氣象部門終端入網控制系統的設計與實現

鐘 磊,田 征,郭宇清

(國家氣象信息中心,北京 100081)

0 引 言

隨著氣象信息網絡的快速發展,氣象行業各類設備數量增加,國家級氣象內網辦公設備總量超過7 000臺,涉及大量嵌入式產品和國產化設備;設備變更頻率明顯加快,外協力量的補充和調整使設備變更的時間間隔進一步縮短;動力環境、智能門禁等設備的廣泛應用,對系統的兼容性提出了新的要求,由此帶來傳統的管理模式無法適應新的業務環境。針對實際情況,設計和實現一套新的終端入網控制系統對接入設備做到智能化和自動化管理。

國內政府機構和國外大型企業在以上方面進行了研究,國稅總局通過對稅務網絡建立嚴格的準入控制,實現業務設備和使用人員的高度準確和可信[1];國電系統通過入網控制與終端安全進行后臺聯動,保證接入設備的可靠性和安全性[2]。谷歌等國外企業通過身份信息融合和私有協議認證,實現身份信息的多元化認證和身份授權[3]。

氣象部門在入網終端管理方面面臨如下挑戰:第一,缺乏自動化發現和控制接入設備的能力,在設備接入時無法第一時間發現和識別身份;第二,入網設備種類眾多,傳統的管理方法和運維方式無法滿足實際需求;第三,現有管理模式無法做到身份信息自動且準確的更新,同時本地存儲的信息也存在被竊取的風險;第四,接入設備可能存在惡意程序潛伏,需要保證接入設備的安全性。

為解決以上業務管理問題,該文設計和實現了一套適用于氣象部門的終端入網控制系統,將多種身份認證技術進行結合,實現秒級響應的智能化管理;與國家級氣象部門統一信任服務體系進行數據交互,達到身份信息認證數據的高度可信,減少傳統認證方式可能存在的數據欺騙;與終端安全管理系統對接,大幅提升了智能化終端抵御惡意程序入侵和網絡攻擊的能力。新系統在國家級氣象部門的應用,驗證了相關設計的優越性,對同類部門相關建設有一定的借鑒作用。

1 技術原理

1.1 入網控制技術原理

入網控制技術種類眾多,既有Portal,802.1X等基于傳統網絡層面的認證技術,也有短信、設備指紋和人臉識別等新興技術。Portal技術通過B/S結構,利用客戶本身WEB瀏覽器開展認證,該方式對設備的兼容性高,可與其他技術結合實現多因素認證;802.1X依托C/S模式和交換機實現聯動,可以實現對接入設備的嚴格控制,但對非智能終端的管理較為繁瑣;短信、指紋和人臉識別技術依托具有時效的驗證碼、唯一性身份ID等數據核驗身份,相較于傳統技術更加難以偽造,安全性得到近一步提升,但以上技術需要第三方設備配合,實現門檻較高[3-4]。

SNMP是TCP/IP協議簇的一個應用層協議,目前應用最為廣泛的是SNMPv2和SNMPv3兩個版本[5-7]。常見的SNMP系統一般由MIB(Management Information Base,管理信息庫)、SMI(Structure of Management Information,管理信息結構)以及SNMP報文協議等部分組成。MIB是被管理對象的集合,它定義了被管理對象的一系列屬性,每個SNMP設備通過唯一的OID(Object identifier,對象標識符)來標識和命名[8],而SMI定義了SNMP框架所用信息的組織、組成和標識等信息。SNMP報文結構包括版本號、團體字、協議數據單元三個部分,其報文具體結構示意如圖1所示[9-10]。

國內外主流網絡產品均支持該協議獲取設備的運行和接口狀態等信息,與終端入網控制系統配合使用能夠快速定位設備接入位置。

1.2 統一信任服務原理

統一信任服務以國密標準的數字證書為基礎,按照氣象部門統一技術標準、統一業務流程、統一數據格式,為用戶、業務應用及部分網絡設備提供統一的資源信息管理、身份認證、單點登錄、訪問控制、授權管理、時間戳簽發和驗證等全程全網的身份認證相關服務,解決網絡接入身份驗證、組織機構分散、用戶信息分離、業務應用系統重復登錄的問題,實現全網資源的安全共享、業務訪問控制、網絡入網管控,達到“一次認證、全網通行”的效果。國家級氣象部門通過統一信任服務,逐步替代不同系統的身份信息,形成氣象行業特有的統一信任服務體系。

