网站首页
教育杂志
CSSCI期刊 北大期刊 CSCD期刊 统计源期刊 知网收录期刊 维普收录期刊 万方收录期刊 SCI期刊(美)
医学杂志
CSSCI期刊 北大期刊 CSCD期刊 统计源期刊 知网收录期刊 维普收录期刊 万方收录期刊 SCI期刊(美)
经济杂志
CSSCI期刊 北大期刊 CSCD期刊 统计源期刊 知网收录期刊 维普收录期刊 万方收录期刊 SCI期刊(美)
金融杂志
CSSCI期刊 北大期刊 CSCD期刊 统计源期刊 知网收录期刊 维普收录期刊 万方收录期刊 SCI期刊(美)
管理杂志
CSSCI期刊 北大期刊 CSCD期刊 统计源期刊 知网收录期刊 维普收录期刊 万方收录期刊 SCI期刊(美)
科技杂志
CSSCI期刊 北大期刊 CSCD期刊 统计源期刊 知网收录期刊 维普收录期刊 万方收录期刊 SCI期刊(美)
工业杂志
CSSCI期刊 北大期刊 CSCD期刊 统计源期刊 知网收录期刊 维普收录期刊 万方收录期刊 SCI期刊(美)
SCI杂志
中科院1区 中科院2区 中科院3区 中科院4区
全部期刊
公務員期刊網(wǎng) 論文中心 正文

網(wǎng)絡接入認證控制系統(tǒng)分析

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了網(wǎng)絡接入認證控制系統(tǒng)分析范文,希望能給你帶來靈感和參考,敬請閱讀。

網(wǎng)絡接入認證控制系統(tǒng)分析

摘要:介紹了網(wǎng)絡接入認證控制系統(tǒng)的原理,探討了網(wǎng)絡接入認證控制系統(tǒng)的核心技術(shù)、部署方式,通過網(wǎng)絡接入控制系統(tǒng)的實施,實現(xiàn)對終端入網(wǎng)設(shè)備的安全認證、訪問權(quán)限管理、上網(wǎng)行為審計等全過程的管控,從而杜絕非法終端設(shè)備的接入,防止黑客從網(wǎng)絡底層進行攻擊,進一步提高公司信息安全管控水平。

關(guān)鍵詞:網(wǎng)絡接入;認證控制;訪問權(quán)限;行為審計;安全檢查

引言

近年來,黑客技術(shù)的發(fā)展使得處在計算機信息系統(tǒng)環(huán)境下的企業(yè)和人們愈加缺乏安全感,越來越多的安全問題來自于企業(yè)或機構(gòu)內(nèi)部的終端系統(tǒng)[1-2]。人們逐漸意識到,在應對目前網(wǎng)絡安全風險和威脅時,不僅需要自頂向下的網(wǎng)絡安全體系設(shè)計,還需要自底向上保證計算機終端及計算機網(wǎng)絡的安全可信,使得網(wǎng)絡成為一個可信的應用環(huán)境。這其中包括在終端接入前對用戶身份進行認證,對終端進行安全測量和評估,對終端可信狀態(tài)進行審核,確保接入信息系統(tǒng)的終端是一個完全可信的終端。在新技術(shù)不斷涌現(xiàn)的背景下,如何在不同的網(wǎng)絡環(huán)境、應用環(huán)境以及業(yè)務環(huán)境的基礎(chǔ)上營造信息系統(tǒng)的可信環(huán)境空間,是每一個信息安全從業(yè)者亟待考慮的問題。針對存在黑客從網(wǎng)絡底層進行最直接、方便快捷攻擊的問題,公司根據(jù)自身網(wǎng)絡運行狀況,開展網(wǎng)絡接入控制技術(shù)(NetworkAccessControl,簡稱NAC)的研究,以實現(xiàn)對終端設(shè)備接入的全過程安全管控。本文以北信源網(wǎng)絡接入控制系統(tǒng)為例進行闡述。

