■蔡曄 陳霄 黃海貴

“非公安辦公場所”中的網(wǎng)絡和電腦處在公安網(wǎng)絡的延伸部分，既要保障此類辦公場所合理的公安信息網(wǎng)接入需求，又要維護好公安信息網(wǎng)本身的網(wǎng)絡信息安全，由此也給公安網(wǎng)帶來了安全隱患。該場所內(nèi)計算機終端的管理、控制、維護就會成為一個突出的問題。

一、需求現(xiàn)狀

公安內(nèi)部信息網(wǎng)經(jīng)過幾年的建設，得到了日益完善和全面的發(fā)展，業(yè)務涵蓋多個領域，公安工作對應用系統(tǒng)的依賴性越來越強，公安的許多對外業(yè)務工作也越來越離不開公安網(wǎng)絡的支持。

在市民中心、社區(qū)服務中心等一些政府為市民提供便捷綜合服務的集中辦公場所內(nèi)，都要求設有公安的服務窗口（如交警窗口、治安窗口、消防窗口、出入境窗口等），我們將這些場所為“非公安辦公場所”，它們是公安的一線實戰(zhàn)單元，這些場所服務窗口的正常業(yè)務開展均需公安信息網(wǎng)的支持。

“非公安辦公場所”中的網(wǎng)絡和電腦處在公安網(wǎng)絡的延伸部分，辦公地理位置比較分散，對此，我們必須做到，既要保障此類辦公場所合理的公安信息網(wǎng)接入需求，又要維護好公安信息網(wǎng)本身的網(wǎng)絡信息安全，由此也給公安網(wǎng)帶來了安全隱患，該場所內(nèi)計算機終端的管理、控制、維護就會成為一個突出的問題，因此這些場所中的信息安全管理策略應該更加得到關注和增強，對計算機進行深入的限制性管理。

二、實現(xiàn)目標

按照公安部“金盾工程總體方案設計”和市局“公安網(wǎng)絡和信息安全建設指導性意見”，公安網(wǎng)絡已經(jīng)進行了安全綜合管理防護體系，包括網(wǎng)絡設備身份簽別和認證、入侵檢測、信息過濾、病毒防范、拒絕攻擊、安全漏洞掃描和彌補、數(shù)據(jù)防篡改、安全審計，達到安全、可靠、實用、便于維護的目的。

但是任何網(wǎng)絡和信息系統(tǒng)都不能做到絕對的安全，除了從管理層面上落實安全規(guī)章制度，加強培養(yǎng)相關人員的安全保密意識等外，更應該從技術層面上采取措施，建立一堵嚴密的防護墻，增強 “非公安辦公場所”的安全管理策略， 保證公安網(wǎng)在非公安場所的安全，主要內(nèi)容包括：對終端電腦入網(wǎng)絡進行增強認證、對終端電腦進行增強的桌面管理。

三、技術解決方案

（一）終端電腦的入網(wǎng)增強控制

1、方案的提出

在網(wǎng)絡鏈路上進行增強認證，可以采用簡單的用戶控制列表方式，但此類用戶涉及的公安業(yè)務內(nèi)容廣泛，因此要保障此類辦公場所合理的公安信息網(wǎng)接入需求，又要對終端電腦入網(wǎng)進行有效的認證和審計，采用簡單的用戶控制列表方式是無法解決的，因而我們提出采用用戶認證機制來有效解決這一問題。

2、入網(wǎng)認證需求分析

● 此類用戶所在的辦公場所，弱電系統(tǒng)采用綜合布線方式，每臺需接入公安網(wǎng)的計算機，均直接接入到交換機的一個端口。

● 公安網(wǎng)接入計算機的IP地址，采用的是靜態(tài)IP地址，而并非是動態(tài)分配的。根據(jù)公安部的相關規(guī)定，每臺公安網(wǎng)接入計算機必須完成公安部的“一機兩用”注冊登記，因此每臺公安網(wǎng)接入計算機的IP地址是固定且唯一的。

● 用戶側(cè)的接入交換機采用的是Cisco 2950以上系列的交換機，支持IEEE 802.1x協(xié)議。

● 對于此類用戶，不涉及復雜的上網(wǎng)計費需求，僅需用戶認證和審計功能，用于事后追查。

3、用戶認證機制的選擇

目前寬帶以太網(wǎng)上的用戶認證技術主要有，基于BNAS（寬帶接入服務器）和PPPoE（基于以太網(wǎng)的點到點協(xié)議）認證方法、基于以太網(wǎng)端口的用戶訪問控制技術IEEE 802.1x協(xié)議、WEB/Portal 認證方式三種。

