王偉+覃曉寧+張晉華

【摘 要】 隨著信息技術(shù)在各行各業(yè)中的廣泛應(yīng)用及互聯(lián)網(wǎng)的日益普及，信息化給各級政府部門和企事業(yè)單位的辦公帶來了極大的便捷。但信息安全威脅問題也日益受到重視，一些別具用心者通過各種手段盜取機關(guān)單位、企業(yè)內(nèi)部重要信息資產(chǎn)和敏感數(shù)據(jù)，并隨意傳播致使敏感信息外泄，給各單位帶來巨大經(jīng)濟損失，甚至危害國家安全。本文介紹了采用主機介入控制系統(tǒng)進行信息安全防護工作。

【關(guān)鍵詞】 信息外泄 主機 控制系統(tǒng)

1 現(xiàn)狀分析

面對信息極易泄露的形勢，國家相關(guān)機關(guān)為加強管理已頒布了許多政策和法規(guī)，各泄密部門和單位為確保信息安全，也采取了防火墻、入侵檢測防御、文件流轉(zhuǎn)監(jiān)控、移動存儲管理、數(shù)據(jù)深度清除等等相應(yīng)技術(shù)手段防止敏感信息泄露，并收到了較好的效果。但在各種變幻莫測的剽竊手段面前，必須未雨綢繆，多維度挖掘發(fā)現(xiàn)隱藏的安全漏洞，防患于未然。

2 技術(shù)方法研究

那么，除了應(yīng)用上述提到的各類防患技術(shù)和管理方法，還必須從技術(shù)層面進行深入探究，以了解當(dāng)前信息安全保護處于何種程度，還存在哪些不足，以便從根源上保護敏感信息安全，及時制止非法接入行為，避免無謂的經(jīng)濟損失和安全威脅。接下來，本文從主機接入控制方面闡述技術(shù)方法。

一般的接入控制是通過一組機制控制不同級別的主體對目標(biāo)資源的不同授權(quán)訪問，在對主體認(rèn)證之后實施網(wǎng)絡(luò)資源的安全管理使用。目前對主機接入控制普遍采用基于ARP（Address Resolution Protocol地址解析協(xié)議）欺騙或基于NAC（Network Admission control）技術(shù)，但對部署了ARP防火墻的主機接入無法阻斷，對部分三層交換機不起作用，現(xiàn)有技術(shù)的安全性和通用性或多或少存在缺陷，無法有效阻斷主機非法接入內(nèi)網(wǎng)的行為。本章節(jié)就如何有效解決好防止非法主機接入內(nèi)網(wǎng)的問題，對一種主機接入控制系統(tǒng)進行剖析和研究。

2.1 體系結(jié)構(gòu)

主機接入控制系統(tǒng)采用Client/Server（C/S）結(jié)構(gòu)（主機接入控制系統(tǒng)結(jié)構(gòu)如圖1），其包括若干包含代理客戶端的代理主機，進一步由控制中心管理各代理主機?？刂浦行呢?fù)責(zé)對代理主機的監(jiān)控管理和主機策略的管理，代理主機通過代理客戶端（可通過代理主機軟件實現(xiàn)，以下不再贅述）與控制中心進行通信，接收來自控制中心的動態(tài)加密鑰、主機白名單策略。

發(fā)送方代理客戶端判斷目標(biāo)主機是否在系統(tǒng)白名單策略中，若是，則直接發(fā)出數(shù)據(jù)包，否則，加密數(shù)據(jù)包之后再發(fā)出；接收方代理客戶端判斷源主機是否在防火墻白名單策略中，若是，則直接接收數(shù)據(jù)包，否則，解密數(shù)據(jù)包之后再接收。

