趙志平

摘 要：企業(yè)管理引入了計(jì)算機(jī)，只有全面保證安全，才能實(shí)現(xiàn)企業(yè)現(xiàn)代化管理目標(biāo)。網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)是企業(yè)實(shí)現(xiàn)終端安全管理的重要途徑，有助于彌補(bǔ)防火墻、入侵檢測(cè)等網(wǎng)絡(luò)安全系統(tǒng)不足。文章簡(jiǎn)述網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)及工作原理，進(jìn)一步提出了實(shí)現(xiàn)路徑。

關(guān)鍵詞：網(wǎng)絡(luò)準(zhǔn)入控制；技術(shù)應(yīng)用；企業(yè)網(wǎng)絡(luò)

中圖分類號(hào)：F407.61 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：2095-2945（2018）35-0185-02

Abstract： The enterprise management has introduced the computer， only then guarantees the security comprehensively， can realize the enterprise modernization management goal. Network access control technology is an important way for enterprises to realize terminal security management， which is helpful to make up the deficiency of network security system such as firewall and intrusion detection. This paper briefly describes the network access control technology and working principle， and further proposes the implementation path.

Keywords： network access control； technology application； enterprise network

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)不斷創(chuàng)新發(fā)展，推動(dòng)并實(shí)現(xiàn)了企業(yè)的無(wú)紙化辦公，大大提升了企業(yè)的高效管理?？梢哉f(shuō)，現(xiàn)代企業(yè)要想全面發(fā)展，離不開安全的管理能力與措施，通過(guò)安全管理，能夠全面提高企業(yè)工作效率，提高企業(yè)管理能力，保證企業(yè)管理的高效運(yùn)行。計(jì)算機(jī)網(wǎng)絡(luò)管理是企業(yè)管理的常態(tài)化，要想保證安全，避免終端惡意程序感染，則需要通過(guò)企業(yè)網(wǎng)絡(luò)終端接入，實(shí)現(xiàn)企業(yè)安全管理效果，網(wǎng)絡(luò)接入時(shí)，通過(guò)身份認(rèn)證與終端安全檢查，實(shí)現(xiàn)安全運(yùn)行的目標(biāo)。網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)主要是根據(jù)安全理念設(shè)計(jì)的，將身份認(rèn)證、終端安全和網(wǎng)絡(luò)控制做好串聯(lián)，形成一個(gè)整體的安全防護(hù)系統(tǒng)。企業(yè)管理涉及到辦公電腦、服務(wù)器、手持終端等各種設(shè)備，只有全面介入網(wǎng)絡(luò)身份識(shí)別系統(tǒng)，才能保證管理環(huán)節(jié)的安全性，使企業(yè)網(wǎng)絡(luò)安全性得到綜合提升。

1 概述

1.1 企業(yè)終端安全管理

企業(yè)管理終端設(shè)備較復(fù)雜，終端是網(wǎng)絡(luò)行為執(zhí)行者，也是網(wǎng)絡(luò)行為發(fā)起者，更是網(wǎng)絡(luò)信息實(shí)現(xiàn)交流的重要部分，終端有著重要的作用，所以說(shuō)，只有全面保證終端安全，形成有效的安全防護(hù)瓶頸，才能保證各種信息的安全性。計(jì)算機(jī)網(wǎng)絡(luò)安全越來(lái)越被人們重視，沒(méi)有安全則企業(yè)信息就會(huì)泄漏，影響企業(yè)效益的實(shí)現(xiàn)，網(wǎng)絡(luò)安全問(wèn)題一直影響著企業(yè)的發(fā)展，沒(méi)有安全就沒(méi)有保障，為了提高企業(yè)管理效率，保證企業(yè)管理質(zhì)量，企業(yè)投入大量的資金與精力，全面提升安全質(zhì)量，特別是在防火墻、入侵檢測(cè)等方面，企業(yè)做出了更大的投入，使網(wǎng)絡(luò)邊界防護(hù)更加可靠。企業(yè)管理出現(xiàn)問(wèn)題，大數(shù)據(jù)情況是安全問(wèn)題，計(jì)算機(jī)自身軟硬件安全、運(yùn)行安全、信息管理安全均給企業(yè)管理帶來(lái)影響。

