网络接入认证控制系统探究

叶水勇

（国网黄山供电公司，安徽 黄山 245000）

0 引言

近年来，黑客技术的发展使得处在计算机信息系统环境下的企业和人们愈加缺乏安全感，越来越多的安全问题来自于企业或机构内部的终端系统［1-2］。人们逐渐意识到，在应对目前网络安全风险和威胁时，不仅需要自顶向下的网络安全体系设计，还需要自底向上保证计算机终端及计算机网络的安全可信，使得网络成为一个可信的应用环境。这其中包括在终端接入前对用户身份进行认证，对终端进行安全测量和评估，对终端可信状态进行审核，确保接入信息系统的终端是一个完全可信的终端。在新技术不断涌现的背景下，如何在不同的网络环境、应用环境以及业务环境的基础上营造信息系统的可信环境空间，是每一个信息安全从业者亟待考虑的问题。

针对存在黑客从网络底层进行最直接、方便快捷攻击的问题，公司根据自身网络运行状况，开展网络接入控制技术（Network Access Control，简称NAC）的研究，以实现对终端设备接入的全过程安全管控。本文以北信源网络接入控制系统为例进行阐述。

1 系统原理

基于终端可信接入一站式解决方案，是北信源公司 “VRV SpecSEC面向网络空间的终端安全管理体系”的重要组成部分［3-4］。系统原理如图1所示，主要包括北信源网络接入控制系统和网络接入控制模型两部分。其中网络接入控制模型包括身份认证、完整性测量、完整性评估、网络访问控制。

北信源网络接入控制系统主要用于解决不可信终端的随意接入可能带来的企业网络及信息资源违规占用、病毒木马泛滥、企业资料泄密以及越权访问等诸多安全问题。这些不可信终端包括企业内部存在风险漏洞的终端 （例如未安装杀毒软件、未安装关键补丁）存在不安全策略配置的终端、未经身份授权的终端、外来未经访问许可的终端、越权访问的终端［5-6］等。

图1 系统原理图

网络接入控制系统采用软硬件结合的方式，以终端验证和终端安全为基础，通过身份认证以及安全域控制等手段，从根本上保证接入网络终端的可信程度，并控制可信计算机的访问权限，为企业的终端入网安全管理提供强有力的保障，降低来自于企业内部的信息安全风险。

2 核心技术

2.1 重定向技术

接入控制的目的是为了阻止不可信终端随意接入网络，对于不可信终端的判定需要一个过程。如何在判定过程中进行良好的提示，这就对产品的人机界面设计提出了较高的要求。业界通常的做法是针对http性质的业务访问进行重定向，以往针对http的业务区分主要基于业务端口（主要为80端口），对于非80业务端口的http业务不能有效区分。针对以上情况，该网络接入控制系统对http业务进行了深度识别，除80端口的http业务可以进行有效重定向之外，针对非80端口的http业务也能进行有效的识别和重定向［7-8］。

2.2 身份认证技术

身份认证是终端可信认证的一个重要环节，随着信息安全技术的不断发展，对身份认证的安全可靠特性也提出了更高的要求［9-10］。身份认证最重要的部分是防伪造、防抵赖，因此身份认证技术也从最初简单的用户名／口令，逐渐发展到证书、生物技术、动态密码以及多因素认证，防止一切可能伪造和抵赖的因素。

为满足不同安全程度的身份认证需求，也为了适应客户网络环境中可能已经存在的身份存储和认证方式，该网络接入控制系统针对各种主流身份认证技术进行了符合性开发，为各种主流身份认证技术提供了认证接口，可以满足当前技术下大部分认证系统的需求。

2.3 安检修复技术

除身份认证外，安检修复也是针对终端可信认证的重要环节，据权威机构研究证明，80%的信息泄密来自于企业或机构的内部计算机终端。由于大部分企业计算机终端的使用人员安全意识薄弱且非计算机专业人员，对于计算机自主安全防护的能力存在一定欠缺，因此造成了很大的泄密隐患［11-12］。

内部终端被动泄密通常是因为终端的安全策略配置不够严谨（例如guest账户开启、弱口令设置以及不正常的注册表键值等），或者计算机本身存在安全漏洞（例如关键补丁未安装、杀毒软件未安装或者病毒库过期）等造成的［13-14］。针对此类情况，该网络接入控制系统采用主动探测和一键修复技术，对入网计算机终端的安全测试进行检查和评分，对存在安全隐患的计算机终端强制禁止入网，并提供一键策略修复技术，解决终端可能存在的不安全隐患，从而实现全网终端的统一安全管理。

