趙志平

摘 要：企業(yè)管理引入了計算機，只有全面保證安全，才能實現(xiàn)企業(yè)現(xiàn)代化管理目標(biāo)。網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)是企業(yè)實現(xiàn)終端安全管理的重要途徑，有助于彌補防火墻、入侵檢測等網(wǎng)絡(luò)安全系統(tǒng)不足。文章簡述網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)及工作原理，進一步提出了實現(xiàn)路徑。

關(guān)鍵詞：網(wǎng)絡(luò)準(zhǔn)入控制；技術(shù)應(yīng)用；企業(yè)網(wǎng)絡(luò)

中圖分類號：F407.61 文獻標(biāo)志碼：A 文章編號：2095-2945（2018）35-0185-02

Abstract： The enterprise management has introduced the computer， only then guarantees the security comprehensively， can realize the enterprise modernization management goal. Network access control technology is an important way for enterprises to realize terminal security management， which is helpful to make up the deficiency of network security system such as firewall and intrusion detection. This paper briefly describes the network access control technology and working principle， and further proposes the implementation path.

Keywords： network access control； technology application； enterprise network

計算機網(wǎng)絡(luò)技術(shù)不斷創(chuàng)新發(fā)展，推動并實現(xiàn)了企業(yè)的無紙化辦公，大大提升了企業(yè)的高效管理?？梢哉f，現(xiàn)代企業(yè)要想全面發(fā)展，離不開安全的管理能力與措施，通過安全管理，能夠全面提高企業(yè)工作效率，提高企業(yè)管理能力，保證企業(yè)管理的高效運行。計算機網(wǎng)絡(luò)管理是企業(yè)管理的常態(tài)化，要想保證安全，避免終端惡意程序感染，則需要通過企業(yè)網(wǎng)絡(luò)終端接入，實現(xiàn)企業(yè)安全管理效果，網(wǎng)絡(luò)接入時，通過身份認證與終端安全檢查，實現(xiàn)安全運行的目標(biāo)。網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)主要是根據(jù)安全理念設(shè)計的，將身份認證、終端安全和網(wǎng)絡(luò)控制做好串聯(lián)，形成一個整體的安全防護系統(tǒng)。企業(yè)管理涉及到辦公電腦、服務(wù)器、手持終端等各種設(shè)備，只有全面介入網(wǎng)絡(luò)身份識別系統(tǒng)，才能保證管理環(huán)節(jié)的安全性，使企業(yè)網(wǎng)絡(luò)安全性得到綜合提升。

1 概述

1.1 企業(yè)終端安全管理

企業(yè)管理終端設(shè)備較復(fù)雜，終端是網(wǎng)絡(luò)行為執(zhí)行者，也是網(wǎng)絡(luò)行為發(fā)起者，更是網(wǎng)絡(luò)信息實現(xiàn)交流的重要部分，終端有著重要的作用，所以說，只有全面保證終端安全，形成有效的安全防護瓶頸，才能保證各種信息的安全性。計算機網(wǎng)絡(luò)安全越來越被人們重視，沒有安全則企業(yè)信息就會泄漏，影響企業(yè)效益的實現(xiàn)，網(wǎng)絡(luò)安全問題一直影響著企業(yè)的發(fā)展，沒有安全就沒有保障，為了提高企業(yè)管理效率，保證企業(yè)管理質(zhì)量，企業(yè)投入大量的資金與精力，全面提升安全質(zhì)量，特別是在防火墻、入侵檢測等方面，企業(yè)做出了更大的投入，使網(wǎng)絡(luò)邊界防護更加可靠。企業(yè)管理出現(xiàn)問題，大數(shù)據(jù)情況是安全問題，計算機自身軟硬件安全、運行安全、信息管理安全均給企業(yè)管理帶來影響。

1.2 安全管理現(xiàn)狀

當(dāng)前，多數(shù)企業(yè)為了自身的安全，均進行了安全防護創(chuàng)建，不斷通過軟件的更新與開發(fā)，有效構(gòu)建起了網(wǎng)絡(luò)安全系統(tǒng)，雖然企業(yè)非常重視安全問題，但還是出現(xiàn)了一些信息的泄漏，使企業(yè)管理受到威脅。企業(yè)在網(wǎng)絡(luò)出口部署防火墻、IPS、防病毒、防毒墻等安全設(shè)備，無法阻止各種新式病毒入侵，各類網(wǎng)絡(luò)安全事件層出不窮，威脅著企業(yè)的管理信息。為了減少重復(fù)運行，一些企業(yè)建立起了方便快捷的內(nèi)部網(wǎng)，而內(nèi)部網(wǎng)絡(luò)接入多是采用開放式網(wǎng)絡(luò)架構(gòu)，在企業(yè)業(yè)務(wù)開展上實現(xiàn)了便捷，但也帶來了安全風(fēng)險，安全防護能力跟不上病毒、木馬、蠕蟲及黑客的更新速度，企業(yè)面臨更大的威脅，信息入侵導(dǎo)致企業(yè)網(wǎng)絡(luò)癱瘓。

