【文章內(nèi)容簡(jiǎn)介】 主機(jī)動(dòng)態(tài)指定IP地址和網(wǎng)絡(luò)參數(shù)的機(jī)制，它減輕了網(wǎng)絡(luò)管理員的網(wǎng)絡(luò)規(guī)劃、配置、維護(hù)工作，簡(jiǎn)化了主機(jī)的網(wǎng)絡(luò)配置，也就是我們利用 Radius 認(rèn)證與DHCP 相結(jié)合的手段，來先認(rèn)證后分配 IP 地址，從而實(shí)現(xiàn)每個(gè) 分配的IP 地址都和身份信息綁定。 強(qiáng)大的 API功能 ? IDSentrie的身份管理 XMLAPI 接口是一套操作簡(jiǎn)單功能強(qiáng)大的接口，任意第三方系統(tǒng)都能夠通過把 IP 地址， MAC 地址或時(shí)間范圍發(fā)送給 IDSentrie 而得到用戶的身份信息。 ? 沒有 IDSentrie 就沒有身份信息，沒有身份信息就只能夠用 IP地址，而 單靠人工來識(shí)別身份和綁定到 IP 地址是非常浪費(fèi)時(shí)間和精力的事情。 ? 同時(shí) IDSentrie 還提供認(rèn)證相關(guān)的 API，任意的業(yè)務(wù)系統(tǒng)，只要在系統(tǒng)中加上了我們的 API，就都可以將它的身份認(rèn)證請(qǐng)求 15 轉(zhuǎn)發(fā)到 IDSentrie 上，從而實(shí)現(xiàn)集中用戶接入管理。 IDSentrie 如何保證網(wǎng)絡(luò)安全 需要及時(shí)確定 IP 使用者的 ID（即： 網(wǎng)絡(luò)地址實(shí)名制 ）。便于對(duì)網(wǎng)絡(luò)非法行為及時(shí)進(jìn)行定位或隔離。 當(dāng)今的網(wǎng)絡(luò)世界，無論是用固定 IP 地址管理，還是用動(dòng)態(tài)網(wǎng)址管理，網(wǎng)管人員都很難及時(shí)地、準(zhǔn)確地確定 IP 地址的使用者。由于無法及時(shí)確定 IP 地址的使用者，幾乎不可能對(duì)用戶實(shí)施網(wǎng)絡(luò)行為實(shí)名制的管理。而無法確定用戶身份的網(wǎng)絡(luò)行為記錄更是形同虛設(shè)！ 同時(shí)， 由于用戶不斷更換 IP 地址，網(wǎng)管人員不能及時(shí)判斷數(shù)據(jù)源所在位置及采取相應(yīng)的隔離措施，延誤網(wǎng)絡(luò)故障 的解決時(shí)間。 確定了 IP使用者的 ID 身份后，可以在非法網(wǎng)絡(luò)行為發(fā)生的第一時(shí)間，及時(shí)進(jìn)行故障定位或隔離，最大限度減低整個(gè)網(wǎng)絡(luò)的損失。 需要對(duì)用戶的網(wǎng)絡(luò)登錄認(rèn)證及網(wǎng)絡(luò)行為進(jìn)行集中統(tǒng)一管理 在傳統(tǒng)的網(wǎng)絡(luò)中，用戶對(duì)網(wǎng)絡(luò)的訪問，是由各節(jié)點(diǎn)上的網(wǎng)絡(luò)設(shè)備單獨(dú)進(jìn)行認(rèn)證的。 每種設(shè)備都會(huì)有自己的認(rèn)證方式及用戶權(quán)限分配策略。 這就必然會(huì)造成難管理、不便于配置、輸入量大、不能及時(shí)同步等問題。網(wǎng)管人員幾乎無法集中管理及監(jiān)控整個(gè)網(wǎng)絡(luò)的用戶訪問。 而 IDSentrie?從根本上解決了這一 安全問題。 IDSentrie?可以對(duì)所有 網(wǎng) 絡(luò)接入設(shè)備進(jìn)行統(tǒng)一無縫管理。 無論用戶從任何接入設(shè)備進(jìn)行登錄， IDSentrie?都可以通過 接入設(shè)備對(duì)用戶接入進(jìn)行認(rèn)證，并記錄網(wǎng)絡(luò)行為，綜合產(chǎn)生用戶網(wǎng)絡(luò)行為實(shí)名報(bào)表。 IDSentrie?