2 系統設計

2.1 控制技術設計

氣象辦公網絡中,終端數量眾多且存在業務和辦公共用網絡的現象,業務系統一般為無人值守自動化運行,Portal等傳統技術無法實現定期自動化的二次身份認證,對于部分業務系統會產生影響;適用于指紋、人臉識別等新興技術的數據采集設備無法大面積配屬各終端;在網交換機等性能有限,基于VLAN控制的認證方式需要頻繁切換網絡設備的端口狀態,切換過程需要使用交換機口令或SNMP寫權限,相關數據被泄露直接威脅網絡設備的安全[11]。綜上,本次設計采用多種管控技術相結合的方式滿足實際要求:通過類ARP阻斷包技術、同步使用SNMP技術,結合Portal引導界面的方式實現入網控制。該方式通過將多種認證方式相結合,能夠自動化地引導完成認證,交互形式更為人性化。利用各類設備在接入網絡時會發送廣播包宣告上線的通信特點,在所有辦公網段內采集和識別該信息,同時通過SNMP只讀團體字,確定上線設備具體信息,通過類ARP包引導用戶通過WEB界面開展認證;該模式可以大幅減少客戶端形式帶來的兼容問題,最大限度地適應不同設備的認證,入網控制設計流程示意圖如圖2所示。

圖2 入網控制設計流程示意圖

2.2 統一信任服務系統設計

統一信任服務系統包含用戶的身份信息、訪問權限等重要內容,終端入網控制系統通過調用統一信任服務系統的Portal接口信息,由后者對用戶身份進行核實,將驗證結果返回給前者,反饋數據僅包含該用戶的姓名和組織結構信息,不反饋可能涉及用戶隱私問題的數據,其數據交互形式如圖3所示。

2.3 終端安全管理系統數據獲取設計

氣象部門的終端安全管理系統在后臺具備數據共享條件,入網控制系統可通過App_ID,App_Key和App_Secret獲取終端安全管理軟件客戶端的安裝情況,根據IP和MAC等信息輔助判定是否滿足認證條件。考慮到數據的時效性,終端入網控制系統每60秒與終端安全管理系統進行一次數據同步;同時設置冗余機制,在首次同步發現終端安全管理系統的數據不包含對應設備時,則觸發冗余機制,當連續2次發現無法滿足入網要求時,則由終端入網控制系統進行阻斷,同時通過Portal引導用戶進行修復[12-13]。

2.4 非智能設備識別設計

對于網絡中存在的打印機、攝像頭、動環等設備,通過MAC地址獲取和識別,結合對設備常見端口進行數據包探測等技術綜合判斷,實現自動判別和自動控制。對于識別可能出現的錯誤,設置人工調整的接口進行修正[14-16]。

2.5 認證流程設計

認證過程中,依托國密SM2證書,替代傳統的RSA算法證書,利用前者具有密鑰更小、運算速度更快、同等密鑰長度安全性更高的優點,借助國密證書的導出限制,進一步提升認證信息可靠性。相關信息提交給統一信任服務系統識別和確認用戶身份后,由LDP將結果反饋給終端入網控制系統;后者獲得結果并確認身份后,將IP等信息和終端安全管理系統提供的在線設備數據進行對比,確認終端安全性得到保證后則驗證通過,整個認證過程如圖4所示。在用戶認證通過后,將記錄IP,MAC和終端安全反饋數據等形成設備指紋,在二次認證時,如設備指紋不變,則不再強制進行身份認證[17-19]。

圖3 終端入網控制系統和統一信任服務交換示意圖

圖4 認證流程示意圖

3 系統實現

3.1 整體結構

終端入網控制系統、統一信任服務系統和終端安全管理系統均部署于安全管理區,該區域為網絡和數據安全設備的專屬部署區,對該區域的訪問將進行嚴格的IP、ACL、端口等方面的限制,對該區域的雙向數據流量信息也將進行實時監測。終端設備上線后,終端入網控制系統的數據采集器通過廣播包和交換機SNMP信息發現和確認,信息同步給管理端,同時開啟阻斷;后者在收到采集器提供的信息后開始進行身份核實,同時調用其它系統的數據進行判斷,整體交互結構示意圖如圖5所示。

圖5 整體交互結構示意圖

3.2 數據交互

入網控制系統通過調用統一信任服務的認證引導用戶進行身份認證:入網控制由API接口顯示統一信任服務系統的Portal頁面,后者嘗試獲取國密證書中的代表身份信息的字節內容,獲取后對身份信息完成核實,通過LDP將報文信息提供給入網控制系統,后者由此建立組織結構信息、身份信息和訪問權限信息,對于可能涉及敏感信息的部分不進行同步,報文交互主要結構如表1所示[19]。

