信息时代的商业银行,企业网络已经成为开展现代金融业务的关键基础设施,对企业网的安全性要求也越来越高,防火墙、入侵检测和防病毒系统的应用已为我们构建了全面的企业网安全体系。
然而,木马、病毒、蠕虫等恶意代码却无处不在,银行这样的大型企业用户也频频中招。究其原因,除防病毒软件自身相对于新病毒、木马变种的滞后性外,更主要的是,总有一些用户会卸载掉统一安装的防病毒软件和其他安金管理软件,换上自认为更好用的或干脆不装,又由于更新不及时或系统漏洞导致中毒或被攻击,进而影响整个网络。
如何确保做到在网络内部的每一台计算机上都按要求安装了统一的防病毒软件及其他安全管理软件是银行信息安全部门一直面临的难题,仅仅依靠安全制度的要求是不够的,安全管理制度缺少相应的技术手段是很难有效地执行下去。因此,我们迫切需要通过安全技术手段来实现安全管理。安全准入就是这样一种用于实现企业网内部个人计算机安全管理的技术手段。
一、安全准入技术方案概述
对于要接入企业内部网络的计算机用户,首先要对其进行身份认证,通过身份认证的用户再进行一次安全认证,检查企业的安全管理策略执行情况,包括防病毒软件是否安装、病毒库是否更新的、系统补丁安装情况以及企业禁用软件等内容的安全检查。只有符合安全策略要求才能接入网络,如果不符合要求则只能访问隔离区的资源。隔离区的实现原理是通过安全联动设备,在办公区的核心交换机上建立访问控制列表,准人控制系统与交换机进行联动,对没有通过安全检查的用户,对该用户下发访问控制,使该用户只能访问隔离区的服务器。该方案对用户网络准人的整体认证过程如图1所示
二、安全准入技术的选择与部署
目前的安全准入控制技术主要分为两大类:基于网络的准人控制和基于主机的准人控制。基于网络的准入技术主要有EAPoL(Extensible Authenti—cation Protocol 0ver LAN)技术、EAPOU(ExtensibleAuthentication Prot06iM Over UDP)技术、网络Plug—in技术;基于主机的准入技术主要有系统及应用准人控制、客户端准入。基于网络的准人技术依赖于网络设备对相关协议的支持,如802.1X,其配置和管理也相对复杂;基于主机的准入技术容易部署,但控制强度较弱。
考虑到银行的网络环境较好,网络设备型号比较统一,尽管网络规模较大,但网络集中程度较高,因此,在一个区域的局域网内实施安全准入时可以选择基于网络的准入技术。基于主机的准入技术虽然比较容易部署,但由于银行服务器众多,要在局域网内每一台服务器上部署控制软件,绝非易事。802.1x协议作为一种标准局域网的数据包协议,几乎得到所有网络设备厂商的支持。因此,我们采用802.1x协议作为我们实现基于网络的安全准人控制。
实施准入控制系统,主要考虑部署四个功能组件:安全客户端及客户端插件接口、客户端管理代理、安全策略服务器和安全认证服务器。出于节省投资的考虑,也可以将安全策略服务器和安全认证服务器部署在同一台服务器上。
全网的管理核心即安全认证服务器,支持与路由器、LAN接人设备等网络产品共同组网,完成终端用户的认证、授权、计费和权限管理,实现网络的可管理、可运营,保证网络和用户信息的安全。
安全认证服务器组件的主要功能是对终端用户的安全策略进行配置;安全策略服务器则用于对用户终端的染毒状况、杀毒策略、系统补丁、软件使用情况进行集中管理、强制配置(如强制病毒客户端升级、强制打补丁),确保全网安全策略的统一,提供端到端的安全保护。同时,它们通过客户端管理代理与安全客户端相配合,记录用户的安全日志,并提供查询及监控功能,为网络管理员提供网络安全状态的详细信息。图2是安全准人的一个典型部署。
图2安全准入的典型部署示意图
用户的认证过程可以分为两个步骤:用户身份认证和安全认证。
