實施內網終端監控NAC方案

隨著信息技術的迅速發展，內網由于安全機制缺乏，內部漏洞造成的的威脅遠大于從互聯網穿透防火墻造成的入侵威脅，而傳統的防護技術，如防火墻、IDS等均無法有效地進行防范。因此，建立起一套行之有效的可操控和集中管理的信息安全保障系統勢在必行。網絡準入控制（NAC）作為入網的安全保障平臺，對設備、人員進行授權、安全評估、實時監測、智能管控的—體化管理體系，從接入與使用兩個角度來建設全網立體安全防護體系，真正做到對資源分配和網絡安全的全面管理，全面提升網絡性能及安全架構。

圖1 基于網絡終端管理部署示意圖

方案設計

為了減少和杜絕來自外部人員或單位內部的各類違規操作，建立起一套行之有效的可操控和集中管理的信息安全保障系統勢在必行，采用網絡準入控制（NAC）作為入網的安全保障平臺，對設備、人員進行授權、安全評估、實時監測、智能管控的一體化管理體系。從接入與使用兩個角度建立安全立體的防護體系，完成計算機終端接入控制、身份認證、安全檢查、終端修復、權限控制、等功能，最終實現內網終端的標準化、流程化安全管理。

終端接入控制方案的設計應堅持使內部網絡安全防護具有先進性、實用性、可靠性、兼容性、可擴充性和靈活性等原則。如圖1所示，筆者單位選擇第3代準入控制產品的某款入網規范管理系統，其部署簡單，無需客戶額外部署認證服務器、無需安裝Agent代理、終端漏洞智能修復。通過網關級準入方案，實現準入管理全流程管理，從網絡接入層、核心層設備上安全、快速、準確的阻斷一切非法或外來的終端設備接入網絡，防止別有用心的人通過接入控制管理漏洞而竊取單位內網核心機密文件或資料。

1.入網設備統一規范準入檢查項目

可以自行設置預置的25項準入檢查項目，也可以自行增加內網管理已經部署的項目，如桌面終端管理等。通過終端準入審核來實現員工、來賓上網權限管理。

依據審核內容自動安裝殺毒軟件、系統補丁等，直至通過審核要求，如圖2所示。

當用無線上網方式不符合管理綁定要求時無法通過認證，被禁止上內網，如果認證通過則符合安全規則，則可以通過上內網，如圖3所示。

圖2 審核提示

圖3 綁定要求提示

來賓接入內網通過審核認證后，通過來賓授權碼驗證進入內網規定使用區域，從而保證內網安全。

2.準入控制功能

能夠依據設備的安全狀況或人員所屬角色對入網權進行控制和管理。

網絡透視與角色管理

接入層交換機到終端計算機的網絡拓撲管理模型，能夠對全網終端進行終端對應交換機端口的直觀拓撲展示。在拓撲展示圖上可以進一步向下細化定位，直至每臺終端設備。也可以通過終端設備向上檢索，找到其連接的交換機，及該交換機在網絡中的位置、運行情況和安全狀態等信息，通過網絡權限的角色控制，根據人員角色設定入網訪問的控制安全域，實現網絡權限的精細控制。

實施總結

通過ASM入網規范管理系統的應用，對單位內部的網絡架構將實現規范化統一管理，并與桌面終端管理系統聯動，定期對入網設備進行安全性檢查，通過安全性檢查與評估，獲得全網的整體安全性視圖，簡化安全管理、降低維護強度與管理成本，同時解決來賓使用內網的數據安全問題。有了準入管理控制系統，在沒有安裝桌面終端管理客戶端、系統沒有打補丁以及未安裝殺毒軟件等安全認證項目沒通過，則無法通過內網系統安全認證，就無法使用內網。通過安全系統建設項目的相互聯動，能及時發現終端存在的系統漏洞、病毒與木馬。

另外，通過身份識別、來賓訪問控制以及訪問管理等一系列的內網安全措施，可形成全網各個項目和條例的詳細報表情況的歸檔文件，并作為網絡安全核查評定及信息安全等級保護的考核資料。