進一步，控制中心的主機白名單策略實現(xiàn)對代理主機的安裝和登錄認(rèn)證進行控制，只有策略允許的主機方可安裝代理主機軟件?？刂浦行呐c代理主機通信采用TCP方式，控制中心作為監(jiān)聽端，代理主機作為連接的發(fā)起端，其中控制中心應(yīng)用層數(shù)據(jù)包處理流程如下：控制中心接收并緩沖主機發(fā)來的請求，處理該請求的數(shù)據(jù)包，判斷該請求包為登錄認(rèn)證包或是注冊請求包或為其它類型包，并按照判斷結(jié)果構(gòu)造相應(yīng)的響應(yīng)包。圖2為控制中心數(shù)據(jù)包處理過程。

加解密密鑰由控制中心統(tǒng)一生成，主機登錄成功后可從控制中心獲得密鑰，基于加密強度和性能的權(quán)衡考慮，加解密采用RC4流加解密算法，密鑰長度為256bits。具體可采用基于WINDOWS網(wǎng)絡(luò)驅(qū)動程序接口規(guī)范（NDIS）開發(fā)的網(wǎng)絡(luò)驅(qū)動過濾程序，其實現(xiàn)了對網(wǎng)絡(luò)數(shù)據(jù)包有針對性的加/解密處理。

主機白名單策略也是在發(fā)送方代理客戶端和接收方代理客戶端登錄控制中心后，由控制中心下發(fā)。通過控制中心的主機白名單策略實現(xiàn)對代理主機的安裝、注冊和登錄認(rèn)證進行控制，只有策略允許的主機方可成功安裝代理主機軟件。

另外，對于無法部署代理主機軟件的服務(wù)器或主機（例如網(wǎng)關(guān)設(shè)備、其它網(wǎng)絡(luò)設(shè)備或其它非WINDOWS平臺的主機或服務(wù)器），可將該主機加入到防火墻白名單例外策略，該策略記錄有不包含代理主機軟件的合法主機的IP地址或MAC地址，對這些主機的網(wǎng)絡(luò)通信數(shù)據(jù)包將不做加/解密處理，從而提高本系統(tǒng)的兼容性和適應(yīng)能力。

2.2 性能分析

安全內(nèi)網(wǎng)中的合法主機之間通過統(tǒng)一管理的密鑰加解密傳輸數(shù)據(jù)或者通過系統(tǒng)白名單策略傳輸數(shù)據(jù)，所以解決了針對普通主機接口控制系統(tǒng)的局限性，是一套通用性、安全性、可控性和可擴展性較強的主機接入控制的解決方案。

（1）通用性：既適應(yīng)于采用傳統(tǒng)網(wǎng)絡(luò)互聯(lián)設(shè)備（如HUB、老式交換機等）的局域網(wǎng)環(huán)境，又適合采用先進（如三層交換機）環(huán)境，故整體適應(yīng)性較強。

（2）安全性：對可信主機的通信數(shù)據(jù)包進行加/解密處理，使用不管非法主機如何接入都無法訪問安全局域網(wǎng)中的任何一臺主機，故安全性較高。

（3）可控性：本系統(tǒng)可對代理主機的安裝和登錄認(rèn)證進行授權(quán)，故可控性較高。

（4）可擴展性：目前桌面主機操作系統(tǒng)大部分是WINDOWS系統(tǒng)，隨著LINUX桌面平臺的發(fā)展（如UBUNTU、Fedora等），部分桌面主機采用LINUX操作系統(tǒng)，為了使安裝LINUX操作系統(tǒng)的終端主機也安全接入到本系統(tǒng)，則可利用LINUX平臺的Netfilter防火墻技術(shù)開發(fā)相應(yīng)的代理軟件，功能和WINDOWS平臺相同，故本技術(shù)方案具有較強的可擴展性。