用户身份认证在安全认证服务器上进行,通过用户名和密码来确定用户是否合法。身份认证通过后,用户处在图2中的隔离区,与此同时发起安全认证。如果安全认证通过,则用户的隔离状态被解除,可以正常访问网络资源;如果安全认证不通过,则继续隔离用户,直到用户完成相关修复操作后通过安全认证为止。
三、安全准入系统可实现的主要功能
(一)强身份认证
在用户身份认证时,可绑定用户接人IP、MAC、接人设备IP、端口和VLAN等信息,进行强身份认证,防止账号盗用、限定账号所使用的终端,确保接人用户的身份安全。
(二)危险用户隔离
对于认证时安全检查不合格的用户,可以限制其访问权限(通过ACL隔离),使其只能访问防病毒服务器、补丁服务器筹用于系统修复的网络资源。
(三)软件安装和运行检测
检测终端软件的安装和运行状态,可以限制接入网络的用户必须安装、运行或禁止安装、运行其中某些软件。对于不符合安全策略的用户可以记录日志、提醒或隔离。
(四)匿名认证功能
客户端与安全认证服务器配合,提供用户匿名认证功能,用户不需要输入用户名、密码即可完成身份认证和安全认证。
(五)防代理
可以限制用户使用和设置多网卡、IE、代理服务器等代理形式,防止用户终端成为内外网互访的桥梁,避免因此可能造成的信息安全问题。
(六)防病毒软件联动
主要包含两个方面,一是个人办公计算机用户接入网络时,检查其计算机上防病毒软件的安装运行情况以及病毒库和扫描引擎版本是否符合安全要求等,不符合安全要求的可以根据策略阻止用户接入网络或将其访问限制在隔离区。二是用户接入网络后,定期检查其防病毒软件的运行状态,如果发现不符合安全要求的可以根据策略强制让用户下线或将其访问限制在隔离区。
(七)操作系统补丁检查与修复
评估终端操作系统的补丁安装是否合格,修复方式可以是手动修复和与微软WSUS联动自动修复两种。
(八)终端安全状态实时监测
安全客户端可以定时检测用户安全状态,防止用户上网过程中因安全状态发生变化而造成的与安全策略的不一致。
(九)客户端版本检测
可以检测安全客户端的版本,防止使用不具备安全检测能力的客户端接入网络,同时支持客户端自动升级。
(十)强制用户下线
管理员可以强制行为“可疑”的用户下线。
四、安全准入系统的应急方案
实现了全网的安全准入控制后,一旦准人控制系统失灵,将出现所有个人计算机用户无法访问局域网的故障,办公自动化系统、邮件系统、及其他重要的银行业务系统均无法登录,其故障严重程度可想而知。因此,就对准人控制系统的可用性和容灾性提出了非常高的要求,安全准入系统的应急是我们必须考虑的问题。为保证准入控制系统稳定、可靠的运行,出现问题能够在最短的时间内保证接人用户不受影响,我们这里提出两种应急解决方案。
方案一:安全认证服务器双机热备在接人设备上配置从认证服务器,一旦主认证服务器瘫痪,会自动切换到从认证服务器上进行认证。
设备与主认证服务器之间通讯中断,发出的认证请求在一定时间内未收到响应,自动将请求发往从认证服务器,同时将主服务器状态置为block。等待一定的时间间隔后,再次尝试将认证请求发往主认证服务器,若通讯恢复则立即将主服务器状态置为active,从服务器状态不变。
当设备自动切换到从认证服务器上认证时,为了不对终端用户产生影响,需要主、从认证服务器的数据库数据尽可能地完全同步。认证服务器的用户信息储存于后台数据库中,可利用共用的存储设备上存放而非存放在本地服务器的方法解决数据同步问题。
方案二:安全认证服务器冷备
所谓冷备指的是数据库并非在运行状态中实时同步,而是通过定时地从主服务器获取数据库备份,再还原到从认证服务器上来完成同步的工作。
使用DBMAN工具可以实现数据库的自动备份与恢复,定耐从主服务器将数据库备份出来,然后再自动通过FTP传送到从服务器上,从服务器同样利用DBMAN工具自动还7原数据库。整个备份还原的操作能够在无人值守的状况下进行。