地市煙草網絡準入控制及終端安全防護

隨著地市煙草計算機終端數量的不斷增加，防護企業網絡邊界，消除內網終端安全隱患，確保企業內部網絡的安全可控變得越來越重要。網絡準入控制與終端管理系統通過對用戶身份進行認證，對接入網絡的設備進行安全評估，實現對用戶身份、在線狀態、終端屬性的全面管理與掌握的一種技術手段。該系統能夠分析和彌補終端系統漏洞，進行用戶行為控制和應用管理，防止企業信息泄漏，避免終端遭受病毒、蠕蟲、木馬危害，解決企業計算機終端安全管理問題。

【關鍵詞】煙草 準入控制 安全防護

1 前言

隨著計算機網絡的日益復雜化，要保證網絡準入控制的成功部署，需要進行大量的前期研究工作，主要包括分析部署需求、對網絡設備進行評估選型、評估網絡準入控制系統是否與當前的網絡運行架構相適應等。

2 地市煙草網絡準入及終端管理的需求分析

2.1 需要對終端合法性進行檢測

由于之前的地市煙草網絡中，局域網是開放的，任何終端都能接入網絡中，外來設備不需要任何驗證就能隨便插入到墻上端口中接入煙草內部網，進而訪問內部網絡中的資源。因此，非法用戶根據這一弱點，可以從內部對煙草網絡發動攻擊，也可以盜取公司的敏感數據。這一內部缺陷使得公司必須要在網絡入口出加強安全措施，采取相應的準入認證控制。

2.2 需要對終端安全性進行判斷

當前，隨著辦公自動化的推進，有大量的桌面終端接入地市煙草網絡。這些終端所使用的系統，安裝的軟件都不盡相同，安全狀態水平與不盡相同，有的終端可能自身存在著安全缺陷。信息安全領域中“木桶效應”就可以導致任一存在安全隱患的終端成為網絡中的“最短板”，成為攻擊者的突破口。例如，當某一終端的系統存在漏洞、安全配置不合理、未安裝防火墻等都可能使其成為攻擊的對象，而一旦被攻克，其就將成為病毒、蠕蟲進攻內部網絡的“橋頭堡”，進行導致網絡與系統癱瘓，使所有的正常業務都無法開展。

2.3 需要支持多種準入控制方式

在煙草網絡中存在著各種各樣的終端，如桌面終端、網絡打印機、網絡傳真機等。這些終端設備的應用場景與技術限制各不相同，這就要求地市煙草網絡能支持多種準入控制方式，以確保所有的終端設備都能實現網絡準入控制，杜絕出現控制盲區。

綜上，將網絡準入控制系統與終端管理每張引入到地市煙草網絡中已成為了煙草公司發展的必要，必須要用好這兩個系統，加強對地市煙草網絡的安全管理。這需要引起各級的高度重視。

3 技術原理及應用模式

3.1 網絡準入控制原理

網絡準入控制是指利用相應的準備控制技術，對終端設備身份進行驗證，使那些合法的、安全的、授權的終端接入到企業內網中，而將非法的、未經授權的設備擋在企業內網之外，防止不法攻擊者對地市煙草網絡的安全造成影響。

資源訪問控制策略是整個網絡準入控制的核心模塊，其將企業網絡劃分為用戶區、設備聯動區、策略控制區三部分，并通過不同的策略來實現對企業網絡的全方位管控。

（1）用戶區安裝相應的準入控制模塊，從而實現用戶身份認證、安全檢查、準入策略聯運等，達到終端控制與用戶控制的目的。

（2）設備聯動區對網絡中的交換機、路由器、防火墻、入侵檢測系統等進行改造，使這些設備能夠與安全策略控制區形成聯動，并能實現數據交換、策略接收、策略執行、監測信息上傳等功能，起到終端入網控制、問題終端隔離、安全網絡隔離等作用。

（3）資源訪問控制策略系統是策略控制區的核心，其通過與DHCP服務器、漏洞補丁服務器、防病毒服務器、終端安全策略服務器、網管服務器等聯動，并負責具體的安全策略部署下發、安全評估、資源訪問控制、身份認證等任務，是整個網絡準入控制的核心。

當終端設備連接到企業網絡準備接入時，客戶終端的準入模塊就會主動對客戶端的基礎配置、系統版本、補丁信息、防病毒版本等信息進行檢測，并將其上傳到資源訪問策略控制系統。系統根據所上傳的信息對用戶進行身份認證，并對安全策略進行對比檢查。若檢測出終端為非法用戶，則拒絕其接入企業網絡；若檢測為合法用戶，但存在安全缺陷的則將其進行訪問限制，限制其只能訪問特定的網絡區域，同時根據安全缺陷的類型提示終端進行漏洞修復、病毒庫升級、終端信息檢查等。

3.2 網絡準入控制技術在終端安全管理體系中的應用模式

地市煙草網絡準入與終端管理系統的核心理念是從源頭上消除網絡威脅，將非法訪問阻擋在網絡之外，同時使用終端管理功能對已接入用戶的網絡行為進行規范，保證煙草網絡的安全，避免出現安全事件。

利用網絡準入控制對需接入的終端進行安全檢測，檢測的內容有：

3.2.1 賬戶檢查

檢查用戶的密碼是否正確，以防止非法接入者安裝相同的準入認證終端后接入網絡。

3.2.2 安全設置規范檢查

根據企業的需求對終端的安全設置進行檢查，主要檢查終端是否開啟了訪客賬戶；是否存在弱口令；是否加入了指定的Windows域名；是否及時對操作系統漏洞進行了升級更新；是否存在沒有權限限制的共享；是否安裝了防病毒軟件并及時對病毒特征庫進行了更新；是否存在可疑的注冊表項目；是否安裝了非法軟件等。

3.2.3 終端注冊ID檢查

對終端ID進行檢查，看其是否已在內部網絡注冊登記。通過終端注冊ID檢查確保接入網絡的終端是合法的而且是符合相應的安全管理規范的，同時也確保所有接入網絡的計算機終端接受相應的管理。

4 結語

在地市煙草網絡中實施網絡準入控制與終端安全防護，可有效防止終端信息泄露，構建起基于安全終端網絡環境的全面安全防護體系，通過系統不斷的修復提升，有效杜絕終端上的安全信息非法外傳，有效提升煙草網絡抗攻擊力。

參考文獻

[1]宋經偉.網絡準入控制技術在終端安全管理系統中的應用[J].軟件導刊，2014，13（02）：136-138.

[2]梁彪.基于網絡準入控制的內網安全防護方案探討[J].廣西電力，2014，37（06）：59-62.

[3]邢海韜，孫寧青，吳偉琦.廣西柳工機械股份有限公司網絡的準入控制管理方案[J].廣西科學院學報，2007，23（04）：356-359.

[4]馬錫坤.醫院網絡終端準入控制解決方案[J].醫院數字化，2011，11（09）：30-32.

作者簡介

郭翔飛（1983-），男，福建省南平市人。大學本科學歷。現為南平市煙草公司助理工程師。研究方向為信息技術應用及管理。

作者單位

南平市煙草公司 福建省南平市 353000