綜合網(wǎng)終端安全準(zhǔn)入系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

朱啟躍，金德瑞

（中國(guó)鐵路濟(jì)南局集團(tuán)有限公司 信息技術(shù)所，濟(jì)南 250001）

濟(jì)南局集團(tuán)有限公司（簡(jiǎn)稱：濟(jì)南局）綜合網(wǎng)是一個(gè)龐大且復(fù)雜的網(wǎng)絡(luò)系統(tǒng)，分為集團(tuán)公司機(jī)關(guān)、站段兩級(jí)結(jié)構(gòu)，擁有幾萬(wàn)點(diǎn)規(guī)模的終端基數(shù)。

在IP地址管理方面，由最初的開(kāi)放式管理，經(jīng)過(guò)演變形成了IP地址申請(qǐng)-審批-人工下發(fā)的管理流程，但仍存在IP地址亂用導(dǎo)致地址資源枯竭等問(wèn)題，缺乏有效的技術(shù)管控手段從根本上解決IP地址亂用的現(xiàn)狀；在接入管理方面，由于終端分布點(diǎn)多面廣、未知終端隨意接入，使得綜合網(wǎng)數(shù)據(jù)安全、網(wǎng)絡(luò)安全存在潛在的風(fēng)險(xiǎn)隱患。

網(wǎng)絡(luò)準(zhǔn)入控制是一項(xiàng)由多家廠商參加的計(jì)劃[1]，其宗旨是防止病毒和蠕蟲(chóng)等新興黑客技術(shù)對(duì)企業(yè)安全造成危害。借助網(wǎng)絡(luò)準(zhǔn)入控制，客戶可以只允許合法的、值得信任的終端設(shè)備（例如PC、服務(wù)器、PDA）接入網(wǎng)絡(luò)，而不允許其它設(shè)備接入。隨著鐵路信息化的不斷發(fā)展，濟(jì)南局綜合網(wǎng)絡(luò)日益擴(kuò)大，終端隨意接入導(dǎo)致的數(shù)據(jù)泄密、網(wǎng)絡(luò)入侵監(jiān)聽(tīng)、木馬植入、終端仿冒、IP地址管理繁復(fù)等安全準(zhǔn)入的問(wèn)題日趨嚴(yán)重,本文旨在從計(jì)算機(jī)路由交換網(wǎng)絡(luò)層面和客戶端驅(qū)動(dòng)層面，建設(shè)一套準(zhǔn)入控制系統(tǒng)，為網(wǎng)絡(luò)安全保駕護(hù)航。

1 安全風(fēng)險(xiǎn)分析

1.1 數(shù)據(jù)泄密的安全風(fēng)險(xiǎn)

濟(jì)南局綜合網(wǎng)所涉及的部分?jǐn)?shù)據(jù)比較重要和敏感。終端在通過(guò)網(wǎng)絡(luò)訪問(wèn)這些數(shù)據(jù)時(shí)，如果有惡意程序在終端后臺(tái)運(yùn)行，可能在用戶不知情的情況下對(duì)敏感數(shù)據(jù)做攔截、截圖等非法操作；如果不對(duì)終端連接互聯(lián)網(wǎng)做控制，終端隨意連接互聯(lián)網(wǎng)，包含敏感信息的數(shù)據(jù)在用戶不知的情況下可能被發(fā)送到互聯(lián)網(wǎng)指定位置；在日常工作中，用戶可能會(huì)將綜合網(wǎng)的敏感的信息文件存儲(chǔ)到終端的本地磁盤(pán)中進(jìn)行操作，導(dǎo)致這些敏感信息存在泄漏的風(fēng)險(xiǎn)[2]。

1.2 網(wǎng)絡(luò)環(huán)境的安全風(fēng)險(xiǎn)

終端有可能從任意站段、任意環(huán)境通過(guò)網(wǎng)絡(luò)訪問(wèn)濟(jì)南局綜合網(wǎng)，如果不對(duì)其進(jìn)行有效的控制，當(dāng)數(shù)據(jù)在網(wǎng)絡(luò)上進(jìn)行傳輸時(shí)，可能會(huì)遭受到各類攻擊和竊聽(tīng)。另外，終端在進(jìn)行遠(yuǎn)程辦公的過(guò)程中，如果還能繼續(xù)訪問(wèn)互聯(lián)網(wǎng)，就會(huì)造成內(nèi)、外網(wǎng)交叉訪問(wèn)，帶來(lái)嚴(yán)重的安全風(fēng)險(xiǎn)。

