趙剛 孫全建 張?jiān)葡?/p>

摘 要：文章以作者所在企業(yè)山東泰安煙草有限公司為例，從企業(yè)互聯(lián)網(wǎng)接入風(fēng)險(xiǎn)入手，通過(guò)現(xiàn)有和今后可能建立的接入方式和管控技術(shù)分析。根據(jù)互聯(lián)網(wǎng)接入風(fēng)險(xiǎn)的重要程度、控制難度等因素，提出控制的思路和措施。通過(guò)關(guān)鍵控制點(diǎn)進(jìn)行安全管理。探討較為科學(xué)合理的互聯(lián)網(wǎng)接入安全管理模式。

關(guān)鍵詞：互聯(lián)網(wǎng)；接入安全；風(fēng)險(xiǎn)；控制

隨著互聯(lián)網(wǎng)的快速發(fā)展，為企業(yè)運(yùn)行和發(fā)展提供了越來(lái)越多的便利，通常情況下，企業(yè)局域網(wǎng)中存有大量的單位內(nèi)部的敏感信息，具有極高的商務(wù)和政治價(jià)值。因此其安全保密是至關(guān)重要的，要保證內(nèi)域網(wǎng)不被非法入侵和破壞，網(wǎng)中的敏感信息不被非法竊取和篡改，同時(shí)還要保證網(wǎng)內(nèi)用戶和網(wǎng)外用戶之間正常連通，向他們提供應(yīng)有的服務(wù)。這些安全業(yè)務(wù)都需要完善的安全管理作為支撐。文章以作者所在企業(yè)山東泰安煙草有限公司為例，從企業(yè)互聯(lián)網(wǎng)接入風(fēng)險(xiǎn)入手，通過(guò)現(xiàn)有和今后可能建立的接入方式的脆弱性和潛在的威脅分析。根據(jù)互聯(lián)網(wǎng)接入風(fēng)險(xiǎn)的重要程度、控制難度等因素，提出控制的思路和措施。通過(guò)風(fēng)險(xiǎn)控制措施的成本和有效性分析。探討較為科學(xué)合理的互聯(lián)網(wǎng)接入安全管理模式。

1 意義與背景

1.1 行業(yè)需求方面

隨著山東煙草信息化建設(shè)的深入開(kāi)展，一線工作對(duì)于網(wǎng)上信息的完整性、及時(shí)性、準(zhǔn)確性的要求日趨強(qiáng)烈。通過(guò)山東煙草內(nèi)部網(wǎng)絡(luò)更廣泛地采集社會(huì)信息，并向有關(guān)單位提供信息資源和服務(wù)已逐漸成為煙草行業(yè)信息化發(fā)展的必然趨勢(shì)。同時(shí)，煙草內(nèi)部業(yè)務(wù)網(wǎng)也將面臨來(lái)自其他網(wǎng)絡(luò)的攻擊、入侵、病毒、木馬、探頭等各種類(lèi)型的安全威脅，存在很大的安全風(fēng)險(xiǎn)。

煙草行業(yè)越來(lái)越多的業(yè)務(wù)系統(tǒng)需要通過(guò)互聯(lián)網(wǎng)進(jìn)行訪問(wèn)和發(fā)布，不論是企業(yè)網(wǎng)站郵件系統(tǒng)還是新商盟系統(tǒng)，在煙草行業(yè)地位愈來(lái)愈重要。企業(yè)用戶接入互聯(lián)網(wǎng)也成為必然需求，互聯(lián)網(wǎng)已成為煙草行業(yè)中最重要的基礎(chǔ)設(shè)施，但是當(dāng)前的互聯(lián)網(wǎng)設(shè)計(jì)并不安全，網(wǎng)絡(luò)空間開(kāi)始無(wú)邊界，安全孤島將不復(fù)存在，脆弱的技術(shù)、網(wǎng)絡(luò)匿名等容易被一些非法組織和個(gè)人為所欲為的利用，由此將給企業(yè)帶來(lái)諸多安全威脅。

1.2 政策及法規(guī)要求方面

在互聯(lián)網(wǎng)安全接入研究方面，要落實(shí)國(guó)家及有關(guān)部門(mén)政策要求，積極響應(yīng)主管單位及其監(jiān)管部門(mén)關(guān)于互聯(lián)網(wǎng)安全相關(guān)規(guī)定，內(nèi)容包括：

（1）《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》；（2）《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際互聯(lián)網(wǎng)安全保護(hù)管理辦法》第十條；（3）《互聯(lián)網(wǎng)信息服務(wù)管理辦法》；（4）《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》第七條、第八條。

