论文部分内容阅读
摘要:随着计算机和通讯技术的高速发展,网络的开放性、互连性、共享性程度的扩大,工作越来越依赖信息和网络技术来支持。但随之而来的威胁也越来越多,而想只依赖安全产品硬件软件就想解决所有的安全问题是不现实的,安全和管理是密不可分的缺一不可,需要从网络建设初期就考虑安全,运行为维护管理的过程尤其重要,其中层次化安全管理和保障合法的身份验证和访问授权是最基本的安全管理办法。
关键词:用户管理;内网安全;访问控制;RADIUS
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)17-0041-04
1 安徽日报集团大厦基础网络布局和用户结构
1.1网路基础布局
报业大厦的信息网络系统包含以下几种网络设备:
1)对外出口的安全设备;
2)内网的网络交换设备;
3)内网安全监控设备和管理软件;
4)各类应用的服务器、数据存储设备。
1.2人员结构分布
集团人员具有集中性、独立性、分布性等特点:
1)所有的单位都集中在一栋大楼内办公,拥有各自独立的办公共区域,也有共同分布的区域;
2)同在一个内网有共同的办公系统,也有不同的业务系统;
3)有开放的访问资源也有各自独立的授权访问资源;
4)固定的办公人员和临时、外来访客;
5)有需要跨部门权限的个人。
2 大厦网络体系及安全状况
目前集团大厦局域网的建设都是基于TCP/IP参考模型而非OSI,TCP/IP是一组用于实现网络互连的通信协议。Internet网络体系结构以TCP/IP为核心。基于TCP/IP的参考模型将协议分成四个层次,它们分别是:网络访问层、网际互连层、传输层(主机到主机)、和应用层。
1)OSI是七层模型,TCP/IP是四层结构;
2)TCP/IP的可靠性更高;
3)OSI模型是在协议开发前设计的, 具有通用性.TCP/IP是先有协议集然后建立模型, 不适用于非TCP/IP网络;
4)实际市场应用不同,OSI模型只是理论上的模型,并没有成熟的产品,而TCP/IP已经成为“实际上的国际标准”。
随着信息系统的集中性和敏感性增大,非法和越权访问很容易造成数据丢失,系统故障,对信息安全的运行是个极大的危害,已经成为摆在我们面前的一个严峻的问题。针对这个局域网中存在的安全隐患需要采取相应的安全措施,可以从以下几个方面来理解:1) 物理层是否可靠;2) 网络层是否安全;3) 应用层是否有漏洞;4) 管理是否全面。
3 大厦网络应用到的网络权限管控技术
3.1 VLAN隔离
3.1.1 vlan的使用
VLAN(Virtual Local Area Network)的隔离整个2层网络。VLAN是一种局域网(LAN)内的设备从逻辑上划分为不同网段,从而实现虚拟团队的新兴数据交换技术。这种隔离技术主要应用于交换机和路由器,但主应用程序仍在交换机。VLAN是基于工作小组使用一个物理网络,逻辑的应用部门的局域网,一个广播域,用户的物理位置。VLAN通信网络用户通过局域网交换机。VLAN成员看不到VLAN的另一个成员。VLAN的方法,基于端口VLAN端口是基于物理层,MAC是基于数据链路层,网络层和IP多播基于第三层。
3.1.2建立基于单位的网络用户身份
在整个大厦中根据用户单位将其使用的物理端口划分到不同的vlan,减少单位人员之间网络使用的干扰。
在实际划分过程中我们将192.168.1.0/24到192.168.32.0/24网段分别对应vlan1到vlan 32,每个单位或部门分别划分一个vlan。
3.2 无线网隔离
3.2.1 不同用户无线ssid隔离
服务设置标识符,例如,abbreviation服务集标识符。技术可以分为多个SSID的无线本地区域网络(LAN)需要验证的子网,每个子网独立认证的要求,只经过身份验证的用户可以对相应的子网,以防止擅自进入用户的网络。在nutshell SSID名称,是本地区域网络(LAN),只有设置为名称相同SSID的值的设备才能互相通信。IEEE 802.11规范包括MAC子层和物理层(PHY)两个协议层
3.2.2 建立基于设备功能的用户身份
单位中使用无线网络的通常可以分为不同设备和不同用处,手机上网、办公移动设备、无线管控设备、访客使用等等,根据这几个方面划分基于不同vlan的不同的ssid,并且设定不用密钥,防止交叉使用,降低使用过程中的风险。同一ssid下的用户也根据用户类型,如娱乐类型的在同一ssid下也互相不能访问。
