一、需求現(xiàn)狀

　　公安內(nèi)部信息網(wǎng)經(jīng)過幾年的建設(shè)，得到了日益完善和全面的發(fā)展，業(yè)務(wù)涵蓋多個領(lǐng)域，公安工作對應(yīng)用系統(tǒng)的依賴性越來越強，公安的許多對外業(yè)務(wù)工作也越來越離不開公安網(wǎng)絡(luò)的支持。

　　在市民中心、社區(qū)服務(wù)中心等一些政府為市民提供便捷綜合服務(wù)的集中辦公場所內(nèi)，都要求設(shè)有公安服務(wù)窗口(如交警窗口、治安窗口、消防窗口、出入境窗口等)，我們將這些場所稱為“非公安辦公場所”，它們是公安的一線實戰(zhàn)單元，這些場所服務(wù)窗口的正常業(yè)務(wù)開展均需要公安信息網(wǎng)的支持。

　　“非公安辦公場所”中的網(wǎng)絡(luò)和電腦是公安網(wǎng)絡(luò)的延伸部分，辦公地理位置比較分散，對此，我們必須做到，既要保障此類辦公場所合理的公安信息網(wǎng)接入需求，又要維護好公安信息網(wǎng)本身的網(wǎng)絡(luò)信息安全，由此也給公安網(wǎng)帶來了安全隱患。該場所內(nèi)計算機終端的管理、控制、維護就會成為一個突出的問題，因此這些場所中的信息安全管理策略應(yīng)該更加得到關(guān)注和增強，要對這些場所的計算機進(jìn)行深入的限制性管理。

         二、實現(xiàn)目標(biāo)

　　按照公安部“金盾工程總體方案設(shè)計”和市局“公安網(wǎng)絡(luò)和信息安全建設(shè)指導(dǎo)性意見”，公安網(wǎng)絡(luò)已經(jīng)設(shè)置了安全綜合管理防護體系，包括網(wǎng)絡(luò)設(shè)備身份鑒別和認(rèn)證、入侵檢測、信息過濾、病毒防范、拒絕攻擊、安全漏洞掃描和彌補、數(shù)據(jù)防篡改、安全審計等，并要求達(dá)到安全、可靠、實用、便于維護的目的。

　　但是任何網(wǎng)絡(luò)和信息系統(tǒng)都不能做到絕對的安全，除了從管理層面上落實安全規(guī)章制度、加強培養(yǎng)相關(guān)人員的安全保密意識外，更應(yīng)該從技術(shù)層面上采取措施，建立一堵嚴(yán)密的防護墻，增強 “非公安辦公場所”的安全管理策略， 保證公安網(wǎng)在非公安場所的安全，其主要內(nèi)容包括：對終端電腦入網(wǎng)進(jìn)行增強性認(rèn)證、對終端電腦進(jìn)行強化的桌面管理。

　　三、技術(shù)解決方案

　     (一)終端電腦入網(wǎng)的增強控制

　　1、方案的提出

　　在網(wǎng)絡(luò)鏈路上進(jìn)行增強認(rèn)證，可以采用簡單的用戶控制列表方式，但此類用戶涉及的公安業(yè)務(wù)內(nèi)容廣泛，因此要保障此類辦公場所合理的公安信息網(wǎng)接入需求，又要對終端電腦入網(wǎng)進(jìn)行有效的認(rèn)證和審計，采用簡單的用戶控制列表方式是無法解決的，因而我們提出采用用戶認(rèn)證機制來有效解決這一問題。

　　2、入網(wǎng)認(rèn)證需求分析

　　此類用戶所在的辦公場所，弱電系統(tǒng)采用綜合布線方式，每臺需接入公安網(wǎng)的計算機，均直接接入到交換機的一個端口。

　　公安網(wǎng)接入計算機的IP地址，采用的是靜態(tài)IP地址，而并非是動態(tài)分配的。根據(jù)公安部的相關(guān)規(guī)定，每臺公安網(wǎng)接入計算機必須完成公安部的“一機兩用”注冊登記，因此每臺公安網(wǎng)接入計算機的IP地址是固定且唯一的。