而802.1x協(xié)議僅僅關注端口的打開與關閉，對于合法用戶（根據(jù)帳號和密碼）接入時，該端口打開，而對于非法用戶接入或沒有用戶接入時，則該端口處于關閉狀態(tài)。認證的結(jié)果在于端口狀態(tài)的改變，而不涉及通常認證技術必須考慮的IP地址協(xié)商和分配問題，是各種認證技術中最簡化的實現(xiàn)方案。

4、802.1x認證技術介紹

● 體系介紹

以太網(wǎng)技術“連通和共享”的設計初衷使目前由以太網(wǎng)構成的網(wǎng)絡系統(tǒng)面臨著很多安全問題。IEEE 802.1X協(xié)議正是在基于這樣的背景下被提出來的，成為解決局域網(wǎng)安全問題的一個有效手段。雖然IEEE802.1x定義了基于端口的網(wǎng)絡接入控制協(xié)議，但是需要注意的是802.1x認證技術的操作粒度為端口，因此該協(xié)議僅適用于接入設備與接入端口間點到點的連接方式，其中端口可以是物理端口，也可以是邏輯端口。

IEEE802.1x的體系結(jié)構中包括三個部分：Supplicant System，用戶接入設備；Authenticator System，接入控制單元；Authentication Sever System，認證服務器。在802.1X協(xié)議中，只有具備了以上三個元素才能夠完成基于端口的訪問控制的用戶認證和授權。

（1）用戶接入設備：也就是通常所說的客戶端，一般安裝在用戶的工作站上，當用戶有上網(wǎng)需求時，激活客戶端程序，輸入必要的用戶名和口令，客戶端程序?qū)统鲞B接請求。

（2）接入控制單元：即認證系統(tǒng)，在以太網(wǎng)系統(tǒng)中指認證交換機（靠近用戶側(cè)的交換機），其主要作用是實現(xiàn)遠端授權撥號上網(wǎng)用戶服務認證代理功能，完成用戶認證信息的上傳、下達工作，并根據(jù)認證的結(jié)果打開或關閉用戶連接的端口。

（3）認證服務器：通過檢驗客戶端發(fā)送來的身份標識（用戶名和口令）來判別用戶是否有權使用網(wǎng)絡系統(tǒng)提供的網(wǎng)絡服務，并根據(jù)認證結(jié)果向交換機發(fā)出打開或保持端口關閉的狀態(tài)。

● 認證過程介紹

在具有802.1X認證功能的網(wǎng)絡系統(tǒng)中，當一個用戶需要對網(wǎng)絡資源進行訪問之前必須先要完成以下的認證過程。

（1）當用戶有上網(wǎng)需求時打開802.1X客戶端程序，輸入已經(jīng)申請、登記過的用戶名和口令，發(fā)起連接請求。此時，客戶端程序?qū)l(fā)出請求認證的報文給交換機，開始啟動一次認證過程。

（2）交換機收到請求認證的數(shù)據(jù)幀后，將發(fā)出一個請求幀要求用戶的客戶端程序?qū)⑤斎氲挠脩裘蜕蟻怼?/p>

（3）客戶端程序響應交換機發(fā)出的請求，將用戶名信息通過數(shù)據(jù)幀送給交換機。交換機將客戶端送上來的數(shù)據(jù)幀經(jīng)過封包處理后送給認證服務器進行處理。

（4）認證服務器收到交換機轉(zhuǎn)發(fā)上來的用戶名信息后，將該信息與數(shù)據(jù)庫中的用戶名表相比對，找到該用戶名對應的口令信息，用隨機生成的一個加密字對它進行加密處理，同時也將此加密字傳送給交換機，由交換機傳給客戶端程序。

（5）客戶端程序收到由交換機傳來的加密字后，用該加密字對口令部分進行加密處理（此種加密算法通常是不可逆的），并通過交換機傳給認證服務器。

（6）認證服務器將送上來的加密后的口令信息和其自己經(jīng)過加密運算后的口令信息進行對比，如果相同，則認為該用戶為合法用戶，反饋認證通過的消息，并向交換機發(fā)出打開端口的指令，允許用戶的業(yè)務流通過端口訪問網(wǎng)絡。否則，反饋認證失敗的消息，并保持交換機端口的關閉狀態(tài)，只允許認證信息數(shù)據(jù)通過而不允許業(yè)務數(shù)據(jù)通過。

這里要提出的一個值得注意的地方是: 在客戶端與認證服務器交換口令信息的時候，沒有將口令以明文直接送到網(wǎng)絡上進行傳輸，而是對口令信息進行了不可逆的加密算法處理，使在網(wǎng)絡上傳輸?shù)拿舾行畔⒂辛烁叩陌踩Ｕ?，杜絕了由于下級接入設備所具有的廣播特性而導致敏感信息泄漏的問題。