1系統(tǒng)原理

基于終端可信接入一站式解決方案,是北信源公司“VRVSpecSEC面向網(wǎng)絡空間的終端安全管理體系”的重要組成部分[3-4]。系統(tǒng)原理如圖1所示,主要包括北信源網(wǎng)絡接入控制系統(tǒng)和網(wǎng)絡接入控制模型兩部分。其中網(wǎng)絡接入控制模型包括身份認證、完整性測量、完整性評估、網(wǎng)絡訪問控制。北信源網(wǎng)絡接入控制系統(tǒng)主要用于解決不可信終端的隨意接入可能帶來的企業(yè)網(wǎng)絡及信息資源違規(guī)占用、病毒木馬泛濫、企業(yè)資料泄密以及越權(quán)訪問等諸多安全問題。這些不可信終端包括企業(yè)內(nèi)部存在風險漏洞的終端(例如未安裝殺毒軟件、未安裝關(guān)鍵補丁)存在不安全策略配置的終端、未經(jīng)身份授權(quán)的終端、外來未經(jīng)訪問許可的終端、越權(quán)訪問的終端[5-6]等。網(wǎng)絡接入控制系統(tǒng)采用軟硬件結(jié)合的方式,以終端驗證和終端安全為基礎(chǔ),通過身份認證以及安全域控制等手段,從根本上保證接入網(wǎng)絡終端的可信程度,并控制可信計算機的訪問權(quán)限,為企業(yè)的終端入網(wǎng)安全管理提供強有力的保障,降低來自于企業(yè)內(nèi)部的信息安全風險。

2核心技術(shù)

2.1重定向技術(shù)

接入控制的目的是為了阻止不可信終端隨意接入網(wǎng)絡,對于不可信終端的判定需要一個過程。如何在判定過程中進行良好的提示,這就對產(chǎn)品的人機界面設(shè)計提出了較高的要求。業(yè)界通常的做法是針對http性質(zhì)的業(yè)務訪問進行重定向,以往針對http的業(yè)務區(qū)分主要基于業(yè)務端口(主要為80端口),對于非80業(yè)務端口的http業(yè)務不能有效區(qū)分。針對以上情況,該網(wǎng)絡接入控制系統(tǒng)對http業(yè)務進行了深度識別,除80端口的http業(yè)務可以進行有效重定向之外,針對非80端口的http業(yè)務也能進行有效的識別和重定向[7-8]。

2.2身份認證技術(shù)

身份認證是終端可信認證的一個重要環(huán)節(jié),隨著信息安全技術(shù)的不斷發(fā)展,對身份認證的安全可靠特性也提出了更高的要求[9-10]。身份認證最重要的部分是防偽造、防抵賴,因此身份認證技術(shù)也從最初簡單的用戶名/口令,逐漸發(fā)展到證書、生物技術(shù)、動態(tài)密碼以及多因素認證,防止一切可能偽造和抵賴的因素。為滿足不同安全程度的身份認證需求,也為了適應客戶網(wǎng)絡環(huán)境中可能已經(jīng)存在的身份存儲和認證方式,該網(wǎng)絡接入控制系統(tǒng)針對各種主流身份認證技術(shù)進行了符合性開發(fā),為各種主流身份認證技術(shù)提供了認證接口,可以滿足當前技術(shù)下大部分認證系統(tǒng)的需求。

2.3安檢修復技術(shù)

除身份認證外,安檢修復也是針對終端可信認證的重要環(huán)節(jié),據(jù)權(quán)威機構(gòu)研究證明,80%的信息泄密來自于企業(yè)或機構(gòu)的內(nèi)部計算機終端。由于大部分企業(yè)計算機終端的使用人員安全意識薄弱且非計算機專業(yè)人員,對于計算機自主安全防護的能力存在一定欠缺,因此造成了很大的泄密隱患[11-12]。內(nèi)部終端被動泄密通常是因為終端的安全策略配置不夠嚴謹(例如guest賬戶開啟、弱口令設(shè)置以及不正常的注冊表鍵值等),或者計算機本身存在安全漏洞(例如關(guān)鍵補丁未安裝、殺毒軟件未安裝或者病毒庫過期)等造成的[13-14]。針對此類情況,該網(wǎng)絡接入控制系統(tǒng)采用主動探測和一鍵修復技術(shù),對入網(wǎng)計算機終端的安全測試進行檢查和評分,對存在安全隱患的計算機終端強制禁止入網(wǎng),并提供一鍵策略修復技術(shù),解決終端可能存在的不安全隱患,從而實現(xiàn)全網(wǎng)終端的統(tǒng)一安全管理。

3部署方式

北信源網(wǎng)絡接入控制系統(tǒng)能夠適應多種不同的網(wǎng)絡拓撲環(huán)境,具體有兩種典型的部署模式:一種為多種模式混合的總分部部署模式,另一種為雙星拓撲串接冗余部署模式。系統(tǒng)實施兩種典型的總體部署如圖2所示。電力公司主要通過旁路模式進行部署,這樣的部署方式不會影響現(xiàn)行網(wǎng)絡的使用。系統(tǒng)旁路部署方式如圖3所示。

