構建安全的終端開發測試環境

天津 宋亞錚

近年來銀行業數據泄露、遭受攻擊案件頻發，信息安全已呈現出新的發展趨勢，安全戰場已經逐步由核心與主干的防護，轉向網絡邊緣的每一臺計算機，如何有效保護計算機自身系統及存儲信息的安全性，已成為當前信息安全迫在眉睫的問題。

防火墻、入侵檢測、防毒軟件等信息安全類產品所提供的安全防護功能只是一種“隔離式”安全手段，無視內部漏洞和安全管理不規范，可以保持90%時間的表象正常，但10%的風險就足以造成200%的損失，這就是典型的“亞安全”現象。

問題現狀

隨著IT 技術的快速發展，各類終端和網絡接入設備日趨復雜多樣，企業面臨無法確定現在網絡中有多少各種設備、終端，是什么種類；無法確定入網終端的安全狀況、合法性；無法確定此時有哪些人員入網訪問，訪問了何種資源；機構的安全規范無法得到有效遵從；私接hub 及無線路由器無法進行有效的管理；無法迅速安全定位到終端設備和使用者等諸多現實問題。

筆者單位的開發測試區域主要為外包人員提供日常開發、測試環境，同樣面臨上述一些問題現象。

改善計劃和目標

為進一步加強對行外包人員及開發測試環境的規范化管理，防范源代碼、客戶信息等重要信息資產泄露的風險，單位計劃通過實施網絡準入控制、桌面安全管理等項目，在信息數據的使用安全性、終端主機防護的合理性、移動介質管理的規范性、監測與審計的有效性等方面對計算機實行全面管控，最終建立起“事前預防、事中管理、事后追溯”的信息安全技術管理體系，功能上實現以下目標：

1.測試開發區域的終端PC 全部進行標準化配置，只有安裝網絡準入組件后才能登錄測試開發區域網絡環境，并通過準入系統進行身份認證、安全檢查和授權訪問，達到全生命周期的入網審計，如圖1 所示。

圖1 全生命周期的入網審計

2.通過終端安全管理系統對測試開發區域的終端PC進行標準化管控，主要包括硬軟件使用控制、可信移動介質管理、行為預警及審計等內容。可實現管控操作系統網絡及主機配置信息，控制外設端口使用，禁止修改IP 和MAC 地址，禁止非法軟件運行，禁止無線網卡非法外聯，禁止非授權移動存儲介質使用，統一監控配置變化及后期審計等實施效果。

3.測試開發區域的終端PC 只有通過登錄運維審計系統（堡壘機）后才能進入測試開發服務器進行相關系統的開發、運維操作，且全程操作進行記錄，便于后期審計，如圖2 所示。

圖2 部署測試開發區堡壘機

經驗和技術

項目實施過程中，我們重點對采取哪種準入控制技術更適合我們的自身的需求進行了分析和測試。

所謂網絡準入控制，即當終端接入網絡時，首先由終端設備和網絡接入設備（如交換機、無線AP、VPN 等）進行交互通訊。然后，網絡接入設備將終端信息發給策略/AAA 服務器對接入終端和終端使用者進行檢查。當終端及使用者符合策略/AAA 服務器上定義的策略后，策略/AAA 服務器會通知網絡接入設備，對終端進行授權和訪問控制。

筆者單位結合自身的網絡架構及交換機的功能配置情況，并根據廠商的實施經驗和部署建議對策略路由模式PBR(Policy-Based-Routing)和 MVG(Multi-Vendor Gateway)模式分別進行了測試，并對實際管控效果進行了對比。

1.CNAC 旁路部署，采用策略路由PBR（Policy-Based-Routing）模式，如圖3所示。

經測試，策略路由模式管控的細粒度有所不足：首先同一交換機之間終端互訪沒法控制，其次同一VLAN 下的終端互訪不受限制。也就是說，拋開管理制度的約束，外包公司和合作公司人員有可能繞過準入控制，訪問其它終端在本地存放的文件和在線資源，導致文件還是可能被外泄，不能徹底解決非法外聯的問題。

2.CNAC 旁路部署，采用 MVG（Multi-Vendor Gateway）模式，如圖4 所示。

實現原理

CNAC 準入設備通過對新接入終端所在的端口進行VLAN 切換的操作，將不符合要求的終端切換到隔離VLAN，只有符合安全規范要求之后，才會將其切換到正常VLAN，從而到達準入控制的效果。

準入控制流程

圖3 CNAC 旁路部署策略路由PBR 模式

圖4 CNAC 旁路部署采用MVG 模式

1.終端接入網絡，CNAC會將其所在交換機的端口切換到隔離VLAN，打開任何瀏覽器頁面，都會重定向到指定的頁面，進行人員身份信息、部門信息的登記，并提交管理員進行審核。

2.系統管理員在后臺收到終端的注冊信息之后，對其進行批準審核，此時，該終端才能接入網絡，否則該終端在網絡中處于隔離狀態。

3.管理員批準審核之后，終端能夠接入網絡當中，無需再次入網注冊審核。

準入控制效果

經測試，采用該模式不僅策略路由模式下的準入控制效果都能實現，而且同時能夠對全網交換機進行管理。CNAC 能夠呈現出每一個交換機的面板信息：端口狀態、端口下IP/MAC 信息、VLAN、使用人信息、部門等等，實現了到精確到端口級別的準入控制管理，支持HUB、NAT 環境的準入；實現完全基于MAC的準入控制，較好地達到了入網管控效果。

環境要求

1.需要網絡為全二層架構，交換機之間通過trunk連接，沒有使用三層路由協議。

2.需要所有交換機可網管，支持SNMP、Telnet 和SSH 等其中一種遠程登錄方式。

3.現在使用中的VLAN 不能是VLAN1，并針對每個VLAN對應配置一個隔離VLAN。

4.在現有交換機的trunk 接口上，配置放行隔離VLAN。

5.與準入設備直連的交換機需要三個接口，其中一個是管理地址口，另外兩個配置為trunk 口。

項目總結

通過網絡準入控制、終端安全管理及運維審計系統3 道防線，構建了安全的終端開發測試環境，達到了對開發測試區域規范化管理、嚴格控制訪問權限的計劃目標。

但技術方式只是實現目標的一種手段，企業的信息安全還需要結合管理制度、員工安全意識培訓等多方面進行加強，才能將防范和降低安全風險落到實處。