1、Information Security信息安全/责任编辑赵志远基于身份认证的全网准入安全管理系统设计上海电气输配电集团有限公司张国豪编者按:针对各种类型的设备和人员接入网络时出现的网络准入安全管理问题,从基于身份认证的全网准入安全管理系统需求分析出发,探讨基于身份认证的全网准入管理系统架构设计和功能设计。2017年正式实施的网络安全法明确规定,采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。这对组织的网络准入安全管理提出了新的要求。全网准入安全管理系统的设计需要符合网络安全等级保护等相关法规要求,通过各种技术措施,实现全网的访客管理、设备发现、资
2、产管理、认证授权、合规检查、权限管理和入网追踪等功能,让企业的全部网络变得可控、安全和透明,真正做到网络的合规入网和安全可控。基于身份认证的全网准入安全管理系统需求分析随着各类互联网技术的发展,网络对于组织的重要性不言而喻,并已成为组织内部员工之间以及与外部合作伙伴之间沟通的桥梁。由于移动互联网技术的兴起,组织内部员工更喜欢通过移动终端和App开展相关工作,这使得更多类型的设备,诸如员工终端、访客终端、哑终端、loT终端等,不断接入内部网络。同时,访客的身份也更加复杂,除组织的内部员工外,一些临时访客的身份认证和访问权限控制也成为了网络准入安全管理的难题。防止病毒和蠕虫等新兴黑客技术攻击,加强
3、入网用户身份认证和入网终端的合规性检查,对网络安全事件进行精准溯源,使用接入强制技术对网络层至系统接入层进行深度、全面的控制,有效拒绝未知设备和不满足合规性检查的设备接入,成为准入安全管理系统设计的目标。基于身份认证的全网准入管理系统架构设计结合多数组织有线网络和无线办公区网络分开的特点,以及访客网络单独区分的方式,本文采用了全网准入安全管理系统串联的方式,将准入管理设备串联在物理网络中。该架构同时满足以下要求:一是内部员工需经过8 0 2.1x认证通过后,方可接入网络,并且每次接入网络后会自动对终端的合规性进行检查,保证其合规性;二是外部访客通过短信认证的方式接入网络,接入网络后,同样需要对
4、终端进行检查;三是运用全网准入安全管理系统对接组织的身份认证系统,在验证用户身份信息的同时, 2023.8投稿信箱责任编辑赵志远InformationSecurity信息安全还在全网准入安全管理系统中关联用户的工号、Internet姓名等信息,并将账号相关信息同步至组织的网络态势感知系统,一旦发生网络安全事件,能够精准定位用户,快速溯源、处理和闭环安全事件。基于身份认证的全网准入管理系统的架构设计如图1所示。基于身份认证的全网准入管理系统的功能设计1.准入合规的检查和接入功能设计准入合规检查和接入功能包含认证能力和资产管理两部分。当前,由于物联网技术的普及,组织中存在大量的loT设备和哑终端等
5、。大多数组织对于这类终端的准入、认证、管控、安全以及行为检测与设计的能力不足,如果仅依靠纯人工的方式进行管理,势必对这些资产缺乏足够的掌控力。随着多数组织对于信息资产重视程度的不断提升,终端的合规性、身份的合法性以及信息资产的数据收集和盘点能力都将受到考验,需要在全网准入安全管理系统中,设置准入合规性的检查和接入功能,才能更好地符合网络安全法以及网络安全等级保护制度的要求。在准入合规接入方面,需要系统提供较强的认证能力和多元化的内网准入认证方式。这些认证能力为组织内部网络审计策略的设置、有效防御身份冒充、信息系统的权限扩散与滥用等提供了管理基础。在设计基于身份认证的全网准入管理系统的认证能力时
6、,可采用二层认证、第三方认证、本地认证、短信认证、微信认证、访客二维码认证、双因素认证,以及单点登录和强制认证相结合的方式,组织可根据自身的要求,开启多种认证方式。其理系统核心交换机有线8 0 2.1x国认证网络态势感知系统无线8 0 2.1x访客知认证信认证汇聚交换机无线控制器L_有线办公区_无线办公区-_ 访客区图1基于身份认证的全网准入管理系统的架构设计图中,二层认证主要采用了8 0 2.1x认证的方式;第三方认证则采用了LDAP、R A D I U S、PO P3等协议认证的方式;本地认证使用了用户名/密码认证、IP/MAC/IP-MAC绑定和Web认证的方式;短信认证则是通过准入管理
