【YD通讯标准】 IP 网络端点准入控制框架技术要求

ICS 33.040.40
中华人民共和国通信行业标准
YD/T 2172-2010
IP网络端点准入控制框架技术要求Frameworktechnical specificationforiP network on endpoint admission control2010-12-29发布
2011-01-01实施
中华人民共和国工业和信息化部发布前言
2、术语、定义和缩略语
2.1术语和定义·
2.2缩略语·
3体系结构
3.1概述…，
3.2典型组网
体系结构·
功能组成
4.1功能流程
认证功能··
安全状态评估功能·
隔离功能…
修复功能·
监控与管理功能-
功能要求
安全策略实施·
安全策略管理
用户管理··
安全联动控制.
实时监控·
6接口要求
安全状态感知接口要求
6.2安全状态控制接口要求·
6.3安全状态实施接口要求
附录A（资料性附录）安金状态感知客户端防病毒联动插件接口的实现…KAONIKAcawwW.bzxz.Net
YD/T 2172-2010
YD/T2172-2010
本标准的附录A为资料性附录。
本标准由中国通信标准化协会提出井归口。本标雅起草单位：工业和信息化部电信研究院，杭州华三通信技术有限公司、上海贝尔股份有限公司。
本标准主要起草人：杨剑锋、万晓兰、张立新。H
1范围
IP网络端点准入控制框架技术要求YD/T 2172-2010
本标准规定了P网络端点准入控制的框架技术要求，包括对网络接入端点的安全状态评估、安全策略实施、安全策略管理、用户管理、安全联动控制、实时监控和安全状态感知客户端防病毒联动插件接口等方面的要求。
本标准适用于P网络端点准入控制的开发、测试以及管理。2术语，定义和缩略语
2.1术语和定义
下列术语和定义适用于本标。
接入网络的用户终端，包括PC、PDA、打印机、P电话等设备。2.1.2
安全状态感知点
安全状态感知点在网络端点准入控制体系中，端点的位置通常就是安全状态感知点。通过安装在网络端点上的安全客户端，端点的安全信息可被采集并上报。2.1.3
安全策略执行点
具体实施网络接入授权的网络节点。安全策略决策点根据端点安全状态下发网络访问权限给安全策略执行点，安全策略执行点负责应用端点的接入控制权限。2.1.4
安全策略决策点
负责评估端点的安全状态。安全策略感知点将终端的硬件、软件、防病毒、系统补丁等与接入安全相关的信息发送给安全策略管理决策点，安全策略决策点根据管理员设置的端点安全策略，对端点的安全状态进行评估，并根据评估结果将网络访问权限下发至安全策略执行点。2.1.5
安全区
端点的安全认证通过时能访问的网络资源所形成的区域。2.1.6
隔离区
端点的系统补丁、病毒库版本等安全状态不符合基于用户账号预定义的安全策略时，端点将被限制网络访问权限，只能访问病毒服务器，补丁服务器等用于系统修复的网络资源，这些受限的网络资源被称之为隔离区。
TIKAONTKAca
YD/T2172-2010
2.2缩略语
下列缩略语适用于本标准。
体系结构
Access Control List
Anti-virus
ExtensibleAuthenticationProtocolInternet Protocol
ProtectedExtensibleAuthenticationProtocolVirtual Local Area Network
VirtualPrivateNetwork
Wireless Local Area Network
Transparent LAN Service
访问控制列表
防病毒
可扩展认证协议
互联网协议
受保护的扩展认证协议
虚拟局域网
虚拟专用网
无线局域网
透明局域网服务
IP网络端点准入控制体系从网络终端入手，将终端防病毒、补丁修复等终端安全措施与网络接入认证、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、网络攻击等安全威胁的整体防御能力。3.2典型组网