5、方案的實施

● AAA控制中心的建立

采用Cisco的訪問控制軟件Cisco Secure Access Control System （ACS），安裝在一臺認證服務器PC Server上，建立AAA控制中心。

● 對用戶側(cè)接入交換機進行配置：

用戶側(cè)的接入交換機選用Cisco 2950以上系列的交換機，必須能支持IEEE 802.1x協(xié)議，具體配置如下：

Switch（config）#——進入全局模式進行配置

802.1x認證功能啟用——aaa new-model

aaa authentication dot1x default group radius

設置重認證時間——dot1x re-authentication

dot1x timeout re-authperiod （重認證的時間）

設置認證服務器的IP地址——radius-server host （認證服務器的IP地址）

Switch（config-if）#——進入端口模式進行配置

激活交換機端口的802.1x認證——dot1x port-control auto

● 對認證服務器上的ACS進行配置：

配置接入交換機的信息——選擇“Network Configuration”選項，在“AAA Clients”表項中選擇“Add Entry”選項，彈出如圖1所示對話框。

圖1

在“AAA Client Hostname”中填寫接入交換機的名稱。（可以與接入交換機的hostname不同）

在“AAA Client IP Address”中填寫接入交換機的IP地址。（必須與接入交換機的ip address一致）

在“Key”中填寫接入交換機的認證口令。

在“Authenticate Using”中選擇“RADIUS（IETF）”選項。

選擇“Submit”選項提交配置的參數(shù)。

配置用戶的信息——選擇“User Setup”選項，在“User”對話框中填寫需開設的用戶名，再選擇“Add/Edit”選項，彈出如圖2所示對話框。

圖2

在“Supplementary User Info”中填寫所開設的用戶的關聯(lián)信息。

在“User Setup”中為開設的用戶設置認證口令。

在其他表項中可根據(jù)需求為開設的用戶設置相應的參數(shù)。（如為防止用戶口令失竊和口令擴散，可以通過設置限定同時接入具有同一用戶名和口令認證信息的請求數(shù)量來達到控制用戶接入，避免非法訪問網(wǎng)絡系統(tǒng)的目的。）

選擇“Submit”選項提交配置的參數(shù)。

● 對終端用戶的設置：

在終端用戶的計算機上安裝相應的IEEE 802.1x 協(xié)議撥號軟件，用管理員在ACS認證服務器上開設的用戶名和口令進行撥號上網(wǎng)。

（二）終端電腦的增強桌面管理

當計算機接入公安網(wǎng)絡時，“信通設備管理系統(tǒng)”能自動發(fā)現(xiàn)，并強制計算機進行備案登記，否則不容許瀏覽公安網(wǎng)頁。通過登記，系統(tǒng)獲得計算機使用人的信息，從而實現(xiàn)對計算機的“戶籍” 式電子檔案。當計算機進行在線備案登記時，計算機的硬件參數(shù)如操作系統(tǒng)、安全補丁、主板、硬盤、內(nèi)存、顯卡、聲卡、網(wǎng)卡、機器名、工作組名、IP地址、MAC地址、操作系統(tǒng)、補丁、瀏覽器、安裝軟件等能自動獲得，并將獲得的信息自動反饋服務器，而且自動跟蹤這些信息的變動情況。

增強的終端桌面管理是指在計算機本身上進行全面的控制、監(jiān)測和預警，包括軟件控制、設備控制、網(wǎng)絡控制，以下一一進行描述。

1、軟件控制

軟件控制可分為軟件黑名單控制和軟件紅名單控制。

軟件黑名單控制：針對在非公安場所使用的公安網(wǎng)計算機，系統(tǒng)可以指定這些計算機不能運行的一些軟件進程，例如：游戲、電驢等軟件。如果運行則將之強制終止，從而達到對其行為進行控制的目的。即使用戶運行的是綠色軟件（非安裝版本），或者用戶修改了應用程序（*.exe）的文件名，也同樣逃脫不了系統(tǒng)的監(jiān)測。

軟件紅名單控制，系統(tǒng)可以指定某些電腦一定要安裝一些軟件，如果不安裝則不斷提示。例如：殺毒軟件、監(jiān)控軟件等。

2、設備控制

這里的設備包括光驅(qū)、軟驅(qū)、USB移動存儲（如U盤、移動硬盤、錄音筆、數(shù)碼攝像機、數(shù)碼照相機、手機等）。對設備進行控制的目是減少涉密途徑，強化內(nèi)部安全控制機制。移動存儲的多樣性決定了移動存儲控制是比較復雜的過程。

