在歷時(shí)18個(gè)月、五個(gè)階段的測(cè)試選型、局部部署試用后，EAD終端準(zhǔn)入控制解決方案在上海出入境檢驗(yàn)檢疫局成功上線應(yīng)用，為內(nèi)部業(yè)務(wù)的信息安全奠定了堅(jiān)實(shí)的基礎(chǔ)?，F(xiàn)在信息技術(shù)與管理部門只要能夠按照EAD端點(diǎn)準(zhǔn)入控制解決方案進(jìn)行終端管理與相關(guān)程序處理即可安享信息安全，而不再每天貧于應(yīng)付各種網(wǎng)絡(luò)信息安全故障。本文重點(diǎn)闡述EAD解決方案在上海出入境檢驗(yàn)檢疫局的成功上線過程，并且對(duì)解決方案上線后的容災(zāi)備份方案進(jìn)行了詳細(xì)論述。

隨著上海出入境檢驗(yàn)檢疫局（以下簡(jiǎn)稱上海局）網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大以及業(yè)務(wù)的不斷擴(kuò)展，網(wǎng)絡(luò)安全問題變得越來越重要。我們發(fā)現(xiàn)在實(shí)際工作中，很多的網(wǎng)絡(luò)安全事件都是由脆弱的用戶終端和"失控"的局域網(wǎng)使用行為引起。在局域網(wǎng)中，用戶終端不及時(shí)升級(jí)系統(tǒng)補(bǔ)丁和病毒庫(kù)的現(xiàn)象普遍存在；私設(shè)代理服務(wù)器、私自訪問外部網(wǎng)絡(luò)、濫用禁用軟件等行為也比比皆是。這些"失控"的用戶終端一旦接入網(wǎng)絡(luò)，就相當(dāng)危險(xiǎn)地繞過了IPS、防火墻這些"馬其諾防線"，直接面對(duì)網(wǎng)絡(luò)核心業(yè)務(wù)。信息化管理處通過各種辦法加強(qiáng)終端用戶，例如通過加密、加權(quán)限、稽查網(wǎng)絡(luò)代理、不斷輔助終端及時(shí)升級(jí)等等，但是結(jié)果顯示依然是貧于應(yīng)付。因此努力建設(shè)一個(gè)強(qiáng)大的終端管理系統(tǒng)，以保證用戶終端的安全，對(duì)用戶的局域網(wǎng)訪問行為進(jìn)行有效的控制，成為安全管理的當(dāng)務(wù)之急。

一、終端準(zhǔn)入控制選型

我們決定在上海局內(nèi)網(wǎng)部署終端準(zhǔn)入控制系統(tǒng)，經(jīng)過對(duì)內(nèi)部應(yīng)用和需求的梳理，要求該系統(tǒng)應(yīng)滿足以下功能需求：

對(duì)接入內(nèi)網(wǎng)的終端實(shí)現(xiàn)用戶身份認(rèn)證。對(duì)于認(rèn)證失敗的用戶，斷開其網(wǎng)絡(luò)連接；認(rèn)證成功但安全性檢查不通過的終端，放入隔離區(qū)自動(dòng)引導(dǎo)其完成主機(jī)完整性修復(fù)；對(duì)于認(rèn)證和安全性檢查全部通過的主機(jī)，按照策略設(shè)定完成相應(yīng)網(wǎng)絡(luò)設(shè)置和終端安全客戶端設(shè)置，滿足終端相應(yīng)權(quán)限的訪問；