可以幫 16 助 網(wǎng)管人員對(duì)網(wǎng)絡(luò)進(jìn)行全方位的監(jiān)控和管理。 需要在統(tǒng)一協(xié)調(diào)下，對(duì)各個(gè)地區(qū)的網(wǎng)段分別授權(quán)、分級(jí)管理 網(wǎng)絡(luò)中，存在著不同功能的服務(wù)區(qū)。這些服務(wù)區(qū)的重要程度是不同的。沒有對(duì)訪問人員進(jìn)行基于身份的訪問限制，就會(huì)存在機(jī)密信息流失或被更改的可能。 網(wǎng)絡(luò)中的不同網(wǎng)段用戶，應(yīng)該按一定劃分原則，分別獲得不同的訪問權(quán)限。并且在管理時(shí)， 也可以分別使用力度不同的管理手段。這樣符合整個(gè)網(wǎng)絡(luò)安全的需要。 國內(nèi)國外法律規(guī)定，需要對(duì)網(wǎng)絡(luò)用戶行為按 ID進(jìn)行監(jiān)察（ 網(wǎng)絡(luò)監(jiān)察實(shí)名制 ） 網(wǎng)絡(luò)用戶只有 IP地址，沒有身份 ID 的情況下，更容易被人惡意仿冒或更改，用來進(jìn)行非法網(wǎng)絡(luò)操作。 網(wǎng)絡(luò)中用戶產(chǎn)生網(wǎng)絡(luò)行為時(shí)，應(yīng)該以 ID 身份為依據(jù)進(jìn)行監(jiān)察。這也符合 薩班斯法案（參見附件 身份管理和薩班斯法案 ） 和 公安部第82 號(hào)令 —— 《 互聯(lián)網(wǎng)安全保護(hù)技術(shù) 措施規(guī)定》的要求。所產(chǎn)生的依據(jù)，可以作為網(wǎng)絡(luò)案件訴訟時(shí)的法律證據(jù)。 需要對(duì)網(wǎng)管人員的行為進(jìn)行監(jiān)察及記錄 網(wǎng)管人員作為網(wǎng)絡(luò)的監(jiān)管人員，有對(duì)整個(gè)網(wǎng)絡(luò)的操作權(quán)限，他們的某些錯(cuò)誤或惡意操作，對(duì)整個(gè)網(wǎng)絡(luò)的打擊是具有毀滅性的。因此，其自身的網(wǎng)絡(luò)行為應(yīng)該有嚴(yán)格的記錄，并且這種記錄是不能被修改或刪除的。 需要嚴(yán)格網(wǎng)絡(luò)接入。支持 802. 1X,EAP 等最新認(rèn)證協(xié)議的硬 17 件支持系統(tǒng)。 網(wǎng)絡(luò)中存在多種不同的接入方式，采用不同的接入認(rèn)證手段，在網(wǎng)絡(luò)設(shè)備不能夠提供全部兼容時(shí)，容易造成網(wǎng)絡(luò)設(shè)備之間的不兼容或影響網(wǎng)絡(luò)效率。并且對(duì)其 認(rèn)證的強(qiáng)度不夠，會(huì)過整個(gè)網(wǎng)絡(luò)帶來威脅。 在不同局域網(wǎng)絡(luò)接入整個(gè)網(wǎng)絡(luò)時(shí)，應(yīng)該嚴(yán)格控制接入者的訪問權(quán)限，避免重要數(shù)據(jù)的失密。并且，應(yīng)該能夠支持 ， EAP 等多種認(rèn)證協(xié)議的使用，為網(wǎng)絡(luò)應(yīng)用的復(fù)雜化提供應(yīng)用基礎(chǔ)。出于穩(wěn)定運(yùn)行的考慮，認(rèn)證系統(tǒng)應(yīng)該是基于硬件的，能夠提供比軟件系統(tǒng)更穩(wěn)定可靠的運(yùn)行環(huán)境。 需要為網(wǎng)絡(luò)從 IP 網(wǎng)向 ID 網(wǎng)的進(jìn)化打好基礎(chǔ) 隨著網(wǎng)絡(luò)應(yīng)用的復(fù)雜化，及國家電子保密法規(guī)的制定，網(wǎng)絡(luò)使用已日趨實(shí)名化?；?IP進(jìn)行管理的網(wǎng)絡(luò)，已不符合此項(xiàng)變化的趨勢(shì)。隨著網(wǎng)絡(luò)應(yīng)用的日趨復(fù)雜，接入方式 的靈活化。對(duì)網(wǎng)絡(luò)的管理仍局限在 IP 地址上，已經(jīng)不能夠適應(yīng)網(wǎng)絡(luò)的變化。