研究準(zhǔn)入控制技術(shù)在計算機(jī)網(wǎng)絡(luò)終端中的應(yīng)用

李豐

摘 要準(zhǔn)入控制技術(shù)主要是提前制定相關(guān)的安全管理對策，對網(wǎng)絡(luò)終端的各類用戶進(jìn)行嚴(yán)格的身份認(rèn)證與安全檢查，確保網(wǎng)絡(luò)終端訪問的安全性，對于一些危險或者不安全的終端接入進(jìn)行拒絕或者限制，通過這種方式提升網(wǎng)絡(luò)的防御功能，確保網(wǎng)絡(luò)運行的安全性。本文主要就準(zhǔn)入控制技術(shù)在計算機(jī)網(wǎng)絡(luò)終端中的應(yīng)用進(jìn)行分析與闡述。

【關(guān)鍵詞】準(zhǔn)入控制技術(shù) 計算機(jī) 網(wǎng)絡(luò)終端

1 前言

近年來，計算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展速度日益加快，計算機(jī)網(wǎng)絡(luò)技術(shù)在人們?nèi)粘５纳詈凸ぷ髦卸嫉玫搅藦V泛的運用，雖然給人們的生活和工作帶了很多的方便，也給網(wǎng)絡(luò)終端的安全管理帶來了極大的挑戰(zhàn)，網(wǎng)絡(luò)終端經(jīng)常受到各種惡意程序的感染和攻擊，對網(wǎng)絡(luò)終端的安全運行造成影響。因此，在各類終端接入到網(wǎng)絡(luò)前，就應(yīng)該對其身份進(jìn)行嚴(yán)格的認(rèn)證，對終端進(jìn)行嚴(yán)格的安全檢查，以確保網(wǎng)絡(luò)運行的安全。而網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)就是在此基礎(chǔ)上產(chǎn)生的，是一種新型的網(wǎng)絡(luò)安全管理方案，該項技術(shù)對身份認(rèn)證、網(wǎng)絡(luò)控制以及終端安全等進(jìn)行了有效的整合，大幅度提高了現(xiàn)代計算機(jī)網(wǎng)絡(luò)運行的安全性。

2 準(zhǔn)入控制技術(shù)的基本原理

2.1 準(zhǔn)入控制技術(shù)的理念

有關(guān)的統(tǒng)計數(shù)據(jù)顯示，計算機(jī)網(wǎng)絡(luò)攻擊多數(shù)是因為用戶使用終端時不規(guī)范或系統(tǒng)的安全級別較低造成的，許多網(wǎng)絡(luò)的安全管理模式依然還是比較注重邊界防控與保護(hù)，把安全防護(hù)的重點放在了內(nèi)外網(wǎng)的邊界。但是隨著網(wǎng)絡(luò)接入方式的多樣化，計算機(jī)網(wǎng)絡(luò)邊界的動態(tài)變化速度日益加快，邊界防護(hù)中存在著許多的問題。而準(zhǔn)入控制技術(shù)就是通過多樣化的控制方式，發(fā)揮準(zhǔn)入技術(shù)的功能優(yōu)勢，從保護(hù)對象與開發(fā)模式進(jìn)行明確劃分，通過網(wǎng)絡(luò)與終端兩方面的可信接入控制，前者主要是把網(wǎng)絡(luò)視作為可信主體，終端接入作為不可信任的主體，以此來確保各類終端接入到網(wǎng)絡(luò)之后，網(wǎng)絡(luò)系統(tǒng)運行的安全性。

2.2 準(zhǔn)入控制技術(shù)的運行機(jī)制

準(zhǔn)入控制是一種主動型的網(wǎng)絡(luò)安全管理技術(shù)，注重主動防御的功能，以此來提高網(wǎng)絡(luò)系統(tǒng)的安全性。準(zhǔn)入控制技術(shù)可以在終端接入到網(wǎng)絡(luò)之前，便對終端身份進(jìn)行嚴(yán)格認(rèn)證，對終端的安全性進(jìn)行確認(rèn)，最終只讓可信，并且與相關(guān)的安全策略符合的終端才能訪問網(wǎng)絡(luò)，而不符合安全策略的終端設(shè)備則不允許接入，或者把終端設(shè)備先放到隔離區(qū)進(jìn)行修復(fù)或者對其可訪問的資源進(jìn)行限制。

2.3 準(zhǔn)入控制技術(shù)的系統(tǒng)框架

計算機(jī)網(wǎng)絡(luò)終端準(zhǔn)入控制技術(shù)的核心概念，就是從以網(wǎng)絡(luò)終端接入的安全著手，對身份認(rèn)證、安全策略的執(zhí)行以及網(wǎng)絡(luò)設(shè)備聯(lián)動進(jìn)行有效的結(jié)合，加上第三方軟件控制系統(tǒng)，對終端接入進(jìn)行強(qiáng)行認(rèn)證，并嚴(yán)格落實各項安全策略，以此來確保整個網(wǎng)絡(luò)系統(tǒng)運行的安全性。目前，大部分準(zhǔn)入控制方案都是由三個邏輯部件組成，分別是策略實施構(gòu)件、接入請求構(gòu)件（AR）及策略決定部構(gòu)件，而具體的應(yīng)用過程中，還包括特定的第三方服務(wù)構(gòu)件。

3 準(zhǔn)入控制技術(shù)在計算機(jī)網(wǎng)終端中的應(yīng)用

3.1 在網(wǎng)絡(luò)安全檢查中的應(yīng)用

（1）賬戶檢查，對網(wǎng)絡(luò)接入終端的用戶名與密碼進(jìn)行嚴(yán)格的檢查，以免不法分子私自安裝上相同的Agent之后，私自接入網(wǎng)絡(luò)。

