地市煙草網(wǎng)絡(luò)準(zhǔn)入控制及終端安全防護(hù)的研究

（福建省煙草公司南平市公司，福建南平 354200）

0 背景

地市煙草計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模龐大，信息接入點(diǎn)非常多，雖然在網(wǎng)絡(luò)邊界部署了防火墻、漏洞掃描、防病毒、IPS等防御措施，但由于內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)終端引發(fā)的安全問題仍時(shí)有發(fā)生。特別是蠕蟲病毒、ARP病毒、DDOS病毒等不僅對(duì)終端本身的安全造成危害，還會(huì)影響整個(gè)網(wǎng)絡(luò)的運(yùn)行，對(duì)正常辦公和業(yè)務(wù)開展帶來不利影響。當(dāng)前，地市煙草計(jì)算機(jī)網(wǎng)絡(luò)中最主要的威脅來源于因終端隨意接入網(wǎng)絡(luò)所帶來的各類病毒與蠕蟲。為了有效應(yīng)對(duì)這些威脅，必須要采取多層次、主動(dòng)的安全防護(hù)技術(shù)，從源頭上杜絕蠕蟲與病毒的威脅。特別是當(dāng)新終端要接入煙草網(wǎng)絡(luò)時(shí)，必須要確保該終端是否受到保護(hù)，是否符合安全策略要求。

當(dāng)前，終端安全主要存在以下三個(gè)方面的問題：（1）安全防護(hù)措施覆蓋不完全，不能對(duì)所有的終端進(jìn)行保護(hù)；（2）終端接入控制機(jī)制不嚴(yán)，存在非法接入煙草網(wǎng)絡(luò)的情況；（3）終端管理不力，私購(gòu)終端接入網(wǎng)絡(luò)，非法接入網(wǎng)絡(luò)等現(xiàn)象時(shí)有發(fā)生。這三個(gè)方面的問題對(duì)煙草計(jì)算網(wǎng)絡(luò)的安全造成了嚴(yán)重威脅。

隨著接入網(wǎng)點(diǎn)的增加，數(shù)據(jù)的高速積累，網(wǎng)絡(luò)安全準(zhǔn)入控制變得越來越重要。為做好準(zhǔn)入工作，需要提前進(jìn)行廣泛調(diào)研。主要工作包括：分析具體的部署需求，對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行安全等級(jí)評(píng)估，評(píng)估準(zhǔn)入制度是否滿足未來需要，系統(tǒng)架構(gòu)是否具有可控性等。

1 準(zhǔn)入控制現(xiàn)狀及需求分析

1.1 地市煙草網(wǎng)絡(luò)建設(shè)現(xiàn)狀分析

地市煙草網(wǎng)絡(luò)一般由機(jī)關(guān)風(fēng)局域網(wǎng)絡(luò)及分支機(jī)構(gòu)網(wǎng)絡(luò)兩部分組成，現(xiàn)已實(shí)現(xiàn)對(duì)市局公司、縣市局公司的全覆蓋，并全面支持802.1X網(wǎng)絡(luò)協(xié)議，使用的網(wǎng)絡(luò)配置較高。在市公司機(jī)關(guān)局域網(wǎng)中主要采取的是分區(qū)分域的網(wǎng)絡(luò)架構(gòu)，各個(gè)分區(qū)的網(wǎng)絡(luò)匯聚到分區(qū)交換機(jī)以后再與核心路由器連接。整個(gè)網(wǎng)絡(luò)在核心設(shè)備與關(guān)鍵網(wǎng)絡(luò)中實(shí)行冗余設(shè)計(jì)，提高數(shù)據(jù)傳輸處理的同時(shí)，保證網(wǎng)絡(luò)的可靠性。機(jī)關(guān)局域網(wǎng)的互聯(lián)網(wǎng)出口設(shè)置在機(jī)關(guān)信息中心，并部署防火墻等安全設(shè)備。然而，在地市煙草數(shù)據(jù)網(wǎng)絡(luò)中存在的最大問題是網(wǎng)絡(luò)向全部用戶開放，而沒有接入控制措施。此外，網(wǎng)絡(luò)缺乏集中統(tǒng)一管理機(jī)制，當(dāng)終端出現(xiàn)問題時(shí)，必須要由管理員親自維護(hù)，費(fèi)時(shí)費(fèi)力。

