蘇顥

摘要：通過(guò)實(shí)施網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，把企業(yè)安全策略滲透到內(nèi)部網(wǎng)絡(luò)的每一個(gè)角落，使企業(yè)信息系統(tǒng)維護(hù)改變了以往被動(dòng)的工作狀態(tài)，提高了信息安全水平，為企業(yè)平穩(wěn)運(yùn)行打下了良好的基礎(chǔ)。

關(guān)鍵詞：安全策略； 網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)； 信息安全 A

進(jìn)入二十一世紀(jì)，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)飛速發(fā)展，在給人們帶來(lái)便利的同時(shí)也產(chǎn)生了眾多的安全問(wèn)題。據(jù)FBI（Federal Bureau of Investigation 美國(guó)聯(lián)邦調(diào)查局）和CSI（Computer Security Institute 計(jì)算機(jī)安全學(xué)會(huì)）對(duì)世界上484家大公司調(diào)查，發(fā)現(xiàn)企業(yè)的信息安全最大的隱患是來(lái)自于企業(yè)內(nèi)部，而不是通過(guò)黑客攻擊等外部手段泄漏了企業(yè)的機(jī)要信息。另?yè)?jù)權(quán)威機(jī)構(gòu)調(diào)查，在所有的安全事件中，有超過(guò)70%是發(fā)生在內(nèi)部網(wǎng)絡(luò)（內(nèi)網(wǎng)）上的，隨著網(wǎng)絡(luò)的龐大化和復(fù)雜化，這一比例仍有增長(zhǎng)趨勢(shì)，企業(yè)內(nèi)網(wǎng)信息安全面臨著前所未有的挑戰(zhàn)。如何凈化內(nèi)網(wǎng)的環(huán)境，保障網(wǎng)絡(luò)正常運(yùn)行成為企業(yè)信息化建設(shè)有待解決的首要問(wèn)題。

一. 企業(yè)內(nèi)部網(wǎng)絡(luò)現(xiàn)狀

企業(yè)內(nèi)部網(wǎng)絡(luò)經(jīng)過(guò)幾年的完善，已經(jīng)發(fā)展成為擁有千余個(gè)客戶端、10余種功用的局域網(wǎng)。尤其是近幾年，隨著ERP、LIMS等大型軟件的應(yīng)用，計(jì)算機(jī)應(yīng)用真正融入了企業(yè)的生產(chǎn)管理中，成為企業(yè)生產(chǎn)運(yùn)營(yíng)不可缺少的一部分。隨著企業(yè)信息化建設(shè)的不斷深入，企業(yè)信息安全的問(wèn)題也越來(lái)越重要。主要體現(xiàn)在以下幾個(gè)方面：

1、 非法外聯(lián)問(wèn)題：企業(yè)有大量的合作伙伴，經(jīng)常需要接入到單位網(wǎng)絡(luò)，很容易偽造成一臺(tái)內(nèi)網(wǎng)中的機(jī)器接入；

2、 內(nèi)網(wǎng)機(jī)器安檢問(wèn)題：系統(tǒng)沒(méi)有補(bǔ)丁漏洞，殺毒軟件沒(méi)有及時(shí)的更新，終端用戶的賬號(hào)密碼太簡(jiǎn)單等；

3、 入網(wǎng)審計(jì)問(wèn)題：原有的審計(jì)系統(tǒng)只能針對(duì)IP進(jìn)行審計(jì)，地點(diǎn)和安全狀況等信息無(wú)法統(tǒng)計(jì)；

4、 終端安全修復(fù)問(wèn)題：現(xiàn)有系統(tǒng)無(wú)法保障企業(yè)內(nèi)部終端時(shí)刻處于安全健康的狀態(tài)，也無(wú)法對(duì)非健康狀態(tài)的設(shè)備進(jìn)行安全修復(fù)。

針對(duì)以上問(wèn)題，企業(yè)已經(jīng)采取了不少措施，包括制定嚴(yán)密的信息安全管理規(guī)定，部署防病毒系統(tǒng)、桌面安全管理系統(tǒng)，定期開(kāi)展信息安全培訓(xùn)等。雖然取得了部分成效，但是問(wèn)題并沒(méi)有得到徹底解決。

二. 網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的功能簡(jiǎn)介

網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)是一個(gè)全方位的網(wǎng)絡(luò)終端接入和邊界管理系統(tǒng)，實(shí)現(xiàn)了“不改變網(wǎng)絡(luò)架構(gòu)，靈活安裝客戶端”的方便性部署；通過(guò)流程化的安全管理方式，實(shí)現(xiàn)了“違規(guī)不入網(wǎng)，入網(wǎng)必合規(guī)”的網(wǎng)絡(luò)安全管理目標(biāo)，大大提高了企業(yè)信息安全水平。

1.網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)主要組件有：

終端安全檢查軟件 — 主要負(fù)責(zé)對(duì)接入的終端進(jìn)行主機(jī)健康檢查和進(jìn)行網(wǎng)絡(luò)接入認(rèn)證。

網(wǎng)絡(luò)接入設(shè)備 — 實(shí)施準(zhǔn)入控制的網(wǎng)絡(luò)設(shè)備。這些設(shè)備接受主機(jī)委托，然后將信息傳送到策略服務(wù)器，在那里實(shí)施網(wǎng)絡(luò)準(zhǔn)入控制決策。

