圖1 企業(yè)出入管理概圖
表1 企業(yè)對(duì)進(jìn)入人員進(jìn)行安全管控的樣例
1�、 覆蓋全員的身份管理��。在企業(yè)入口實(shí)施基于證件的身份檢查�����,進(jìn)入者只有通過(guò)身份校驗(yàn)��,才能賦予訪問(wèn)企業(yè)的權(quán)利�。覆蓋全員的身份管理是企業(yè)出入管理的基礎(chǔ)。
2����、 基于策略的安全檢查。企業(yè)各入口處對(duì)進(jìn)入者根據(jù)既定策略進(jìn)行身體健康、攜帶物品的安全檢查����,確保其不會(huì)對(duì)企業(yè)內(nèi)部造成安全威脅。
3�����、 基于身份的權(quán)限控制����。根據(jù)企業(yè)內(nèi)部行政區(qū)域保密要求,根據(jù)訪問(wèn)者的身份進(jìn)行權(quán)限限制�����,杜絕越權(quán)訪問(wèn)敏感區(qū)域的行為���。
4�、 全程審計(jì)和監(jiān)控:結(jié)合門禁系統(tǒng)��、攝像頭等對(duì)企業(yè)出入情況進(jìn)行全面監(jiān)控��,保證回溯有據(jù)�����。
由此可見(jiàn)����,身份管理、安全檢查�、權(quán)限控制、監(jiān)控審計(jì)是保障企業(yè)安全的四個(gè)關(guān)鍵點(diǎn)����,企業(yè)網(wǎng)絡(luò)對(duì)終端實(shí)施全面的安全控制同樣遵循類似的原則(如圖2所示)。
對(duì)企業(yè)終端接入網(wǎng)絡(luò)的管理最關(guān)鍵的一點(diǎn)就是建立覆蓋全員的身份管理�����,通過(guò)建立用戶實(shí)名管理機(jī)制���,所有的用戶���、接入終端都必須實(shí)名接入網(wǎng)絡(luò)。通過(guò)該管理機(jī)制���,可以彌補(bǔ)現(xiàn)實(shí)與網(wǎng)絡(luò)虛擬世界之間的鴻溝����,以便保證網(wǎng)絡(luò)中的安全問(wèn)題都可以精確定位和追根溯源,這樣就可以建立對(duì)網(wǎng)絡(luò)違規(guī)和非法行為的威懾力���,確保用戶在網(wǎng)絡(luò)的各項(xiàng)行為都嚴(yán)格按照管理要求進(jìn)行���,最終消除內(nèi)網(wǎng)安全問(wèn)題的隱患?�;? RADIUS協(xié)議的終端準(zhǔn)入控制技術(shù)是業(yè)界成熟的終端實(shí)名接入控制方案��。終端準(zhǔn)入控制系統(tǒng)為企業(yè)所有員工�、外部員工、訪客(提供訪客登記管理)分配基于真實(shí)身份的接入賬號(hào)��。接入者使用企業(yè)終端通過(guò)802.1X����、Web Portal、VPN等接入方式訪問(wèn)網(wǎng)絡(luò)時(shí)���,必須輸入真實(shí)的賬號(hào)和密碼��,經(jīng)終端準(zhǔn)入控制系統(tǒng)驗(yàn)證后,才允許接入企業(yè)網(wǎng)絡(luò)。
除基本的身份驗(yàn)證外����,終端準(zhǔn)入控制系統(tǒng)還可對(duì)接入終端實(shí)施安全檢查,對(duì)于不符合企業(yè)既定安全策略的終端通過(guò)網(wǎng)絡(luò)隔離��、拒絕接入等方式處理���,阻斷不安全終端對(duì)企業(yè)網(wǎng)絡(luò)的影響�。
接入終端通過(guò)身份認(rèn)證和安全檢查后����,終端準(zhǔn)入控制系統(tǒng)根據(jù)接入終端的身份,對(duì)接入的網(wǎng)絡(luò)設(shè)備下發(fā)VLAN��、ACL來(lái)控制終端的網(wǎng)絡(luò)訪問(wèn)范圍����,防止接入終端對(duì)網(wǎng)絡(luò)的越權(quán)訪問(wèn)。