1.2 地市煙草網(wǎng)絡(luò)準(zhǔn)入及終端管理的需求分析

1.2.1 終端合法性的檢測(cè)策略及方法

我們建設(shè)地市煙草網(wǎng)絡(luò)，一般是基于互聯(lián)網(wǎng)建設(shè)的，并沒組建專網(wǎng)，所以一般設(shè)備很容易接入其中。因此，用戶可以通過互聯(lián)網(wǎng)，很容易獲得內(nèi)網(wǎng)信息。這一缺陷使得煙草公司必須加強(qiáng)網(wǎng)絡(luò)管理，對(duì)網(wǎng)絡(luò)接入進(jìn)行嚴(yán)格的網(wǎng)絡(luò)控制，才能保證相關(guān)數(shù)據(jù)的安全。

1.2.2 對(duì)網(wǎng)絡(luò)終端的安全性進(jìn)行深入判斷

當(dāng)前，隨著日常工作越來越依靠互聯(lián)網(wǎng)，煙草公司接入互聯(lián)網(wǎng)的終端數(shù)發(fā)生幾何級(jí)增長(zhǎng)。這些終端在結(jié)構(gòu)上存在異構(gòu)型（型號(hào)、CPU、內(nèi)存不同），所安全的軟件各式各樣。各個(gè)系統(tǒng)的漏洞也多種多樣，操作系統(tǒng)漏洞、軟件配置漏洞、數(shù)據(jù)庫(kù)漏洞、木馬、病毒等都可以影響這些系統(tǒng)運(yùn)行。更重要的是一個(gè)漏洞可能被利用，從而侵入內(nèi)網(wǎng)，控制更多的計(jì)算機(jī)，從而影響整個(gè)系統(tǒng)的運(yùn)行。

1.2.3 多種準(zhǔn)入控制方式利用煙草終端的控制

在煙草網(wǎng)絡(luò)中所具有的設(shè)備多種多樣：傳統(tǒng)的計(jì)算機(jī)、服務(wù)器、手持PoS、存儲(chǔ)器、打印機(jī)等。這些終端設(shè)備提供不同功能，也具有不同的應(yīng)用場(chǎng)景，引入多種準(zhǔn)入控制方式，才能保證所有終端設(shè)備都能實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制，為煙草行業(yè)運(yùn)行提供方便，杜絕出現(xiàn)控制盲區(qū)。

1.2.4 需要降低桌面終端管理壓力

當(dāng)前在地市煙草網(wǎng)絡(luò)中，仍然是采用手工處理方法對(duì)桌面終端進(jìn)行管理與統(tǒng)計(jì)。這種方法的缺陷是非常明顯的：（1）不能方便地對(duì)網(wǎng)絡(luò)中的各種終端進(jìn)行管理，無法監(jiān)控各個(gè)終端設(shè)備的變化，導(dǎo)致終端設(shè)備管理混亂無章；（2）桌面終端的升級(jí)與更新依賴手工進(jìn)行，不僅浪費(fèi)了大量的人力資源，也會(huì)導(dǎo)致系統(tǒng)更新不及時(shí)，給網(wǎng)絡(luò)帶來安全隱患。基于此，桌面終端管理技術(shù)的引入已成為地市煙草網(wǎng)絡(luò)安全工作的重中之重。利用桌面終端管理系統(tǒng)，不僅可以提升工作效率，減少不必要的人才開支，也能對(duì)終端進(jìn)行集中統(tǒng)一管理，提高安全性。

綜上所述，網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)和終端管理對(duì)地市煙草網(wǎng)絡(luò)的安全平穩(wěn)運(yùn)行非常重要，兩個(gè)系統(tǒng)相互協(xié)作，才能滿足地市煙草網(wǎng)絡(luò)的安全管理需求，各級(jí)煙草公司應(yīng)當(dāng)高度重視兩方面的相互協(xié)作。