实际配置了六个ssid,在部分ssid下启用[AP]user-isolation 以实现隔离功能。
3.3 访问控制列表
3.3.1访问控制的手段
ACL技术是一种基于包过滤的流量控制技术。标准的访问控制列表由源地址、目的地址和端口号作为数据包检查的基本元素,并可以提供合格的数据包通过。作为本地区在内部网络资源的净增加,一些企业已经开始使用ACL来控制访问内部资源的能力,从而保证这些资源的安全。ACL技术可以有效地对三层的网络资源,为网络用户控制接入方式,它可以具体到网络设备的网络应用,也可以根据网络段对一个广泛的访问控制管理,是一种非常有效的安全网络控制手段。
3.3.2建立基于职能的用户身份
通过在内网的交换机、路由器、防火墙上建立访问控制列表,控制终端ip访问各类服务器、或ip互访、单向访问等。例如管理员可以访问全网,各单位工作人员只能访问自单位资源,集团部分人员需要全网访问但是非网管,出于安全性考虑 他们可以访问全网反过来被他访问的ip不能访问他,这都是通过acl来实现。 3.4 用户桌面管理及准入
3.4.1桌面管理的概念
一个基于web的Windows桌面管理工具,管理员可以使用它集中管理大量的桌面设备。它能够自动完成桌面机的生命周期中小到配置更改、大到大型应用程序部署等各种操作。同时基于其天生的网络架构,用户亦可以使用它轻松管理各种Windows网络环境,同时完美支持对硬件/软件资产、许可顺应性明细的审计,监测禁 用软件的使用情况等。简单来说,它能够用户实现桌面机自动化、规范化、安全化管理及资产审计,软件部署, 补丁管理, 资产管理, 远程桌面共享, 服务包部署, 配置管理, 活动目录报表, 用户登录报表以及Windows系统工具。监控和控制终端计算机各种设备的使用,将用户名和终端绑定认证,未经认证的终端机器无法连接到网络。
3.4.2建立基于个人终端的用户身份
3.5 远程办公
3.5.1虚拟化应用的优点
1)桌面虚拟化指的是电脑桌面虚拟化,桌面使用,以实现安全性和灵活性。可以在任何设备上,在任何地方,任何时间在网络上访问属于我们的个人桌面系统。桌面虚拟准依赖于服务器虚拟化,并在数据中心服务器向服务器虚拟化,产生大量独立桌面操作系统(虚拟机或虚拟桌面),同时根据虚拟桌面的专有协议发送到终端设备。用户只需记住用户名和密码和网关信息,可以随时随地访问他们的桌面系统通过网络。
2)应用虚拟化应用和操作系统,解耦为应用提供了一个虚拟环境。在这样的环境中,不仅包括可执行文件的应用,还包括其所需的运行时环境。从本质上说,应用虚拟化是对系统和硬件的抽象依赖,可以解决不兼容的软件共享使用的软件。
3.5.2建立基于资源使用的用户身份
利用虚拟化赋予用户权限可访问特定的办公系统桌面资源,也可使用一些特定的办公应用软件。
3.6 虚拟专用网络
3.6.1VPN的功能及种类
虚拟专用网络(Virtual Private Network ,简称VPN)指的是通过利用对两个专用终端之间的通讯进行加密的方式在公用的国际互联网上模拟出专用网络。它在连通性、服务质量和保密性等方面与现存的典型专用网络具有相同的性能。一般说来,虚拟专用网络(VPN)可分为如下几种:
1)传统的虚拟专用网络(VPN):帧中继虚拟专用网络(VPN)(第二协议层);ATM虚拟专用网络(VPN)(第二协议层)
2)基于用户地设备的虚拟专用网络(VPN):L2TP和PPTP虚拟专用网络(VPN)(第二协议层) ;IPsec虚拟专用网络(VPN)(第三协议层)
3)提供者指配的虚拟专用网 (PP-VPNs):BGP/MPLS 虚拟专用网(第二和第三协议层,RFC 2547)
4)基于会话的虚拟专用网:SSL虚拟专用网(第四及以下的协议层);SOCKS虚拟专用网(第四及以下的协议层)
3.6.2建立基于目的访问的用户身份
从外网访问内网的资源,利用vpn建立不同用户对不同内网资源的访问权限。
3.7 用户名加密码的验证
3.7.1利用RADIUS或域的验证
1)RADIUS:Remote Authentication Dial In User Service,远程用户拨号认证系统由RFC2865,RFC2866定义,是目前应用最广泛的AAA协议。RADIUS是一种C/S结构的协议,它的客户端最初就是NAS(Net Access Server)服务器,现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。