1.3 終端自身的安全風(fēng)險(xiǎn)

由于用戶終端接入網(wǎng)絡(luò)的安全性未知，在接入綜合網(wǎng)或安裝其他軟件的過(guò)程中，容易感染病毒或被惡意植入木馬，所以，當(dāng)用戶通過(guò)終端上網(wǎng)辦公的時(shí)候，這些病毒和木馬可能會(huì)擴(kuò)散到綜合網(wǎng)的內(nèi)部網(wǎng)絡(luò)中，從而帶來(lái)巨大的安全隱患。

1.4 接入身份的安全風(fēng)險(xiǎn)

攻擊者可能偽裝、假冒成合法終端，通過(guò)網(wǎng)絡(luò)接入到應(yīng)用系統(tǒng)中，從而進(jìn)行信息竊取、破壞和攻擊等行為。

1.5 IP地址未及時(shí)回收的安全風(fēng)險(xiǎn)

某IP地址，由于使用人員發(fā)生人事變動(dòng)，需要及時(shí)被回收，否則，會(huì)導(dǎo)致被未知人員冒用，從而影響整個(gè)綜合網(wǎng)的安全。

1.6 IP地址未主動(dòng)回收的安全風(fēng)險(xiǎn)

需要及時(shí)主動(dòng)回收長(zhǎng)期未激活、未注冊(cè)或者未使用的IP地址，否則，會(huì)被未知人員冒用且導(dǎo)致IP地址資源浪費(fèi)，從而影響整個(gè)綜合網(wǎng)的正常運(yùn)行。

2 系統(tǒng)總體架構(gòu)

根據(jù)現(xiàn)狀分析，濟(jì)南局綜合網(wǎng)需要構(gòu)建集IP地址管理及終端準(zhǔn)入管理于一體的全方位管控平臺(tái)。基于安全性和穩(wěn)定性的考慮，系統(tǒng)建立在綜合辦公系統(tǒng)的大環(huán)境中，底層系統(tǒng)和應(yīng)用程序部署在統(tǒng)一的硬件平臺(tái)，規(guī)避環(huán)境兼容性、數(shù)據(jù)格式不一致等各種兼容性問(wèn)題。

系統(tǒng)采用B/S + C/S架構(gòu)[3]。極少部分事務(wù)邏輯在前端（Browser）實(shí)現(xiàn)，主要事務(wù)邏輯在服務(wù)器端（Server）實(shí)現(xiàn)，極大地簡(jiǎn)化了客戶端設(shè)備載荷，減輕了系統(tǒng)維護(hù)和升級(jí)的成本和工作量，降低了用戶的總體成本。必須由客戶端完成的功能，采用極簡(jiǎn)策略，盡可能把業(yè)務(wù)邏輯和計(jì)算在服務(wù)器端（Server）完成，而客戶端（Client）僅為執(zhí)行單元,從而滿足高可擴(kuò)展、高可用性、高易用性的要求。

系統(tǒng)架構(gòu)如圖1所示。

圖1 系統(tǒng)架構(gòu)

2.1 內(nèi)核層和系統(tǒng)層

采用非常穩(wěn)定、安全的Linux作為系統(tǒng)內(nèi)核，進(jìn)行專用系統(tǒng)定制。

2.2 數(shù)據(jù)層

通過(guò)POSTGRES數(shù)據(jù)庫(kù)存儲(chǔ)數(shù)據(jù)、高速緩存各項(xiàng)數(shù)據(jù)，然后存儲(chǔ)在對(duì)應(yīng)的文件系統(tǒng)內(nèi)。

2.3 應(yīng)用層

內(nèi)置SCAN掃描插件，網(wǎng)絡(luò)設(shè)備的TELNET、SSH工具，以及客戶端的后臺(tái)服務(wù)應(yīng)用。

2.4 綜合層

內(nèi)置各類智能分析模塊 ，自動(dòng)識(shí)別終端類型、自動(dòng)歸類等。

2.5 業(yè)務(wù)層

（1）IP地址管理：對(duì)全網(wǎng)的IP地址進(jìn)行圖形化的展示和分析。

（2）網(wǎng)絡(luò)設(shè)備管理：通過(guò)聯(lián)動(dòng)交換機(jī)路由器等網(wǎng)絡(luò)設(shè)備，進(jìn)行策略的下發(fā)。

