基于多層準入控制構建的安全合規(guī)內網(wǎng)

申請免費試用、咨詢電話：400-8352-114

摘要：引入多層種準入控制手段和安全解決方案，構建多種準入控制共存的完善的內網(wǎng)終端合規(guī)管理體系，有效解決了內網(wǎng)安全管理中突出的安全問題，大幅度增強內網(wǎng)終端的安全保護能力，有效地兼顧和平衡了安全管理中“安全性”和“便利性”的矛盾，全面提升學員機房網(wǎng)絡安全防護等級和信息安全管理水平。 

關鍵詞：多層準入控制  內網(wǎng)安全  合規(guī)管理  0 引言  重慶市電力公司教培中心學員培訓計算機房已經使用多年，但是存在著不少安全問題，主要表現(xiàn)為：外來終端不難接入內網(wǎng)，這樣就會使一些已經感染了未知或新型病毒欺騙病毒的終端，使內網(wǎng)受到病毒感染，直接威脅網(wǎng)絡的安全運行。在培訓學員時，沒有注意讓學員嚴格按照相關的規(guī)定對指定的防病毒軟件、桌面安全管理等安全軟件進行卸載，在安裝和運行游戲軟件、網(wǎng)絡視頻工具等其他可能存在安全隱患的軟件時也缺少相關的必要指導。內網(wǎng)多使用的是以ｕ盤為代表的移動存儲設備，這樣就不難導致病毒的侵襲或者是木馬傳播、泄露內部重要數(shù)據(jù)和文件；同時u盤的廣泛使用也為機房組織考試增加了管理難度。隨著網(wǎng)絡技術的不斷發(fā)展，特別是無線網(wǎng)絡互聯(lián)技術的飛快發(fā)展，使internet的聯(lián)入擺脫了地域的限制，現(xiàn)在內、外網(wǎng)在一定程度上實現(xiàn)了互通，一些不合法外聯(lián)事件也逐漸的增多了，這給企業(yè)核心業(yè)務系統(tǒng)的穩(wěn)定安全運行造成了很大的影響。接入內網(wǎng)的終端，在未授權的情況下就可連接其內部重要服務器，這樣給合法用戶的訪問帶來不同程度影響的同時，還可能成為來自內部或外部的非法人員，以此為跳板，攻擊其內部關鍵業(yè)務系統(tǒng)……  經過一番認真的調查和仔細的研究，我們發(fā)現(xiàn)現(xiàn)有多于80%的安全事故是在內網(wǎng)條件下出現(xiàn)的，在整個網(wǎng)絡安全管理中，在內網(wǎng)的管理上還是很欠缺的。  1 內網(wǎng)終端合規(guī)管理實施終端準入控制  經過研究發(fā)信，強制內網(wǎng)終端合規(guī)準入控制機制的建立，從終端系統(tǒng)啟動一直到終端之間互訪的安全接入實施有效地控制，從而實現(xiàn)對終端整個過程的管理與控制，還能夠對終端安全狀態(tài)做好實時的監(jiān)控，并能夠進行修復，給內網(wǎng)建立“終端安檢系統(tǒng)”，這樣，不管是終端用戶有意的還是無意的不按照內網(wǎng)合規(guī)管理方案操作，這一管理系統(tǒng)就會自動開啟違規(guī)處理，對這些不按照相關規(guī)定進行操作的終端做出不同程度的處理，如提示、警告、自動修復或者是對終端進行安全隔離，但是違規(guī)終端會很好的保護網(wǎng)絡資源，更好的完成內網(wǎng)合規(guī)管理。  從上面的分析中，我們制定了幾種內網(wǎng)終端合規(guī)管理解決方案的原則：①終端接入內網(wǎng)后，從網(wǎng)絡邊界、業(yè)務應用系統(tǒng)到其他客戶端做好控制。②終端接入內網(wǎng)后，要對其強制執(zhí)行內網(wǎng)合規(guī)管理策略。③監(jiān)控終端的全過程、動態(tài)的合規(guī)狀態(tài)，如果出現(xiàn)終端違規(guī)現(xiàn)象，就會對違規(guī)行為進行提示、警告、自動修復甚至對終端實施安全隔離。  2 能夠實現(xiàn)合規(guī)管理無盲區(qū)，不妥協(xié)  構筑多層準入的內網(wǎng)終端合規(guī)管理系統(tǒng)  基于以上原則，我們廣泛了解現(xiàn)在內網(wǎng)終端安全管理市場，考察了多家國內外專業(yè)安全廠商，深入了解和測試了多款這些廠家所提供的成熟和穩(wěn)定的內網(wǎng)終端安全管理產品，最終決定跟國內著名的安全公司“啟明星辰”合作，發(fā)展好內網(wǎng)終端計算機的綜合信息中心，在合規(guī)管理平臺的運行上不斷創(chuàng)新，作為教培中心培訓機房的內網(wǎng)終端合規(guī)管理系統(tǒng)承載平臺，這樣就使得教培中心培訓機房擁有了全新的多層準入內網(wǎng)安全管理體系架構。  