2 網(wǎng)絡(luò)準(zhǔn)入控制方法、技術(shù)及應(yīng)用模式

2.1 網(wǎng)絡(luò)準(zhǔn)入控制方法及原理

網(wǎng)絡(luò)準(zhǔn)入控制是指采用軟/硬件系統(tǒng)，實(shí)現(xiàn)系統(tǒng)的控制技術(shù)，對(duì)終端設(shè)備及用戶身份進(jìn)行驗(yàn)證，使那些通過系統(tǒng)認(rèn)證的，滿足認(rèn)證條件的終端接入到煙草企業(yè)內(nèi)網(wǎng)中，而阻止非法的、未得到授權(quán)的設(shè)備登錄到系統(tǒng)，從而達(dá)到防止不法攻擊者對(duì)地市煙草網(wǎng)絡(luò)的侵犯、攻擊。

資源訪問控制策略在網(wǎng)絡(luò)準(zhǔn)入控制擔(dān)當(dāng)主要的作用。煙草企業(yè)網(wǎng)絡(luò)同其企業(yè)一樣，可劃分為三個(gè)區(qū)域：用戶區(qū)、設(shè)備聯(lián)動(dòng)區(qū)、策略控制。對(duì)不同區(qū)域，由于需求不同，采用不同的策略實(shí)現(xiàn)網(wǎng)絡(luò)的安全監(jiān)控，并通過不同的策略來實(shí)現(xiàn)對(duì)企業(yè)網(wǎng)絡(luò)的全方位管控。對(duì)三個(gè)區(qū)域，采用工具、人工、協(xié)同工作的方式發(fā)現(xiàn)問題，待問題終端完成安全缺陷修復(fù)后，準(zhǔn)入控制模塊再次根據(jù)訪問控制策略對(duì)其進(jìn)行認(rèn)證；資源訪問策略控制系統(tǒng)檢測(cè)出來的合法且不存在安全缺陷的用戶可正常接入企業(yè)網(wǎng)絡(luò)，并在權(quán)限內(nèi)實(shí)現(xiàn)正常的訪問，但其使用網(wǎng)絡(luò)的相關(guān)情況需要被安全策略服務(wù)器實(shí)時(shí)監(jiān)控并記入日志[1]。

2.2 網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)實(shí)現(xiàn)方式

網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)的實(shí)現(xiàn)方式有多種，目前較為常用的主要有以下幾類：基于802.1協(xié)議族的網(wǎng)絡(luò)準(zhǔn)入控制方式；EOU思科網(wǎng)絡(luò)準(zhǔn)入控制；網(wǎng)關(guān)型網(wǎng)絡(luò)準(zhǔn)入控制方式；基于DHCP的網(wǎng)絡(luò)準(zhǔn)入控制；基于ARP的網(wǎng)絡(luò)準(zhǔn)入控制。各類準(zhǔn)入控制技術(shù)的對(duì)比如表1所示[2]。

上述幾類網(wǎng)絡(luò)準(zhǔn)入控制方式中（如圖1所示），其中802.1X協(xié)議的控制方式因其安全可靠、支持設(shè)備多等優(yōu)點(diǎn)在市場(chǎng)中得到了大量的應(yīng)用。

2.3 網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)在終端安全管理體系中的應(yīng)用模式

地市煙草網(wǎng)絡(luò)準(zhǔn)入與終端管理系統(tǒng)二者系統(tǒng)工作，才能從源頭上消除網(wǎng)絡(luò)威脅，保證應(yīng)用系統(tǒng)的安全，防止非法訪問，同時(shí)記錄接入用戶的網(wǎng)絡(luò)行為，規(guī)范日常操作，為煙草網(wǎng)絡(luò)的安全運(yùn)行提供保障，避免出現(xiàn)安全事件。

每個(gè)終端在接入企業(yè)網(wǎng)絡(luò)時(shí)就需要進(jìn)行認(rèn)證，因此需要將網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)與終端管理技術(shù)進(jìn)行整合，具體的整合架構(gòu)如圖1所示[3]。

