网络安全准入控制系统及其铁路应用浅析

摘要:主要介绍网络安全准入控制系统组成及相关技术,并对该技术在铁路信息系统中如何应用加以探讨。

Abstract: The paper mainly introduces the components and the related technology of network security access control system and explores the application of this technology on railway information system.

关键词:网络安全;准入控制;铁路

Key words: network security; access control; railway

中图分类号:TP319文献标识码:A文章编号:1006-4311(2010)27-0170-01

0引言

随着网络环境愈发复杂,国家对铁路信息系统的安全级别提高到了《信息安全等级保护》的范畴,这就意味着铁路信息系统需要进一步提高安全等级。为此,铁路部门非常重视各种信息系统的安全建设。

现有铁路各信息系统中一般都部署了防病毒、补丁分发等安全措施,起到了一定的网络安全防护作用。但随着网络的发展,这些单个、相对静态的防护措施如何能够进一步的增强和扩展,如何能够有效的结合在一起提高系统安全性,达到国家对铁路系统的安全要求,这就是需要探讨的网络安全准入控制系统。

1网络安全准入控制技术概述

网络安全准入控制的核心概念是从网络接入端点的安全控制入手,结合认证服务器,安全策略服务器和网络设备,以及第三方防病毒、系统补丁等服务器,完成对接入终端用户的强制认证和安全策略应用,从而保障网络安全。

现今,思科、赛门铁克、H3C等厂家已有成熟的网络安全准入控制系统,可以支持常见的准入控制、安全管理、防病毒、补丁分发、ACL(访问控制列表)下发、防ARP攻击、U盘外设管理等功能。其可以实现对整个系统的接入控制、可视化和动态的管理,增强系统的高安全。

2铁路系统应用方案

对于铁路各信息系统应用网络安全准入控制系统,只需增加安全策略服务器、认证服务器,并结合已有的防病毒、补丁分发、网络设备等,即可进行无缝、有效的整合,形成一套联动的系统,实现准入控制等强大的功能。

2.1 铁路信息系统现状铁路行业各信息系统的网络构架以典型的E1环形网络为主,网络接入节点为车站,核心节点一般为铁路局。铁路信息系统具备常用的防病毒和漏洞补丁等安全设备,可以起到对网内固定的计算机、服务器等设备进行病毒防护和补丁升级,但对于系统中是否有其他终端接入,接入的终端设备是否合法,合法用户终端系统是否安全等并未做更进一步的控制。

2.2 网络安全准入控制实现方式网络安全准入控制系统以既有系统网络为基础,在网络核心交换机处设置隔离区,增加安全策略和认证服务器,并利旧补丁分发和防病毒服务器。隔离区中服务器与既有服务器群采用不同VLAN子网隔离开来。在既有车站路由器开启802.1x通用认证协议。

2.2.1 系统构成。①安全策略服务器及安全客户端。②认证服务器。③防病毒、补丁分发服务器。④网络设备。

2.2.2 系统要求。用户终端计算机必须安装准入控制系统客户端软件,在接入网络前首先要进行802.1x和安全认证,否则将不能接入网络或者只能访问隔离区的资源。在接入路由器或交换机中要部署802.1x认证,结合认证服务器进行联动,强制进行基于用户的802.1x认证和动态ACL、VLAN控制。安全策略服务器中配置用户的服务策略、接入策略、安全策略,用户进行802.1x认证时,由安全策略服务器验证用户身份的合法性,并基于用户角色(服务)向安全客户端下发安全评估策略(如检查病毒库版本、补丁安装情况等),完成身份和安全评估后,由安全策略服务器确定用户的ACL、VLAN以及病毒监控策略等。防病毒、漏洞补丁服务器部署于隔离区。

2.2.3 流程说明。①用户上网前必须首先进行身份认证,确认是合法用户后,安全客户端还要检测病毒软件和补丁安装情况,上报安全策略服务器。②安全策略服务器检测补丁安装、病毒库版本等是否合格。③安全策略服务器通知接入设备,将该用户的访问权限限制到隔离区内。此时,用户只能访问补丁服务器、防病毒服务器等安全资源,因此不会受到外部病毒和攻击的威胁。④安全客户端通知用户进行补丁和病毒库的升级操作。⑤用户升级完成后,可重新进行安全认证。⑥如果用户补丁升级不成功,用户仍然无法访问其他网络资源,可进行相应检测。⑦用户可以正常访问其他授权(ACL、VLAN)的网络资源。

2.3 实施效果①由于接入节点路由器或交换机对端口部署了802.1x认证,所有非法用户将不能访问企业内部网络。并且认证通过前,用户终端之间无法实现互访(前提是车站交换机支持802.1x,如果是在路由器实现802.1x则无法控制车站内的终端之间互访)。②合法用户接入网络后,其访问权限受路由器或交换机中的ACL控制。特定的服务器只能由被授权的用户访问。③合法用户接入网络后,其互访权限受路由器控制,实现对终端接入网络访问控制。④用户正常接入网络前,必须通过安全客户端的安全检查,确保没有感染病毒且病毒库版本和补丁得到及时升级。降低了病毒和远程攻击对企业网带来的安全风险。⑤通过使用网络准入系统客户端软件,可对用户的终端使用行为进行严格管理,比如禁止U盘、禁止光驱等。

3网络安全准入控制系统优势

①系统整合后将安全防范由静态转向动态方式,对于所有网络接入用户可实现接入控制和监控,及时发现非法接入情况,对整个系统实现“透明可视”,降低了系统风险。②系统整合后将以往部署的防病毒、补丁分发功能进一步的功能扩大,可实现对于既有系统正常用户进行“体检”,发现其安全缺陷,而进一步的进行修复,更加智能化,同时带来的是更高的安全性。③该系统可以无缝的直接整合在既有系统中,具备一定的兼容和适用性。④整合现有防病毒、补丁分发、终端操作系统管理维护等功能,进行集中、统一管理和维护,减少维护管理工作量。

4结束语

网络安全准入控制系统旨在整合现有资源,全面、可靠的保证系统安全性和可靠性。在铁路信息系统应用,可以以较少的投入实现高安全性、可视化和动态防护的功能。同时,对于铁路各信息系统之间的访问控制,则可以新增或利旧既有的防火墙、网闸来实现安全隔离访问,进一步完善系统间的安全性。

随着国家铁路信息化安全建设的推进,网络安全准入控制系统以其全面、高效、安全的特点,必将在行业内得到应用和推广。

参考文献:

[1]H3C EAD终端准入控制解决方案[Z].2010,3.

[2]思科NAC网络准入控制白皮书[Z].2008,4.

[3]SymantecTM Network Access Control[Z].2007,10.