（通信与信息系统专业论文）终端准入控制系统的研究与实现.pdf

中文摘要 随着互连网技术的发展，网络安全问题日益严重。据统计每年全球计算机网 络遭受的攻击和破坏8 0 是内部人员所为。因此，终端安全问题已经成为保证网 络安全所面临的最大问题。本文通过对网络安全现状的研究与分析，提出终端准 入控制系统，并给出了核心模块的设计与实现。该系统致力于解决来自网络内部 的威胁，从用户终端准入控制入手，通过客户端、安全策略服务器、安全联动设 备以及安全修复服务器，对接入用户终端强制实施安全策略检查、实时监控，严 格控制终端用户的网络使用行为，可以加强用户终端的主动防御能力，大幅度提 高网络的安全性。 本系统由客户端、代理服务器、安全策略服务器和安全联动设备四个部分组 成。客户端是安装在用户终端系统上的软件，当用户试图接入网络时，它负责发 起安全认证。代理服务器负责转发客户端与安全策略服务器之间的通信报文，通 过代理服务器对报文的转发避免了客户端直接与安全策略服务器的通信，从而可 以有效的防止对策略服务器的恶意攻击。安全策略服务器是整个系统的核心，实 现安全策略下发、终端安全状态评估、安全联动控制以及安全事件审计等功能。 安全联动设备是网络中安全策略的实施点，控制终端的访问权限，对不同的用户、 不同安全状态的用户开放不同的访问权限。 关键词：客户端代理服务器安全策略服务器安全联动设备 a b s t r a c t a l o n gw i 也d e v e l o p i 玎i e 哦o f 枷蜘r ! kt e c h l o g y m e 韶f ep r o b l e mo fn e 俺，0 r ki s i n c r e 鹤i n g l ys 舐。吣a c c o r d i n gt 0s 雠s t i c s ，m ea t t a c ka n d 也eb a l 【a g e 血a tc o m p u t e r n 咖。出s u f r ：fa n n m n y8 0 i s 缸i n _ t e i m lp e 岱。越e lr e s i l l tj n t h e r e f 0 他，t l l es a f e p f o b l e mo ft e r 妇血a lh 嬲a l r e a d yb e c o m c 也e 加o s ti 加p 叭切mp r o l b l e mt 0i n s u r e n 咖r ! ks 疵够a c c o r 血gt 0 血er e s e a r c ha n d 觚a l y s i so ft 1 1 es a f cp 坞s e n tc d i t i o n ， 也i sp 印e rp u tf 0 】n a r dah n d0 ft c 皿i 瑚la d m i s s i c o n 拍ls y s t e i n t h i ss y s t e i n c o n c 朗i 眦so n l v e st 1 1 r e a t 也a tc 咄自o m 也en e t 、j l r 耐k ：i n n c rp a r t t h i ss y s t e mc a n y 0 u tas a 危s 仃a t e g yc h e c kt 0 也eu s 盯t c 如血a lb yc h e n t ，s a f es 心曲：g ys e r y 盯，a c c e s s d _ c v i c ea n dr 印a i rd i 丽c e s oi tc 孤蜘g m e nt l l ea ：b i l i 够o fd e f e n s e ，a n dr a i s et l l e s a f 研o f an 戗w o f k t h i s 眄s t e l ni s 诚池o f f - 0 u rp a r t s ，i n c l u d ec l i 胁t ，p r 0 斟s e r 、，c e s sd e v i c ea n d s a f cs 缸t e g ) ，s e r v 既c l i e n ti ss o r w a 也a ti n s t a l l s0 nm e 璐e rt e l m i n a l w h 髓t 1 1 eu s e r t r i e st 0 c e s st 0t h e 铆o r ! k i ti sf e s p o n s i b l ef o rs 蛐ga 鼢诧a t t e 僦i o n t h ep r o x y s e e ri sr e s p o n s i b l ef 0 rc o r r e s p 0 1 1 d c n c eb e 铆e e nc l i e n ta n ds a f cs t 吼t e g ys e r v e f t h i s c 趾p r e v 锄t 缸，mt l l em l i c ea t t kt 0 也es e n r 日e 丘e c t i v e l y t h e 阻f e 蛐g ys e r v e ri s t l l ew h o l ec o r eo fs y s t 眦；i tc 秭e s0 u tm es a f e 够v a l i 叫。