首先，要進在數(shù)據(jù)泄漏方面，有三大主要途徑：軟驅(qū)拷貝、移動存儲拷貝、網(wǎng)絡拷貝，其中在個人電腦上實施的移動存儲拷貝是最大的、最簡便的泄漏源頭。

具體的措施如下：

（1）實施移動存儲設備的認證注冊，分部門、分密級，已注冊的設備視為合法。

（2）實施移動存儲設備的訪問限制，不經(jīng)過認證的不能使用，經(jīng)過認證的也不一定能在每臺電腦上都可以使用。可以指定某一移動存儲設備只能在某一電腦上使用，別的就不行；也可以指定某一電腦上除了某一移動設備外，別的設備就不能使用。

（3）實施移動存儲設備的訪問日志記錄。

（4）禁止軟驅(qū)的使用。

（5）其他的措施還包括軟件控制、網(wǎng)絡控制、桌面巡拍、性能快照等等。

操作包括設備認證、設備管理策略定義、設備管理策略分發(fā)、設備使用日志查詢，詳細分述如下：

1、USB存儲認證

要對移動存儲設備進行管理，必須先進行注冊登記，建立相應的數(shù)據(jù)庫，已注冊的設備視為合法，注冊登記的界面如圖3：

圖3

2、設備管理策略定義

在默認的情況下，系統(tǒng)已經(jīng)有一個“默認組合”，該默認組合允許對所有設備都可以使用。

用戶可以定義一個或多個組合，名稱可以叫“全部允許（有例外）”、“全部禁止（有例外）”等等。如果想達到所有經(jīng)過認證的USB設備才能在網(wǎng)絡中使用，其他的全部禁止的目的，則可建立一個組合叫“全部禁止（認證外）”，具體做法是：默認情況下全部禁止，經(jīng)過認證的設為例外，但這樣需要日常維護，即認證完一些移動設備以后，要將之添加到例外中來。

編輯組合的過程是：①如果是新建的，則點擊“新增組合”按鈕；如果是修改的，則點擊左欄已經(jīng)定義的某個組合名稱，然后點擊“修改組合”按鈕；如果是刪除的，則點擊左欄已經(jīng)定義的某個組合名稱，然后點擊“刪除組合”按鈕；②編輯組合名稱；③選擇禁止情況，④在例外框上點擊鼠標右鍵選擇菜單項，選擇例外的設備；⑤“保存數(shù)據(jù)”，界面如圖4所示。

圖4

3、設備管理策略分發(fā)

點擊左欄的某一組合名稱，右欄中會顯示該功能的應用目標，點“添加”可以增加目標，點中一目標后點“刪除”可以解除對該電腦的控制，點“應用”表示馬上實行所有未實施的控制策略。

圖5

4、設備使用日志查詢控制情況查詢

可查詢各種移動設備在各種電腦上的使用日志，如圖6所示。

如圖5所示，點擊左欄的某一組合名稱，右欄中會顯示該功能的應用目標，狀態(tài)處打勾√的表示已經(jīng)將策略應用到目標計算機中，由客戶機端監(jiān)測程序負責控制執(zhí)行。

3、網(wǎng)絡控制

網(wǎng)絡控制包括IP+MAC綁定、IP控制和端口控制。

（1）IP+MAC綁定限制。系統(tǒng)可以指定某些計算機進行IP和MAC地址綁定，保證設備的合法性和唯一性。

（2）IP地址訪問限制。系統(tǒng)可以指定某些計算機只能訪問有限個范圍或拒絕有限范圍計算機的訪問。

（3）端口訪問限制。系統(tǒng)可以指定某些計算機的一些TCP或UDP端口被禁止,放止非法訪問或掃描。

四、結(jié)束語

在網(wǎng)絡交換機上，將接入端口配置為IEEE 802.1x端口，利用這一認證機制可實現(xiàn)按照身份進行訪問控制，保證了接入交換機物理端口的安全性；另外，集中式的用戶管理控制可使所有的用戶身份和密碼的維護都集中在分局信息中心統(tǒng)一維護，簡化了管理工作量。根據(jù)分局公安信息網(wǎng)的建設現(xiàn)狀，這種終端電腦的入網(wǎng)增強控制方式，是一種合理有效的解決方案，可充分利用現(xiàn)有的資源，降低成本的投入，并能迅速部署到位。

在終端電腦上，通過制定客戶個性化的桌面控制安全策略，對電腦外設硬件使用、軟件安裝運行、聯(lián)網(wǎng)訪問三方面進行安全管理，更能增強這些場所的信息安全。