省級氣象部門網(wǎng)絡(luò)架構(gòu)中內(nèi)網(wǎng)準(zhǔn)入的設(shè)計與實現(xiàn)

田曉龍 岑瑤

（內(nèi)蒙古自治區(qū)氣象信息中心 內(nèi)蒙古自治區(qū)呼和浩特市 010051）

1 引言

開放式網(wǎng)絡(luò)是目前各類企業(yè)網(wǎng)絡(luò)環(huán)境的主要形式，人們過去在Internet 的安全接入方面投入了大量的資金，部署了包括防火墻、IPS、IDS、日志檢測系統(tǒng)、態(tài)勢感知平臺等一系列的防病毒安全設(shè)備，但是依然會有各種網(wǎng)絡(luò)安全事件發(fā)生，安全泄露事件層出不窮，開放式的網(wǎng)絡(luò)架構(gòu)在一定程度上可以給企業(yè)內(nèi)部辦公帶來便捷，但同時也增加了相應(yīng)的安全風(fēng)險。同時當(dāng)今科技不斷發(fā)展，不斷出現(xiàn)的新型網(wǎng)絡(luò)病毒、各種蠕蟲、植入木馬以及黑客的遠(yuǎn)程入侵都在威脅著企業(yè)安全，網(wǎng)絡(luò)的安全邊界不斷縮小，傳統(tǒng)意義上的增加服務(wù)器登錄密碼復(fù)雜度已經(jīng)無法解決現(xiàn)有的網(wǎng)絡(luò)泄露問題，企業(yè)IT 基礎(chǔ)設(shè)施建設(shè)受到極大的威脅，數(shù)據(jù)的安全性問題、系統(tǒng)的穩(wěn)定性問題、傳輸?shù)臏?zhǔn)確性問題都受到一定的影響，因此，新一代的內(nèi)部終端準(zhǔn)入安全防御體系開始嶄露頭角，逐漸獲得企業(yè)和市場的認(rèn)可，開始在企業(yè)安全網(wǎng)絡(luò)保障中發(fā)揮日益重要的作用。

2 存在的問題

企事業(yè)單位目前存在各種終端接入的問題，具體如下：

（1）企業(yè)網(wǎng)絡(luò)的內(nèi)部終端接入程序不完善，各種終端接入還是開放、透明的。

（2）存在大量的終端分散性地通過信息口接入網(wǎng)絡(luò)，但這些終端的入網(wǎng)安全基線無法做到合規(guī)合法。如何定位追蹤？如何進(jìn)行有效的接入安全分析和審計？

（3）企事業(yè)單位有部分業(yè)務(wù)是外包的，這就需要不定期的會有部分外包人員需要進(jìn)入內(nèi)網(wǎng)進(jìn)行系統(tǒng)的檢查和檢修，如何保證這些訪問是安全的，訪問權(quán)限必須嚴(yán)格把控。

（4）必須有效控制智能手持設(shè)備及無線設(shè)備的接入管理。

（5）事業(yè)單位的核心數(shù)據(jù)是很重要的一部分內(nèi)容，必須保障數(shù)據(jù)訪問的安全性，同時還要保障核心業(yè)務(wù)系統(tǒng)的穩(wěn)定運行。

（6）目前企事業(yè)單位內(nèi)網(wǎng)中的殺毒軟件有很多較為陳舊，必須更換更為先進(jìn)的殺毒軟件，開啟全面防控。

3 360準(zhǔn)入安全防御系統(tǒng)概況

終端準(zhǔn)入安全防御體系的出現(xiàn)有效地解決了企業(yè)內(nèi)部網(wǎng)絡(luò)中終端設(shè)備混亂接入的問題，準(zhǔn)入系統(tǒng)要求所有終端設(shè)備必須進(jìn)行實名認(rèn)證，統(tǒng)一監(jiān)控，同時對終端設(shè)備上網(wǎng)合規(guī)性進(jìn)行分析，分析潛在的網(wǎng)絡(luò)病毒與威脅，形成分析日志提供給管理員進(jìn)行審核，達(dá)到規(guī)范化管理計算機終端的目的。

