上海出入境检验检疫局对终端准入控制方案的选型和部署

　　在历时18个月、五个阶段的测试选型、局部部署试用后，EAD终端准入控制解决方案在上海出入境检验检疫局成功上线应用，为内部业务的信息安全奠定了坚实的基础。现在信息技术与管理部门只要能够按照EAD端点准入控制解决方案进行终端管理与相关程序处理即可安享信息安全，而不再每天贫于应付各种网络信息安全故障。本文重点阐述EAD解决方案在上海出入境检验检疫局的成功上线过程，并且对解决方案上线后的容灾备份方案进行了详细论述。

　　　　　上海出入境检验检疫局对终端准入控制方案的选型和部署
　　文/ 吴穗玲 张伟(上海出入境检验检疫局信息化管理处)

　　随着上海出入境检验检疫局（以下简称上海局）网络规模的不断扩大以及业务的不断扩展，网络安全问题变得越来越重要。我们发现在实际工作中，很多的网络安全事件都是由脆弱的用户终端和“失控”的局域网使用行为引起。在局域网中，用户终端不及时升级系统补丁和病毒库的现象普遍存在；私设代理服务器、私自访问外部网络、滥用禁用软件等行为也比比皆是。这些“失控”的用户终端一旦接入网络，就相当危险地绕过了IPS、防火墙这些“马其诺防线”，直接面对网络核心业务。信息化管理处通过各种办法加强终端用户，例如通过加密、加权限、稽查网络代理、不断辅助终端及时升级等等，但是结果显示依然是贫于应付。因此努力建设一个强大的终端管理系统，以保证用户终端的安全，对用户的局域网访问行为进行有效的控制，成为安全管理的当务之急。
终端准入控制选型
　　我们决定在上海局内网部署终端准入控制系统，经过对内部应用和需求的梳理， 要求该系统应满足以下功能需求：
　　对接入内网的终端实现用户身份认证。对于认证失败的用户，断开其网络连接；认证成功但安全性检查不通过的终端，放入隔离区自动引导其完成主机完整性修复；对于认证和安全性检查全部通过的主机，按照策略设定完成相应网络设置和终端安全客户端设置，满足终端相应权限的访问；能检测终端的代理功能设置。对私设代理服务器、IE代理设置的终端，必须能及时限制其访问；能对接入的终端进行安全状态检查，包括：防病毒软件安全检查、补丁状态安全检查、安装软件应用检查等；具备防ARP攻击的特性；该系统能支持冗余配置，具备高可靠性。
目前各主流网络厂商都提供终端准入控制的产品或解决方案，通过对各解决方案功能的详细了解和反复测试，上海局最终选用了H3C EAD（End user Admission Domination,以下简称EAD）解决方案。
　　EAD终端准入控制设计原理
　　终端准入控制的实现过程
　　EAD解决方案对终端用户的整体控制过程如图1所示。

　　EAD解决方案对终端用户的整体控制过程
终端准入控制的原理
　　EAD的基本原理是通过智能客户端（iNode客户端）、安全联动设备（如交换机、VPN网关、路由器）、安全策略服务器以及防病毒服务器、补丁服务器的联动实现的，其基本原理如图2所示：

