非公安辦公場(chǎng)所中公安用電腦的安全管理策略

■蔡曄 陳霄 黃海貴

“非公安辦公場(chǎng)所”中的網(wǎng)絡(luò)和電腦處在公安網(wǎng)絡(luò)的延伸部分，既要保障此類辦公場(chǎng)所合理的公安信息網(wǎng)接入需求，又要維護(hù)好公安信息網(wǎng)本身的網(wǎng)絡(luò)信息安全，由此也給公安網(wǎng)帶來了安全隱患。該場(chǎng)所內(nèi)計(jì)算機(jī)終端的管理、控制、維護(hù)就會(huì)成為一個(gè)突出的問題。

一、需求現(xiàn)狀

公安內(nèi)部信息網(wǎng)經(jīng)過幾年的建設(shè)，得到了日益完善和全面的發(fā)展，業(yè)務(wù)涵蓋多個(gè)領(lǐng)域，公安工作對(duì)應(yīng)用系統(tǒng)的依賴性越來越強(qiáng)，公安的許多對(duì)外業(yè)務(wù)工作也越來越離不開公安網(wǎng)絡(luò)的支持。

在市民中心、社區(qū)服務(wù)中心等一些政府為市民提供便捷綜合服務(wù)的集中辦公場(chǎng)所內(nèi)，都要求設(shè)有公安的服務(wù)窗口（如交警窗口、治安窗口、消防窗口、出入境窗口等），我們將這些場(chǎng)所為“非公安辦公場(chǎng)所”，它們是公安的一線實(shí)戰(zhàn)單元，這些場(chǎng)所服務(wù)窗口的正常業(yè)務(wù)開展均需公安信息網(wǎng)的支持。

“非公安辦公場(chǎng)所”中的網(wǎng)絡(luò)和電腦處在公安網(wǎng)絡(luò)的延伸部分，辦公地理位置比較分散，對(duì)此，我們必須做到，既要保障此類辦公場(chǎng)所合理的公安信息網(wǎng)接入需求，又要維護(hù)好公安信息網(wǎng)本身的網(wǎng)絡(luò)信息安全，由此也給公安網(wǎng)帶來了安全隱患，該場(chǎng)所內(nèi)計(jì)算機(jī)終端的管理、控制、維護(hù)就會(huì)成為一個(gè)突出的問題，因此這些場(chǎng)所中的信息安全管理策略應(yīng)該更加得到關(guān)注和增強(qiáng)，對(duì)計(jì)算機(jī)進(jìn)行深入的限制性管理。

二、實(shí)現(xiàn)目標(biāo)

按照公安部“金盾工程總體方案設(shè)計(jì)”和市局“公安網(wǎng)絡(luò)和信息安全建設(shè)指導(dǎo)性意見”，公安網(wǎng)絡(luò)已經(jīng)進(jìn)行了安全綜合管理防護(hù)體系，包括網(wǎng)絡(luò)設(shè)備身份簽別和認(rèn)證、入侵檢測(cè)、信息過濾、病毒防范、拒絕攻擊、安全漏洞掃描和彌補(bǔ)、數(shù)據(jù)防篡改、安全審計(jì)，達(dá)到安全、可靠、實(shí)用、便于維護(hù)的目的。

但是任何網(wǎng)絡(luò)和信息系統(tǒng)都不能做到絕對(duì)的安全，除了從管理層面上落實(shí)安全規(guī)章制度，加強(qiáng)培養(yǎng)相關(guān)人員的安全保密意識(shí)等外，更應(yīng)該從技術(shù)層面上采取措施，建立一堵嚴(yán)密的防護(hù)墻，增強(qiáng) “非公安辦公場(chǎng)所”的安全管理策略， 保證公安網(wǎng)在非公安場(chǎng)所的安全，主要內(nèi)容包括：對(duì)終端電腦入網(wǎng)絡(luò)進(jìn)行增強(qiáng)認(rèn)證、對(duì)終端電腦進(jìn)行增強(qiáng)的桌面管理。