（3）桌面運(yùn)維管理：通過(guò)桌面管理軟件管理電腦的硬件資產(chǎn)等。

（4）在線信息搜集：實(shí)時(shí)發(fā)現(xiàn)設(shè)備在線狀態(tài)，同時(shí)收集可以在網(wǎng)絡(luò)層面收集到的信息，比如：IP/MAC、網(wǎng)卡、主機(jī)名、端口指紋等。

3 功能設(shè)計(jì)與解決方案

濟(jì)南局綜合網(wǎng)終端安全準(zhǔn)入[4]系統(tǒng)，針對(duì)終端連接互聯(lián)網(wǎng)做嚴(yán)格的管控，終端安裝客戶端管理軟件，從底層驅(qū)動(dòng)層來(lái)杜絕終端連接互聯(lián)網(wǎng)。終端管理軟件自動(dòng)注冊(cè)終端信息，包括終端名稱、終端使用單位、使用人等信息，并且實(shí)時(shí)同步更新濟(jì)南局運(yùn)維平臺(tái)信息，滿足信息準(zhǔn)確性、及時(shí)性等要求，產(chǎn)品功能設(shè)計(jì)如圖2所示。

3.1 ACL管理

對(duì)未經(jīng)審批私自使用的IP地址、未經(jīng)管理員允許私自接入的終端，準(zhǔn)入系統(tǒng)首先發(fā)現(xiàn)其接入，結(jié)合交換機(jī)或者路由器訪問(wèn)控制列表（ACL）規(guī)則動(dòng)態(tài)下發(fā)，實(shí)現(xiàn)終端/IP地址隔離且拒絕入網(wǎng)。通過(guò)與網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)、ACL動(dòng)態(tài)設(shè)置，準(zhǔn)入系統(tǒng)實(shí)現(xiàn)以下管理功能。

（1）基本信息包括IP地址、所屬單位、所屬的子網(wǎng)、使用人、MAC地址、上線時(shí)間、更新時(shí)間等基本信息錄入和批量導(dǎo)入。

如果發(fā)生終端長(zhǎng)時(shí)間不上線、終端使用人變更、終端未注冊(cè)等事件時(shí)，通過(guò)動(dòng)態(tài)管理ACL，可以自動(dòng)做到隔離IP地址入網(wǎng)，從而保證綜合網(wǎng)的基本安全及正常運(yùn)行。

（2）準(zhǔn)入系統(tǒng)與既有運(yùn)維平臺(tái)信息的同步。當(dāng)既有運(yùn)維平臺(tái)IP地址信息發(fā)生變更時(shí)，會(huì)自動(dòng)同步到準(zhǔn)入系統(tǒng)并下發(fā)到相應(yīng)的交換機(jī)或者路由器的ACL中。

（3）IP ACL信息查詢。方便快捷查詢到某IP地址應(yīng)用到具體哪臺(tái)網(wǎng)絡(luò)設(shè)備上。

（4）從設(shè)備列表中選擇各子系統(tǒng)所使用的設(shè)備，能夠從IP ACL項(xiàng)目信息關(guān)聯(lián)查詢?cè)O(shè)備及重要網(wǎng)絡(luò)設(shè)備信息。

具體IP地址管理數(shù)據(jù)流程如圖3所示。

圖3 IP地址管理數(shù)據(jù)流程圖

3.2 網(wǎng)絡(luò)設(shè)備管理

該模塊主要實(shí)現(xiàn)硬件設(shè)備信息的錄入、查詢、管理。

（1）硬件設(shè)備及網(wǎng)絡(luò)設(shè)備基本信息的錄入、查詢、批量導(dǎo)入。

圖2 產(chǎn)品功能設(shè)計(jì)圖

（2）硬件設(shè)備及網(wǎng)絡(luò)設(shè)備維修記錄、補(bǔ)丁記錄的錄入、查詢，維護(hù)文檔的上傳、查詢。

（3）從硬件設(shè)備關(guān)聯(lián)查詢運(yùn)行在其上的應(yīng)用項(xiàng)目相關(guān)信息。

（4）網(wǎng)絡(luò)設(shè)備應(yīng)用的應(yīng)用項(xiàng)目系統(tǒng)及子系統(tǒng)信息錄入、查詢。

（5）硬件設(shè)備的歸檔。當(dāng)硬件設(shè)備更改用途或報(bào)廢時(shí)，將原有設(shè)備信息進(jìn)行歸檔，從而實(shí)現(xiàn)設(shè)備生命周期信息的保存和追溯。

