淺談分層管控建立集團(tuán)大廈內(nèi)部網(wǎng)絡(luò)權(quán)限管理

徐雷

摘要：隨著計(jì)算機(jī)和通訊技術(shù)的高速發(fā)展，網(wǎng)絡(luò)的開放性、互連性、共享性程度的擴(kuò)大，工作越來越依賴信息和網(wǎng)絡(luò)技術(shù)來支持。但隨之而來的威脅也越來越多，而想只依賴安全產(chǎn)品硬件軟件就想解決所有的安全問題是不現(xiàn)實(shí)的，安全和管理是密不可分的缺一不可，需要從網(wǎng)絡(luò)建設(shè)初期就考慮安全，運(yùn)行為維護(hù)管理的過程尤其重要，其中層次化安全管理和保障合法的身份驗(yàn)證和訪問授權(quán)是最基本的安全管理辦法。

關(guān)鍵詞：用戶管理；內(nèi)網(wǎng)安全；訪問控制；RADIUS

中圖分類號：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號：1009-3044（2016）17-0041-04

1 安徽日報(bào)集團(tuán)大廈基礎(chǔ)網(wǎng)絡(luò)布局和用戶結(jié)構(gòu)

1.1網(wǎng)路基礎(chǔ)布局

報(bào)業(yè)大廈的信息網(wǎng)絡(luò)系統(tǒng)包含以下幾種網(wǎng)絡(luò)設(shè)備：

1）對外出口的安全設(shè)備；

2）內(nèi)網(wǎng)的網(wǎng)絡(luò)交換設(shè)備；

3）內(nèi)網(wǎng)安全監(jiān)控設(shè)備和管理軟件；

4）各類應(yīng)用的服務(wù)器、數(shù)據(jù)存儲(chǔ)設(shè)備。

1.2人員結(jié)構(gòu)分布

集團(tuán)人員具有集中性、獨(dú)立性、分布性等特點(diǎn)：

1）所有的單位都集中在一棟大樓內(nèi)辦公，擁有各自獨(dú)立的辦公共區(qū)域，也有共同分布的區(qū)域；

2）同在一個(gè)內(nèi)網(wǎng)有共同的辦公系統(tǒng)，也有不同的業(yè)務(wù)系統(tǒng)；

3）有開放的訪問資源也有各自獨(dú)立的授權(quán)訪問資源；

4）固定的辦公人員和臨時(shí)、外來訪客；

5）有需要跨部門權(quán)限的個(gè)人。

2 大廈網(wǎng)絡(luò)體系及安全狀況

目前集團(tuán)大廈局域網(wǎng)的建設(shè)都是基于TCP/IP參考模型而非OSI，TCP/IP是一組用于實(shí)現(xiàn)網(wǎng)絡(luò)互連的通信協(xié)議。Internet網(wǎng)絡(luò)體系結(jié)構(gòu)以TCP/IP為核心?；赥CP/IP的參考模型將協(xié)議分成四個(gè)層次，它們分別是：網(wǎng)絡(luò)訪問層、網(wǎng)際互連層、傳輸層（主機(jī)到主機(jī)）、和應(yīng)用層。

1）OSI是七層模型，TCP/IP是四層結(jié)構(gòu)；

2）TCP/IP的可靠性更高；

3）OSI模型是在協(xié)議開發(fā)前設(shè)計(jì)的， 具有通用性.TCP/IP是先有協(xié)議集然后建立模型， 不適用于非TCP/IP網(wǎng)絡(luò)；

4）實(shí)際市場應(yīng)用不同，OSI模型只是理論上的模型，并沒有成熟的產(chǎn)品，而TCP/IP已經(jīng)成為“實(shí)際上的國際標(biāo)準(zhǔn)”。

隨著信息系統(tǒng)的集中性和敏感性增大，非法和越權(quán)訪問很容易造成數(shù)據(jù)丟失，系統(tǒng)故障，對信息安全的運(yùn)行是個(gè)極大的危害，已經(jīng)成為擺在我們面前的一個(gè)嚴(yán)峻的問題。針對這個(gè)局域網(wǎng)中存在的安全隱患需要采取相應(yīng)的安全措施，可以從以下幾個(gè)方面來理解：1） 物理層是否可靠；2） 網(wǎng)絡(luò)層是否安全；3） 應(yīng)用層是否有漏洞；4） 管理是否全面。

3 大廈網(wǎng)絡(luò)應(yīng)用到的網(wǎng)絡(luò)權(quán)限管控技術(shù)