三、技術(shù)解決方案

（一）終端電腦的入網(wǎng)增強(qiáng)控制

1、方案的提出

在網(wǎng)絡(luò)鏈路上進(jìn)行增強(qiáng)認(rèn)證，可以采用簡(jiǎn)單的用戶控制列表方式，但此類用戶涉及的公安業(yè)務(wù)內(nèi)容廣泛，因此要保障此類辦公場(chǎng)所合理的公安信息網(wǎng)接入需求，又要對(duì)終端電腦入網(wǎng)進(jìn)行有效的認(rèn)證和審計(jì)，采用簡(jiǎn)單的用戶控制列表方式是無法解決的，因而我們提出采用用戶認(rèn)證機(jī)制來有效解決這一問題。

2、入網(wǎng)認(rèn)證需求分析

● 此類用戶所在的辦公場(chǎng)所，弱電系統(tǒng)采用綜合布線方式，每臺(tái)需接入公安網(wǎng)的計(jì)算機(jī)，均直接接入到交換機(jī)的一個(gè)端口。

● 公安網(wǎng)接入計(jì)算機(jī)的IP地址，采用的是靜態(tài)IP地址，而并非是動(dòng)態(tài)分配的。根據(jù)公安部的相關(guān)規(guī)定，每臺(tái)公安網(wǎng)接入計(jì)算機(jī)必須完成公安部的“一機(jī)兩用”注冊(cè)登記，因此每臺(tái)公安網(wǎng)接入計(jì)算機(jī)的IP地址是固定且唯一的。

● 用戶側(cè)的接入交換機(jī)采用的是Cisco 2950以上系列的交換機(jī)，支持IEEE 802.1x協(xié)議。

● 對(duì)于此類用戶，不涉及復(fù)雜的上網(wǎng)計(jì)費(fèi)需求，僅需用戶認(rèn)證和審計(jì)功能，用于事后追查。

3、用戶認(rèn)證機(jī)制的選擇

目前寬帶以太網(wǎng)上的用戶認(rèn)證技術(shù)主要有，基于BNAS（寬帶接入服務(wù)器）和PPPoE（基于以太網(wǎng)的點(diǎn)到點(diǎn)協(xié)議）認(rèn)證方法、基于以太網(wǎng)端口的用戶訪問控制技術(shù)IEEE 802.1x協(xié)議、WEB/Portal 認(rèn)證方式三種。

而802.1x協(xié)議僅僅關(guān)注端口的打開與關(guān)閉，對(duì)于合法用戶（根據(jù)帳號(hào)和密碼）接入時(shí)，該端口打開，而對(duì)于非法用戶接入或沒有用戶接入時(shí)，則該端口處于關(guān)閉狀態(tài)。認(rèn)證的結(jié)果在于端口狀態(tài)的改變，而不涉及通常認(rèn)證技術(shù)必須考慮的IP地址協(xié)商和分配問題，是各種認(rèn)證技術(shù)中最簡(jiǎn)化的實(shí)現(xiàn)方案。

4、802.1x認(rèn)證技術(shù)介紹

● 體系介紹

以太網(wǎng)技術(shù)“連通和共享”的設(shè)計(jì)初衷使目前由以太網(wǎng)構(gòu)成的網(wǎng)絡(luò)系統(tǒng)面臨著很多安全問題。IEEE 802.1X協(xié)議正是在基于這樣的背景下被提出來的，成為解決局域網(wǎng)安全問題的一個(gè)有效手段。雖然IEEE802.1x定義了基于端口的網(wǎng)絡(luò)接入控制協(xié)議，但是需要注意的是802.1x認(rèn)證技術(shù)的操作粒度為端口，因此該協(xié)議僅適用于接入設(shè)備與接入端口間點(diǎn)到點(diǎn)的連接方式，其中端口可以是物理端口，也可以是邏輯端口。

IEEE802.1x的體系結(jié)構(gòu)中包括三個(gè)部分：Supplicant System，用戶接入設(shè)備；Authenticator System，接入控制單元；Authentication Sever System，認(rèn)證服務(wù)器。在802.1X協(xié)議中，只有具備了以上三個(gè)元素才能夠完成基于端口的訪問控制的用戶認(rèn)證和授權(quán)。

（1）用戶接入設(shè)備：也就是通常所說的客戶端，一般安裝在用戶的工作站上，當(dāng)用戶有上網(wǎng)需求時(shí)，激活客戶端程序，輸入必要的用戶名和口令，客戶端程序?qū)?huì)送出連接請(qǐng)求。