能檢測(cè)終端的代理功能設(shè)置。對(duì)私設(shè)代理服務(wù)器、IE代理設(shè)置的終端，必須能及時(shí)限制其訪問；

能對(duì)接入的終端進(jìn)行安全狀態(tài)檢查，包括：防病毒軟件安全檢查、補(bǔ)丁狀態(tài)安全檢查、安裝軟件應(yīng)用檢查等；

具備防ARP攻擊的特性；

該系統(tǒng)能支持冗余配置，具備高可靠性。

目前各主流網(wǎng)絡(luò)廠商都提供終端準(zhǔn)入控制的產(chǎn)品或解決方案，通過對(duì)各解決方案功能的詳細(xì)了解和反復(fù)測(cè)試，上海局最終選用了H3C EAD（End user Admission Domination,以下簡(jiǎn)稱EAD）解決方案。

二、EAD終端準(zhǔn)入控制設(shè)計(jì)原理

1.終端準(zhǔn)入控制的實(shí)現(xiàn)過程

EAD解決方案對(duì)終端用戶的整體控制過程如圖1所示。

圖1  EAD解決方案對(duì)終端用戶的整體控制過程

2.終端準(zhǔn)入控制的原理

EAD的基本原理是通過智能客戶端（iNode客戶端）、安全聯(lián)動(dòng)設(shè)備（如交換機(jī)、VPN網(wǎng)關(guān)、路由器）、安全策略服務(wù)器以及防病毒服務(wù)器、補(bǔ)丁服務(wù)器的聯(lián)動(dòng)實(shí)現(xiàn)的，其基本原理如圖2所示：

圖2   EAD實(shí)現(xiàn)原理圖

用戶終端試圖接入網(wǎng)絡(luò)時(shí)，首先通過智能客戶端進(jìn)行用戶身份認(rèn)證，非法用戶將被拒絕接入網(wǎng)絡(luò)；

合法用戶將被要求進(jìn)行安全狀態(tài)認(rèn)證，由安全策略服務(wù)器驗(yàn)證用戶終端安全狀態(tài)是否符合基于用戶賬號(hào)預(yù)定義的安全策略，包括補(bǔ)丁版本、病毒庫(kù)版本是否合格，軟件安裝允許是否合格、是否使用代理服務(wù)器等信息，不合格用戶將被安全聯(lián)動(dòng)設(shè)備隔離到隔離區(qū)；

進(jìn)入隔離區(qū)的用戶可以進(jìn)行補(bǔ)丁、病毒庫(kù)的升級(jí)、卸載非法程序、取消代理設(shè)置等操作，直到安全狀態(tài)合格；

安全狀態(tài)合格的用戶將實(shí)施由安全策略服務(wù)器下發(fā)的安全設(shè)置，并由安全聯(lián)動(dòng)設(shè)備提供基于身份的網(wǎng)絡(luò)服務(wù)。

3.終端準(zhǔn)入控制的特點(diǎn)

從EAD的控制過程和基本原理可以看出，EAD將終端病毒防護(hù)、補(bǔ)丁修復(fù)等終端安全措施與網(wǎng)絡(luò)接入控制、訪問權(quán)限控制等網(wǎng)絡(luò)安全措施整合為一個(gè)聯(lián)動(dòng)的安全體系，通過對(duì)網(wǎng)絡(luò)接入終端的檢查、隔離、修復(fù)、管理和監(jiān)控，使整個(gè)網(wǎng)絡(luò)變被動(dòng)防御為主動(dòng)防御；變單點(diǎn)防御為全面防御；變分散管理為集中策略管理，提升了網(wǎng)絡(luò)對(duì)病毒、蠕蟲等新興安全威脅的整體防御能力。

三、終端準(zhǔn)入控制在上海局的應(yīng)用

1.選型測(cè)試

為了確保應(yīng)用成功，信息化管理處自2009年開始進(jìn)行產(chǎn)品選型工作，2010年3月份正式開始EAD解決方案的測(cè)試，測(cè)試涉及方案中的多個(gè)產(chǎn)品： iMC智能管理平臺(tái)（Intelligent Management Center）、iMC EAD安全策略組件（End user Admission Domination）、iMC UAM（User Access Manager）用戶接入管理組件、iNode PC客戶端、iNode DC可溶解客戶端，同時(shí)測(cè)試了iMC雙機(jī)熱備功能。