2)负责各子到计算机网络和用户的验证工作,相当于一个单位的门卫,被称为“域控制器(域控制器,简称DC)”。包含域控制器的域帐户,密码,属于计算机领域的信息,如数据库。当计算机访问网络时,域控制器必须首先确定计算机是否属于域,用户登录帐户存在,密码是正确的。如果上述信息不正确,则域控制器将拒绝该用户登录此计算机。不能登录,用户将无法访问服务器的权限,以保护资源,他只能在对等网络的形式,用户访问窗口共享资源,从而在一定程度上保护网络上的资源。
3.7.2建立基于用户名密码的用户身份
为了进一步加强用户身份权限的管理,也可对物理连入的用户进行域控的管理或者利用radius验证机制。
3.8跨部门及应用系统的使用
3.8.1不同部门访问的问题
在前面我们已经实行了隔离,那么会有很多问题,有各单位的统一财务,有整合的业务系统,有我们管理员需要访问的权限,管理的系统,这些都在三层网络上被隔离了,如何解决访问在三层上隔离在应用层上又能使用,可是一个硬件设备也可以是一种软件代理。
3.8.2使用堡垒机解决的意义
通过考察我们选择堡垒机作为我们在应用和业务系统及特殊管理人员的工具,它可以完全控制所有授权访问,分配可以方位的地址、端口、应用程序,记录所有访问动作,保证安全的同时便于管理,对业务系本身也起到一定的保护作用。
4 信息安全进一步思考
网络安全建设是一个系统工程,持续的过程,随着网络和计算机技术日新月异地飞速发展,新的安全问题不断产生和变化。网络身份管理只是其中的一个点,仅仅做到这一步还是不够的,因此网络信息的安全必须依靠不断创新的技术进步与应用、自身管理制度的不断完善和加强、网络工作人员素质的不断提高等措施来保障。同时要加快网络信息安全技术手段的研究和创新,从而使网络的信息能安全可靠地为广大用户服务。
参考文献:
[1] 闫兵.企业信息安全概述及防范[J].科学咨讯,2010(2):154-155.
[2] 高永强,郭世泽.网络安全技术与应用大典[M].北京:人民邮电出版社,2003.
[3] 徐汉.超计算机网络安全与数据完整性技术[M].北京:北京电子工业出版社,1999.
[4] 陈爱民.计算机的安全与保密[M].北京:电子工业出版社,2002.
关键词:用户管理;内网安全;访问控制;RADIUS
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)17-0041-04
1 安徽日报集团大厦基础网络布局和用户结构
1.1网路基础布局
报业大厦的信息网络系统包含以下几种网络设备:
1)对外出口的安全设备;
2)内网的网络交换设备;
3)内网安全监控设备和管理软件;
4)各类应用的服务器、数据存储设备。
1.2人员结构分布
集团人员具有集中性、独立性、分布性等特点:
1)所有的单位都集中在一栋大楼内办公,拥有各自独立的办公共区域,也有共同分布的区域;
2)同在一个内网有共同的办公系统,也有不同的业务系统;
3)有开放的访问资源也有各自独立的授权访问资源;
4)固定的办公人员和临时、外来访客;
5)有需要跨部门权限的个人。
2 大厦网络体系及安全状况
目前集团大厦局域网的建设都是基于TCP/IP参考模型而非OSI,TCP/IP是一组用于实现网络互连的通信协议。Internet网络体系结构以TCP/IP为核心。基于TCP/IP的参考模型将协议分成四个层次,它们分别是:网络访问层、网际互连层、传输层(主机到主机)、和应用层。
1)OSI是七层模型,TCP/IP是四层结构;
2)TCP/IP的可靠性更高;
3)OSI模型是在协议开发前设计的, 具有通用性.TCP/IP是先有协议集然后建立模型, 不适用于非TCP/IP网络;
4)实际市场应用不同,OSI模型只是理论上的模型,并没有成熟的产品,而TCP/IP已经成为“实际上的国际标准”。
随着信息系统的集中性和敏感性增大,非法和越权访问很容易造成数据丢失,系统故障,对信息安全的运行是个极大的危害,已经成为摆在我们面前的一个严峻的问题。针对这个局域网中存在的安全隐患需要采取相应的安全措施,可以从以下几个方面来理解:1) 物理层是否可靠;2) 网络层是否安全;3) 应用层是否有漏洞;4) 管理是否全面。
