準(zhǔn)入控制技術(shù)在網(wǎng)絡(luò)安全設(shè)備中的應(yīng)用

楊陽(yáng) 尹琴 馮磊 李寧

摘 要：隨著信息化技術(shù)的發(fā)展，在計(jì)算機(jī)網(wǎng)絡(luò)終端中，信息技術(shù)已經(jīng)被逐漸普及和應(yīng)用，其中準(zhǔn)入控制技術(shù)主要作用是采取嚴(yán)格的方式，對(duì)不同用戶(hù)進(jìn)行身份的認(rèn)證與檢查，增強(qiáng)自身防御能力，保護(hù)網(wǎng)絡(luò)終端的安全不受侵害?本文主要論述的是在計(jì)算機(jī)網(wǎng)絡(luò)終端中，準(zhǔn)入控制技術(shù)的應(yīng)用，在闡述計(jì)算機(jī)網(wǎng)絡(luò)終端準(zhǔn)入控制原理的基礎(chǔ)上，進(jìn)一步分析計(jì)算機(jī)網(wǎng)絡(luò)終端中準(zhǔn)入控制技術(shù)的應(yīng)用?

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)；準(zhǔn)入控制；準(zhǔn)入控制技術(shù)；網(wǎng)絡(luò)安全

中圖分類(lèi)號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2096-4706（2019）03-0156-02

Application of Access Control Technology in Network Security Equipment

YANG Yang，YIN Qin，F(xiàn)ENG Lei，LI Ning

（National Network Siji NetAn Technology （Beijing） Co.，Ltd.，Beijing 102211，China）

Abstract：With the development of information technology，information technology has been gradually popularized and applied in computer network terminals. The main role of access control technology is to adopt strict ways to authenticate and check the identity of different users，enhance their defensive capabilities，and protect the security of network terminals from infringement. On the basis of explaining the principle of computer network terminal access control，the application of access control technology in computer network terminal is further analyzed.

Keywords：computer network；access control；access control technology；network security

0 引 言

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)在為現(xiàn)代生活提供很多幫助的同時(shí)，也存在很大的安全隱患，如果網(wǎng)絡(luò)終端的安全管理不到位，極易受到一些惡意程序的感染和攻擊，甚至?xí)苯油{到整個(gè)網(wǎng)絡(luò)終端的正常運(yùn)行。所以準(zhǔn)入控制技術(shù)十分關(guān)鍵，這是一種網(wǎng)絡(luò)安全管理措施，通過(guò)身份認(rèn)證、網(wǎng)絡(luò)控制等方式展開(kāi)有效的整合，實(shí)現(xiàn)嚴(yán)格的安全檢查措施，為計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行安全提供保障。

1 計(jì)算機(jī)網(wǎng)絡(luò)終端準(zhǔn)入控制原理

對(duì)于企業(yè)和單位而言，信息系統(tǒng)安全非常重要，很多信息資料直接關(guān)系到企業(yè)和單位的核心，針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)終端準(zhǔn)入原則，主要是阻止各種計(jì)算機(jī)病毒以及黑客的侵入，經(jīng)過(guò)系統(tǒng)驗(yàn)證后，安全的客戶(hù)端可以允許接入，相反，如果未通過(guò)相關(guān)系統(tǒng)驗(yàn)證，存在疑問(wèn)的客戶(hù)端則嚴(yán)禁接入。

