季佳华+李月+吴穗玲+张伟

【摘要】 终端准入控制EAD（End user Admission Domination，以下简称EAD）解决方案，整合网络接入控制与终端安全产品，通过智能客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施安全策略，严格控制终端用户的网络使用行为，可以加强用户终端的主动防御能力，大幅度提高网络安全。本文重点阐述EAD解决方案的原理和EAD解决方案在上海出入境检验检疫局的成功上线过程，并且对解决方案上线后的容灾备份方案进行了详细论述。通过EAD方案部署，解决检验检疫信息化推进过程中网络安全等问题，加强检验检疫内网安全防御能力，提升内网的整体安全。

关键词 EAD解决方案；准入控制；终端安全；BYOD；移动办公

一、前言

2016年上海出入境检验检疫局完成了上海国检移动办公应用的系统化建设工作，并于7月1日正式在上海局上线运行，也就此开启了上海局移动办公的新“时代之门”。与此同时上海局移动办公应用信息化建设，引入了“BYOD（自带设备）”办公的概念。用户可以携带自己的平板电脑、智能手机等移动终端设备到办公场所，并可以用这些设备访问上海局OA，邮件等业务办公系统。BYOD的出现无疑提高了上海局移动办公的新风尚，突破了传统办公模式下的局限性，提高了上海局移动办公的自由度。可以使更多用户有效利用间隙时间查看邮件充分体现了BYOD…On…the…GO理念。无间隙的业务连接利用移动终端设备接入上海局内网保持与业务网络的连通性，提升决策与工作效率保持业务连续性。

与此同时，随着国内检验检疫网络规模的不断扩大以及业务的不断扩展，网络安全问题变得越来越重要。在针对不同安全区域边界部署IPS、防火墙等设备进行防护的同时，我们认识到实际使用中更多的网络安全事件都是由脆弱的用户终端和“失控”的局域网使用行为引起。在局域网中，用户终端不及时升级系统补丁和病毒库的现象普遍存在；私设代理服务器、私自访问外部网络、滥用禁用软件等行为也比比皆是。“失控”的用户终端一旦接入网络，就相当于安全威胁绕过了IPS、防火墙这些“马其诺防线”，直接面对网络核心业务。因此保证用户终端的安全，对用户的局域网访问行为进行有效的控制，是保证网络安全运行的前提，也是目前上海局局域网安全管理急需解决的問题。

终端用户准入控制系统（End…user…Admission…Domination，以下简称EAD）解决方案，整合网络接入控制与终端安全产品，通过智能客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施安全策略，严格控制终端用户的网络使用行为，可以加强用户终端的主动防御能力，大幅度提高网络安全。

二、需求分析及选型

为了加强对终端安全的管理，我们建议在业务内网部署终端计算机准入防御系统，该系统应满足以下功能需求：

（1）…对接入业务内网的终端实现用户身份认证。对于认证失败的用户，断开其网络连接；认证成功但安全性检查不通过的终端，放入隔离区自动引导其完成主机完整性修复；对于认证和安全性检查全部通过的主机，按照策略设定完成相应网络设置和终端安全客户端设置，满足终端相应权限的访问；

（2）…能检测终端的代理功能设置。对私设代理服务器、IE代理设置的终端，必须能限制其访问；

（3）…能对接入的终端进行安全状态检查，包括：防病毒软件安全检查、补丁状态安全检查、安装软件应用检查等；

（4）…能具备防ARP攻击的特性；

（5）…该系统能支持冗余配置，具备高可靠性；

（6）…该系统能有效的识别移动设备是否被感染恶意软件，并通过有效的策略保证移动设备的数据安全；

（7）…该系统能在移动业务办公的环境下，保证其传输链路的可靠性；

目前各主流网络厂商都提供终端准入控制的产品和解决方案，通过对解决方案功能的详细了解和反复测试，我们确定了终端准入控制EAD（End…user…Admission…Domination，以下简称EAD）解决方案，最为符合当前国内环境下检验检疫业务内网的安全接入。

三、EAD终端准入控制设计原理

3.1 终端准入控制的实现过程

EAD终端准入控制，将终端安全状态与网络接入控制相融合，加强了对用户终端的集中管理，提高了终端的主动防御能力。通过智能客户端、安全策略服务器、接入设备以及第三方服务器的联动，可以将不符合安全要求的终端限制在“隔离区”内，防止“危险”终端对局域网安全的损害，避免“易感”终端受病毒、蠕虫的攻击，从而大幅度提升了局域网抵御安全威胁的能力。

EAD解决方案对终端用户的整体控制过程如下图1所示。

3.2 终端准入控制的原理

EAD的基本原理是通过智能客户端（iNode客户端）、安全联动设备（如交换机、VPN网关、路由器）、安全策略服务器以及防病毒服务器、补丁服务器的联动实现的，其基本原理如下图所示：