（2）接入控制單元：即認(rèn)證系統(tǒng)，在以太網(wǎng)系統(tǒng)中指認(rèn)證交換機(jī)（靠近用戶側(cè)的交換機(jī)），其主要作用是實(shí)現(xiàn)遠(yuǎn)端授權(quán)撥號(hào)上網(wǎng)用戶服務(wù)認(rèn)證代理功能，完成用戶認(rèn)證信息的上傳、下達(dá)工作，并根據(jù)認(rèn)證的結(jié)果打開或關(guān)閉用戶連接的端口。

（3）認(rèn)證服務(wù)器：通過檢驗(yàn)客戶端發(fā)送來的身份標(biāo)識(shí)（用戶名和口令）來判別用戶是否有權(quán)使用網(wǎng)絡(luò)系統(tǒng)提供的網(wǎng)絡(luò)服務(wù)，并根據(jù)認(rèn)證結(jié)果向交換機(jī)發(fā)出打開或保持端口關(guān)閉的狀態(tài)。

● 認(rèn)證過程介紹

在具有802.1X認(rèn)證功能的網(wǎng)絡(luò)系統(tǒng)中，當(dāng)一個(gè)用戶需要對(duì)網(wǎng)絡(luò)資源進(jìn)行訪問之前必須先要完成以下的認(rèn)證過程。

（1）當(dāng)用戶有上網(wǎng)需求時(shí)打開802.1X客戶端程序，輸入已經(jīng)申請(qǐng)、登記過的用戶名和口令，發(fā)起連接請(qǐng)求。此時(shí)，客戶端程序?qū)l(fā)出請(qǐng)求認(rèn)證的報(bào)文給交換機(jī)，開始啟動(dòng)一次認(rèn)證過程。

（2）交換機(jī)收到請(qǐng)求認(rèn)證的數(shù)據(jù)幀后，將發(fā)出一個(gè)請(qǐng)求幀要求用戶的客戶端程序?qū)⑤斎氲挠脩裘蜕蟻怼?/p>

（3）客戶端程序響應(yīng)交換機(jī)發(fā)出的請(qǐng)求，將用戶名信息通過數(shù)據(jù)幀送給交換機(jī)。交換機(jī)將客戶端送上來的數(shù)據(jù)幀經(jīng)過封包處理后送給認(rèn)證服務(wù)器進(jìn)行處理。

（4）認(rèn)證服務(wù)器收到交換機(jī)轉(zhuǎn)發(fā)上來的用戶名信息后，將該信息與數(shù)據(jù)庫中的用戶名表相比對(duì)，找到該用戶名對(duì)應(yīng)的口令信息，用隨機(jī)生成的一個(gè)加密字對(duì)它進(jìn)行加密處理，同時(shí)也將此加密字傳送給交換機(jī)，由交換機(jī)傳給客戶端程序。

（5）客戶端程序收到由交換機(jī)傳來的加密字后，用該加密字對(duì)口令部分進(jìn)行加密處理（此種加密算法通常是不可逆的），并通過交換機(jī)傳給認(rèn)證服務(wù)器。

（6）認(rèn)證服務(wù)器將送上來的加密后的口令信息和其自己經(jīng)過加密運(yùn)算后的口令信息進(jìn)行對(duì)比，如果相同，則認(rèn)為該用戶為合法用戶，反饋認(rèn)證通過的消息，并向交換機(jī)發(fā)出打開端口的指令，允許用戶的業(yè)務(wù)流通過端口訪問網(wǎng)絡(luò)。否則，反饋認(rèn)證失敗的消息，并保持交換機(jī)端口的關(guān)閉狀態(tài)，只允許認(rèn)證信息數(shù)據(jù)通過而不允許業(yè)務(wù)數(shù)據(jù)通過。

這里要提出的一個(gè)值得注意的地方是: 在客戶端與認(rèn)證服務(wù)器交換口令信息的時(shí)候，沒有將口令以明文直接送到網(wǎng)絡(luò)上進(jìn)行傳輸，而是對(duì)口令信息進(jìn)行了不可逆的加密算法處理，使在網(wǎng)絡(luò)上傳輸?shù)拿舾行畔⒂辛烁叩陌踩Ｕ希沤^了由于下級(jí)接入設(shè)備所具有的廣播特性而導(dǎo)致敏感信息泄漏的問題。