3 結(jié)語

本文介紹了一種主機接入控制系統(tǒng)，該系統(tǒng)基于受信機制、流加解密、收發(fā)雙方客戶端代理、白名單策略，實現(xiàn)了可信主機的高安全接入控制——只有經(jīng)過授權(quán)許可的可信、可控、健康的主機才能接入到內(nèi)網(wǎng)，從根本上保護了內(nèi)網(wǎng)安全，防止不法分子接入內(nèi)網(wǎng)剽竊敏感資源和重要數(shù)據(jù)。當(dāng)然，信息安全是一個永恒的課題，“三分技術(shù)、七分管理”，經(jīng)統(tǒng)計，工作人員安全意識淡薄、監(jiān)管不力才是發(fā)生泄密事件的最普遍原因。因此，除了利用各種安全防護工具筑起安全保護之盾外，必須加強員工安全意識和提高管理人員的工作水平，只有這樣才能從根本上解決泄密問題的產(chǎn)生。

參考文獻：

[1]韓義波，宋莉.新一代網(wǎng)絡(luò)安全接入技術(shù)的分析與對比[J].科技信息（學(xué)術(shù)研究），2008年34期.

[2]蔣俊杰.身份識別與接入控制系統(tǒng)的研究與應(yīng)用[J].信息與電腦（理論版），2010年12期.

[3]閻彩英.淺析電子政務(wù)外網(wǎng)互聯(lián)網(wǎng)出口的安全技術(shù)構(gòu)架[J].中國信息界，2011年02期.

[4]劉海波，顧國昌，張國印.Internet信息涉密檢查系統(tǒng)的設(shè)計與實現(xiàn)[J].計算機工程與應(yīng)用，2004年09期.endprint

【摘 要】 隨著信息技術(shù)在各行各業(yè)中的廣泛應(yīng)用及互聯(lián)網(wǎng)的日益普及，信息化給各級政府部門和企事業(yè)單位的辦公帶來了極大的便捷。但信息安全威脅問題也日益受到重視，一些別具用心者通過各種手段盜取機關(guān)單位、企業(yè)內(nèi)部重要信息資產(chǎn)和敏感數(shù)據(jù)，并隨意傳播致使敏感信息外泄，給各單位帶來巨大經(jīng)濟損失，甚至危害國家安全。本文介紹了采用主機介入控制系統(tǒng)進行信息安全防護工作。

【關(guān)鍵詞】 信息外泄 主機 控制系統(tǒng)

1 現(xiàn)狀分析

面對信息極易泄露的形勢，國家相關(guān)機關(guān)為加強管理已頒布了許多政策和法規(guī)，各泄密部門和單位為確保信息安全，也采取了防火墻、入侵檢測防御、文件流轉(zhuǎn)監(jiān)控、移動存儲管理、數(shù)據(jù)深度清除等等相應(yīng)技術(shù)手段防止敏感信息泄露，并收到了較好的效果。但在各種變幻莫測的剽竊手段面前，必須未雨綢繆，多維度挖掘發(fā)現(xiàn)隱藏的安全漏洞，防患于未然。

2 技術(shù)方法研究

那么，除了應(yīng)用上述提到的各類防患技術(shù)和管理方法，還必須從技術(shù)層面進行深入探究，以了解當(dāng)前信息安全保護處于何種程度，還存在哪些不足，以便從根源上保護敏感信息安全，及時制止非法接入行為，避免無謂的經(jīng)濟損失和安全威脅。接下來，本文從主機接入控制方面闡述技術(shù)方法。

一般的接入控制是通過一組機制控制不同級別的主體對目標(biāo)資源的不同授權(quán)訪問，在對主體認(rèn)證之后實施網(wǎng)絡(luò)資源的安全管理使用。目前對主機接入控制普遍采用基于ARP（Address Resolution Protocol地址解析協(xié)議）欺騙或基于NAC（Network Admission control）技術(shù)，但對部署了ARP防火墻的主機接入無法阻斷，對部分三層交換機不起作用，現(xiàn)有技術(shù)的安全性和通用性或多或少存在缺陷，無法有效阻斷主機非法接入內(nèi)網(wǎng)的行為。本章節(jié)就如何有效解決好防止非法主機接入內(nèi)網(wǎng)的問題，對一種主機接入控制系統(tǒng)進行剖析和研究。