3 大厦网络应用到的网络权限管控技术
3.1 VLAN隔离
3.1.1 vlan的使用
VLAN(Virtual Local Area Network)的隔离整个2层网络。VLAN是一种局域网(LAN)内的设备从逻辑上划分为不同网段,从而实现虚拟团队的新兴数据交换技术。这种隔离技术主要应用于交换机和路由器,但主应用程序仍在交换机。VLAN是基于工作小组使用一个物理网络,逻辑的应用部门的局域网,一个广播域,用户的物理位置。VLAN通信网络用户通过局域网交换机。VLAN成员看不到VLAN的另一个成员。VLAN的方法,基于端口VLAN端口是基于物理层,MAC是基于数据链路层,网络层和IP多播基于第三层。
3.1.2建立基于单位的网络用户身份
在整个大厦中根据用户单位将其使用的物理端口划分到不同的vlan,减少单位人员之间网络使用的干扰。
在实际划分过程中我们将192.168.1.0/24到192.168.32.0/24网段分别对应vlan1到vlan 32,每个单位或部门分别划分一个vlan。
3.2 无线网隔离
3.2.1 不同用户无线ssid隔离
服务设置标识符,例如,abbreviation服务集标识符。技术可以分为多个SSID的无线本地区域网络(LAN)需要验证的子网,每个子网独立认证的要求,只经过身份验证的用户可以对相应的子网,以防止擅自进入用户的网络。在nutshell SSID名称,是本地区域网络(LAN),只有设置为名称相同SSID的值的设备才能互相通信。IEEE 802.11规范包括MAC子层和物理层(PHY)两个协议层
3.2.2 建立基于设备功能的用户身份
单位中使用无线网络的通常可以分为不同设备和不同用处,手机上网、办公移动设备、无线管控设备、访客使用等等,根据这几个方面划分基于不同vlan的不同的ssid,并且设定不用密钥,防止交叉使用,降低使用过程中的风险。同一ssid下的用户也根据用户类型,如娱乐类型的在同一ssid下也互相不能访问。
实际配置了六个ssid,在部分ssid下启用[AP]user-isolation 以实现隔离功能。
3.3 访问控制列表
3.3.1访问控制的手段
ACL技术是一种基于包过滤的流量控制技术。标准的访问控制列表由源地址、目的地址和端口号作为数据包检查的基本元素,并可以提供合格的数据包通过。作为本地区在内部网络资源的净增加,一些企业已经开始使用ACL来控制访问内部资源的能力,从而保证这些资源的安全。ACL技术可以有效地对三层的网络资源,为网络用户控制接入方式,它可以具体到网络设备的网络应用,也可以根据网络段对一个广泛的访问控制管理,是一种非常有效的安全网络控制手段。
3.3.2建立基于职能的用户身份
通过在内网的交换机、路由器、防火墙上建立访问控制列表,控制终端ip访问各类服务器、或ip互访、单向访问等。例如管理员可以访问全网,各单位工作人员只能访问自单位资源,集团部分人员需要全网访问但是非网管,出于安全性考虑 他们可以访问全网反过来被他访问的ip不能访问他,这都是通过acl来实现。 3.4 用户桌面管理及准入
3.4.1桌面管理的概念
一个基于web的Windows桌面管理工具,管理员可以使用它集中管理大量的桌面设备。它能够自动完成桌面机的生命周期中小到配置更改、大到大型应用程序部署等各种操作。同时基于其天生的网络架构,用户亦可以使用它轻松管理各种Windows网络环境,同时完美支持对硬件/软件资产、许可顺应性明细的审计,监测禁 用软件的使用情况等。简单来说,它能够用户实现桌面机自动化、规范化、安全化管理及资产审计,软件部署, 补丁管理, 资产管理, 远程桌面共享, 服务包部署, 配置管理, 活动目录报表, 用户登录报表以及Windows系统工具。监控和控制终端计算机各种设备的使用,将用户名和终端绑定认证,未经认证的终端机器无法连接到网络。
3.4.2建立基于个人终端的用户身份
3.5 远程办公
3.5.1虚拟化应用的优点
1)桌面虚拟化指的是电脑桌面虚拟化,桌面使用,以实现安全性和灵活性。可以在任何设备上,在任何地方,任何时间在网络上访问属于我们的个人桌面系统。桌面虚拟准依赖于服务器虚拟化,并在数据中心服务器向服务器虚拟化,产生大量独立桌面操作系统(虚拟机或虚拟桌面),同时根据虚拟桌面的专有协议发送到终端设备。用户只需记住用户名和密码和网关信息,可以随时随地访问他们的桌面系统通过网络。