3 部署方式

北信源网络接入控制系统能够适应多种不同的网络拓扑环境，具体有两种典型的部署模式：一种为多种模式混合的总分部部署模式，另一种为双星拓扑串接冗余部署模式。系统实施两种典型的总体部署如图2所示。

图2 系统实施总体部署图

电力公司主要通过旁路模式进行部署，这样的部署方式不会影响现行网络的使用。系统旁路部署方式如图3所示。

图3 系统旁路部署方式图

3.1 服务器部署

将策略文件VRVAuthorizeFile.xml替换到桌面终端标准化管理系统安装目录的VRV／VRVEIS／VRVAuthorizeFile的路径下。确认桌面终端标准化管理平台中已存在 “网关接入认证配置”“接入认证策略”“终端健康体检”策略选项。

3.2 认证客户端部署

提前在桌面系统管理平台上通过普通文件分发策略，将网关认证客户端分发到每一个已注册的计算机终端，升级已注册终端。准入网关部署过程中停止普通文件分发策略，同时把策略文件打包到注册程序中。

3.3 准入网关部署

在核心交换机上做镜像配置，将连接汇聚层所使用的端口作为源端口镜像到一个端口上，并将该端口与准入网关使用的镜像端口连接［15］。在交换机上选取一个端口保证其与所有源端口通信，并与准入网关的干扰口连接。

3.4 EDP服务器系统配置

登陆桌面系统管理平台，依次选择“策略中心-安全准入管理-网关接入认证配置”中创建新规则，按照红色区域的描述进行配置。配置完成后将策略保存即可。

4 系统的创新点

4.1 丰富的部署模式适应性强

采用独立硬件设计，支持多种部署模式，可以适应不同的网络拓扑环境。优先采用旁路准入控制部署模式，根据交换机的支持情况可以选择策略路由控制模式和旁路镜像控制模式，在既不支持策略路由也不支持旁路镜像的拓扑情况下，可以采用透明网桥串接模式进行控制。对于无线、路由、HUB以及非网管型交换机的拓扑环境，可以支持NAT穿透和局域网互访访问控制。丰富的部署模式对于不同客户的网络环境适应性非常强，可以将准入控制部署到网络的每一个角落，彻底解决不可信终端接入网络的隐患。

4.2 流程化入网规范统一性强

采用 “注册-身份认证-安全检查-安全隔离／入网”统一规范的入网流程，无论采用何种准入控制机制，都不改变系统的入网流程。当客户网络出现扩容、改造的时候，采用不同的部署模式不会影响用户终端的入网习惯。尤其是采用标准的入网规范，可以从根本上解决终端身份的可信认证、终端用户的可信认证以及终端安全层面可信认证的问题，通过统一入网规范，杜绝来自内部的信息泄密。

4.3 人性化入网提醒可用性强

网络准入控制系统在终端注册、终端身份认证、终端安全检查、安全隔离以及来宾入网的时候都进行人性化提示。避免了终端用户在入网被阻断后无法确定原因的尴尬，同时通过入网提示普及计算机信息安全知识，让终端用户意识到安全入网的重要性。

4.4 基于角色访问控制力强

可以实现基于角色的访问控制，为不同的角色划分不同的安全访问控制域。将所有用户分为企业内部员工和来宾，针对来宾设特定的访问控制权限，同时对于入网安检不合格的用户隔离特殊权限的控制域。实现不同部门不同员工权限区分管理、来宾用户权限定制以及不安全终端的安全修复隔离权限控制，具备非常强大的控制力度。

4.5 来宾自助入网操作性强

针对来宾用户，提供了便捷的入网途径，来宾用户只需提供自己的身份以及接待人员的信息，便可以快捷地接入网络。来宾的网络权限会受到一定的限制，系统支持针对不同的需求制定不同的来宾用户信息填写要求及来宾用户访问控制权限，以避免未知的安全隐患。来宾用户可以通过自助查询等方式获取上网码接入网络，授权管理员可以根据来宾的性质有针对性地授予来宾用户上网权限的生命周期，对来宾入网实现可知、可控、可记录的管理要求。

5 结语

通过网络接入控制系统的实施，实现公司全网内的终端入网设备的安全检查认证，认证未通过的设备禁止访问网络；实现公司全网内的终端入网设备的访问权限管理；实现公司全网内的终端入网设备上网行为的审计；实现公司全网内的终端入网安全及网络的完整性；实现公司全网内的终端日常办公环境的网络接入授权问题并对目前构架进行加固和优化。