隨著地市煙草計算機終端數(shù)量的不斷增加，防護企業(yè)網(wǎng)絡邊界，消除內(nèi)網(wǎng)終端安全隱患，確保企業(yè)內(nèi)部網(wǎng)絡的安全可控變得越來越重要。網(wǎng)絡準入控制與終端管理系統(tǒng)通過對用戶身份進行認證，對接入網(wǎng)絡的設備進行安全評估，實現(xiàn)對用戶身份、在線狀態(tài)、終端屬性的全面管理與掌握的一種技術手段。該系統(tǒng)能夠分析和彌補終端系統(tǒng)漏洞，進行用戶行為控制和應用管理，防止企業(yè)信息泄漏，避免終端遭受病毒、蠕蟲、木馬危害，解決企業(yè)計算機終端安全管理問題。

【關鍵詞】煙草 準入控制 安全防護

1 前言

隨著計算機網(wǎng)絡的日益復雜化，要保證網(wǎng)絡準入控制的成功部署，需要進行大量的前期研究工作，主要包括分析部署需求、對網(wǎng)絡設備進行評估選型、評估網(wǎng)絡準入控制系統(tǒng)是否與當前的網(wǎng)絡運行架構相適應等。

2 地市煙草網(wǎng)絡準入及終端管理的需求分析

2.1 需要對終端合法性進行檢測

由于之前的地市煙草網(wǎng)絡中，局域網(wǎng)是開放的，任何終端都能接入網(wǎng)絡中，外來設備不需要任何驗證就能隨便插入到墻上端口中接入煙草內(nèi)部網(wǎng)，進而訪問內(nèi)部網(wǎng)絡中的資源。因此，非法用戶根據(jù)這一弱點，可以從內(nèi)部對煙草網(wǎng)絡發(fā)動攻擊，也可以盜取公司的敏感數(shù)據(jù)。這一內(nèi)部缺陷使得公司必須要在網(wǎng)絡入口出加強安全措施，采取相應的準入認證控制。

2.2 需要對終端安全性進行判斷

當前，隨著辦公自動化的推進，有大量的桌面終端接入地市煙草網(wǎng)絡。這些終端所使用的系統(tǒng)，安裝的軟件都不盡相同，安全狀態(tài)水平與不盡相同，有的終端可能自身存在著安全缺陷。信息安全領域中“木桶效應”就可以導致任一存在安全隱患的終端成為網(wǎng)絡中的“最短板”，成為攻擊者的突破口。例如，當某一終端的系統(tǒng)存在漏洞、安全配置不合理、未安裝防火墻等都可能使其成為攻擊的對象，而一旦被攻克，其就將成為病毒、蠕蟲進攻內(nèi)部網(wǎng)絡的“橋頭堡”，進行導致網(wǎng)絡與系統(tǒng)癱瘓，使所有的正常業(yè)務都無法開展。

2.3 需要支持多種準入控制方式

在煙草網(wǎng)絡中存在著各種各樣的終端，如桌面終端、網(wǎng)絡打印機、網(wǎng)絡傳真機等。這些終端設備的應用場景與技術限制各不相同，這就要求地市煙草網(wǎng)絡能支持多種準入控制方式，以確保所有的終端設備都能實現(xiàn)網(wǎng)絡準入控制，杜絕出現(xiàn)控制盲區(qū)。

綜上，將網(wǎng)絡準入控制系統(tǒng)與終端管理每張引入到地市煙草網(wǎng)絡中已成為了煙草公司發(fā)展的必要，必須要用好這兩個系統(tǒng)，加強對地市煙草網(wǎng)絡的安全管理。這需要引起各級的高度重視。

3 技術原理及應用模式

3.1 網(wǎng)絡準入控制原理

網(wǎng)絡準入控制是指利用相應的準備控制技術，對終端設備身份進行驗證，使那些合法的、安全的、授權的終端接入到企業(yè)內(nèi)網(wǎng)中，而將非法的、未經(jīng)授權的設備擋在企業(yè)內(nèi)網(wǎng)之外，防止不法攻擊者對地市煙草網(wǎng)絡的安全造成影響。

資源訪問控制策略是整個網(wǎng)絡準入控制的核心模塊，其將企業(yè)網(wǎng)絡劃分為用戶區(qū)、設備聯(lián)動區(qū)、策略控制區(qū)三部分，并通過不同的策略來實現(xiàn)對企業(yè)網(wǎng)絡的全方位管控。

