网络准入控制系统让企业信息更安全

苏颢

摘要：通过实施网络准入控制系统，把企业安全策略渗透到内部网络的每一个角落，使企业信息系统维护改变了以往被动的工作状态，提高了信息安全水平，为企业平稳运行打下了良好的基础。

关键词：安全策略； 网络准入控制系统； 信息安全 A

进入二十一世纪，计算机网络技术飞速发展，在给人们带来便利的同时也产生了众多的安全问题。据FBI（Federal Bureau of Investigation 美国联邦调查局）和CSI（Computer Security Institute 计算机安全学会）对世界上484家大公司调查，发现企业的信息安全最大的隐患是来自于企业内部，而不是通过黑客攻击等外部手段泄漏了企业的机要信息。另据权威机构调查，在所有的安全事件中，有超过70%是发生在内部网络（内网）上的，随着网络的庞大化和复杂化，这一比例仍有增长趋势，企业内网信息安全面临着前所未有的挑战。如何净化内网的环境，保障网络正常运行成为企业信息化建设有待解决的首要问题。

一. 企业内部网络现状

企业内部网络经过几年的完善，已经发展成为拥有千余个客户端、10余种功用的局域网。尤其是近几年，随着ERP、LIMS等大型软件的应用，计算机应用真正融入了企业的生产管理中，成为企业生产运营不可缺少的一部分。随着企业信息化建设的不断深入，企业信息安全的问题也越来越重要。主要体现在以下几个方面：

1、 非法外联问题：企业有大量的合作伙伴，经常需要接入到单位网络，很容易伪造成一台内网中的机器接入；

2、 内网机器安检问题：系统没有补丁漏洞，杀毒软件没有及时的更新，终端用户的账号密码太简单等；

3、 入网审计问题：原有的审计系统只能针对IP进行审计，地点和安全状况等信息无法统计；

4、 终端安全修复问题：现有系统无法保障企业内部终端时刻处于安全健康的状态，也无法对非健康状态的设备进行安全修复。

针对以上问题，企业已经采取了不少措施，包括制定严密的信息安全管理规定，部署防病毒系统、桌面安全管理系统，定期开展信息安全培训等。虽然取得了部分成效，但是问题并没有得到彻底解决。

二. 网络准入系统的功能简介

网络准入控制系统是一个全方位的网络终端接入和边界管理系统，实现了“不改变网络架构，灵活安装客户端”的方便性部署；通过流程化的安全管理方式，实现了“违规不入网，入网必合规”的网络安全管理目标，大大提高了企业信息安全水平。

1.网络准入控制系统主要组件有：

终端安全检查软件 — 主要负责对接入的终端进行主机健康检查和进行网络接入认证。

网络接入设备 — 实施准入控制的网络设备。这些设备接受主机委托，然后将信息传送到策略服务器，在那里实施网络准入控制决策。

策略/AAA服务器——策略服务器负责评估来自网络设备的端点安全信息，并决定应该使用哪种接入策略（接入、拒绝、隔离或修复）。

2.网络准入控制系统工作原理：

网络准入系统能够对网络使用、安全管理中的各种元素，采用四个维度进行 管控，包括：终端、网络、人员、管理。通过四个维度的管控从而实现了终端、网络使用的过程化管理， 包括：网络终端设备和人员的双重授权——终端的安全检查与修复——访问权限的管理——终端的持续安全监控。

当终端设备接入网络时，首先和网络接入设备（如：交换机、无线AP、VPN等）进行交互通讯。然后，网络接入设备将终端信息发给策略/AAA服务器，对接入终端和终端使用者进行检查；即使用户有权进入网络，但是他们所使用的计算机也可能因为携带病毒或者蠕虫不适合接入内部网络，任何一项不符都会造成终端设备无法正常访问网络。最后，接入终端符合策略/AAA服务器上定义的策略后， 策略/AAA服务器会通知网络接入设备，对终端进行授权和访问控制。利用网络准入控制，企业能够减少病毒和蠕虫对企业运作的干扰，因为它能够防止易损主机接入正常网络。在主机接入正常网络之前，准入系统能够检查它是否符合企业最新制定的防病毒和操作系统补丁策略。可疑主机或有问题的主机将被隔离或限制网络接入范围，直到它经过修补或采取了相应的安全措施为止，这样不但可以防止这些主机成为蠕虫和病毒攻击的目标，还可以防止这些主机成为传播病毒的源头。

三. 网络准入控制部署后的效果

基于企业复杂的网络环境，我们采用分布式部署方式并引入企业原有的域控系统来进行用户的身份认证。随后，我们根据企业信息系统的具体情况和测试阶段得出的数据制定了相应的安全策略；同时，还对企业部署的其它信息安全系统进行绑定，做到优势互补，统一实施。安全策略保证系统实施完毕后，以前的问题得到了有效的解决。

1.確保接入网络的客户机符合企业安全管理的要求。

2.防止非法的外来电脑接入网络，影响内网的安全。

3.协助管理员解决内部用户私自接HUB等不安全的行为。

4.有效防止感染病毒、木马的桌面电脑和笔记本电脑直接接入内部网络，影响网络的正常运行。

我们使用网络准入控制系统的宗旨就是，防止非法用户、病毒、蠕虫、新兴黑客技术等对企业信息安全所造成的危害，只允许合法、安全的设备接入网络。

四.总结

网络准入控制系统让企业网络系统不再是“公共场所”，通过网络设备在接入端口处强制实施安全策略，只允许合法的、值得信任的终端设备（例如PC、服务器、PDA）接入网络，使企业信息安全策略体现在企业网络的每个角落，大大提高了企业信息安全水平。通过网络准入控制系统与其它信息安全产品的整合，形成一个更加强势的互补，为济南分公司信息安全提供更加可靠的保障。endprint