（福建省煙草公司南平市公司，福建南平 354200）

0 背景

地市煙草計算機網(wǎng)絡(luò)規(guī)模龐大，信息接入點非常多，雖然在網(wǎng)絡(luò)邊界部署了防火墻、漏洞掃描、防病毒、IPS等防御措施，但由于內(nèi)部網(wǎng)絡(luò)計算機終端引發(fā)的安全問題仍時有發(fā)生。特別是蠕蟲病毒、ARP病毒、DDOS病毒等不僅對終端本身的安全造成危害，還會影響整個網(wǎng)絡(luò)的運行，對正常辦公和業(yè)務(wù)開展帶來不利影響。當(dāng)前，地市煙草計算機網(wǎng)絡(luò)中最主要的威脅來源于因終端隨意接入網(wǎng)絡(luò)所帶來的各類病毒與蠕蟲。為了有效應(yīng)對這些威脅，必須要采取多層次、主動的安全防護技術(shù)，從源頭上杜絕蠕蟲與病毒的威脅。特別是當(dāng)新終端要接入煙草網(wǎng)絡(luò)時，必須要確保該終端是否受到保護，是否符合安全策略要求。

當(dāng)前，終端安全主要存在以下三個方面的問題：（1）安全防護措施覆蓋不完全，不能對所有的終端進行保護；（2）終端接入控制機制不嚴(yán)，存在非法接入煙草網(wǎng)絡(luò)的情況；（3）終端管理不力，私購終端接入網(wǎng)絡(luò)，非法接入網(wǎng)絡(luò)等現(xiàn)象時有發(fā)生。這三個方面的問題對煙草計算網(wǎng)絡(luò)的安全造成了嚴(yán)重威脅。

隨著接入網(wǎng)點的增加，數(shù)據(jù)的高速積累，網(wǎng)絡(luò)安全準(zhǔn)入控制變得越來越重要。為做好準(zhǔn)入工作，需要提前進行廣泛調(diào)研。主要工作包括：分析具體的部署需求，對網(wǎng)絡(luò)設(shè)備進行安全等級評估，評估準(zhǔn)入制度是否滿足未來需要，系統(tǒng)架構(gòu)是否具有可控性等。

1 準(zhǔn)入控制現(xiàn)狀及需求分析

1.1 地市煙草網(wǎng)絡(luò)建設(shè)現(xiàn)狀分析

地市煙草網(wǎng)絡(luò)一般由機關(guān)風(fēng)局域網(wǎng)絡(luò)及分支機構(gòu)網(wǎng)絡(luò)兩部分組成，現(xiàn)已實現(xiàn)對市局公司、縣市局公司的全覆蓋，并全面支持802.1X網(wǎng)絡(luò)協(xié)議，使用的網(wǎng)絡(luò)配置較高。在市公司機關(guān)局域網(wǎng)中主要采取的是分區(qū)分域的網(wǎng)絡(luò)架構(gòu)，各個分區(qū)的網(wǎng)絡(luò)匯聚到分區(qū)交換機以后再與核心路由器連接。整個網(wǎng)絡(luò)在核心設(shè)備與關(guān)鍵網(wǎng)絡(luò)中實行冗余設(shè)計，提高數(shù)據(jù)傳輸處理的同時，保證網(wǎng)絡(luò)的可靠性。機關(guān)局域網(wǎng)的互聯(lián)網(wǎng)出口設(shè)置在機關(guān)信息中心，并部署防火墻等安全設(shè)備。然而，在地市煙草數(shù)據(jù)網(wǎng)絡(luò)中存在的最大問題是網(wǎng)絡(luò)向全部用戶開放，而沒有接入控制措施。此外，網(wǎng)絡(luò)缺乏集中統(tǒng)一管理機制，當(dāng)終端出現(xiàn)問題時，必須要由管理員親自維護，費時費力。