玛s e n dm e s s a g et 0t h e p r o 碍s e r v e re t c n e c e s sd e 访c ec 伽怕l st l l e c 韶sa b i l i 锣o f 璐e 伪 k e yw o i m l s ： c l i e n t ，p r o x ys e r v s a f es 仃a t c g ys e r v c e s sd e v i c e 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的 研究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表 或撰写过的研究成果，也不包含为获得墨盗盘堂或其他教育机构的学位或证 书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中 作了明确的说明并表示了谢意。 学位论文作者签名：茎7 1 2 博一签字同期：矽刀年多月7 同 学位论文版权使用授权书 本学位论文作者完全了解苤盗盘堂有关保留、使用学位论文的规定。 特授权苤鲞盘堂可以将学位论文的全部或部分内容编入有关数据库进行检 索，并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校 向国家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 学位论文作者签名：茎同寸享跏躲彳剜 签字同期：刀印年莎月7 同签字同期：弘1 年莎月7 日 第一章绪论 1 1 研究背景 第一章绪论 在网络应用的深入发展和技术进步的同时，非法访问、恶意攻击、病毒传播 等网络安全威胁也越来越严重。在网络建设中最关键的措施就是需要对访问网络 资源的用户进行身份认证与安全认证，通过身份认证能检查用户的合法性，判断 用户是否具有访问网络的权限。只有身份合法的用户才能获得网络所提供的相应 服务，但这些对验证用户终端设备的安全状况几乎不起任何作用。如果不通过准 确方法来评估设备状况，即便是最值得信赖的用户也有可能在无意间通过受感染 的设备或未得到适当保护的设备，将网络中所有用户暴露在巨大风险之中。 最新的安全威胁能穿透网络边界并攻击单个的桌面系统。不断增加的来自间 谍软件及其他恶意程序的病毒和蠕虫攻击以及数据丢失会使业务数据面临风险。 如今流氓软件以及来自w 曲方式的攻击也日益增大，终端安全的重要性不言而 喻。现在人人都在谈安全，安全解决方案不少，但是由于安全功能单一、相应机 制迟缓等诸多缺陷，导致终端的安全仍然得不到保证。讲到终端的安全防护，我 们就得先清楚最主要的引起终端不安全的几个方面。从现阶段科技和病毒历史事 件总结来看，以下几个方面将是我们必须面对的：补丁管理、防病毒以及内网安 全管理。 在电脑上安装任何新软件都会引发它被攻击的可能性。除了缓冲区溢出，大 多数攻击行为的发生都是由于用户不经意地安装了恶意软件或其他程序或者程 序本身就是恶意的、不安全的，比如说病毒、蠕虫、木马以及间谍软件。任何一 个软件都有可能成为攻击目标，因为即使它本身是合法的程序，但它却允许新种 类的攻击发生，比如：如果安装一些应用软件的组件，那么就可能会遭到恶意编 写的程序的攻击；如果安装新的搜索工具，那么会有丢失机密信息的危险。这只 是内网管理中很小的一个方面，应该只属于软件资产管理的一部分，却已经是危 机四伏。就像硬件资产管理一样，终端的软件资产不仅保障了终端上已知的安全 软件程序不被删除和破坏，也保障了未知安全危害的侵入。道理非常简单，将要 安装的新软件，我们对此一无所知，这样就增加了遭受恶意攻击的可能性。能给 出的最好的建议就是，控制接入网络的终端电脑上安装和运行的程序。移动电脑 和存储设备( u 盘、m p 3 ) 随意接入造成机密泄漏，或者笔记本电脑外出后再接 入内网带来的安全隐患，便需要严格的入网阻断。这里存在一个终端机入网审查 第一章绪论 和验证的过程，即在连入网络或断开又重新接入网络时对其进行设备身份认证和 安全审查。 目前，互联网已经渗透到计算机用户工作和生活方方面面，可以说计算机与 互联网已经融为一体。但是随着使用计算机数量剧增，很多新型的恶性病毒通过 网页、邮件、系统漏洞等多种途径危害计算机用户的安全，并且由于网络的应用 使其传播速度大大加快。新病毒也较传统病毒更具危害性，除了对用户存贮在硬 盘上的数据加以破坏，新型病毒更是结合了木马功能，有可能造成用户商业机密 泄漏，给用户造成损失更是无法估计。 根据调查表明，网络安全的威胁8 0 来自网络内部，网络用户不及时升级系 统补丁、升级病毒库的现象普遍存在；私设代理服务器、私自访问外部网络、使 用网络管理员禁止使用的软件等行为在金融系统内部网络中也比比皆是【l 】。 面对层出不穷的网络安全问题，很多机构和部门都购置了各种网络安全设 备，如防火墙、补丁升级系统、漏洞扫描器、系统实时监控器、网络防病毒软件 等。毋庸置疑，这些安全设备分别在不同的方面保护着网络系统的安全，但是网 络系统的整体安全性并不能得到保证。 根据“木桶原理”，网络系统的安全性由系统安全最薄弱环节决定。从系统整 体安全考虑，这些单一的网络安全设备都存在着不同的安全局限性。