2 國(guó)內(nèi)外相關(guān)研究現(xiàn)狀

隨著Internet的快速發(fā)展，Intranet作為因特網(wǎng)技術(shù)運(yùn)用于單位、部門(mén)和企業(yè)專用網(wǎng)的產(chǎn)物，也得到迅速普及發(fā)展。Intranet并非是地域上的概念，而是在信息空間上的虛擬網(wǎng)絡(luò)概念，如一個(gè)國(guó)家外交系統(tǒng)的內(nèi)域網(wǎng)用戶可能分布全球。它在原有專用網(wǎng)的基礎(chǔ)上增加了服務(wù)器、服務(wù)器軟件、Web內(nèi)容制作工具和瀏覽器，與因特網(wǎng)連通，從而使內(nèi)域網(wǎng)充滿了生機(jī)和活力。內(nèi)域網(wǎng)為公司和單位信息的散播和利用提供了極為便利的條件。瀏覽器為網(wǎng)上用戶提供信息，服務(wù)器對(duì)網(wǎng)絡(luò)進(jìn)行管理、組織和存儲(chǔ)信息，并提供必要的安全服務(wù)。通常情況下，Intranet中則存有大量的單位內(nèi)部的敏感信息，具有極高的商務(wù)、政治和軍事價(jià)值。因此，Intranet是一種半封閉甚至是全封閉的集中式可控網(wǎng)，其安全保密是至關(guān)重要的，要保證內(nèi)域網(wǎng)不被非法入侵和破壞，網(wǎng)中的敏感信息不被非法竊取和篡改，同時(shí)還要保證網(wǎng)內(nèi)用戶和網(wǎng)外用戶之間正常連通，向他們提供應(yīng)有的服務(wù)。這些安全業(yè)務(wù)都需要一個(gè)完善的接入控制機(jī)制。

2013年9月中國(guó)互聯(lián)網(wǎng)安全大會(huì)就互聯(lián)網(wǎng)時(shí)代的企業(yè)安全趨勢(shì)撰寫(xiě)了此《互聯(lián)網(wǎng)時(shí)代的企業(yè)安全發(fā)展趨勢(shì)》。針對(duì)目前如此嚴(yán)峻的企業(yè)內(nèi)部與外部安全形勢(shì)，報(bào)告建議，企業(yè)內(nèi)部安全應(yīng)該加強(qiáng)邊界防御、云端防御、終端防御和APT攻擊檢測(cè)防御，形成一個(gè)真正的立體防御體系。在云端安全使用分布式存儲(chǔ)、分布式計(jì)算/并行計(jì)算、機(jī)器學(xué)習(xí)技術(shù)、準(zhǔn)實(shí)時(shí)處理；邊界方案中通過(guò)信息采集，進(jìn)行協(xié)議還原對(duì)通信進(jìn)行準(zhǔn)入管理，阻斷攻擊；終端安全中實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制、程序準(zhǔn)入控制、硬件準(zhǔn)入控制。

2013年12月中國(guó)和韓國(guó)互聯(lián)網(wǎng)圓桌會(huì)議在韓國(guó)首爾舉行，會(huì)議的主題是“互聯(lián)網(wǎng)的發(fā)展與安全”倡導(dǎo)共同維護(hù)網(wǎng)絡(luò)空間安全：一是共同維護(hù)網(wǎng)絡(luò)主權(quán)安全，將互聯(lián)網(wǎng)納入到聯(lián)合國(guó)多邊治理框架下，構(gòu)建和平共處、互利共贏的網(wǎng)絡(luò)主權(quán)安全新秩序；二是共同維護(hù)信息安全，加強(qiáng)網(wǎng)絡(luò)信息安全合作，打擊網(wǎng)絡(luò)不法行為，讓信息安全有序流動(dòng)；三是共同維護(hù)隱私安全，加大個(gè)人信息保護(hù)力度，讓互聯(lián)網(wǎng)成為安全網(wǎng)、放心網(wǎng)；四是共同維護(hù)技術(shù)安全，希望加強(qiáng)與韓方合作，推動(dòng)核心技術(shù)、關(guān)鍵設(shè)備、移動(dòng)終端等方面攻關(guān)，為互聯(lián)網(wǎng)保駕護(hù)。