3.1服務器部署

將策略文件VRVAuthorizeFile.xml替換到桌面終端標準化管理系統(tǒng)安裝目錄的VRV/VRVEIS/VRVAuthorizeFile的路徑下。確認桌面終端標準化管理平臺中已存在“網(wǎng)關(guān)接入認證配置”“接入認證策略”“終端健康體檢”策略選項。

3.2認證客戶端部署

提前在桌面系統(tǒng)管理平臺上通過普通文件分發(fā)策略,將網(wǎng)關(guān)認證客戶端分發(fā)到每一個已注冊的計算機終端,升級已注冊終端。準入網(wǎng)關(guān)部署過程中停止普通文件分發(fā)策略,同時把策略文件打包到注冊程序中。

3.3準入網(wǎng)關(guān)部署

在核心交換機上做鏡像配置,將連接匯聚層所使用的端口作為源端口鏡像到一個端口上,并將該端口與準入網(wǎng)關(guān)使用的鏡像端口連接[15]。在交換機上選取一個端口保證其與所有源端口通信,并與準入網(wǎng)關(guān)的干擾口連接。

3.4EDP服務器系統(tǒng)配置

登陸桌面系統(tǒng)管理平臺,依次選擇“策略中心-安全準入管理-網(wǎng)關(guān)接入認證配置”中創(chuàng)建新規(guī)則,按照紅色區(qū)域的描述進行配置。配置完成后將策略保存即可。

4系統(tǒng)的創(chuàng)新點

4.1豐富的部署模式適應性強

采用獨立硬件設(shè)計,支持多種部署模式,可以適應不同的網(wǎng)絡拓撲環(huán)境。優(yōu)先采用旁路準入控制部署模式,根據(jù)交換機的支持情況可以選擇策略路由控制模式和旁路鏡像控制模式,在既不支持策略路由也不支持旁路鏡像的拓撲情況下,可以采用透明網(wǎng)橋串接模式進行控制。對于無線、路由、HUB以及非網(wǎng)管型交換機的拓撲環(huán)境,可以支持NAT穿透和局域網(wǎng)互訪訪問控制。豐富的部署模式對于不同客戶的網(wǎng)絡環(huán)境適應性非常強,可以將準入控制部署到網(wǎng)絡的每一個角落,徹底解決不可信終端接入網(wǎng)絡的隱患。

4.2流程化入網(wǎng)規(guī)范統(tǒng)一性強

采用“注冊-身份認證-安全檢查-安全隔離/入網(wǎng)”統(tǒng)一規(guī)范的入網(wǎng)流程,無論采用何種準入控制機制,都不改變系統(tǒng)的入網(wǎng)流程。當客戶網(wǎng)絡出現(xiàn)擴容、改造的時候,采用不同的部署模式不會影響用戶終端的入網(wǎng)習慣。尤其是采用標準的入網(wǎng)規(guī)范,可以從根本上解決終端身份的可信認證、終端用戶的可信認證以及終端安全層面可信認證的問題,通過統(tǒng)一入網(wǎng)規(guī)范,杜絕來自內(nèi)部的信息泄密。

4.3人性化入網(wǎng)提醒可用性強

網(wǎng)絡準入控制系統(tǒng)在終端注冊、終端身份認證、終端安全檢查、安全隔離以及來賓入網(wǎng)的時候都進行人性化提示。避免了終端用戶在入網(wǎng)被阻斷后無法確定原因的尷尬,同時通過入網(wǎng)提示普及計算機信息安全知識,讓終端用戶意識到安全入網(wǎng)的重要性。

4.4基于角色訪問控制力強

可以實現(xiàn)基于角色的訪問控制,為不同的角色劃分不同的安全訪問控制域。將所有用戶分為企業(yè)內(nèi)部員工和來賓,針對來賓設(shè)特定的訪問控制權(quán)限,同時對于入網(wǎng)安檢不合格的用戶隔離特殊權(quán)限的控制域。實現(xiàn)不同部門不同員工權(quán)限區(qū)分管理、來賓用28葉水勇:網(wǎng)絡接入認證控制系統(tǒng)探究戶權(quán)限定制以及不安全終端的安全修復隔離權(quán)限控制,具備非常強大的控制力度。