EAD解決方案的選型測(cè)試和局部部署歷時(shí)18個(gè)月，主要包括五個(gè)階段：

第一階段：2010年3月-2010年5月，在信息化管理處網(wǎng)絡(luò)科內(nèi)部初步測(cè)試，測(cè)試內(nèi)容為iNode DC客戶端+Portal EAD功能測(cè)試；

第二階段：2010年6月-2010年10月，在信息化管理處全部門進(jìn)行測(cè)試，測(cè)試內(nèi)容為iNode DC客戶端+Portal EAD功能和iNode PC客戶端+Portal EAD功能測(cè)試；

第三階段：2010年11月-2011年2月，在信息化管理處全部門進(jìn)行測(cè)試，測(cè)試內(nèi)容為iNode PC客戶端+Cisco 802.1x EAD功能測(cè)試；

第四階段：2011年3月-2011年4月，在崇明出入境檢驗(yàn)檢疫局進(jìn)行測(cè)試，測(cè)試內(nèi)容為iNode PC客戶端EAD功能在分支區(qū)縣局的實(shí)際應(yīng)用情況；

第五階段：2011年5月-2011年9月，在上海局和金山、奉賢、南匯等多個(gè)區(qū)縣局實(shí)施測(cè)試；為了保證iMC服務(wù)器的穩(wěn)定性，在上海局信息化管理處機(jī)房實(shí)施并測(cè)試了iMC 雙機(jī)熱備功能。

2.遇到的問題和解決方案

在實(shí)踐過程中，我們遇到了如下一些問題，最終從技術(shù)和管理體制流程兩個(gè)層面進(jìn)行了規(guī)范和解決：

EAD系統(tǒng)支持802.1x認(rèn)證和Portal認(rèn)證等；客戶端采用iNode PC客戶端、iNode DC可溶解客戶端不同方式，何種方式最符合我們的功能需求和現(xiàn)網(wǎng)環(huán)境？

通過測(cè)試，我們發(fā)現(xiàn)網(wǎng)絡(luò)中的原思科公司交換機(jī)產(chǎn)品不能配合EAD系統(tǒng)實(shí)現(xiàn)Portal認(rèn)證。而如果在網(wǎng)絡(luò)匯聚層或核心層增加配置Portal網(wǎng)關(guān)設(shè)備，則對(duì)接入終端的控制點(diǎn)位置太高，不利于進(jìn)行嚴(yán)格控制。同時(shí)iNode DC可溶解客戶端由于技術(shù)限制，功能不如iNode PC客戶端豐富，因此我們最終決定采用iNode PC客戶端配合接入交換機(jī)802.1x認(rèn)證的認(rèn)證方式。

iNode PC智能客戶端與支持標(biāo)準(zhǔn)802.1x協(xié)議的交換機(jī)能配合使用，但部分區(qū)縣局點(diǎn)存在思科公司的C2950、C3550等老款接入交換機(jī)，這些交換機(jī)對(duì)802.1x的功能支持不完善，如只支持single-host模式，同一接入端口不允許下掛多臺(tái)PC終端，而由于布線系統(tǒng)限制，網(wǎng)絡(luò)中恰恰有這種需求，如何解決？

對(duì)于部分老款接入交換機(jī)網(wǎng)絡(luò)設(shè)備802.1x技術(shù)支持不完善的問題，通過將部分同一接入端口下確實(shí)需要連接多臺(tái)終端的接入交換機(jī)網(wǎng)絡(luò)設(shè)備進(jìn)行更換，來確保EAD解決方案的成功實(shí)施。

對(duì)于部分PC終端，同時(shí)安裝了360安全衛(wèi)士軟件與趨勢(shì)殺毒軟件。在安裝iNode PC智能客戶端時(shí)，趨勢(shì)殺毒軟件能夠正常識(shí)別軟件行為，認(rèn)可iNode PC智能客戶端；但是360安全衛(wèi)士軟件誤報(bào)EAD客戶端不安全，客戶端能否正確運(yùn)行？

