企業(yè)網(wǎng)絡(luò)安全管理

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了企業(yè)網(wǎng)絡(luò)安全管理范文，希望能給你帶來(lái)靈感和參考，敬請(qǐng)閱讀。

摘要：網(wǎng)絡(luò)準(zhǔn)入控制（NetworkAccessControl，NAC）是一種新型的安全防御技術(shù)，通過(guò)對(duì)終端實(shí)施安全防護(hù)，有效解決因不安全終端接入網(wǎng)絡(luò)而引起的安全威脅，保護(hù)網(wǎng)絡(luò)的安全。本文針對(duì)某電力企業(yè)部署的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)進(jìn)行研究，分析其技術(shù)背景、解決方案、實(shí)施效果等，以便提高企業(yè)網(wǎng)絡(luò)安全管理水平。

關(guān)鍵詞：準(zhǔn)入控制；策略路由；網(wǎng)絡(luò)安全

如何加強(qiáng)內(nèi)網(wǎng)終端的安全管理，防范來(lái)自內(nèi)部的各種網(wǎng)絡(luò)威脅與風(fēng)險(xiǎn)，是該企業(yè)急需解決的安全問(wèn)題。為了確保企業(yè)內(nèi)部網(wǎng)絡(luò)的安全、高效運(yùn)轉(zhuǎn)，該企業(yè)通過(guò)調(diào)研與對(duì)比，最終決定采用國(guó)內(nèi)某公司的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)對(duì)內(nèi)網(wǎng)接入設(shè)備進(jìn)行控制和管理。

一、網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)的簡(jiǎn)介

網(wǎng)絡(luò)準(zhǔn)入控制是指對(duì)網(wǎng)絡(luò)的邊界進(jìn)行保護(hù)，對(duì)接入網(wǎng)絡(luò)的終端和終端的使用人進(jìn)行合規(guī)性檢查，其宗旨是防止病毒和蠕蟲等新興黑客技術(shù)對(duì)企業(yè)安全造成危害。網(wǎng)絡(luò)準(zhǔn)入控制主要思路：終端接入網(wǎng)絡(luò)之前根據(jù)預(yù)定安全策略對(duì)其進(jìn)行檢查，只允許符合安全策略的終端接入網(wǎng)絡(luò)，不安全的終端將被隔離于網(wǎng)絡(luò)之外，自動(dòng)拒絕不安全的終端接入保護(hù)網(wǎng)絡(luò)，直到這些終端符合網(wǎng)絡(luò)內(nèi)的安全策略為止。網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)在多年的發(fā)展中，經(jīng)歷了三代技術(shù)框架的變遷。第三代NAC產(chǎn)品本身是一個(gè)網(wǎng)絡(luò)設(shè)備，對(duì)網(wǎng)絡(luò)環(huán)境要求很低，一般需要接入層交換機(jī)以Trunk方式接入?yún)R聚層即可，主要通過(guò)網(wǎng)絡(luò)層的檢測(cè)來(lái)實(shí)現(xiàn)終端接入網(wǎng)絡(luò)的控制，具有代表性的有虛擬網(wǎng)關(guān)、網(wǎng)關(guān)、策略路由等技術(shù)。

二、網(wǎng)絡(luò)準(zhǔn)入控制的實(shí)施

（一）基于策略路由的準(zhǔn)入方案

該公司的網(wǎng)絡(luò)交換機(jī)品牌以H3C為主，各層交換機(jī)之間兼容性好。此次部署的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)基于第三代準(zhǔn)入控制技術(shù)，是軟硬件集成的終端安全管理平臺(tái)。根據(jù)公司的網(wǎng)絡(luò)現(xiàn)狀況與需求，采用基于策略路由的模式，物理旁路方式連接核心交換機(jī)。在核心交換機(jī)對(duì)所管控的網(wǎng)段配置策略路由，需要管控的地址段在相應(yīng)的VLAN下啟用。此模式不需改動(dòng)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，支持的逃生機(jī)制簡(jiǎn)單。基于策略路由的準(zhǔn)入方案，通過(guò)在核心交換機(jī)上利用ACL捕獲所有訪問(wèn)核心業(yè)務(wù)服務(wù)器的數(shù)據(jù)流量，并通過(guò)策略路由將捕獲的流量發(fā)送至已經(jīng)配置好的下一跳地址。被管控設(shè)備的所有上行流量都將經(jīng)過(guò)準(zhǔn)入設(shè)備并接受安全準(zhǔn)入管理，合規(guī)終端放行。其上行數(shù)據(jù)路由為：核心網(wǎng)關(guān)→準(zhǔn)入設(shè)備→核心網(wǎng)關(guān)→目標(biāo)資源。所有訪問(wèn)核心服務(wù)器的設(shè)備都會(huì)被準(zhǔn)入設(shè)備所控制，從而達(dá)到保護(hù)核心資源，對(duì)入網(wǎng)設(shè)備進(jìn)行準(zhǔn)入控制的安全目標(biāo)。策略路由部署方式只對(duì)終端上行流量做重定向，對(duì)數(shù)據(jù)量影響較小。

（二）網(wǎng)絡(luò)準(zhǔn)入設(shè)備的端口設(shè)置與接線

網(wǎng)絡(luò)準(zhǔn)入設(shè)備的三個(gè)端口ETH0、ETH1、ETH3，分別通過(guò)3條網(wǎng)線與核心交換機(jī)相連。ETH0口是重定向接口，終端流量從此接口重定向，連接至核心交換機(jī)上的G1/1/0/6，ETH1口是準(zhǔn)入管理口，用作管理、終端認(rèn)證地址，連接至核心交換機(jī)上的G1/1/0/5，ETH3口為trunk口，用作終端自動(dòng)發(fā)現(xiàn)，輔助準(zhǔn)入設(shè)備發(fā)現(xiàn)接入網(wǎng)內(nèi)的終端，連接至核心交換機(jī)上的G1/1/0/7。