5、方案的實(shí)施

● AAA控制中心的建立

采用Cisco的訪問控制軟件Cisco Secure Access Control System （ACS），安裝在一臺(tái)認(rèn)證服務(wù)器PC Server上，建立AAA控制中心。

● 對(duì)用戶側(cè)接入交換機(jī)進(jìn)行配置：

用戶側(cè)的接入交換機(jī)選用Cisco 2950以上系列的交換機(jī)，必須能支持IEEE 802.1x協(xié)議，具體配置如下：

Switch（config）#——進(jìn)入全局模式進(jìn)行配置

802.1x認(rèn)證功能啟用——aaa new-model

aaa authentication dot1x default group radius

設(shè)置重認(rèn)證時(shí)間——dot1x re-authentication

dot1x timeout re-authperiod （重認(rèn)證的時(shí)間）

設(shè)置認(rèn)證服務(wù)器的IP地址——radius-server host （認(rèn)證服務(wù)器的IP地址）

Switch（config-if）#——進(jìn)入端口模式進(jìn)行配置

激活交換機(jī)端口的802.1x認(rèn)證——dot1x port-control auto

● 對(duì)認(rèn)證服務(wù)器上的ACS進(jìn)行配置：

配置接入交換機(jī)的信息——選擇“Network Configuration”選項(xiàng)，在“AAA Clients”表項(xiàng)中選擇“Add Entry”選項(xiàng)，彈出如圖1所示對(duì)話框。

圖1

在“AAA Client Hostname”中填寫接入交換機(jī)的名稱。（可以與接入交換機(jī)的hostname不同）

在“AAA Client IP Address”中填寫接入交換機(jī)的IP地址。（必須與接入交換機(jī)的ip address一致）

在“Key”中填寫接入交換機(jī)的認(rèn)證口令。

在“Authenticate Using”中選擇“RADIUS（IETF）”選項(xiàng)。

選擇“Submit”選項(xiàng)提交配置的參數(shù)。

配置用戶的信息——選擇“User Setup”選項(xiàng)，在“User”對(duì)話框中填寫需開設(shè)的用戶名，再選擇“Add/Edit”選項(xiàng)，彈出如圖2所示對(duì)話框。

圖2

在“Supplementary User Info”中填寫所開設(shè)的用戶的關(guān)聯(lián)信息。

在“User Setup”中為開設(shè)的用戶設(shè)置認(rèn)證口令。

在其他表項(xiàng)中可根據(jù)需求為開設(shè)的用戶設(shè)置相應(yīng)的參數(shù)。（如為防止用戶口令失竊和口令擴(kuò)散，可以通過設(shè)置限定同時(shí)接入具有同一用戶名和口令認(rèn)證信息的請(qǐng)求數(shù)量來達(dá)到控制用戶接入，避免非法訪問網(wǎng)絡(luò)系統(tǒng)的目的。）

選擇“Submit”選項(xiàng)提交配置的參數(shù)。

● 對(duì)終端用戶的設(shè)置：

在終端用戶的計(jì)算機(jī)上安裝相應(yīng)的IEEE 802.1x 協(xié)議撥號(hào)軟件，用管理員在ACS認(rèn)證服務(wù)器上開設(shè)的用戶名和口令進(jìn)行撥號(hào)上網(wǎng)。

（二）終端電腦的增強(qiáng)桌面管理

當(dāng)計(jì)算機(jī)接入公安網(wǎng)絡(luò)時(shí)，“信通設(shè)備管理系統(tǒng)”能自動(dòng)發(fā)現(xiàn)，并強(qiáng)制計(jì)算機(jī)進(jìn)行備案登記，否則不容許瀏覽公安網(wǎng)頁。通過登記，系統(tǒng)獲得計(jì)算機(jī)使用人的信息，從而實(shí)現(xiàn)對(duì)計(jì)算機(jī)的“戶籍” 式電子檔案。當(dāng)計(jì)算機(jī)進(jìn)行在線備案登記時(shí)，計(jì)算機(jī)的硬件參數(shù)如操作系統(tǒng)、安全補(bǔ)丁、主板、硬盤、內(nèi)存、顯卡、聲卡、網(wǎng)卡、機(jī)器名、工作組名、IP地址、MAC地址、操作系統(tǒng)、補(bǔ)丁、瀏覽器、安裝軟件等能自動(dòng)獲得，并將獲得的信息自動(dòng)反饋服務(wù)器，而且自動(dòng)跟蹤這些信息的變動(dòng)情況。