并且，未來的網(wǎng)絡(luò)，將是基于身份的 ID 網(wǎng)絡(luò)。不但是網(wǎng)絡(luò)中的用戶，還將包括網(wǎng)絡(luò)設(shè)備，都將采用基于用戶身份 ID 的管理方式，現(xiàn)在使用基于用戶真實(shí)身份ID 的管理設(shè)備與管理方式，為將來網(wǎng)絡(luò)的進(jìn)化預(yù)先打好了基礎(chǔ)。 本方案涉及到的安全產(chǎn)品和服務(wù) 雖然四川移動(dòng)網(wǎng)管中心網(wǎng)絡(luò)系統(tǒng)中已經(jīng)部署了一些網(wǎng)絡(luò)安全產(chǎn)品，但是這些產(chǎn)品沒有形成體系，尚有許多薄弱環(huán)節(jié)沒有覆蓋到。為了實(shí)現(xiàn)全面的安全目標(biāo)，需要全面考慮對(duì)于安全產(chǎn)品和服務(wù)的部署需求，實(shí)現(xiàn)全網(wǎng)安全的目標(biāo)。 18 根據(jù)上面的 分析，我們建議有重點(diǎn)地按照下面的策略來布署安全產(chǎn)品以大幅度提升全網(wǎng)的安全水平： ? 部署 IDSentrie?用其中的統(tǒng)一用戶管理來集中管理所有數(shù)據(jù)庫和主機(jī)系統(tǒng)中的賬號(hào)信息； ? 部署 IDSentrie?用其中的認(rèn)證部分作為集中的認(rèn)證服務(wù)器或集中的認(rèn)證代理服務(wù)器，來提高全網(wǎng)的認(rèn)證和訪問控制能力； ? 建立 動(dòng)態(tài)口令下發(fā)系統(tǒng) ， 例如利用手機(jī)短信方式動(dòng)態(tài)生成口令； ? 在關(guān)鍵業(yè)務(wù)和數(shù)據(jù)網(wǎng)段部署 IDSentrie?用其中的日志分析系統(tǒng)，提高對(duì)安全事件的分析、定位、追查等能力，提高全網(wǎng)的安全事件可視化水平，同時(shí)也要提供針對(duì)各種 強(qiáng)審計(jì)系 統(tǒng) 的接口，保證審計(jì)信息的統(tǒng)一集中管理； ? 配置 VPN 或更多的防火墻設(shè)備，來建立健全外部用戶訪問內(nèi)網(wǎng)的加密隧道和訪問策略； ? 部署全網(wǎng)統(tǒng)一的風(fēng)險(xiǎn)評(píng)估軟件和安全信息庫，提升全網(wǎng)的安全審計(jì)和風(fēng)險(xiǎn)管理能力； ? 另外也建議建立完善的 反病毒體系 來增強(qiáng)全網(wǎng)的抗病毒和蠕蟲攻擊能力； 二、本解決方案所要解決的問題 網(wǎng)絡(luò)安全的水平體現(xiàn)在：使用經(jīng)濟(jì)上合理的投資來控制網(wǎng)絡(luò)安全威脅在可以接受的水平，挫敗潛在的威脅方。 建立全網(wǎng)的策略、管理、組織和安全技術(shù)體系。參照后面的描述， 19 建立起結(jié)合實(shí)際業(yè)務(wù)情況和安全需求的策略并通過相應(yīng)的管理、組織 、和技術(shù)體系進(jìn)行落實(shí)和跟進(jìn)。 實(shí)現(xiàn)關(guān)鍵業(yè)務(wù)的 6 個(gè)重要安全屬性：機(jī)密性、完整性、可用性、可靠性、認(rèn)證性、審計(jì)性。體現(xiàn)在對(duì)內(nèi)部網(wǎng)絡(luò)用戶訪問主機(jī)和對(duì)業(yè)務(wù)系統(tǒng)的訪問等過程都通過了嚴(yán)格的加密和認(rèn)證措施，所有關(guān)鍵訪問相關(guān)的網(wǎng)絡(luò)活動(dòng)被記錄和審查。 統(tǒng)一集中管理訪問業(yè)務(wù)系統(tǒng)主機(jī)系統(tǒng)賬戶信息，同時(shí)實(shí)現(xiàn)關(guān)鍵訪問的“全程全網(wǎng)”安全事件可視化。體現(xiàn)在全網(wǎng)關(guān)鍵業(yè)務(wù)和數(shù)據(jù)相關(guān)的網(wǎng)絡(luò)事件可以非常直觀地可視化回放，保證安全策略沒有被違反，有能力進(jìn)行事后的分析和追查，提供可以“呈堂”的證據(jù)。 