[发明专利]一种信息系统内网安全统一管理平台及管理方法

说明书

技术领域

本发明涉及网络安全技术，特别涉及一种信息系统内网安全统一管理平台及管理方法，是一种对接入信息系统内网的用户、终端进行识别、安全性检查和安全策略强制的一体化网络安全系统。

背景技术

准入控制是网络准入控制（NAC）的简称。准入控制是指对网络的边界进行保护，对接入网络的终端和终端的使用人进行合规性检查。在准入控制行业中，最传统的技术是国际标准的IEEE802.1x技术。802.1x协议——基于端口的访问控制协议（port-based network access control protocol），是针对Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口，认证通过以后，正常的数据可以顺利地通过以太网端口。

802.1x的内容为：靠近用户一侧的以太网交换机上放置一个EAP（extensible authentication protocol）代理，用户PC机运行EAPoE（EAP over Ethernet）的客户端软件与交换机通信。初始状态下，交换机上的所有端口处于关闭状态，只有802.1x数据流才能通过，而另外任何类型的网络数据流，如动态主机配置协议、超文本传输协议（HTTP）、文件传输协议（FTP）、简单邮件传输协议（SMTP）和邮局协议（POP3）等都被禁止传输。

当用户通过EAPoE登录交换机时，交换机将用户同时提供的用户名口令传送到后台的Radius认证服务器上。如果用户名及口令通过了验证，则相应的以太网端口打开，允许用户访问。

802.1x技术的体系结构包括3个重要部分：客户端（supplicant system）、认证者（authenticator system）、认证服务器（authentication server system）。客户系统安装一个客户端软件，用户通过启动客户端软件发起802.1x协议的认证过程。为支持基于端口的接入控制，客户端系统须支持EAPoL（EAPoverLAN）协议。

802.1x技术的认证过程是接入设备与服务器交互的过程，其认证步骤如下：

Step1：接入设备在连接网线后，如果未安装802.1x客户端，则计算机直接处于隔离状态，必须从某种途径获取到（如电话联系管理员索取，现场拷贝等）802.1x客户端。在安装好802.1x客户端后，通过802.1x客户端软件发送出带有组播地址的EAPoL数据包。由支持802.1x的认证者（一般是接入交换机）向客户端发送响应包，并要求用户提供合法的身份标识，如用户名及其密码。

Step2：客户端收到响应后，提供身份标识给接入交换机。由于此时客户端还未经过验证，因此认证流只能从接入交换机的未受控的逻辑端口经过。接入交换机通过EAP协议将认证流转发到AAA服务器，进行认证。

Step3：如果认证通过，则接入交换机的受控逻辑端口打开；否则，端口保持关闭状态，接入设备无法入网。

基于802.1x协议的准入控制方案存在3大缺点：无法进行入网页面推送、权限控制粗放和对hub环境下支持的不足。

首先，目前所有的802.1x平台都要求入网用户必须安装进行认证的入网客户端，这种情况存在许多缺陷：其一、新入网设备由于未安装客户端将在没有任何提示信息的情况下无法进行网络接入，这个过程对于访客和正式员工起到同等的效力，由于缺乏引导入网的支持，那么即使是合法用户也无法被辅助入网从而无法进行正常的工作，而如果依靠管理员手工安装入网客户端，又存在在设备数量众多且分散的情况下工作量繁重的情况；其二、网络中的许多非桌面型ip设备（如网络打印机）在无法安装客户端的情况下是无法入网的。总体上来看，就是因为采用客户端模式的802.1x无法进行web页面重定向（入网页面推送）。

其次，大部分的802.1x认证都是基于端口的，认证通过后端口完全放开，无法根据接入角色的不同进行基于目的地址、目的端口或协议的细粒度权限控制，在所有资源对所有入网者均能够以同等权限进行访问的情况下，很容易产生内部交叉访问以至于重要资源泄密的情况。