內(nèi)蒙古氣象360 準(zhǔn)入安全防御體系主要由360 強制合規(guī)（NAC）引擎設(shè)備、360 天擎設(shè)備以及氣象內(nèi)網(wǎng)終端設(shè)備組成。360 強制合規(guī)（NAC）引擎設(shè)備基于360 天擎軟件集中統(tǒng)一管理，設(shè)備全部部署于內(nèi)網(wǎng)下，管理員在天擎“一體化”平臺對整體準(zhǔn)入安全防御體系進(jìn)行全面控制，具體包括集中策略下發(fā)、設(shè)備批量升級、設(shè)備統(tǒng)一監(jiān)管、區(qū)域分權(quán)管理等方式。360 準(zhǔn)入安全防御體系可實現(xiàn)超大規(guī)模用戶部署，可實現(xiàn)成百上千終端的接入管理，各種靈活的手段讓其可以滿足大型網(wǎng)絡(luò)架構(gòu)的業(yè)務(wù)管理需求，真正實現(xiàn)了設(shè)備分布式部署、集中化管理的要求。

匯率的高低反映一國宏觀經(jīng)濟(jì)運行的基本狀況，不同匯率制度下的匯率波動也會對宏觀經(jīng)濟(jì)變量產(chǎn)生不同的響應(yīng)。因此，匯率制度的選擇與改革對宏觀經(jīng)濟(jì)發(fā)展有著重要影響。

圖1：準(zhǔn)入系統(tǒng)概況

圖2：內(nèi)蒙古氣象數(shù)據(jù)中心準(zhǔn)入設(shè)備系統(tǒng)

內(nèi)蒙古氣象360 準(zhǔn)入安全防御體系支持多種認(rèn)證技術(shù)及方式，系統(tǒng)具備用戶注冊、認(rèn)證授權(quán)、訪問控制等“一站式”的管理操作，同時可以達(dá)到從終端發(fā)現(xiàn)、日志分析、入網(wǎng)追溯的入網(wǎng)安全監(jiān)控，從而使企業(yè)內(nèi)網(wǎng)安全透明、網(wǎng)絡(luò)管理有序高效，全面滿足信息安全管理要求。

4 360準(zhǔn)入安全防御系統(tǒng)部署的技術(shù)特點和優(yōu)勢

（1）360 準(zhǔn)入安全防御系統(tǒng)部署簡單方便，在企業(yè)內(nèi)網(wǎng)下只需要進(jìn)行旁路接入抓取內(nèi)網(wǎng)鏡像流量即可。

（2）只有安裝了360 天擎軟件的終端設(shè)備才可以進(jìn)行準(zhǔn)入打點認(rèn)證，未安裝的終端無法獲得認(rèn)證通過，這樣可以極大的豐富360 天擎的安裝覆蓋率和去化率。

（3）終端客戶發(fā)起入網(wǎng)申請，準(zhǔn)入系統(tǒng)認(rèn)證打點通過之后才可以進(jìn)行訪問，保證訪問安全。

（4）旁路部署簡單，對環(huán)境依賴較小，無風(fēng)險和故障點。

5 360準(zhǔn)入安全防御系統(tǒng)建設(shè)及應(yīng)用分析

終端應(yīng)用準(zhǔn)入是一種網(wǎng)關(guān)準(zhǔn)入防護(hù)技術(shù)，目的是在網(wǎng)絡(luò)傳輸層進(jìn)行安全防護(hù)，防止非法終端未通過認(rèn)證的情況下訪問企業(yè)核心區(qū)域資源，規(guī)范企業(yè)內(nèi)部入網(wǎng)流程，同時實時對入網(wǎng)終端進(jìn)行安全檢查，可滿足企業(yè)入網(wǎng)的合規(guī)性管理要求。