IP网络端点准入控制的典型组网结构如图1所示。安全策略管理：
用户管理
安全联动控物
基于身份的服务策
防火增
安全联动设备：
交换机
路由器
VPN网关
安全客户端平有
802.1x认证
Portal认证
VPN认证
安全客户单
第三方安全
管理软件
WLAN认证
联动第
三方安全告
理软件：
防弱毒软件
补宁客户端
安全策略管理服务器
第三方杀病泰
补丁开级服务器
图1IP网络端点准入控制组网结构2
服务器
YD/T 2172-2010
图1中端点所连接的接入设备可以是交换机、路由器，也可以是VPN网管等。IP网络端点准入控制的基本原理如下：
1）端点（终端用户）试图接入网络时，首先通过安全客户端进行用户身份认证，非法用户将被拒绝接入网络：
2）合法用户将被要求进行安全状态认证，由安全状态决策点（安全策略服务器）验证端点（用户终端）安全状态是否符合基于用户账号预定义的安全策略，包括补丁版本，病毒库版本是否合格，软件安装允许是否合格、是否使用代理服务器等信息，不合格用户将被安全联动设备隔离到隔离区：3）进入隔离区的端点只能访问病毒服务器、补丁服务器等用于系统修复的网络资源，也可以卸裁非法程序、取消代理设置等操作，直到安全状态合格；进入隔离区的端点无法访问安全区的网络资源。4）安全状态合格的用户将实施由安全状态决策点下发安全设置，并由安全联动设备提供基于身份的网络服务。
3.3体系结构
IP网络端点准入控制体系结构如图2所示。安全状态感知点
身份认证
安全挂入
第二方管理软件
病事服务器
补丁服务器
其他服务器
第三方服务题
3.3.1安全状态感知点
安全状态感知点应支持功能如下：图2 体系结构
安全策略执行点
网络接入
安全策略执行点
安全访问控制
安全状态评估
身份鉴定
安全策略决策点
1）安全状态施知客户端与第三方管理软件接口应开放，以便实现联动：2）安全状态感知客户端应平台化，应支持多种认证插件，宜通过802.1x、Partal、VPN等实现：3）应确保与安全策略决策点的通信安全，信息传输通道应加密。3.3.2安全策略执行点
安全策略执行点按构成可分为两种形式：由接入控制设备构成：由客户端构成。安全策略执行点由交换机、路由器、VPN网关、无线控制器等接入控制设备构成时，应文持的功能妞下：
1）实施安全策略：
2）强制用户准入认证：
3）应支持多种认证方式，宜通过802.1x认证、Portal认证，VPN认证等实现；4）实施安全隔离（如ACL、VLAN控制）：3
KAONIKAca
YD/T 2172-2010
5）解除隔离状态；
6）实施基于用户的服务策略（如动态ACL、动态VLAN）。安全策略执行点由客户端构成时，应支持的功能如下：1
实施安全策略；
需配合交换机、路由器、VPN网关、无线控制器等进行准入认证：实施安全隔离（如ACL控制）：
解除隔离状态。
安全策略决策点
安全策略决策点应支持下列功能：1)
安全策略管理；
用户管理：
安全联动控制：
安全状态评估：
安全事件审计：
实时监控。
4功能组成
4.1功能流程
P网络端点准入控制的基本功能是通过安全状态感知客户端，安全联动设备（如交换机，路由器）、安全策略决策点以及第三方安全或桌面管理设备的联动实现，其基本原理如图3所示。安全状态够知客户端
安全策略执行点
1,身份认证请求。
安全筑略决境点
身贷认证请求
2．身份以证回比：认证不调过，拒晚请求，认证通过，魅第三步
，安全状态评估，
并将储果上担
第三方服务群
4.安全状态检查
4.检查合格，
，下发安全策响
通过ACL业VLA
方式设工用户齿间
3.设督安全策所
5.1设置安全策略
权限，露后执行第92
下发相盘的安全境略，例如，通知4.1按存不合势
设各将用户放到隔高区，若调知用户打补丁、升轻最新病毒库节