1.2 安全管理現(xiàn)狀

當(dāng)前，多數(shù)企業(yè)為了自身的安全，均進(jìn)行了安全防護(hù)創(chuàng)建，不斷通過(guò)軟件的更新與開發(fā)，有效構(gòu)建起了網(wǎng)絡(luò)安全系統(tǒng)，雖然企業(yè)非常重視安全問(wèn)題，但還是出現(xiàn)了一些信息的泄漏，使企業(yè)管理受到威脅。企業(yè)在網(wǎng)絡(luò)出口部署防火墻、IPS、防病毒、防毒墻等安全設(shè)備，無(wú)法阻止各種新式病毒入侵，各類網(wǎng)絡(luò)安全事件層出不窮，威脅著企業(yè)的管理信息。為了減少重復(fù)運(yùn)行，一些企業(yè)建立起了方便快捷的內(nèi)部網(wǎng)，而內(nèi)部網(wǎng)絡(luò)接入多是采用開放式網(wǎng)絡(luò)架構(gòu)，在企業(yè)業(yè)務(wù)開展上實(shí)現(xiàn)了便捷，但也帶來(lái)了安全風(fēng)險(xiǎn)，安全防護(hù)能力跟不上病毒、木馬、蠕蟲及黑客的更新速度，企業(yè)面臨更大的威脅，信息入侵導(dǎo)致企業(yè)網(wǎng)絡(luò)癱瘓。

1.3 設(shè)備使用問(wèn)題

企業(yè)內(nèi)部終端設(shè)備分布在各個(gè)場(chǎng)所，設(shè)備數(shù)量大，管理難度大，對(duì)設(shè)備使用人員沒(méi)有嚴(yán)格的管理，還有一些企業(yè)人員流動(dòng)大，使企業(yè)設(shè)備安全得不到保障。使用人員的個(gè)人水平與素質(zhì)也參次不齊，一些企業(yè)人員安全意識(shí)不強(qiáng)，出現(xiàn)了偽造用戶登錄、濫用資源、病毒木馬攻擊、隨意安裝應(yīng)用程序、信息泄密、網(wǎng)絡(luò)連接威脅、惡意破壞終端等安全問(wèn)題，給企業(yè)帶來(lái)了許多安全隱患，嚴(yán)重威脅著企業(yè)信息安全，只有全面提高管理能力，引進(jìn)先進(jìn)的網(wǎng)絡(luò)技術(shù)，才能使企業(yè)終端設(shè)備安全得到保障，進(jìn)一步提高企業(yè)網(wǎng)絡(luò)安全防御能力。

2 引入與工作原理

2.1 安全管理的引入

隨著技術(shù)的創(chuàng)新發(fā)展，當(dāng)前網(wǎng)絡(luò)安全問(wèn)題成為最大的問(wèn)題，在安全得不到保證的情況下，企業(yè)信息泄漏成為必然，企業(yè)管理安全得不到保證。為了有效提高企業(yè)管理能力，各種匹配的防火墻、VPN、IDS、殺毒軟件及IPS等軟件不斷更新，投入了大量的資金與精力，但網(wǎng)絡(luò)安全還是得不到保證，企業(yè)信息泄漏時(shí)有發(fā)生。為了全面解決安全問(wèn)題，技術(shù)領(lǐng)域更新觀念，不斷創(chuàng)新研發(fā)。自20世紀(jì)90年代起，發(fā)達(dá)國(guó)家就提出了先進(jìn)的理念，率先把可信計(jì)算、主動(dòng)防御做為開發(fā)的方向，通過(guò)理念的更新，使計(jì)算機(jī)軟件開發(fā)更加科學(xué)合理。先進(jìn)的理念認(rèn)為計(jì)算機(jī)安全問(wèn)題應(yīng)回歸終端，倡導(dǎo)研究以終端為核心的安全防御技術(shù)，這樣就能夠大大解決信息安全問(wèn)題。由思科發(fā)起的安全方式，得到了眾多廠商的主動(dòng)積極參與，使網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)計(jì)劃得到推廣，有效解決了終端安全控制。網(wǎng)絡(luò)準(zhǔn)入控制是一個(gè)全新的理念，通過(guò)準(zhǔn)入控制，全面防止蠕蟲和病毒等黑客攻擊，使電腦的安全性更加可靠，網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)經(jīng)授權(quán)后，使終端設(shè)備更加安全、合法，確保了接入的計(jì)算機(jī)是安全的、值得信任的，全面提高了終端設(shè)備接入企業(yè)網(wǎng)絡(luò)的質(zhì)量，對(duì)于沒(méi)有授權(quán)的終端設(shè)備則不允許接入網(wǎng)絡(luò)，實(shí)現(xiàn)了接入的安全統(tǒng)一管理，保證了企業(yè)管理安全。