在多層準入控制的幫助下，我們能夠實現(xiàn)以下準入控制流程：終端層→網(wǎng)絡層→應用層（包括客戶端準入、網(wǎng)絡準入和應用準入等）。  2.1 如果終端想借助交換機接入內網(wǎng)  管理服務器可以跟接入層和匯聚層網(wǎng)絡設備聯(lián)動，控制那些想要連入內網(wǎng)的終端網(wǎng)絡準入，不僅會對其進行嚴格的身份驗證，還要進行合理的合規(guī)檢查，我們要做到的是只允許合法的和安全的終端接入內網(wǎng)。那些違規(guī)的或者是不合法的終端，系統(tǒng)會自動將其劃入修復區(qū)甚至是隔離。詳見下圖：  2.2 當接入網(wǎng)絡的終端試圖訪問內網(wǎng)服務器或關鍵業(yè)務系統(tǒng)時  在內網(wǎng)安全風險管理與審計系統(tǒng)中，需要有一個特有準入控制組件—策略網(wǎng)關，把它安裝在企業(yè)網(wǎng)的重要服務器或者是關鍵業(yè)務系統(tǒng)上，這樣就能夠保障有效地控制終端應用層的準入，一旦出現(xiàn)不受控的終端或者是不合規(guī)的終端，就無法訪問該服務器或業(yè)務系統(tǒng)。  應用準入與網(wǎng)絡準入的主要區(qū)別：①在數(shù)據(jù)中心的服務器區(qū)就可實現(xiàn)應用準入，不涉及網(wǎng)絡環(huán)境，如果出現(xiàn)與網(wǎng)絡準入條件不相符合的情況，或者是由于內網(wǎng)終端合規(guī)管理的現(xiàn)實情況，在網(wǎng)絡準入控制方面可以不必太嚴格，此時使用應用準入控制就可以，不必進行終端合規(guī)準入控制。②應用準入具有自動重定向功能，一旦發(fā)現(xiàn)未受控終端，以及不合規(guī)終端，系統(tǒng)就會出現(xiàn)相關的提示，通知其被攔截的消息，并告知其原因。而且在提示頁面中還能夠設置合規(guī)管理客戶端下載鏈接，這樣在很大程度上使系統(tǒng)維護人員的工作量變少了，使用戶的滿意程度不斷提高，使他們更樂于接受，進而實現(xiàn)了內網(wǎng)合規(guī)的最佳效果。  2.3 當兩個終端相互之間進行訪問時  來訪的終端會受到合規(guī)受控的終端的客戶端準入控制，同時還要接受合規(guī)檢查，只有合規(guī)安全的終端才能進行訪問，如果是不合規(guī)的終端或者是不合法的終端都將無法訪問，這樣當那些感染了蠕蟲病毒的非受控終端想要對合規(guī)終端進行病毒感染時，就可以將其及時的切斷。  3 全面進入內網(wǎng)終端合規(guī)管理  教培中心培訓機房首先完成構建混合準入控制體系，然后充分考慮到內網(wǎng)終端合規(guī)管理以及內網(wǎng)安全等級保護的要求，編輯和下發(fā)了一些終端合規(guī)安全管理策略，通過對這些策略的認真執(zhí)行，使內網(wǎng)終端的安全保護能力得到顯著提高，而且由于非安全終端造成的很多內網(wǎng)安全問題也減少了很多，此外，不僅僅是教培中心培訓學員網(wǎng)絡安全防護等級提高了，而且信息安全管理水平也有了明顯的改善。  4 總結  教培中心培訓學員機房通過部署內網(wǎng)安全風險管理與審計系統(tǒng)，構建多種準入控制手段混合共存的內網(wǎng)終端合規(guī)準入管理體系，更好地實施內網(wǎng)終端合規(guī)管理規(guī)范，在信息安全系統(tǒng)投資中收到最好的效益。  參考文獻：  [1]孫強，陳偉，王東紅著.信息安全管理：全球最佳實務與實施指南. 北京：清華大學出版社，2004.  [2]啟明星辰編著.utm（統(tǒng)一威脅管理）技術概論.北京：電子工業(yè)出版社.  [3]曾朝蓉.內網(wǎng)安全管理方案探討[j].網(wǎng)絡安全技術與應用.2009，(11).