1.2 地市煙草網(wǎng)絡(luò)準(zhǔn)入及終端管理的需求分析

1.2.1 終端合法性的檢測策略及方法

我們建設(shè)地市煙草網(wǎng)絡(luò)，一般是基于互聯(lián)網(wǎng)建設(shè)的，并沒組建專網(wǎng)，所以一般設(shè)備很容易接入其中。因此，用戶可以通過互聯(lián)網(wǎng)，很容易獲得內(nèi)網(wǎng)信息。這一缺陷使得煙草公司必須加強網(wǎng)絡(luò)管理，對網(wǎng)絡(luò)接入進行嚴(yán)格的網(wǎng)絡(luò)控制，才能保證相關(guān)數(shù)據(jù)的安全。

1.2.2 對網(wǎng)絡(luò)終端的安全性進行深入判斷

當(dāng)前，隨著日常工作越來越依靠互聯(lián)網(wǎng)，煙草公司接入互聯(lián)網(wǎng)的終端數(shù)發(fā)生幾何級增長。這些終端在結(jié)構(gòu)上存在異構(gòu)型（型號、CPU、內(nèi)存不同），所安全的軟件各式各樣。各個系統(tǒng)的漏洞也多種多樣，操作系統(tǒng)漏洞、軟件配置漏洞、數(shù)據(jù)庫漏洞、木馬、病毒等都可以影響這些系統(tǒng)運行。更重要的是一個漏洞可能被利用，從而侵入內(nèi)網(wǎng)，控制更多的計算機，從而影響整個系統(tǒng)的運行。

1.2.3 多種準(zhǔn)入控制方式利用煙草終端的控制

在煙草網(wǎng)絡(luò)中所具有的設(shè)備多種多樣：傳統(tǒng)的計算機、服務(wù)器、手持PoS、存儲器、打印機等。這些終端設(shè)備提供不同功能，也具有不同的應(yīng)用場景，引入多種準(zhǔn)入控制方式，才能保證所有終端設(shè)備都能實現(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制，為煙草行業(yè)運行提供方便，杜絕出現(xiàn)控制盲區(qū)。

1.2.4 需要降低桌面終端管理壓力

當(dāng)前在地市煙草網(wǎng)絡(luò)中，仍然是采用手工處理方法對桌面終端進行管理與統(tǒng)計。這種方法的缺陷是非常明顯的：（1）不能方便地對網(wǎng)絡(luò)中的各種終端進行管理，無法監(jiān)控各個終端設(shè)備的變化，導(dǎo)致終端設(shè)備管理混亂無章；（2）桌面終端的升級與更新依賴手工進行，不僅浪費了大量的人力資源，也會導(dǎo)致系統(tǒng)更新不及時，給網(wǎng)絡(luò)帶來安全隱患?；诖耍烂娼K端管理技術(shù)的引入已成為地市煙草網(wǎng)絡(luò)安全工作的重中之重。利用桌面終端管理系統(tǒng)，不僅可以提升工作效率，減少不必要的人才開支，也能對終端進行集中統(tǒng)一管理，提高安全性。

綜上所述，網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)和終端管理對地市煙草網(wǎng)絡(luò)的安全平穩(wěn)運行非常重要，兩個系統(tǒng)相互協(xié)作，才能滿足地市煙草網(wǎng)絡(luò)的安全管理需求，各級煙草公司應(yīng)當(dāng)高度重視兩方面的相互協(xié)作。

2 網(wǎng)絡(luò)準(zhǔn)入控制方法、技術(shù)及應(yīng)用模式

2.1 網(wǎng)絡(luò)準(zhǔn)入控制方法及原理

網(wǎng)絡(luò)準(zhǔn)入控制是指采用軟/硬件系統(tǒng)，實現(xiàn)系統(tǒng)的控制技術(shù)，對終端設(shè)備及用戶身份進行驗證，使那些通過系統(tǒng)認(rèn)證的，滿足認(rèn)證條件的終端接入到煙草企業(yè)內(nèi)網(wǎng)中，而阻止非法的、未得到授權(quán)的設(shè)備登錄到系統(tǒng)，從而達到防止不法攻擊者對地市煙草網(wǎng)絡(luò)的侵犯、攻擊。

