一、需求现状
公安内部信息网经过几年的建设,得到了日益完善和全面的发展,业务涵盖多个领域,公安工作对应用系统的依赖性越来越强,公安的许多对外业务工作也越来越离不开公安网络的支持。
在市民中心、社区服务中心等一些政府为市民提供便捷综合服务的集中办公场所内,都要求设有公安服务窗口(如交警窗口、治安窗口、消防窗口、出入境窗口等),我们将这些场所称为“非公安办公场所”,它们是公安的一线实战单元,这些场所服务窗口的正常业务开展均需要公安信息网的支持。
“非公安办公场所”中的网络和电脑是公安网络的延伸部分,办公地理位置比较分散,对此,我们必须做到,既要保障此类办公场所合理的公安信息网接入需求,又要维护好公安信息网本身的网络信息安全,由此也给公安网带来了安全隐患。该场所内计算机终端的管理、控制、维护就会成为一个突出的问题,因此这些场所中的信息安全管理策略应该更加得到关注和增强,要对这些场所的计算机进行深入的限制性管理。
二、实现目标
按照公安部“金盾工程总体方案设计”和市局“公安网络和信息安全建设指导性意见”,公安网络已经设置了安全综合管理防护体系,包括网络设备身份鉴别和认证、入侵检测、信息过滤、病毒防范、拒绝攻击、安全漏洞扫描和弥补、数据防篡改、安全审计等,并要求达到安全、可靠、实用、便于维护的目的。
但是任何网络和信息系统都不能做到绝对的安全,除了从管理层面上落实安全规章制度、加强培养相关人员的安全保密意识外,更应该从技术层面上采取措施,建立一堵严密的防护墙,增强 “非公安办公场所”的安全管理策略, 保证公安网在非公安场所的安全,其主要内容包括:对终端电脑入网进行增强性认证、对终端电脑进行强化的桌面管理。
三、技术解决方案
(一)终端电脑入网的增强控制
1、方案的提出
在网络链路上进行增强认证,可以采用简单的用户控制列表方式,但此类用户涉及的公安业务内容广泛,因此要保障此类办公场所合理的公安信息网接入需求,又要对终端电脑入网进行有效的认证和审计,采用简单的用户控制列表方式是无法解决的,因而我们提出采用用户认证机制来有效解决这一问题。
2、入网认证需求分析
此类用户所在的办公场所,弱电系统采用综合布线方式,每台需接入公安网的计算机,均直接接入到交换机的一个端口。
公安网接入计算机的IP地址,采用的是静态IP地址,而并非是动态分配的。根据公安部的相关规定,每台公安网接入计算机必须完成公安部的“一机两用”注册登记,因此每台公安网接入计算机的IP地址是固定且唯一的。
用户侧的接入交换机采用的是Cisco 2950以上系列的交换机,支持IEEE 802.1x协议。
对于此类用户,不涉及复杂的上网计费需求,仅需用户认证和审计功能,用于事后追查。
3、用户认证机制选择
目前宽带以太网上的用户认证技术主要有,基于BNAS(宽带接入服务器)和PPPoE(基于以太网的点到点协议)认证方法、基于以太网端口的用户访问控制技术IEEE 802.1x协议、WEB/Portal 认证方式等三种。
而802.1x协议仅仅关注端口的打开与关闭,对于合法用户(根据帐号和密码)接入时,该端口打开,而对于非法用户接入或没有用户接入时,则该端口处于关闭状态。认证的结果在于端口状态的改变,而不涉及通常认证技术必须考虑的IP地址协商和分配问题,是各种认证技术中最简化的实现方案。
4、802.1x认证技术介绍
体系介绍
以太网技术“连通和共享”的设计初衷使目前由以太网构成的网络系统面临着很多安全问题。IEEE 802.1X协议正是在基于这样的背景下被提出来的,成为解决局域网安全问题的一个有效手段。虽然IEEE802.1x定义了基于端口的网络接入控制协议,但是需要注意的是802.1x认证技术的操作粒度为端口,因此该协议仅适用于接入设备与接入端口间点到点的连接方式,其中端口可以是物理端口,也可以是逻辑端口。
IEEE802.1x的体系结构中包括三个部分:Supplicant System用户接入设备;Authenticator System接入控制单元;Authentication Sever System认证服务器。在802.1X协议中,只有具备了以上三个元素才能够完成基于端口的访问控制的用户认证和授权。
(1)用户接入设备:也就是通常所说的客户端,一般安装在用户的工作站上,当用户有上网需求时,激活客户端程序,输入必要的用户名和口令,客户端程序将会送出连接请求。
(2)接入控制单元:即认证系统,在以太网系统中指认证交换机(靠近用户侧的交换机),其主要作用是实现远端授权拨号上网用户服务认证代理功能,完成用户认证信息的上传、下达工作,并根据认证的结果打开或关闭用户连接的端口。
(3)认证服务器:通过检验客户端发送来的身份标识(用户名和口令)来判别用户是否有权使用网络系统提供的网络服务,并根据认证结果向交换机发出打开或保持端口关闭的状态。
认证过程介绍