增強(qiáng)的終端桌面管理是指在計(jì)算機(jī)本身上進(jìn)行全面的控制、監(jiān)測(cè)和預(yù)警，包括軟件控制、設(shè)備控制、網(wǎng)絡(luò)控制，以下一一進(jìn)行描述。

1、軟件控制

軟件控制可分為軟件黑名單控制和軟件紅名單控制。

軟件黑名單控制：針對(duì)在非公安場(chǎng)所使用的公安網(wǎng)計(jì)算機(jī)，系統(tǒng)可以指定這些計(jì)算機(jī)不能運(yùn)行的一些軟件進(jìn)程，例如：游戲、電驢等軟件。如果運(yùn)行則將之強(qiáng)制終止，從而達(dá)到對(duì)其行為進(jìn)行控制的目的。即使用戶運(yùn)行的是綠色軟件（非安裝版本），或者用戶修改了應(yīng)用程序（*.exe）的文件名，也同樣逃脫不了系統(tǒng)的監(jiān)測(cè)。

軟件紅名單控制，系統(tǒng)可以指定某些電腦一定要安裝一些軟件，如果不安裝則不斷提示。例如：殺毒軟件、監(jiān)控軟件等。

2、設(shè)備控制

這里的設(shè)備包括光驅(qū)、軟驅(qū)、USB移動(dòng)存儲(chǔ)（如U盤、移動(dòng)硬盤、錄音筆、數(shù)碼攝像機(jī)、數(shù)碼照相機(jī)、手機(jī)等）。對(duì)設(shè)備進(jìn)行控制的目是減少涉密途徑，強(qiáng)化內(nèi)部安全控制機(jī)制。移動(dòng)存儲(chǔ)的多樣性決定了移動(dòng)存儲(chǔ)控制是比較復(fù)雜的過程。

首先，要進(jìn)在數(shù)據(jù)泄漏方面，有三大主要途徑：軟驅(qū)拷貝、移動(dòng)存儲(chǔ)拷貝、網(wǎng)絡(luò)拷貝，其中在個(gè)人電腦上實(shí)施的移動(dòng)存儲(chǔ)拷貝是最大的、最簡(jiǎn)便的泄漏源頭。

具體的措施如下：

（1）實(shí)施移動(dòng)存儲(chǔ)設(shè)備的認(rèn)證注冊(cè)，分部門、分密級(jí)，已注冊(cè)的設(shè)備視為合法。

（2）實(shí)施移動(dòng)存儲(chǔ)設(shè)備的訪問限制，不經(jīng)過認(rèn)證的不能使用，經(jīng)過認(rèn)證的也不一定能在每臺(tái)電腦上都可以使用。可以指定某一移動(dòng)存儲(chǔ)設(shè)備只能在某一電腦上使用，別的就不行；也可以指定某一電腦上除了某一移動(dòng)設(shè)備外，別的設(shè)備就不能使用。

（3）實(shí)施移動(dòng)存儲(chǔ)設(shè)備的訪問日志記錄。

（4）禁止軟驅(qū)的使用。

（5）其他的措施還包括軟件控制、網(wǎng)絡(luò)控制、桌面巡拍、性能快照等等。

操作包括設(shè)備認(rèn)證、設(shè)備管理策略定義、設(shè)備管理策略分發(fā)、設(shè)備使用日志查詢，詳細(xì)分述如下：

1、USB存儲(chǔ)認(rèn)證

要對(duì)移動(dòng)存儲(chǔ)設(shè)備進(jìn)行管理，必須先進(jìn)行注冊(cè)登記，建立相應(yīng)的數(shù)據(jù)庫，已注冊(cè)的設(shè)備視為合法，注冊(cè)登記的界面如圖3：

圖3

2、設(shè)備管理策略定義

在默認(rèn)的情況下，系統(tǒng)已經(jīng)有一個(gè)“默認(rèn)組合”，該默認(rèn)組合允許對(duì)所有設(shè)備都可以使用。