中國(guó)網(wǎng)絡(luò)安全大會(huì)（NSC2013）研究到移動(dòng)終端安全接入問(wèn)題，移動(dòng)/BYOD設(shè)備打開(kāi)了一個(gè)全新的攻擊層面，黑客能夠利用這些可尋漏洞進(jìn)入到企業(yè)網(wǎng)絡(luò)中，從而獲取到所需的數(shù)據(jù)。黑客使用不同的技術(shù)對(duì)移動(dòng)/BYOD設(shè)備發(fā)動(dòng)惡意攻擊，通過(guò)種種感染方式（例如MMS、SMS、email、藍(lán)牙、WiFi、用戶安裝、自安裝、內(nèi)存卡分配和USB）和拒絕服務(wù)的攻擊方式（例如藍(lán)牙劫持、SMS拒絕、不完整的OEBX信息、不完整的格式字符串和SMS信息）來(lái)部署惡意軟件（例如病毒、蠕蟲(chóng)、特諾伊木馬和間諜程序），還有發(fā)動(dòng)移動(dòng)消息攻擊（例如短信詐騙、短信垃圾、惡意短信內(nèi)容、SMS/MMS漏洞利用）。

3 煙草商業(yè)企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)和互聯(lián)網(wǎng)接入方式的分析

就全煙草行業(yè)而言，由于互聯(lián)網(wǎng)的接入形式多種多樣，因此項(xiàng)目在設(shè)計(jì)過(guò)程中要考慮多個(gè)方面比如企業(yè)本地互聯(lián)網(wǎng)接入、虛擬專用網(wǎng)接入VPN、虛擬化互聯(lián)網(wǎng)接入、來(lái)賓訪客接入等等。接入的終端類(lèi)型包括計(jì)算機(jī)PC終端、筆記本、瘦客戶機(jī)、智能手機(jī)、平板電腦等等。接入過(guò)程中我們要綜合考慮，以便能夠適應(yīng)以上接入形式和終端類(lèi)型。

3.1 本地光纖接入

光纖是寬帶網(wǎng)絡(luò)中多種傳輸媒介中最理想的一種，它的特點(diǎn)是傳輸容量大、傳輸質(zhì)量好、損耗小、中繼距離長(zhǎng)等。

3.2 無(wú)線接入

無(wú)線接入技術(shù)（也稱空中接口）是無(wú)線通信的關(guān)鍵問(wèn)題。它是指通過(guò)無(wú)線介質(zhì)將用戶終端與網(wǎng)絡(luò)節(jié)點(diǎn)連接起來(lái)，以實(shí)現(xiàn)用戶與網(wǎng)絡(luò)間的信息傳遞。無(wú)線信道傳輸?shù)男盘?hào)應(yīng)遵循一定的協(xié)議，這些協(xié)議即構(gòu)成無(wú)線接入技術(shù)的主要內(nèi)容。無(wú)線接入技術(shù)與有線接入技術(shù)的一個(gè)重要區(qū)別在于可以向用戶提供移動(dòng)接入業(yè)務(wù)。

3.3 VPN接入

虛擬專用網(wǎng)絡(luò)（Virtual Private Network，簡(jiǎn)稱VPN）指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。其之所以稱為虛擬網(wǎng)，主要是因?yàn)檎麄€(gè)VPN網(wǎng)絡(luò)的任意兩個(gè)節(jié)點(diǎn)之間的連接并沒(méi)有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺(tái)。

3.4 移動(dòng)互聯(lián)網(wǎng)技術(shù)

隨著智能手機(jī)、平板電腦等移動(dòng)設(shè)備的出現(xiàn)，移動(dòng)平臺(tái)開(kāi)始進(jìn)入大眾市場(chǎng)，為移動(dòng)電子商務(wù)、移動(dòng)電子政務(wù)的發(fā)展提供了極大的成長(zhǎng)空間，移動(dòng)應(yīng)用已成為企業(yè)創(chuàng)新管理模式的一種趨勢(shì)。

目前移動(dòng)互聯(lián)網(wǎng)的三種商業(yè)模式都源自于門(mén)戶模式的成功實(shí)踐：一是“平臺(tái)+服務(wù)”模式，定位于價(jià)值鏈控制力；二是“終端+應(yīng)用”模式，定位于用戶需求整體解決方案；三是“軟件+門(mén)戶”模式，定位于最佳產(chǎn)品服務(wù)。門(mén)戶模式已成為運(yùn)營(yíng)商、終端廠商、信息服務(wù)提供商的戰(zhàn)略選擇。不同領(lǐng)域的企業(yè)均在基于自身業(yè)務(wù)體系和競(jìng)爭(zhēng)優(yōu)勢(shì)構(gòu)建具有主導(dǎo)權(quán)的商業(yè)模式，以應(yīng)對(duì)網(wǎng)絡(luò)融合趨勢(shì)給移動(dòng)互聯(lián)網(wǎng)發(fā)展帶來(lái)的不確定性和競(jìng)爭(zhēng)。