2.1 體系結(jié)構(gòu)

主機接入控制系統(tǒng)采用Client/Server（C/S）結(jié)構(gòu)（主機接入控制系統(tǒng)結(jié)構(gòu)如圖1），其包括若干包含代理客戶端的代理主機，進一步由控制中心管理各代理主機。控制中心負(fù)責(zé)對代理主機的監(jiān)控管理和主機策略的管理，代理主機通過代理客戶端（可通過代理主機軟件實現(xiàn)，以下不再贅述）與控制中心進行通信，接收來自控制中心的動態(tài)加密鑰、主機白名單策略。

發(fā)送方代理客戶端判斷目標(biāo)主機是否在系統(tǒng)白名單策略中，若是，則直接發(fā)出數(shù)據(jù)包，否則，加密數(shù)據(jù)包之后再發(fā)出；接收方代理客戶端判斷源主機是否在防火墻白名單策略中，若是，則直接接收數(shù)據(jù)包，否則，解密數(shù)據(jù)包之后再接收。

進一步，控制中心的主機白名單策略實現(xiàn)對代理主機的安裝和登錄認(rèn)證進行控制，只有策略允許的主機方可安裝代理主機軟件?？刂浦行呐c代理主機通信采用TCP方式，控制中心作為監(jiān)聽端，代理主機作為連接的發(fā)起端，其中控制中心應(yīng)用層數(shù)據(jù)包處理流程如下：控制中心接收并緩沖主機發(fā)來的請求，處理該請求的數(shù)據(jù)包，判斷該請求包為登錄認(rèn)證包或是注冊請求包或為其它類型包，并按照判斷結(jié)果構(gòu)造相應(yīng)的響應(yīng)包。圖2為控制中心數(shù)據(jù)包處理過程。

加解密密鑰由控制中心統(tǒng)一生成，主機登錄成功后可從控制中心獲得密鑰，基于加密強度和性能的權(quán)衡考慮，加解密采用RC4流加解密算法，密鑰長度為256bits。具體可采用基于WINDOWS網(wǎng)絡(luò)驅(qū)動程序接口規(guī)范（NDIS）開發(fā)的網(wǎng)絡(luò)驅(qū)動過濾程序，其實現(xiàn)了對網(wǎng)絡(luò)數(shù)據(jù)包有針對性的加/解密處理。

主機白名單策略也是在發(fā)送方代理客戶端和接收方代理客戶端登錄控制中心后，由控制中心下發(fā)。通過控制中心的主機白名單策略實現(xiàn)對代理主機的安裝、注冊和登錄認(rèn)證進行控制，只有策略允許的主機方可成功安裝代理主機軟件。

另外，對于無法部署代理主機軟件的服務(wù)器或主機（例如網(wǎng)關(guān)設(shè)備、其它網(wǎng)絡(luò)設(shè)備或其它非WINDOWS平臺的主機或服務(wù)器），可將該主機加入到防火墻白名單例外策略，該策略記錄有不包含代理主機軟件的合法主機的IP地址或MAC地址，對這些主機的網(wǎng)絡(luò)通信數(shù)據(jù)包將不做加/解密處理，從而提高本系統(tǒng)的兼容性和適應(yīng)能力。

2.2 性能分析

安全內(nèi)網(wǎng)中的合法主機之間通過統(tǒng)一管理的密鑰加解密傳輸數(shù)據(jù)或者通過系統(tǒng)白名單策略傳輸數(shù)據(jù)，所以解決了針對普通主機接口控制系統(tǒng)的局限性，是一套通用性、安全性、可控性和可擴展性較強的主機接入控制的解決方案。

（1）通用性：既適應(yīng)于采用傳統(tǒng)網(wǎng)絡(luò)互聯(lián)設(shè)備（如HUB、老式交換機等）的局域網(wǎng)環(huán)境，又適合采用先進（如三層交換機）環(huán)境，故整體適應(yīng)性較強。

