信息系统是现代企业不可缺少的重要技术设施,计算机则已经成为了不可或缺的办公及生产工具。数量众多、应用广泛的计算机终端的维护和管理对于众多企业都是一件难事。一方面,由于计算机病毒、木马和蠕虫的不断出现、攻击事件时有发生,终端系统必须经常升级和更新配置,才能增强对这些安全威胁的抵抗。但终端使用者在计算机操作方面的专业素养参差不齐,再加上个人的安全知识、安全意识以及个人习惯的不同,往往难以独立保证终端系统的安全运行。另一方面,企业制订出符合业务安全标准的安全策略需要有比较丰富的安全管理实践和深厚的安全技术基础。即使企业制订出了完善的安全策略,但是如果没有合适的技术工具的配合,就难以保证每个终端都会快速准确地按照企业制订的策略进行安全部署, IT 管理人员也难以实时跟踪实施情况,导致安全策略难以有效执行下去,安全策略成为一纸空文。
一些传统的认证方式也可以达到一定的效果,但其存在的弊端制约了其在内部网络的发展。如传统的PPPoE 认证系统,认证过程需要把每个网络包拆解,才能识别和判断用户的合法性。大量的拆包解包过程必然需要硬件配置较高的宽带接入服务器来完成,伴随而来的是网络建设成本的上升。接入服务器拆封并转发每个用户的数据包,一旦用户并发增多,还会造成网络访问的瓶颈。其他认证方式,如Web/Portal认证方式,虽然不需要特定的客户端软件,部署方便,同时可提供Portal 等增值业务。但缺点是其协议承载于应用层,一般采用出口网关设备,对内部网络来说,存在安全隐患,如论坛中的过激言论或是IP 攻击服务器等行为都无法追踪源 。而基于端口的访问控制协议认证,即802.1X 认证方式,在局域网接入设备的端口这一级对所接入的接入设备进行认证和控制。802.1X协议为二层协议,对设备的整体性能要求不高,可以有效降低网络建设成本,采用“可控端口冶和“不可控端口冶的逻辑功能,从而可以实现业务流与认证流分离,有利于解决网络瓶颈。
1、802.1X 协议
802.1X 协议是一种基于端口的网络接入控制协议。“基于端口的网络接入控制冶指的是对接入内网的计算机、工程师站等网络设备,在接入设备端口这一级进行网络认证和控制。连接在接入设备端口上的用户设备如果能通过网络安全认证,就可以访问网络;反之若不能通过认证,则无法接入网络,访问网络资源。
1.1 802.1X 的体系结构
使用802.1X 的系统,为典型的C/ S体系架构, 如图1 所示分别为: Supplicant System(客户端系统)、Authenticator System(认证设备系统) 以及Authentication Server System(认证服务系统)。
(1)客户端系统是位于内部网络的一个实体,当其需要接入网络时,由位于该内部网络的认证设备系统对其进行接入认证。客户端系统一般为用户终端设备,用户需要在其终端上安装支持EAPOL(Extensible Authentication Protocol Over LAN,基于局域网的扩展认证协议)协议的软件,进行802.1X认证。
(2)认证设备系统是用于对所连接的客户端系统安全认证的另一实体,也位于内部网络。认证设备系统为客户端系统提供内网认证接入端口,可以是逻辑端口,也可以是物理端口,认证设备系统一般为支持802.1X 协议的网络设备。
(3)认证服务器系统是为认证设备系统提供认证服务的实体,认证服务器系统一般为RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器,用于实现接入网络用户的认证、授权和计费,认证服务器存储了用户接入网络的关键信息,一般包含用户的上网账号、上网密码、接入用户所在的虚拟局域网、服务优先级、访问控制列表等信息。
1.2 802.1X 的工作机制
802.1X 认证系统在客户端系统和认证服务器系统之间交换认证信息,主要用到EAP(Extensible Authentication Protocol,扩展认证协议) 协议。在客户端系统PAE(Port Access Entity,端口访问实体)与认证设备系统端口访问实体之间,如果是局域网环境,则扩展认证协议报文使用基于局域网的EAPOL 封装格式,直接承载于局域网环境当中。
