地市煙草網(wǎng)絡(luò)準(zhǔn)入控制及終端安全防護(hù)

隨著地市煙草計(jì)算機(jī)終端數(shù)量的不斷增加，防護(hù)企業(yè)網(wǎng)絡(luò)邊界，消除內(nèi)網(wǎng)終端安全隱患，確保企業(yè)內(nèi)部網(wǎng)絡(luò)的安全可控變得越來(lái)越重要。網(wǎng)絡(luò)準(zhǔn)入控制與終端管理系統(tǒng)通過(guò)對(duì)用戶(hù)身份進(jìn)行認(rèn)證，對(duì)接入網(wǎng)絡(luò)的設(shè)備進(jìn)行安全評(píng)估，實(shí)現(xiàn)對(duì)用戶(hù)身份、在線(xiàn)狀態(tài)、終端屬性的全面管理與掌握的一種技術(shù)手段。該系統(tǒng)能夠分析和彌補(bǔ)終端系統(tǒng)漏洞，進(jìn)行用戶(hù)行為控制和應(yīng)用管理，防止企業(yè)信息泄漏，避免終端遭受病毒、蠕蟲(chóng)、木馬危害，解決企業(yè)計(jì)算機(jī)終端安全管理問(wèn)題。

【關(guān)鍵詞】煙草 準(zhǔn)入控制 安全防護(hù)

1 前言

隨著計(jì)算機(jī)網(wǎng)絡(luò)的日益復(fù)雜化，要保證網(wǎng)絡(luò)準(zhǔn)入控制的成功部署，需要進(jìn)行大量的前期研究工作，主要包括分析部署需求、對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行評(píng)估選型、評(píng)估網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)是否與當(dāng)前的網(wǎng)絡(luò)運(yùn)行架構(gòu)相適應(yīng)等。

2 地市煙草網(wǎng)絡(luò)準(zhǔn)入及終端管理的需求分析

2.1 需要對(duì)終端合法性進(jìn)行檢測(cè)

由于之前的地市煙草網(wǎng)絡(luò)中，局域網(wǎng)是開(kāi)放的，任何終端都能接入網(wǎng)絡(luò)中，外來(lái)設(shè)備不需要任何驗(yàn)證就能隨便插入到墻上端口中接入煙草內(nèi)部網(wǎng)，進(jìn)而訪(fǎng)問(wèn)內(nèi)部網(wǎng)絡(luò)中的資源。因此，非法用戶(hù)根據(jù)這一弱點(diǎn)，可以從內(nèi)部對(duì)煙草網(wǎng)絡(luò)發(fā)動(dòng)攻擊，也可以盜取公司的敏感數(shù)據(jù)。這一內(nèi)部缺陷使得公司必須要在網(wǎng)絡(luò)入口出加強(qiáng)安全措施，采取相應(yīng)的準(zhǔn)入認(rèn)證控制。

2.2 需要對(duì)終端安全性進(jìn)行判斷

當(dāng)前，隨著辦公自動(dòng)化的推進(jìn)，有大量的桌面終端接入地市煙草網(wǎng)絡(luò)。這些終端所使用的系統(tǒng)，安裝的軟件都不盡相同，安全狀態(tài)水平與不盡相同，有的終端可能自身存在著安全缺陷。信息安全領(lǐng)域中“木桶效應(yīng)”就可以導(dǎo)致任一存在安全隱患的終端成為網(wǎng)絡(luò)中的“最短板”，成為攻擊者的突破口。例如，當(dāng)某一終端的系統(tǒng)存在漏洞、安全配置不合理、未安裝防火墻等都可能使其成為攻擊的對(duì)象，而一旦被攻克，其就將成為病毒、蠕蟲(chóng)進(jìn)攻內(nèi)部網(wǎng)絡(luò)的“橋頭堡”，進(jìn)行導(dǎo)致網(wǎng)絡(luò)與系統(tǒng)癱瘓，使所有的正常業(yè)務(wù)都無(wú)法開(kāi)展。