準(zhǔn)入控制是對(duì)計(jì)算機(jī)網(wǎng)絡(luò)終端進(jìn)行安全控制的有效防護(hù)措施，主要分為三步：第一步是針對(duì)內(nèi)網(wǎng)邊界信息進(jìn)行安全防護(hù)，主要是在企業(yè)和單位的外部邊界，抵御外來(lái)陌生客戶(hù)端，尤其是黑客和病毒，可以實(shí)現(xiàn)有效的防護(hù)措施；第二步是針對(duì)內(nèi)部進(jìn)行安全威脅防護(hù)，在內(nèi)部一些工作人員為了達(dá)到某種目的，或者是在操作不當(dāng)?shù)那闆r下，將內(nèi)部信息向外泄露，準(zhǔn)入控制技術(shù)可以進(jìn)行有效的信息安全防護(hù)措施，保護(hù)內(nèi)部信息不泄露；第三步是針對(duì)外網(wǎng)移動(dòng)用戶(hù)所進(jìn)行的安全接入防護(hù)，企業(yè)或單位需要與外界進(jìn)行正常和合作與交流，在這個(gè)過(guò)程中，客戶(hù)的信息訪(fǎng)問(wèn)安全以及自身信息系統(tǒng)的安全都需要受到保護(hù)，很多情況下都是由于信息沒(méi)有得到有效的防護(hù)，而導(dǎo)致與客戶(hù)之間的交流和溝通出現(xiàn)問(wèn)題，直接影響整體效益。

所以在企業(yè)和單位內(nèi)部，保護(hù)網(wǎng)絡(luò)安全至關(guān)重要，計(jì)算機(jī)網(wǎng)絡(luò)終端必須要建立完善的準(zhǔn)入控制系統(tǒng)，只有充分保護(hù)內(nèi)部信息，并逐步完善準(zhǔn)入控制技術(shù)，才能加強(qiáng)網(wǎng)絡(luò)的防御能力，實(shí)現(xiàn)網(wǎng)絡(luò)的穩(wěn)定安全運(yùn)行。

2 準(zhǔn)入控制技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)終端中的應(yīng)用

2.1 賬戶(hù)審核

對(duì)用戶(hù)名和密碼進(jìn)行審核，這是對(duì)賬戶(hù)的一種檢查措施，用戶(hù)名和密碼匹配成功后才能進(jìn)入，是防止外來(lái)人員隨意進(jìn)入的有效方式，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的訪(fǎng)問(wèn)權(quán)采取控制。

2.2 設(shè)置安全規(guī)范

需要加強(qiáng)對(duì)來(lái)賓賬戶(hù)的審核，面對(duì)容易被別人猜到或者是被破解工具破解的弱口令嚴(yán)格審核；全面審核終端設(shè)備共享設(shè)置情況以及權(quán)限限制的可寫(xiě)共享情況；審核系統(tǒng)對(duì)補(bǔ)丁安裝情況和防病毒系統(tǒng)安裝情況進(jìn)行檢查，及時(shí)更新和升級(jí)病毒庫(kù)；對(duì)訪(fǎng)問(wèn)網(wǎng)絡(luò)終端設(shè)備進(jìn)行檢查，監(jiān)督是否加入信息系統(tǒng)指定的Win-dows域；對(duì)終端設(shè)備的注冊(cè)記錄進(jìn)行審核，及時(shí)排查可疑或非法文件和軟件。

2.3 注冊(cè)ID審核

主要是針對(duì)系統(tǒng)內(nèi)部終端設(shè)備，檢測(cè)網(wǎng)絡(luò)是否經(jīng)過(guò)了注冊(cè)，從而確保合法的終端設(shè)備接入，并且嚴(yán)格符合接入安全管理規(guī)范，并進(jìn)行安全管理與準(zhǔn)入控制，分為以下三點(diǎn)：

（1）計(jì)算機(jī)終端的安全措施，對(duì)于計(jì)算機(jī)終端來(lái)說(shuō)，訪(fǎng)問(wèn)口令和密碼非常關(guān)鍵，必須要安裝正版殺毒軟件，讓計(jì)算機(jī)可以自動(dòng)安裝最新的補(bǔ)丁包，及時(shí)對(duì)病毒數(shù)據(jù)進(jìn)行更新，進(jìn)而全面提高對(duì)網(wǎng)絡(luò)病毒的防御能力；

（2）審核終端設(shè)備安全，用戶(hù)要加強(qiáng)對(duì)數(shù)據(jù)審核的檢查記錄，確保終端設(shè)備運(yùn)營(yíng)環(huán)境的安全可靠，由系統(tǒng)管理員負(fù)責(zé)執(zhí)行審核過(guò)程，以整體運(yùn)行的安全為前提，審核目錄共享、危險(xiǎn)進(jìn)程及軟件、殺毒軟件、信息泄露情況等等；