終端準(zhǔn)入控制系統(tǒng)提供對(duì)終端接入的監(jiān)控和審計(jì)��,管理員不僅可以看到接入終端的實(shí)時(shí)在線狀態(tài)����,還可以通過(guò)下線�����、黑名單等手段對(duì)終端進(jìn)行實(shí)時(shí)控制�����。如圖2所示��,通過(guò)終端準(zhǔn)入控制技術(shù)的實(shí)施�����,企業(yè)統(tǒng)一身份的策略中心得以提供企業(yè)運(yùn)營(yíng)策略與網(wǎng)絡(luò)之間策略詮釋��,也使得企業(yè)運(yùn)營(yíng)策略可以被快速部署到網(wǎng)絡(luò)接入的不同層面����。而網(wǎng)絡(luò)層面結(jié)合人物角色�、接入終端、接入方式等確保運(yùn)營(yíng)業(yè)務(wù)與接入者身份的關(guān)聯(lián)性���。
圖2 企業(yè)網(wǎng)絡(luò)運(yùn)營(yíng)策略通過(guò)終端準(zhǔn)入控制得以實(shí)施
1.2 剖析多類型終端的準(zhǔn)入控制
終端準(zhǔn)入控制在企業(yè)的部署雖然保證了企業(yè)終端接入網(wǎng)絡(luò)時(shí)��,都必須經(jīng)過(guò)身份認(rèn)證�����、安全檢查�、權(quán)限控制�����、監(jiān)控審計(jì)四個(gè)層面的安全控制�,但是由于企業(yè)終端類型的多樣性,實(shí)施的身份驗(yàn)證方法���、接入方式��、安全策略也往往有所差異�。簡(jiǎn)單來(lái)說(shuō)��,如圖3所示�����,企業(yè)終端可分為PC���、服務(wù)器�����、啞終端�、移動(dòng)智能終端四種類型,下面具體介紹每種類型的終端對(duì)應(yīng)的準(zhǔn)入控制方式���。
圖3 企業(yè)終端類型
1.2.1 對(duì)PC的終端準(zhǔn)入控制
大多數(shù)企業(yè)采用安裝了Windows操作系統(tǒng)的臺(tái)式機(jī)��、便攜機(jī)作為辦公電腦���。網(wǎng)絡(luò)接入方式上以有線網(wǎng)絡(luò)及VPN為主體,而無(wú)線網(wǎng)絡(luò)作為輔助����。這種情況下,對(duì)于PC的網(wǎng)絡(luò)接入管理一般采用為PC安裝安全認(rèn)證代理方式��,根據(jù)企業(yè)網(wǎng)絡(luò)接入控制點(diǎn)的位置���,靈活采用802.1X�、Web Portal����、L2TP VPN等方式接入網(wǎng)絡(luò)��。在這種認(rèn)證環(huán)境下��,身份認(rèn)證的手段也非常多樣��,除了傳統(tǒng)的用戶名/密碼認(rèn)證外��,對(duì)于需要特殊管控的賬號(hào),可以要求采用智能卡�����、數(shù)字證書(shū)等方式進(jìn)行身份認(rèn)證�。同時(shí)可以要求PC在認(rèn)證時(shí)提供“綁定信息”作為身份標(biāo)識(shí)的附屬品,例如IP�、MAC地址、接入設(shè)備的IP和端口�����、主機(jī)的域用戶名及計(jì)算機(jī)名等���。
Windows主機(jī)是目前存在最多安全隱患的操作系統(tǒng)���,因此對(duì)其網(wǎng)絡(luò)接入后的安全檢查需要是最嚴(yán)格的�,一般需要檢查的項(xiàng)目有:
·防病毒軟件的安裝及版本升級(jí);
·系統(tǒng)漏洞的修復(fù);
·注冊(cè)表監(jiān)控;
·黑白軟件的安裝��、運(yùn)行;
·操作系統(tǒng)弱密碼;
·多網(wǎng)卡����、內(nèi)網(wǎng)外聯(lián)的能力。
如果某終端不符合企業(yè)既定的安全策略����,準(zhǔn)入控制系統(tǒng)應(yīng)通過(guò)隔離、下線等手段控制該終端接入企業(yè)的正常網(wǎng)絡(luò)���,阻止該終端對(duì)企業(yè)網(wǎng)絡(luò)帶來(lái)潛在的安全威脅�����。
對(duì)于Linux��、Mac OS這些操作系統(tǒng)�,安全漏洞則相對(duì)較少����,因此對(duì)這些操作系統(tǒng)的安全檢查項(xiàng)相對(duì)簡(jiǎn)單,主要包括:
·防病毒軟件的安裝;
·軟件進(jìn)程、服務(wù)�����、文件的檢查���。
終端經(jīng)過(guò)身份認(rèn)證��、安全檢查接入網(wǎng)絡(luò)后�����,可根據(jù)其身份下發(fā)已配置的VLAN、ACL到接入設(shè)備的端口上�����,對(duì)接入終端進(jìn)行訪問(wèn)權(quán)限控制��。對(duì)于某些網(wǎng)絡(luò)精細(xì)化的管理要求�����,還可配置主機(jī)防火墻規(guī)則下發(fā)到終端安裝的安全代理軟件上�,對(duì)接入終端的訪問(wèn)行為進(jìn)行嚴(yán)格管控。