表1 報文交互主要結構

終端入網控制系統通過輪詢形式,每60秒同步一次終端安全管理系統的在線終端數據,由此確認設備安裝終端安全管理軟件的情況,減少用戶等待認證的時間。

3.3 身份信息存儲與保存

入網控制系統收到統一信任服務通過LDP返回的信息后,只在本地短時間保存用戶信息、組織結構信息,實現本地信息最小化,該信息僅用于確定用戶的組織結構和訪問權限,存儲期間做加密存儲,使用時做必要解密[20]。當終端不在網絡設備列表中或終端安全在線信息列表中不存在該終端信息,則觸發身份信息預刪除功能,當連續24小時未獲取到相關信息,則認為用戶已經離線,將本次用戶信息做刪除處理,實現數據“用時申請,閑時刪除”,最大限度地保障用戶數據安全[21]。

3.4 設備識別

入網控制系統設計采取無客戶端模式,更多依托網絡層面獲取必要信息,通過對接入設備入網廣播包和SNMP只讀權限獲取設備的IP和MAC信息,同時對設備開放端口進行探測,通過開放端口的特點判定設備類型[22],識別完成后形成設備的基礎指紋信息,該信息將用于識別設備信息是否存在變化,輔助進行定期身份復核。

3.5 身份復核

系統定期對接入終端身份進行復核,復核形式分為主動復核和被動復核,主動復核為系統在設定的時間對接入終端的設備指紋信息進行核驗,確定設備沒有出現變化;被動復核為終端上線進行設備指紋校驗,從而確認接入設備是否出現變化。身份復核過程全部在后臺進行,在身份不出現變化的情況下,用戶設備不會感知到認證的過程。

4 系統應用效果

4.1 控制整體效果

通過終端入網控制系統的應用,建立了終端、使用人和網絡資源的對應關系。一定程度解決了原有接入設備的身份不清晰,設備和使用人員不對應的問題,很好地規范設備接入氣象內網的使用方式,整體統計效果如圖6所示。

圖6 控制系統后臺數據展示示意圖

4.2 違規終端攔截效果

通過系統3個月的運行,月均發現和阻斷了超過150臺設備的違規接入,在第一時間及時進行阻斷,有效保證了網絡安全,對阻斷設備信息及時進行統計和跟蹤,并精確定位設備位置,為加強監管做好準備,隔離設備統計和展示如圖7所示。

4.3 設備識別效果

系統通過MAC、開放端口和數據包探測等方式相結合,對接入的設備進行判斷并進行分類,對于非智能設備形成特有設備指紋,通過在氣象內網環境下測試,識別準確性可以接近90%,對識別存在偏差的設備,可以通過人工修改分類實現調整,也可以通過新增識別特征,修正識別條件,提高識別準確性。部分識別和統計效果如圖8所示。

圖7 隔離設備統計和展示示意圖

圖8 設備識別和統計效果示意圖

4.4 整體展示效果

系統不僅實現及時對入網設備進行管理,同時實現對運行狀態進行實時展示,方便運維和管理工作。系統通過全屏展示功能,可以直接查看控制設備數量、基礎數據統計、阻斷事件統計和最近事件展示等內容,整體頁面形式如圖9所示。

圖9 入網控制系統整體展示界面示意圖

5 結束語

通過入網控制系統的應用,在網設備的身份信息得到全面驗證,智能化設備建立起設備、使用人和網絡資源的對應關系,通過對比審核,發現違規使用他人資源、IP地址沖突、違規使用地址轉換設備等各類事件超過80人次;通過阻斷功能,成功對140人次以上的設備接入進行阻斷,達到嚴格管理網絡使用的目標。通過建立“誰申請誰使用,誰批準誰負責”的安全職責體系,大幅減少設備違規接入事件的發生,有效地保障了氣象數據的安全性。

在終端入網控制系統與終端安全管理軟件實現聯動后,后者的安裝數量大幅增加,極大地促進了終端安全環境的建立,終端安全管理軟件客戶端安裝數量和惡意程序發現和清除情況如圖10所示,惡意程序發現和清除事件整體呈現明顯下降趨勢,有效地減少了網絡終端潛在的安全風險。

圖10 系統應用前后終端安全管理軟件和安全事件數量變化表

該系統還存在一定的不足,通過特征判定設備類型的準確性還有進一步提高的空間;無客戶端模式通過數據共享增強了對終端的兼容性,但聯動過程需要一定的時間,用戶認證等待的時間較有傳統模式未能進一步減少,這些將在后續研究中進一步優化和解決。