2.2 工作原理

網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)有自身的工作原理，是一整套系統(tǒng)的安全措施，準(zhǔn)入接入主要是將內(nèi)網(wǎng)安全防護(hù)策略劃分為內(nèi)網(wǎng)邊界安全防護(hù)、安全威脅防護(hù)及外網(wǎng)移動(dòng)用戶安全接入防護(hù)三個(gè)方面，形成并建立起一個(gè)安全的統(tǒng)一架構(gòu)，各部分發(fā)揮各自的功能作用，提高了安全性。

內(nèi)網(wǎng)邊界安全防護(hù)主要是對(duì)內(nèi)網(wǎng)以外所有安全威脅進(jìn)行防護(hù)，保證內(nèi)網(wǎng)安全運(yùn)行，內(nèi)網(wǎng)安全威脅防護(hù)主要是對(duì)網(wǎng)絡(luò)內(nèi)部所有的安全威脅進(jìn)行防護(hù)，確保內(nèi)網(wǎng)安全可靠運(yùn)行。外網(wǎng)移動(dòng)用戶安全接入防護(hù)主要是針對(duì)企業(yè)外部接入設(shè)備的管理防護(hù)，也就是說(shuō)企業(yè)內(nèi)部移動(dòng)用戶在不同網(wǎng)絡(luò)環(huán)境下的安全，只有全面建立起企業(yè)網(wǎng)絡(luò)安全防護(hù)，保證各種終端接入的安全，不斷完善管理體系，才能保障企業(yè)網(wǎng)絡(luò)運(yùn)行的安全性、可靠性。

3 技術(shù)實(shí)現(xiàn)

3.1 用戶管理

各終端的用戶并不能統(tǒng)一，但可以通過(guò)統(tǒng)一管理接入實(shí)現(xiàn)安全性，用戶區(qū)管理主要是通過(guò)安裝準(zhǔn)入控制模塊，對(duì)終端進(jìn)行控制，以此能夠?qū)崿F(xiàn)對(duì)各類用戶身份的全面精細(xì)認(rèn)證和安全檢查，通過(guò)系統(tǒng)的聯(lián)動(dòng)對(duì)用戶信息進(jìn)行話語(yǔ)，實(shí)現(xiàn)終端控制與用戶控制的整體目標(biāo)。

3.2 設(shè)備聯(lián)動(dòng)區(qū)管理

設(shè)備聯(lián)動(dòng)主要是通過(guò)終端的路由器、交換機(jī)、防火墻、IDS等進(jìn)行控制，通過(guò)有效的技術(shù)升級(jí)，做好整體改進(jìn)，確保安全策略控制區(qū)實(shí)現(xiàn)整體上的聯(lián)動(dòng)，這樣，基本數(shù)據(jù)交換、策略接收、策略執(zhí)行、網(wǎng)絡(luò)監(jiān)測(cè)就能夠快速及時(shí)的上傳，任何一個(gè)出現(xiàn)問(wèn)題的終端設(shè)備均會(huì)受到隔離，保證了整體的安全性。

3.3 資源訪問(wèn)控制策略

主要是充分利用了補(bǔ)丁服務(wù)器、防病毒服務(wù)器、DHCP服務(wù)器、終端安全策略服務(wù)器、網(wǎng)管服務(wù)器、基礎(chǔ)信息數(shù)據(jù)庫(kù)等設(shè)備做好聯(lián)動(dòng)設(shè)計(jì)，對(duì)各種信息部署實(shí)現(xiàn)精準(zhǔn)的下發(fā)、審核、訪問(wèn)和評(píng)估，身份認(rèn)證是網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的關(guān)鍵，終端用戶準(zhǔn)備接入企業(yè)網(wǎng)絡(luò)時(shí)，準(zhǔn)入模塊會(huì)主動(dòng)收集客戶端病毒版本、系統(tǒng)補(bǔ)丁、基礎(chǔ)配置等有效信息數(shù)據(jù)，自動(dòng)上傳后進(jìn)行分析認(rèn)證，這樣就能夠有效分別出非法用戶情況，網(wǎng)絡(luò)有權(quán)對(duì)非法接入用戶網(wǎng)絡(luò)拒絕。