　　用戶側(cè)的接入交換機采用的是Cisco 2950以上系列的交換機，支持IEEE 802.1x協(xié)議。

　　對于此類用戶，不涉及復(fù)雜的上網(wǎng)計費需求，僅需用戶認(rèn)證和審計功能，用于事后追查。

　　3、用戶認(rèn)證機制選擇

　　目前寬帶以太網(wǎng)上的用戶認(rèn)證技術(shù)主要有，基于BNAS(寬帶接入服務(wù)器)和PPPoE(基于以太網(wǎng)的點到點協(xié)議)認(rèn)證方法、基于以太網(wǎng)端口的用戶訪問控制技術(shù)IEEE 802.1x協(xié)議、WEB/Portal 認(rèn)證方式等三種。

　　而802.1x協(xié)議僅僅關(guān)注端口的打開與關(guān)閉，對于合法用戶(根據(jù)帳號和密碼)接入時，該端口打開，而對于非法用戶接入或沒有用戶接入時，則該端口處于關(guān)閉狀態(tài)。認(rèn)證的結(jié)果在于端口狀態(tài)的改變，而不涉及通常認(rèn)證技術(shù)必須考慮的IP地址協(xié)商和分配問題，是各種認(rèn)證技術(shù)中最簡化的實現(xiàn)方案。

　　4、802.1x認(rèn)證技術(shù)介紹

　　體系介紹

　　以太網(wǎng)技術(shù)“連通和共享”的設(shè)計初衷使目前由以太網(wǎng)構(gòu)成的網(wǎng)絡(luò)系統(tǒng)面臨著很多安全問題。IEEE 802.1X協(xié)議正是在基于這樣的背景下被提出來的，成為解決局域網(wǎng)安全問題的一個有效手段。雖然IEEE802.1x定義了基于端口的網(wǎng)絡(luò)接入控制協(xié)議，但是需要注意的是802.1x認(rèn)證技術(shù)的操作粒度為端口，因此該協(xié)議僅適用于接入設(shè)備與接入端口間點到點的連接方式，其中端口可以是物理端口，也可以是邏輯端口。

　　IEEE802.1x的體系結(jié)構(gòu)中包括三個部分：Supplicant System用戶接入設(shè)備;Authenticator System接入控制單元;Authentication Sever System認(rèn)證服務(wù)器。在802.1X協(xié)議中，只有具備了以上三個元素才能夠完成基于端口的訪問控制的用戶認(rèn)證和授權(quán)。

　　(1)用戶接入設(shè)備：也就是通常所說的客戶端，一般安裝在用戶的工作站上，當(dāng)用戶有上網(wǎng)需求時，激活客戶端程序，輸入必要的用戶名和口令，客戶端程序?qū)统鲞B接請求。

　　(2)接入控制單元：即認(rèn)證系統(tǒng)，在以太網(wǎng)系統(tǒng)中指認(rèn)證交換機(靠近用戶側(cè)的交換機)，其主要作用是實現(xiàn)遠(yuǎn)端授權(quán)撥號上網(wǎng)用戶服務(wù)認(rèn)證代理功能，完成用戶認(rèn)證信息的上傳、下達(dá)工作，并根據(jù)認(rèn)證的結(jié)果打開或關(guān)閉用戶連接的端口。

　　(3)認(rèn)證服務(wù)器：通過檢驗客戶端發(fā)送來的身份標(biāo)識(用戶名和口令)來判別用戶是否有權(quán)使用網(wǎng)絡(luò)系統(tǒng)提供的網(wǎng)絡(luò)服務(wù)，并根據(jù)認(rèn)證結(jié)果向交換機發(fā)出打開或保持端口關(guān)閉的狀態(tài)。

　　認(rèn)證過程介紹

　　在具有802.1X認(rèn)證功能的網(wǎng)絡(luò)系統(tǒng)中，當(dāng)一個用戶需要對網(wǎng)絡(luò)資源進(jìn)行訪問之前必須先要完成以下的認(rèn)證過程。

　　(1)當(dāng)用戶有上網(wǎng)需求時打開802.1X客戶端程序，輸入已經(jīng)申請、登記過的用戶名和口令，發(fā)起連接請求。此時，客戶端程序?qū)l(fā)出請求認(rèn)證的報文給交換機，開始啟動一次認(rèn)證過程。

　　(2)交換機收到請求認(rèn)證的數(shù)據(jù)幀后，將發(fā)出一個請求幀要求用戶的客戶端程序?qū)⑤斎氲挠脩裘蜕蟻怼?/p>

　　(3)客戶端程序響應(yīng)交換機發(fā)出的請求，將用戶名信息通過數(shù)據(jù)幀送給交換機。交換機將客戶端送上來的數(shù)據(jù)幀經(jīng)過封包處理后送給認(rèn)證服務(wù)器進(jìn)行處理。