EAD实现原理图

　　用户终端试图接入网络时，首先通过智能客户端进行用户身份认证，非法用户将被拒绝接入网络；
合法用户将被要求进行安全状态认证，由安全策略服务器验证用户终端安全状态是否符合基于用户账号预定义的安全策略，包括补丁版本、病毒库版本是否合格，软件安装允许是否合格、是否使用代理服务器等信息，不合格用户将被安全联动设备隔离到隔离区；
　　进入隔离区的用户可以进行补丁、病毒库的升级、卸载非法程序、取消代理设置等操作，直到安全状态合格；
安全状态合格的用户将实施由安全策略服务器下发的安全设置，并由安全联动设备提供基于身份的网络服务。
终端准入控制的特点
　　从EAD的控制过程和基本原理可以看出，EAD将终端病毒防护、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御；变单点防御为全面防御；变分散管理为集中策略管理，提升了网络对病毒、蠕　虫等新兴安全威胁的整体防御能力。
　　终端准入控制在上海局的应用
　　选型测试
　　为了确保应用成功，信息化管理处自2009年开始进行产品选型工作，2010年3月份正式开始EAD解决方案的测试，测试涉及方案中的多个产品： iMC智能管理平台（Intelligent Management Center）、iMC EAD安全策略组件（End user Admission Domination）、iMC UAM（User Access Manager）用户接入管理组件、iNode PC客户端、iNode DC可溶解客户端，同时测试了iMC双机热备功能。
　　EAD解决方案的选型测试和局部部署历时18个月，主要包括五个阶段：
　　第一阶段：2010年3月—2010年5月，在信息化管理处网络科内部初步测试，测试内容为iNode DC客户端+Portal EAD功能测试；
　　第二阶段：2010年6月—2010年10月，在信息化管理处全部门进行测试，测试内容为iNode DC客户端+Portal EAD功能和iNode PC客户端+Portal EAD功能测试；
　　第三阶段：2010年11月—2011年2月，在信息化管理处全部门进行测试，测试内容为iNode PC客户端+Cisco 802.1x EAD功能测试；
　　第四阶段：2011年3月—2011年4月，在崇明出入境检验检疫局进行测试，测试内容为iNode PC客户端EAD功能在分支区县局的实际应用情况；
　　第五阶段：2011年5月—2011年9月，在上海局和金山、奉贤、南汇等多个区县局实施测试；为了保证iMC服务器的稳定性，在上海局信息化管理处机房实施并测试了iMC 双机热备功能。
遇到的问题和解决方案
　　在实践过程中，我们遇到了如下一些问题，最终从技术和管理体制流程两个层面进行了规范和解决：
EAD系统支持802.1x认证和Portal认证等；客户端采用iNode PC客户端、iNode DC可溶解客户端不同方式，何种方式最符合我们的功能需求和现网环境？
　　通过测试，我们发现网络中的原思科公司交换机产品不能配合EAD系统实现Portal认证。而如果在网络汇聚层或核心层增加配置Portal网关设备，则对接入终端的控制点位置太高，不利于进行严格控制。同时iNode DC可溶解客户端由于技术限制，功能不如iNode PC客户端丰富，因此我们最终决定采用iNode PC客户端配合接入交换机802.1x认证的认证方式。
　　iNode PC智能客户端与支持标准802.1x协议的交换机能配合使用，但部分区县局点存在思科公司的C2950、C3550等老款接入交换机，这些交换机对802.1x的功能支持不完善，如只支持single-host模式，同一接入端口不允许下挂多台PC终端，而由于布线系统限制，网络中恰恰有这种需求，如何解决？
对于部分老款接入交换机网络设备802.1x技术支持不完善的问题，通过将部分同一接入端口下确实需要连接多台终端的接入交换机网络设备进行更换，来确保EAD解决方案的成功实施。
　　对于部分PC终端，同时安装了360安全卫士软件与趋势杀毒软件。在安装iNode PC智能客户端时，趋势杀毒软件能够正常识别软件行为，认可iNode PC智能客户端；但是360安全卫士软件误报EAD客户端不安全，客户端能否正确运行？
　　对于360安全卫士软件误报EAD客户端不安全的问题；从技术上，在iNode PC客户端的安装包中，添加了暂时关闭360安全卫士软件的相关提示，待软件安装完全后，360安全卫士软件可以与iNode PC客户端正常共存；从管理上，信息化管理处将要求上海局内终端计算机全部安装趋势杀毒软件，作为终端计算机入网的要求形成文件下发。
　　对于网络打印机等不支持802.1x认证的设备，如何实现网络接入并保证接入交换机端口的安全性？
　　为了接入网络打印机等不支持802.1x认证的设备，可以关闭接入交换机上连接该类设备的端口的802.1x认证功能，但这会造成安全漏洞。在该端口上配置MAC地址绑定或MAC认证功能，可以避免非法设备通过该交换机端口接入网络。
　　实施效果
　　经过一年多的测试，EAD解决方案能满足上海局对终端准入控制的功能需求，而且也提供了部分桌面管理和资产管理功能（如图3所示）。
　　通过交换机的配合，强制用户在接入网络前通过802.1x等方式进行身份认证和安全状态评估，确保只有符合安全标准的用户接入网络，实现了：
　　没有在EAD终端准入控制系统内注册的PC终端，即使正确配置了IP地址，也无法连入内网；
　　对于连入内网的PC终端进行合法性、安全性检查；合法性主要检查IP和用户对应关系；安全性检查如检查防病毒软件安装、操作系统补丁的安装等；
　　杜绝了内网中私设代理服务器的现象。