【IT168 方案】

　　1 项目概况

　　1.1 项目背景

　　广西高速公路管理局的联网收费系统是一套用于高速公路收费管理的软件系统，是广西高速公路核心业务系统之一。该系统也可使用于一级公路、二级公路、桥梁、隧道、城市交通等其它开放式收费环境。目前该系统覆盖全区各地19家高速公路经营业主，管理全区各高速路段征收费业务。

　　广西高速公路管理局联网收费系统内网出现终端越权访问，终端访问没有安全可靠的管理机制。目前，广西高速公路管理局联网收费网中还没有完全实现内网之间的访问控制。即使在其交换机上通过配置一些访问控制列表来提供一些安全保证，但是其强度是不足的。广西高速公路管理局联网收费网如果不能进行端到端的访问控制和终端安全管理，就不能抵御日益严重的来自局域网内部的网络攻击。

　　1.2 项目需求

　　广西高速公里管理局的信息中心领导希望通过服务器的专署管理员下发安全策略实现整个内网安全的目标。由于广西高速公路管理局自身单位所属行业的特殊性及一些特殊部门相关信息的保密性，要求实现对于终端数据的保密，以可管可控为原则，在统一化管理整个网络的同时，管理终端使用者的网络行为以及保障局域网内终端到终端的安全。

　　因为没有强制性措施，所以在客户端安装时遇到了问题。各运营公司没有积极配合终端安全管理系统客户端的安装。在广西高速公路管理局多次下文后仍然无法解决客户端安装问题。

　　2 方案概述

　　2.1 项目一期终端安全管理解决方案

　　针对客户的具体需求，我们与2010年提出了终端安全管理的解决方案，方案通过部署TopDesk终端安全管理系统对广西高速公路全区联网终端进行统一管理。

　　为了加强联网收费系统终端的安全和集中管理，本系统架构采取集中式部署模式。集中式部署是在广西高速公路管理局联网中心部署TD服务器和TD数据库服务器，在全区所有联网收费服务器、管理机及车道机上部署Agent代理软件，均将数据传输给联网中心TD服务器集中管理。TD服务器配置应用软件管理和访问控制管理等安全策略。TopDesk终端安全管理软件已部署完成投入试运行。并且已经可以提供客户端程序下载安装。

　　方案部署图如下：

　　2.2 项目二期网络准入控制解决方案

　　总结广西高速公路管理局联网收费系统终端安全问题的技术难点和管理问题，可以将问题归结为：

　　1、现有设备无法进行网络准入功能，交换机不支持802.1x准入;

　　2、客户端安装存在非强制性安装导致无人安装的现象。

　　项目二期方案的整体解决思路就是通过网络准入功能实现强制性安装客户端，如果不安装客户端就无法接入联网收费系统。从而最终即实现了网络准入功能，又在每台终端上安装了客户端，能够进行终端安全有效的防护。

　　本方案通过采用天融信TopNAC准入系统的方式，基于旁路Portal+VLAN控制进行网络准入，从而在广西高速公路管理局目前交换机不支持802.1X准入的情况下满足网络准入需求。并且通过网络准入功能强制运营公司在联网收费系统终端上安装终端安全管理客户端，从而解决最根本的终端安全管理问题。

　　2.2.1 基于旁路Portal+VLAN控制的网络准入

　　针对常用网络准入技术的缺点和广西高速公路管理局的实际情况，我们在本次改造方案中采用天融信独有的、最适合广西高速公路管理局联网收费系统的网络准入技术——基于旁路Portal+VLAN控制的网络准入技术。

　　基于旁路Portal+VLAN控制的网络准入技术有以下优势：

　　● 高适用：对网络环境要求较低，仅要求接入交换机支持VLAN。

　　● 高安全：在用户未通过身份验证和指定的健康检查前，无法有效地访问网络。

　　● 可实施：实施的主要工作在网络层，客户端无需手动安装。

　　● 性能：设备部署在旁路，对网络整体的性能较小。

　　2.2.2 部署设计

　　项目二期采用天融信的TopNAC系统，该系统采用基于旁路Portal+VLAN控制的网络准入技术为核心，具体部署示意图如下：

　　部署说明

　　1、在所有的接入交换机上规划VLAN，具体有

　　● 一个Guest VLAN：默认情况下，接入的用户计算机在没有通过认证的情况下将处于此VLAN下，仅可访问TopNAC和修复服务器。

　　● 若干Normal VLAN：在用户登录后，TOPNAC认证服务将根据用户身份将其置入指定的Normal VLAN。

　　2、在网络中引入网络安全准入网关(TopNAC)，TopNAC具有两个网口：

　　● 认证口：连接到Guest VLAN，具体用途有：

　　● 用于为未认证用户提供认证服务

　　● 在用户未安装客户端的情况下，提供客户端下载

　　● 在用户健康检查失败的情况下，提供修复用的软件安装下载

　　● 提供DHCP服务

　　● 管理口：连接到Normal VLAN，用途：

　　● 管理控制台。

　　● 维护已认证用户的在线状态(心跳)。提供正常的网络访问服务，比如FTP、邮件、HTTP、OA等服务。

　　3 方案特点

　　● 充分利用已有系统，避免重复投资

　　二期方案中采用的TopNAC准入系统使用的客户端为天融信TopDesk客户端，两套系统为同一个客户端，同一品牌，在兼容性和安全联动上，有足够的优势。

　　● 独有准入技术，完美符合要求

　　天融信TopNAC准入系统采用基于旁路Portal+VLAN控制的网络准入技术，完美的规避了广西高速公路管理局目前无法很好使用标准准入技术802.1X的问题。并且通过结合已有的TopDesk终端管理系统，弥补了传统Portal准入技术的不足。系统采用旁路部署的方式，也规避了其他厂家网络准入网关产品带来的网络性能瓶颈和网络结构影响问题。

　　最终实现了在满足广西高速公路管理局实际需求的情况下，避免了其他厂家准入技术的不足之处，完美的符合用户需求。

　　● 支持多种形态客户端，提高网络兼容性

　　天融信TopNAC准入系统支持多种形态客户端，既支持windows软件形态的客户端，也支持浏览器的ActiveX控件客户端。能够很好的支持网络中的各种各样终端情况。在对软件客户端支持不好的终端上，可以采用浏览器控件的客户端形式，提高了整个安全系统的网络兼容性和可用性。

　　● 支持802.1X技术，可扩展性强

　　802.1X作为国际标准的准入技术，在安全性上是有足够的保障的。天融信TopNAC准入系统本身具备完整的802.1X功能支持。虽然在目前广西高速公路管理局的联网收费系统中，802.1X技术的网络准入实现有困难。但是在今后的网络发展过程中，如果需要进行802.1X网络准入技术的部署，TopNAC准入系统可以完美的支持，不需要进行重复的投资，为网络发展带来的高可扩展性。

　　4 方案总结

　　● 对联网终端进行了集中管理，能够达到非法内联管理、移动存储管理、软件统一部署、补丁统一管理、终端安全监控、终端行为审计等安全需求;

　　● 提供了802.1X不具备的高适用性，解决目前无法使用802.1X进行准入的问题;

　　● 实现了网络设备无关的Portal，无需现有网络设备支持Portal网络准入功能;

　　● 提供了不依赖于客户端版本的健康检查功能，在软件客户端形态支持不好的终端上实现了安全防护功能;

　　● 支持平滑部署，采用旁路接入的方式，不影响现有网络结构和性能。