1.3 設(shè)備使用問題

企業(yè)內(nèi)部終端設(shè)備分布在各個場所，設(shè)備數(shù)量大，管理難度大，對設(shè)備使用人員沒有嚴(yán)格的管理，還有一些企業(yè)人員流動大，使企業(yè)設(shè)備安全得不到保障。使用人員的個人水平與素質(zhì)也參次不齊，一些企業(yè)人員安全意識不強，出現(xiàn)了偽造用戶登錄、濫用資源、病毒木馬攻擊、隨意安裝應(yīng)用程序、信息泄密、網(wǎng)絡(luò)連接威脅、惡意破壞終端等安全問題，給企業(yè)帶來了許多安全隱患，嚴(yán)重威脅著企業(yè)信息安全，只有全面提高管理能力，引進先進的網(wǎng)絡(luò)技術(shù)，才能使企業(yè)終端設(shè)備安全得到保障，進一步提高企業(yè)網(wǎng)絡(luò)安全防御能力。

2 引入與工作原理

2.1 安全管理的引入

隨著技術(shù)的創(chuàng)新發(fā)展，當(dāng)前網(wǎng)絡(luò)安全問題成為最大的問題，在安全得不到保證的情況下，企業(yè)信息泄漏成為必然，企業(yè)管理安全得不到保證。為了有效提高企業(yè)管理能力，各種匹配的防火墻、VPN、IDS、殺毒軟件及IPS等軟件不斷更新，投入了大量的資金與精力，但網(wǎng)絡(luò)安全還是得不到保證，企業(yè)信息泄漏時有發(fā)生。為了全面解決安全問題，技術(shù)領(lǐng)域更新觀念，不斷創(chuàng)新研發(fā)。自20世紀(jì)90年代起，發(fā)達國家就提出了先進的理念，率先把可信計算、主動防御做為開發(fā)的方向，通過理念的更新，使計算機軟件開發(fā)更加科學(xué)合理。先進的理念認為計算機安全問題應(yīng)回歸終端，倡導(dǎo)研究以終端為核心的安全防御技術(shù)，這樣就能夠大大解決信息安全問題。由思科發(fā)起的安全方式，得到了眾多廠商的主動積極參與，使網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)計劃得到推廣，有效解決了終端安全控制。網(wǎng)絡(luò)準(zhǔn)入控制是一個全新的理念，通過準(zhǔn)入控制，全面防止蠕蟲和病毒等黑客攻擊，使電腦的安全性更加可靠，網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)經(jīng)授權(quán)后，使終端設(shè)備更加安全、合法，確保了接入的計算機是安全的、值得信任的，全面提高了終端設(shè)備接入企業(yè)網(wǎng)絡(luò)的質(zhì)量，對于沒有授權(quán)的終端設(shè)備則不允許接入網(wǎng)絡(luò)，實現(xiàn)了接入的安全統(tǒng)一管理，保證了企業(yè)管理安全。

2.2 工作原理

網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)有自身的工作原理，是一整套系統(tǒng)的安全措施，準(zhǔn)入接入主要是將內(nèi)網(wǎng)安全防護策略劃分為內(nèi)網(wǎng)邊界安全防護、安全威脅防護及外網(wǎng)移動用戶安全接入防護三個方面，形成并建立起一個安全的統(tǒng)一架構(gòu)，各部分發(fā)揮各自的功能作用，提高了安全性。

內(nèi)網(wǎng)邊界安全防護主要是對內(nèi)網(wǎng)以外所有安全威脅進行防護，保證內(nèi)網(wǎng)安全運行，內(nèi)網(wǎng)安全威脅防護主要是對網(wǎng)絡(luò)內(nèi)部所有的安全威脅進行防護，確保內(nèi)網(wǎng)安全可靠運行。外網(wǎng)移動用戶安全接入防護主要是針對企業(yè)外部接入設(shè)備的管理防護，也就是說企業(yè)內(nèi)部移動用戶在不同網(wǎng)絡(luò)環(huán)境下的安全，只有全面建立起企業(yè)網(wǎng)絡(luò)安全防護，保證各種終端接入的安全，不斷完善管理體系，才能保障企業(yè)網(wǎng)絡(luò)運行的安全性、可靠性。

3 技術(shù)實現(xiàn)

3.1 用戶管理

各終端的用戶并不能統(tǒng)一，但可以通過統(tǒng)一管理接入實現(xiàn)安全性，用戶區(qū)管理主要是通過安裝準(zhǔn)入控制模塊，對終端進行控制，以此能夠?qū)崿F(xiàn)對各類用戶身份的全面精細認證和安全檢查，通過系統(tǒng)的聯(lián)動對用戶信息進行話語，實現(xiàn)終端控制與用戶控制的整體目標(biāo)。

3.2 設(shè)備聯(lián)動區(qū)管理

設(shè)備聯(lián)動主要是通過終端的路由器、交換機、防火墻、IDS等進行控制，通過有效的技術(shù)升級，做好整體改進，確保安全策略控制區(qū)實現(xiàn)整體上的聯(lián)動，這樣，基本數(shù)據(jù)交換、策略接收、策略執(zhí)行、網(wǎng)絡(luò)監(jiān)測就能夠快速及時的上傳，任何一個出現(xiàn)問題的終端設(shè)備均會受到隔離，保證了整體的安全性。

