網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)在企業(yè)園區(qū)網(wǎng)絡(luò)中的研究與應(yīng)用

張寶玉 張馨天

摘要：網(wǎng)絡(luò)準(zhǔn)入控制（Network Access Control，NAC）是一種新型的安全防御技術(shù)，通過對終端實(shí)施身份認(rèn)證、安全檢查、權(quán)限分配來有效解決因不安全終端接入網(wǎng)絡(luò)而引起的安全威脅，保護(hù)網(wǎng)絡(luò)的安全。本文結(jié)合在工業(yè)企業(yè)部署的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的實(shí)際應(yīng)用，研究分析其技術(shù)背景、實(shí)施過程、實(shí)施效果等，介紹了一種新型網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)。

關(guān)鍵詞：準(zhǔn)入控制;終端安全檢測;網(wǎng)絡(luò)安全

中圖分類號：TP319 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9416（2020）08-0187-03

如何加強(qiáng)企業(yè)園區(qū)網(wǎng)絡(luò)終端的安全管理，防范來自企業(yè)內(nèi)部的各種網(wǎng)絡(luò)威脅與風(fēng)險(xiǎn)，是所有企業(yè)在進(jìn)行信息化和智能制造建設(shè)急需解決的安全問題。為了確保企業(yè)內(nèi)部網(wǎng)絡(luò)的安全、高效運(yùn)轉(zhuǎn)，企業(yè)必須結(jié)合自身實(shí)際選擇一種行之有效的網(wǎng)絡(luò)安全方案來對企業(yè)的終端用戶和網(wǎng)絡(luò)資源進(jìn)行有效的防護(hù)。網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)因其兼顧終端安全檢測與網(wǎng)絡(luò)訪問權(quán)限控制的雙重功能，成為企業(yè)信息化園區(qū)網(wǎng)絡(luò)建設(shè)的重要安全技術(shù)和手段得到了廣泛應(yīng)用。

1 網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)的簡介

網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)是指對網(wǎng)絡(luò)的邊界進(jìn)行保護(hù)，對接入網(wǎng)絡(luò)的終端和終端的使用人進(jìn)行認(rèn)證和合規(guī)性檢查，其主要目的是防止病毒、木馬、蠕蟲及各類黑客技術(shù)對企業(yè)網(wǎng)絡(luò)信息安全造成危害。網(wǎng)絡(luò)準(zhǔn)入控制主要思路是：終端接入網(wǎng)絡(luò)之前根據(jù)預(yù)定的合規(guī)檢測項(xiàng)目對其進(jìn)行合規(guī)檢查，只允許符合安全規(guī)范的終端接入網(wǎng)絡(luò)，不安全的終端將被放入隔離區(qū)，不允許訪問除安全服務(wù)外的其他網(wǎng)絡(luò)資源，直到這些終端符合網(wǎng)絡(luò)內(nèi)的安全策略為止[1]。

2012年由Gartner發(fā)布的數(shù)據(jù)報(bào)告就指出，在網(wǎng)絡(luò)準(zhǔn)入應(yīng)用的第一波浪潮（2003～2006年）中，主要的網(wǎng)絡(luò)準(zhǔn)入管理策略是針對終端的系統(tǒng)配置（如操作系統(tǒng)補(bǔ)丁是否更新、殺毒軟件是否安裝等）。在2007年，網(wǎng)絡(luò)準(zhǔn)入應(yīng)用進(jìn)入了第二波浪潮，主要關(guān)注點(diǎn)變?yōu)榱藢碣e設(shè)備如何提高簡便易行的認(rèn)證和控制，進(jìn)而搭建出靈活的訪客網(wǎng)絡(luò)環(huán)境。在2011年網(wǎng)絡(luò)準(zhǔn)入技術(shù)的第三波浪潮中，隨著移動(dòng)辦公的逐步普及，提出了對員工的移動(dòng)辦公設(shè)備提供“有限訪問區(qū)”的控制要求。Gartner認(rèn)為，這次的第三波網(wǎng)絡(luò)準(zhǔn)入應(yīng)用浪潮將是有史以來最為強(qiáng)勁的一次[2]。

2 企業(yè)網(wǎng)絡(luò)準(zhǔn)入控制的實(shí)施

下面結(jié)合實(shí)踐，介紹一種工業(yè)企業(yè)園區(qū)網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的實(shí)施方案。