認(rèn)證管理的具體流程如下：

首先網(wǎng)絡(luò)準(zhǔn)入控制需要對(duì)接入的終端進(jìn)行多方面的安全檢測(cè)，檢測(cè)主要從下面三個(gè)方面進(jìn)行：

表1 幾種網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)比較

圖1 網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)和終端安全管理結(jié)合架構(gòu)

（1）賬戶認(rèn)證。檢查用戶的密碼與賬戶是否匹配，防止非法用戶登錄系統(tǒng)獲得數(shù)據(jù)。這里包括驗(yàn)證次數(shù)設(shè)置，密碼恢復(fù)策略等多方面的內(nèi)容。

（2）安全設(shè)置規(guī)范檢查。日常管理才是安全管理的重中之重，需要根據(jù)企業(yè)的需求對(duì)終端的安全設(shè)置制定相關(guān)的制度，其內(nèi)容包括：關(guān)閉訪客賬戶、弱口令檢測(cè)、Windows域名檢測(cè)、系統(tǒng)漏洞升級(jí)更新、共享權(quán)限控制、防病毒軟件病毒特征庫(kù)更新等。

（3）終端注冊(cè)ID檢查。對(duì)接入的終端ID進(jìn)行檢查，只允許已經(jīng)注冊(cè)成功的ID登入，拒絕其他ID，并記錄所有登錄行為。

其次，可對(duì)接入網(wǎng)絡(luò)的終端進(jìn)行進(jìn)一步的安全管理與控制，包括以下幾個(gè)方面：

（1）安全加固。針對(duì)接入網(wǎng)絡(luò)的終端進(jìn)行安全加固，主要包括：對(duì)系統(tǒng)密碼、屏保密碼等進(jìn)行加固，關(guān)閉系統(tǒng)自動(dòng)加載服務(wù)、關(guān)閉移動(dòng)存儲(chǔ)介質(zhì)自動(dòng)播放、關(guān)閉系統(tǒng)目錄共享、強(qiáng)制終端安裝指定的殺毒軟件與防火墻軟件、自動(dòng)對(duì)接入終端進(jìn)行系統(tǒng)升級(jí)、自動(dòng)對(duì)接入終端進(jìn)行殺毒軟件更新等。

（2）安全評(píng)估。系統(tǒng)管理員根據(jù)網(wǎng)絡(luò)的運(yùn)行情況對(duì)網(wǎng)絡(luò)中所有接入的終端的安全狀態(tài)進(jìn)行初步實(shí)時(shí)評(píng)估，主要包括：評(píng)估終端的系統(tǒng)密碼是否是滿足復(fù)雜度、檢測(cè)終端是否開放了系統(tǒng)共享、檢測(cè)終端運(yùn)行的進(jìn)程與線程是否存在危險(xiǎn)；檢測(cè)終端是否及時(shí)對(duì)系統(tǒng)漏洞進(jìn)行了更新；檢測(cè)終端的網(wǎng)絡(luò)流量是否正常；檢測(cè)終端的網(wǎng)絡(luò)行為是否存在異常等。

（3）安全審計(jì)。管理員可利用終端管理控制系統(tǒng)對(duì)接入網(wǎng)絡(luò)各終端的行為進(jìn)行安全審計(jì)，通過對(duì)終端上的文件操作行為、網(wǎng)絡(luò)行為等確定終端是否存在非法操作、是否安裝了非法軟件、是否對(duì)安全設(shè)置進(jìn)行了更改。一旦發(fā)現(xiàn)終端存在著不安全的行為，則可對(duì)其進(jìn)行遠(yuǎn)程管理與控制。同時(shí)，管理員還可利用終端集中控制平臺(tái)，對(duì)終端進(jìn)行批量查詢與操作，例如分組、批量或集中對(duì)桌面終端進(jìn)行安全狀態(tài)查詢或安全設(shè)置；集中向桌面終端分發(fā)系統(tǒng)補(bǔ)丁或殺毒軟件更新包；對(duì)指定的終端設(shè)備進(jìn)行遠(yuǎn)程控制與操作；對(duì)系統(tǒng)中出現(xiàn)的不安全設(shè)備進(jìn)行快速定位，并采取相應(yīng)的措施來阻止網(wǎng)絡(luò)攻擊的擴(kuò)散；對(duì)網(wǎng)絡(luò)上所有的終端設(shè)備進(jìn)行統(tǒng)計(jì)匯總，以方便進(jìn)行資產(chǎn)管理等。總之，安全審計(jì)可幫助系統(tǒng)管理員針對(duì)不同的安全事件采取不同的處理流程，確保安全事件能得到快速有效處理[4]。