6.1 通过 ACL 或
VLAN方式设量
用户访问权陷
7.补丁升级、病毒库下载
8.再次进行安全状态评估
重复5、6步，检查不合括
含恪为止
9.实时监控：如果用户
并将结果上报，检查合格
量友5.1、6.1、7步，直架
全状态不合格，将结果上
10。下发相应的全策略，例如将用广进行实时隔离，热后热行511.7.2步
图3IP网络端点准入控制功能流程4.2认证功能
YD/T2172-201D
P网络端点准入控制应支持多种认证方式，通过不同方式的身份验证技术，以确保接入终端的身份合法。
IP网络端点准入控制的身份认证宜通过802.1x、Portal、VPN等实现。根据应用场景的区别，选择合适的方式实施准入防御策略，分别从局域网接入，VPN接入、WLAN接入等不同层面确保网络的整体安全。
4.3安全状态评估功能
4.3.1用户终端安全状态捡查
IP网络端点推入控制应支持用户终端的安全状态检查功能。网络端点准入控制应支持通过对终端安全状态的检查，使得只有符合特定的安全标谁的终端才能正常访问网络，以便于提高网络的安全性和稳定性。用户终端安全状态於香内容包括：1）操作系统补丁、防病毒软件版本病毒库版本、是否感染病毒等反映终端防御能力的状态信息：2）用户终端安装的软件、启动的服务是否符合特定的网络安全需求：3）双网卡使用限制、IE代理使用、ARP欺骗攻击等网络终端安全防御要求。4.3.2检查报告发送
P网络端点准入控制应支持发送检查报告功能。安全状态感知客户端与第三方安全管理软件联动检查终端安全状态后，应能将检查报告发送给安全策略决策点，由安全策略决策点根据特定的安全标准捡查终端安全状态是否合格，4.4隔离功能
IP网络端点准入控制应支持隔离“危险”和“易感”终端的功能。P网络端点推入控制要求系统补工，病毒库版本不及时更新或已感染病毒的用户终端，应限制计问权限，只能访问病毒服务器、补丁服务器等其他第三方安全管理用于系统修复的网络资源，这些受限的网络资源被称之为“隔离区”，通过ACL或VLAN方式实现。4.5修复功能
IP网络端点入控制应支持修复功能。网络端点入控制可通过强制的方式修复系统补丁、升级防病毒软件。卫网络端点准入控制使用强制修复方式时，不符合安全策略的用户终端应被限制到“隔离区”，并且自动提醒用户进行补丁更新或最新病毒库的升级，并联动防病毒服务器、补丁服务器或其他第三方安全管理软件，帮助用户完成手工或自动升级操作，达到提升终端主动防御能力的目的。完成修复并达到安全策略的要求后，用户终端将被取消隔离，可以正常访问网络。4.6监控与管理功能
IP网络端点准入控制应支持监控与管理功能。集中、统一的安全策略管理和安全事件监控是P网络端点准入控制的重要功能。特定安全策略的统一实施，需要有一个完善的安全策略管理平台来支撑。P网络端点准入控制应支持接入策略、安全策略、服务策略，安全事件监控统一于一体的用户管理平台，帮助网络管理员制定基于用户身份的、个性化的网络安全策略：同时P网络端点准入控制应支持通过安全策略决策点与安全状态感知客户端5
TIKAONTKAca
YD/T2172-2010
的配合，强制终端实施安全配置（如是否实时检查邮件、注册表、是否限制代理、是否限制双网卡等），监控用户终端的安全事件（如查杀病毒、修改安全设置等）。5功能要求
5.1认证
5.1.1身份认证
[P网络端点准入控制应支持多种认证方式。身份认证可通过802.1x、Portal、VPN方式等实现。特定的网络设备宜根据实际应用情况和场景，选择采用有效的认证方式，如：1）802.1x认证与交换机、BAS设备在接入层、汇层实现对接入用户的端点准入控制：2）Portal认证与路出器或者具有路由功能的交换机在网络出口实现对接入用户的准入控制：3）VPN认证与VPN网关的配合实现对远程接入用户的端点推入控制。用户终端接入网络时，应首光通过安全状态感知客户端进行用户身份认证，非法用户将被拒绝接入网络。