2.1 網(wǎng)絡(luò)準(zhǔn)入控制的管理需求

隨著企業(yè)信息化和智能制造建設(shè)的不斷深入，企業(yè)內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)的規(guī)模不斷增大，網(wǎng)絡(luò)終端的數(shù)量不斷增加，終端類型向著移動(dòng)化發(fā)展，有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)應(yīng)用齊頭并進(jìn)。網(wǎng)絡(luò)的管理復(fù)雜性和難度不斷加大。企業(yè)員工的個(gè)人水平與素質(zhì)也參次不齊，大部分員工缺乏網(wǎng)絡(luò)安全方面的專業(yè)知識，安全意識薄弱，出現(xiàn)了無口令或弱口令登錄，濫用、隨意共享網(wǎng)絡(luò)資源，病毒，木馬感染增多，隨意下載和安裝來歷不明軟件等安全問題，給企業(yè)網(wǎng)絡(luò)信息安全帶來了嚴(yán)重的威脅，只有全面提高管理能力，引進(jìn)先進(jìn)的網(wǎng)絡(luò)安全技術(shù)，才能有效的保障企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)的安全[3]。

綜上所述，企業(yè)園區(qū)網(wǎng)絡(luò)安全管理的需求可以概括為以下幾點(diǎn)：（1）實(shí)現(xiàn)嚴(yán)格的實(shí)名認(rèn)證，保證保障每一臺(tái)入網(wǎng)的網(wǎng)絡(luò)終端都有備案和責(zé)任人。（2）實(shí)現(xiàn)有線、無線網(wǎng)絡(luò)全覆蓋。（3）采用靈活方便的認(rèn)證方式，盡量減少用戶負(fù)擔(dān)，可實(shí)現(xiàn)訪客友好登錄。（4）對網(wǎng)絡(luò)終端進(jìn)行嚴(yán)格的安全檢查，自動(dòng)隔離不安全網(wǎng)絡(luò)終端。（5）嚴(yán)格執(zhí)行網(wǎng)絡(luò)資源訪問控制，保護(hù)好企業(yè)內(nèi)部信息安全。（6）實(shí)現(xiàn)靈活的方便的用戶管理，用戶可在不同區(qū)域可獲得相同的網(wǎng)絡(luò)訪問權(quán)限。

2.2 基于MAC優(yōu)先的PORTAL認(rèn)證

基于MAC優(yōu)先的PORTAL認(rèn)證模式首先需要建立好用戶數(shù)據(jù)庫，當(dāng)用戶首次登陸網(wǎng)絡(luò)時(shí)需要輸入員工編號和登陸默認(rèn)密碼，首次登陸需要修改個(gè)人秘密，系統(tǒng)會(huì)自動(dòng)記錄員工登陸的終端電腦MAC地址，并將員工信息與MAC地址綁定。默認(rèn)情況下每個(gè)員工只允許綁定一臺(tái)終端設(shè)備，如果有特殊需要可以申請新的MAC地址許可。用戶再次登陸網(wǎng)絡(luò)時(shí)系統(tǒng)如果能夠查詢到用戶終端的MAC 地址，該終端即可自動(dòng)認(rèn)證，不需要用戶重新輸入登陸信息，也不需要在用戶終端上安裝任何準(zhǔn)入軟件。這樣就實(shí)現(xiàn)了用戶的實(shí)名認(rèn)證，同時(shí)也最大限度的減少了員工的操作和終端電腦的負(fù)擔(dān)。

2.3 與終端殺毒軟件聯(lián)動(dòng)實(shí)現(xiàn)終端安全狀態(tài)檢查

在用戶身份信息得到準(zhǔn)確的認(rèn)證后，必須對用戶終端的安全狀態(tài)進(jìn)行檢查，只有滿足安全要求的終端才可以接入園區(qū)網(wǎng)絡(luò)訪問相應(yīng)網(wǎng)絡(luò)資源，對不符合安全規(guī)范的終端應(yīng)該進(jìn)行網(wǎng)絡(luò)隔離，直至符合安全規(guī)范后方可恢復(fù)其網(wǎng)絡(luò)訪問權(quán)限。

本方案中采用的是網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)與終端殺毒軟件系統(tǒng)聯(lián)動(dòng)的機(jī)制來實(shí)現(xiàn)終端安全檢查。網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)在得到用戶發(fā)出的認(rèn)證信息后，會(huì)到網(wǎng)絡(luò)殺毒軟件控制臺(tái)檢索該終端的安全狀態(tài)，反饋結(jié)果包括：合格、不合格、未安裝。只有檢查結(jié)果為合格的終端才會(huì)分配網(wǎng)絡(luò)訪問權(quán)限允許接入網(wǎng)絡(luò)，反饋結(jié)果為不合格和未安裝的終端將被劃入隔離區(qū)，只能訪問防病毒服務(wù)器和補(bǔ)丁分發(fā)服務(wù)器，直至安裝、修復(fù)、檢查結(jié)果合格后方可重新接入網(wǎng)絡(luò)。