（1）…用户终端试图接入网络时，首先通过智能客户端进行用户身份认证，非法用户将被拒绝接入网络；

（2）…合法用户将被要求进行安全状态认证，由安全策略服务器验证用户终端安全状态是否符合基于用户帐号预定义的安全策略，包括补丁版本、病毒库版本是否合格，软件安装允许是否合格、是否使用代理服务器等信息，不合格用户将被安全联动设备隔离到隔离区；

（3）…进入隔离区的用户可以进行补丁、病毒库的升级、卸载非法程序、取消代理设置等操作，直到安全状态合格；endprint

（4）…安全状态合格的用户将实施由安全策略服务器下发的安全设置，并由安全联动设备提供基于身份的网络服务。

3.3 终端准入控制的優点

从EAD的控制过程和基本原理可以看出，EAD将终端病毒防护、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御；变单点防御为全面防御；变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。…

四、终端准入控制在上海出入境检验检疫局的应用

4.1 选型测试过程

为了确保上海出入境检验检疫局的终端准入控制应用实践的成功，自2009年开始进行产品选型工作，2010年3月份正式开始EAD解决方案的测试，测试中包括了EAD解决方案中的多个产品：智能管理平台（Intelligent…Management… Center，iMC）、iMC…EAD安全策略组件（End…user…Admission…Domination）、iMC…UAM（User…Access…Manager）用户接入管理组件、iNode…PC客户端、iNode…DC可溶解客户端，同时测试了iMC双机热备功能。

EAD解决方案的选型测试和局部部署，历时18个月，主要包括五个阶段。

第一阶段：2010年3月-2010年5月，在上海出入境检验检疫局信息中心网络科内部初步测试，测试内容为iNode…DC客户端+Portal…EAD功能测试；

第二阶段：2010年6月-2010年10月，在上海出入境检验检疫局信息中心全部门进行测试，测试内容为iNode…DC客户端+Portal…EAD功能和iNode…PC客户端+Portal…EAD功能测试；…

第三阶段：2010年11月-2011年2月，在上海出入境检验检疫局信息中心全部门进行测试，测试内容为iNode…PC客户端+Cisco…802.1x…EAD功能测试；…

第四阶段：2011年3月-2011年4月，在崇明出入境检验检疫局进行测试，测试内容为iNode…PC客户端EAD功能在分支区县局的实际应用情况；

第五阶段：2011年5月-2011年9月，在上海局和金山、奉贤、南汇等多个区县局实施测试；为了保证iMC服务器的稳定性，在上海出入境检验检疫局信息中心机房实施并测试了iMC…双机热备功能。

第六阶段：2013年4月-2016年12月，在洋山局进行即查即放无线智能终端接入测试，测试内容为iNode…PC客户端EAD功能在分支区县局的无线安全接入的实际应用情况；

第七阶段：2017年2月至今，在上海局全局进行无线安全接入部署；

4.2 选型过程中遇到的问题和解决方案

EAD解决方案在实践过程中，存在如下问题：

（1）……EAD系统支持802.1x认证和Portal认证等；客户端采用iNode…PC客户端、iNode…DC可溶解客户端不同方式，何种方式最符合上海出入境检验检疫局的功能需求和现网环境？

（2）……iNode…PC智能客户端与支持标准802.1x协议的交换机能配合使用，但部分区县局点存在思科公司的C2950、C3550等老款接入交换机，这些交换机的802.1x的部分功能支持不完善，如只支持single-host模式，同一接入端口不允许下挂有多台PC终端，而由于布线系统限制，网络中恰恰有这种需求，如何解决？

（3）…对于部分PC终端，同时安装了360安全卫士软件与趋势杀毒软件。在安装iNode…PC智能客户端时，趋势杀毒软件能够正常识别软件行为，认可iNode…PC智能客户端；但是360安全卫士软件误报EAD客户端不安全，客户端能否正确运行？

（4）……对于网络打印机等不支持802.1x认证的设备，如何实现网络接入并保证接入交换机端口的安全性？

针对以上问题，需要分别从技术和管理体制流程两个层面进行规范和解决：

（1）……通过测试，我们发现网络中的原思科公司交换机产品不能配合EAD系统实现Portal认证。而如果在网络汇聚层或核心层增加配置Portal网关设备，则对接入终端的控制点位置太高，不利于进行严格控制。同时iNode…DC可溶解客户端由于技术限制，功能不如iNode…PC客户端丰富，因此我们最终决定采用iNode…PC客户端配合接入交换机802.1x认证的认证方式。

（2）……对于部分老款接入交换机网络设备802.1x技术支持不完善的问题，通过将部分同一接入端口下确实需要连接多台终端的接入交换机网络设备进行更换，来确保EAD解决方案的成功实施。

（3）……对于360安全卫士软件误报EAD客户端不安全的问题；从技术上，在iNode…PC客户端的安装包中，添加了暂时关闭360安全卫士软件的相关提示，待软件安装完全后，360安全卫士软件可以与iNode…PC客户端正常共存；从管理上，信息中心将要求上海局内终端计算机全部安装趋势杀毒软件，作为终端计算机入网的要求形成文件下发。