2.3 需要支持多種準(zhǔn)入控制方式

在煙草網(wǎng)絡(luò)中存在著各種各樣的終端，如桌面終端、網(wǎng)絡(luò)打印機(jī)、網(wǎng)絡(luò)傳真機(jī)等。這些終端設(shè)備的應(yīng)用場(chǎng)景與技術(shù)限制各不相同，這就要求地市煙草網(wǎng)絡(luò)能支持多種準(zhǔn)入控制方式，以確保所有的終端設(shè)備都能實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制，杜絕出現(xiàn)控制盲區(qū)。

綜上，將網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)與終端管理每張引入到地市煙草網(wǎng)絡(luò)中已成為了煙草公司發(fā)展的必要，必須要用好這兩個(gè)系統(tǒng)，加強(qiáng)對(duì)地市煙草網(wǎng)絡(luò)的安全管理。這需要引起各級(jí)的高度重視。

3 技術(shù)原理及應(yīng)用模式

3.1 網(wǎng)絡(luò)準(zhǔn)入控制原理

網(wǎng)絡(luò)準(zhǔn)入控制是指利用相應(yīng)的準(zhǔn)備控制技術(shù)，對(duì)終端設(shè)備身份進(jìn)行驗(yàn)證，使那些合法的、安全的、授權(quán)的終端接入到企業(yè)內(nèi)網(wǎng)中，而將非法的、未經(jīng)授權(quán)的設(shè)備擋在企業(yè)內(nèi)網(wǎng)之外，防止不法攻擊者對(duì)地市煙草網(wǎng)絡(luò)的安全造成影響。

資源訪(fǎng)問(wèn)控制策略是整個(gè)網(wǎng)絡(luò)準(zhǔn)入控制的核心模塊，其將企業(yè)網(wǎng)絡(luò)劃分為用戶(hù)區(qū)、設(shè)備聯(lián)動(dòng)區(qū)、策略控制區(qū)三部分，并通過(guò)不同的策略來(lái)實(shí)現(xiàn)對(duì)企業(yè)網(wǎng)絡(luò)的全方位管控。

（1）用戶(hù)區(qū)安裝相應(yīng)的準(zhǔn)入控制模塊，從而實(shí)現(xiàn)用戶(hù)身份認(rèn)證、安全檢查、準(zhǔn)入策略聯(lián)運(yùn)等，達(dá)到終端控制與用戶(hù)控制的目的。

（2）設(shè)備聯(lián)動(dòng)區(qū)對(duì)網(wǎng)絡(luò)中的交換機(jī)、路由器、防火墻、入侵檢測(cè)系統(tǒng)等進(jìn)行改造，使這些設(shè)備能夠與安全策略控制區(qū)形成聯(lián)動(dòng)，并能實(shí)現(xiàn)數(shù)據(jù)交換、策略接收、策略執(zhí)行、監(jiān)測(cè)信息上傳等功能，起到終端入網(wǎng)控制、問(wèn)題終端隔離、安全網(wǎng)絡(luò)隔離等作用。

（3）資源訪(fǎng)問(wèn)控制策略系統(tǒng)是策略控制區(qū)的核心，其通過(guò)與DHCP服務(wù)器、漏洞補(bǔ)丁服務(wù)器、防病毒服務(wù)器、終端安全策略服務(wù)器、網(wǎng)管服務(wù)器等聯(lián)動(dòng)，并負(fù)責(zé)具體的安全策略部署下發(fā)、安全評(píng)估、資源訪(fǎng)問(wèn)控制、身份認(rèn)證等任務(wù)，是整個(gè)網(wǎng)絡(luò)準(zhǔn)入控制的核心。

當(dāng)終端設(shè)備連接到企業(yè)網(wǎng)絡(luò)準(zhǔn)備接入時(shí)，客戶(hù)終端的準(zhǔn)入模塊就會(huì)主動(dòng)對(duì)客戶(hù)端的基礎(chǔ)配置、系統(tǒng)版本、補(bǔ)丁信息、防病毒版本等信息進(jìn)行檢測(cè)，并將其上傳到資源訪(fǎng)問(wèn)策略控制系統(tǒng)。系統(tǒng)根據(jù)所上傳的信息對(duì)用戶(hù)進(jìn)行身份認(rèn)證，并對(duì)安全策略進(jìn)行對(duì)比檢查。若檢測(cè)出終端為非法用戶(hù)，則拒絕其接入企業(yè)網(wǎng)絡(luò)；若檢測(cè)為合法用戶(hù)，但存在安全缺陷的則將其進(jìn)行訪(fǎng)問(wèn)限制，限制其只能訪(fǎng)問(wèn)特定的網(wǎng)絡(luò)區(qū)域，同時(shí)根據(jù)安全缺陷的類(lèi)型提示終端進(jìn)行漏洞修復(fù)、病毒庫(kù)升級(jí)、終端信息檢查等。

