终端计算机准入系统在泰安供电公司的实施-电力信息与通信技术.PDF

ELECTRIC POWER ICT 中图分类号：TP319　　文献标志码：B　　文章编号：2095-641X(2013)08-0109-05 终端计算机准入系统在泰安 供电公司的实施 周佳，张营，淳于岳松 （泰安供电公司，山东 泰安 27 1000 ） 摘要：随着公司计算机接入数量的迅速增长，终端安全管理的难度和重要性不断提高。为了统一管 理、提高运维效率，2009 年国家电网公司统推了北信源桌面终端标准化管理系统（简称桌面系统）。 由于桌面系统的接入控制功能较弱，致使桌面系统客户端安装率不高，影响了安全策略的实施。文章 从公司终端安全管理需求入手，调研主流的准入控制技术，结合企业网络现状，进行技术选型，制定组 网方案，逐步部署实施终端计算机准入系统，实现了终端的身份认证、安全状态检查、不合规自动隔离 修复。准入系统与桌面系统的成功结合，有效促进了内网的合规建设，提高了桌面系统使用效率，确 保了各项信息指标的先进性。 关键词：终端准入控制；dot1x；安全 安 全 防 护 的终端计算机进行安全状态检查 ，确保 为 已注册 、有 0　引言 杀毒 、补丁全 的守法用户 。 目前 泰安供 电公 司办公 内网共接入终端计算机 1　技术选型 1 300 余 台 ，桌 面 的运维及管理一直使用 国家 电网公 司统 推 的桌 面 系统 ，实 现 了资产 管 理 、软件 管 理 、补 根 据 安 全 策 略 的部 署 点 不 同 ，目前 业 界 采 用 的 丁管理 和安全管理 ，在 消除 内外 网混用 、非法拷 贝数 终端安全控制技术 主要分为 以下 4 种 [2] 。 据 、监 控 软 硬 件 变 化 等 方 面发 挥 了 巨大作 用 [1] 。但 1 ）出 口准入控制：部署 在安全域边界 。优 点是 是 ，上 述 功 能 的前 提是 终 端计 算 机 必 须 安 装 客户 端 部 署 简单 ，不 需 要 安 装 客户 端 。缺 点是 无 法识 别 用 程 序并 接 受 管 理 ，而该 系统 自身 的接 入 控 制 功 能较 户身份是否假 冒，无法控制终端在安全域 内的活动 。 弱 ，对 于没有 注册 或者 通 过 软件 防火墙 等 手 段 屏 蔽 2 ）服务器 准入控制：部署 在最 常访 问的应用服 注册 相关 通 信 端 口的终 端计 算 机 ，只能依 靠 人 工 实 务器上 ，如 DHCP 、DN S 、Web 或代 理服务器 。优缺 时监控 ，发现未注册或脱缰 的终端计算机 ，手动进行 点 与 出 口准入 相 同 ，而且更 容 易受 到诸 如 DHCP 等 技 术 阻断 ，然后 查 找 当事 人 进 行 整 改 。这 在很 大程 安 全 攻 击 。以上 2 种 方 式距 离 终 端 较 远 ，控 制 力 度 度 上 影 响 了公 司信 息 指标 的提 升 ，降低 了桌 面管 理 较弱 。 系统 的使 用 效 率 ，存 在 非 法 接 入 的安 全 隐患 。 因此 3 ）网络准入控制：从 网络入 口进行控制 。用户 我们 亟需 实施 终 端 安 全 准入 控 制 ，一 方 面能够 自动 接入 网络 时 ，必须运行 客户端软件 ，经过身份认证 和 对 想 入 网 的终 端计 算 机进 行 身份认 证 ，确保 为运 维 安 全 检查 ，通 过后 才 能使 用 网络 。优 点是 安 全