3.1 VLAN隔離

3.1.1 vlan的使用

VLAN（Virtual Local Area Network）的隔離整個(gè)2層網(wǎng)絡(luò)。VLAN是一種局域網(wǎng)（LAN）內(nèi)的設(shè)備從邏輯上劃分為不同網(wǎng)段，從而實(shí)現(xiàn)虛擬團(tuán)隊(duì)的新興數(shù)據(jù)交換技術(shù)。這種隔離技術(shù)主要應(yīng)用于交換機(jī)和路由器，但主應(yīng)用程序仍在交換機(jī)。VLAN是基于工作小組使用一個(gè)物理網(wǎng)絡(luò)，邏輯的應(yīng)用部門的局域網(wǎng)，一個(gè)廣播域，用戶的物理位置。VLAN通信網(wǎng)絡(luò)用戶通過局域網(wǎng)交換機(jī)。VLAN成員看不到VLAN的另一個(gè)成員。VLAN的方法，基于端口VLAN端口是基于物理層，MAC是基于數(shù)據(jù)鏈路層，網(wǎng)絡(luò)層和IP多播基于第三層。

3.1.2建立基于單位的網(wǎng)絡(luò)用戶身份

在整個(gè)大廈中根據(jù)用戶單位將其使用的物理端口劃分到不同的vlan，減少單位人員之間網(wǎng)絡(luò)使用的干擾。

在實(shí)際劃分過程中我們將192.168.1.0/24到192.168.32.0/24網(wǎng)段分別對應(yīng)vlan1到vlan 32，每個(gè)單位或部門分別劃分一個(gè)vlan。

3.2 無線網(wǎng)隔離

3.2.1 不同用戶無線ssid隔離

服務(wù)設(shè)置標(biāo)識(shí)符，例如，abbreviation服務(wù)集標(biāo)識(shí)符。技術(shù)可以分為多個(gè)SSID的無線本地區(qū)域網(wǎng)絡(luò)（LAN）需要驗(yàn)證的子網(wǎng)，每個(gè)子網(wǎng)獨(dú)立認(rèn)證的要求，只經(jīng)過身份驗(yàn)證的用戶可以對相應(yīng)的子網(wǎng)，以防止擅自進(jìn)入用戶的網(wǎng)絡(luò)。在nutshell SSID名稱，是本地區(qū)域網(wǎng)絡(luò)（LAN），只有設(shè)置為名稱相同SSID的值的設(shè)備才能互相通信。IEEE 802.11規(guī)范包括MAC子層和物理層（PHY）兩個(gè)協(xié)議層

3.2.2 建立基于設(shè)備功能的用戶身份

單位中使用無線網(wǎng)絡(luò)的通常可以分為不同設(shè)備和不同用處，手機(jī)上網(wǎng)、辦公移動(dòng)設(shè)備、無線管控設(shè)備、訪客使用等等，根據(jù)這幾個(gè)方面劃分基于不同vlan的不同的ssid，并且設(shè)定不用密鑰，防止交叉使用，降低使用過程中的風(fēng)險(xiǎn)。同一ssid下的用戶也根據(jù)用戶類型，如娛樂類型的在同一ssid下也互相不能訪問。

實(shí)際配置了六個(gè)ssid，在部分ssid下啟用[AP]user-isolation 以實(shí)現(xiàn)隔離功能。

3.3 訪問控制列表

3.3.1訪問控制的手段

ACL技術(shù)是一種基于包過濾的流量控制技術(shù)。標(biāo)準(zhǔn)的訪問控制列表由源地址、目的地址和端口號作為數(shù)據(jù)包檢查的基本元素，并可以提供合格的數(shù)據(jù)包通過。作為本地區(qū)在內(nèi)部網(wǎng)絡(luò)資源的凈增加，一些企業(yè)已經(jīng)開始使用ACL來控制訪問內(nèi)部資源的能力，從而保證這些資源的安全。ACL技術(shù)可以有效地對三層的網(wǎng)絡(luò)資源，為網(wǎng)絡(luò)用戶控制接入方式，它可以具體到網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)應(yīng)用，也可以根據(jù)網(wǎng)絡(luò)段對一個(gè)廣泛的訪問控制管理，是一種非常有效的安全網(wǎng)絡(luò)控制手段。

3.3.2建立基于職能的用戶身份

通過在內(nèi)網(wǎng)的交換機(jī)、路由器、防火墻上建立訪問控制列表，控制終端ip訪問各類服務(wù)器、或ip互訪、單向訪問等。例如管理員可以訪問全網(wǎng)，各單位工作人員只能訪問自單位資源，集團(tuán)部分人員需要全網(wǎng)訪問但是非網(wǎng)管，出于安全性考慮 他們可以訪問全網(wǎng)反過來被他訪問的ip不能訪問他，這都是通過acl來實(shí)現(xiàn)。

