研究準(zhǔn)入控制技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)終端中的應(yīng)用

李豐

摘 要準(zhǔn)入控制技術(shù)主要是提前制定相關(guān)的安全管理對(duì)策，對(duì)網(wǎng)絡(luò)終端的各類用戶進(jìn)行嚴(yán)格的身份認(rèn)證與安全檢查，確保網(wǎng)絡(luò)終端訪問的安全性，對(duì)于一些危險(xiǎn)或者不安全的終端接入進(jìn)行拒絕或者限制，通過這種方式提升網(wǎng)絡(luò)的防御功能，確保網(wǎng)絡(luò)運(yùn)行的安全性。本文主要就準(zhǔn)入控制技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)終端中的應(yīng)用進(jìn)行分析與闡述。

【關(guān)鍵詞】準(zhǔn)入控制技術(shù) 計(jì)算機(jī) 網(wǎng)絡(luò)終端

1 前言

近年來，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展速度日益加快，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)在人們?nèi)粘５纳詈凸ぷ髦卸嫉玫搅藦V泛的運(yùn)用，雖然給人們的生活和工作帶了很多的方便，也給網(wǎng)絡(luò)終端的安全管理帶來了極大的挑戰(zhàn)，網(wǎng)絡(luò)終端經(jīng)常受到各種惡意程序的感染和攻擊，對(duì)網(wǎng)絡(luò)終端的安全運(yùn)行造成影響。因此，在各類終端接入到網(wǎng)絡(luò)前，就應(yīng)該對(duì)其身份進(jìn)行嚴(yán)格的認(rèn)證，對(duì)終端進(jìn)行嚴(yán)格的安全檢查，以確保網(wǎng)絡(luò)運(yùn)行的安全。而網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)就是在此基礎(chǔ)上產(chǎn)生的，是一種新型的網(wǎng)絡(luò)安全管理方案，該項(xiàng)技術(shù)對(duì)身份認(rèn)證、網(wǎng)絡(luò)控制以及終端安全等進(jìn)行了有效的整合，大幅度提高了現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行的安全性。

2 準(zhǔn)入控制技術(shù)的基本原理

2.1 準(zhǔn)入控制技術(shù)的理念

有關(guān)的統(tǒng)計(jì)數(shù)據(jù)顯示，計(jì)算機(jī)網(wǎng)絡(luò)攻擊多數(shù)是因?yàn)橛脩羰褂媒K端時(shí)不規(guī)范或系統(tǒng)的安全級(jí)別較低造成的，許多網(wǎng)絡(luò)的安全管理模式依然還是比較注重邊界防控與保護(hù)，把安全防護(hù)的重點(diǎn)放在了內(nèi)外網(wǎng)的邊界。但是隨著網(wǎng)絡(luò)接入方式的多樣化，計(jì)算機(jī)網(wǎng)絡(luò)邊界的動(dòng)態(tài)變化速度日益加快，邊界防護(hù)中存在著許多的問題。而準(zhǔn)入控制技術(shù)就是通過多樣化的控制方式，發(fā)揮準(zhǔn)入技術(shù)的功能優(yōu)勢(shì)，從保護(hù)對(duì)象與開發(fā)模式進(jìn)行明確劃分，通過網(wǎng)絡(luò)與終端兩方面的可信接入控制，前者主要是把網(wǎng)絡(luò)視作為可信主體，終端接入作為不可信任的主體，以此來確保各類終端接入到網(wǎng)絡(luò)之后，網(wǎng)絡(luò)系統(tǒng)運(yùn)行的安全性。

2.2 準(zhǔn)入控制技術(shù)的運(yùn)行機(jī)制

準(zhǔn)入控制是一種主動(dòng)型的網(wǎng)絡(luò)安全管理技術(shù)，注重主動(dòng)防御的功能，以此來提高網(wǎng)絡(luò)系統(tǒng)的安全性。準(zhǔn)入控制技術(shù)可以在終端接入到網(wǎng)絡(luò)之前，便對(duì)終端身份進(jìn)行嚴(yán)格認(rèn)證，對(duì)終端的安全性進(jìn)行確認(rèn)，最終只讓可信，并且與相關(guān)的安全策略符合的終端才能訪問網(wǎng)絡(luò)，而不符合安全策略的終端設(shè)備則不允許接入，或者把終端設(shè)備先放到隔離區(qū)進(jìn)行修復(fù)或者對(duì)其可訪問的資源進(jìn)行限制。