并且，随着 网络规模的不断扩大和网络安全设备的日益丰富，当使用了种类繁多的网络安全 设备后，如何有效地对这些安全设备进行统一的管理和配置，使安全设备之间实 现安全互动而不仅仅是对网络安全设备进行简单堆砌，如何使得构成的网络安全 系统更加安全、高效，就成了目前网络安全管理面临的一个主要问题。 网络安全问题的解决，三分靠技术，七分靠管理，严格管理是金融机构及用 户免受网络安全问题威胁的重要措施。如果只是通过防火墙和在网络设备上配置 一系列访问控制策略是无法完全避免各种安全威胁的，而必须从用户接入终端、 网络设备和中心服务器之间提供一系列端到端的安全解决方案。所以首先要从网 络接入端点的安全控制入手，对接入网络的用户终端强制实施企业安全策略，加 强网络用户终端的主动防御能力。必须建立一种主动的安全防御系统，这样一来， 对新病毒和未知病毒便同时具有极佳的防范效果，在传统杀毒软件升级病毒库之 前就有效遏止各种新病毒的传播肆，让终端用户的数据得到了更安全的保护。在 一个局域网里，每一种终端电脑就像木桶上的木板，哪一块板子短了，都会导致 整个安全系统的崩溃。惟有着眼于网络整体防御、主动防御的安全措施，才能保 证网络的正常运行。 2 第一章绪论 1 2 国内外研究现状 终端准入控制技术是网络安全的一个重要研究方向，目前成为网络安全管理 的热门话题之一。采用准入控制技术能够主动监控桌面电脑的安全状态和管理状 态，将不安全的电脑隔离，并进行修复。准入控制技术与传统的网络安全技术如 防火墙、防病毒技术结合，将被动防御变为主动防御，有效加强终端安全管理， 减少安全事故。 目前，国内外对终端准入控制管理的需求呈现出多样性，而且已经形成了较 大规模的市场。众多的安全设备厂商和研究机构加入到与终端准入控制管理相关 的技术研究、产品开发和技术服务的行列中，研究和生产了许多不同定位的产品， 提出了一系列安全管理解决方案，一部分产品逐渐在市场上获得了用户认可，如 思科的n a c 、s y q 虹e 安全策略保证系统、北信源内网安全管理软件等。 终端准入控制技术发展的时间并不长，国内外有一些研究机构在进行这方面 的研究，但都比较初步，还没有形成成熟的技术。 1 3 网络安全的发展趋势 回顾国内外网络安全发展的历史，从反病毒软件到防火墙、 n 和p ， 从单一的病毒解决方案和防火墙方案到提供整体网络安全解决方案、安全管理、 全程网络安全服务，网络安全经历着一个动态发展的辨证过程。计算机网络安全 问题是伴随计算机网络发展不可忽视的问题，只有更好地解决好这一问题，网络 才能更加稳步快速地发展，从而提供更加快捷可靠的网络服务。因此，网络信息 系统的安全保障体系的建设是一个全方位的、动态的、持续的过程，在建设中遵 循整体性原则、均衡性原则、动态性原则、立体性原则。除了对网络安全技术给 予足够的重视之外，还要对网络安全的发展趋势有一个宏观了解。 ( 1 ) 网络安全技术的多样性、集成性、互动性将成为网络安全技术的发展趋 势。随着人们对网络安全应用的不断深入，简单的安全产品的组合或堆砌已不能 满足需要。用户不但要求安全产品安全可靠，更要求产品之间具有良好的可集成 性。如果各种安全产品之间能实现互相操作，可以互相通讯，那么，用户的网络 防护体系能发挥出更大的功效，更加坚固。网络安全技术将以更快的速度向前发 展，其多样性、集成性、互动性将成为网络安全技术的发展趋势，对计算机进行 更完美的保护。在统一的安全管理和安全策略机制指导整个安全系统的建设和管 理，形成包括物理隔离、加密机制、防火墙、入侵检测、c a 认证、授权管理、 安全审计、漏洞扫描、网页监控、病毒防杀、备份恢复、实体安全、管理安全等 3 第一章绪论 系统的安全保障体系。 ( 2 ) 安全管理建设也是继网络安全技术之后的新趋势。在信息网络系统安全 上，还有一个共识，就是安全不仅仅是技术问题，更是一个管理的问题。因此， 网络信息安全保障体系建设的下一个阶段就是安全管理建设。网络管理是指对网 络系统中的各种设备进行检测、分析与控制，从而保障整个网络系统可靠、有效 地运行。安全管理建设与安全策略建设密不可分，管理是在策略的指导下进行的， 而管理经验和运行管理之间的互动则为策略的制定提供依据。安全管理建设需要 对安全基础理论、安全机制、安全技术、安全策略、安全产品等各个层面进行深 入细致的研究，才能更好地实现网络的安全和保护，即只有进入到网络安全涉及 的每一层面，同时把握安全问题的全局性才能更好地实现网络的保密、完整及可 用性，要充分利用不断发展的安全技术和工具，并在日常工作中加强安全管理和 教育。 1 4 本文的主要工作 安全威胁愈演愈烈，而且入侵手段也越来越隐蔽、狡猾、快速。终端安全问 题已经成为保证网络安全所面临的最大问题，也是刻不容缓需要解决的问题。传 统的被动防御技术已经落伍，我们需要更先进、更全面化的的主动防御技术和产 品，才能在攻击面前泰然自若。 本文通过对网络安全现状的分析，提出了一种终端准入控制系统。该系统从 用户终端准入控制入手，整合网络接入控制与终端安全产品，通过客户端、安全 策略服务器、安全修复服务器、网络设备以及第三方软件的联动，对接入网络的 终端用户强制实施安全策略，严格控制终端用户的网络使用行为，从而可以加强 终端用户的主动防御能力，大幅度提高网络安全。 