全網(wǎng)的安全風(fēng)險(xiǎn)處于可管理、可控制狀態(tài)下。對(duì)網(wǎng)絡(luò)安 全風(fēng)險(xiǎn)的不間斷的評(píng)估和控制措施調(diào)整，使得全網(wǎng)的整體安全狀況和風(fēng)險(xiǎn)情況以定性或半定量的形式及時(shí)展現(xiàn)出來。 保證全網(wǎng)相關(guān)業(yè)務(wù)活動(dòng)在網(wǎng)絡(luò)安全方面的法律法規(guī)符合性。在整個(gè)技術(shù)和商務(wù)活動(dòng)中，都將建立法律法規(guī)符合性審核制度，保證四川移動(dòng)網(wǎng)管中心的內(nèi)部網(wǎng)絡(luò)安全和利益不受傷害。 基于上面的出發(fā)點(diǎn)，我們?cè)O(shè)計(jì)的整個(gè)方案完整實(shí)施后，將保證四川移動(dòng)網(wǎng)管中心網(wǎng)絡(luò)達(dá)到以下幾個(gè)目標(biāo)： 20 集中接入與授權(quán) IDSentrie? 1000 的 RADIUS 認(rèn)證組件配合智能網(wǎng)絡(luò)交換機(jī)、路由 器或防火墻等安全設(shè)備中的 Radius 認(rèn)證功能為企業(yè)的本地服務(wù)器以及任何遠(yuǎn)程接入服務(wù)器（如撥號(hào)、 IPSec VPN、 SSL VPN 等）提供安全認(rèn)證，同時(shí)它還可以提供認(rèn)證代理服務(wù)。網(wǎng)絡(luò)管理人員通過使用IDSentrie 1000 提供的認(rèn)證策略，利用現(xiàn)有帳戶和數(shù)據(jù)庫的信息，對(duì)企業(yè)內(nèi)部重要系統(tǒng)的網(wǎng)絡(luò)接入進(jìn)行有效的控制，而且所有的安全策略都是根據(jù)用戶身份來制定的，只有具有真實(shí)身份而且口令安全策略均都滿足的情況下才能夠接入網(wǎng)絡(luò)，安全策略清楚明了，各種設(shè)備、用戶的相關(guān)認(rèn)證管理也是一目了然。同時(shí) IDSentrie 具有和第三 方強(qiáng)身份認(rèn)證設(shè)備的接口， IDSentrie 本身已經(jīng)集成了 SecureID 設(shè)備的驅(qū)動(dòng)，對(duì)于其它動(dòng)態(tài)動(dòng)態(tài)口令系統(tǒng)，例如短信動(dòng)態(tài)口令生成也能夠提供很好的集成。 21 例如： ? 路由器、交換機(jī) ? 防火墻 ? VPN 設(shè)備 ? 無線設(shè)備 等網(wǎng)絡(luò)設(shè)備集中接入的控制，在應(yīng)用層之上的網(wǎng)絡(luò)層就對(duì)用戶進(jìn)行實(shí)名制的二次鑒權(quán)接入訪問控制，保證訪問應(yīng)用系統(tǒng)的用戶具有真實(shí)身份、合法。同樣，針對(duì)網(wǎng)絡(luò)層的訪問控制也需要有一個(gè)過程來逐步梳理，網(wǎng)絡(luò)區(qū)域劃分，用戶分組、權(quán)限的劃分等。 集中接入的典型應(yīng)用場(chǎng) 景： 案例說明： IDSentrie 內(nèi)置世界性能最高的 Radius 認(rèn)證服務(wù)器，每秒能夠處理 6000個(gè)認(rèn)證請(qǐng)求，同時(shí)本身具備強(qiáng)大的身份管理功能，目前的版本能夠支持一百萬用戶 ID，它能夠管理一千個(gè)網(wǎng)絡(luò)設(shè)備，包括路由器、交換機(jī)、防火墻等。 案例拓?fù)浣Y(jié)構(gòu)圖： 22 S W Cis co 3750S W Cis co 3750S W Cis co 3750S W Cis co 3750S W Cis co 2950S W Cis co 2950S W Cis co 2950辦公室桌面辦公室桌面辦公室桌面S