【文章內(nèi)容簡介】 主機(jī)動態(tài)指定IP地址和網(wǎng)絡(luò)參數(shù)的機(jī)制，它減輕了網(wǎng)絡(luò)管理員的網(wǎng)絡(luò)規(guī)劃、配置、維護(hù)工作，簡化了主機(jī)的網(wǎng)絡(luò)配置，也就是我們利用 Radius 認(rèn)證與DHCP 相結(jié)合的手段，來先認(rèn)證后分配 IP 地址，從而實現(xiàn)每個 分配的IP 地址都和身份信息綁定。 強(qiáng)大的 API功能 ? IDSentrie的身份管理 XMLAPI 接口是一套操作簡單功能強(qiáng)大的接口，任意第三方系統(tǒng)都能夠通過把 IP 地址， MAC 地址或時間范圍發(fā)送給 IDSentrie 而得到用戶的身份信息。 ? 沒有 IDSentrie 就沒有身份信息，沒有身份信息就只能夠用 IP地址，而 單靠人工來識別身份和綁定到 IP 地址是非常浪費時間和精力的事情。 ? 同時 IDSentrie 還提供認(rèn)證相關(guān)的 API，任意的業(yè)務(wù)系統(tǒng)，只要在系統(tǒng)中加上了我們的 API，就都可以將它的身份認(rèn)證請求 15 轉(zhuǎn)發(fā)到 IDSentrie 上，從而實現(xiàn)集中用戶接入管理。 IDSentrie 如何保證網(wǎng)絡(luò)安全 需要及時確定 IP 使用者的 ID（即： 網(wǎng)絡(luò)地址實名制 ）。便于對網(wǎng)絡(luò)非法行為及時進(jìn)行定位或隔離。 當(dāng)今的網(wǎng)絡(luò)世界，無論是用固定 IP 地址管理，還是用動態(tài)網(wǎng)址管理，網(wǎng)管人員都很難及時地、準(zhǔn)確地確定 IP 地址的使用者。由于無法及時確定 IP 地址的使用者，幾乎不可能對用戶實施網(wǎng)絡(luò)行為實名制的管理。而無法確定用戶身份的網(wǎng)絡(luò)行為記錄更是形同虛設(shè)！ 同時， 由于用戶不斷更換 IP 地址，網(wǎng)管人員不能及時判斷數(shù)據(jù)源所在位置及采取相應(yīng)的隔離措施，延誤網(wǎng)絡(luò)故障 的解決時間。 確定了 IP使用者的 ID 身份后，可以在非法網(wǎng)絡(luò)行為發(fā)生的第一時間，及時進(jìn)行故障定位或隔離，最大限度減低整個網(wǎng)絡(luò)的損失。 需要對用戶的網(wǎng)絡(luò)登錄認(rèn)證及網(wǎng)絡(luò)行為進(jìn)行集中統(tǒng)一管理 在傳統(tǒng)的網(wǎng)絡(luò)中，用戶對網(wǎng)絡(luò)的訪問，是由各節(jié)點上的網(wǎng)絡(luò)設(shè)備單獨進(jìn)行認(rèn)證的。 每種設(shè)備都會有自己的認(rèn)證方式及用戶權(quán)限分配策略。 這就必然會造成難管理、不便于配置、輸入量大、不能及時同步等問題。網(wǎng)管人員幾乎無法集中管理及監(jiān)控整個網(wǎng)絡(luò)的用戶訪問。 而 IDSentrie?從根本上解決了這一 安全問題。 IDSentrie?可以對所有 網(wǎng) 絡(luò)接入設(shè)備進(jìn)行統(tǒng)一無縫管理。 無論用戶從任何接入設(shè)備進(jìn)行登錄， IDSentrie?都可以通過 接入設(shè)備對用戶接入進(jìn)行認(rèn)證，并記錄網(wǎng)絡(luò)行為，綜合產(chǎn)生用戶網(wǎng)絡(luò)行為實名報表。 IDSentrie?可以幫 16 助 網(wǎng)管人員對網(wǎng)絡(luò)進(jìn)行全方位的監(jiān)控和管理。 