2.3 準(zhǔn)入控制技術(shù)的系統(tǒng)框架

計(jì)算機(jī)網(wǎng)絡(luò)終端準(zhǔn)入控制技術(shù)的核心概念，就是從以網(wǎng)絡(luò)終端接入的安全著手，對(duì)身份認(rèn)證、安全策略的執(zhí)行以及網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)進(jìn)行有效的結(jié)合，加上第三方軟件控制系統(tǒng)，對(duì)終端接入進(jìn)行強(qiáng)行認(rèn)證，并嚴(yán)格落實(shí)各項(xiàng)安全策略，以此來確保整個(gè)網(wǎng)絡(luò)系統(tǒng)運(yùn)行的安全性。目前，大部分準(zhǔn)入控制方案都是由三個(gè)邏輯部件組成，分別是策略實(shí)施構(gòu)件、接入請(qǐng)求構(gòu)件（AR）及策略決定部構(gòu)件，而具體的應(yīng)用過程中，還包括特定的第三方服務(wù)構(gòu)件。

3 準(zhǔn)入控制技術(shù)在計(jì)算機(jī)網(wǎng)終端中的應(yīng)用

3.1 在網(wǎng)絡(luò)安全檢查中的應(yīng)用

（1）賬戶檢查，對(duì)網(wǎng)絡(luò)接入終端的用戶名與密碼進(jìn)行嚴(yán)格的檢查，以免不法分子私自安裝上相同的Agent之后，私自接入網(wǎng)絡(luò)。

（2）嚴(yán)格規(guī)范安全設(shè)置，包括終端安全設(shè)置，系統(tǒng)賬戶檢查，檢查Guest賬戶與弱口令，檢查Windows域，檢查網(wǎng)絡(luò)終端有沒有加入相關(guān)的Windows域域，對(duì)可寫的共享設(shè)置進(jìn)行檢查，對(duì)終端有無設(shè)置可寫或無權(quán)限限定的可寫共享進(jìn)行檢查，查看終端系統(tǒng)中是否安全了補(bǔ)丁軟件，對(duì)終端內(nèi)部的防病毒軟件安裝情況與升級(jí)情況進(jìn)行檢查，對(duì)終端中存在危險(xiǎn)性的注冊(cè)表項(xiàng)進(jìn)行檢查，檢查終端內(nèi)是否有危險(xiǎn)文件和有無安裝一些非法性軟件。

（3）對(duì)終端注冊(cè)ID進(jìn)行嚴(yán)格的檢查，查看終端內(nèi)部是否有其他的網(wǎng)絡(luò)注冊(cè)或者登記過，檢查網(wǎng)絡(luò)接入的終端是否與相關(guān)的接入安全管理規(guī)范相符，以防止可疑終端的接入。

3.2 在網(wǎng)絡(luò)安全管理與控制中的運(yùn)用

3.2.1 安全加固

準(zhǔn)入控制技術(shù)可以對(duì)網(wǎng)絡(luò)接入終端的賬戶和屏?？诹?、共享目錄以及自動(dòng)加載服務(wù)進(jìn)行安全加固，以強(qiáng)制性的方式將與終端安全管理規(guī)范相關(guān)的防病毒軟件強(qiáng)制接入，并對(duì)病毒特征庫(kù)進(jìn)行更新，且自動(dòng)安裝上最新的終端補(bǔ)丁包，可有效提高終端的抗攻擊能力。

