研究准入控制技术在计算机网络终端中的应用

李丰

摘 要准入控制技术主要是提前制定相关的安全管理对策，对网络终端的各类用户进行严格的身份认证与安全检查，确保网络终端访问的安全性，对于一些危险或者不安全的终端接入进行拒绝或者限制，通过这种方式提升网络的防御功能，确保网络运行的安全性。本文主要就准入控制技术在计算机网络终端中的应用进行分析与阐述。

【关键词】准入控制技术 计算机 网络终端

1 前言

近年来，计算机网络技术的发展速度日益加快，计算机网络技术在人们日常的生活和工作中都得到了广泛的运用，虽然给人们的生活和工作带了很多的方便，也给网络终端的安全管理带来了极大的挑战，网络终端经常受到各种恶意程序的感染和攻击，对网络终端的安全运行造成影响。因此，在各类终端接入到网络前，就应该对其身份进行严格的认证，对终端进行严格的安全检查，以确保网络运行的安全。而网络准入控制技术就是在此基础上产生的，是一种新型的网络安全管理方案，该项技术对身份认证、网络控制以及终端安全等进行了有效的整合，大幅度提高了现代计算机网络运行的安全性。

2 准入控制技术的基本原理

2.1 准入控制技术的理念

有关的统计数据显示，计算机网络攻击多数是因为用户使用终端时不规范或系统的安全级别较低造成的，许多网络的安全管理模式依然还是比较注重边界防控与保护，把安全防护的重点放在了内外网的边界。但是随着网络接入方式的多样化，计算机网络边界的动态变化速度日益加快，边界防护中存在着许多的问题。而准入控制技术就是通过多样化的控制方式，发挥准入技术的功能优势，从保护对象与开发模式进行明确划分，通过网络与终端两方面的可信接入控制，前者主要是把网络视作为可信主体，终端接入作为不可信任的主体，以此来确保各类终端接入到网络之后，网络系统运行的安全性。

2.2 准入控制技术的运行机制

准入控制是一种主动型的网络安全管理技术，注重主动防御的功能，以此来提高网络系统的安全性。准入控制技术可以在终端接入到网络之前，便对终端身份进行严格认证，对终端的安全性进行确认，最终只让可信，并且与相关的安全策略符合的终端才能访问网络，而不符合安全策略的终端设备则不允许接入，或者把终端设备先放到隔离区进行修复或者对其可访问的资源进行限制。

2.3 准入控制技术的系统框架

计算机网络终端准入控制技术的核心概念，就是从以网络终端接入的安全着手，对身份认证、安全策略的执行以及网络设备联动进行有效的结合，加上第三方软件控制系统，对终端接入进行强行认证，并严格落实各项安全策略，以此来确保整个网络系统运行的安全性。目前，大部分准入控制方案都是由三个逻辑部件组成，分别是策略实施构件、接入请求构件（AR）及策略决定部构件，而具体的应用过程中，还包括特定的第三方服务构件。

3 准入控制技术在计算机网终端中的应用

3.1 在网络安全检查中的应用

（1）账户检查，对网络接入终端的用户名与密码进行严格的检查，以免不法分子私自安装上相同的Agent之后，私自接入网络。

（2）严格规范安全设置，包括终端安全设置，系统账户检查，检查Guest账户与弱口令，检查Windows域，检查网络终端有没有加入相关的Windows域域，对可写的共享设置进行检查，对终端有无设置可写或无权限限定的可写共享进行检查，查看终端系统中是否安全了补丁软件，对终端内部的防病毒软件安装情况与升级情况进行检查，对终端中存在危险性的注册表项进行检查，检查终端内是否有危险文件和有无安装一些非法性软件。

（3）对终端注册ID进行严格的检查，查看终端内部是否有其他的网络注册或者登记过，检查网络接入的终端是否与相关的接入安全管理规范相符，以防止可疑终端的接入。

3.2 在网络安全管理与控制中的运用

3.2.1 安全加固

准入控制技术可以对网络接入终端的账户和屏保口令、共享目录以及自动加载服务进行安全加固，以强制性的方式将与终端安全管理规范相关的防病毒软件强制接入，并对病毒特征库进行更新，且自动安装上最新的终端补丁包，可有效提高终端的抗攻击能力。

3.2.2 安全评估

准入控制技术可以对连网终端的运行的状态与安全设置进行准确评估，让管理人员可以对终端安全策略进行自动定义，例如账户口令是否是强制性口令，目录是否存在可写共享，是否曾运行过危险程序或者危险软件，是否安装了最新的补丁包、防病毒软件、病毒特征库的更新情况以及终端网络的具体访问流量等。

3.2.3 安全审计

准入控制技术可以对网络内部各个终端设备的网络访问与操作行为进行安全审计，对终端的文件拷贝、FTP、mail以及互联网访问的行为等进行全方位审计，对终端内部有没有运行过非法软件进行审计，是否存在未经允许就可以自动对计算机中的软件与硬件配置进行更改的软件，一旦在评估与审计过程中发现问题，管理人员可以随时对终端进行集中设置与管理，以集中控制的方式对终端内部各类批量信息进行统计与查询，如策略的分发，以集中、分组以及批量处理的方式，对计算机终端的安全设置情况与状态进行检查，并分发补丁管理与软件，以此来减少终端管理人员的工作量。例如，远程控制功能，可以让终端系统的维护人员能够以远程方式对终端设备进行控制与保护。设备定位功能，可以让管理人员能够对接入网络终端设备进行快速的定位，并采取有效的措施防止攻击进一步扩散，特殊情况下可以直接将可疑设备与终端的连接断开。资产管理功能，可以帮助管理员对连接入网络中各类设备的软硬件配置情况进行统计与汇总，并对级别不一样的安全事件，采取对应处理措施，确保网络终端运行过程中的各类安全事件能够及时到得到处理，确保计算机网络运行的安全性。

4 结束语

总之，准入控制技术将终端的安全作为控制的根本，将准入控制作为安全管理的手段，对各类网络安全技术与设备进行综合运用，促进了计算机网络安全管理的相关安全策略的落实，大幅度的提升了计算机网络终端的主动防御、整体防御以及综合防御能力，确保了计算机网络终端运行的安全性。

参考文献

[1]刘美娟.网络准入控制技术在企业中的应用探讨[J].电脑编程技巧与维护，2016，04：83-84.

[2]李锁雷，王晨，李恒训，等.公安网终端计算机准入控制安全管理技术研究[J].警察技术，2015，01：54-56.

作者单位

南阳医学高等专科学校 河南省南阳市 473000