用戶可以定義一個(gè)或多個(gè)組合，名稱可以叫“全部允許（有例外）”、“全部禁止（有例外）”等等。如果想達(dá)到所有經(jīng)過認(rèn)證的USB設(shè)備才能在網(wǎng)絡(luò)中使用，其他的全部禁止的目的，則可建立一個(gè)組合叫“全部禁止（認(rèn)證外）”，具體做法是：默認(rèn)情況下全部禁止，經(jīng)過認(rèn)證的設(shè)為例外，但這樣需要日常維護(hù)，即認(rèn)證完一些移動(dòng)設(shè)備以后，要將之添加到例外中來。

編輯組合的過程是：①如果是新建的，則點(diǎn)擊“新增組合”按鈕；如果是修改的，則點(diǎn)擊左欄已經(jīng)定義的某個(gè)組合名稱，然后點(diǎn)擊“修改組合”按鈕；如果是刪除的，則點(diǎn)擊左欄已經(jīng)定義的某個(gè)組合名稱，然后點(diǎn)擊“刪除組合”按鈕；②編輯組合名稱；③選擇禁止情況，④在例外框上點(diǎn)擊鼠標(biāo)右鍵選擇菜單項(xiàng)，選擇例外的設(shè)備；⑤“保存數(shù)據(jù)”，界面如圖4所示。

圖4

3、設(shè)備管理策略分發(fā)

點(diǎn)擊左欄的某一組合名稱，右欄中會(huì)顯示該功能的應(yīng)用目標(biāo)，點(diǎn)“添加”可以增加目標(biāo)，點(diǎn)中一目標(biāo)后點(diǎn)“刪除”可以解除對(duì)該電腦的控制，點(diǎn)“應(yīng)用”表示馬上實(shí)行所有未實(shí)施的控制策略。

圖5

4、設(shè)備使用日志查詢控制情況查詢

可查詢各種移動(dòng)設(shè)備在各種電腦上的使用日志，如圖6所示。

如圖5所示，點(diǎn)擊左欄的某一組合名稱，右欄中會(huì)顯示該功能的應(yīng)用目標(biāo)，狀態(tài)處打勾√的表示已經(jīng)將策略應(yīng)用到目標(biāo)計(jì)算機(jī)中，由客戶機(jī)端監(jiān)測(cè)程序負(fù)責(zé)控制執(zhí)行。

3、網(wǎng)絡(luò)控制

網(wǎng)絡(luò)控制包括IP+MAC綁定、IP控制和端口控制。

（1）IP+MAC綁定限制。系統(tǒng)可以指定某些計(jì)算機(jī)進(jìn)行IP和MAC地址綁定，保證設(shè)備的合法性和唯一性。

（2）IP地址訪問限制。系統(tǒng)可以指定某些計(jì)算機(jī)只能訪問有限個(gè)范圍或拒絕有限范圍計(jì)算機(jī)的訪問。

（3）端口訪問限制。系統(tǒng)可以指定某些計(jì)算機(jī)的一些TCP或UDP端口被禁止,放止非法訪問或掃描。

四、結(jié)束語

在網(wǎng)絡(luò)交換機(jī)上，將接入端口配置為IEEE 802.1x端口，利用這一認(rèn)證機(jī)制可實(shí)現(xiàn)按照身份進(jìn)行訪問控制，保證了接入交換機(jī)物理端口的安全性；另外，集中式的用戶管理控制可使所有的用戶身份和密碼的維護(hù)都集中在分局信息中心統(tǒng)一維護(hù)，簡(jiǎn)化了管理工作量。根據(jù)分局公安信息網(wǎng)的建設(shè)現(xiàn)狀，這種終端電腦的入網(wǎng)增強(qiáng)控制方式，是一種合理有效的解決方案，可充分利用現(xiàn)有的資源，降低成本的投入，并能迅速部署到位。

在終端電腦上，通過制定客戶個(gè)性化的桌面控制安全策略，對(duì)電腦外設(shè)硬件使用、軟件安裝運(yùn)行、聯(lián)網(wǎng)訪問三方面進(jìn)行安全管理，更能增強(qiáng)這些場(chǎng)所的信息安全。