需要在統(tǒng)一協(xié)調(diào)下，對各個地區(qū)的網(wǎng)段分別授權(quán)、分級管理 網(wǎng)絡(luò)中，存在著不同功能的服務(wù)區(qū)。這些服務(wù)區(qū)的重要程度是不同的。沒有對訪問人員進(jìn)行基于身份的訪問限制，就會存在機(jī)密信息流失或被更改的可能。 網(wǎng)絡(luò)中的不同網(wǎng)段用戶，應(yīng)該按一定劃分原則，分別獲得不同的訪問權(quán)限。并且在管理時， 也可以分別使用力度不同的管理手段。這樣符合整個網(wǎng)絡(luò)安全的需要。 國內(nèi)國外法律規(guī)定，需要對網(wǎng)絡(luò)用戶行為按 ID進(jìn)行監(jiān)察（ 網(wǎng)絡(luò)監(jiān)察實名制 ） 網(wǎng)絡(luò)用戶只有 IP地址，沒有身份 ID 的情況下，更容易被人惡意仿冒或更改，用來進(jìn)行非法網(wǎng)絡(luò)操作。 網(wǎng)絡(luò)中用戶產(chǎn)生網(wǎng)絡(luò)行為時，應(yīng)該以 ID 身份為依據(jù)進(jìn)行監(jiān)察。這也符合 薩班斯法案（參見附件 身份管理和薩班斯法案 ） 和 公安部第82 號令 —— 《 互聯(lián)網(wǎng)安全保護(hù)技術(shù) 措施規(guī)定》的要求。所產(chǎn)生的依據(jù)，可以作為網(wǎng)絡(luò)案件訴訟時的法律證據(jù)。 需要對網(wǎng)管人員的行為進(jìn)行監(jiān)察及記錄 網(wǎng)管人員作為網(wǎng)絡(luò)的監(jiān)管人員，有對整個網(wǎng)絡(luò)的操作權(quán)限，他們的某些錯誤或惡意操作，對整個網(wǎng)絡(luò)的打擊是具有毀滅性的。因此，其自身的網(wǎng)絡(luò)行為應(yīng)該有嚴(yán)格的記錄，并且這種記錄是不能被修改或刪除的。 需要嚴(yán)格網(wǎng)絡(luò)接入。支持 802. 1X,EAP 等最新認(rèn)證協(xié)議的硬 17 件支持系統(tǒng)。 網(wǎng)絡(luò)中存在多種不同的接入方式，采用不同的接入認(rèn)證手段，在網(wǎng)絡(luò)設(shè)備不能夠提供全部兼容時，容易造成網(wǎng)絡(luò)設(shè)備之間的不兼容或影響網(wǎng)絡(luò)效率。并且對其 認(rèn)證的強(qiáng)度不夠，會過整個網(wǎng)絡(luò)帶來威脅。 在不同局域網(wǎng)絡(luò)接入整個網(wǎng)絡(luò)時，應(yīng)該嚴(yán)格控制接入者的訪問權(quán)限，避免重要數(shù)據(jù)的失密。并且，應(yīng)該能夠支持 ， EAP 等多種認(rèn)證協(xié)議的使用，為網(wǎng)絡(luò)應(yīng)用的復(fù)雜化提供應(yīng)用基礎(chǔ)。出于穩(wěn)定運行的考慮，認(rèn)證系統(tǒng)應(yīng)該是基于硬件的，能夠提供比軟件系統(tǒng)更穩(wěn)定可靠的運行環(huán)境。 需要為網(wǎng)絡(luò)從 IP 網(wǎng)向 ID 網(wǎng)的進(jìn)化打好基礎(chǔ) 隨著網(wǎng)絡(luò)應(yīng)用的復(fù)雜化，及國家電子保密法規(guī)的制定，網(wǎng)絡(luò)使用已日趨實名化?；?IP進(jìn)行管理的網(wǎng)絡(luò)，已不符合此項變化的趨勢。隨著網(wǎng)絡(luò)應(yīng)用的日趨復(fù)雜，接入方式 的靈活化。對網(wǎng)絡(luò)的管理仍局限在 IP 地址上，已經(jīng)不能夠適應(yīng)網(wǎng)絡(luò)的變化。