该系统主要由安全策略服务器、代理服务器、客户端和基于w - e b 的配置管理 平台四个部分组成。由于该系统非常的庞大，一个人在较短的时间内无法完成， 所以本文较深入的研究了本系统的核心模块安全安策略服务器和基于w 曲的配 置管理平台的设计，并完成了部分模块的编码工作。 1 5 本文的组织结构 本文通过对相关的网络安全技术以及网络安全现状的研究与分析，提出了一 种终端准入控制系统，并给出了部分核心模块的设计与实现。 本文的具体内容结构安排如下： 4 第一章绪论 第一章介绍了终端安全的重要性、国内外的研究现状以及网络安全的发展趋 势。 第二章介绍了现有的终端安全管理产品的缺点，重点介绍了本文设计的终端 准入控制系统的基本功能以及在该系统下终端用户的认证流程。 第三章是本文的重点，详细的介绍了该系统的主要模块的设计。由于安全策 略服务器是该系统的核心，所以重点研究了安全策略服务器的设计与实现。 第四章介绍了部分模块的j 怂，a 代码实现，包括t c p 通信接口的实现和报文 处理模块的实现。 第五章介绍了本文的测试组网环境，并设计了一些测试用例，以便检查该系 统能否正常运行。 5 第二章终端准入控制系统的功能研究 第二章终端准入控制系统的功能研究 2 1 现有解决方案的不足 互联网的迅猛发展，使信息时代的重要信息载体一电脑，面i 临着越来越恶 劣的应用环境，蠕虫、木马、冲击波等病毒层出不穷，时刻威胁着电脑安全，使 得电脑出现运行缓慢、应用程序出错、系统崩溃等现象。而对于那些大量应用电 脑的企业来说，电脑数量多、故障发生概率高也是一件棘手的事情，这些来自外 部和内部的不利因素都成为了企业p c 管理与维护需要面对的一大问题。如何确 保p c 拥有一个高效安全的运行环境、实施低成本的p c 管理，已经成为企业亟待 解决的重要课题。 网络病毒和蠕虫的是传播性能越来越高，现在已经能够针对预防措施进行变 异，因而使防御工作越来越困难。另一方面，网络的性质总在改变，尤其是经常 抵御病毒或蠕虫的边缘位置，总处在变化之中。 传统的以组织边界和核心资产为保护对象的安全体系逐渐显示出严重的缺 陷，无法有效应对终端安全管理中面临的诸多问题。这样终端安全体系建设问题 就逐渐提到组织管理者和网络安全建设者的议事日程上来。虽然终端资产的重要 性级别通常低于网络中的交换机、路由器等核心网络设备以及各种业务主机和服 务器，但广大终端数量众多，并且是组织的日常办公和业务运行的载体，如果终 端安全受到威胁，即使网络中的核心设备安然无恙，整个网络的业务运行也会受 到严重影响甚至瘫痪，如同家庭是社会的细胞，终端也是组成网络的基本单元， 他们的安全与否对网络自身的健康运行有着深远的影响。建设一个有效的终端安 全管理体系，不仅能够保障终端安全，而且能够提升网络整体的安全防御能力【2 j 。 终端安全管理是一个复杂的问题，通常一个组织中的终端地理位置分散，用 户水平参差不齐，承载业务不同，安全需求各异，这就决定了终端安全建设的复 杂性和多元性，要根据终端用户的接入位置、所属部门、业务需要等条件来选择 和执行适当的安全管理措施，既不能搞一刀切，也不能对用户放任自流，缺乏控 管。 现有的终端准入控制系统往往在以下几个方面存在不足【3 】： ( 1 ) 忽略了管理因素 主要表现在对微软等操作系统不断出现漏洞的补丁措施的及时管理，以及网 络中终端设备资产信息变化的精确统计管理问题。用户往往对已经公布的安全漏 6 第二章终端准入控制系统的功能研究 洞视而不见。任何操作系统以及各种软件根本不可能做到完善的，往往存在各种 安全漏洞。虽然软件厂商不断的推出各种升级补丁，但很多用户往往不能够及时 获知。甚至有的用户即使知道这种补丁，也往往不去安装，对安全威胁缺乏深刻 的认识。现有的大多数安全体系对用户的安全状态一无所知，防御措施治标不治 本【4 】。 ( 2 ) 孤立的、被动的防御措施 病毒蠕虫大规模泛滥以及新的蠕虫不断出现给用户带来损失；对来自局域 网内部的威胁无法及时影响；网络边界扩展带来的对于移动办公用户、第三方接 入安全防范不足从而引入安全风险的问题。对病毒的重复、交叉感染缺乏控制： 对安全威胁只能被动防御，缺乏主动抵抗能力。 ( 3 ) 控制手段薄弱 无法对终端接入用户进行有效的接入控制，只要用户的身份认证通过就可以 接入网络，对用户的安全状态不做任何的检查和控制。无法对终端接入用户的网 络使用行为进行管理。 如何应对当前终端安全面临的诸多困扰? 显然局部的、简单的、被动的防护 不足以解决问题。要想解决终端安全问题，一个好的思路是建设一个主动的、全 面的安全防护体系。安全防护体系由资产管理中心、补丁管理中心、文件分发中 心、安全策略中心、强制认证中心、行为监控中心、病毒防护中心、安全保护中 心等模块组成，并且能够同其他保护网络边界和网络基础设施的网络安全产品和 技术结合起来，共同组成信息安全保障体系，提升组织的信息安全保障能力，对 抗来自内部和外部的威胁。 2 2 系统的认证流程和基本功能的研究 终端准入控制系统主要用于解决来自网络内部的安全威胁，通过控制非法接 入和越权访问问题，通过对接入用户终端实时安全检查、实时监控和用户的行为 控制等手段确保网络的安全性。 2 2 1 系统组成以及用户的认证流程 目前大部分终端在接入网络的时候，都没有经过严格的身份认证，对终端也 没有有效的验证手段。