图2 为802.1X 认证系统的工作机制。
(1)在认证设备系统端口访问实体与RADIUS 服务器之间,扩展认证协议报文既可以使用EAPOR(EAP Over RADIUS, 基于RADIUS 的扩展认证协议)封装格式,承载于RADIUS协议中;也可以由设备端端口访问实体终结,转而在设备端端口访问实体与RADIUS 服务器之间传送其它协议,如PAP协议报文或CHAP 协议报文。
(2)当用户发送认证消息后,接收来自认证服务器的消息,同时接收用户网络权限相关信息,认证设备系统端口访问实体根据RADIUS 服务器通过或未通过指示,控制端口的授权状态。用户可接入网络,说明已经通过网络安全认证,端口由非授权转变为授权状态;用户无法接入网络,则会有返回信息提示没有通过认证,这时受控端口状态不变,仍然为非授权状态。
2、应用实例
某设计院设有8 个职能管理部门,8 个工程设计研究所和1 个工程咨询分公司,设计院原有网络设计为内网终端通过代理服务器对IP 地址进行认证,认证通过后授权接入Internet,这样的网络设计只能控制终端能否访问Internet,无法对控制终端能否接入内部网络。外来用户只要知道IP 地址,就可以随意接入内部网络,造成内部机密文件外泄。
2.1 需求分析
针对存在的安全问题,该设计院对新的网络建设提出了以下几点需求:
(1)方便易用,部署灵活,配置简单;
(2)能对终端接入控制功能,不同用户不同权限,保障企业内网安全;
(3)能够对终端用户身份合法性认证检查,阻断非法用户访问内部网络;
(4)能够检查终端的安全性,隔离并修复不安全终端,保障内部网络免受病毒侵害;
(5)能够对内部制定的安全策略强制执行,加强信息安全管理;
(6)能对用户行为监控和审计,防止信息泄密;
(7)能对交换机、路由器、防火墙等网络设备进行统一管理。
2.2 网络拓扑
针对该设计研究院的以上需求,以优化网络结构,提升网络性能为目的,设计网络拓扑结构如图3 所示。整体采用星型拓扑结构,以办公楼五楼机房为网络中心,配置核心交换机1 台,汇聚交换机3 台,每层楼配置接入交换机2 台。两台服务器直接接入核心交换机,分别是防病毒管理服务器和网络智能管理平台服务器,网络智能管理平台服务器主要作用是用户的接入认证管理。防火墙配置DMZ 区域放置Web 服务器提供对外网的Web 访问服务。
2.3 终端安全系统的部署
终端安全系统对接入内部网络用户的终端设备,实施安全检查后的网络准入策略,通过安装在用户终端上的客户端软件、服务器端的安全策略组件、网络层面的网络接入设备以及和第三方软件的互动,多方面入手,严格控制用户使用的网络的权限,从而达到加强用户终端主动防御能力,保护内部网络安全的目的。
系统包含两台服务器,分别安装智能管理中心服务器和防病毒服务器,用户终端强制安装802.1X 安全客户端。对接入交换机配置802.1X 认证协议,配合智能管理中心服务器完成联动,完成身份认证后,由服务器根据不同用户权限动态下发访问控制列表。
智能管理中心服务器在用户终端通过检查最新病毒库、检查最新漏洞补丁等安全扫描后,根据用户角色拥有的不同网络访问权限定义不同的安全策略,将对应的网络访问控制列表下发给网络接入设备,按照角色权限规范用户的网络使用行为,严格控制网络接入。用户的所属虚拟局域网、访问控制列表等安全措施均可由网络管理员在服务器上操作,即使底层接入设备不支持802.1X 协议,只要上层设备支持,也能做到根据不同的用户执行不同的控制。
3、 结束语
随着企业管理的深入,特别是企业内部网络管理的深入,内网的安全性已经是一个刻不容缓的问题。802.1X 认证协议可以比较好地解决现阶段的企业内部网络所面临的身份认证和应用终端的安全性问题。但要深刻地理解到要构建一个真正的安全可靠的网络环境仅仅依靠802.1X 这一项技术是不够的,只有将技术与管理相结合才能从根本上解决问题。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:中小企业内网安全管理的研究与实现
本文网址:http://www.toberp.com/html/consultation/10839412790.html
相关文章