3.4 用戶桌面管理及準(zhǔn)入

3.4.1桌面管理的概念

一個(gè)基于web的Windows桌面管理工具，管理員可以使用它集中管理大量的桌面設(shè)備。它能夠自動(dòng)完成桌面機(jī)的生命周期中小到配置更改、大到大型應(yīng)用程序部署等各種操作。同時(shí)基于其天生的網(wǎng)絡(luò)架構(gòu)，用戶亦可以使用它輕松管理各種Windows網(wǎng)絡(luò)環(huán)境，同時(shí)完美支持對硬件/軟件資產(chǎn)、許可順應(yīng)性明細(xì)的審計(jì)，監(jiān)測禁 用軟件的使用情況等。簡單來說，它能夠用戶實(shí)現(xiàn)桌面機(jī)自動(dòng)化、規(guī)范化、安全化管理及資產(chǎn)審計(jì)，軟件部署， 補(bǔ)丁管理， 資產(chǎn)管理， 遠(yuǎn)程桌面共享， 服務(wù)包部署， 配置管理， 活動(dòng)目錄報(bào)表， 用戶登錄報(bào)表以及Windows系統(tǒng)工具。監(jiān)控和控制終端計(jì)算機(jī)各種設(shè)備的使用，將用戶名和終端綁定認(rèn)證，未經(jīng)認(rèn)證的終端機(jī)器無法連接到網(wǎng)絡(luò)。

3.4.2建立基于個(gè)人終端的用戶身份

3.5 遠(yuǎn)程辦公

3.5.1虛擬化應(yīng)用的優(yōu)點(diǎn)

1）桌面虛擬化指的是電腦桌面虛擬化，桌面使用，以實(shí)現(xiàn)安全性和靈活性?？梢栽谌魏卧O(shè)備上，在任何地方，任何時(shí)間在網(wǎng)絡(luò)上訪問屬于我們的個(gè)人桌面系統(tǒng)。桌面虛擬準(zhǔn)依賴于服務(wù)器虛擬化，并在數(shù)據(jù)中心服務(wù)器向服務(wù)器虛擬化，產(chǎn)生大量獨(dú)立桌面操作系統(tǒng)（虛擬機(jī)或虛擬桌面），同時(shí)根據(jù)虛擬桌面的專有協(xié)議發(fā)送到終端設(shè)備。用戶只需記住用戶名和密碼和網(wǎng)關(guān)信息，可以隨時(shí)隨地訪問他們的桌面系統(tǒng)通過網(wǎng)絡(luò)。

2）應(yīng)用虛擬化應(yīng)用和操作系統(tǒng)，解耦為應(yīng)用提供了一個(gè)虛擬環(huán)境。在這樣的環(huán)境中，不僅包括可執(zhí)行文件的應(yīng)用，還包括其所需的運(yùn)行時(shí)環(huán)境。從本質(zhì)上說，應(yīng)用虛擬化是對系統(tǒng)和硬件的抽象依賴，可以解決不兼容的軟件共享使用的軟件。

3.5.2建立基于資源使用的用戶身份

利用虛擬化賦予用戶權(quán)限可訪問特定的辦公系統(tǒng)桌面資源，也可使用一些特定的辦公應(yīng)用軟件。

3.6 虛擬專用網(wǎng)絡(luò)

3.6.1VPN的功能及種類

虛擬專用網(wǎng)絡(luò)（Virtual Private Network ，簡稱VPN）指的是通過利用對兩個(gè)專用終端之間的通訊進(jìn)行加密的方式在公用的國際互聯(lián)網(wǎng)上模擬出專用網(wǎng)絡(luò)。它在連通性、服務(wù)質(zhì)量和保密性等方面與現(xiàn)存的典型專用網(wǎng)絡(luò)具有相同的性能。一般說來，虛擬專用網(wǎng)絡(luò)（VPN）可分為如下幾種：

1）傳統(tǒng)的虛擬專用網(wǎng)絡(luò)（VPN）：幀中繼虛擬專用網(wǎng)絡(luò)（VPN）（第二協(xié)議層）；ATM虛擬專用網(wǎng)絡(luò)（VPN）（第二協(xié)議層）

2）基于用戶地設(shè)備的虛擬專用網(wǎng)絡(luò)（VPN）：L2TP和PPTP虛擬專用網(wǎng)絡(luò)（VPN）（第二協(xié)議層） ；IPsec虛擬專用網(wǎng)絡(luò)（VPN）（第三協(xié)議層）

3）提供者指配的虛擬專用網(wǎng) （PP-VPNs）：BGP/MPLS 虛擬專用網(wǎng)（第二和第三協(xié)議層，RFC 2547）

4）基于會(huì)話的虛擬專用網(wǎng)：SSL虛擬專用網(wǎng)（第四及以下的協(xié)議層）；SOCKS虛擬專用網(wǎng)（第四及以下的協(xié)議層）