无法对终端接入网络之前进行有效的合法性、安全性的检 查。受病毒感染的终端、未打补丁的终端如果随意接入网络，势必给整个网络的 安全带来重大的安全隐患。 为了解决以上安全以及管理问题，使得整个网络内的终端高效的运行，同时 7 第二章终端准入控制系统的功能研究 也为了帮助管理工作，减轻管理员的负担，建设终端准入控制系统迫在眉睫。 终端准入控制系统从网络接入端点的安全控制入手，通过客户端、网络设备、 安全策略服务器、安全修复服务器和配置管理平台，对接入网络的用户终端强制 实施安全准入策略，加强网络用户终端的主动防御能力，并严格控制终端用户的 网络使用行为，保护网络安全： 网络接入控制的目的是检查用户的身份及终端信息，根据预先的设定控制终 端用户的访问权限，有效阻止不符合身份认证或安全条件的终端用户接入及访问 网络，并将其置于某个隔离区域之外，或者仅获得对计算资源的有限访问权限。 通过网络接入控制，在网络中提供一个安全接入控制节点，用户必须满足身份认 证的要求，并且用户的终端设备必须达到一定的安全策略条件才可以通过这个安 全接入网关设备接入并获得一定的网络访问权限。这样一方面验证了用户的身 份，避免了非法用户接入到网络中，限定了用户的访问权限；另一方面也避免了 存在安全隐患的终端用户的接入，可以大大消除蠕虫和病毒对网络系统以及承载 的业务越来越严重的威胁和影响，从而帮助客户发现、预防和消除安全威胁。 该系统融合了用户行为管理、补丁管理、防病毒功能以及安全修复，可以加 强网络终端的主动防御能力，控制病毒、蠕虫的蔓延，主动防御对网络的非法入 侵。它可以对接入网络的终端用户进行实时监控，当发现终端出现异常，不符合 安全策略要求时，能够主动将用户置于隔离区中，强制或提示用户访问安全修复 服务器进行安全修复。只有当用户进行安全修复，符合安全策略要求后才能继续 访问网络。 本终端准入控制系统从以下几个方面提高网络的安全性： ( 1 ) 提高用户终端的主动防御能力 隔离防御能力脆弱的用户终端；及时更新系统补丁、病毒库，提高抵抗力； 限制对网络的不合理使用。 ( 2 ) 集中策略实施与管理 用户安全接入策略的统一管理；组织级安全策略的强制实施：用户安全状态 的集中审计。 ( 3 ) 多种安全设备的联动防御 身份认证与安全认证结合；与专业防病毒系统连动；多重权限控制( 。a n 、 a c l 、q o s ) 。 ( 4 ) 以用户为中心的全程管理 事前：用户身份和防御能力认证；事中：用户安全状态和行为的监控；事后： 用户安全状态和行为的审计。 该终端准入控制系统主要有五个部分组成，分别为：客户端、安全管理代理、 第二章终端准八控制系统的功能研究 安全策略服务器队安全修复服务器和基于w e b 的配置管理平台，它们之间的关 系如图2 一l 所示。 一r ：j i ! = 钒百r 一一 一 女e 雪星 箩“ j t e * # 田2 1 终端准a 控制系统五个组成部分之间的关系 安全策略服务器是整个系统的核心，实现安全策略下发、终端安全状态评估、 安全联动控制以及安全事件审计等功能。同时，该系统可详细记录用户上网信息 和安全事件信息，审计用户上网行为和安全事件。当试图接入网络的终端用户不 符合安全策略时安全策略服务器通知接入设备对其进行隔离，只开放安全修复 服务器的访问权限。 客户端是安装在用户终端系统上的软件，该平台可集成各种安全厂商的安全 产品插件，对用户终端进行身份认证、安全状态检查。在用户使用网络前必须先 启动客户端，然后输入身份信息进行登陆认证，在登录过程中客户端同时收集终 端的安全信息和进行病毒扫描，把相关信息发送到策略服务器进行检查。如果身 份合法，同时符合安全策略的要求，则开始使用网络：如果身份不合法或身份合 法但不符合安全策略要求，则终端用户只能访问管理员预先定制好的隔离区。同 时客户端会向用户提示警告，协助指导用户进行安全修复。同时客户端还提供了 安全监控的功能，可以根据安全策略服务器下发的安全监控策略在后台执行监控 第二章终端准入控制系统的功能研究 任务，并定期反馈执行结果，例如用户上网记录、u s b 使用记录等。 安全联动设备是网络中安全策略的实施点，控制终端的访问权限，对不同的 用户、不同安全状态的用户开放不同的访问权限。当安全策略服务器处理完客户 端上报的安全检查结果后，就将处理结果通知安全联动设备，设备根据该信息决 定终端的访问权限，防止外部用户访问内部网络，防止内部合法但不安全用户连 接到网络。同时还可以做到以下几点：基于端口级、时间段的控制；控制不同级 别用户带宽的资源；防止恶意终端的蓄意破坏。 安全修复服务器对操作系统补丁、杀毒软件、防火墙等安全资源进行集中统 一的管理，对不符合安全策略的终端进行安全修复，同时为用户提供安全策略查 询和安全问题反馈。它接受安全策略服务器的信息，根据用户的安全状况给用户 相应的提示信息，并协助用户对终端进行修复【6 1 。 基于w e b 的配置管理平台为最终用户提供安全策略配置，如补丁策略、软 件清单策略、接入时间策略等，并依靠客户端、客户端管理代理、安全策略服务 器和安全修复服务器联动为最终用户提供严格的安全控制。 