3.2 網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)在終端安全管理體系中的應(yīng)用模式

地市煙草網(wǎng)絡(luò)準(zhǔn)入與終端管理系統(tǒng)的核心理念是從源頭上消除網(wǎng)絡(luò)威脅，將非法訪(fǎng)問(wèn)阻擋在網(wǎng)絡(luò)之外，同時(shí)使用終端管理功能對(duì)已接入用戶(hù)的網(wǎng)絡(luò)行為進(jìn)行規(guī)范，保證煙草網(wǎng)絡(luò)的安全，避免出現(xiàn)安全事件。

利用網(wǎng)絡(luò)準(zhǔn)入控制對(duì)需接入的終端進(jìn)行安全檢測(cè)，檢測(cè)的內(nèi)容有：

3.2.1 賬戶(hù)檢查

檢查用戶(hù)的密碼是否正確，以防止非法接入者安裝相同的準(zhǔn)入認(rèn)證終端后接入網(wǎng)絡(luò)。

3.2.2 安全設(shè)置規(guī)范檢查

根據(jù)企業(yè)的需求對(duì)終端的安全設(shè)置進(jìn)行檢查，主要檢查終端是否開(kāi)啟了訪(fǎng)客賬戶(hù)；是否存在弱口令；是否加入了指定的Windows域名；是否及時(shí)對(duì)操作系統(tǒng)漏洞進(jìn)行了升級(jí)更新；是否存在沒(méi)有權(quán)限限制的共享；是否安裝了防病毒軟件并及時(shí)對(duì)病毒特征庫(kù)進(jìn)行了更新；是否存在可疑的注冊(cè)表項(xiàng)目；是否安裝了非法軟件等。

3.2.3 終端注冊(cè)ID檢查

對(duì)終端ID進(jìn)行檢查，看其是否已在內(nèi)部網(wǎng)絡(luò)注冊(cè)登記。通過(guò)終端注冊(cè)ID檢查確保接入網(wǎng)絡(luò)的終端是合法的而且是符合相應(yīng)的安全管理規(guī)范的，同時(shí)也確保所有接入網(wǎng)絡(luò)的計(jì)算機(jī)終端接受相應(yīng)的管理。

4 結(jié)語(yǔ)

在地市煙草網(wǎng)絡(luò)中實(shí)施網(wǎng)絡(luò)準(zhǔn)入控制與終端安全防護(hù)，可有效防止終端信息泄露，構(gòu)建起基于安全終端網(wǎng)絡(luò)環(huán)境的全面安全防護(hù)體系，通過(guò)系統(tǒng)不斷的修復(fù)提升，有效杜絕終端上的安全信息非法外傳，有效提升煙草網(wǎng)絡(luò)抗攻擊力。

參考文獻(xiàn)

[1]宋經(jīng)偉.網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)在終端安全管理系統(tǒng)中的應(yīng)用[J].軟件導(dǎo)刊，2014，13（02）：136-138.

[2]梁彪.基于網(wǎng)絡(luò)準(zhǔn)入控制的內(nèi)網(wǎng)安全防護(hù)方案探討[J].廣西電力，2014，37（06）：59-62.

[3]邢海韜，孫寧青，吳偉琦.廣西柳工機(jī)械股份有限公司網(wǎng)絡(luò)的準(zhǔn)入控制管理方案[J].廣西科學(xué)院學(xué)報(bào)，2007，23（04）：356-359.

[4]馬錫坤.醫(yī)院網(wǎng)絡(luò)終端準(zhǔn)入控制解決方案[J].醫(yī)院數(shù)字化，2011，11（09）：30-32.

作者簡(jiǎn)介

郭翔飛（1983-），男，福建省南平市人。大學(xué)本科學(xué)歷。現(xiàn)為南平市煙草公司助理工程師。研究方向?yàn)樾畔⒓夹g(shù)應(yīng)用及管理。

作者單位

南平市煙草公司 福建省南平市 353000