（1）用戶區(qū)安裝相應的準入控制模塊，從而實現(xiàn)用戶身份認證、安全檢查、準入策略聯(lián)運等，達到終端控制與用戶控制的目的。

（2）設備聯(lián)動區(qū)對網(wǎng)絡中的交換機、路由器、防火墻、入侵檢測系統(tǒng)等進行改造，使這些設備能夠與安全策略控制區(qū)形成聯(lián)動，并能實現(xiàn)數(shù)據(jù)交換、策略接收、策略執(zhí)行、監(jiān)測信息上傳等功能，起到終端入網(wǎng)控制、問題終端隔離、安全網(wǎng)絡隔離等作用。

（3）資源訪問控制策略系統(tǒng)是策略控制區(qū)的核心，其通過與DHCP服務器、漏洞補丁服務器、防病毒服務器、終端安全策略服務器、網(wǎng)管服務器等聯(lián)動，并負責具體的安全策略部署下發(fā)、安全評估、資源訪問控制、身份認證等任務，是整個網(wǎng)絡準入控制的核心。

當終端設備連接到企業(yè)網(wǎng)絡準備接入時，客戶終端的準入模塊就會主動對客戶端的基礎配置、系統(tǒng)版本、補丁信息、防病毒版本等信息進行檢測，并將其上傳到資源訪問策略控制系統(tǒng)。系統(tǒng)根據(jù)所上傳的信息對用戶進行身份認證，并對安全策略進行對比檢查。若檢測出終端為非法用戶，則拒絕其接入企業(yè)網(wǎng)絡；若檢測為合法用戶，但存在安全缺陷的則將其進行訪問限制，限制其只能訪問特定的網(wǎng)絡區(qū)域，同時根據(jù)安全缺陷的類型提示終端進行漏洞修復、病毒庫升級、終端信息檢查等。

3.2 網(wǎng)絡準入控制技術在終端安全管理體系中的應用模式

地市煙草網(wǎng)絡準入與終端管理系統(tǒng)的核心理念是從源頭上消除網(wǎng)絡威脅，將非法訪問阻擋在網(wǎng)絡之外，同時使用終端管理功能對已接入用戶的網(wǎng)絡行為進行規(guī)范，保證煙草網(wǎng)絡的安全，避免出現(xiàn)安全事件。

利用網(wǎng)絡準入控制對需接入的終端進行安全檢測，檢測的內(nèi)容有：

3.2.1 賬戶檢查

檢查用戶的密碼是否正確，以防止非法接入者安裝相同的準入認證終端后接入網(wǎng)絡。

3.2.2 安全設置規(guī)范檢查

根據(jù)企業(yè)的需求對終端的安全設置進行檢查，主要檢查終端是否開啟了訪客賬戶；是否存在弱口令；是否加入了指定的Windows域名；是否及時對操作系統(tǒng)漏洞進行了升級更新；是否存在沒有權限限制的共享；是否安裝了防病毒軟件并及時對病毒特征庫進行了更新；是否存在可疑的注冊表項目；是否安裝了非法軟件等。

3.2.3 終端注冊ID檢查

對終端ID進行檢查，看其是否已在內(nèi)部網(wǎng)絡注冊登記。通過終端注冊ID檢查確保接入網(wǎng)絡的終端是合法的而且是符合相應的安全管理規(guī)范的，同時也確保所有接入網(wǎng)絡的計算機終端接受相應的管理。

4 結語

在地市煙草網(wǎng)絡中實施網(wǎng)絡準入控制與終端安全防護，可有效防止終端信息泄露，構建起基于安全終端網(wǎng)絡環(huán)境的全面安全防護體系，通過系統(tǒng)不斷的修復提升，有效杜絕終端上的安全信息非法外傳，有效提升煙草網(wǎng)絡抗攻擊力。

參考文獻

[1]宋經(jīng)偉.網(wǎng)絡準入控制技術在終端安全管理系統(tǒng)中的應用[J].軟件導刊，2014，13（02）：136-138.

[2]梁彪.基于網(wǎng)絡準入控制的內(nèi)網(wǎng)安全防護方案探討[J].廣西電力，2014，37（06）：59-62.

[3]邢海韜，孫寧青，吳偉琦.廣西柳工機械股份有限公司網(wǎng)絡的準入控制管理方案[J].廣西科學院學報，2007，23（04）：356-359.

[4]馬錫坤.醫(yī)院網(wǎng)絡終端準入控制解決方案[J].醫(yī)院數(shù)字化，2011，11（09）：30-32.

作者簡介

郭翔飛（1983-），男，福建省南平市人。大學本科學歷?，F(xiàn)為南平市煙草公司助理工程師。研究方向為信息技術應用及管理。

作者單位

南平市煙草公司 福建省南平市 353000