鐵路信息網絡準入控制方案研究

紀 方 仇士春 趙 林

鐵路信息網絡是一個復雜的、分層、分域的網絡環境，橫向上鐵路總公司和各鐵路局機關局域網分為外部服務網、內部服務網、安全生產網，縱向上分為鐵路總公司、鐵路局及站段三級結構。鐵路信息網絡對外與互聯網連接，內部有廣域網實現鐵路總公司、路局及站段的聯通。內外服務網之間通過網絡安全平臺進行信息交換。在鐵路信息網絡中運行著大量的業務系統，工作人員可利用連入外部服務網及內部服務網的辦公終端完成日常的各種業務。

由于病毒、木馬日益肆虐，鐵路信息網絡對信息安全的建設非常重視，從網絡邊界、計算環境、應用、通信等方面進行全方位的信息安全防護設計及建設。現有安全措施已經提供了網絡安全各層面的防護，起到了很好的網絡安全防御效果。但是，對于終端接入還沒有完善的安全控制防范機制，如用戶的認證、授權、審計等。通常，網絡中的大部分資源濫用和未經授權的訪問均來自于內部。因此，需要對網絡終端進行準入控制，識別網絡用戶的身份，執行相關設定的控制策略，從而提高網絡的可用性和安全性。

1 網絡準入控制技術

現在國際上關于網絡準入控制的技術主要分為二類，一類是基于協議的終端安全準入技術，另一類是專有的終端安全準入技術。基于協議的網絡終端準入技術主要包括:802.1x準入、EOU準入、PORTAL準入、ARP干擾準入等。

1.801.1x準入。這是一種國際標準的準入控制技術，全稱為基于端口的網絡訪問控制技術，主要通過在交換機中集成該技術，實現終端計算機接入時的身份鑒別及健康檢查等控制。在現有的幾乎所有交換機中都支持該技術。

2.EOU準入。這是CISCO公司專有的一種準入控制技術，通過配合CISCO交換機，實現終端接入網絡的安全控制，可以實現HUB連接主機的安全接入控制。該技術只有在CISCO的交換機上具備。

3.PORTAL準入。PORTAL是一種三層網絡接入認證，在認證之前用戶首先要獲取地址，這點與802.1x不同。未認證用戶上網時，強制用戶登錄到特定站點，用戶可以訪問其中的服務。當用戶需要使用網絡中的其他資源時，必須在門戶網站進行認證，只有認證通過后才可以使用網絡資源。

4.ARP干擾準入。通過發送ARP欺騙包實現對不合法終端攔截入網。該技術對非法主機有效，對于合法主機的接入控制無效。另外，由于該技術使用了ARP欺騙，存在可以繞過該控制的機制，因此該技術并不能徹底解決終端準入問題。

專有的終端安全準入技術主要包括網關級準入、域認證、交換機MAC綁定及自建等技術。由于這些技術使用專有協議，并且技術不標準，其安全性及可靠性需要專門分析。

2 鐵路信息網絡準入控制方案研究

網絡準入控制 (NAC)利用終端準入技術對終端準入進行控制，其發展經歷了以下3個階段。

第一代，基于端點系統的架構Software-based NAC:純軟件方式的準入，主要是桌面廠商的產品，采用ARP干擾、終端代理軟件的軟件防火墻等技術。

第二代，基于基礎網絡設備聯動的架構Infrastructure-based NAC:與網絡設備聯動的準入，主要是采用80X，EOU，PORTAL的產品。

第三代，基于應用設備的架構Appliance-based NAC:單臺設備實現的準入，支持多種準入技術，不需要大量安裝客戶端，具有框架無關性和很好的網絡兼容性。

由于第三代網絡準入控制系統不需要大量安裝客戶端，并且具有框架無關性和很好的網絡兼容性，因此適用于鐵路信息網絡終端數量眾多、類型多樣的環境，并且不需要調整網絡結構，實施和部署比較便捷。為此，鐵路信息網絡準入控制方案將采用第三代準入控制技術架構，以身份認證、安全檢查、權限控制、安全審計為核心，其中身份認證與鐵路CA系統結合，實現基于證書認證的準入控制，安全檢查通過監測計算機的病毒、木馬狀態營造安全的運行環境，權限控制使得合法用戶接入網絡后只能干合法的事情，安全審計對合法計算機的各種操作行為進行記錄、審計及備案。

2.1 工作流程

終端入網需要經過身份認證、安全檢查、授權訪問等過程。入網流程如圖1所示。

圖1 入網流程

身份認證:對接入網絡的終端進行身份識別，識別的信息包括用戶姓名、設備名稱、操作系統版本等，沒有通過身份認證的終端不允許進入網絡。

安全檢查:根據管理員設置的檢查項目 (殺毒軟件安裝、補丁安裝、加入域、必須安裝的軟件、不允許安裝的軟件)對終端進行合規性檢查，對不合規的終端進行隔離、修復。

隔離修復:針對上一步驟中出現的不合規的終端進行修復，終端可以被引導到相應的修復界面，比如沒裝殺毒軟件的客戶端被重新定向到殺毒軟件的安裝界面，沒打系統補丁的終端定向到補丁修復的界面。

授權訪問:根據用戶所屬的角色不同，對其網絡訪問進行授權，讓用戶“只能訪問到他應該訪問的資源”，比如訪客只能訪問限定資源;普通員工可以訪問普通資源，總經理可以訪問機密資源。

