圖1 企業(yè)出入管理概圖
表1 企業(yè)對進入人員進行安全管控的樣例
1���、 覆蓋全員的身份管理�����。在企業(yè)入口實施基于證件的身份檢查�����,進入者只有通過身份校驗����,才能賦予訪問企業(yè)的權利。覆蓋全員的身份管理是企業(yè)出入管理的基礎�。
2、 基于策略的安全檢查��。企業(yè)各入口處對進入者根據(jù)既定策略進行身體健康�、攜帶物品的安全檢查,確保其不會對企業(yè)內(nèi)部造成安全威脅�。
3、 基于身份的權限控制��。根據(jù)企業(yè)內(nèi)部行政區(qū)域保密要求����,根據(jù)訪問者的身份進行權限限制,杜絕越權訪問敏感區(qū)域的行為�。
4、 全程審計和監(jiān)控:結合門禁系統(tǒng)�、攝像頭等對企業(yè)出入情況進行全面監(jiān)控,保證回溯有據(jù)�����。
由此可見����,身份管理�����、安全檢查�����、權限控制、監(jiān)控審計是保障企業(yè)安全的四個關鍵點�,企業(yè)網(wǎng)絡對終端實施全面的安全控制同樣遵循類似的原則(如圖2所示)。
對企業(yè)終端接入網(wǎng)絡的管理最關鍵的一點就是建立覆蓋全員的身份管理�����,通過建立用戶實名管理機制�����,所有的用戶����、接入終端都必須實名接入網(wǎng)絡。通過該管理機制����,可以彌補現(xiàn)實與網(wǎng)絡虛擬世界之間的鴻溝�����,以便保證網(wǎng)絡中的安全問題都可以精確定位和追根溯源�,這樣就可以建立對網(wǎng)絡違規(guī)和非法行為的威懾力���,確保用戶在網(wǎng)絡的各項行為都嚴格按照管理要求進行��,最終消除內(nèi)網(wǎng)安全問題的隱患�?;? RADIUS協(xié)議的終端準入控制技術是業(yè)界成熟的終端實名接入控制方案。終端準入控制系統(tǒng)為企業(yè)所有員工����、外部員工、訪客(提供訪客登記管理)分配基于真實身份的接入賬號�����。接入者使用企業(yè)終端通過802.1X����、Web Portal、VPN等接入方式訪問網(wǎng)絡時���,必須輸入真實的賬號和密碼�����,經(jīng)終端準入控制系統(tǒng)驗證后��,才允許接入企業(yè)網(wǎng)絡�����。
除基本的身份驗證外���,終端準入控制系統(tǒng)還可對接入終端實施安全檢查,對于不符合企業(yè)既定安全策略的終端通過網(wǎng)絡隔離�、拒絕接入等方式處理,阻斷不安全終端對企業(yè)網(wǎng)絡的影響����。
接入終端通過身份認證和安全檢查后,終端準入控制系統(tǒng)根據(jù)接入終端的身份����,對接入的網(wǎng)絡設備下發(fā)VLAN、ACL來控制終端的網(wǎng)絡訪問范圍�����,防止接入終端對網(wǎng)絡的越權訪問。
終端準入控制系統(tǒng)提供對終端接入的監(jiān)控和審計�����,管理員不僅可以看到接入終端的實時在線狀態(tài)����,還可以通過下線、黑名單等手段對終端進行實時控制�����。如圖2所示��,通過終端準入控制技術的實施����,企業(yè)統(tǒng)一身份的策略中心得以提供企業(yè)運營策略與網(wǎng)絡之間策略詮釋,也使得企業(yè)運營策略可以被快速部署到網(wǎng)絡接入的不同層面���。而網(wǎng)絡層面結合人物角色�、接入終端、接入方式等確保運營業(yè)務與接入者身份的關聯(lián)性�����。
圖2 企業(yè)網(wǎng)絡運營策略通過終端準入控制得以實施
1.2 剖析多類型終端的準入控制
終端準入控制在企業(yè)的部署雖然保證了企業(yè)終端接入網(wǎng)絡時����,都必須經(jīng)過身份認證、安全檢查��、權限控制��、監(jiān)控審計四個層面的安全控制�,但是由于企業(yè)終端類型的多樣性,實施的身份驗證方法���、接入方式、安全策略也往往有所差異�����。簡單來說�����,如圖3所示,企業(yè)終端可分為PC�����、服務器���、啞終端���、移動智能終端四種類型,下面具體介紹每種類型的終端對應的準入控制方式����。
圖3 企業(yè)終端類型