3.5 虛擬化模式

虛擬化，原本是指資源的抽象化，也就是單一物理資源的多個(gè)邏輯表示，或者多個(gè)物理資源的單一邏輯表示，是對(duì)真實(shí)計(jì)算環(huán)境的抽象和模擬。①

4 關(guān)鍵控制環(huán)節(jié)

通過(guò)各種接入方式的脆弱性和潛在的威脅分析；得出風(fēng)險(xiǎn)列表和各風(fēng)險(xiǎn)的重要程度、控制難度等。風(fēng)險(xiǎn)控制和管理主要指用戶接入網(wǎng)絡(luò)和接入互聯(lián)網(wǎng)兩個(gè)部分。接入過(guò)程的安全風(fēng)險(xiǎn)包括非法用戶訪問(wèn)、網(wǎng)絡(luò)蠕蟲(chóng)攻擊、攜帶病毒不安全狀態(tài)電腦接入、數(shù)據(jù)泄露等的呢；在接入互聯(lián)網(wǎng)過(guò)程中安全風(fēng)險(xiǎn)包括非授權(quán)訪問(wèn)互聯(lián)網(wǎng)、訪問(wèn)非法網(wǎng)站、非法占用企業(yè)互聯(lián)網(wǎng)資源、非法下載、行為未記錄審計(jì)等等。

針對(duì)以上安全風(fēng)險(xiǎn)，必須要實(shí)現(xiàn)風(fēng)險(xiǎn)控制和管理，風(fēng)險(xiǎn)控制機(jī)管理主要集中的兩個(gè)環(huán)節(jié)，第一環(huán)節(jié)為網(wǎng)絡(luò)接入環(huán)節(jié)，第二環(huán)節(jié)為互聯(lián)網(wǎng)接入環(huán)節(jié)。

第一環(huán)節(jié)網(wǎng)絡(luò)接入控制環(huán)節(jié)：

移動(dòng)用戶接入及其身份認(rèn)證：網(wǎng)絡(luò)準(zhǔn)入管理；網(wǎng)絡(luò)IP-MAC管理；終端安全管理；MDM安全管理。

第二環(huán)節(jié)互聯(lián)網(wǎng)接入控制環(huán)節(jié)：

上網(wǎng)行為身份管理；上網(wǎng)行為訪問(wèn)管理；流量控制與管理；行為安全審計(jì)。

5 目前可用的接入安全管理技術(shù)

5.1 網(wǎng)絡(luò)IP-MAC地址管理技術(shù)

支持DHCP+邊界準(zhǔn)入和訪客授權(quán)控制功能。系統(tǒng)原理是在終端通過(guò)DHCP請(qǐng)求分配地址時(shí)，進(jìn)行準(zhǔn)入控制，適用于任何通過(guò)DHCP分配IP地址的網(wǎng)絡(luò)，易于安裝和配置。

通過(guò)對(duì)MAC動(dòng)態(tài)授權(quán)操作，進(jìn)行接入控制。可以將接入客戶端，按安全級(jí)別分為永久授權(quán)客戶端（分配固定IP地址）、永久授權(quán)客戶端（分配動(dòng)態(tài)IP地址）、臨時(shí)授權(quán)客戶端、未授權(quán)客戶端。

5.2 網(wǎng)絡(luò)接入認(rèn)證控制技術(shù)

網(wǎng)絡(luò)接入控制管理能夠強(qiáng)制提升企業(yè)網(wǎng)絡(luò)終端的接入安全，保證企業(yè)網(wǎng)絡(luò)保護(hù)機(jī)制不被間斷，使網(wǎng)絡(luò)安全得到更有效提升。與此同時(shí)基于設(shè)備接入控制網(wǎng)關(guān)，還可以對(duì)于遠(yuǎn)程接入企業(yè)內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)進(jìn)行身份、唯一性及安全認(rèn)證。

可通過(guò)UAC代理或UAC無(wú)代理模式來(lái)收集用戶權(quán)限、端點(diǎn)安全狀態(tài)和設(shè)備位置數(shù)據(jù)，以便制訂動(dòng)態(tài)接入和安全策略并且指揮整個(gè)網(wǎng)絡(luò)中的執(zhí)行點(diǎn)去執(zhí)行這些策略。②