2.2 系統架構

由于不合法主機的接入及對網絡資源的隨意訪問帶來的威脅最大，本方案將以終端計算機合法準入作為控制核心，主要采用PORTAL準入、802.1x準入，并通過對準入后的終端計算機實施安全措施，保證合法主機只能做合法的事。系統架構如圖2所示。

圖2 系統架構

網絡終端準入控制實現終端入網安全規范管理，解決了計算機終端隨意入網的問題，避免因個別不安全終端導致的內網大面積堵塞和癱瘓，為鐵路核心業務的持續和穩定運行提供了可靠的支撐和保證。網絡終端準入控制防止非法終端進行非法訪問，合規受控的終端才能夠獲得相應的訪問權限，防止移動介質隨意接入網絡，保證了鐵路核心業務數據不外泄。網絡終端準入控制防止非法終端進行內網訪問，以及內網終端非法訪問外網，有效切斷感染蠕蟲病毒的非受控終端對合規終端的病毒感染和傳播。

2.3 部署方案

以下說明網絡終端準入控制方案的部署。鐵路局域網分為外部服務網、內部服務網和安全生產網。根據鐵路信息網絡的劃分情況，在外部服務網和內部服務網分別部署網絡終端準入控制系統。如圖3、圖4所示。分別針對員工、運維終端、VPN接入、無線接入、訪客進行入網管理。

圖3 外部服務網部署方案

圖4 內部服務網部署方案

1.員工入網管理。在鐵路局域網內部，接入終端通過交換機接入網絡。這些接入終端的安全狀態將直接影響整個網絡的運行安全。保證了這些終端的安全也就保證了整個網絡的安全，因此需要對這些終端的入網進行嚴格的審核。審核的過程即身份認證、安全檢查、隔離修復、授權訪問等步驟，通過這些步驟可以保證入網終端的安全性。入網時使用數字證書的方式進行認證，進入網絡后依據員工所屬的角色進行網絡訪問。

2.運維終端管理。現階段隨著鐵路信息化建設的不斷開展，鐵路信息網絡中部署了越來越多的服務器及網絡設備，各種服務器在必要時需要廠家人員進行現場實施及維護。這些維護人員屬于外來人員，但是他們需要利用鐵路信息網絡進行相關的業務工作，因此需要對這些終端的入網進行嚴格的審核，并且使用專用的運維終端，入網時使用數字證書的方式進行認證，進入網絡后依據用戶所屬的運維人員角色進行網絡訪問。

3.VPN接入管理。員工通過VPN遠程接入鐵路信息網絡，從而實現異地辦公，這給員工工作帶來極大的便利，但也給網絡帶來非常大的安全隱患。這些遠程接入的計算機因處在互聯網中，本身可能已經是病毒、木馬的攜帶者，一旦通過VPN接入，就會感染局域網的其他計算機，造成整個網絡的癱瘓，因此必須要對VPN接入的終端實施更加嚴格的防護策略。VPN接入的終端只允許接入到外部服務網的VPN接入區域，不能直接接入內部服務網，通過網絡安全平臺實現內外網信息交換，入網時使用數字證書的方式進行認證，進入網絡后依據用戶所屬的移動辦公角色進行網絡訪問。

4.無線接入管理。無線接入和傳統的網線接入相比更加方便，可讓終端擺脫網線的限制，也可以讓很多沒有網口的設備 (比如IPAD、智能手機等)接入網絡，但是也給網絡帶來極大的安全隱患。很多無線AP都使用了弱口令，極易破解;或者這些口令被員工所熟知，隨意傳播，外來人員很容易就可以獲得無線AP的口令，因此使用AP口令已經無法保證網絡的安全。對于無線接入的終端，只允許接入到外部服務網的無線接入區域，不能直接接入內部服務網，通過網絡安全平臺實現內外網信息交換，入網時使用數字證書的方式進行認證，進入網絡后依據用戶所屬的移動辦公角色進行網絡訪問。

5.訪客接入管理。隨著業務的拓展，各種訪客來訪、接入網絡也是不可避免的事情，和內部員工相比，訪客具有更大的不確定性，所以，需要在訪問權限上加以嚴格控制，不能讓訪客隨意訪問內網的資源，并且對訪問的時間加以限制。

3 結束語

本文提出的鐵路信息網絡準入方案的優勢在于采用先進的第三代準入控制技術架構，不需要大量安裝客戶端，具有框架無關性和很好的網絡兼容性，不需要調整網絡結構，實施和部署比較便捷。本方案以身份認證、安全檢查、權限控制、安全審計為核心，對網絡終端的接入進行控制，從網絡安全防范的源頭入手采取控制措施，提高了信息網絡的安全性。

［1］ 李赟.一種企業網用戶可信接入解決方案［J］.鐵路信息技術與電子商務，2010(12).

［2］ 盈高.ASM入網規范管理系統［EB/OL］.廣東銘冠信息科技有限公司.2012.04.13 http://www.gzmcrown.com/infogo/infogo.htm.

［3］ 范紅斌.網絡準入控制在大中型企業中的應用［J］.無限互聯科技，2013(4).

［4］ 張莉，齊錦.網絡準入控制技術與設計［J］.通信技術，2009(9).