1.2.1 對PC的終端準入控制
大多數(shù)企業(yè)采用安裝了Windows操作系統(tǒng)的臺式機、便攜機作為辦公電腦����。網(wǎng)絡接入方式上以有線網(wǎng)絡及VPN為主體,而無線網(wǎng)絡作為輔助�����。這種情況下�����,對于PC的網(wǎng)絡接入管理一般采用為PC安裝安全認證代理方式,根據(jù)企業(yè)網(wǎng)絡接入控制點的位置����,靈活采用802.1X、Web Portal�、L2TP VPN等方式接入網(wǎng)絡。在這種認證環(huán)境下�����,身份認證的手段也非常多樣�����,除了傳統(tǒng)的用戶名/密碼認證外��,對于需要特殊管控的賬號�,可以要求采用智能卡、數(shù)字證書等方式進行身份認證���。同時可以要求PC在認證時提供“綁定信息”作為身份標識的附屬品,例如IP����、MAC地址、接入設備的IP和端口、主機的域用戶名及計算機名等�。
Windows主機是目前存在最多安全隱患的操作系統(tǒng),因此對其網(wǎng)絡接入后的安全檢查需要是最嚴格的����,一般需要檢查的項目有:
·防病毒軟件的安裝及版本升級;
·系統(tǒng)漏洞的修復;
·注冊表監(jiān)控;
·黑白軟件的安裝、運行;
·操作系統(tǒng)弱密碼;
·多網(wǎng)卡��、內(nèi)網(wǎng)外聯(lián)的能力���。
如果某終端不符合企業(yè)既定的安全策略,準入控制系統(tǒng)應通過隔離����、下線等手段控制該終端接入企業(yè)的正常網(wǎng)絡,阻止該終端對企業(yè)網(wǎng)絡帶來潛在的安全威脅�����。
對于Linux、Mac OS這些操作系統(tǒng),安全漏洞則相對較少�����,因此對這些操作系統(tǒng)的安全檢查項相對簡單�,主要包括:
·防病毒軟件的安裝;
·軟件進程、服務�、文件的檢查。
終端經(jīng)過身份認證�、安全檢查接入網(wǎng)絡后�����,可根據(jù)其身份下發(fā)已配置的VLAN、ACL到接入設備的端口上,對接入終端進行訪問權限控制�����。對于某些網(wǎng)絡精細化的管理要求���,還可配置主機防火墻規(guī)則下發(fā)到終端安裝的安全代理軟件上�����,對接入終端的訪問行為進行嚴格管控。
1.2.2 對服務器的終端準入控制
企業(yè)中的服務器一般是統(tǒng)一放置在數(shù)據(jù)中心的機房內(nèi)��,網(wǎng)絡接入控制不能套用PC機的接入控制方式。服務器的IP地址���、接入的設備端口一般都是固定不變的���,對于網(wǎng)絡的穩(wěn)定性要求上比較高,出現(xiàn)網(wǎng)絡通斷會對運行于其上的業(yè)務系統(tǒng)造成重大影響�。因此�����,服務器并不能使用傳統(tǒng)的802.1X�、Web Portal認證的方式去統(tǒng)一管理。
對于服務器接入這種情況�����,可通過管理系統(tǒng)的IP MAC綁定技術進行控制。通過在管理系統(tǒng)上配置服務器MAC地址與接入設備的IP����、端口綁定��,實行“白名單”制度�。
管理系統(tǒng)會根據(jù)制定的白名單對接入服務器的設備進行自動掃描��,當發(fā)現(xiàn)某端口上的接入MAC不屬于“白名單”范圍內(nèi)時�,一方面會產(chǎn)生“異常接入明細”和告警向管理員進行報告���,另一方面可根據(jù)已配置的處理策略�,對非法接入的端口進行關閉�����,以避免非法的終端利用服務器的“免認證”漏洞接入企業(yè)網(wǎng)絡。
1.2.3 對啞終端的終端準入控制
企業(yè)網(wǎng)絡中非傳統(tǒng)IP設備�����,即啞終端的數(shù)量和種類在不斷地增加��,例如打印機���、IP電話等�����,這些設備一般安放在企業(yè)的多個位置。由于這些啞終端并無通用操作系統(tǒng)�����,因此無法通過802.1X或Web Portal認證對其進行準入控制��。但如果將啞終端的接入端口設置為免認證��,這無疑給企業(yè)網(wǎng)絡的全面接入控制留下了一個漏洞。企業(yè)內(nèi)部人員可以利用該免認證端口接入PC�,從而逃避企業(yè)準入控制的安全要求。因此�����,啞終端也應該擁有身份信息,并對其網(wǎng)絡接入權限進行控制�����。