（2）嚴(yán)格規(guī)范安全設(shè)置，包括終端安全設(shè)置，系統(tǒng)賬戶檢查，檢查Guest賬戶與弱口令，檢查Windows域，檢查網(wǎng)絡(luò)終端有沒有加入相關(guān)的Windows域域，對可寫的共享設(shè)置進(jìn)行檢查，對終端有無設(shè)置可寫或無權(quán)限限定的可寫共享進(jìn)行檢查，查看終端系統(tǒng)中是否安全了補丁軟件，對終端內(nèi)部的防病毒軟件安裝情況與升級情況進(jìn)行檢查，對終端中存在危險性的注冊表項進(jìn)行檢查，檢查終端內(nèi)是否有危險文件和有無安裝一些非法性軟件。

（3）對終端注冊ID進(jìn)行嚴(yán)格的檢查，查看終端內(nèi)部是否有其他的網(wǎng)絡(luò)注冊或者登記過，檢查網(wǎng)絡(luò)接入的終端是否與相關(guān)的接入安全管理規(guī)范相符，以防止可疑終端的接入。

3.2 在網(wǎng)絡(luò)安全管理與控制中的運用

3.2.1 安全加固

準(zhǔn)入控制技術(shù)可以對網(wǎng)絡(luò)接入終端的賬戶和屏保口令、共享目錄以及自動加載服務(wù)進(jìn)行安全加固，以強(qiáng)制性的方式將與終端安全管理規(guī)范相關(guān)的防病毒軟件強(qiáng)制接入，并對病毒特征庫進(jìn)行更新，且自動安裝上最新的終端補丁包，可有效提高終端的抗攻擊能力。

3.2.2 安全評估

準(zhǔn)入控制技術(shù)可以對連網(wǎng)終端的運行的狀態(tài)與安全設(shè)置進(jìn)行準(zhǔn)確評估，讓管理人員可以對終端安全策略進(jìn)行自動定義，例如賬戶口令是否是強(qiáng)制性口令，目錄是否存在可寫共享，是否曾運行過危險程序或者危險軟件，是否安裝了最新的補丁包、防病毒軟件、病毒特征庫的更新情況以及終端網(wǎng)絡(luò)的具體訪問流量等。

3.2.3 安全審計

準(zhǔn)入控制技術(shù)可以對網(wǎng)絡(luò)內(nèi)部各個終端設(shè)備的網(wǎng)絡(luò)訪問與操作行為進(jìn)行安全審計，對終端的文件拷貝、FTP、mail以及互聯(lián)網(wǎng)訪問的行為等進(jìn)行全方位審計，對終端內(nèi)部有沒有運行過非法軟件進(jìn)行審計，是否存在未經(jīng)允許就可以自動對計算機(jī)中的軟件與硬件配置進(jìn)行更改的軟件，一旦在評估與審計過程中發(fā)現(xiàn)問題，管理人員可以隨時對終端進(jìn)行集中設(shè)置與管理，以集中控制的方式對終端內(nèi)部各類批量信息進(jìn)行統(tǒng)計與查詢，如策略的分發(fā)，以集中、分組以及批量處理的方式，對計算機(jī)終端的安全設(shè)置情況與狀態(tài)進(jìn)行檢查，并分發(fā)補丁管理與軟件，以此來減少終端管理人員的工作量。例如，遠(yuǎn)程控制功能，可以讓終端系統(tǒng)的維護(hù)人員能夠以遠(yuǎn)程方式對終端設(shè)備進(jìn)行控制與保護(hù)。設(shè)備定位功能，可以讓管理人員能夠?qū)尤刖W(wǎng)絡(luò)終端設(shè)備進(jìn)行快速的定位，并采取有效的措施防止攻擊進(jìn)一步擴(kuò)散，特殊情況下可以直接將可疑設(shè)備與終端的連接斷開。資產(chǎn)管理功能，可以幫助管理員對連接入網(wǎng)絡(luò)中各類設(shè)備的軟硬件配置情況進(jìn)行統(tǒng)計與匯總，并對級別不一樣的安全事件，采取對應(yīng)處理措施，確保網(wǎng)絡(luò)終端運行過程中的各類安全事件能夠及時到得到處理，確保計算機(jī)網(wǎng)絡(luò)運行的安全性。

4 結(jié)束語

總之，準(zhǔn)入控制技術(shù)將終端的安全作為控制的根本，將準(zhǔn)入控制作為安全管理的手段，對各類網(wǎng)絡(luò)安全技術(shù)與設(shè)備進(jìn)行綜合運用，促進(jìn)了計算機(jī)網(wǎng)絡(luò)安全管理的相關(guān)安全策略的落實，大幅度的提升了計算機(jī)網(wǎng)絡(luò)終端的主動防御、整體防御以及綜合防御能力，確保了計算機(jī)網(wǎng)絡(luò)終端運行的安全性。

參考文獻(xiàn)

[1]劉美娟.網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)在企業(yè)中的應(yīng)用探討[J].電腦編程技巧與維護(hù)，2016，04：83-84.

[2]李鎖雷，王晨，李恒訓(xùn)，等.公安網(wǎng)終端計算機(jī)準(zhǔn)入控制安全管理技術(shù)研究[J].警察技術(shù)，2015，01：54-56.

作者單位

南陽醫(yī)學(xué)高等專科學(xué)校 河南省南陽市 473000