臺上通過普通文件分發(fā)策略，將網關認證客戶端分發(fā)到每一個已注冊的計算機終端，升級已注冊終端。準入網關部署過程中停止普通文件分發(fā)策略，同時把策略文件打包到注冊程序中。

3.3準入網關部署

在核心交換機上做鏡像配置，將連接匯聚層所使用的端口作為源端口鏡像到一個端口上，并將該端口與準入網關使用的鏡像端口連接［15］。在交換機上選取一個端口保證其與所有源端口通信，并與準入網關的干擾口連接。

3.4EDP服務器系統(tǒng)配置

登陸桌面系統(tǒng)管理平臺，依次選擇“策略中心-安全準入管理-網關接入認證配置”中創(chuàng)建新規(guī)則，按照紅色區(qū)域的描述進行配置。配置完成后將策略保存即可。

4系統(tǒng)的創(chuàng)新點

4.1豐富的部署模式適應性強

采用獨立硬件設計，支持多種部署模式，可以適應不同的網絡拓撲環(huán)境。優(yōu)先采用旁路準入控制部署模式，根據交換機的支持情況可以選擇策略路由控制模式和旁路鏡像控制模式，在既不支持策略路由也不支持旁路鏡像的拓撲情況下，可以采用透明網橋串接模式進行控制。對于無線、路由、HUB以及非網管型交換機的拓撲環(huán)境，可以支持NAT穿透和局域網互訪訪問控制。豐富的部署模式對于不同客戶的網絡環(huán)境適應性非常強，可以將準入控制部署到網絡的每一個角落，徹底解決不可信終端接入網絡的隱患。

4.2流程化入網規(guī)范統(tǒng)一性強

采用“注冊-身份認證-安全檢查-安全隔離／入網”統(tǒng)一規(guī)范的入網流程，無論采用何種準入控制機制，都不改變系統(tǒng)的入網流程。當客戶網絡出現(xiàn)擴容、改造的時候，采用不同的部署模式不會影響用戶終端的入網習慣。尤其是采用標準的入網規(guī)范，可以從根本上解決終端身份的可信認證、終端用戶的可信認證以及終端安全層面可信認證的問題，通過統(tǒng)一入網規(guī)范，杜絕來自內部的信息泄密。

4.3人性化入網提醒可用性強

網絡準入控制系統(tǒng)在終端注冊、終端身份認證、終端安全檢查、安全隔離以及來賓入網的時候都進行人性化提示。避免了終端用戶在入網被阻斷后無法確定原因的尷尬，同時通過入網提示普及計算機信息安全知識，讓終端用戶意識到安全入網的重要性。

4.4基于角色訪問控制力強

可以實現(xiàn)基于角色的訪問控制，為不同的角色劃分不同的安全訪問控制域。將所有用戶分為企業(yè)內部員工和來賓，針對來賓設特定的訪問控制權限，同時對于入網安檢不合格的用戶隔離特殊權限的控制域。實現(xiàn)不同部門不同員工權限區(qū)分管理、來賓用28葉水勇：網絡接入認證控制系統(tǒng)探究戶權限定制以及不安全終端的安全修復隔離權限控制，具備非常強大的控制力度。

4.5來賓自助入網操作性強

針對來賓用戶，提供了便捷的入網途徑，來賓用戶只需提供自己的身份以及接待人員的信息，便可以快捷地接入網絡。來賓的網絡權限會受到一定的限制，系統(tǒng)支持針對不同的需求制定不同的來賓用戶信息填寫要求及來賓用戶訪問控制權限，以避免未知的安全隱患。來賓用戶可以通過自助查詢等方式獲取上網碼接入網絡，授權管理員可以根據來賓的性質有針對性地授予來賓用戶上網權限的生命周期，對來賓入網實現(xiàn)可知、可控、可記錄的管理要求。

5結語

通過網絡接入控制系統(tǒng)的實施，實現(xiàn)公司全網內的終端入網設備的安全檢查認證，認證未通過的設備禁止訪問網絡；實現(xiàn)公司全網內的終端入網設備的訪問權限管理；實現(xiàn)公司全網內的終端入網設備上網行為的審計；實現(xiàn)公司全網內的終端入網安全及網絡的完整性；實現(xiàn)公司全網內的終端日常辦公環(huán)境的網絡接入授權問題并對目前構架進行加固和優(yōu)化。

參考文獻

［1］司徒健輝.企業(yè)網絡安全準入控制技術設計與應用［J］.大科技，2010，2（7）：206-209.

［2］周琪鋒.準入控制在校園網安全管理的應用與研究［J］.計算機與信息技術，2008，15（11）：48-50.

［3］葉水勇.基于網絡接入認證對終端設備的管控研究［J］.電力信息與通信技術，2018，16（5）：41-46.

［4］于微偉，盧澤新，康東明，等.關于網絡準入控制系統(tǒng)的分析與優(yōu)化［J］.計算機工程與科學，2011，33（8）：39-44.

［5］李興國，雷若寒.利用準入控制實現(xiàn)校園網的安全管理［J］.微計算機信息，2008，24（12）：47-48.

［6］徐沛沛.桌面終端遠程運維管理系統(tǒng)研究與設計［J］.電力信息化，2012，10（6）：16-20.

［7］葉水勇，朱兵，劉軍，等.基于網絡安全準入對終端設備的管控研究［J］.移動通信，2017，41（7）：10-14.

［8］張鑫，陳雪華，劉新.電力系統(tǒng)信息安全基線標準體系的構建［J］.電力信息與通信技術，2013，11（11）：110-114.

［9］張濤.企業(yè)內網準入控制技術研究［J］.中國信息化，2013，5（2）：52-53.

［10］葉水勇.基于回溯技術的全景信息安全防護探究［J］.電力信息與通信技術，2018，16（7）：34-39.

［11］呂維新.網絡準入系統(tǒng)在供電局終端安全管理中的應用［J］.電力信息化，2011，9（6）：94-97.

［12］汪凱.基于身份認證的準入控制研究與實現(xiàn)［D］.武漢：武漢理工大學，2006.

［13］葉水勇，朱兵，劉軍，等.基于網絡安全準入對終端設備的管控研究［J］.移動通信，2017，41（7）：10-14.

［14］張莉，齊錦，呂魯寧，等.網絡準入控制技術與設計［J］.信息安全與通信保密，2009，31（9）：60-62.

［15］魏克，段海新.校園網安全關鍵技術解析———身份認證管理與準入控制［J］.中國教育網絡，2005，2（9）：13-14.

作者：葉水勇 單位：國網黃山供電公司