（三）基于角色的網(wǎng)絡(luò)授權(quán)

準(zhǔn)入控制系統(tǒng)基于終端用戶的角色,根據(jù)事先配置的接入控制安全策略，分配網(wǎng)絡(luò)訪問(wèn)權(quán)限，通過(guò)角色權(quán)限規(guī)范用戶的網(wǎng)絡(luò)使用行為。每個(gè)入網(wǎng)終端分配一個(gè)角色。角色定義包括：安全規(guī)范、安全域、安全策略三個(gè)方面。1.安全規(guī)范的檢查項(xiàng)（1）殺毒軟件檢查，檢查是否安裝殺毒軟件。（2）網(wǎng)絡(luò)連接檢查，檢查是否存在無(wú)線WiFi與雙網(wǎng)卡，若不符合工作需要，則禁用，符合工作需要的，設(shè)置特殊角色與使用權(quán)限。（3）操作系統(tǒng)版本檢查，檢查操作系統(tǒng)版本是否符合安全要求(win8以上系統(tǒng)禁用）。2.安全域設(shè)定根據(jù)入網(wǎng)終端的業(yè)務(wù)需求范圍，劃分多個(gè)安全域：局域網(wǎng)、廣域網(wǎng)、互聯(lián)網(wǎng)，由管理員配置安全域的IP地址段。3.安全策略的設(shè)定（1）違規(guī)外聯(lián)：只能訪問(wèn)規(guī)定區(qū)域的網(wǎng)路資源，禁止訪問(wèn)違規(guī)區(qū)域。（2）移動(dòng)介質(zhì)管理：對(duì)U盤等移動(dòng)介質(zhì)進(jìn)行設(shè)定，可禁用移動(dòng)介質(zhì)的使用，有特殊用途的用戶，單獨(dú)開啟移動(dòng)介質(zhì)的使用權(quán)限。4.終端角色的控制管理（1）終端角色安全域、控制要求與方法領(lǐng)導(dǎo)角色安全域范圍是局域網(wǎng)、廣域網(wǎng)、互聯(lián)網(wǎng)，控制要求和方法是安裝準(zhǔn)入控制客戶端，審核通過(guò)，可訪問(wèn)安全域內(nèi)資源。（2）班組角色安全域范圍是局域網(wǎng)、廣域網(wǎng)，控制要求和方法安裝準(zhǔn)入控制客戶端，審核通過(guò)，可訪問(wèn)安全域內(nèi)資源，禁止訪問(wèn)違規(guī)區(qū)域。（3）特殊角色安全域范圍是局域網(wǎng)、廣域網(wǎng)，控制要求和方法安裝準(zhǔn)入控制客戶端，在安全規(guī)范上進(jìn)行限定，審核通過(guò)可訪問(wèn)安全域內(nèi)資源。

（四）終端入網(wǎng)流程

終端接入網(wǎng)絡(luò)時(shí)，被重定向至客戶端安裝界面，安裝客戶端后，進(jìn)行終端設(shè)備注冊(cè)，填寫終端使用人姓名部門等信息，注冊(cè)后提交認(rèn)證，網(wǎng)絡(luò)管理員進(jìn)行終端身份審核，非法終端拒絕入網(wǎng)，合法的終端分配角色，繼續(xù)執(zhí)行安全規(guī)范的檢查，給出安檢得分，合規(guī)的終端依據(jù)所屬角色進(jìn)行權(quán)限分配，可以訪問(wèn)相關(guān)資源，不合規(guī)的終端被隔離，直至修復(fù)完成。

三、網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)上線后的效果

（1）實(shí)現(xiàn)了對(duì)入網(wǎng)終端的可控管理，確保了每個(gè)接入網(wǎng)絡(luò)的終端符合入網(wǎng)安全管理規(guī)范。可快速定位入網(wǎng)終端所屬的交換機(jī)與端口，查看網(wǎng)絡(luò)終端的信息和狀態(tài)。將IP地址與MAC地址進(jìn)行綁定管理，杜絕了隨意更改IP地址的行為。（2）利用準(zhǔn)入控制系統(tǒng)的遠(yuǎn)程協(xié)助,解決終端常見故障，減少了維護(hù)量，提高了解決問(wèn)題的效率。（3）通過(guò)任務(wù)管理的軟件分發(fā)，向客戶端推送軟件或補(bǔ)丁，便于軟件與補(bǔ)丁的安裝與更新。（4）通過(guò)準(zhǔn)入控制系統(tǒng)的查詢統(tǒng)計(jì)，可以對(duì)入網(wǎng)計(jì)算機(jī)的硬件資產(chǎn)統(tǒng)計(jì)查詢并導(dǎo)出資產(chǎn)報(bào)表，對(duì)硬件資產(chǎn)的管理提供了詳實(shí)的記錄。

四、結(jié)束語(yǔ)

該公司部署網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)后，實(shí)現(xiàn)了有效的終端入網(wǎng)控制，規(guī)范了終端用戶的入網(wǎng)行為，提高了信息管理人員的工作效率。但網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)只是側(cè)重于終端入網(wǎng)的管理，還要與防火墻技術(shù)、IPS、殺毒軟件等安全管理措施結(jié)合起來(lái)，才能全方位做好網(wǎng)絡(luò)安全管理。

參考文獻(xiàn)

[1]周超,周城,丁晨路.計(jì)算機(jī)網(wǎng)絡(luò)終端準(zhǔn)入控制技術(shù)[J].計(jì)算機(jī)系統(tǒng)應(yīng)用,2011,20(1):90.

作者：趙瑾 單位：華電淄博熱電有限公司