（6）網(wǎng)絡(luò)設(shè)備密碼定期修改，通過(guò)系統(tǒng)批量進(jìn)行密碼修改，減少大量的人力物力資源。

3.3 IP地址管理

該模塊主要實(shí)現(xiàn)對(duì)濟(jì)南局綜合網(wǎng)IP地址的管理、分配、查詢等功能。

（1）按照IP地址的不同屬性，實(shí)現(xiàn)濟(jì)南局IP地址及其使用信息的錄入、查詢、批量導(dǎo)入。

（2）入網(wǎng)終端數(shù)據(jù)批量導(dǎo)入，并實(shí)現(xiàn)入網(wǎng)注冊(cè)數(shù)據(jù)與系統(tǒng)IP地址數(shù)據(jù)的比對(duì)分析，從而分析出全集團(tuán)公司局域網(wǎng)中存在的未入網(wǎng)注冊(cè)的、實(shí)際使用但沒(méi)有錄入運(yùn)維平臺(tái)的以及一機(jī)多用等異常情況的IP地址信息。

（3）IP地址信息相關(guān)的參數(shù)維護(hù)。主要有設(shè)備用途字典、單位及IP地址范圍字典、車間/班組/部門字典。

（4）與運(yùn)行在終端計(jì)算機(jī)上客戶端程序協(xié)同工作，實(shí)現(xiàn)對(duì)IP地址信息與終端使用人之間的對(duì)應(yīng)關(guān)系、終端計(jì)算機(jī)上網(wǎng)行為的監(jiān)控與報(bào)告。

3.4 客戶端管理

客戶端嚴(yán)格管控綜合網(wǎng)終端連接到互聯(lián)網(wǎng)，實(shí)時(shí)監(jiān)控連接狀態(tài)，一旦有連接則記錄連接事件，當(dāng)該終端再次接入綜合網(wǎng)時(shí)上報(bào)準(zhǔn)入系統(tǒng)外聯(lián)事件且告警。

3.4.1 客戶端工作流程

客戶端主動(dòng)完成終端信息注冊(cè)、更新和修改等功能。每次終端入網(wǎng)客戶端都會(huì)主動(dòng)更新其終端信息，且從既有運(yùn)維平臺(tái)上同步終端信息，始終保持信息準(zhǔn)確性和實(shí)時(shí)性。

客戶端工作流程如圖4所示。

3.4.2 客戶端防卸載流程

圖4 客戶端工作流程圖

為了嚴(yán)格管控入網(wǎng)終端外聯(lián)和注冊(cè)情況，需要防止終端用戶私自卸載客戶端。客戶端防卸載是采用底層驅(qū)動(dòng)保護(hù)，以防止終端用戶隨意刪除客戶端文件。卸載操作需要經(jīng)管理員審核，產(chǎn)生動(dòng)態(tài)卸載碼，才能完成卸載。

客戶端防卸載流程如圖5所示。

圖5 客戶端防卸載流程圖

3.5 與運(yùn)維平臺(tái)聯(lián)動(dòng)

既有運(yùn)維平臺(tái)經(jīng)過(guò)長(zhǎng)期的積累，IP地址臺(tái)賬相對(duì)齊全，由于其缺乏自動(dòng)化，依賴于手動(dòng)，因此準(zhǔn)入系統(tǒng)需要將自動(dòng)讀取的數(shù)據(jù)與既有運(yùn)維平臺(tái)進(jìn)行聯(lián)動(dòng)，實(shí)現(xiàn)平臺(tái)之間的數(shù)據(jù)交互，以準(zhǔn)入系統(tǒng)為數(shù)據(jù)引擎及執(zhí)行引擎，以運(yùn)維平臺(tái)為觸發(fā)引擎，完成自動(dòng)銜接且不改變現(xiàn)有使用習(xí)慣。自動(dòng)完成終端入網(wǎng)注冊(cè)且定期更新信息，與既有運(yùn)維平臺(tái)信息聯(lián)動(dòng)，從而完成從終端入網(wǎng)注冊(cè)、維護(hù)、更新到信息回收整個(gè)生命周期運(yùn)維工作。