4 企業(yè)應(yīng)用

4.1 要選擇優(yōu)質(zhì)的產(chǎn)品

為了實(shí)現(xiàn)安全性，企業(yè)必須要選擇良好的產(chǎn)品，只有產(chǎn)品具備良好的網(wǎng)絡(luò)環(huán)境適應(yīng)性，才能保證整體網(wǎng)絡(luò)安全。一般情況下，要選擇成熟的網(wǎng)絡(luò)準(zhǔn)入控制方案，實(shí)現(xiàn)快速部署、方便實(shí)用，不斷減少終端管理層級(jí)；要選擇能夠逃生的產(chǎn)品，產(chǎn)品要有拓展性，能夠隨著技術(shù)的更新而進(jìn)行性能上的擴(kuò)展，自動(dòng)形成檢查引擎升級(jí)；在性價(jià)比良好的前提下，選擇終端認(rèn)證、安全修復(fù)、訪問(wèn)控制效果好的產(chǎn)品，實(shí)現(xiàn)產(chǎn)品的一次性對(duì)接，終身服務(wù)，滿足企業(yè)發(fā)展實(shí)際需要。產(chǎn)品市場(chǎng)多元化，需要根據(jù)企業(yè)自身情況，做好產(chǎn)品的選擇，一定要使用有實(shí)力企業(yè)的產(chǎn)品。

4.2 建設(shè)步驟

要進(jìn)一步做好整體規(guī)劃，明確網(wǎng)絡(luò)準(zhǔn)入控制建設(shè)的目標(biāo)，對(duì)企業(yè)現(xiàn)存在問(wèn)題進(jìn)行梳理，全面掌握企業(yè)網(wǎng)絡(luò)存在問(wèn)題與威脅是哪些，全面深入分析網(wǎng)絡(luò)準(zhǔn)入控制保障對(duì)象，對(duì)可能出現(xiàn)的安全問(wèn)題做好事前評(píng)估，權(quán)衡利弊做好計(jì)劃。不斷減少企業(yè)管理成本的同時(shí)，保證網(wǎng)絡(luò)準(zhǔn)入控制項(xiàng)目得到落實(shí)。網(wǎng)絡(luò)準(zhǔn)入控制產(chǎn)品的設(shè)計(jì)，需要和廠商進(jìn)行溝通，綜合考慮多方面因素確認(rèn)合理的范圍。網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)是重點(diǎn)，在提前做好設(shè)計(jì)與謀劃，確定執(zhí)行點(diǎn)是非常重要的，在不影響用戶體驗(yàn)的前提下，根據(jù)自身實(shí)際情況需要選擇良好的執(zhí)行點(diǎn)。企業(yè)信息安全建設(shè)，一定要考慮到成本投資，要充分做好成本分析和測(cè)試。網(wǎng)絡(luò)準(zhǔn)入項(xiàng)目建設(shè)的成本高低通常取決于企業(yè)設(shè)計(jì)選擇，通過(guò)科學(xué)的方法對(duì)網(wǎng)絡(luò)準(zhǔn)入控制項(xiàng)目建設(shè)做好設(shè)計(jì)與調(diào)整，全面滿足企業(yè)安全需求，對(duì)于建成的安全項(xiàng)目，需要在付款前做好安全測(cè)試，確保運(yùn)行效果。制定有效的管理，使服務(wù)器、交換機(jī)、終端、交換機(jī)端口等配置能夠聯(lián)運(yùn)運(yùn)行，從而實(shí)現(xiàn)對(duì)企業(yè)網(wǎng)絡(luò)安全的全面綜合控制。

5 結(jié)束語(yǔ)

企業(yè)要想全面保證信息安全，則需要不斷引進(jìn)網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)，通過(guò)現(xiàn)代技術(shù)的應(yīng)用，對(duì)企業(yè)終端入網(wǎng)流程和標(biāo)準(zhǔn)進(jìn)行安全管理，利用技術(shù)更新與改造，不斷做好技術(shù)提升，全面有效減少網(wǎng)絡(luò)運(yùn)行的安全問(wèn)題，提升企業(yè)網(wǎng)絡(luò)終端安全管理控制能力，實(shí)現(xiàn)信息的安全可靠。

參考文獻(xiàn)：

[1]錢楊.企業(yè)網(wǎng)網(wǎng)絡(luò)準(zhǔn)入控制及終端安全防護(hù)研究[D].華南理工大學(xué)，2012.

[2]馬巖巖.網(wǎng)絡(luò)準(zhǔn)入控制讓企業(yè)網(wǎng)絡(luò)更安全[J].中國(guó)信息化，2011（10）：66-67.

[3]馬之力，閆曉斌，李方軍，等.下一代網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)研究[J].電力信息與通信技術(shù)，2015（11）：62-65.