在本终端准入控制系统下，用户终端的认证流程如下： ( 1 ) 客户端发起安全认证，上传用户登录信息，请求安全检查项； ( 2 ) 安全策略服务器通知设备隔离用户，将用户的访问权限限制在隔离区， 下发用户安全策略( 用户需要执行的检查项) 及其它控制信息；、 ( 3 ) 客户端与第三方软件或定制插件联动，执行安全策略检查及其它功能， 并向安全策略服务器上报检查结果，请求安全策略服务器核对该检查结果； ( 4 ) 安全策略服务器下发检查结果、修复策略以及设置监控任务等。如果 安全检查合格，通知安全联动设备解除对用户的隔离；如果安全检查不合格，则 继续将用户限制在隔离区中，并提醒用户到安全修复服务器上进行修复，修复操 作完成后重新发起安全认证。 ( 5 ) 认证成功后开始对用户进行实时监控，并将监控结果上报给安全策略 服务器； ( 6 ) 安全策略服务器对上报的监控结果进行处理，并向客户端下发实时监 控回应报文。 图2 2 和图2 3 分别为终端用户的安全检查结果符合安全策略要求时和不符 合安全策略要求时的认证流程。 1 0 第二章终端准入控制系统的功能研究 图2 _ 2 终端用户符合安全策略要求时的认证流程 图2 3 终端用户不符合安全策略要求时的认证流程 第二章终端准入控制系统的功能研究 2 2 2 系统的基本功能 终端准入控制系统主要用于解决网络内部的安全性，因此它应该具有以下几 个方面的基本功能： ( 1 ) 用户身份认证。 通过用户名和密码检查用户的合法性。 ( 2 ) 终端安全性检查。 根据管理员制定的安全策略对终端进行检查，目的是提高终端的安全性，其 中包括： 检查分区表信息，检查分区数量，分区大小，分区类型，是否隐藏分区等； 检查共享目录，检查共享名，共享目录路径等； 检查屏幕保护设置信息，检查屏幕保护是否设置密码，密码保护启动时间 世 寸o 检查w m d o w s 补丁，通过注册表检查已安装的w i n d o w s 补丁，根据策略文 件判断有没有没装的必须安装的补丁： 检查安装软件，通过注册表检查已安装的软件，根据策略文件判断软件为 合法、非法、等类型； 检查其他软件的补丁，目前支持s q ls e r v e r 2 0 0 0 的补丁检查； 检查计算机安装的杀毒软件的信息，例如病毒库版本、杀毒引擎版本等； 检查注册表是否安全； 检查客户端开放的端口，检查客户端开启了什么服务。 ( 3 ) 安全修复。 对于不满足安全策略要求的终端限制其接入网络，并提示用户配置操作系统 有关安全设置或访问安全修复服务器安装有关补丁、杀毒软件等。 ( 4 ) 系统管理功能。 支持分节点、分级管理功能。可以对不同分组，不同应用的终端进行分组管 理。 ( 5 ) 支持终端行为监控和防泄密检查。 对u s b 存储设备、p p p o e 拨号监视和上网记录进行监视。 ( 6 ) 对现有防病毒软件的支持。 目前主流的防病毒软件有卡巴斯基防病毒软件、m a c f e e 、a v g 、n o 巾d n 、趋 势以及金山毒霸、瑞星等国产杀毒软件。 ( 7 ) 补丁管理。 该系统支持两种补丁管理策略：手工操作和与微软补丁服务器联动。 1 2 第二章终端准入控制系统的功能研究 ( 8 ) 资产管理。 提供对终端资产收集和汇总统计。包括资产与用户的关联。客户端程序安装 后可以收集到各种资产信息，存放在服务器的数据库中。收集的信息包括各种硬 件信息，如网卡信息、c p u 、内存、硬盘等配置；各种软件信息，如操作系统版 本、已安装的软件产品、补丁等；资产的财务属性，如资产编号、使用者信息等。 客户端会不断跟踪终端软、硬件配置的变化，从而保证管理员随时得到最新的信 息。终端的硬件改变还会在管理服务器上生成告警，使管理员及时了解资产的变 化，也可查看资产硬件变化的历史。 ( 9 ) 实时监控和取证r 7 1 。 对部分硬件使用情况进行实时监控，对执行的非法操作进行屏幕取证，可以 抓取客户端违规当时的屏幕记录，并上报结果，将违规信息直接用e n l a i l 通知审 计人员，其中包括： u s b 存储设备监视，当打开u s b 存储设备监视时，所有u s b 存储设备的使 用都将被记录下来，并上传服务器； m o d e m 拨号监视，当打开m 0 d e m 拨号监视时，所有m o d e m 拨号都将被记录 下来，并上传服务器； 屏幕监控，当打开屏幕监控后，使用w 曲a c t i v x 控件连接目标终端，可以 实时查看终端的屏幕显示信息。 ( 1 0 ) 终端信息收集。 根据制定的条件收集用户终端的信息，其中包括： 获取计算机终端基本配置信息，获得机器的i p 地址信息、m a c 地址信息、 主机名、操作系统版本信息； 获取机器的基本硬件信息； 获取计算机当前的进程信息； 搜索文档的关键字，搜索结果包括了目标计算机上所有包含符合搜索逻辑 关键字的d o c 文档和僦文档的路径和他们所包含的关键字信息； 搜索邮件的关键字，搜索结果包括了目标计算机上o u n 0 0 ke x p r e s s 和 f o 煳i 妯b 件工具中所有包含符合搜索逻辑关键字的邮件信息； 搜索终端全部文件信息，搜索结果包括目标计算机上所有文件信息； 搜索黑客软件，搜索结果包括了目标计算机上所有可能的黑客软件的信 息； 搜索目标计算机上近期浏览过的所有网站的地址； 搜索所有可能的游戏软件的信息； 搜索文件类型的特征码，搜索可能被更改过扩展名的文件的路径以及此文 第二章终端准入控制系统的功能研究 件可能的原始类型信息。 