4 系統(tǒng)實(shí)現(xiàn)

濟(jì)南局綜合網(wǎng)分為幾個(gè)匯聚點(diǎn)[5]，每個(gè)匯聚點(diǎn)之間是通過(guò)3層路由進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。準(zhǔn)入系統(tǒng)可以部署在網(wǎng)絡(luò)的任何位置，唯一要求是準(zhǔn)入系統(tǒng)在這個(gè)網(wǎng)絡(luò)位置通過(guò)其IP地址能夠訪問(wèn)到網(wǎng)絡(luò)其它地方，也就是說(shuō)準(zhǔn)入系統(tǒng)此時(shí)與網(wǎng)絡(luò)中一臺(tái)普通的PC沒(méi)有任何區(qū)別，系統(tǒng)部署圖如圖6所示。

圖6 系統(tǒng)部署圖

采用面向?qū)ο蠛兔嫦蜻^(guò)程的軟件設(shè)計(jì)思想和方法，使用Linux下GNU的C/C++和PHP/JavaScritp[6]編程技術(shù)（操作系統(tǒng)使用Linux2.6.32，數(shù)據(jù)庫(kù)使用Postgres[7]），形成了技術(shù)先進(jìn)、設(shè)計(jì)合理、界面友好易用的綜合網(wǎng)終端安全接入動(dòng)態(tài)管理平臺(tái)。

涉及到以下關(guān)鍵技術(shù)：（1）大數(shù)據(jù)實(shí)時(shí)并發(fā)高速存取；（2）IP地址動(dòng)態(tài)智能分析；（3）ARP數(shù)據(jù)池的動(dòng)態(tài)實(shí)時(shí)監(jiān)控；（4）通過(guò)SNMP/Telnet[8]/SSH等協(xié)議對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行各種有效的智能化管理。

目前，該系統(tǒng)已將濟(jì)南局機(jī)關(guān)及所屬各單位綜合網(wǎng)終端納入管理，實(shí)現(xiàn)從既有運(yùn)維平臺(tái)增減綜合網(wǎng)終端IP地址條目，通過(guò)聯(lián)動(dòng)，準(zhǔn)入系統(tǒng)自動(dòng)同步變動(dòng)條目，并在對(duì)應(yīng)的網(wǎng)絡(luò)設(shè)備上同步更新策略。準(zhǔn)入系統(tǒng)停用/刪除、回收終端IP條目時(shí)，也同步傳送到運(yùn)維平臺(tái)，提醒確認(rèn)，進(jìn)行相關(guān)操作。入網(wǎng)的終端設(shè)備必須在規(guī)定時(shí)間內(nèi)進(jìn)行入網(wǎng)注冊(cè)，超出規(guī)定期限提示回收，并傳送回運(yùn)維平臺(tái)進(jìn)一步處置，解決了以往終端注冊(cè)率低且無(wú)有效控制手段的難題。終端一經(jīng)注冊(cè)，可被服務(wù)器自動(dòng)推送關(guān)聯(lián)信息及版本更新，且無(wú)法瀏覽互聯(lián)網(wǎng)，改變了以往事后處罰的狀況，變?yōu)閺脑搭^掐斷、防止違規(guī)外聯(lián)的后果發(fā)生，切實(shí)保障網(wǎng)絡(luò)信息安全。

5 結(jié)束語(yǔ)

根據(jù)濟(jì)南局綜合網(wǎng)的網(wǎng)絡(luò)特點(diǎn)，研發(fā)了綜合網(wǎng)終端安全準(zhǔn)入系統(tǒng)，設(shè)計(jì)上采用已有的標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議，對(duì)網(wǎng)絡(luò)環(huán)境的適應(yīng)性強(qiáng)，無(wú)需改動(dòng)現(xiàn)有網(wǎng)絡(luò)拓?fù)洌c既有的運(yùn)維平臺(tái)實(shí)現(xiàn)無(wú)縫對(duì)接，規(guī)避了IP地址人工管理的諸多問(wèn)題，保障了濟(jì)南局綜合網(wǎng)的邊界[9]安全，促進(jìn)了信息系統(tǒng)運(yùn)維工作的自動(dòng)化、規(guī)范化和標(biāo)準(zhǔn)化[10]。該系統(tǒng)也可移植推廣到IP地址管理模式相似的其他單位。