3 應(yīng)用

3.1 產(chǎn)品原則

3.1.1 要選擇優(yōu)質(zhì)的產(chǎn)品

在選擇產(chǎn)品時(shí)要選擇具有良好適應(yīng)性的產(chǎn)品，以避免對(duì)現(xiàn)有網(wǎng)絡(luò)進(jìn)行較多的發(fā)行；要選擇技術(shù)成熟的網(wǎng)絡(luò)準(zhǔn)入控制方案，要能夠?qū)崿F(xiàn)快速部署，不需要在終端上進(jìn)行客戶端安裝，不要對(duì)終端用戶的正常使用產(chǎn)生影響，要方便管理；要選擇擴(kuò)展性好的產(chǎn)品，要能實(shí)時(shí)對(duì)安全檢查引擎進(jìn)行升級(jí)；要選擇具備終端認(rèn)證、訪問控制、安全修復(fù)等功能的產(chǎn)品，要與企業(yè)的實(shí)際情況相符，選擇功能完備的產(chǎn)品。

3.1.2 要選擇實(shí)力較強(qiáng)的安全廠商

企業(yè)網(wǎng)絡(luò)準(zhǔn)入控制是一項(xiàng)復(fù)雜的工程，因此在項(xiàng)目建設(shè)上必須要選擇專業(yè)實(shí)力強(qiáng)、工作經(jīng)驗(yàn)豐富的安全廠商。只有實(shí)力強(qiáng)的安全廠商，才擁有專業(yè)的技術(shù)服務(wù)團(tuán)隊(duì)，才能為企業(yè)提供優(yōu)勢(shì)、專業(yè)的網(wǎng)絡(luò)準(zhǔn)入控制項(xiàng)目建設(shè)服務(wù)，才能在后期的維護(hù)中提供專業(yè)的技術(shù)支持。從某種程度而言，網(wǎng)絡(luò)準(zhǔn)入控制產(chǎn)品的技術(shù)服務(wù)遠(yuǎn)比產(chǎn)品本身重要，原因主要有：在項(xiàng)目建設(shè)的前期，需要經(jīng)驗(yàn)豐富的安全技術(shù)人員根據(jù)企業(yè)的實(shí)際情況對(duì)系統(tǒng)進(jìn)行方案規(guī)劃；在項(xiàng)目建設(shè)中，需要完整的建設(shè)計(jì)劃與管理制度，確保準(zhǔn)入控制項(xiàng)目建設(shè)順利；在項(xiàng)目建設(shè)完成后，還需要有完善的技術(shù)支持服務(wù)，以便及時(shí)解決系統(tǒng)在運(yùn)行中出現(xiàn)的各種問題。而這些，都需要技術(shù)實(shí)力強(qiáng)、規(guī)模較大的安全廠商才能做到，因此在選擇網(wǎng)絡(luò)準(zhǔn)入控制產(chǎn)品時(shí)，不僅要重視產(chǎn)品本身的功能，還要重視對(duì)生產(chǎn)廠商實(shí)力的考察。

3.2 建設(shè)步驟

3.2.1 要明確網(wǎng)絡(luò)準(zhǔn)入控制建設(shè)要達(dá)到的目標(biāo)

首先要對(duì)企業(yè)網(wǎng)絡(luò)所存在的問題與威脅進(jìn)行明確，深入分析網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)所要保護(hù)的對(duì)象以及實(shí)施網(wǎng)絡(luò)準(zhǔn)入控制后所帶來的積極與消極影響。只有符合企業(yè)實(shí)際需求才可解決企業(yè)網(wǎng)絡(luò)安全所面臨的問題，并且在企業(yè)所帶來的好處大于建設(shè)成本時(shí)，網(wǎng)絡(luò)準(zhǔn)入控制項(xiàng)目才有建設(shè)的可行性。

