计算机网络终端准入控制技术的有效运用.docxVIP

?

?

计算机网络终端准入控制技术的有效运用

?

?

叶咏哲

摘要：计算机网络在实现工作和管理的高效率、加快社会生产力和产业链发展的同时，也给不法分子盗取机密、获取不正当利益提供了可能性，计算机网络终端准入控制技术是实现计算机网络安全的手段之一。本文阐述计算机网络终端准入技术理念和原理，归纳计算机网络终端准入控制技术实现方法，以期为行业应用提供参考。

关键词：准入控制技术;计算机;网络终端

1、引言

计算机网络广泛运用，网络安全隐患突显，网络恶意程序的感染、攻击、入侵或远程操控，会破坏网络安全运行，也会使终端资源受到侵害。为此，在终端接入网络时，应作必要的身份认证和安全检查，这就是网络准入控制技术形成原因，网络准入控制是网络安全管理的一种方案，是对身份认证、网络控制、终端安全等的整合。

计算机网络终端准入控制技术从终端接入入手，控制终端行为，从根源上提高计算机网络的安全性和稳定运行。

2、计算机网终端准入控制技术的原理

2.1准入控制技术的基本理念

针对终端系统不规范或安全级别过低造成的危害，边界防控的网络安全管理模式由于多样化网络接入边界的动态变化而产生许多问题。准入控制技术的控制方式本身具有多样化的功能优势，通过对网络和终端的接入控制，确保网络安全性。

网络可信接入控制机制的目的是网络安全，通过网络接入的身份认证和确认过程，避开危险网络连接，同时，针对终端自身进行安全性判定后再决定是否可连接外部网络，也杜绝了终端安全隐患的扩散。

2.2准入控制技术的运行机制

准入控制是主动型网络安全模式，以主动防御功能在终端接入前，对其进行身份认证和安全性验证，只允许可信且与安全策略相符的终端访问网络。

准入控制系统主动检测终端的安全状况，准入前检测是对要接入网络的终端做身份检查和认证，准入后的检测是对已接入的网络终端做定期检查，防止不合格网络终端侵入。

2.3准入控制技术的系统框架

准入控制系统通过对网络终端身份认证，触发相应程序系统进行识别，检查该网络终端的安全性。准入控制的核心是网络终端接入安全，通过第三方软件对终端接入进行强制认证，执行对应的安全策略。

一般准入控制方案由三个逻辑组件构成：接入请求、策略实施、策略决定，按顺序运行。应用中，依据网络功能和特点，还会增加一些功能和第三方系统以保障其有效性。

3、计算机网终端准入控制技术的应用

3.1用于网络安全检查

3.1.1规范安全设置

帐户设置目的是甄别网络终端，比如设置用户名、密码等作为识别依据;计算机网络终端登记的注册记录，可作为对注册用户进行筛查的依据。

网络终端的安全设置为系统账户检查提供依据，例如通过Windows系统安全机制相关的设置，检查终端及其权限，检查终端系统安全软件和防病毒软件等的状况，检查终端注册表项，检查终端所安装软件的合法性。

3.1.2检查账户

审核网络接入终端用户的帐户，拒绝非法接入。帐户审核是网络接入时要求以用户名、密码登入，通过双重识别判断接入终端是否符合要求。对于机密网站和企业后台，其重要性在于防止不法分子侵入后窃取或篡改重要数据。

3.1.3检查注册ID

查看网络终端内其他网络注册登记记录，检查网络接入终端与要接入网络的安全管理规范是否相符，避免不具有ID资格的终端接入。

3.2用于网络安全管理与控制

3.2.1安全加固

准入控制技术可对网络接入终端的接入账户、界面控制、共享资源等进行安全加固，强制终端执行安全管理规范、安装和更新防病毒软件，自动升级终端补丁包，有效提升终端的自抗能力。

3.2.2安全检查

网络安全检查是为了防范非法进入网络。网络终端安全检查工作专业性较强，需专业人员人工检查，并及时升级安全系统。要定期检查注册用户，清除不准接入网络的用户，增加合法新用户等;须不定期检查系统，清除病毒程序，及时更新防火墙，并做安全日志等。

3.2.3安全评估

准入控制技术可对网络终端的运行状态和安全设置做准确评估，允许管理人员自定义设置终端安全策略，比如账户口令、共享权限、危险程序是否曾运行，最新补丁包、防病毒软件、病毒特征库等的更新状况，终端网络访问流量等。

3.2.4安全审计

准入控制技术可对网络终端做全方位安全审计，对终端内部运行的软件做合法性审计，一旦在审计中发现问题，管理人员可随时集中设置、管理终端，对终端的安全设置状况做检查，并分发补丁。设备定位功能可使管理人员对非法网络终端做快速定位，并采取措施防止攻击扩散，特殊情况下可直接将可疑终端的连接断开。

3.2.5设备管理

可支持管理人员对连接入网络设备的软硬件配置状况做统计和汇总，并分级别差异地对安全事件对应采取处理措施，确保网络终端在运行中的安全事件得到及时处理。

3.3、MAC认证与防火墙技术

MAC认证方法是计算机网络终端准入控制技术的一种，通过MAC可对系统外网络访问进