資源訪問控制策略在網(wǎng)絡(luò)準(zhǔn)入控制擔(dān)當(dāng)主要的作用。煙草企業(yè)網(wǎng)絡(luò)同其企業(yè)一樣，可劃分為三個區(qū)域：用戶區(qū)、設(shè)備聯(lián)動區(qū)、策略控制。對不同區(qū)域，由于需求不同，采用不同的策略實現(xiàn)網(wǎng)絡(luò)的安全監(jiān)控，并通過不同的策略來實現(xiàn)對企業(yè)網(wǎng)絡(luò)的全方位管控。對三個區(qū)域，采用工具、人工、協(xié)同工作的方式發(fā)現(xiàn)問題，待問題終端完成安全缺陷修復(fù)后，準(zhǔn)入控制模塊再次根據(jù)訪問控制策略對其進行認(rèn)證；資源訪問策略控制系統(tǒng)檢測出來的合法且不存在安全缺陷的用戶可正常接入企業(yè)網(wǎng)絡(luò)，并在權(quán)限內(nèi)實現(xiàn)正常的訪問，但其使用網(wǎng)絡(luò)的相關(guān)情況需要被安全策略服務(wù)器實時監(jiān)控并記入日志[1]。

2.2 網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)實現(xiàn)方式

網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)的實現(xiàn)方式有多種，目前較為常用的主要有以下幾類：基于802.1協(xié)議族的網(wǎng)絡(luò)準(zhǔn)入控制方式；EOU思科網(wǎng)絡(luò)準(zhǔn)入控制；網(wǎng)關(guān)型網(wǎng)絡(luò)準(zhǔn)入控制方式；基于DHCP的網(wǎng)絡(luò)準(zhǔn)入控制；基于ARP的網(wǎng)絡(luò)準(zhǔn)入控制。各類準(zhǔn)入控制技術(shù)的對比如表1所示[2]。

上述幾類網(wǎng)絡(luò)準(zhǔn)入控制方式中（如圖1所示），其中802.1X協(xié)議的控制方式因其安全可靠、支持設(shè)備多等優(yōu)點在市場中得到了大量的應(yīng)用。

2.3 網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)在終端安全管理體系中的應(yīng)用模式

地市煙草網(wǎng)絡(luò)準(zhǔn)入與終端管理系統(tǒng)二者系統(tǒng)工作，才能從源頭上消除網(wǎng)絡(luò)威脅，保證應(yīng)用系統(tǒng)的安全，防止非法訪問，同時記錄接入用戶的網(wǎng)絡(luò)行為，規(guī)范日常操作，為煙草網(wǎng)絡(luò)的安全運行提供保障，避免出現(xiàn)安全事件。

每個終端在接入企業(yè)網(wǎng)絡(luò)時就需要進行認(rèn)證，因此需要將網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)與終端管理技術(shù)進行整合，具體的整合架構(gòu)如圖1所示[3]。

認(rèn)證管理的具體流程如下：

首先網(wǎng)絡(luò)準(zhǔn)入控制需要對接入的終端進行多方面的安全檢測，檢測主要從下面三個方面進行：

表1 幾種網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)比較

圖1 網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)和終端安全管理結(jié)合架構(gòu)

（1）賬戶認(rèn)證。檢查用戶的密碼與賬戶是否匹配，防止非法用戶登錄系統(tǒng)獲得數(shù)據(jù)。這里包括驗證次數(shù)設(shè)置，密碼恢復(fù)策略等多方面的內(nèi)容。

（2）安全設(shè)置規(guī)范檢查。日常管理才是安全管理的重中之重，需要根據(jù)企業(yè)的需求對終端的安全設(shè)置制定相關(guān)的制度，其內(nèi)容包括：關(guān)閉訪客賬戶、弱口令檢測、Windows域名檢測、系統(tǒng)漏洞升級更新、共享權(quán)限控制、防病毒軟件病毒特征庫更新等。

（3）終端注冊ID檢查。對接入的終端ID進行檢查，只允許已經(jīng)注冊成功的ID登入，拒絕其他ID，并記錄所有登錄行為。

其次，可對接入網(wǎng)絡(luò)的終端進行進一步的安全管理與控制，包括以下幾個方面：

（1）安全加固。針對接入網(wǎng)絡(luò)的終端進行安全加固，主要包括：對系統(tǒng)密碼、屏保密碼等進行加固，關(guān)閉系統(tǒng)自動加載服務(wù)、關(guān)閉移動存儲介質(zhì)自動播放、關(guān)閉系統(tǒng)目錄共享、強制終端安裝指定的殺毒軟件與防火墻軟件、自動對接入終端進行系統(tǒng)升級、自動對接入終端進行殺毒軟件更新等。