啞終端設備可以采用MAC地址認證技術進行網(wǎng)絡接入認證�,即把啞終端的MAC地址作為其身份到企業(yè)準入控制系統(tǒng)進行統(tǒng)一認證�。在啞終端接入企業(yè)網(wǎng)絡時����,接入設備在首次檢測到啞終端的MAC地址以后����,接入設備將作為RADIUS客戶端�����,將檢測到的用戶MAC地址作為用戶名和密碼發(fā)送給企業(yè)準入控制系統(tǒng)����,與企業(yè)準入控制系統(tǒng)配合完成MAC地址認證操作��。企業(yè)準入控制系統(tǒng)完成對該MAC地址的認證后�����,認證通過的啞終端可以訪問網(wǎng)絡��。
由于啞終端無通用操作系統(tǒng)��,故其自身很少存在危害企業(yè)網(wǎng)絡的安全漏洞�����。因此對啞終端的安全控制主要體現(xiàn)在對它接入企業(yè)網(wǎng)絡后的訪問范圍���。通過身份認證后���,如果在準入控制系統(tǒng)上配置了啞終端受限的VLAN或ACL,則接入設備會根據(jù)準入控制系統(tǒng)授權的VLAN或ACL對用戶所在的端口進行控制�����,從而限制其訪問范圍。
1.2.4 對移動智能終端的終端準入控制
iPhone��、iPad���、BlackBerry到Android����,智能終端的興起已經(jīng)是不可阻擋的趨勢��,似乎每周都會有一個新的移動設備誕生�。如果企業(yè)搭建了無線網(wǎng)絡,公司員工就會試圖把這些智能手機�、平板電腦接入企業(yè)的無線網(wǎng)絡��,企業(yè)不得不面對移動智能終端引入的安全風險���。如何對這些移動智能終端進行網(wǎng)絡接入控制����,答案還是只有一個:將移動終端納入基于身份的終端接入認證體系����。
由于不能在智能手機����、平板電腦上安裝智能客戶端對其進行網(wǎng)絡認證和安全控制����。所以移動智能終端一般通過基于無線的Web Portal認證來接入企業(yè)網(wǎng)絡。當用戶在移動智能終端瀏覽器中輸入訪問的URL時���,接入控制設備會將重定向至企業(yè)內(nèi)部的Web認證頁面����,只有輸入分配給智能終端的賬號����、密碼進行驗證后,該智能終端才可接入企業(yè)網(wǎng)絡���。為進一步保證合法智能終端才能接入企業(yè)無線網(wǎng)絡�,身份認證時可以要求綁定接入的SSID����、智能終端的IP地址以及交換機端口等��,確保智能終端網(wǎng)絡身份的真實性�����。由于對移動終端的技術控制���,目前業(yè)界還未行成相應的標準,因此對智能終端應該通過對接入設備下發(fā)VLAN或ACL來嚴格控制其訪問范圍�����,盡量減小智能終端對企業(yè)網(wǎng)絡的影響���。
智能終端系統(tǒng)�,從蘋果的iOS到谷歌的Android等等�,目前所呈現(xiàn)的安全漏洞問題并不多,當下很難對企業(yè)網(wǎng)絡產(chǎn)生沖擊����。因此目前的階段���,對移動終端的主機安全可以不作安全檢查要求���。但是隨著移動智能終端在企業(yè)網(wǎng)絡的不斷普及��,其自身的安全性將逐漸成為企業(yè)網(wǎng)絡值得重視的問題��。
1.3 結束語
終端準入控制技術徹底改變了原有網(wǎng)絡安全管理與用戶管理���、終端管理相脫節(jié)的局面,通過建立終端��、用戶與網(wǎng)絡之間接入控制系統(tǒng)��,構建起網(wǎng)絡安全防御環(huán)���,從而革命性地改變了企業(yè)網(wǎng)絡架構�����,使企業(yè)網(wǎng)絡的安全性上了一個新的臺階����。
終端管理問題千頭萬緒�,但只要抓住準入這一關鍵點,保證終端安全制度可以實施起來��,讓每個用戶都養(yǎng)成良好的習慣,并融入其他的安全技術和管理技術���,建立主動防御的安全體系�����,在實踐中不斷完善���,這就是終端安全管理的可行之道。
終端安全管理���,從終端準入控制開始��。