3.3 資源訪問控制策略

主要是充分利用了補丁服務(wù)器、防病毒服務(wù)器、DHCP服務(wù)器、終端安全策略服務(wù)器、網(wǎng)管服務(wù)器、基礎(chǔ)信息數(shù)據(jù)庫等設(shè)備做好聯(lián)動設(shè)計，對各種信息部署實現(xiàn)精準(zhǔn)的下發(fā)、審核、訪問和評估，身份認證是網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的關(guān)鍵，終端用戶準(zhǔn)備接入企業(yè)網(wǎng)絡(luò)時，準(zhǔn)入模塊會主動收集客戶端病毒版本、系統(tǒng)補丁、基礎(chǔ)配置等有效信息數(shù)據(jù)，自動上傳后進行分析認證，這樣就能夠有效分別出非法用戶情況，網(wǎng)絡(luò)有權(quán)對非法接入用戶網(wǎng)絡(luò)拒絕。

4 企業(yè)應(yīng)用

4.1 要選擇優(yōu)質(zhì)的產(chǎn)品

為了實現(xiàn)安全性，企業(yè)必須要選擇良好的產(chǎn)品，只有產(chǎn)品具備良好的網(wǎng)絡(luò)環(huán)境適應(yīng)性，才能保證整體網(wǎng)絡(luò)安全。一般情況下，要選擇成熟的網(wǎng)絡(luò)準(zhǔn)入控制方案，實現(xiàn)快速部署、方便實用，不斷減少終端管理層級；要選擇能夠逃生的產(chǎn)品，產(chǎn)品要有拓展性，能夠隨著技術(shù)的更新而進行性能上的擴展，自動形成檢查引擎升級；在性價比良好的前提下，選擇終端認證、安全修復(fù)、訪問控制效果好的產(chǎn)品，實現(xiàn)產(chǎn)品的一次性對接，終身服務(wù)，滿足企業(yè)發(fā)展實際需要。產(chǎn)品市場多元化，需要根據(jù)企業(yè)自身情況，做好產(chǎn)品的選擇，一定要使用有實力企業(yè)的產(chǎn)品。

4.2 建設(shè)步驟

要進一步做好整體規(guī)劃，明確網(wǎng)絡(luò)準(zhǔn)入控制建設(shè)的目標(biāo)，對企業(yè)現(xiàn)存在問題進行梳理，全面掌握企業(yè)網(wǎng)絡(luò)存在問題與威脅是哪些，全面深入分析網(wǎng)絡(luò)準(zhǔn)入控制保障對象，對可能出現(xiàn)的安全問題做好事前評估，權(quán)衡利弊做好計劃。不斷減少企業(yè)管理成本的同時，保證網(wǎng)絡(luò)準(zhǔn)入控制項目得到落實。網(wǎng)絡(luò)準(zhǔn)入控制產(chǎn)品的設(shè)計，需要和廠商進行溝通，綜合考慮多方面因素確認合理的范圍。網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)是重點，在提前做好設(shè)計與謀劃，確定執(zhí)行點是非常重要的，在不影響用戶體驗的前提下，根據(jù)自身實際情況需要選擇良好的執(zhí)行點。企業(yè)信息安全建設(shè)，一定要考慮到成本投資，要充分做好成本分析和測試。網(wǎng)絡(luò)準(zhǔn)入項目建設(shè)的成本高低通常取決于企業(yè)設(shè)計選擇，通過科學(xué)的方法對網(wǎng)絡(luò)準(zhǔn)入控制項目建設(shè)做好設(shè)計與調(diào)整，全面滿足企業(yè)安全需求，對于建成的安全項目，需要在付款前做好安全測試，確保運行效果。制定有效的管理，使服務(wù)器、交換機、終端、交換機端口等配置能夠聯(lián)運運行，從而實現(xiàn)對企業(yè)網(wǎng)絡(luò)安全的全面綜合控制。

5 結(jié)束語

企業(yè)要想全面保證信息安全，則需要不斷引進網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)，通過現(xiàn)代技術(shù)的應(yīng)用，對企業(yè)終端入網(wǎng)流程和標(biāo)準(zhǔn)進行安全管理，利用技術(shù)更新與改造，不斷做好技術(shù)提升，全面有效減少網(wǎng)絡(luò)運行的安全問題，提升企業(yè)網(wǎng)絡(luò)終端安全管理控制能力，實現(xiàn)信息的安全可靠。

參考文獻：

[1]錢楊.企業(yè)網(wǎng)網(wǎng)絡(luò)準(zhǔn)入控制及終端安全防護研究[D].華南理工大學(xué)，2012.

[2]馬巖巖.網(wǎng)絡(luò)準(zhǔn)入控制讓企業(yè)網(wǎng)絡(luò)更安全[J].中國信息化，2011（10）：66-67.

[3]馬之力，閆曉斌，李方軍，等.下一代網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)研究[J].電力信息與通信技術(shù)，2015（11）：62-65.