企业网络访问控制的设计.doc

企业网络安全准入控制技术设计与应用发表时间：2010-11-11司徒健辉来源：万方数据关键字：网络安全信息安全用户准入实时控制信息化调查找茬投稿收藏评论好文推荐打印社区分享随着信息技术的快速发展，信息网络局域网接入安全问题越来越突出，尤其网络内部不安全因素对信息安全的危害更大。本文结合电力企业进行的电力信息网络用户准入及实时控制系统的研究与实践，阐述了从信息网络安全防范的源头入手，解决电力企业信息网络用户接入和网络用户安全行为管理控制问题。在信息网络应用技术快速发展的今天，网络安全问题显得越来越突出。据权威统计显示，83%的信息安全事故是由内部人员和内外勾结所为，80% 以上的企事业单位内部网络曾遭受过病毒的肆虐，60%以上的企事业网站受过黑客的攻击，从这一些数字足见内部网络安全管理问题的重要性。电力企业是信息技术应用比较普及的单位，内部网络具有网络覆盖面广、应用复杂、微机数量众多等特点。如何阻止非法用户接入网络、限制企业用户的安全行为、加强内部用户的网络接入控制已成为电力信息网络安全防御体系必须重点考虑的问题。1、网络访问系统的访问权限控制企业在信息资源共享的同时也要阻止非授权用户对企业敏感信息的访问，访问控制的目的是为了保护企业在信息系统中存储和处理信息的安全，它是计算机网络信息安全最重要的核心策略之一,是通过某种途径显式地准许或限制用户、组、角色对信息资源的访问能力和范围的一种方法。由于网络传输的需要，访问控制的研究发展很快，有许多访问控制模型被提出来。建立规范的访问控制模型，是实现严格访问控制策略所必须的。访问控制技术有多种，如基于策略的访问控制、基于角色的访问控制和基于任务的访问控制等。1.1 基于角色的访问控制模型Ferraiolo和Kuhn在1992年提出了如图1所示的基于角色的权限控制模型(Role-Based Access Control，RBAC)，随后得到了广泛的认可和应用。RBAC的基本思想是根据组织视图中不同的职能岗位划分角色，资源访问权限被封装在角色中，用户通过赋予的角色间接地获得访问系统资源和对系统资源进行操作的许可。RBAC模型包含三个实体：用户(User)、角色(Role)和权限(Privilege)。 用户是对数据对象进行操作的主体。 权限是对某一数据对象可操作的权利。 角色的概念源于实际工作中的职务，一个职务就代表了在工作中处理某些事务的权利。在权限管理中，角色被作为中间桥梁将用户和权限联系起来。一个角色可以看成是一组权限的集合。在RBAC模型中，一个用户可以被赋予多个角色，一个角色也可以被赋予多个用户；同样，一个角色可以拥有多项权限，一个权限也可以分配给多个角色。系统可以通过用户具有的角色的权限来判断他可以访问的系统资源和对该资源可进行的操作，这就是RBAC最基本的工作原理。1.2 准入控制技术分为两大类(1)基于网络的准入控制。基于网络的准入控制主要有EAPOL(Extensible Authentication Protocol Over LAN)技术、EAPOU(Extensible Authentication Protocol Over UDP)技术、网络Plug-in技术。(2)基于主机的准入控制。基于主机的准入控制主要有系统及应用准入、客户端准入。该技术在终端接入网络后，能继续管理终端的进程级别网络访问，对已知或未知的蠕虫木马的防治能起到很好的作用。1.3 各种技术特点(1)EAPOL技术EAP是Extensible Authentication Protocol的缩写，EAP最初是用作为PPP的扩展认证协议，使PPP的认证更具安全性。最初的局域网的接入并没有提供安全认证，无线局域网的兴起对接入终端的身份认证提出了新的需求。在基于无线局域网接入领域引入了EAP认证的同时设计了专门封装和传送EAP认证数据的IEEE 802.1x协议格式。(2)EAPOU 技术及工作原理网络准入的概念是由Cisco普及的，Cisco的NAC除了包含EAPOL，还有EAPOU(EAP Over UDP)。与EAPOL是国际标准的协议不同，EAPOU基本上是Cisco的专有协议或独家技术。EAPOL是在网络的接入层进行准入控制，而EAPOU是在网络的汇聚层或核心层进行准入控制。其原理是当支持EAPOU的汇聚层设备接收到终端设备发来的数据包时，汇聚层EAPOU设备将要求终端设备进行EAP认证。EAP认证包封装在UDP包内，在EAP认证的内容中，身份认证其实并不重要，重要的是安全状态认证。如果安全状态不符合企业策略，汇聚层EAPOU设备将从策略服务器上下载ACL，限制不安全的客户端的网络访问，并对其进行修复。2、控制系统设计原则系统设计坚持2个原则：(1)系统要在保持原有网络结构基本不变、网络设备基本不增加的前提下进行系统设计；(2)系统的运行不能对原有正常的网络业务有太明显的影响，保证日常网络业务的正常顺利运行。3、系统组成与功能网络准入控制技术采用模块化设计、平台化支撑的设计思想，整个系统分为准入控制手段、控制支撑、控制决策和应用接口4个层面，系统结构如图2所示。(1)控制手段：网络准入控制采用多种用户身份认证方式，主要包括指纹、用户名、密码、短信平台、智能卡等，生物识别认证需要与用户名、密码、智能卡相关联使用以提高安全性。采用多种认证协议，主要包括802.1x 协议、Portal协议等，对接入网络的所有网络设备、安全设备、终端类等设备进行身份识别与状态检查。(2)控制支撑：包括基础信息数据库代理、终端安全策略代理、资源访问控制策略模块、防病毒代理、补丁代理、DHCP 代理等，为实现用户入网认证、状态评估、补救修复、在线监控和流量限制等策略决策、策略调度提供有力的支撑。(3)控制决策：主要负责接入用户的安全状态评估，做出允许或拒绝用户访问资源的判断；完成策略上报、下发和自主策略协同工作方式；完成与网络设备的联动，实施策略决策。(4)应用接口：负责与应用业务系统的互通。网络准入控制的核心是资源访问控制策略系统，它的主要功能如下： 具有身份认证功能：除了基于指纹、用户名和密码等身份认证外，系统还支持身份与接入终端的MAC地址、IP 地址、所在VLAN 等信息进行绑定，同时支持智能卡、短信平台、数字证书认证，增强身份认证的安全性。 具有系统安全状态评估功能：准入用户可以进行的安全认证检查和内容审计包括终端病毒库版本检查、终端补丁检查、终端安装的应用软件检查、是否有代理、定制绷定等。 具有日志管理功能：对于用户及管理人员的所有操作，包括登录、注销的时间、登录IP 地址以及登录期间进行的任何可能修改系统数据的