這里需要特別指出的是可以根據(jù)網(wǎng)絡(luò)終端的不同用途，在殺毒軟件中定制不同安全檢查模板，例如：禁用U盤，禁止安裝非法軟件等，以便更精準(zhǔn)的保障各類終端設(shè)備的安全。

2.4 基于安全組策略的網(wǎng)絡(luò)訪問權(quán)限分配和業(yè)務(wù)隨行功能

在完成網(wǎng)絡(luò)終端身份認(rèn)證和終端安全檢查合格后，最后一步就是按照安全組策略的規(guī)劃給進(jìn)入園區(qū)網(wǎng)絡(luò)的終端分配相應(yīng)的網(wǎng)絡(luò)訪問權(quán)限，以最大限度的保障企業(yè)的信息安全。

本方案采用的基于安全組的網(wǎng)絡(luò)控制策略，較傳統(tǒng)基于IP和VLAN的ACL訪問控制策略具有較大差別，其工作原理如圖1所示。

該訪問控制方式最大的特點(diǎn)是將控制策略與IP地址和VLAN拖鉤，可實(shí)現(xiàn)同一用戶在不同區(qū)域的網(wǎng)絡(luò)訪問權(quán)限相同。這樣既保證了網(wǎng)絡(luò)訪問權(quán)限的有效控制，同時(shí)也降低的網(wǎng)絡(luò)管理員的維護(hù)工作量。

在進(jìn)行網(wǎng)絡(luò)安全組的劃分之前，首先要進(jìn)行網(wǎng)絡(luò)訪問權(quán)限的收集，我們可以下發(fā)網(wǎng)絡(luò)權(quán)限統(tǒng)計(jì)表。表的橫項(xiàng)目為網(wǎng)絡(luò)中的可訪問資源，縱項(xiàng)目為各單位的員工姓名，需要各單位根據(jù)工作需要，在員工需要訪問的網(wǎng)絡(luò)資源下畫√，然后根據(jù)統(tǒng)計(jì)上來的網(wǎng)絡(luò)權(quán)限將具有相同權(quán)限的員工規(guī)劃到一個(gè)安全組分配相同分網(wǎng)絡(luò)訪問權(quán)限。

2.5 終端入網(wǎng)流程圖

本方案的網(wǎng)絡(luò)準(zhǔn)入控制流程圖如圖2所示。

3 網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)上線后的效果

本方案實(shí)施后達(dá)到了以下的管理效果：（1）實(shí)現(xiàn)了入網(wǎng)終端的全部實(shí)名認(rèn)證，杜絕非認(rèn)證終端的非法接入。（2）實(shí)現(xiàn)了用戶終端安全狀態(tài)的監(jiān)控和管理，非安全終端自動(dòng)隔離。（3）實(shí)現(xiàn)了網(wǎng)絡(luò)訪問權(quán)限的精準(zhǔn)分配，確保企業(yè)關(guān)鍵信息安全。（4）實(shí)現(xiàn)了有線、無線網(wǎng)絡(luò)的全覆蓋，不留網(wǎng)絡(luò)管理死角。（5）用戶網(wǎng)絡(luò)權(quán)限不受地點(diǎn)限制，實(shí)現(xiàn)了業(yè)務(wù)隨行。（6）全網(wǎng)設(shè)備安全狀況實(shí)時(shí)監(jiān)控，提高了網(wǎng)絡(luò)整體安全水平。

4 結(jié)語

網(wǎng)絡(luò)安全問題是一個(gè)綜合性的問題，需要多方面的技術(shù)綜合運(yùn)用才能達(dá)到比較理想的效果。本文結(jié)合實(shí)際，總結(jié)了一整套適用于工業(yè)企業(yè)園區(qū)網(wǎng)絡(luò)管理的準(zhǔn)入控制技術(shù)，希望對從事網(wǎng)絡(luò)安全的技術(shù)人員有所幫助。

參考文獻(xiàn)

[1] 周超，周城，丁晨路.計(jì)算機(jī)網(wǎng)絡(luò)終端準(zhǔn)入控制技術(shù)[J].計(jì)算機(jī)系統(tǒng)應(yīng)用，2011，20（1）：90.

[2] 陳遠(yuǎn)鵬.網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].北京：北京工業(yè)大學(xué)，2017.

[3] 趙志平.絡(luò)準(zhǔn)入控制技術(shù)在企業(yè)中的應(yīng)用分析[J].科技創(chuàng)新與應(yīng)用，2018（35）：185.