身份认证宜支持：
1）用户特征绑定，通过用户账号和用户特征（用户特征即VLANID、PORT、MAC、P，这些用户特征可以任意组合都可以于用户账号绑定）绑定来增强用户的安全性：2）动态用户绑定，实现对用户IP和MAC的动态绑定，当用户上线后，就不允许用户再更改IP地址，以防用户账户被盗用；
3）支持EAPTLS、PEAP等认证方式。5.1.2安全状态评估
P网络端点准入控制应支持安全状态评估功能。用户终端在身份认证之后，安全状态感知客户端与补丁客户端、防病毒客户端、第三方安全管理软件联动，检查用户终端的安全状态，包括操作系统版本，系统补丁、用户终端的防病毒软件版本、病毒库版本、以及防火墙等信息。用户终端的安全信息将被传递到安全策略决策点，如果符合安全策略决筑点上特定的安全标准，则安全评估通过：否则，不通过。5.2安全策略实施
5.2.1执行安全策略
P网络端点准入控制应支持执行安全策略的功能。安全状态感知客户端接收安全策略决策点下发的安全策略并强制用户终端执行，包括：1）设置安全策略（是否监控邮件、注册表等）：2）系统修复通知与实施（自动或手工升级补丁和病毒库等）功能。5.2.2用户准入控制
IP网络端点准入控制应支持用户准入控制功能，包括：1）强化用户身份认证；
2）基于身份的服务策略下发（动态ACL、动态VLAN等）：3）不符合安全策略的用户终端将被限制在隔离区。5.3安全策略管理
P网络端点准入控制应支持安全策略管理功能，安全策略决策点定义广用户终端推入控制的一系列第陷：宜包括：1）客户端安全状态评估配置：
2）防病毒、升级信息提示配置：3）补丁检查项配置：
YD/T 2172-2010
4）安全策略配置（是否实时检查邮件，注册表，是否限制代理，是否限制双网卡）15）安全设置检查（是否设置正代理，是否启用双网卡、屏保时长，查杀病毒级别）；6）隔离区（ACL、VLAN）设置；7）服务策略配置（接入时段、ACL、VLAN）。5.4用户管理
网络端点准入控制应支持用户管理功能。网络中不同的用户、不同类型的接入终端可能要求不同级别的安全检查和控制，安全策略决策点应为不同用户提供基于身份的个性化安全配置和网络服务等级，宜包括：1）用户身份验证策略配置：
2）用户级安全策略设置：
3）基于身份的网络服务策略配置：4）用户安全状态评估结果审计：5）用户安全事件查询，掌握网络安全状态：6）用户上网记录查询。
5.5安全联动控制
P网络端点准入控制应支持安全联动功能。安全策略决策点负责评估安全状态感知客户端上报的安全状态，下发用户终端的修复方式与安全策略来控制安全策略执行设备对用户的隔离与开放。在安全策略决策点的控制下，安全状态感知客户端、安全策略执行点与防病毒服务器、补丁服务器或其他第三方安全管理软件协同工作，配合完成端到端的安全难入控制。联动控制宜包括1）用户安全状态检测策略下发；2）用户安全状态评估（审核）：3）用户安全策略下发（是否实时检查注册表、是否限制代理、是否限制双网卡）：4）安全事件接收与处理：
5）用户隔离控制：
6）用户安全日志收集：
5.6实时监控
安全状态感知客户端应对用户终端进行实时监控：1）是否更改安全设置；
2）是否更改网络配置信息：
3）是否发现新病毒：
4）是否安装和使用非法软件；
TIKAONIKAca
YD/T 2172-2010
5）用户安全日志申计。
6接口要求
6.1安全状态感知接口要求
安全状态感知接口是安全状态感知客户端与安全联动软件之问的接口。安全状态感知客户端允许通过接口调用获取安全联动软件的状态信息，执行安全策略决策点下发的安全操作。
安全状态感知接口包括安全插件注册接口、安全状态查询接口和安全任务执行接口三个子功能接口。