　　(4)認(rèn)證服務(wù)器收到交換機轉(zhuǎn)發(fā)上來的用戶名信息后，將該信息與數(shù)據(jù)庫中的用戶名表相比對，找到該用戶名對應(yīng)的口令信息，用隨機生成的一個加密字對它進(jìn)行加密處理，同時也將此加密字傳送給交換機，由交換機傳給客戶端程序。

　　(5)客戶端程序收到由交換機傳來的加密字后，用該加密字對口令部分進(jìn)行加密處理(此種加密算法通常是不可逆的)，并通過交換機傳給認(rèn)證服務(wù)器。

　　(6)認(rèn)證服務(wù)器將送上來的加密后的口令信息和其自己經(jīng)過加密運算后的口令信息進(jìn)行對比，如果相同，則認(rèn)為該用戶為合法用戶，反饋認(rèn)證通過的消息，并向交換機發(fā)出打開端口的指令，允許用戶的業(yè)務(wù)流通過該端口，并訪問網(wǎng)絡(luò)。否則，反饋認(rèn)證失敗的消息，并保持交換機端口的關(guān)閉狀態(tài)，只允許認(rèn)證信息數(shù)據(jù)通過而不允許業(yè)務(wù)數(shù)據(jù)通過。

　　這里要提出的一個值得注意的地方是: 在客戶端與認(rèn)證服務(wù)器交換口令信息的時候，沒有將口令以明文直接送到網(wǎng)絡(luò)上進(jìn)行傳輸，而是對口令信息進(jìn)行了不可逆的加密算法處理，使在網(wǎng)絡(luò)上傳輸?shù)拿舾行畔⒂辛烁叩陌踩Ｕ?，杜絕了由于下級接入設(shè)備所具有的廣播特性而導(dǎo)致敏感信息泄漏的問題。

　　5、方案的實施

　　AAA控制中心的建立

　　采用Cisco的訪問控制軟件Cisco Secure Access Control System (ACS)，安裝在一臺認(rèn)證服務(wù)器PC Server上，建立AAA控制中心。

　　對用戶側(cè)接入交換機進(jìn)行配置

　　用戶側(cè)的接入交換機選用Cisco 2950以上系列的交換機，必須能支持IEEE 802.1x協(xié)議，具體配置如下：

　　Switch(config)#――進(jìn)入全局模式進(jìn)行配置

　　802.1x認(rèn)證功能啟用――aaa new-model

　　aaa authentication dot1x default group radius

　　設(shè)置重認(rèn)證時間――dot1x re-authentication

　　dot1x timeout re-authperiod (重認(rèn)證的時間)

　　設(shè)置認(rèn)證服務(wù)器的IP地址――radius-server host (認(rèn)證服務(wù)器的IP地址)

　　Switch (config-if)#――進(jìn)入端口模式進(jìn)行配置

　　激活交換機端口的802.1x認(rèn)證――dot1x port-control auto

　　對認(rèn)證服務(wù)器上的ACS進(jìn)行配置

　　配置接入交換機的信息――選擇“Network Configuration”選項，在“AAA Clients”表項中選擇“Add Entry”選項，彈出如圖1所示對話框。

　　在“AAA Client Hostname”中填寫接入交換機的名稱。(可以與接入交換機的hostname不同)

　　在“AAA Client IP Address”中填寫接入交換機的IP地址。(必須與接入交換機的ip address一致)

　　在“Key”中填寫接入交換機的認(rèn)證口令。

　　在“Authenticate Using”中選擇“RADIUS(IETF)”選項。

　　選擇“Submit”選項提交配置的參數(shù)。

　　<6> 配置用戶的信息――選擇“User Setup”選項，在“User”對話框中填寫需開設(shè)的用戶名，再選擇“Add/Edit“選項，彈出如下圖2所示對話框。