1.2.2 對(duì)服務(wù)器的終端準(zhǔn)入控制
企業(yè)中的服務(wù)器一般是統(tǒng)一放置在數(shù)據(jù)中心的機(jī)房?jī)?nèi),網(wǎng)絡(luò)接入控制不能套用PC機(jī)的接入控制方式�����。服務(wù)器的IP地址�、接入的設(shè)備端口一般都是固定不變的,對(duì)于網(wǎng)絡(luò)的穩(wěn)定性要求上比較高���,出現(xiàn)網(wǎng)絡(luò)通斷會(huì)對(duì)運(yùn)行于其上的業(yè)務(wù)系統(tǒng)造成重大影響��。因此�����,服務(wù)器并不能使用傳統(tǒng)的802.1X����、Web Portal認(rèn)證的方式去統(tǒng)一管理����。
對(duì)于服務(wù)器接入這種情況,可通過(guò)管理系統(tǒng)的IP MAC綁定技術(shù)進(jìn)行控制��。通過(guò)在管理系統(tǒng)上配置服務(wù)器MAC地址與接入設(shè)備的IP���、端口綁定���,實(shí)行“白名單”制度�����。
管理系統(tǒng)會(huì)根據(jù)制定的白名單對(duì)接入服務(wù)器的設(shè)備進(jìn)行自動(dòng)掃描����,當(dāng)發(fā)現(xiàn)某端口上的接入MAC不屬于“白名單”范圍內(nèi)時(shí)�,一方面會(huì)產(chǎn)生“異常接入明細(xì)”和告警向管理員進(jìn)行報(bào)告,另一方面可根據(jù)已配置的處理策略�,對(duì)非法接入的端口進(jìn)行關(guān)閉,以避免非法的終端利用服務(wù)器的“免認(rèn)證”漏洞接入企業(yè)網(wǎng)絡(luò)�����。
1.2.3 對(duì)啞終端的終端準(zhǔn)入控制
企業(yè)網(wǎng)絡(luò)中非傳統(tǒng)IP設(shè)備���,即啞終端的數(shù)量和種類在不斷地增加,例如打印機(jī)����、IP電話等,這些設(shè)備一般安放在企業(yè)的多個(gè)位置。由于這些啞終端并無(wú)通用操作系統(tǒng)��,因此無(wú)法通過(guò)802.1X或Web Portal認(rèn)證對(duì)其進(jìn)行準(zhǔn)入控制�����。但如果將啞終端的接入端口設(shè)置為免認(rèn)證��,這無(wú)疑給企業(yè)網(wǎng)絡(luò)的全面接入控制留下了一個(gè)漏洞����。企業(yè)內(nèi)部人員可以利用該免認(rèn)證端口接入PC,從而逃避企業(yè)準(zhǔn)入控制的安全要求�����。因此��,啞終端也應(yīng)該擁有身份信息�,并對(duì)其網(wǎng)絡(luò)接入權(quán)限進(jìn)行控制。
啞終端設(shè)備可以采用MAC地址認(rèn)證技術(shù)進(jìn)行網(wǎng)絡(luò)接入認(rèn)證�����,即把啞終端的MAC地址作為其身份到企業(yè)準(zhǔn)入控制系統(tǒng)進(jìn)行統(tǒng)一認(rèn)證�。在啞終端接入企業(yè)網(wǎng)絡(luò)時(shí)�����,接入設(shè)備在首次檢測(cè)到啞終端的MAC地址以后���,接入設(shè)備將作為RADIUS客戶端,將檢測(cè)到的用戶MAC地址作為用戶名和密碼發(fā)送給企業(yè)準(zhǔn)入控制系統(tǒng)���,與企業(yè)準(zhǔn)入控制系統(tǒng)配合完成MAC地址認(rèn)證操作�。企業(yè)準(zhǔn)入控制系統(tǒng)完成對(duì)該MAC地址的認(rèn)證后���,認(rèn)證通過(guò)的啞終端可以訪問(wèn)網(wǎng)絡(luò)�����。
由于啞終端無(wú)通用操作系統(tǒng)��,故其自身很少存在危害企業(yè)網(wǎng)絡(luò)的安全漏洞����。因此對(duì)啞終端的安全控制主要體現(xiàn)在對(duì)它接入企業(yè)網(wǎng)絡(luò)后的訪問(wèn)范圍���。通過(guò)身份認(rèn)證后���,如果在準(zhǔn)入控制系統(tǒng)上配置了啞終端受限的VLAN或ACL,則接入設(shè)備會(huì)根據(jù)準(zhǔn)入控制系統(tǒng)授權(quán)的VLAN或ACL對(duì)用戶所在的端口進(jìn)行控制��,從而限制其訪問(wèn)范圍���。