3.2.2 安全評(píng)估

準(zhǔn)入控制技術(shù)可以對(duì)連網(wǎng)終端的運(yùn)行的狀態(tài)與安全設(shè)置進(jìn)行準(zhǔn)確評(píng)估，讓管理人員可以對(duì)終端安全策略進(jìn)行自動(dòng)定義，例如賬戶口令是否是強(qiáng)制性口令，目錄是否存在可寫共享，是否曾運(yùn)行過危險(xiǎn)程序或者危險(xiǎn)軟件，是否安裝了最新的補(bǔ)丁包、防病毒軟件、病毒特征庫(kù)的更新情況以及終端網(wǎng)絡(luò)的具體訪問流量等。

3.2.3 安全審計(jì)

準(zhǔn)入控制技術(shù)可以對(duì)網(wǎng)絡(luò)內(nèi)部各個(gè)終端設(shè)備的網(wǎng)絡(luò)訪問與操作行為進(jìn)行安全審計(jì)，對(duì)終端的文件拷貝、FTP、mail以及互聯(lián)網(wǎng)訪問的行為等進(jìn)行全方位審計(jì)，對(duì)終端內(nèi)部有沒有運(yùn)行過非法軟件進(jìn)行審計(jì)，是否存在未經(jīng)允許就可以自動(dòng)對(duì)計(jì)算機(jī)中的軟件與硬件配置進(jìn)行更改的軟件，一旦在評(píng)估與審計(jì)過程中發(fā)現(xiàn)問題，管理人員可以隨時(shí)對(duì)終端進(jìn)行集中設(shè)置與管理，以集中控制的方式對(duì)終端內(nèi)部各類批量信息進(jìn)行統(tǒng)計(jì)與查詢，如策略的分發(fā)，以集中、分組以及批量處理的方式，對(duì)計(jì)算機(jī)終端的安全設(shè)置情況與狀態(tài)進(jìn)行檢查，并分發(fā)補(bǔ)丁管理與軟件，以此來減少終端管理人員的工作量。例如，遠(yuǎn)程控制功能，可以讓終端系統(tǒng)的維護(hù)人員能夠以遠(yuǎn)程方式對(duì)終端設(shè)備進(jìn)行控制與保護(hù)。設(shè)備定位功能，可以讓管理人員能夠?qū)尤刖W(wǎng)絡(luò)終端設(shè)備進(jìn)行快速的定位，并采取有效的措施防止攻擊進(jìn)一步擴(kuò)散，特殊情況下可以直接將可疑設(shè)備與終端的連接斷開。資產(chǎn)管理功能，可以幫助管理員對(duì)連接入網(wǎng)絡(luò)中各類設(shè)備的軟硬件配置情況進(jìn)行統(tǒng)計(jì)與匯總，并對(duì)級(jí)別不一樣的安全事件，采取對(duì)應(yīng)處理措施，確保網(wǎng)絡(luò)終端運(yùn)行過程中的各類安全事件能夠及時(shí)到得到處理，確保計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行的安全性。

4 結(jié)束語(yǔ)

總之，準(zhǔn)入控制技術(shù)將終端的安全作為控制的根本，將準(zhǔn)入控制作為安全管理的手段，對(duì)各類網(wǎng)絡(luò)安全技術(shù)與設(shè)備進(jìn)行綜合運(yùn)用，促進(jìn)了計(jì)算機(jī)網(wǎng)絡(luò)安全管理的相關(guān)安全策略的落實(shí)，大幅度的提升了計(jì)算機(jī)網(wǎng)絡(luò)終端的主動(dòng)防御、整體防御以及綜合防御能力，確保了計(jì)算機(jī)網(wǎng)絡(luò)終端運(yùn)行的安全性。

參考文獻(xiàn)

[1]劉美娟.網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)在企業(yè)中的應(yīng)用探討[J].電腦編程技巧與維護(hù)，2016，04：83-84.

[2]李鎖雷，王晨，李恒訓(xùn)，等.公安網(wǎng)終端計(jì)算機(jī)準(zhǔn)入控制安全管理技術(shù)研究[J].警察技術(shù)，2015，01：54-56.

作者單位

南陽(yáng)醫(yī)學(xué)高等?？茖W(xué)校 河南省南陽(yáng)市 473000