策略/AAA服務(wù)器——策略服務(wù)器負(fù)責(zé)評(píng)估來(lái)自網(wǎng)絡(luò)設(shè)備的端點(diǎn)安全信息，并決定應(yīng)該使用哪種接入策略（接入、拒絕、隔離或修復(fù)）。

2.網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)工作原理：

網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)能夠?qū)W(wǎng)絡(luò)使用、安全管理中的各種元素，采用四個(gè)維度進(jìn)行 管控，包括：終端、網(wǎng)絡(luò)、人員、管理。通過(guò)四個(gè)維度的管控從而實(shí)現(xiàn)了終端、網(wǎng)絡(luò)使用的過(guò)程化管理， 包括：網(wǎng)絡(luò)終端設(shè)備和人員的雙重授權(quán)——終端的安全檢查與修復(fù)——訪問(wèn)權(quán)限的管理——終端的持續(xù)安全監(jiān)控。

當(dāng)終端設(shè)備接入網(wǎng)絡(luò)時(shí)，首先和網(wǎng)絡(luò)接入設(shè)備（如：交換機(jī)、無(wú)線AP、VPN等）進(jìn)行交互通訊。然后，網(wǎng)絡(luò)接入設(shè)備將終端信息發(fā)給策略/AAA服務(wù)器，對(duì)接入終端和終端使用者進(jìn)行檢查；即使用戶有權(quán)進(jìn)入網(wǎng)絡(luò)，但是他們所使用的計(jì)算機(jī)也可能因?yàn)閿y帶病毒或者蠕蟲(chóng)不適合接入內(nèi)部網(wǎng)絡(luò)，任何一項(xiàng)不符都會(huì)造成終端設(shè)備無(wú)法正常訪問(wèn)網(wǎng)絡(luò)。最后，接入終端符合策略/AAA服務(wù)器上定義的策略后， 策略/AAA服務(wù)器會(huì)通知網(wǎng)絡(luò)接入設(shè)備，對(duì)終端進(jìn)行授權(quán)和訪問(wèn)控制。利用網(wǎng)絡(luò)準(zhǔn)入控制，企業(yè)能夠減少病毒和蠕蟲(chóng)對(duì)企業(yè)運(yùn)作的干擾，因?yàn)樗軌蚍乐挂讚p主機(jī)接入正常網(wǎng)絡(luò)。在主機(jī)接入正常網(wǎng)絡(luò)之前，準(zhǔn)入系統(tǒng)能夠檢查它是否符合企業(yè)最新制定的防病毒和操作系統(tǒng)補(bǔ)丁策略?？梢芍鳈C(jī)或有問(wèn)題的主機(jī)將被隔離或限制網(wǎng)絡(luò)接入范圍，直到它經(jīng)過(guò)修補(bǔ)或采取了相應(yīng)的安全措施為止，這樣不但可以防止這些主機(jī)成為蠕蟲(chóng)和病毒攻擊的目標(biāo)，還可以防止這些主機(jī)成為傳播病毒的源頭。

三. 網(wǎng)絡(luò)準(zhǔn)入控制部署后的效果

基于企業(yè)復(fù)雜的網(wǎng)絡(luò)環(huán)境，我們采用分布式部署方式并引入企業(yè)原有的域控系統(tǒng)來(lái)進(jìn)行用戶的身份認(rèn)證。隨后，我們根據(jù)企業(yè)信息系統(tǒng)的具體情況和測(cè)試階段得出的數(shù)據(jù)制定了相應(yīng)的安全策略；同時(shí)，還對(duì)企業(yè)部署的其它信息安全系統(tǒng)進(jìn)行綁定，做到優(yōu)勢(shì)互補(bǔ)，統(tǒng)一實(shí)施。安全策略保證系統(tǒng)實(shí)施完畢后，以前的問(wèn)題得到了有效的解決。

1.確保接入網(wǎng)絡(luò)的客戶機(jī)符合企業(yè)安全管理的要求。

2.防止非法的外來(lái)電腦接入網(wǎng)絡(luò)，影響內(nèi)網(wǎng)的安全。

3.協(xié)助管理員解決內(nèi)部用戶私自接HUB等不安全的行為。

4.有效防止感染病毒、木馬的桌面電腦和筆記本電腦直接接入內(nèi)部網(wǎng)絡(luò)，影響網(wǎng)絡(luò)的正常運(yùn)行。

我們使用網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的宗旨就是，防止非法用戶、病毒、蠕蟲(chóng)、新興黑客技術(shù)等對(duì)企業(yè)信息安全所造成的危害，只允許合法、安全的設(shè)備接入網(wǎng)絡(luò)。

四.總結(jié)

網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)讓企業(yè)網(wǎng)絡(luò)系統(tǒng)不再是“公共場(chǎng)所”，通過(guò)網(wǎng)絡(luò)設(shè)備在接入端口處強(qiáng)制實(shí)施安全策略，只允許合法的、值得信任的終端設(shè)備（例如PC、服務(wù)器、PDA）接入網(wǎng)絡(luò)，使企業(yè)信息安全策略體現(xiàn)在企業(yè)網(wǎng)絡(luò)的每個(gè)角落，大大提高了企業(yè)信息安全水平。通過(guò)網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)與其它信息安全產(chǎn)品的整合，形成一個(gè)更加強(qiáng)勢(shì)的互補(bǔ)，為濟(jì)南分公司信息安全提供更加可靠的保障。endprint