　　在“Supplementary User Info”中填寫所開設(shè)的用戶的關(guān)聯(lián)信息。

　　在“User Setup”中為開設(shè)的用戶設(shè)置認(rèn)證口令。

　　在其他表項中可根據(jù)需求為開設(shè)的用戶設(shè)置相應(yīng)的參數(shù)。(如為防止用戶口令失竊和口令擴散，可以通過設(shè)置限定同時接入具有同一用戶名和口令認(rèn)證信息的請求數(shù)量來達(dá)到控制用戶接入，避免非法訪問網(wǎng)絡(luò)系統(tǒng)的目的)。

　　選擇“Submit”選項提交配置的參數(shù)。

　　對終端用戶的設(shè)置

　　在終端用戶的計算機上安裝相應(yīng)的IEEE 802.1x 協(xié)議撥號軟件，用管理員在ACS認(rèn)證服務(wù)器上開設(shè)的用戶名和口令進(jìn)行撥號上網(wǎng)。

　　(二)終端電腦的增強桌面管理

　　當(dāng)計算機接入公安網(wǎng)絡(luò)時，“信通設(shè)備管理系統(tǒng)”能自動發(fā)現(xiàn)，并強制計算機進(jìn)行備案登記，否則不容許瀏覽公安網(wǎng)頁。通過登記，系統(tǒng)獲得計算機使用人的信息，從而實現(xiàn)對計算機的“戶籍” 式電子檔案。當(dāng)計算機進(jìn)行在線備案登記時，計算機的硬件參數(shù)如操作系統(tǒng)、安全補丁、主板、硬盤、內(nèi)存、顯卡、聲卡、網(wǎng)卡、機器名、工作組名、IP地址、MAC地址、操作系統(tǒng)、補丁、瀏覽器、安裝軟件等能自動獲得，并將獲得的信息自動反饋服務(wù)器，而且自動跟蹤這些信息的變動情況。

　　增強的終端桌面管理是指在計算機本身上進(jìn)行全面的控制、監(jiān)測和預(yù)警，包括軟件控制、設(shè)備控制、網(wǎng)絡(luò)控制，以下一一進(jìn)行描述。

　　1、軟件控制

　　軟件控制可分為軟件黑名單控制和軟件紅名單控制。

　　軟件黑名單控制：針對在非公安場所使用的公安網(wǎng)計算機，系統(tǒng)可以指定這些計算機不能運行的一些軟件進(jìn)程，例如：游戲、電驢等軟件。如果運行則將之強制終止，從而達(dá)到對其行為進(jìn)行控制的目的。即使用戶運行的是綠色軟件(非安裝版本)，或者用戶修改了應(yīng)用程序(*.exe)的文件名，也同樣逃脫不了系統(tǒng)的監(jiān)測。

　　軟件紅名單控制，系統(tǒng)可以指定某些電腦一定要安裝一些軟件，如果不安裝則不斷提示。例如：殺毒軟件、監(jiān)控軟件等。

　　2、設(shè)備控制

　　這里的設(shè)備包括光驅(qū)、軟驅(qū)、USB移動存儲(如U盤、移動硬盤、錄音筆、數(shù)碼攝像機、數(shù)碼照相機、手機等)。對設(shè)備進(jìn)行控制的目是減少涉密途徑，強化內(nèi)部安全控制機制。移動存儲的多樣性決定了移動存儲控制是比較復(fù)雜的過程。

　　首先，要在數(shù)據(jù)泄漏方面，有三大主要途徑：軟驅(qū)拷貝、移動存儲拷貝、網(wǎng)絡(luò)拷貝，其中在個人電腦上實施的移動存儲拷貝是最大的、最簡便的泄漏源頭。

　　具體措施如下：

　　(1)實施移動存儲設(shè)備的認(rèn)證注冊，分部門、分密級，已注冊的設(shè)備視為合法。

　　(2)實施移動存儲設(shè)備的訪問限制，不經(jīng)過認(rèn)證的不能使用，經(jīng)過認(rèn)證的也不一定能在每臺電腦上都可以使用?？梢灾付骋灰苿哟鎯υO(shè)備只能在某一電腦上使用，別的就不行;也可以指定某一電腦上除了某一移動設(shè)備外，別的設(shè)備就不能使用。

　　(3)實施移動存儲設(shè)備的訪問日志記錄。

　　(4)禁止軟驅(qū)使用。

　　(5)其他的措施還包括軟件控制、網(wǎng)絡(luò)控制、桌面巡拍、性能快照等等。

　　操作包括設(shè)備認(rèn)證、設(shè)備管理策略定義、設(shè)備管理策略分發(fā)、設(shè)備使用日志查詢，詳細(xì)分述如下：

　　1、USB存儲認(rèn)證

　　要對移動存儲設(shè)備進(jìn)行管理，必須先進(jìn)行注冊登記，建立相應(yīng)的數(shù)據(jù)庫，已注冊的設(shè)備視為合法，注冊登記的界面如圖3：