（2）安全評估。系統(tǒng)管理員根據(jù)網(wǎng)絡(luò)的運行情況對網(wǎng)絡(luò)中所有接入的終端的安全狀態(tài)進行初步實時評估，主要包括：評估終端的系統(tǒng)密碼是否是滿足復(fù)雜度、檢測終端是否開放了系統(tǒng)共享、檢測終端運行的進程與線程是否存在危險；檢測終端是否及時對系統(tǒng)漏洞進行了更新；檢測終端的網(wǎng)絡(luò)流量是否正常；檢測終端的網(wǎng)絡(luò)行為是否存在異常等。

（3）安全審計。管理員可利用終端管理控制系統(tǒng)對接入網(wǎng)絡(luò)各終端的行為進行安全審計，通過對終端上的文件操作行為、網(wǎng)絡(luò)行為等確定終端是否存在非法操作、是否安裝了非法軟件、是否對安全設(shè)置進行了更改。一旦發(fā)現(xiàn)終端存在著不安全的行為，則可對其進行遠程管理與控制。同時，管理員還可利用終端集中控制平臺，對終端進行批量查詢與操作，例如分組、批量或集中對桌面終端進行安全狀態(tài)查詢或安全設(shè)置；集中向桌面終端分發(fā)系統(tǒng)補丁或殺毒軟件更新包；對指定的終端設(shè)備進行遠程控制與操作；對系統(tǒng)中出現(xiàn)的不安全設(shè)備進行快速定位，并采取相應(yīng)的措施來阻止網(wǎng)絡(luò)攻擊的擴散；對網(wǎng)絡(luò)上所有的終端設(shè)備進行統(tǒng)計匯總，以方便進行資產(chǎn)管理等?？傊踩珜徲嬁蓭椭到y(tǒng)管理員針對不同的安全事件采取不同的處理流程，確保安全事件能得到快速有效處理[4]。

3 應(yīng)用

3.1 產(chǎn)品原則

3.1.1 要選擇優(yōu)質(zhì)的產(chǎn)品

在選擇產(chǎn)品時要選擇具有良好適應(yīng)性的產(chǎn)品，以避免對現(xiàn)有網(wǎng)絡(luò)進行較多的發(fā)行；要選擇技術(shù)成熟的網(wǎng)絡(luò)準(zhǔn)入控制方案，要能夠?qū)崿F(xiàn)快速部署，不需要在終端上進行客戶端安裝，不要對終端用戶的正常使用產(chǎn)生影響，要方便管理；要選擇擴展性好的產(chǎn)品，要能實時對安全檢查引擎進行升級；要選擇具備終端認(rèn)證、訪問控制、安全修復(fù)等功能的產(chǎn)品，要與企業(yè)的實際情況相符，選擇功能完備的產(chǎn)品。

3.1.2 要選擇實力較強的安全廠商

企業(yè)網(wǎng)絡(luò)準(zhǔn)入控制是一項復(fù)雜的工程，因此在項目建設(shè)上必須要選擇專業(yè)實力強、工作經(jīng)驗豐富的安全廠商。只有實力強的安全廠商，才擁有專業(yè)的技術(shù)服務(wù)團隊，才能為企業(yè)提供優(yōu)勢、專業(yè)的網(wǎng)絡(luò)準(zhǔn)入控制項目建設(shè)服務(wù)，才能在后期的維護中提供專業(yè)的技術(shù)支持。從某種程度而言，網(wǎng)絡(luò)準(zhǔn)入控制產(chǎn)品的技術(shù)服務(wù)遠比產(chǎn)品本身重要，原因主要有：在項目建設(shè)的前期，需要經(jīng)驗豐富的安全技術(shù)人員根據(jù)企業(yè)的實際情況對系統(tǒng)進行方案規(guī)劃；在項目建設(shè)中，需要完整的建設(shè)計劃與管理制度，確保準(zhǔn)入控制項目建設(shè)順利；在項目建設(shè)完成后，還需要有完善的技術(shù)支持服務(wù)，以便及時解決系統(tǒng)在運行中出現(xiàn)的各種問題。而這些，都需要技術(shù)實力強、規(guī)模較大的安全廠商才能做到，因此在選擇網(wǎng)絡(luò)準(zhǔn)入控制產(chǎn)品時，不僅要重視產(chǎn)品本身的功能，還要重視對生產(chǎn)廠商實力的考察。