1.2.4 對(duì)移動(dòng)智能終端的終端準(zhǔn)入控制
iPhone��、iPad��、BlackBerry到Android����,智能終端的興起已經(jīng)是不可阻擋的趨勢(shì)���,似乎每周都會(huì)有一個(gè)新的移動(dòng)設(shè)備誕生��。如果企業(yè)搭建了無(wú)線網(wǎng)絡(luò)����,公司員工就會(huì)試圖把這些智能手機(jī)�����、平板電腦接入企業(yè)的無(wú)線網(wǎng)絡(luò),企業(yè)不得不面對(duì)移動(dòng)智能終端引入的安全風(fēng)險(xiǎn)��。如何對(duì)這些移動(dòng)智能終端進(jìn)行網(wǎng)絡(luò)接入控制��,答案還是只有一個(gè):將移動(dòng)終端納入基于身份的終端接入認(rèn)證體系��。
由于不能在智能手機(jī)��、平板電腦上安裝智能客戶端對(duì)其進(jìn)行網(wǎng)絡(luò)認(rèn)證和安全控制���。所以移動(dòng)智能終端一般通過(guò)基于無(wú)線的Web Portal認(rèn)證來(lái)接入企業(yè)網(wǎng)絡(luò)����。當(dāng)用戶在移動(dòng)智能終端瀏覽器中輸入訪問(wèn)的URL時(shí)����,接入控制設(shè)備會(huì)將重定向至企業(yè)內(nèi)部的Web認(rèn)證頁(yè)面,只有輸入分配給智能終端的賬號(hào)����、密碼進(jìn)行驗(yàn)證后,該智能終端才可接入企業(yè)網(wǎng)絡(luò)�。為進(jìn)一步保證合法智能終端才能接入企業(yè)無(wú)線網(wǎng)絡(luò),身份認(rèn)證時(shí)可以要求綁定接入的SSID、智能終端的IP地址以及交換機(jī)端口等����,確保智能終端網(wǎng)絡(luò)身份的真實(shí)性�����。由于對(duì)移動(dòng)終端的技術(shù)控制�����,目前業(yè)界還未行成相應(yīng)的標(biāo)準(zhǔn)����,因此對(duì)智能終端應(yīng)該通過(guò)對(duì)接入設(shè)備下發(fā)VLAN或ACL來(lái)嚴(yán)格控制其訪問(wèn)范圍,盡量減小智能終端對(duì)企業(yè)網(wǎng)絡(luò)的影響���。
智能終端系統(tǒng)���,從蘋(píng)果的iOS到谷歌的Android等等,目前所呈現(xiàn)的安全漏洞問(wèn)題并不多�,當(dāng)下很難對(duì)企業(yè)網(wǎng)絡(luò)產(chǎn)生沖擊。因此目前的階段�,對(duì)移動(dòng)終端的主機(jī)安全可以不作安全檢查要求。但是隨著移動(dòng)智能終端在企業(yè)網(wǎng)絡(luò)的不斷普及���,其自身的安全性將逐漸成為企業(yè)網(wǎng)絡(luò)值得重視的問(wèn)題�。
1.3 結(jié)束語(yǔ)
終端準(zhǔn)入控制技術(shù)徹底改變了原有網(wǎng)絡(luò)安全管理與用戶管理、終端管理相脫節(jié)的局面�����,通過(guò)建立終端���、用戶與網(wǎng)絡(luò)之間接入控制系統(tǒng)����,構(gòu)建起網(wǎng)絡(luò)安全防御環(huán)���,從而革命性地改變了企業(yè)網(wǎng)絡(luò)架構(gòu)���,使企業(yè)網(wǎng)絡(luò)的安全性上了一個(gè)新的臺(tái)階。
終端管理問(wèn)題千頭萬(wàn)緒�����,但只要抓住準(zhǔn)入這一關(guān)鍵點(diǎn)��,保證終端安全制度可以實(shí)施起來(lái),讓每個(gè)用戶都養(yǎng)成良好的習(xí)慣���,并融入其他的安全技術(shù)和管理技術(shù)�,建立主動(dòng)防御的安全體系�����,在實(shí)踐中不斷完善����,這就是終端安全管理的可行之道��。
終端安全管理�,從終端準(zhǔn)入控制開(kāi)始。