5.3 VPN技術(shù)

SSL VPN是解決遠(yuǎn)程用戶訪問(wèn)敏感公司數(shù)據(jù)最簡(jiǎn)單最安全的解決技術(shù)。SSL協(xié)議可分為兩層：SSL記錄協(xié)議（SSL Record Protocol）：它建立在可靠的傳輸協(xié)議（如TCP）之上，為高層協(xié)議提供數(shù)據(jù)封裝、壓縮、加密等基本功能的支持。SSL握手協(xié)議（SSL Handshake Protocol）：它建立在SSL記錄協(xié)議之上，用于在實(shí)際的數(shù)據(jù)傳輸開(kāi)始前，通訊雙方進(jìn)行身份認(rèn)證、協(xié)商加密算法、交換加密密鑰等。

5.4 終端安全檢查

終端安全管理包括兩部分，第一是普通計(jì)算機(jī)終端安全檢查（臺(tái)式機(jī)、筆記本、瘦客戶端等），第二類(lèi)是移動(dòng)終端安全檢查（智能手機(jī)、IPAD等）。計(jì)算機(jī)終端安全管理至少應(yīng)當(dāng)實(shí)現(xiàn)終端安全修復(fù)、終端訪問(wèn)控制、桌面管理、安全審計(jì)、移動(dòng)存儲(chǔ)管理一體化管理、簡(jiǎn)單易維護(hù)。

內(nèi)容包括：.終端安全控制、桌面合規(guī)管理、終端泄密控制、終端審計(jì)、設(shè)備注冊(cè)與分組管理、設(shè)備管理以及應(yīng)用管理等。

5.5 上網(wǎng)行為管理技術(shù)

對(duì)企業(yè)內(nèi)訪問(wèn)互聯(lián)網(wǎng)用戶進(jìn)行行為控制與管理。提供專業(yè)的用戶管理、應(yīng)用控制、網(wǎng)頁(yè)過(guò)濾、內(nèi)容審計(jì)、流量管理和行為分析等功能。實(shí)現(xiàn)上網(wǎng)行為可視、減少安全風(fēng)險(xiǎn)，減少信息泄密、遵從法律法規(guī)、提升工作效率、優(yōu)化帶寬資源。

對(duì)移動(dòng)上網(wǎng)實(shí)現(xiàn)管理，必須基于人、應(yīng)用、內(nèi)容、終端、位置五個(gè)維度進(jìn)行有效識(shí)別和控制。在行為管理領(lǐng)域完整引入終端、區(qū)域信息，并可針對(duì)訪客進(jìn)行有效的準(zhǔn)入和管控。

5.6 流量控制與管理

基于網(wǎng)絡(luò)的流量現(xiàn)狀和流量管控策略，對(duì)數(shù)據(jù)流進(jìn)行識(shí)別分類(lèi)，并實(shí)施流量控制、優(yōu)化和對(duì)關(guān)鍵IT應(yīng)用進(jìn)行保障的相關(guān)技術(shù)。包括：應(yīng)用封堵、流量限速、每用戶帶寬上限、流量限額和連接控制等手段。

6 有效的風(fēng)險(xiǎn)管控模式

通過(guò)“統(tǒng)一認(rèn)證、統(tǒng)一策略、統(tǒng)一管理、統(tǒng)一網(wǎng)絡(luò)”的思路管控實(shí)現(xiàn)較為有效的風(fēng)險(xiǎn)管控模式。

6.1 統(tǒng)一認(rèn)證

統(tǒng)一認(rèn)證主要采用相同的用戶認(rèn)證數(shù)據(jù)庫(kù)，在企業(yè)建立互聯(lián)網(wǎng)接入的認(rèn)證數(shù)據(jù)庫(kù)，數(shù)據(jù)庫(kù)內(nèi)涵蓋移動(dòng)用戶、本地企業(yè)用戶的所有認(rèn)證信息，當(dāng)一個(gè)用戶采用多種終端訪問(wèn)互聯(lián)網(wǎng)時(shí)，保持身份認(rèn)證的唯一性。

身份認(rèn)證一般與授權(quán)控制策略是相互聯(lián)系的，授權(quán)控制是指一旦用戶的身份通過(guò)認(rèn)證以后，確定哪些資源該用戶可以訪問(wèn)、可以進(jìn)行何種方式的訪問(wèn)操作等問(wèn)題。