（4）……为了接入网络打印机等不支持802.1x认证的设备，可以关闭接入交换机上连接该类设备的端口的802.1x认证功能，但这会造成安全漏洞。在该端口上配置MAC地址绑定或MAC认证功能，可以避免非法设备通过该交换机端口接入网络。

4.3 容灾备份方案

通过1年多的测试，EAD解决方案能满足上海出入境检验检疫局对终端准入控制的功能需求，而且也提供部分桌面管理和资产管理功能。

通过交换机的配合，强制用户在接入网络前通过802.1X等方式进行身份认证和安全状态评估，确保只有符合安全标准的用户接入网络，实现了：endprint

（1）……没有在EAD终端准入控制系统内注册的PC终端，即使正确配置了IP地址，也无法连入上海出入境检验检疫局内网；

（2）…對于连入内网的PC终端进行合法性、安全性检查；合法性主要检查IP和用户对应关系；安全性检查例如：检查防病毒软件安装、操作系统补丁的安装等。

（3）…杜绝了内网中私设代理服务器的现象

在实践了EAD解决方案之后，如上图3所示，EAD服务器的备份就显得尤其重要了，如果没有EAD服务器的备份方案，那就存在一个可能会导致全网中断的单点故障。

在充分的衡量了各种容灾备份方案的基础上，上海局最终采用了最为稳妥的Windows群集双机热备加离线逃生工具的备份方案。

如下图4，EAD双机热备是采用两台服务器利用群集软件实现服务器备份冗余的方案。iMC双机热备组网中，SQL…Server数据库和EAD策略服务器软件都安装在存储设备上，同一时间只会有一台服务器使用共享磁盘阵列上的资源；两台服务器作为一个整体，对外提供一个虚IP作为服务器的IP地址；通过Windows的群集管理器软件保持两台服务器之间的心跳，实时检测EAD相关的进程运行是否正常，当发生故障时自动将业务切换到另一台服务器上。

双机热备组网的优点是能够解决服务器本身的硬件故障。但是由于只有一套程序文件及数据存在，所以不能解决程序文件本身以及数据库本身的软件故障。为了解决这个问题，在部署EAD解决方案的同时，我们还部署了用户接入逃生工具。

用户接入逃生工具（以下简称为“逃生工具”）是iMC…EAD解决方案中UAM（User…Access…Manager）组件的后台的替身。当iMC…UAM出现诸如进程宕机、数据库异常、性能下降等故障无法处理认证请求时，逃生工具暂时替代iMC…UAM处理请求报文以保障用户的业务不中断。逃生工具不验证用户信息与用户口令，不做绑定、授权处理，也不启用安全认证，对于请求报文都直接回应成功。如图5。

有了双机热备容灾备份方案和逃生工具容灾备份方案的双保险，EAD终端准入控制解决方案在上海出入境检验检疫局的运行更加稳定，可以应对单台服务器故障、存储系统故障、iMC程序本身的故障以及数据库程序的故障，可以最大程度地保证系统运行过程中的稳定性，确保上海出入境检验检疫局业务工作正常开展。

五、结语

全新的BYOD办公模式，让上海局办公人员摆脱了时间和空间的束缚。业务信息可以随时随地通畅地进行交互流动，工作更加轻松有效，整体运作更加协调。有效提高了上海局业务办公效率。在信息化飞速发展的时代，上海局将秉着持续探索、勇于创新的原则，不断完善单位的信息化建设。信息技术已经成为支持检验检疫业务的主要技术手段，在推进检验检疫信息化建设的过程中，如何不断应对层出不穷的各类威胁、有效地管理和控制信息安全风险是检验检疫在信息安全管理上的重中之重，在构成信息系统的网络、服务器和终端这三大要素中，针对和利用终端计算机实施的攻击急剧增多，终端安全问题日益凸显，EAD解决方案从终端计算机这一源头加强管理，提高终端计算机、智能无线设备的规避安全风险的能力，帮助掌握全网终端智能设备的安全状况，为检验检疫业务信息化建设过程中的安全性管控进一步加固了基石。利用EAD的安全管理功能模块，实现对安装软件、网络流量、外设USB接口应用等进行全面安全管理进而实现对终端的安全管控，在网络层面进行访问控制风险识别和分析，并通过信息安全管理和技术这两个领域进行全面的风险控制，提高终端计算机规避安全风险的能力，帮助掌握全网终端计算机的安全状况，确保入网终端处于可管、可控、可靠、安全的状态。EAD解决方案在上海局的成功应用开创了国内检验检疫信息化安全接入控制管理的先河，对行政效率和公共服务水平的提升提供有力的保障。

参 考 文 献

[1]…RFC…2865：Remote…Authentication…Dial…In…User…Service…（RADIUS）

[2]…GB/T…20984-2007，…信息安全技术…信息安全风险评估规范

[3]…Kadrich，…M.S.…终端安全，电子工业出版社，2009-5-1

[4]…王宇杰，，王锋，…杨文宾，计算机网络访问控制技术研究，…现代计算机（专业版）2010年7期

[5]…杭州华三通信技术有限公司：EAD技术白皮书endprint