　　2、設(shè)備管理策略定義

　　在默認(rèn)的情況下，系統(tǒng)已經(jīng)有一個“默認(rèn)組合”，該默認(rèn)組合允許對所有設(shè)備都可以使用。

　　用戶可以定義一個或多個組合，名稱可以叫“全部允許(有例外)”、“全部禁止(有例外)”等等。如果想達(dá)到所有經(jīng)過認(rèn)證的USB設(shè)備才能在網(wǎng)絡(luò)中使用，其他的全部禁止的目的，則可建立一個組合叫“全部禁止(認(rèn)證外)”，具體做法是：默認(rèn)情況下全部禁止，經(jīng)過認(rèn)證的設(shè)備為例外，但這樣需要日常維護，即認(rèn)證完一些移動設(shè)備以后，要將之添加到例外中來。

　　編輯組合的過程是：①如果是新建的，則點擊“新增組合”按鈕;如果是修改的，則點擊左欄已經(jīng)定義的某個組合名稱，然后點擊“修改組合”按鈕;如果是刪除的，則點擊左欄已經(jīng)定義的某個組合名稱，然后點擊“刪除組合”按鈕;②編輯組合名稱;③選擇禁止情況，④在例外框上點擊鼠標(biāo)右鍵選擇菜單項，選擇例外的設(shè)備;⑤“保存數(shù)據(jù)”，界面如圖4所示。

　　3、設(shè)備管理策略分發(fā)

　　點擊左欄的某一組合名稱，右欄中會顯示該功能的應(yīng)用目標(biāo)，點“添加”可以增加目標(biāo)，點中一目標(biāo)后點“刪除”可以解除對該電腦的控制，點“應(yīng)用”表示馬上實行所有未實施的控制策略，如圖5。

　　4、設(shè)備使用日志查詢控制情況查詢

　　可查詢各種移動設(shè)備在各種電腦上的使用日志，如下圖所示。

　　如上圖所示，點擊左欄的某一組合名稱，右欄中會顯示該功能的應(yīng)用目標(biāo)，狀態(tài)處打勾√的表示已經(jīng)將策略應(yīng)用到目標(biāo)計算機中，由客戶機端監(jiān)測程序負(fù)責(zé)控制執(zhí)行。如圖6。

　　3、網(wǎng)絡(luò)控制

　　網(wǎng)絡(luò)控制包括IP+MAC綁定、IP控制和端口控制。

　　(1) IP+MAC綁定限制。系統(tǒng)可以指定某些計算機進(jìn)行IP和MAC地址綁定，保證設(shè)備的合法性和唯一性。

　　(2) IP地址訪問限制。系統(tǒng)可以指定某些計算機只能訪問有限個范圍或拒絕有限范圍計算機的訪問。

　　(3) 端口訪問限制。系統(tǒng)可以指定某些計算機的一些TCP或UDP端口被禁止,防止非法訪問或掃描。

　　四、小結(jié)

　　在網(wǎng)絡(luò)交換機上，將接入端口配置為IEEE 802.1x端口，利用這一認(rèn)證機制可實現(xiàn)按照身份進(jìn)行訪問控制，保證了接入交換機物理端口的安全性;另外，集中式的用戶管理控制可使所有的用戶身份和密碼的維護都集中在分局信息中心統(tǒng)一維護，簡化了管理工作量。根據(jù)分局公安信息網(wǎng)的建設(shè)現(xiàn)狀，這種終端電腦的入網(wǎng)增強控制方式，是一種合理有效的解決方案，可充分利用現(xiàn)有的資源，降低成本的投入，并能迅速部署到位。

　　在終端電腦上，通過制定客戶個性化的桌面控制安全策略，對電腦外設(shè)硬件使用、軟件安裝運行、聯(lián)網(wǎng)訪問三方面進(jìn)行安全管理，更能增強這些場所的信息安全。

蔡曄、陳霄現(xiàn)任職于上海市公安局長寧分局；黃海貴現(xiàn)任職于上海百姓軟件有限公司