（2）安全性：對可信主機的通信數(shù)據(jù)包進行加/解密處理，使用不管非法主機如何接入都無法訪問安全局域網(wǎng)中的任何一臺主機，故安全性較高。

（3）可控性：本系統(tǒng)可對代理主機的安裝和登錄認(rèn)證進行授權(quán)，故可控性較高。

（4）可擴展性：目前桌面主機操作系統(tǒng)大部分是WINDOWS系統(tǒng)，隨著LINUX桌面平臺的發(fā)展（如UBUNTU、Fedora等），部分桌面主機采用LINUX操作系統(tǒng)，為了使安裝LINUX操作系統(tǒng)的終端主機也安全接入到本系統(tǒng)，則可利用LINUX平臺的Netfilter防火墻技術(shù)開發(fā)相應(yīng)的代理軟件，功能和WINDOWS平臺相同，故本技術(shù)方案具有較強的可擴展性。

3 結(jié)語

本文介紹了一種主機接入控制系統(tǒng)，該系統(tǒng)基于受信機制、流加解密、收發(fā)雙方客戶端代理、白名單策略，實現(xiàn)了可信主機的高安全接入控制——只有經(jīng)過授權(quán)許可的可信、可控、健康的主機才能接入到內(nèi)網(wǎng)，從根本上保護了內(nèi)網(wǎng)安全，防止不法分子接入內(nèi)網(wǎng)剽竊敏感資源和重要數(shù)據(jù)。當(dāng)然，信息安全是一個永恒的課題，“三分技術(shù)、七分管理”，經(jīng)統(tǒng)計，工作人員安全意識淡薄、監(jiān)管不力才是發(fā)生泄密事件的最普遍原因。因此，除了利用各種安全防護工具筑起安全保護之盾外，必須加強員工安全意識和提高管理人員的工作水平，只有這樣才能從根本上解決泄密問題的產(chǎn)生。

參考文獻：

[1]韓義波，宋莉.新一代網(wǎng)絡(luò)安全接入技術(shù)的分析與對比[J].科技信息（學(xué)術(shù)研究），2008年34期.

[2]蔣俊杰.身份識別與接入控制系統(tǒng)的研究與應(yīng)用[J].信息與電腦（理論版），2010年12期.

[3]閻彩英.淺析電子政務(wù)外網(wǎng)互聯(lián)網(wǎng)出口的安全技術(shù)構(gòu)架[J].中國信息界，2011年02期.

[4]劉海波，顧國昌，張國印.Internet信息涉密檢查系統(tǒng)的設(shè)計與實現(xiàn)[J].計算機工程與應(yīng)用，2004年09期.endprint

【摘 要】 隨著信息技術(shù)在各行各業(yè)中的廣泛應(yīng)用及互聯(lián)網(wǎng)的日益普及，信息化給各級政府部門和企事業(yè)單位的辦公帶來了極大的便捷。但信息安全威脅問題也日益受到重視，一些別具用心者通過各種手段盜取機關(guān)單位、企業(yè)內(nèi)部重要信息資產(chǎn)和敏感數(shù)據(jù)，并隨意傳播致使敏感信息外泄，給各單位帶來巨大經(jīng)濟損失，甚至危害國家安全。本文介紹了采用主機介入控制系統(tǒng)進行信息安全防護工作。

【關(guān)鍵詞】 信息外泄 主機 控制系統(tǒng)

1 現(xiàn)狀分析

面對信息極易泄露的形勢，國家相關(guān)機關(guān)為加強管理已頒布了許多政策和法規(guī)，各泄密部門和單位為確保信息安全，也采取了防火墻、入侵檢測防御、文件流轉(zhuǎn)監(jiān)控、移動存儲管理、數(shù)據(jù)深度清除等等相應(yīng)技術(shù)手段防止敏感信息泄露，并收到了較好的效果。但在各種變幻莫測的剽竊手段面前，必須未雨綢繆，多維度挖掘發(fā)現(xiàn)隱藏的安全漏洞，防患于未然。