對(duì)于360安全衛(wèi)士軟件誤報(bào)EAD客戶端不安全的問題；從技術(shù)上，在iNode PC客戶端的安裝包中，添加了暫時(shí)關(guān)閉360安全衛(wèi)士軟件的相關(guān)提示，待軟件安裝完全后，360安全衛(wèi)士軟件可以與iNode PC客戶端正常共存；從管理上，信息化管理處將要求上海局內(nèi)終端計(jì)算機(jī)全部安裝趨勢(shì)殺毒軟件，作為終端計(jì)算機(jī)入網(wǎng)的要求形成文件下發(fā)。

對(duì)于網(wǎng)絡(luò)打印機(jī)等不支持802.1x認(rèn)證的設(shè)備，如何實(shí)現(xiàn)網(wǎng)絡(luò)接入并保證接入交換機(jī)端口的安全性？

為了接入網(wǎng)絡(luò)打印機(jī)等不支持802.1x認(rèn)證的設(shè)備，可以關(guān)閉接入交換機(jī)上連接該類設(shè)備的端口的802.1x認(rèn)證功能，但這會(huì)造成安全漏洞。在該端口上配置MAC地址綁定或MAC認(rèn)證功能，可以避免非法設(shè)備通過該交換機(jī)端口接入網(wǎng)絡(luò)。

3.實(shí)施效果

經(jīng)過一年多的測(cè)試，EAD解決方案能滿足上海局對(duì)終端準(zhǔn)入控制的功能需求，而且也提供了部分桌面管理和資產(chǎn)管理功能（如圖3所示）。

通過交換機(jī)的配合，強(qiáng)制用戶在接入網(wǎng)絡(luò)前通過802.1x等方式進(jìn)行身份認(rèn)證和安全狀態(tài)評(píng)估，確保只有符合安全標(biāo)準(zhǔn)的用戶接入網(wǎng)絡(luò)，實(shí)現(xiàn)了：

沒有在EAD終端準(zhǔn)入控制系統(tǒng)內(nèi)注冊(cè)的PC終端，即使正確配置了IP地址，也無法連入內(nèi)網(wǎng)；

對(duì)于連入內(nèi)網(wǎng)的PC終端進(jìn)行合法性、安全性檢查；合法性主要檢查IP和用戶對(duì)應(yīng)關(guān)系；安全性檢查如檢查防病毒軟件安裝、操作系統(tǒng)補(bǔ)丁的安裝等；

杜絕了內(nèi)網(wǎng)中私設(shè)代理服務(wù)器的現(xiàn)象。

圖3  EAD解決方案組網(wǎng)圖

四、EAD服務(wù)器的容災(zāi)備份

在實(shí)踐了EAD解決方案之后， EAD服務(wù)器的備份就顯得尤其重要了。如果沒有EAD服務(wù)器的備份方案，就可能會(huì)存在一個(gè)導(dǎo)致全網(wǎng)中斷的單點(diǎn)故障。

在充分衡量了各種容災(zāi)備份方案的基礎(chǔ)上，上海局最終采用了最為穩(wěn)妥的Windows群集雙機(jī)熱備加離線逃生工具的備份方案。

如圖4所示，EAD雙機(jī)熱備是采用兩臺(tái)服務(wù)器利用群集軟件實(shí)現(xiàn)服務(wù)器備份冗余的方案。iMC雙機(jī)熱備組網(wǎng)中，SQL Server數(shù)據(jù)庫(kù)和EAD策略服務(wù)器軟件都安裝在存儲(chǔ)設(shè)備上，同一時(shí)間只會(huì)有一臺(tái)服務(wù)器使用共享磁盤陣列上的資源；兩臺(tái)服務(wù)器作為一個(gè)整體，對(duì)外提供一個(gè)虛IP作為服務(wù)器的IP地址；通過Windows的群集管理器軟件保持兩臺(tái)服務(wù)器之間的心跳，實(shí)時(shí)檢測(cè)EAD相關(guān)的進(jìn)程運(yùn)行是否正常，當(dāng)發(fā)生故障時(shí)自動(dòng)將業(yè)務(wù)切換到另一臺(tái)服務(wù)器上。