一 ( 1 1 ) 审计报表统计。 针对安全检查和实时监控进行统计操作，其中包括： 外网违规报警，记录拨号网络设备的拨通事件和断开事件的发生时刻、被 叫号码，并实时报警： 移动设备违规实时报警： 根据单个用户的所有检查结果生成报表； 能根据某种属性( 如是否有u s b 插拔事件、是否有拨号事件等) 策略生成 报表； 可以根据某部门的所有违规事件生成报表； 能根据事件选项或其它既定组合生成报表，报表可以安部门、人员、时间 等字段依次排序。 2 3 补丁管理系统 2 3 1 与补丁管理系统的联动功能概述 以微软w i n d o w s 为代表的各种操作系统不断发现漏洞，通常在漏洞被批漏的 l 2 周之内，相应的蠕虫病毒就产生了，这对安全补丁工作提出了极高要求，在 目前企业安全人员严重不足的情况下，在短时间内完成成百上千计算机补丁的部 署带来巨大的工作量。尤其是在企业网中，对系统不定的管理问题一直难以解决。 我们经常见到的情况是，新的补丁发布，却无人理会，任由系统漏洞的存在。即 使采用了微软的w s u s 、s m s 等补丁管理工具，此类工具也无法强制用户进行系 统补丁升级，给企业网络安全带来诸多隐患，更严重的情况是，用户刚装好操作 系统，还没来的及打补丁就被病毒感染或受到攻击。 因此一个完整的漏洞扫描和补丁管理系统就成为终端以及由终端组成的优 势，对补丁管理的网络的安全保障之一。在内网安全管理及策略管理技术的基础 上，补丁系统拥有增量导入及智能分发的优势，对补丁管理策略的统一管理，可 以高速高效完成安全漏洞的补丁程序分发和下载，依据标准的信息源来主动地扫 描被管理的终端计算机，并确定应用程序和操作系统所存在的完全漏洞。能够直 接在控制台上查看评估结果。终端安全问题，各种系统的漏洞如能在最短最有效 的时间内确定并补上，那么就可以毫不费力地屏蔽8 0 的安全威胁。 该系统能够与微软的补丁管理系统进行联动，协同工作，彻底解决了系统补 丁管理问题。软件补丁更新服务器负责对终端用户的计算机进行补丁状态检查、 1 4 第二章终端准入控制系统的功能研究 判断是否合格以及不合格时自动更新所缺少的补丁，终端准入控制系统则负责决 定何时发起补丁状态检查操作，并负责控制补丁状态检查不合格的终端用户只能 访问隔离区内资源，待终端用户的计算机的补丁状态检查合格后才解除对该用户 计算机的隔离。 隔离区是指端点用户在通过安全认证之前允许访问的一组主机的集合。一般 地，隔离区可能包含防病毒软件安装升级服务器( 防病毒管理中心) 、软件补丁 更新服务器和代理服务器。隔离区具体包含哪些主机一般在接入设备上配置。 补丁状态检查是指终端用户所安装的软件补丁是否符合安全策略的要求，检 查不合格时例举出所有缺少的软件补丁。 补丁更新是指从补丁服务器下载软件补丁到客户端计算机，并进行安装与生 效处理的全过程。 2 3 2 系统架构及基本交互流程 终端准入控制系统与补丁管理服务器的联动主要通过客户端与补丁升级客 户端之间的a p i 接口实现，系统结构如图2 _ 4 所示。 安用户终端：w 丑l d o w s 全 策 略 j l 服 系统客户端 1 务 补丁客户端卜 器 图2 - 4 终端准入控制系统与补丁管理服务器的关系 在接入用户的终端需要同时安装安全系统客户端和补丁客户端。客户端负责 完成与安全策略服务器的交互：补丁客户端是微软发布的与相应的补丁服务器配 合的s u s ( w s u s ) 或s m s 客户端。客户端与补丁客户端通过微软提供的a p i 接 口完成补丁检查与安全准入的融合。 这种方式下，终端准入控制系统与微软补丁系统是相互独立的，可以不依赖 于对方而完成自有功能。但可以通过a p i 来实现两个系统之间联动，弥补各自的 不足，完善补丁管理和安全准入方案。 补丁联动的原理性流程如下： 第二章终端准入控制系统的功能研究 ( 1 ) 用户上网前，由接入设备控制将该用户的访问权限制到隔离区内。客户 端首先向安全策略服务器发起安全认证请求； ( 2 ) 安全策略服务器根据用户角色下发要求进行补丁检查指令； ( 3 ) 客户端收到补丁检查指令，调用微软补丁管理客户端接口监察补丁是否 及时更新，并将检查结果发送给安全策略服务器。 ( 4 ) 如果合格，进入步骤( 6 ) ；如果不合格，用户依然被限制在隔离区内，只 能访问补丁服务器等安全资源，因此不会受到外部病毒和攻击的威胁。同时客户 端自动过渡到补丁自动升级阶段； ( 5 ) 由用户根据补丁更新过程中出现的情况按提示进行相关的操作( 如：重 启机器等) ，确认完成补丁升级后，由用户干预通过终端准入控制系统客户界面 再次发起安全认证，重新检测补丁安装情况，如果合格，进入步骤( 6 ) ；否则回 到步骤( 4 ； ( 6 ) 安全策略服务器通知接入设备，将该用户的访问权限从隔离区放开，用 户可以正常访问其他授权的网络资源。 