2 技術(shù)方法研究

那么，除了應(yīng)用上述提到的各類防患技術(shù)和管理方法，還必須從技術(shù)層面進行深入探究，以了解當(dāng)前信息安全保護處于何種程度，還存在哪些不足，以便從根源上保護敏感信息安全，及時制止非法接入行為，避免無謂的經(jīng)濟損失和安全威脅。接下來，本文從主機接入控制方面闡述技術(shù)方法。

一般的接入控制是通過一組機制控制不同級別的主體對目標(biāo)資源的不同授權(quán)訪問，在對主體認(rèn)證之后實施網(wǎng)絡(luò)資源的安全管理使用。目前對主機接入控制普遍采用基于ARP（Address Resolution Protocol地址解析協(xié)議）欺騙或基于NAC（Network Admission control）技術(shù)，但對部署了ARP防火墻的主機接入無法阻斷，對部分三層交換機不起作用，現(xiàn)有技術(shù)的安全性和通用性或多或少存在缺陷，無法有效阻斷主機非法接入內(nèi)網(wǎng)的行為。本章節(jié)就如何有效解決好防止非法主機接入內(nèi)網(wǎng)的問題，對一種主機接入控制系統(tǒng)進行剖析和研究。

2.1 體系結(jié)構(gòu)

主機接入控制系統(tǒng)采用Client/Server（C/S）結(jié)構(gòu)（主機接入控制系統(tǒng)結(jié)構(gòu)如圖1），其包括若干包含代理客戶端的代理主機，進一步由控制中心管理各代理主機?？刂浦行呢?fù)責(zé)對代理主機的監(jiān)控管理和主機策略的管理，代理主機通過代理客戶端（可通過代理主機軟件實現(xiàn)，以下不再贅述）與控制中心進行通信，接收來自控制中心的動態(tài)加密鑰、主機白名單策略。

發(fā)送方代理客戶端判斷目標(biāo)主機是否在系統(tǒng)白名單策略中，若是，則直接發(fā)出數(shù)據(jù)包，否則，加密數(shù)據(jù)包之后再發(fā)出；接收方代理客戶端判斷源主機是否在防火墻白名單策略中，若是，則直接接收數(shù)據(jù)包，否則，解密數(shù)據(jù)包之后再接收。

進一步，控制中心的主機白名單策略實現(xiàn)對代理主機的安裝和登錄認(rèn)證進行控制，只有策略允許的主機方可安裝代理主機軟件。控制中心與代理主機通信采用TCP方式，控制中心作為監(jiān)聽端，代理主機作為連接的發(fā)起端，其中控制中心應(yīng)用層數(shù)據(jù)包處理流程如下：控制中心接收并緩沖主機發(fā)來的請求，處理該請求的數(shù)據(jù)包，判斷該請求包為登錄認(rèn)證包或是注冊請求包或為其它類型包，并按照判斷結(jié)果構(gòu)造相應(yīng)的響應(yīng)包。圖2為控制中心數(shù)據(jù)包處理過程。

加解密密鑰由控制中心統(tǒng)一生成，主機登錄成功后可從控制中心獲得密鑰，基于加密強度和性能的權(quán)衡考慮，加解密采用RC4流加解密算法，密鑰長度為256bits。具體可采用基于WINDOWS網(wǎng)絡(luò)驅(qū)動程序接口規(guī)范（NDIS）開發(fā)的網(wǎng)絡(luò)驅(qū)動過濾程序，其實現(xiàn)了對網(wǎng)絡(luò)數(shù)據(jù)包有針對性的加/解密處理。

主機白名單策略也是在發(fā)送方代理客戶端和接收方代理客戶端登錄控制中心后，由控制中心下發(fā)。通過控制中心的主機白名單策略實現(xiàn)對代理主機的安裝、注冊和登錄認(rèn)證進行控制，只有策略允許的主機方可成功安裝代理主機軟件。