2)应用虚拟化应用和操作系统,解耦为应用提供了一个虚拟环境。在这样的环境中,不仅包括可执行文件的应用,还包括其所需的运行时环境。从本质上说,应用虚拟化是对系统和硬件的抽象依赖,可以解决不兼容的软件共享使用的软件。
3.5.2建立基于资源使用的用户身份
利用虚拟化赋予用户权限可访问特定的办公系统桌面资源,也可使用一些特定的办公应用软件。
3.6 虚拟专用网络
3.6.1VPN的功能及种类
虚拟专用网络(Virtual Private Network ,简称VPN)指的是通过利用对两个专用终端之间的通讯进行加密的方式在公用的国际互联网上模拟出专用网络。它在连通性、服务质量和保密性等方面与现存的典型专用网络具有相同的性能。一般说来,虚拟专用网络(VPN)可分为如下几种:
1)传统的虚拟专用网络(VPN):帧中继虚拟专用网络(VPN)(第二协议层);ATM虚拟专用网络(VPN)(第二协议层)
2)基于用户地设备的虚拟专用网络(VPN):L2TP和PPTP虚拟专用网络(VPN)(第二协议层) ;IPsec虚拟专用网络(VPN)(第三协议层)
3)提供者指配的虚拟专用网 (PP-VPNs):BGP/MPLS 虚拟专用网(第二和第三协议层,RFC 2547)
4)基于会话的虚拟专用网:SSL虚拟专用网(第四及以下的协议层);SOCKS虚拟专用网(第四及以下的协议层)
3.6.2建立基于目的访问的用户身份
从外网访问内网的资源,利用vpn建立不同用户对不同内网资源的访问权限。
3.7 用户名加密码的验证
3.7.1利用RADIUS或域的验证
1)RADIUS:Remote Authentication Dial In User Service,远程用户拨号认证系统由RFC2865,RFC2866定义,是目前应用最广泛的AAA协议。RADIUS是一种C/S结构的协议,它的客户端最初就是NAS(Net Access Server)服务器,现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。
2)负责各子到计算机网络和用户的验证工作,相当于一个单位的门卫,被称为“域控制器(域控制器,简称DC)”。包含域控制器的域帐户,密码,属于计算机领域的信息,如数据库。当计算机访问网络时,域控制器必须首先确定计算机是否属于域,用户登录帐户存在,密码是正确的。如果上述信息不正确,则域控制器将拒绝该用户登录此计算机。不能登录,用户将无法访问服务器的权限,以保护资源,他只能在对等网络的形式,用户访问窗口共享资源,从而在一定程度上保护网络上的资源。
3.7.2建立基于用户名密码的用户身份
为了进一步加强用户身份权限的管理,也可对物理连入的用户进行域控的管理或者利用radius验证机制。
3.8跨部门及应用系统的使用
3.8.1不同部门访问的问题
在前面我们已经实行了隔离,那么会有很多问题,有各单位的统一财务,有整合的业务系统,有我们管理员需要访问的权限,管理的系统,这些都在三层网络上被隔离了,如何解决访问在三层上隔离在应用层上又能使用,可是一个硬件设备也可以是一种软件代理。
3.8.2使用堡垒机解决的意义
通过考察我们选择堡垒机作为我们在应用和业务系统及特殊管理人员的工具,它可以完全控制所有授权访问,分配可以方位的地址、端口、应用程序,记录所有访问动作,保证安全的同时便于管理,对业务系本身也起到一定的保护作用。
4 信息安全进一步思考
网络安全建设是一个系统工程,持续的过程,随着网络和计算机技术日新月异地飞速发展,新的安全问题不断产生和变化。网络身份管理只是其中的一个点,仅仅做到这一步还是不够的,因此网络信息的安全必须依靠不断创新的技术进步与应用、自身管理制度的不断完善和加强、网络工作人员素质的不断提高等措施来保障。同时要加快网络信息安全技术手段的研究和创新,从而使网络的信息能安全可靠地为广大用户服务。
参考文献:
[1] 闫兵.企业信息安全概述及防范[J].科学咨讯,2010(2):154-155.
[2] 高永强,郭世泽.网络安全技术与应用大典[M].北京:人民邮电出版社,2003.
[3] 徐汉.超计算机网络安全与数据完整性技术[M].北京:北京电子工业出版社,1999.
[4] 陈爱民.计算机的安全与保密[M].北京:电子工业出版社,2002.