圖3：內(nèi)蒙古氣象數(shù)據(jù)中心準(zhǔn)入系統(tǒng)入網(wǎng)流程展示

如圖1 所示，360 強制合規(guī)（NAC）設(shè)備引擎采用旁路部署，檢測入網(wǎng)終端是否安裝360 天擎客戶端，達(dá)到入網(wǎng)遵從條件，提高客戶端部署效率、防止360 天擎去化率過高，保障入網(wǎng)終端是在安全可控范圍內(nèi)，防止非合規(guī)性終端訪問企業(yè)核心資源服務(wù)器。NAC設(shè)備來判斷是否攔截未安裝天擎客戶端的終端，達(dá)到入網(wǎng)安全性檢測，配置安全檢查策略可實現(xiàn)更加細(xì)粒度的入網(wǎng)合規(guī)要求。

6 內(nèi)蒙古氣象360準(zhǔn)入安全防御系統(tǒng)建設(shè)規(guī)劃與分析

如圖2 所示，內(nèi)蒙古氣象信息中心準(zhǔn)入系統(tǒng)中360 天擎強制合規(guī)（NAC）設(shè)備采用單機核心網(wǎng)絡(luò)旁路接入的部署方式，通過一條千兆網(wǎng)線直連內(nèi)網(wǎng)區(qū)域核心交換機，核心交換機預(yù)留流量鏡像口，準(zhǔn)入設(shè)備通過采集核心交換機流量鏡像來進(jìn)行分析認(rèn)證，同時再通過一條管理網(wǎng)線直連核心電口進(jìn)行管理登錄，配置內(nèi)網(wǎng)可登錄狀態(tài)，達(dá)到辦公室即可操作認(rèn)證管理的目的。

準(zhǔn)入系統(tǒng)管理員可以強制重定向安裝天擎客戶端的頁面地址，重定向地址可以是NAC 控制臺地址、可以是當(dāng)前服務(wù)器也可以是其他天擎服務(wù)器的地址。管理員登錄準(zhǔn)入管理頁面，選擇相應(yīng)的重定向頁面進(jìn)行添加，終端用戶訪問內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)的時候會自動切換到重定向頁面。終端用戶選擇安裝天擎軟件進(jìn)行注冊，同時用以管理自己的終端設(shè)備。

360 天擎強制合規(guī)安全系統(tǒng)支持詳盡的接入終端的健康情況，每臺終端會有一個平均體檢分?jǐn)?shù)和健康率，管理員根據(jù)系統(tǒng)提供的數(shù)據(jù)全方位的追溯和分析終端接入和安全狀態(tài)，下發(fā)整改文件，要求相應(yīng)的終端用戶進(jìn)行病毒查殺和漏洞修復(fù)，每臺終端會有未修復(fù)漏洞數(shù)量統(tǒng)計，這樣可以實時保護(hù)終端電腦免受病毒侵襲，對所有的用戶都起到了監(jiān)控和督查的作用。

360 天擎強制合規(guī)安全系統(tǒng)提供接入認(rèn)證終端的終端概況，具體包括不同的分組和不同的用戶所展示的不同信息，分組信息主要展示了所屬分組下面的入網(wǎng)終端數(shù)量、360 天擎軟件安裝率，漏洞數(shù)量和體檢分。個人用戶主要顯示用戶注冊打點中輸入的用戶名、使用人、房間號、手機等個人信息，同時還顯示終端設(shè)備的TP 地址，操作系統(tǒng)、設(shè)備類型以及最后在線時間。

7 結(jié)束語

目前，內(nèi)蒙古氣象360 準(zhǔn)入安全防御系統(tǒng)內(nèi)部可以實現(xiàn)全部入網(wǎng)終端設(shè)備的安全防御要求，但是目前僅僅停留在網(wǎng)絡(luò)層面的管理準(zhǔn)入，對于無線路由器的內(nèi)網(wǎng)擴(kuò)散式終端連接無法做到全部管控，無線終端可以共用相同的IP 地址，只需要注冊一次就可允許多終端使用，目前本省氣象內(nèi)網(wǎng)架構(gòu)采取無路由器辦公狀態(tài)，全部采用有線網(wǎng)絡(luò)連接，后續(xù)將不斷完成升級，豐富安全準(zhǔn)入流程，并配合AC 控制器進(jìn)行使用，實現(xiàn)對全部入網(wǎng)終端物理地址的管控。