3.6.2建立基于目的訪問的用戶身份

從外網(wǎng)訪問內(nèi)網(wǎng)的資源，利用vpn建立不同用戶對不同內(nèi)網(wǎng)資源的訪問權(quán)限。

3.7 用戶名加密碼的驗(yàn)證

3.7.1利用RADIUS或域的驗(yàn)證

1）RADIUS：Remote Authentication Dial In User Service，遠(yuǎn)程用戶撥號認(rèn)證系統(tǒng)由RFC2865，RFC2866定義，是目前應(yīng)用最廣泛的AAA協(xié)議。RADIUS是一種C/S結(jié)構(gòu)的協(xié)議，它的客戶端最初就是NAS（Net Access Server）服務(wù)器，現(xiàn)在任何運(yùn)行RADIUS客戶端軟件的計(jì)算機(jī)都可以成為RADIUS的客戶端。

2）負(fù)責(zé)各子到計(jì)算機(jī)網(wǎng)絡(luò)和用戶的驗(yàn)證工作，相當(dāng)于一個(gè)單位的門衛(wèi)，被稱為“域控制器（域控制器，簡稱DC）”。包含域控制器的域帳戶，密碼，屬于計(jì)算機(jī)領(lǐng)域的信息，如數(shù)據(jù)庫。當(dāng)計(jì)算機(jī)訪問網(wǎng)絡(luò)時(shí)，域控制器必須首先確定計(jì)算機(jī)是否屬于域，用戶登錄帳戶存在，密碼是正確的。如果上述信息不正確，則域控制器將拒絕該用戶登錄此計(jì)算機(jī)。不能登錄，用戶將無法訪問服務(wù)器的權(quán)限，以保護(hù)資源，他只能在對等網(wǎng)絡(luò)的形式，用戶訪問窗口共享資源，從而在一定程度上保護(hù)網(wǎng)絡(luò)上的資源。

3.7.2建立基于用戶名密碼的用戶身份

為了進(jìn)一步加強(qiáng)用戶身份權(quán)限的管理，也可對物理連入的用戶進(jìn)行域控的管理或者利用radius驗(yàn)證機(jī)制。

3.8跨部門及應(yīng)用系統(tǒng)的使用

3.8.1不同部門訪問的問題

在前面我們已經(jīng)實(shí)行了隔離，那么會(huì)有很多問題，有各單位的統(tǒng)一財(cái)務(wù)，有整合的業(yè)務(wù)系統(tǒng)，有我們管理員需要訪問的權(quán)限，管理的系統(tǒng)，這些都在三層網(wǎng)絡(luò)上被隔離了，如何解決訪問在三層上隔離在應(yīng)用層上又能使用，可是一個(gè)硬件設(shè)備也可以是一種軟件代理。

3.8.2使用堡壘機(jī)解決的意義

通過考察我們選擇堡壘機(jī)作為我們在應(yīng)用和業(yè)務(wù)系統(tǒng)及特殊管理人員的工具，它可以完全控制所有授權(quán)訪問，分配可以方位的地址、端口、應(yīng)用程序，記錄所有訪問動(dòng)作，保證安全的同時(shí)便于管理，對業(yè)務(wù)系本身也起到一定的保護(hù)作用。

4 信息安全進(jìn)一步思考

網(wǎng)絡(luò)安全建設(shè)是一個(gè)系統(tǒng)工程，持續(xù)的過程，隨著網(wǎng)絡(luò)和計(jì)算機(jī)技術(shù)日新月異地飛速發(fā)展，新的安全問題不斷產(chǎn)生和變化。網(wǎng)絡(luò)身份管理只是其中的一個(gè)點(diǎn)，僅僅做到這一步還是不夠的，因此網(wǎng)絡(luò)信息的安全必須依靠不斷創(chuàng)新的技術(shù)進(jìn)步與應(yīng)用、自身管理制度的不斷完善和加強(qiáng)、網(wǎng)絡(luò)工作人員素質(zhì)的不斷提高等措施來保障。同時(shí)要加快網(wǎng)絡(luò)信息安全技術(shù)手段的研究和創(chuàng)新，從而使網(wǎng)絡(luò)的信息能安全可靠地為廣大用戶服務(wù)。

參考文獻(xiàn)：

[1] 閆兵.企業(yè)信息安全概述及防范[J].科學(xué)咨訊，2010（2）：154-155.

[2] 高永強(qiáng)，郭世澤.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用大典[M].北京：人民郵電出版社，2003.

[3] 徐漢.超計(jì)算機(jī)網(wǎng)絡(luò)安全與數(shù)據(jù)完整性技術(shù)[M].北京：北京電子工業(yè)出版社，1999.

[4] 陳愛民.計(jì)算機(jī)的安全與保密[M].北京：電子工業(yè)出版社，2002.