3.2 建設(shè)步驟

3.2.1 要明確網(wǎng)絡(luò)準(zhǔn)入控制建設(shè)要達到的目標(biāo)

首先要對企業(yè)網(wǎng)絡(luò)所存在的問題與威脅進行明確，深入分析網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)所要保護的對象以及實施網(wǎng)絡(luò)準(zhǔn)入控制后所帶來的積極與消極影響。只有符合企業(yè)實際需求才可解決企業(yè)網(wǎng)絡(luò)安全所面臨的問題，并且在企業(yè)所帶來的好處大于建設(shè)成本時，網(wǎng)絡(luò)準(zhǔn)入控制項目才有建設(shè)的可行性。

3.2.2 要明確企業(yè)網(wǎng)絡(luò)準(zhǔn)入控制項目的實施對象和范圍

在建設(shè)中，網(wǎng)絡(luò)準(zhǔn)入控制安全廠商通常會為建設(shè)企業(yè)提供相應(yīng)的項目實施范圍參考，企業(yè)通過對自身的實際需求調(diào)研，再與廠商進行討論，并對項目建設(shè)的內(nèi)容進行分析，權(quán)衡項目的利弊，綜合各方面的因素以確認(rèn)實施范圍是否合理可行，是否需要有增加或刪除的地方。

3.2.3 要選擇合適的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)

當(dāng)確定好網(wǎng)絡(luò)準(zhǔn)入控制項目實施范圍后，就需要對網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)進行選擇。由于網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)可在企業(yè)網(wǎng)絡(luò)的任意位置上進行，因此需要在項目建設(shè)中確定執(zhí)行點。項目建設(shè)企業(yè)需要根據(jù)自己的實際情況對執(zhí)行點進行選擇，在選擇執(zhí)行點時要確保不對終端用戶的使用造成困擾。從當(dāng)前網(wǎng)絡(luò)準(zhǔn)入控制的應(yīng)用情況來看，執(zhí)行點通常選擇在企業(yè)的內(nèi)聯(lián)上。

3.2.4 進行成本分析和測試

網(wǎng)絡(luò)準(zhǔn)入控制項目建設(shè)成本與建設(shè)企業(yè)的設(shè)計選擇密切相關(guān)，因此在建設(shè)中企業(yè)需要根據(jù)項目的實際情況來評估其設(shè)計選擇是否正確。例如，在企業(yè)網(wǎng)絡(luò)中配置一個獨立的準(zhǔn)入控制設(shè)備所需要的成本并不高，但是要對設(shè)備進行配置應(yīng)用就需要花費較多的時間與精力，因此在方案設(shè)計時需要充分考慮建設(shè)備份單元以應(yīng)對主要單元失效的情況。在項目建設(shè)完成交付使用之前，需要對網(wǎng)絡(luò)準(zhǔn)入控制項目進行全面網(wǎng)絡(luò)測試，以了解其是否達到了設(shè)計目標(biāo)，是否與企業(yè)的需要相一致。

3.2.5 實施網(wǎng)絡(luò)準(zhǔn)入控制項目建設(shè)

網(wǎng)絡(luò)準(zhǔn)入控制項目的建設(shè)主要是通過搭建服務(wù)器、配置交換機、配置終端、配置交換機商品等來實現(xiàn)對企業(yè)網(wǎng)絡(luò)的控制。在實施項目前，企業(yè)要做好項目負責(zé)人確定、內(nèi)部工作部署、準(zhǔn)入控制效果評價等工作。

4 結(jié)語

網(wǎng)絡(luò)準(zhǔn)入控制與終端安全防護能為地市級煙草網(wǎng)絡(luò)通安全保護，從而有效防止終端信息泄露，并采用相關(guān)的技術(shù)及加強管理制度，保證整個系統(tǒng)的安全運行。