在历时18个月、五个阶段的测试选型、局部部署试用后,EAD终端准入控制解决方案在上海出入境检验检疫局成功上线应用,为内部业务的信息安全奠定了坚实的基础。现在信息技术与管理部门只要能够按照EAD端点准入控制解决方案进行终端管理与相关程序处理即可安享信息安全,而不再每天贫于应付各种网络信息安全故障。本文重点阐述EAD解决方案在上海出入境检验检疫局的成功上线过程,并且对解决方案上线后的容灾备份方案进行了详细论述。
随着上海出入境检验检疫局(以下简称上海局)网络规模的不断扩大以及业务的不断扩展,网络安全问题变得越来越重要。我们发现在实际工作中,很多的网络安全事件都是由脆弱的用户终端和"失控"的局域网使用行为引起。在局域网中,用户终端不及时升级系统补丁和病毒库的现象普遍存在;私设代理服务器、私自访问外部网络、滥用禁用软件等行为也比比皆是。这些"失控"的用户终端一旦接入网络,就相当危险地绕过了IPS、防火墙这些"马其诺防线",直接面对网络核心业务。信息化管理处通过各种办法加强终端用户,例如通过加密、加权限、稽查网络代理、不断辅助终端及时升级等等,但是结果显示依然是贫于应付。因此努力建设一个强大的终端管理系统,以保证用户终端的安全,对用户的局域网访问行为进行有效的控制,成为安全管理的当务之急。
一、终端准入控制选型
我们决定在上海局内网部署终端准入控制系统,经过对内部应用和需求的梳理,要求该系统应满足以下功能需求:
对接入内网的终端实现用户身份认证。对于认证失败的用户,断开其网络连接;认证成功但安全性检查不通过的终端,放入隔离区自动引导其完成主机完整性修复;对于认证和安全性检查全部通过的主机,按照策略设定完成相应网络设置和终端安全客户端设置,满足终端相应权限的访问;
能检测终端的代理功能设置。对私设代理服务器、IE代理设置的终端,必须能及时限制其访问;
能对接入的终端进行安全状态检查,包括:防病毒软件安全检查、补丁状态安全检查、安装软件应用检查等;
具备防ARP攻击的特性;
该系统能支持冗余配置,具备高可靠性。
目前各主流网络厂商都提供终端准入控制的产品或解决方案,通过对各解决方案功能的详细了解和反复测试,上海局最终选用了H3C EAD(End user Admission Domination,以下简称EAD)解决方案。
二、EAD终端准入控制设计原理
1.终端准入控制的实现过程
EAD解决方案对终端用户的整体控制过程如图1所示。
图1 EAD解决方案对终端用户的整体控制过程
2.终端准入控制的原理
EAD的基本原理是通过智能客户端(iNode客户端)、安全联动设备(如交换机、VPN网关、路由器)、安全策略服务器以及防病毒服务器、补丁服务器的联动实现的,其基本原理如图2所示:
图2 EAD实现原理图
用户终端试图接入网络时,首先通过智能客户端进行用户身份认证,非法用户将被拒绝接入网络;
合法用户将被要求进行安全状态认证,由安全策略服务器验证用户终端安全状态是否符合基于用户账号预定义的安全策略,包括补丁版本、病毒库版本是否合格,软件安装允许是否合格、是否使用代理服务器等信息,不合格用户将被安全联动设备隔离到隔离区;
进入隔离区的用户可以进行补丁、病毒库的升级、卸载非法程序、取消代理设置等操作,直到安全状态合格;
安全状态合格的用户将实施由安全策略服务器下发的安全设置,并由安全联动设备提供基于身份的网络服务。
3.终端准入控制的特点
从EAD的控制过程和基本原理可以看出,EAD将终端病毒防护、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御;变单点防御为全面防御;变分散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。
三、终端准入控制在上海局的应用
1.选型测试
为了确保应用成功,信息化管理处自2009年开始进行产品选型工作,2010年3月份正式开始EAD解决方案的测试,测试涉及方案中的多个产品: iMC智能管理平台(Intelligent Management Center)、iMC EAD安全策略组件(End user Admission Domination)、iMC UAM(User Access Manager)用户接入管理组件、iNode PC客户端、iNode DC可溶解客户端,同时测试了iMC双机热备功能。
EAD解决方案的选型测试和局部部署历时18个月,主要包括五个阶段:
第一阶段:2010年3月-2010年5月,在信息化管理处网络科内部初步测试,测试内容为iNode DC客户端+Portal EAD功能测试;
第二阶段:2010年6月-2010年10月,在信息化管理处全部门进行测试,测试内容为iNode DC客户端+Portal EAD功能和iNode PC客户端+Portal EAD功能测试;
第三阶段:2010年11月-2011年2月,在信息化管理处全部门进行测试,测试内容为iNode PC客户端+Cisco 802.1x EAD功能测试;
第四阶段:2011年3月-2011年4月,在崇明出入境检验检疫局进行测试,测试内容为iNode PC客户端EAD功能在分支区县局的实际应用情况;
第五阶段:2011年5月-2011年9月,在上海局和金山、奉贤、南汇等多个区县局实施测试;为了保证iMC服务器的稳定性,在上海局信息化管理处机房实施并测试了iMC 双机热备功能。
2.遇到的问题和解决方案
在实践过程中,我们遇到了如下一些问题,最终从技术和管理体制流程两个层面进行了规范和解决:
EAD系统支持802.1x认证和Portal认证等;客户端采用iNode PC客户端、iNode DC可溶解客户端不同方式,何种方式最符合我们的功能需求和现网环境?