在具有802.1X认证功能的网络系统中,当一个用户需要对网络资源进行访问之前必须先要完成以下的认证过程。
(1)当用户有上网需求时打开802.1X客户端程序,输入已经申请、登记过的用户名和口令,发起连接请求。此时,客户端程序将发出请求认证的报文给交换机,开始启动一次认证过程。
(2)交换机收到请求认证的数据帧后,将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。
(3)客户端程序响应交换机发出的请求,将用户名信息通过数据帧送给交换机。交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。
(4)认证服务器收到交换机转发上来的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字传送给交换机,由交换机传给客户端程序。
(5)客户端程序收到由交换机传来的加密字后,用该加密字对口令部分进行加密处理(此种加密算法通常是不可逆的),并通过交换机传给认证服务器。
(6)认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息,并向交换机发出打开端口的指令,允许用户的业务流通过该端口,并访问网络。否则,反馈认证失败的消息,并保持交换机端口的关闭状态,只允许认证信息数据通过而不允许业务数据通过。
这里要提出的一个值得注意的地方是: 在客户端与认证服务器交换口令信息的时候,没有将口令以明文直接送到网络上进行传输,而是对口令信息进行了不可逆的加密算法处理,使在网络上传输的敏感信息有了更高的安全保障,杜绝了由于下级接入设备所具有的广播特性而导致敏感信息泄漏的问题。
5、方案的实施
AAA控制中心的建立
采用Cisco的访问控制软件Cisco Secure Access Control System (ACS),安装在一台认证服务器PC Server上,建立AAA控制中心。
对用户侧接入交换机进行配置
用户侧的接入交换机选用Cisco 2950以上系列的交换机,必须能支持IEEE 802.1x协议,具体配置如下:
Switch(config)#――进入全局模式进行配置
802.1x认证功能启用――aaa new-model
aaa authentication dot1x default group radius
设置重认证时间――dot1x re-authentication
dot1x timeout re-authperiod (重认证的时间)
设置认证服务器的IP地址――radius-server host (认证服务器的IP地址)
Switch (config-if)#――进入端口模式进行配置
激活交换机端口的802.1x认证――dot1x port-control auto
对认证服务器上的ACS进行配置
配置接入交换机的信息――选择“Network Configuration”选项,在“AAA Clients”表项中选择“Add Entry”选项,弹出如图1所示对话框。
在“AAA Client Hostname”中填写接入交换机的名称。(可以与接入交换机的hostname不同)
在“AAA Client IP Address”中填写接入交换机的IP地址。(必须与接入交换机的ip address一致)
在“Key”中填写接入交换机的认证口令。
在“Authenticate Using”中选择“RADIUS(IETF)”选项。
选择“Submit”选项提交配置的参数。
<6> 配置用户的信息――选择“User Setup”选项,在“User”对话框中填写需开设的用户名,再选择“Add/Edit“选项,弹出如下图2所示对话框。
在“Supplementary User Info”中填写所开设的用户的关联信息。
在“User Setup”中为开设的用户设置认证口令。
在其他表项中可根据需求为开设的用户设置相应的参数。(如为防止用户口令失窃和口令扩散,可以通过设置限定同时接入具有同一用户名和口令认证信息的请求数量来达到控制用户接入,避免非法访问网络系统的目的)。
选择“Submit”选项提交配置的参数。
对终端用户的设置
在终端用户的计算机上安装相应的IEEE 802.1x 协议拨号软件,用管理员在ACS认证服务器上开设的用户名和口令进行拨号上网。
(二)终端电脑的增强桌面管理
当计算机接入公安网络时,“信通设备管理系统”能自动发现,并强制计算机进行备案登记,否则不容许浏览公安网页。通过登记,系统获得计算机使用人的信息,从而实现对计算机的“户籍” 式电子档案。当计算机进行在线备案登记时,计算机的硬件参数如操作系统、安全补丁、主板、硬盘、内存、显卡、声卡、网卡、机器名、工作组名、IP地址、MAC地址、操作系统、补丁、浏览器、安装软件等能自动获得,并将获得的信息自动反馈服务器,而且自动跟踪这些信息的变动情况。