（1）用戶使用在統(tǒng)一認(rèn)證服務(wù)注冊(cè)的用戶名和密碼登陸統(tǒng)一認(rèn)證服務(wù)；（2）統(tǒng)一認(rèn)證服務(wù)創(chuàng)建了一個(gè)會(huì)話，同時(shí)將與該會(huì)話關(guān)聯(lián)的訪問(wèn)認(rèn)證令牌返回給用戶；（3）用戶使用這個(gè)訪問(wèn)認(rèn)證令牌訪問(wèn)某個(gè)支持統(tǒng)一身份認(rèn)證服務(wù)的應(yīng)用系統(tǒng)；（4）該應(yīng)用系統(tǒng)將訪問(wèn)認(rèn)證令牌傳入統(tǒng)一身份認(rèn)證服務(wù)，認(rèn)證訪問(wèn)認(rèn)證令牌的有效性；（5）統(tǒng)一身份認(rèn)證服務(wù)確認(rèn)認(rèn)證令牌的有效性；（6）應(yīng)用系統(tǒng)接收訪問(wèn)，并返回訪問(wèn)結(jié)果，如果需要提高訪問(wèn)效率的話，應(yīng)用系統(tǒng)可選擇返回其自身的認(rèn)證令牌已使得用戶之后可以使用這個(gè)私有令牌持續(xù)訪問(wèn)。

6.2 統(tǒng)一策略

統(tǒng)一策略平臺(tái)和分布式實(shí)施，其特點(diǎn)包括：（1）覆蓋有線.無(wú)線和 VPN的單一業(yè)務(wù)策略，托管和自帶設(shè)備資產(chǎn)，以及MDM集成；（2）基于情景的控制（包括何時(shí)、何處、何人、何事），應(yīng)用可視性與控制，以及高級(jí)分段；（3）特定于用戶的服務(wù)，包括自助入網(wǎng).訪客處理和基于位置的服務(wù)等。

6.3 統(tǒng)一管理

一種統(tǒng)一接入管理平臺(tái)，同時(shí)適用于網(wǎng)絡(luò)和移動(dòng)性，其特點(diǎn)包括：（1）全面的可視性：采用單一平臺(tái).以用戶和設(shè)備為中心的視角，且涵蓋了用戶、設(shè)備、位置和狀態(tài)等多方面；（2）運(yùn)營(yíng)高效性：構(gòu)建于自動(dòng)設(shè)置和可編程網(wǎng)絡(luò)的基礎(chǔ)之上；（3）更低的TCO：通過(guò)直觀的故障排除，服務(wù)保證和能源管理節(jié)省時(shí)間。

注釋

①?gòu)臄?shù)據(jù)中心的 XenServer（微軟的Hyper-V和VMware 的ESXi）服務(wù)器虛擬化到XenDesktop桌面虛擬化（Vmware VDI和微軟MED-V），再到XenAPP應(yīng)用程序虛擬化（微軟APP-V）。

②這些執(zhí)行點(diǎn)可以是廠商中立的、基于802.1X的任何接入點(diǎn)和交換機(jī)（如EX系列以太網(wǎng)交換機(jī)）；也可以是網(wǎng)絡(luò)防火墻平臺(tái)。

參考文獻(xiàn)

[1]袁浩.Internet接入·網(wǎng)絡(luò)安全[M].電子工業(yè)出版社，2011.

[2]趙洪林.淺析計(jì)算機(jī)網(wǎng)絡(luò)安全[J].林業(yè)科技情報(bào)，2010（1）.

[3]付婧一.現(xiàn)階段我國(guó)網(wǎng)絡(luò)問(wèn)政存在的問(wèn)題及其對(duì)策思考[D].東北師范大學(xué)，2013.

[4]李楠.內(nèi)網(wǎng)安全管理系統(tǒng)中安全評(píng)估技術(shù)的研究與實(shí)現(xiàn)[D].北京郵電大學(xué)，2011.

[5]向波.某涉密企業(yè)內(nèi)網(wǎng)安全管理策略的研究[D].電子科技大學(xué)，2010.

[6]洪躍強(qiáng).內(nèi)網(wǎng)終端數(shù)據(jù)安全防護(hù)解決方案[J].海峽科學(xué)，2010（10）.

[7]張賢坤.基于案例推理的應(yīng)急決策方法研究[D].天津大學(xué)，2012.

[8]馬林.例述網(wǎng)絡(luò)接入安全[J].科技信息，2014（1）.