4.5來賓自助入網(wǎng)操作性強

針對來賓用戶,提供了便捷的入網(wǎng)途徑,來賓用戶只需提供自己的身份以及接待人員的信息,便可以快捷地接入網(wǎng)絡。來賓的網(wǎng)絡權(quán)限會受到一定的限制,系統(tǒng)支持針對不同的需求制定不同的來賓用戶信息填寫要求及來賓用戶訪問控制權(quán)限,以避免未知的安全隱患。來賓用戶可以通過自助查詢等方式獲取上網(wǎng)碼接入網(wǎng)絡,授權(quán)管理員可以根據(jù)來賓的性質(zhì)有針對性地授予來賓用戶上網(wǎng)權(quán)限的生命周期,對來賓入網(wǎng)實現(xiàn)可知、可控、可記錄的管理要求。

5結(jié)語

通過網(wǎng)絡接入控制系統(tǒng)的實施,實現(xiàn)公司全網(wǎng)內(nèi)的終端入網(wǎng)設(shè)備的安全檢查認證,認證未通過的設(shè)備禁止訪問網(wǎng)絡;實現(xiàn)公司全網(wǎng)內(nèi)的終端入網(wǎng)設(shè)備的訪問權(quán)限管理;實現(xiàn)公司全網(wǎng)內(nèi)的終端入網(wǎng)設(shè)備上網(wǎng)行為的審計;實現(xiàn)公司全網(wǎng)內(nèi)的終端入網(wǎng)安全及網(wǎng)絡的完整性;實現(xiàn)公司全網(wǎng)內(nèi)的終端日常辦公環(huán)境的網(wǎng)絡接入授權(quán)問題并對目前構(gòu)架進行加固和優(yōu)化。

參考文獻

[1]司徒健輝.企業(yè)網(wǎng)絡安全準入控制技術(shù)設(shè)計與應用[J].大科技,2010,2(7):206-209.

[2]周琪鋒.準入控制在校園網(wǎng)安全管理的應用與研究[J].計算機與信息技術(shù),2008,15(11):48-50.

[3]葉水勇.基于網(wǎng)絡接入認證對終端設(shè)備的管控研究[J].電力信息與通信技術(shù),2018,16(5):41-46.

[4]于微偉,盧澤新,康東明,等.關(guān)于網(wǎng)絡準入控制系統(tǒng)的分析與優(yōu)化[J].計算機工程與科學,2011,33(8):39-44.

[5]李興國,雷若寒.利用準入控制實現(xiàn)校園網(wǎng)的安全管理[J].微計算機信息,2008,24(12):47-48.

[6]徐沛沛.桌面終端遠程運維管理系統(tǒng)研究與設(shè)計[J].電力信息化,2012,10(6):16-20.

[7]葉水勇,朱兵,劉軍,等.基于網(wǎng)絡安全準入對終端設(shè)備的管控研究[J].移動通信,2017,41(7):10-14.

[8]張鑫,陳雪華,劉新.電力系統(tǒng)信息安全基線標準體系的構(gòu)建[J].電力信息與通信技術(shù),2013,11(11):110-114.

[9]張濤.企業(yè)內(nèi)網(wǎng)準入控制技術(shù)研究[J].中國信息化,2013,5(2):52-53.

[10]葉水勇.基于回溯技術(shù)的全景信息安全防護探究[J].電力信息與通信技術(shù),2018,16(7):34-39.

[11]呂維新.網(wǎng)絡準入系統(tǒng)在供電局終端安全管理中的應用[J].電力信息化,2011,9(6):94-97.

[12]汪凱.基于身份認證的準入控制研究與實現(xiàn)[D].武漢:武漢理工大學,2006.

[13]葉水勇,朱兵,劉軍,等.基于網(wǎng)絡安全準入對終端設(shè)備的管控研究[J].移動通信,2017,41(7):10-14.

[14]張莉,齊錦,呂魯寧,等.網(wǎng)絡準入控制技術(shù)與設(shè)計[J].信息安全與通信保密,2009,31(9):60-62.

[15]魏克,段海新.校園網(wǎng)安全關(guān)鍵技術(shù)解析———身份認證管理與準入控制[J].中國教育網(wǎng)絡,2005,2(9):13-14.

作者:葉水勇 單位:國網(wǎng)黃山供電公司

免责声明

本站为第三方开放式学习交流平台,所有内容均为用户上传,仅供参考,不代表本站立场。若内容不实请联系在线客服删除,服务时间:8:00~21:00。

AI写作,高效原创

在线指导,快速准确,满意为止

立即体验
文秘服务 AI帮写作 润色服务 论文发表