地市烟草网络准入控制及终端安全防护.docVIP

地市烟草网络准入控制及终端安全防护 　　随着地市烟草计算机终端数量的不断增加，防护企业网络边界，消除内网终端安全隐患，确保企业内部网络的安全可控变得越来越重要。网络准入控制与终端管理系统通过对用户身份进行认证，对接入网络的设备进行安全评估，实现对用户身份、在线状态、终端属性的全面管理与掌握的一种技术手段。该系统能够分析和弥补终端系统漏洞，进行用户行为控制和应用管理，防止企业信息泄漏，避免终端遭受病毒、蠕虫、木马危害，解决企业计算机终端安全管理问题 【关键词】烟草 准入控制 安全防护 1 前言 随着计算机网络的日益复杂化，要保证网络准入控制的成功部署，需要进行大量的前期研究工作，主要包括分析部署需求、对网络设备进行评估选型、评估网络准入控制系统是否与当前的网络运行架构相适应等 2 地市烟草网络准入及终端管理的需求分析 2.1 需要对终端合法性进行检测 由于之前的地市烟草网络中，局域网是开放的，任何终端都能接入网络中，外来设备不需要任何验证就能随便插入到墙上端口中接入烟草内部网，进而访问内部网络中的资源。因此，非法用户根据这一弱点，可以从内部对烟草网络发动攻击，也可以盗取公司的敏感数据。这一内部缺陷使得公司必须要在网络入口出加强安全措施，采取相应的准入认证控制 2.2 需要对终端安全性进行判断 当前，随着办公自动化的推进，有大量的桌面终端接入地市烟草网络。这些终端所使用的系统，安装的软件都不尽相同，安全状态水平与不尽相同，有的终端可能自身存在着安全缺陷。信息安全领域中“木桶效应”就可以导致任一存在安全隐患的终端成为网络中的“最短板”，成为攻击者的突破口。例如，当某一终端的系统存在漏洞、安全配置不合理、未安装防火墙等都可能使其成为攻击的对象，而一旦被攻克，其就将成为病毒、蠕虫进攻内部网络的“桥头堡”，进行导致网络与系统瘫痪，使所有的正常业务都无法开展 2.3 需要支持多种准入控制方式 在烟草网络中存在着各种各样的终端，如桌面终端、网络打印机、网络传真机等。这些终端设备的应用场景与技术限制各不相同，这就要求地市烟草网络能支持多种准入控制方式，以确保所有的终端设备都能实现网络准入控制，杜绝出现控制盲区 综上，将网络准入控制系统与终端管理每张引入到地市烟草网络中已成为了烟草公司发展的必要，必须要用好这两个系统，加强对地市烟草网络的安全管理。这需要引起各级的高度重视 3 技术原理及应用模式 3.1 网络准入控制原理 网络准入控制是指利用相应的准备控制技术，对终端设备身份进行验证，使那些合法的、安全的、授权的终端接入到企业内网中，而将非法的、未经授权的设备挡在企业内网之外，防止不法攻击者对地市烟草网络的安全造成影响 资源访问控制策略是整个网络准入控制的核心模块，其将企业网络划分为用户区、设备联动区、策略控制区三部分，并通过不同的策略来实现对企业网络的全方位管控 （1）用户区安装相应的准入控制模块，从而实现用户身份认证、安全检查、准入策略联运等，达到终端控制与用户控制的目的 （2）设备联动区对网络中的交换机、路由器、防火墙、入侵检测系统等进行改造，使这些设备能够与安全策略控制区形成联动，并能实现数据交换、策略接收、策略执行、监测信息上传等功能，起到终端入网控制、问题终端隔离、安全网络隔离等作用 （3）资源访问控制策略系统是策略控制区的核心，其通过与DHCP服务器、漏洞补丁服务器、防病毒服务器、终端安全策略服务器、网管服务器等联动，并负责具体的安全策略部署下发、安全评估、资源访问控制、身份认证等任务，是整个网络准入控制的核心 当终端设备连接到企业网络准备接入时，客户终端的准入模块就会主动对客户端的基础配置、系统版本、补丁信息、防病毒版本等信息进行检测，并将其上传到资源访问策略控制系统。系统根据所上传的信息对用户进行身份认证，并对安全策略进行对比检查。若检测出终端为非法用户，则拒绝其接入企业网络；若检测为合法用户，但存在安全缺陷的则将其进行访问限制，限制其只能访问特定的网络区域，同时根据安全缺陷的类型提示终端进行漏洞修复、病毒库升级、终端信息检查等 3.2 网络准入控制技术在终端安全管理体系中的应用模式 地市烟草网络准入与终端管理系统的核心理念是从源头上消除网络威胁，将非法访问阻挡在网络之外，同时使用终端管理功能对已接入用户的网络行为进行规范，保证烟草网络的安全，避免出现安全事件 利用网络准入控制对需接入的终端进行安全检测，检测的内容有： 3.2.1 ?~户检查 检查用户的密码是否正确，以防止非法接入者安装相同的准入认证终端后接入网络 3.2.2 安全设置规范检查 根据企业的需求对终端的安全设置进行检查，主要检查终端是否开