隨著信息技術(shù)的迅速發(fā)展，內(nèi)網(wǎng)由于安全機(jī)制缺乏，內(nèi)部漏洞造成的的威脅遠(yuǎn)大于從互聯(lián)網(wǎng)穿透防火墻造成的入侵威脅，而傳統(tǒng)的防護(hù)技術(shù)，如防火墻、IDS等均無法有效地進(jìn)行防范。因此，建立起一套行之有效的可操控和集中管理的信息安全保障系統(tǒng)勢在必行。網(wǎng)絡(luò)準(zhǔn)入控制（NAC）作為入網(wǎng)的安全保障平臺，對設(shè)備、人員進(jìn)行授權(quán)、安全評估、實(shí)時(shí)監(jiān)測、智能管控的—體化管理體系，從接入與使用兩個(gè)角度來建設(shè)全網(wǎng)立體安全防護(hù)體系，真正做到對資源分配和網(wǎng)絡(luò)安全的全面管理，全面提升網(wǎng)絡(luò)性能及安全架構(gòu)。

圖1 基于網(wǎng)絡(luò)終端管理部署示意圖

方案設(shè)計(jì)

為了減少和杜絕來自外部人員或單位內(nèi)部的各類違規(guī)操作，建立起一套行之有效的可操控和集中管理的信息安全保障系統(tǒng)勢在必行，采用網(wǎng)絡(luò)準(zhǔn)入控制（NAC）作為入網(wǎng)的安全保障平臺，對設(shè)備、人員進(jìn)行授權(quán)、安全評估、實(shí)時(shí)監(jiān)測、智能管控的一體化管理體系。從接入與使用兩個(gè)角度建立安全立體的防護(hù)體系，完成計(jì)算機(jī)終端接入控制、身份認(rèn)證、安全檢查、終端修復(fù)、權(quán)限控制、等功能，最終實(shí)現(xiàn)內(nèi)網(wǎng)終端的標(biāo)準(zhǔn)化、流程化安全管理。

終端接入控制方案的設(shè)計(jì)應(yīng)堅(jiān)持使內(nèi)部網(wǎng)絡(luò)安全防護(hù)具有先進(jìn)性、實(shí)用性、可靠性、兼容性、可擴(kuò)充性和靈活性等原則。如圖1所示，筆者單位選擇第3代準(zhǔn)入控制產(chǎn)品的某款入網(wǎng)規(guī)范管理系統(tǒng)，其部署簡單，無需客戶額外部署認(rèn)證服務(wù)器、無需安裝Agent代理、終端漏洞智能修復(fù)。通過網(wǎng)關(guān)級準(zhǔn)入方案，實(shí)現(xiàn)準(zhǔn)入管理全流程管理，從網(wǎng)絡(luò)接入層、核心層設(shè)備上安全、快速、準(zhǔn)確的阻斷一切非法或外來的終端設(shè)備接入網(wǎng)絡(luò)，防止別有用心的人通過接入控制管理漏洞而竊取單位內(nèi)網(wǎng)核心機(jī)密文件或資料。

1.入網(wǎng)設(shè)備統(tǒng)一規(guī)范準(zhǔn)入檢查項(xiàng)目

可以自行設(shè)置預(yù)置的25項(xiàng)準(zhǔn)入檢查項(xiàng)目，也可以自行增加內(nèi)網(wǎng)管理已經(jīng)部署的項(xiàng)目，如桌面終端管理等。通過終端準(zhǔn)入審核來實(shí)現(xiàn)員工、來賓上網(wǎng)權(quán)限管理。

依據(jù)審核內(nèi)容自動安裝殺毒軟件、系統(tǒng)補(bǔ)丁等，直至通過審核要求，如圖2所示。

當(dāng)用無線上網(wǎng)方式不符合管理綁定要求時(shí)無法通過認(rèn)證，被禁止上內(nèi)網(wǎng)，如果認(rèn)證通過則符合安全規(guī)則，則可以通過上內(nèi)網(wǎng)，如圖3所示。

圖2 審核提示

圖3 綁定要求提示

來賓接入內(nèi)網(wǎng)通過審核認(rèn)證后，通過來賓授權(quán)碼驗(yàn)證進(jìn)入內(nèi)網(wǎng)規(guī)定使用區(qū)域，從而保證內(nèi)網(wǎng)安全。

2.準(zhǔn)入控制功能

能夠依據(jù)設(shè)備的安全狀況或人員所屬角色對入網(wǎng)權(quán)進(jìn)行控制和管理。

網(wǎng)絡(luò)透視與角色管理

接入層交換機(jī)到終端計(jì)算機(jī)的網(wǎng)絡(luò)拓?fù)涔芾砟Ｐ停軌驅(qū)θW(wǎng)終端進(jìn)行終端對應(yīng)交換機(jī)端口的直觀拓?fù)湔故?。在拓?fù)湔故緢D上可以進(jìn)一步向下細(xì)化定位，直至每臺終端設(shè)備。也可以通過終端設(shè)備向上檢索，找到其連接的交換機(jī)，及該交換機(jī)在網(wǎng)絡(luò)中的位置、運(yùn)行情況和安全狀態(tài)等信息，通過網(wǎng)絡(luò)權(quán)限的角色控制，根據(jù)人員角色設(shè)定入網(wǎng)訪問的控制安全域，實(shí)現(xiàn)網(wǎng)絡(luò)權(quán)限的精細(xì)控制。

實(shí)施總結(jié)

通過ASM入網(wǎng)規(guī)范管理系統(tǒng)的應(yīng)用，對單位內(nèi)部的網(wǎng)絡(luò)架構(gòu)將實(shí)現(xiàn)規(guī)范化統(tǒng)一管理，并與桌面終端管理系統(tǒng)聯(lián)動，定期對入網(wǎng)設(shè)備進(jìn)行安全性檢查，通過安全性檢查與評估，獲得全網(wǎng)的整體安全性視圖，簡化安全管理、降低維護(hù)強(qiáng)度與管理成本，同時(shí)解決來賓使用內(nèi)網(wǎng)的數(shù)據(jù)安全問題。有了準(zhǔn)入管理控制系統(tǒng)，在沒有安裝桌面終端管理客戶端、系統(tǒng)沒有打補(bǔ)丁以及未安裝殺毒軟件等安全認(rèn)證項(xiàng)目沒通過，則無法通過內(nèi)網(wǎng)系統(tǒng)安全認(rèn)證，就無法使用內(nèi)網(wǎng)。通過安全系統(tǒng)建設(shè)項(xiàng)目的相互聯(lián)動，能及時(shí)發(fā)現(xiàn)終端存在的系統(tǒng)漏洞、病毒與木馬。

另外，通過身份識別、來賓訪問控制以及訪問管理等一系列的內(nèi)網(wǎng)安全措施，可形成全網(wǎng)各個(gè)項(xiàng)目和條例的詳細(xì)報(bào)表情況的歸檔文件，并作為網(wǎng)絡(luò)安全核查評定及信息安全等級保護(hù)的考核資料。