另外，對于無法部署代理主機軟件的服務(wù)器或主機（例如網(wǎng)關(guān)設(shè)備、其它網(wǎng)絡(luò)設(shè)備或其它非WINDOWS平臺的主機或服務(wù)器），可將該主機加入到防火墻白名單例外策略，該策略記錄有不包含代理主機軟件的合法主機的IP地址或MAC地址，對這些主機的網(wǎng)絡(luò)通信數(shù)據(jù)包將不做加/解密處理，從而提高本系統(tǒng)的兼容性和適應(yīng)能力。

2.2 性能分析

安全內(nèi)網(wǎng)中的合法主機之間通過統(tǒng)一管理的密鑰加解密傳輸數(shù)據(jù)或者通過系統(tǒng)白名單策略傳輸數(shù)據(jù)，所以解決了針對普通主機接口控制系統(tǒng)的局限性，是一套通用性、安全性、可控性和可擴展性較強的主機接入控制的解決方案。

（1）通用性：既適應(yīng)于采用傳統(tǒng)網(wǎng)絡(luò)互聯(lián)設(shè)備（如HUB、老式交換機等）的局域網(wǎng)環(huán)境，又適合采用先進（如三層交換機）環(huán)境，故整體適應(yīng)性較強。

（2）安全性：對可信主機的通信數(shù)據(jù)包進行加/解密處理，使用不管非法主機如何接入都無法訪問安全局域網(wǎng)中的任何一臺主機，故安全性較高。

（3）可控性：本系統(tǒng)可對代理主機的安裝和登錄認(rèn)證進行授權(quán)，故可控性較高。

（4）可擴展性：目前桌面主機操作系統(tǒng)大部分是WINDOWS系統(tǒng)，隨著LINUX桌面平臺的發(fā)展（如UBUNTU、Fedora等），部分桌面主機采用LINUX操作系統(tǒng)，為了使安裝LINUX操作系統(tǒng)的終端主機也安全接入到本系統(tǒng)，則可利用LINUX平臺的Netfilter防火墻技術(shù)開發(fā)相應(yīng)的代理軟件，功能和WINDOWS平臺相同，故本技術(shù)方案具有較強的可擴展性。

3 結(jié)語

本文介紹了一種主機接入控制系統(tǒng)，該系統(tǒng)基于受信機制、流加解密、收發(fā)雙方客戶端代理、白名單策略，實現(xiàn)了可信主機的高安全接入控制——只有經(jīng)過授權(quán)許可的可信、可控、健康的主機才能接入到內(nèi)網(wǎng)，從根本上保護了內(nèi)網(wǎng)安全，防止不法分子接入內(nèi)網(wǎng)剽竊敏感資源和重要數(shù)據(jù)。當(dāng)然，信息安全是一個永恒的課題，“三分技術(shù)、七分管理”，經(jīng)統(tǒng)計，工作人員安全意識淡薄、監(jiān)管不力才是發(fā)生泄密事件的最普遍原因。因此，除了利用各種安全防護工具筑起安全保護之盾外，必須加強員工安全意識和提高管理人員的工作水平，只有這樣才能從根本上解決泄密問題的產(chǎn)生。

參考文獻：

[1]韓義波，宋莉.新一代網(wǎng)絡(luò)安全接入技術(shù)的分析與對比[J].科技信息（學(xué)術(shù)研究），2008年34期.

[2]蔣俊杰.身份識別與接入控制系統(tǒng)的研究與應(yīng)用[J].信息與電腦（理論版），2010年12期.

[3]閻彩英.淺析電子政務(wù)外網(wǎng)互聯(lián)網(wǎng)出口的安全技術(shù)構(gòu)架[J].中國信息界，2011年02期.

[4]劉海波，顧國昌，張國印.Internet信息涉密檢查系統(tǒng)的設(shè)計與實現(xiàn)[J].計算機工程與應(yīng)用，2004年09期.endprint