通过测试,我们发现网络中的原思科公司交换机产品不能配合EAD系统实现Portal认证。而如果在网络汇聚层或核心层增加配置Portal网关设备,则对接入终端的控制点位置太高,不利于进行严格控制。同时iNode DC可溶解客户端由于技术限制,功能不如iNode PC客户端丰富,因此我们最终决定采用iNode PC客户端配合接入交换机802.1x认证的认证方式。
iNode PC智能客户端与支持标准802.1x协议的交换机能配合使用,但部分区县局点存在思科公司的C2950、C3550等老款接入交换机,这些交换机对802.1x的功能支持不完善,如只支持single-host模式,同一接入端口不允许下挂多台PC终端,而由于布线系统限制,网络中恰恰有这种需求,如何解决?
对于部分老款接入交换机网络设备802.1x技术支持不完善的问题,通过将部分同一接入端口下确实需要连接多台终端的接入交换机网络设备进行更换,来确保EAD解决方案的成功实施。
对于部分PC终端,同时安装了360安全卫士软件与趋势杀毒软件。在安装iNode PC智能客户端时,趋势杀毒软件能够正常识别软件行为,认可iNode PC智能客户端;但是360安全卫士软件误报EAD客户端不安全,客户端能否正确运行?
对于360安全卫士软件误报EAD客户端不安全的问题;从技术上,在iNode PC客户端的安装包中,添加了暂时关闭360安全卫士软件的相关提示,待软件安装完全后,360安全卫士软件可以与iNode PC客户端正常共存;从管理上,信息化管理处将要求上海局内终端计算机全部安装趋势杀毒软件,作为终端计算机入网的要求形成文件下发。
对于网络打印机等不支持802.1x认证的设备,如何实现网络接入并保证接入交换机端口的安全性?
为了接入网络打印机等不支持802.1x认证的设备,可以关闭接入交换机上连接该类设备的端口的802.1x认证功能,但这会造成安全漏洞。在该端口上配置MAC地址绑定或MAC认证功能,可以避免非法设备通过该交换机端口接入网络。
3.实施效果
经过一年多的测试,EAD解决方案能满足上海局对终端准入控制的功能需求,而且也提供了部分桌面管理和资产管理功能(如图3所示)。
通过交换机的配合,强制用户在接入网络前通过802.1x等方式进行身份认证和安全状态评估,确保只有符合安全标准的用户接入网络,实现了:
没有在EAD终端准入控制系统内注册的PC终端,即使正确配置了IP地址,也无法连入内网;
对于连入内网的PC终端进行合法性、安全性检查;合法性主要检查IP和用户对应关系;安全性检查如检查防病毒软件安装、操作系统补丁的安装等;
杜绝了内网中私设代理服务器的现象。
图3 EAD解决方案组网图
四、EAD服务器的容灾备份
在实践了EAD解决方案之后, EAD服务器的备份就显得尤其重要了。如果没有EAD服务器的备份方案,就可能会存在一个导致全网中断的单点故障。
在充分衡量了各种容灾备份方案的基础上,上海局最终采用了最为稳妥的Windows群集双机热备加离线逃生工具的备份方案。
如图4所示,EAD双机热备是采用两台服务器利用群集软件实现服务器备份冗余的方案。iMC双机热备组网中,SQL Server数据库和EAD策略服务器软件都安装在存储设备上,同一时间只会有一台服务器使用共享磁盘阵列上的资源;两台服务器作为一个整体,对外提供一个虚IP作为服务器的IP地址;通过Windows的群集管理器软件保持两台服务器之间的心跳,实时检测EAD相关的进程运行是否正常,当发生故障时自动将业务切换到另一台服务器上。
图4 iMC双机热备组网示意图
双机热备组网的优点是能够解决服务器本身的硬件故障。但是由于只有一套程序文件及数据存在,所以不能解决程序文件本身以及数据库本身的软件故障。为了解决这个问题,在部署EAD解决方案的同时,我们还部署了用户接入逃生工具。
用户接入逃生工具(以下简称为"逃生工具")是iMC EAD解决方案中UAM(User Access Manager)组件的后台的替身。如果iMC UAM出现诸如进程宕机、数据库异常、性能下降等故障无法处理认证请求时,逃生工具将暂时替代iMC UAM处理请求报文以保障用户的业务不中断。逃生工具不验证用户信息与用户口令,不做绑定、授权处理,也不启用安全认证,对于请求报文都直接回应成功(如图5所示)。
图5 iMCEAD逃生示意图
有了双机热备容灾备份方案和逃生工具容灾备份方案的双保险,可以应对单台服务器故障、存储系统故障、iMC程序本身的故障以及数据库程序的故障,最大程度地保证系统运行过程中的稳定性,确保上海局业务工作正常开展。
五、结束语
上海出入境检验检疫局成功应用EAD端点准入控制解决方案,为内部业务的信息安全奠定了坚实的基础。上海局通过试点运用等途径,反复虚拟实验与验证,结果显示EAD终端准入控制系统具有很强的实用价值与运用前景,各单位各部门反映良好。特别是对于信息技术与管理部门,只要能够按照EAD端点准入控制解决方案进行终端管理与相关程序处理即可安享信息安全,不再每天贫于应付各种网络信息安全故障。
此外,通过深入挖掘EAD系统的安全管理功能,实现对终端的安装软件、流量、外设接口应用的深度安全管理,可以将内部业务网逐步打造成为更可靠、更安全、更智能的网络系统。安全可靠的网络系统不仅能够确保上海局的日常业务的运作,长远来看,对信息资源最大化利用、提升行政效率,增强公共服务能力等都大有裨益。
