網絡準入控制系統讓企業信息更安全

蘇顥

摘要：通過實施網絡準入控制系統，把企業安全策略滲透到內部網絡的每一個角落，使企業信息系統維護改變了以往被動的工作狀態，提高了信息安全水平，為企業平穩運行打下了良好的基礎。

關鍵詞：安全策略； 網絡準入控制系統； 信息安全 A

進入二十一世紀，計算機網絡技術飛速發展，在給人們帶來便利的同時也產生了眾多的安全問題。據FBI（Federal Bureau of Investigation 美國聯邦調查局）和CSI（Computer Security Institute 計算機安全學會）對世界上484家大公司調查，發現企業的信息安全最大的隱患是來自于企業內部，而不是通過黑客攻擊等外部手段泄漏了企業的機要信息。另據權威機構調查，在所有的安全事件中，有超過70%是發生在內部網絡（內網）上的，隨著網絡的龐大化和復雜化，這一比例仍有增長趨勢，企業內網信息安全面臨著前所未有的挑戰。如何凈化內網的環境，保障網絡正常運行成為企業信息化建設有待解決的首要問題。

一. 企業內部網絡現狀

企業內部網絡經過幾年的完善，已經發展成為擁有千余個客戶端、10余種功用的局域網。尤其是近幾年，隨著ERP、LIMS等大型軟件的應用，計算機應用真正融入了企業的生產管理中，成為企業生產運營不可缺少的一部分。隨著企業信息化建設的不斷深入，企業信息安全的問題也越來越重要。主要體現在以下幾個方面：

1、 非法外聯問題：企業有大量的合作伙伴，經常需要接入到單位網絡，很容易偽造成一臺內網中的機器接入；

2、 內網機器安檢問題：系統沒有補丁漏洞，殺毒軟件沒有及時的更新，終端用戶的賬號密碼太簡單等；

3、 入網審計問題：原有的審計系統只能針對IP進行審計，地點和安全狀況等信息無法統計；

4、 終端安全修復問題：現有系統無法保障企業內部終端時刻處于安全健康的狀態，也無法對非健康狀態的設備進行安全修復。

針對以上問題，企業已經采取了不少措施，包括制定嚴密的信息安全管理規定，部署防病毒系統、桌面安全管理系統，定期開展信息安全培訓等。雖然取得了部分成效，但是問題并沒有得到徹底解決。

二. 網絡準入系統的功能簡介

網絡準入控制系統是一個全方位的網絡終端接入和邊界管理系統，實現了“不改變網絡架構，靈活安裝客戶端”的方便性部署；通過流程化的安全管理方式，實現了“違規不入網，入網必合規”的網絡安全管理目標，大大提高了企業信息安全水平。

1.網絡準入控制系統主要組件有：

終端安全檢查軟件 — 主要負責對接入的終端進行主機健康檢查和進行網絡接入認證。

網絡接入設備 — 實施準入控制的網絡設備。這些設備接受主機委托，然后將信息傳送到策略服務器，在那里實施網絡準入控制決策。

策略/AAA服務器——策略服務器負責評估來自網絡設備的端點安全信息，并決定應該使用哪種接入策略（接入、拒絕、隔離或修復）。

2.網絡準入控制系統工作原理：

網絡準入系統能夠對網絡使用、安全管理中的各種元素，采用四個維度進行 管控，包括：終端、網絡、人員、管理。通過四個維度的管控從而實現了終端、網絡使用的過程化管理， 包括：網絡終端設備和人員的雙重授權——終端的安全檢查與修復——訪問權限的管理——終端的持續安全監控。

當終端設備接入網絡時，首先和網絡接入設備（如：交換機、無線AP、VPN等）進行交互通訊。然后，網絡接入設備將終端信息發給策略/AAA服務器，對接入終端和終端使用者進行檢查；即使用戶有權進入網絡，但是他們所使用的計算機也可能因為攜帶病毒或者蠕蟲不適合接入內部網絡，任何一項不符都會造成終端設備無法正常訪問網絡。最后，接入終端符合策略/AAA服務器上定義的策略后， 策略/AAA服務器會通知網絡接入設備，對終端進行授權和訪問控制。利用網絡準入控制，企業能夠減少病毒和蠕蟲對企業運作的干擾，因為它能夠防止易損主機接入正常網絡。在主機接入正常網絡之前，準入系統能夠檢查它是否符合企業最新制定的防病毒和操作系統補丁策略。可疑主機或有問題的主機將被隔離或限制網絡接入范圍，直到它經過修補或采取了相應的安全措施為止，這樣不但可以防止這些主機成為蠕蟲和病毒攻擊的目標，還可以防止這些主機成為傳播病毒的源頭。

三. 網絡準入控制部署后的效果

基于企業復雜的網絡環境，我們采用分布式部署方式并引入企業原有的域控系統來進行用戶的身份認證。隨后，我們根據企業信息系統的具體情況和測試階段得出的數據制定了相應的安全策略；同時，還對企業部署的其它信息安全系統進行綁定，做到優勢互補，統一實施。安全策略保證系統實施完畢后，以前的問題得到了有效的解決。

1.確保接入網絡的客戶機符合企業安全管理的要求。

2.防止非法的外來電腦接入網絡，影響內網的安全。

3.協助管理員解決內部用戶私自接HUB等不安全的行為。

4.有效防止感染病毒、木馬的桌面電腦和筆記本電腦直接接入內部網絡，影響網絡的正常運行。

我們使用網絡準入控制系統的宗旨就是，防止非法用戶、病毒、蠕蟲、新興黑客技術等對企業信息安全所造成的危害，只允許合法、安全的設備接入網絡。

四.總結

網絡準入控制系統讓企業網絡系統不再是“公共場所”，通過網絡設備在接入端口處強制實施安全策略，只允許合法的、值得信任的終端設備（例如PC、服務器、PDA）接入網絡，使企業信息安全策略體現在企業網絡的每個角落，大大提高了企業信息安全水平。通過網絡準入控制系統與其它信息安全產品的整合，形成一個更加強勢的互補，為濟南分公司信息安全提供更加可靠的保障。endprint