圖4 iMC雙機(jī)熱備組網(wǎng)示意圖

雙機(jī)熱備組網(wǎng)的優(yōu)點(diǎn)是能夠解決服務(wù)器本身的硬件故障。但是由于只有一套程序文件及數(shù)據(jù)存在，所以不能解決程序文件本身以及數(shù)據(jù)庫(kù)本身的軟件故障。為了解決這個(gè)問題，在部署EAD解決方案的同時(shí)，我們還部署了用戶接入逃生工具。

用戶接入逃生工具（以下簡(jiǎn)稱為"逃生工具"）是iMC EAD解決方案中UAM（User Access Manager）組件的后臺(tái)的替身。如果iMC UAM出現(xiàn)諸如進(jìn)程宕機(jī)、數(shù)據(jù)庫(kù)異常、性能下降等故障無法處理認(rèn)證請(qǐng)求時(shí)，逃生工具將暫時(shí)替代iMC UAM處理請(qǐng)求報(bào)文以保障用戶的業(yè)務(wù)不中斷。逃生工具不驗(yàn)證用戶信息與用戶口令，不做綁定、授權(quán)處理，也不啟用安全認(rèn)證，對(duì)于請(qǐng)求報(bào)文都直接回應(yīng)成功（如圖5所示）。

圖5  iMCEAD逃生示意圖

有了雙機(jī)熱備容災(zāi)備份方案和逃生工具容災(zāi)備份方案的雙保險(xiǎn)，可以應(yīng)對(duì)單臺(tái)服務(wù)器故障、存儲(chǔ)系統(tǒng)故障、iMC程序本身的故障以及數(shù)據(jù)庫(kù)程序的故障，最大程度地保證系統(tǒng)運(yùn)行過程中的穩(wěn)定性，確保上海局業(yè)務(wù)工作正常開展。

五、結(jié)束語

上海出入境檢驗(yàn)檢疫局成功應(yīng)用EAD端點(diǎn)準(zhǔn)入控制解決方案，為內(nèi)部業(yè)務(wù)的信息安全奠定了堅(jiān)實(shí)的基礎(chǔ)。上海局通過試點(diǎn)運(yùn)用等途徑，反復(fù)虛擬實(shí)驗(yàn)與驗(yàn)證，結(jié)果顯示EAD終端準(zhǔn)入控制系統(tǒng)具有很強(qiáng)的實(shí)用價(jià)值與運(yùn)用前景，各單位各部門反映良好。特別是對(duì)于信息技術(shù)與管理部門，只要能夠按照EAD端點(diǎn)準(zhǔn)入控制解決方案進(jìn)行終端管理與相關(guān)程序處理即可安享信息安全，不再每天貧于應(yīng)付各種網(wǎng)絡(luò)信息安全故障。

此外，通過深入挖掘EAD系統(tǒng)的安全管理功能，實(shí)現(xiàn)對(duì)終端的安裝軟件、流量、外設(shè)接口應(yīng)用的深度安全管理，可以將內(nèi)部業(yè)務(wù)網(wǎng)逐步打造成為更可靠、更安全、更智能的網(wǎng)絡(luò)系統(tǒng)。安全可靠的網(wǎng)絡(luò)系統(tǒng)不僅能夠確保上海局的日常業(yè)務(wù)的運(yùn)作，長(zhǎng)遠(yuǎn)來看，對(duì)信息資源最大化利用、提升行政效率，增強(qiáng)公共服務(wù)能力等都大有裨益。