并且，未來的網(wǎng)絡(luò)，將是基于身份的 ID 網(wǎng)絡(luò)。不但是網(wǎng)絡(luò)中的用戶，還將包括網(wǎng)絡(luò)設(shè)備，都將采用基于用戶身份 ID 的管理方式，現(xiàn)在使用基于用戶真實身份ID 的管理設(shè)備與管理方式，為將來網(wǎng)絡(luò)的進(jìn)化預(yù)先打好了基礎(chǔ)。 本方案涉及到的安全產(chǎn)品和服務(wù) 雖然四川移動網(wǎng)管中心網(wǎng)絡(luò)系統(tǒng)中已經(jīng)部署了一些網(wǎng)絡(luò)安全產(chǎn)品，但是這些產(chǎn)品沒有形成體系，尚有許多薄弱環(huán)節(jié)沒有覆蓋到。為了實現(xiàn)全面的安全目標(biāo)，需要全面考慮對于安全產(chǎn)品和服務(wù)的部署需求，實現(xiàn)全網(wǎng)安全的目標(biāo)。 18 根據(jù)上面的 分析，我們建議有重點地按照下面的策略來布署安全產(chǎn)品以大幅度提升全網(wǎng)的安全水平： ? 部署 IDSentrie?用其中的統(tǒng)一用戶管理來集中管理所有數(shù)據(jù)庫和主機(jī)系統(tǒng)中的賬號信息； ? 部署 IDSentrie?用其中的認(rèn)證部分作為集中的認(rèn)證服務(wù)器或集中的認(rèn)證代理服務(wù)器，來提高全網(wǎng)的認(rèn)證和訪問控制能力； ? 建立 動態(tài)口令下發(fā)系統(tǒng) ， 例如利用手機(jī)短信方式動態(tài)生成口令； ? 在關(guān)鍵業(yè)務(wù)和數(shù)據(jù)網(wǎng)段部署 IDSentrie?用其中的日志分析系統(tǒng)，提高對安全事件的分析、定位、追查等能力，提高全網(wǎng)的安全事件可視化水平，同時也要提供針對各種 強(qiáng)審計系 統(tǒng) 的接口，保證審計信息的統(tǒng)一集中管理； ? 配置 VPN 或更多的防火墻設(shè)備，來建立健全外部用戶訪問內(nèi)網(wǎng)的加密隧道和訪問策略； ? 部署全網(wǎng)統(tǒng)一的風(fēng)險評估軟件和安全信息庫，提升全網(wǎng)的安全審計和風(fēng)險管理能力； ? 另外也建議建立完善的 反病毒體系 來增強(qiáng)全網(wǎng)的抗病毒和蠕蟲攻擊能力； 二、本解決方案所要解決的問題 網(wǎng)絡(luò)安全的水平體現(xiàn)在：使用經(jīng)濟(jì)上合理的投資來控制網(wǎng)絡(luò)安全威脅在可以接受的水平，挫敗潛在的威脅方。 建立全網(wǎng)的策略、管理、組織和安全技術(shù)體系。參照后面的描述， 19 建立起結(jié)合實際業(yè)務(wù)情況和安全需求的策略并通過相應(yīng)的管理、組織 、和技術(shù)體系進(jìn)行落實和跟進(jìn)。 實現(xiàn)關(guān)鍵業(yè)務(wù)的 6 個重要安全屬性：機(jī)密性、完整性、可用性、可靠性、認(rèn)證性、審計性。體現(xiàn)在對內(nèi)部網(wǎng)絡(luò)用戶訪問主機(jī)和對業(yè)務(wù)系統(tǒng)的訪問等過程都通過了嚴(yán)格的加密和認(rèn)證措施，所有關(guān)鍵訪問相關(guān)的網(wǎng)絡(luò)活動被記錄和審查。 統(tǒng)一集中管理訪問業(yè)務(wù)系統(tǒng)主機(jī)系統(tǒng)賬戶信息，同時實現(xiàn)關(guān)鍵訪問的“全程全網(wǎng)”安全事件可視化。