增强的终端桌面管理是指在计算机本身上进行全面的控制、监测和预警,包括软件控制、设备控制、网络控制,以下一一进行描述。
1、软件控制
软件控制可分为软件黑名单控制和软件红名单控制。
软件黑名单控制:针对在非公安场所使用的公安网计算机,系统可以指定这些计算机不能运行的一些软件进程,例如:游戏、电驴等软件。如果运行则将之强制终止,从而达到对其行为进行控制的目的。即使用户运行的是绿色软件(非安装版本),或者用户修改了应用程序(*.exe)的文件名,也同样逃脱不了系统的监测。
软件红名单控制,系统可以指定某些电脑一定要安装一些软件,如果不安装则不断提示。例如:杀毒软件、监控软件等。
2、设备控制
这里的设备包括光驱、软驱、USB移动存储(如U盘、移动硬盘、录音笔、数码摄像机、数码照相机、手机等)。对设备进行控制的目是减少涉密途径,强化内部安全控制机制。移动存储的多样性决定了移动存储控制是比较复杂的过程。
首先,要在数据泄漏方面,有三大主要途径:软驱拷贝、移动存储拷贝、网络拷贝,其中在个人电脑上实施的移动存储拷贝是最大的、最简便的泄漏源头。
具体措施如下:
(1)实施移动存储设备的认证注册,分部门、分密级,已注册的设备视为合法。
(2)实施移动存储设备的访问限制,不经过认证的不能使用,经过认证的也不一定能在每台电脑上都可以使用。可以指定某一移动存储设备只能在某一电脑上使用,别的就不行;也可以指定某一电脑上除了某一移动设备外,别的设备就不能使用。
(3)实施移动存储设备的访问日志记录。
(4)禁止软驱使用。
(5)其他的措施还包括软件控制、网络控制、桌面巡拍、性能快照等等。
操作包括设备认证、设备管理策略定义、设备管理策略分发、设备使用日志查询,详细分述如下:
1、USB存储认证
要对移动存储设备进行管理,必须先进行注册登记,建立相应的数据库,已注册的设备视为合法,注册登记的界面如图3:
2、设备管理策略定义
在默认的情况下,系统已经有一个“默认组合”,该默认组合允许对所有设备都可以使用。
用户可以定义一个或多个组合,名称可以叫“全部允许(有例外)”、“全部禁止(有例外)”等等。如果想达到所有经过认证的USB设备才能在网络中使用,其他的全部禁止的目的,则可建立一个组合叫“全部禁止(认证外)”,具体做法是:默认情况下全部禁止,经过认证的设备为例外,但这样需要日常维护,即认证完一些移动设备以后,要将之添加到例外中来。
编辑组合的过程是:①如果是新建的,则点击“新增组合”按钮;如果是修改的,则点击左栏已经定义的某个组合名称,然后点击“修改组合”按钮;如果是删除的,则点击左栏已经定义的某个组合名称,然后点击“删除组合”按钮;②编辑组合名称;③选择禁止情况,④在例外框上点击鼠标右键选择菜单项,选择例外的设备;⑤“保存数据”,界面如图4所示。
3、设备管理策略分发
点击左栏的某一组合名称,右栏中会显示该功能的应用目标,点“添加”可以增加目标,点中一目标后点“删除”可以解除对该电脑的控制,点“应用”表示马上实行所有未实施的控制策略,如图5。
4、设备使用日志查询控制情况查询
可查询各种移动设备在各种电脑上的使用日志,如下图所示。
如上图所示,点击左栏的某一组合名称,右栏中会显示该功能的应用目标,状态处打勾√的表示已经将策略应用到目标计算机中,由客户机端监测程序负责控制执行。如图6。
3、网络控制
网络控制包括IP+MAC绑定、IP控制和端口控制。
(1) IP+MAC绑定限制。系统可以指定某些计算机进行IP和MAC地址绑定,保证设备的合法性和唯一性。
(2) IP地址访问限制。系统可以指定某些计算机只能访问有限个范围或拒绝有限范围计算机的访问。
(3) 端口访问限制。系统可以指定某些计算机的一些TCP或UDP端口被禁止,防止非法访问或扫描。
四、小结
在网络交换机上,将接入端口配置为IEEE 802.1x端口,利用这一认证机制可实现按照身份进行访问控制,保证了接入交换机物理端口的安全性;另外,集中式的用户管理控制可使所有的用户身份和密码的维护都集中在分局信息中心统一维护,简化了管理工作量。根据分局公安信息网的建设现状,这种终端电脑的入网增强控制方式,是一种合理有效的解决方案,可充分利用现有的资源,降低成本的投入,并能迅速部署到位。
在终端电脑上,通过制定客户个性化的桌面控制安全策略,对电脑外设硬件使用、软件安装运行、联网访问三方面进行安全管理,更能增强这些场所的信息安全。
蔡晔、陈霄现任职于上海市公安局长宁分局;黄海贵现任职于上海百姓软件有限公司
a&s是国际知名展览公司——德国法兰克福展览集团旗下专业的自动化&安全生态服务平台,为智慧安防、智慧生活、智能交通、智能建筑、IT通讯&网络等从业者提供市场分析、技术资讯、方案评估、行业预测等,为读者搭建专业的行业交流平台。
粤公网安备 44030402000264号