7、系统的网关,发送短信验证码,达到认证的效果;微信认证是通过识别二维码,关注公众号进行认证操作,访客也可以通过扫描二维码,备注信息后,即可通过认证;双因素认证主要是通过增加USB-Key认证的方式,提升认证的安全性;系统可以使用AD域、POP3、Pr o x y、We b 以及第三方系统集成的方式,实现单点登录的功能;强制认证则是在指定的IP地址段内,强制用户必须使用单点登录的功能。在资产管理方面,除实现设备的全生命周期管理以外,还需要支持对所有入网终端的检测与加固、哑终端准入认证以及物联网设备行为检测与审计。对于自身带有操作系统的终端,采用安装代理的方式,支持操作系统检查、注册表项检查、补丁检
8、查、文件要求检查、杀毒软件安装检查、软件配置检查投稿信箱 2023.8119Information Security信息安全/责任编辑赵志远等内容,并且可设定检查不通过的终端不能接入网络,通过管理系统向终端发送提示指令,让终端的使用者在相应的期限内完成修复,也可以通过设置策略的方式,统一对终端漏洞进行强制修复。在资产管理功能设计时,加入全网接入设备主动扫描和被动监听功能,以发现组织内网接入的所有终端设备,并对所有接入设备的各种信息数据进行采集并使用报表的形式统一展示。接入设备类型包括网络设备、服务器、PC、手机、loT设备、PDA设备等,展示信息包括设备的终端类型、操作系统、设备厂商及用途、终
9、端网络信息及安全状态等。2.身份识别功能设计组织内外部通常包含不同角色身份的用户,需要通过差异化的身份识别方式,避免身份被冒充、权限被滥用等现象,做好全网准入安全管理的关键一步。对于组织内部员工的身份认证,可以采用与LDAP、R a d iu S、PO P3等外部认证服务器或者SAM、C A M S等认证计费系统相结合的方式,这样能够形成单点登录,避免每个系统多次认证的麻烦。当然,也需要同时保留全网准入安全管理系统本地认证的功能,在传统用户及密码身份识别的基础上,增加IP/MAC/IP-MAC绑定、USB-Key等功能。对于未在系统中绑定的外来访客,系统会自动推送相关的访客认证页面,访客可自行
10、选择短信、微信以及二维码认证方式中的一种进行认证,真正达到方便、快捷的效果。3.准入行为控制和行为审计功能设计通过动态检测技术和安全策略管理,可针对认证用户和终端进行网络访问控制和安全域划分,满足不同强度、不同维度的访问控制。全网准入安全管理系统主要从三个维度对网络访问行为进行控制,分别为基于用户组授权访问、基于用户属性授权访问和基于位置授权访问的控制。本着全网准入安全精细化管理的原则,对传统互联网端和移动互联网端的准入行为控制和行为审计功能进行区分。在传统互联网端网络行为审计功能设计时,支持业务访问行为审计,审计信息包含域名、URL、页面标题、页面内容、加密网页、邮件过滤、代理应用精准识别、
11、管控等信息,以及Telnet、SSH、FT P等多种运维协议的访问行为审计。移动互联网端网络行为审计功能包括移动应用识别、应用细分控制和应用标签化等。同时,还需要注重对流量的管控,在传统互联网端,对各种应用流量进行精准识别和控制,制定基于特征P2P的流量和基于应用的流量控制策略。在移动互联网端,实现P2P智能识别、动态流量控制以及流量控制黑名单等功能。4.日志功能设计当发生网络安全事件时,管理员可以登录到日志中心,搜索、查询事件发生时系统记录的用户行为,从而追溯定位到责任人。全网准入安全管理系统通过深入识别技术,全面识别网络中的用户、行为和流量,并通过算法分析和可视化报表的展现,帮助网络管理员精确掌握网络的实时情况。结语基于身份认证的全网准入安全管理系统,能规范组织的入网行为、降低入网隐患,同时还能起到规范人员上网行为,降低上网风险的作用。在满足内外部合规性、优化组织网络带宽、提升网络使用体验方面,该系统作用同样显著,真正实现了集中管理、分权管控以及入网合规检查修复“一条龙”的准入安全管理新模式。N 2023.8投稿信箱
浙ICP备2021020529号-1 | 浙B2-20240490 