體現(xiàn)在全網(wǎng)關(guān)鍵業(yè)務(wù)和數(shù)據(jù)相關(guān)的網(wǎng)絡(luò)事件可以非常直觀地可視化回放，保證安全策略沒有被違反，有能力進(jìn)行事后的分析和追查，提供可以“呈堂”的證據(jù)。 全網(wǎng)的安全風(fēng)險處于可管理、可控制狀態(tài)下。對網(wǎng)絡(luò)安 全風(fēng)險的不間斷的評估和控制措施調(diào)整，使得全網(wǎng)的整體安全狀況和風(fēng)險情況以定性或半定量的形式及時展現(xiàn)出來。 保證全網(wǎng)相關(guān)業(yè)務(wù)活動在網(wǎng)絡(luò)安全方面的法律法規(guī)符合性。在整個技術(shù)和商務(wù)活動中，都將建立法律法規(guī)符合性審核制度，保證四川移動網(wǎng)管中心的內(nèi)部網(wǎng)絡(luò)安全和利益不受傷害。 基于上面的出發(fā)點，我們設(shè)計的整個方案完整實施后，將保證四川移動網(wǎng)管中心網(wǎng)絡(luò)達(dá)到以下幾個目標(biāo)： 20 集中接入與授權(quán) IDSentrie? 1000 的 RADIUS 認(rèn)證組件配合智能網(wǎng)絡(luò)交換機(jī)、路由 器或防火墻等安全設(shè)備中的 Radius 認(rèn)證功能為企業(yè)的本地服務(wù)器以及任何遠(yuǎn)程接入服務(wù)器（如撥號、 IPSec VPN、 SSL VPN 等）提供安全認(rèn)證，同時它還可以提供認(rèn)證代理服務(wù)。網(wǎng)絡(luò)管理人員通過使用IDSentrie 1000 提供的認(rèn)證策略，利用現(xiàn)有帳戶和數(shù)據(jù)庫的信息，對企業(yè)內(nèi)部重要系統(tǒng)的網(wǎng)絡(luò)接入進(jìn)行有效的控制，而且所有的安全策略都是根據(jù)用戶身份來制定的，只有具有真實身份而且口令安全策略均都滿足的情況下才能夠接入網(wǎng)絡(luò)，安全策略清楚明了，各種設(shè)備、用戶的相關(guān)認(rèn)證管理也是一目了然。同時 IDSentrie 具有和第三 方強(qiáng)身份認(rèn)證設(shè)備的接口， IDSentrie 本身已經(jīng)集成了 SecureID 設(shè)備的驅(qū)動，對于其它動態(tài)動態(tài)口令系統(tǒng)，例如短信動態(tài)口令生成也能夠提供很好的集成。 21 例如： ? 路由器、交換機(jī) ? 防火墻 ? VPN 設(shè)備 ? 無線設(shè)備 等網(wǎng)絡(luò)設(shè)備集中接入的控制，在應(yīng)用層之上的網(wǎng)絡(luò)層就對用戶進(jìn)行實名制的二次鑒權(quán)接入訪問控制，保證訪問應(yīng)用系統(tǒng)的用戶具有真實身份、合法。同樣，針對網(wǎng)絡(luò)層的訪問控制也需要有一個過程來逐步梳理，網(wǎng)絡(luò)區(qū)域劃分，用戶分組、權(quán)限的劃分等。 集中接入的典型應(yīng)用場 景： 案例說明： IDSentrie 內(nèi)置世界性能最高的 Radius 認(rèn)證服務(wù)器，每秒能夠處理 6000個認(rèn)證請求，同時本身具備強(qiáng)大的身份管理功能，目前的版本能夠支持一百萬用戶 ID，它能夠管理一千個網(wǎng)絡(luò)設(shè)備，包括路由器、交換機(jī)、防火墻等。 案例拓?fù)浣Y(jié)構(gòu)圖： 22 S W Cis co 3750S W Cis co 3750S W Cis co 3750S W Cis co 3750S W Cis co 2950S W Cis co 2950S W Cis co 2950辦公室桌面辦公室桌面辦公室桌面S