端点安全在远程教育网中的设计和实现.docVIP

端点安全在远程教育网中的设计和实现 　　摘要：介绍了一种基于策略的端点安全准入方法，通过统一的Web控制台集成了基于SOAP的安全消息加密验证，并且提出利用SLA协定的思想解决网络服务的分级分层服务的难题，在实际应用中可以满足中小网络多方位的安全需求。 　　关键词：端点；策略；SOAP；SLA 　　中图分类号：G642 文献标识码：A文章编号：1009-3044(2011)26-6551-03 　　网络端点安全(end-point security，或主机安全 host security)技术是整个信息安全中非常重要的一环，近来随着虚拟专用网络（VPN）和无线宽带接入的逐渐普及更是受到极大的关注。远程教育网有一个很突出的特点，就是远程接入点多，移动接入频繁，现在构网多采用VPN技术，但在实际应用中，无论是SSL VPN ,IPsec VPN 或MPLS VPN都无法防止非法的入侵和破坏，这是因为传统的面向边界防御的安全网关虽然重要，但却不够完整。 　　1 端点安全的现状 　　端点安全领域主要有三家提出各自的解决方案： 　　1.1 Cisco 的NAC（Network Admission Control） 　　以Cisco 的安全代理（security agent）为例，它的目标是为网络端点提供威胁防护（threat protection）。但NAC 使用应用接口级强制检疫技术，内置于Cisco网络结构中，建立在Cisco硬件设备基础之上。因此，对于正在使用的旧版的Cisco产品和IOS，升级意味着增加投入。而对于非Cisco网络，要运行Cisco的NAC 软件代理端，则必须要抛弃可选。 　　1.2 Microsoft的NAP（Network Access Protection） 　　NAP的功能主要由Windows Quarantine Agent(QA)来实现，通过收集设备信息由Microsoft策略服务器联合诸如DHCP，IPsec，VPN，802.1x等其他设备和服务来实现策略遵从。几乎是完全由软件实现运行在操作系统之上的应用程序，增加了CPU的负担，而且完全依赖于操作系统，无法防止黑客利用其它应用软件和操作系统的漏洞获取主机控制权限。 　　1.3 TCG(可信计算组织) 提出的TNC（Trusted Network Connect） 　　TNC 是唯一完全开放的解决方案。可信计算组织（Trusted Computing Group, TCG）已经制定了硬件和软件的标准来增强主机安全，其中非常重要的就是用来存放密钥、密码和数字证书的微控制器，即可信平台模块（Trusted Platform Module, TPM）。 　　TCG 面临的挑战是，不是所有标准的制定都经过充分的讨论，从而限制了其支持产品的发展。 　　由于教育网的接入的复杂性，结合远程教育网的特点（分散和移动端点多）等，设计基于策略的端点安全整体解决方案如下： 　　2 系统架构设计 　　整个网络拓朴如图1所示,主要有：核心资源、策略网关、策略服务器，远程客户端及监控/管理平台，略去了支撑网络，分支网络，隔离区，存储区和备份等部分。 　　2.1 基础结构 　　1）核心资源区（图中右上角的灰色椭圆形区域）由应用服务器组成，每台服务器上单独部署策略检查点，即策略网关。 　　2）策略网关(未单独画出)从策略服务器获取策略规则，以准入控制手段强制执行既定安全策略，将不符合安全策略的端点隔离在可信网络、系统及应用之外。 　　3）策略服务器区（图中右下角的灰色三角形区域）由策略服务器组成，包括PKI及CA服务系统，用户身份鉴别，系统脆弱点管理，防火墙及HIDS/IPS策略支持，端点准入控制服务，是整体安全的核心。 　　4）端点代理（图中左边的灰色椭圆形区域）是安装在远程终端系统上的软件，端点代理从策略服务器获取策略规则，在终端执行策略规则，检查其安全状态，并将终端安全状态报告给策略服务器。 　　5）接入联动设备（图中不规则区域）是网络中安全策略的实施点，起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。 　　6）监控区（灰色矩形区域）负责对网络内部包括安全事件总体上的监控和管理。 　　2.2 功能模块描述 　　端点安全体系主要实现的功能有端点准入、端点主动防御、安全策略分发及策略管理。 　　2.2.1 端点计算机准入控制 　　网络准入控制。在统一的Web控制台集中管理运行客户端代理，能够防止易损主机接入正常网络，当于用户入网身份认证。 　　系统和应用准入控制。策略系统采用多种策略网关，为教育网的所有系统、应用提供准入控制手段。只有受策略系统管理并且符合安全策略的电脑才允许访问教育网的系统及应用。考虑到