3.2.2 要明確企業(yè)網(wǎng)絡(luò)準(zhǔn)入控制項(xiàng)目的實(shí)施對(duì)象和范圍

在建設(shè)中，網(wǎng)絡(luò)準(zhǔn)入控制安全廠商通常會(huì)為建設(shè)企業(yè)提供相應(yīng)的項(xiàng)目實(shí)施范圍參考，企業(yè)通過對(duì)自身的實(shí)際需求調(diào)研，再與廠商進(jìn)行討論，并對(duì)項(xiàng)目建設(shè)的內(nèi)容進(jìn)行分析，權(quán)衡項(xiàng)目的利弊，綜合各方面的因素以確認(rèn)實(shí)施范圍是否合理可行，是否需要有增加或刪除的地方。

3.2.3 要選擇合適的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)

當(dāng)確定好網(wǎng)絡(luò)準(zhǔn)入控制項(xiàng)目實(shí)施范圍后，就需要對(duì)網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)進(jìn)行選擇。由于網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)可在企業(yè)網(wǎng)絡(luò)的任意位置上進(jìn)行，因此需要在項(xiàng)目建設(shè)中確定執(zhí)行點(diǎn)。項(xiàng)目建設(shè)企業(yè)需要根據(jù)自己的實(shí)際情況對(duì)執(zhí)行點(diǎn)進(jìn)行選擇，在選擇執(zhí)行點(diǎn)時(shí)要確保不對(duì)終端用戶的使用造成困擾。從當(dāng)前網(wǎng)絡(luò)準(zhǔn)入控制的應(yīng)用情況來看，執(zhí)行點(diǎn)通常選擇在企業(yè)的內(nèi)聯(lián)上。

3.2.4 進(jìn)行成本分析和測(cè)試

網(wǎng)絡(luò)準(zhǔn)入控制項(xiàng)目建設(shè)成本與建設(shè)企業(yè)的設(shè)計(jì)選擇密切相關(guān)，因此在建設(shè)中企業(yè)需要根據(jù)項(xiàng)目的實(shí)際情況來評(píng)估其設(shè)計(jì)選擇是否正確。例如，在企業(yè)網(wǎng)絡(luò)中配置一個(gè)獨(dú)立的準(zhǔn)入控制設(shè)備所需要的成本并不高，但是要對(duì)設(shè)備進(jìn)行配置應(yīng)用就需要花費(fèi)較多的時(shí)間與精力，因此在方案設(shè)計(jì)時(shí)需要充分考慮建設(shè)備份單元以應(yīng)對(duì)主要單元失效的情況。在項(xiàng)目建設(shè)完成交付使用之前，需要對(duì)網(wǎng)絡(luò)準(zhǔn)入控制項(xiàng)目進(jìn)行全面網(wǎng)絡(luò)測(cè)試，以了解其是否達(dá)到了設(shè)計(jì)目標(biāo)，是否與企業(yè)的需要相一致。

3.2.5 實(shí)施網(wǎng)絡(luò)準(zhǔn)入控制項(xiàng)目建設(shè)

網(wǎng)絡(luò)準(zhǔn)入控制項(xiàng)目的建設(shè)主要是通過搭建服務(wù)器、配置交換機(jī)、配置終端、配置交換機(jī)商品等來實(shí)現(xiàn)對(duì)企業(yè)網(wǎng)絡(luò)的控制。在實(shí)施項(xiàng)目前，企業(yè)要做好項(xiàng)目負(fù)責(zé)人確定、內(nèi)部工作部署、準(zhǔn)入控制效果評(píng)價(jià)等工作。

4 結(jié)語(yǔ)

網(wǎng)絡(luò)準(zhǔn)入控制與終端安全防護(hù)能為地市級(jí)煙草網(wǎng)絡(luò)通安全保護(hù)，從而有效防止終端信息泄露，并采用相關(guān)的技術(shù)及加強(qiáng)管理制度，保證整個(gè)系統(tǒng)的安全運(yùn)行。