该系统实现的补丁联动功能的优点： ( 1 ) 联动的松散耦合性：充分利用微软成熟的补丁管理工具，终端准入控制 系统不需要管理各种w 缸d o w s 环境的用户机器缺少哪些补丁等繁琐事务； ( 2 ) 更新的安全性：用户机器的补丁状态不符合安全要求时，其访问范围控 制在隔离区，即补丁更新是在隔离区进行的； ( 3 ) 补丁更新的自动性：补丁更新过程是自动完成的( 机器需要重启时会提 示用户确认) ，无需用户手工下载和安装补丁程序； ( 4 ) 补丁更新的即时性：用户机器的补丁状态检查不合格后马上转入补丁自 动更新过程： ( 5 ) 补丁更新的强制性：不完成补丁更新的用户机器只能访问隔离区内的网络 资源，要访问更多资源，只有完成补丁更新。 1 6 第三章终端准入控制系统的整体设计 第三章终端准入控制系统的整体设计 该系统从网络的整体安全出发，通过对网络中的终端用户的集中管理与监 控，收集各终端产生的安全事件，进行处理后，下发给终端用户和安全联动设备， 并由安全联动设备控制终端的接入。只有符合安全策略要求的终端才允许接入网 络，当试图接入网络的终端用户不符合安全策略时，安全策略服务器通知接入设 备对其进行隔离，只开放安全修复服务器的访问权限。 ， 该系统主要由安全策略服务器、代理服务器、客户端和基于w 曲的配置管理 平台四个部分组成。各个部分之间的关系以及每个部分的子模块之间的关系如图 3 1 所示。安全策略服务器是整个系统的核心，实现安全策略下发、终端安全状 态评估、安全联动控制以及安全事件审计等功能。同时，它可以详细记录用户上 网信息和安全事件信息，审计用户上网行为和安全事件。本章主要介绍配置管理 平台、代理服务器和安全策略服务器的设计。 安全策略服务器 图3 1 终端准入控制系统的各个模块的关系 1 7 通 代理服务器 信 报 事 通报通 接 客 口 文件 信文信 户 _ - 处处 接 转接 端 理理 口发 口 通 信 ：3 接 () 口 本地缓存 一， 配置 管理 平台- - - - - - - - - _ 3 i - - - - _ - - - - - - - - - 二) 数据库 一 第三章终端准入控制系统的整体设计 3 1 基于w 曲的配置管理平台的设计 3 1 1 功能概述 该模块是一种基于w | e b 的配置管理平台。它提供一个直观的、易于操作的 图形用户界面供管理员进行操作管理。该模块主要由安全策略管理、补丁管理、 软件管理、系统参数配置和日志管理五部分组成。如图3 2 所示。 图3 2 配置管理模块原理图 管理员可以通过安全策略配置管理页面配置安全策略。安全策略定义了一组 控制与管理终端系统接入的规则，它定义了什么样的终端系统才允许接入网络以 及当非法的终端系统试图接入网络时应当采取什么样的操作。在安全策略中可以 配置终端系统必须安装的防病毒软件、病毒库最低版本、禁止安装或禁止运行的 软件、必须安装或必须运行的软件、必须安装的补丁、实时监控策略等。 在安全策略中还可以分别配置当各个检查项不符合要求时所采取的措施。在 本系统中当终端用户不符合安全要求时可以对其采取三种操作：下线模式、隔离 模式和提醒模式。下线模式是指当终端用户不符合安全要求时，拒绝其接入网络， 禁止其访问任何网络资源。隔离模式是指是指当终端用户不符合安全要求时，将 用户的访问权限限制在隔离区，只允许其访问隔离区内的资源，禁止访问网络上 的其它资源。隔离区是一组主机的集合。一般地，隔离区可能包含防病毒软件服 务器、软件补丁服务器等。提醒模式是指当用户不符合安全要求时，提醒用户其 系统比较脆弱、安全性较差、容易受到网络的攻击，并给出建议采取的操作措施。 但仍然允许用户接入网络并可以访问网络上的所有资源。 1 8 广ii- 第三章终端准入控制系统的整体设计 补丁配置管理页面和软件配置管理页面用于定义补丁和软件，供定义安全策 略时选择使用。系统参数配置页面主要用于配置系统运行时的一些参数，主要包 括安全策略服务器口地址、代理服务器口地址、客户端和策略服务器通信时各 自采用的端口、日志保留时长、同步请求间隔时长、同步请求超时次数、监控间 隔时长等信息。日志管理页面主要用于查看用户产生的安全事件，以便管理员可 以对用户进行跟踪与管理。 3 1 2 设计架构 配置管理平台的实现主要采用的技术有j s f 、s p 血g 和h i b e m a t e ，数据库采 用s q l s e n ，e r 2 0 0 0 。 配置管理平台的软件架构设计分为三层 引，从底层向上分别为：数据访问 层：、“业务逻辑层”和“应用表示层”。它们之间的关系如图3 3 所示。 浏览器 e 。：一一拄力口 1r v y ”51 1 不 表示层 0 业 业务逻辑接口 冬 是l 土量 1 _ 层 业务逻辑实现 1r 数 数据访问接口 垢 堕0 l _ 口j 层 数据访问实现 1r 芦据刁 图3 3 配置管理平台软件架构设计 1 9 第三章终端准入控制系统的整体设计 数据访问层的功能是：从数据库中获取数据，并将数据转换为易于处理的 j a v a 对象，供上层更加方便的进行处理。数据访问层提供的操作是原子操作，不 包含具体的业务逻辑特性。业务逻辑层的功能是：实现具体的软件业务逻辑功能， 进行事务控制等操作，并对上层提供完整的业务功能接口。应用表示层负责提供 外部访问接口，让外部程序能够访问软件的内部逻辑功能。 该设计的软件架构有以下几方面的特点： ( 1 ) 数据访问层与业务逻辑层的联系通过依赖注入来建立；业务逻辑层与 表示层间的联系也通过依赖注入来建立；表示层不允许直接跨层访问数据访问 层； ( 2 ) 数据访问层通过h i b 黜访问数据库，对上层是透