1）安全插件注册接口：实现对安全软件的注册。安全状态感知客户端可以从注册数据库查询已安装的安全联动软件。比如防病毒软件、防火墙软件或补丁联动软件。2）安全状态查询接口：实现对各种安全信息的查询，如防火墙软件提供防火墙规则的查询接口。安全状态感知客户端可以通过该接口获取防火墙规则并上报安全策略决策点。3）安全任务执行接口：负责执行安全状态感知客户端发起的安全任务，如全盘扫描病毒。6.2安全状态控制接口要求
安全状态控制接口是安全状态感知客户端与安全策略决策点之间的接口。安全状态感知客户端需要向安全策略决策点提供端点的安全状态，同时，安全策略决策点也要问安全状态感知点下发安全控制指令。安全状态感知点和安全策略决策点之间的信息交互宜使用安全状态控制协议实现。安全状态控制协议要求待定。
6.3安全状态实施接口要求
安全状态实施接口是安全策略执行点与安全策略决策点之间的接口。安全策略决策点的网络接入的阻断、隔离等信息，需通过安全状态实施接口下发给安全策略执行点。IP网络端点准入控制的体系架构，是基于用户的身份认证而实现的。安全策略执行点与安全策略决策点之间的信息交互建议使用扩展RADIUS协议，实现IP端点准入的控制。的
A.1安全状态感知接口
附录A
【盗料性附录】
安全状态感知客户端防病毒联动插件按口的实现YD/T2172-2010
安全状态感知客户端与防病毒联动插件之间的接口为安全状态感知接口。安全状态感知客户端防病筹联动插件可由第三方厂商提供，该插件设由安全状态感知客户端使用，为单向接口，第三方客户端软件无法通过该插件获取安全状态感知客户端的状态，或向安全状态感知客户端提交任务执行请求。安全状态感知客户端防病毒联动插件分为两部分：动态链接库文件（如av-plugin.dll）和插件配置文件（如av-plugin.inf）。动态链接库文件用于提供接口调用，配置文件用于指明插件的相关信息。安全状态感知客户端防病毒联动插件的作用是安全状态感知客户端对第三方客户端软件进行状态查询（PostureQuery）及提交任务执行请求（TaskInvokeRequest）。A.1.1状态查询
安全状态感知客户端通过调用安全状态感知客户端联动插件，可查询第三方客户端的执行状态信息。A.1.2任务执行请求
安全状态感知客户端通过任务请求，向第三方客户端软件分配任务。若需要执行结果，通过异步方式等待执行结果。
A.2安全状态感知客户端防病毒联动插件的安装、升级和装载A.2.1联动插件安装、升级和装载涉及的相关目录安全状态感知客户端防病毒联动插件安装、升级和装载涉及的目录有：插件安装目录，例如：%CommonPragramFiles%iCompanyNametSecureClientPluginsiInstall:
插件装载目录，例如：%CommonProgramFiles%CompanyNametSecureClientiPluginsi
插件隔离区，例如：%CommonProgramFiles%CompanyNamelSecureClientiPluginstIQuarantine.
上述示例中，“%CommonProgramFiles%\是指Windows系统环境变量所指定的路径，一般为Windows安装逻辑分区下的“ProgramFilesiCommonFiles”子录。当Windows安装在C:，则该环境变量的值为\C:Program FilesiCommon Files\\\用于唯一标识一个插件，命名格式为“插件提供商缩写>≤插件类型>”。如：CCLA_Plugin_AV，这里的\CCIA\是假设的某个插件提供商的缩写，\Plugin_AV\是针对防病毒插件的插件类型，
插件的安装与升级由第三方软件产品提供，随第三方客户端软件的安装与升级，实现插件的安装与升级，而不是单独为插件提供安装程序。A.2.2插件安装说明
在第三方客户端软件安装过程中，自动安装该插件，完成安装后插件对应的两个文件存放在安装自录下。
TIKAONTKAca
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。