（3）內(nèi)部網(wǎng)絡(luò)終端設(shè)備的安全審計(jì)，詳細(xì)記錄內(nèi)部網(wǎng)絡(luò)終端的每一項(xiàng)操作和訪(fǎng)問(wèn)，針對(duì)結(jié)果進(jìn)行統(tǒng)計(jì)，尤其是非法軟件的訪(fǎng)問(wèn)行為，如果在沒(méi)有得到允許的情況下出現(xiàn)了更改系統(tǒng)軟件的情況，都要進(jìn)行詳細(xì)的數(shù)據(jù)統(tǒng)計(jì)。

在遇到上述問(wèn)題時(shí)，需要設(shè)備管理員高度注意，并積極采取緊急處理措施，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)終端采取設(shè)置與管理措施，可以分為集中、批量和分組三種形式；檢測(cè)與維修殺毒軟件，保障每一個(gè)部門(mén)設(shè)備的安全運(yùn)行；監(jiān)控終端設(shè)備的安全狀況，隨時(shí)維護(hù)設(shè)備；定位接入網(wǎng)絡(luò)終端設(shè)備，一旦發(fā)現(xiàn)問(wèn)題及時(shí)控制或者是直接斷開(kāi)，降低攻擊和擴(kuò)散；嚴(yán)格管理設(shè)備，統(tǒng)計(jì)和匯總設(shè)備的安全與審計(jì)情況，針對(duì)不同的安全事件采取不同的處理方式，爭(zhēng)取用最少的時(shí)間處理安全問(wèn)題，提高安全控制進(jìn)而有效全面的保證終端系統(tǒng)最大的安全。

2.4 MAC認(rèn)證

通過(guò)端口和MAC地址，實(shí)現(xiàn)對(duì)訪(fǎng)問(wèn)權(quán)限的控制，也稱(chēng)之為交換機(jī)安全控制技術(shù)，其優(yōu)點(diǎn)在于設(shè)備型號(hào)相對(duì)普遍，需要交換機(jī)對(duì)用戶(hù)的MAC地址進(jìn)行檢測(cè)，檢測(cè)完成后啟動(dòng)對(duì)用戶(hù)的認(rèn)證操作，需要注意的是在接入網(wǎng)絡(luò)前就需要對(duì)比交換機(jī)的MAC認(rèn)證表，否則會(huì)出現(xiàn)認(rèn)證數(shù)據(jù)無(wú)法查證不存在的情況現(xiàn)象造成用戶(hù)的認(rèn)證失敗。

2.5 入網(wǎng)管理規(guī)范

在入網(wǎng)管理規(guī)范中，首先針對(duì)基礎(chǔ)臺(tái)賬要使用VRV內(nèi)網(wǎng)安全管理認(rèn)證，還要對(duì)MAC認(rèn)證用戶(hù)進(jìn)行添加，對(duì)本地用戶(hù)來(lái)說(shuō)，這種驗(yàn)證方式是最安全的，在驗(yàn)證的同時(shí)對(duì)認(rèn)證IP進(jìn)行綁定，為了進(jìn)一步增加防范措施，要對(duì)VRV未注冊(cè)設(shè)備展開(kāi)全面的查詢(xún)，篩選黑洞地址和IP未注冊(cè)地址，并采取綁定的方式，全力阻止計(jì)算機(jī)設(shè)備的接入。如果用戶(hù)存在認(rèn)證卻沒(méi)有注冊(cè)的情況，作為用戶(hù)管理員，要結(jié)合臺(tái)賬綁定正確信息。

2.6 防火墻技術(shù)

防火墻技術(shù)是對(duì)計(jì)算機(jī)終端的全面防護(hù)，用戶(hù)可以依據(jù)各項(xiàng)規(guī)則結(jié)合自身的喜好設(shè)置計(jì)算機(jī)防范措施，為了提高規(guī)范性，采取這種方式的防護(hù)措施，必須經(jīng)過(guò)專(zhuān)業(yè)人員的設(shè)計(jì)，并對(duì)所有信息實(shí)施相應(yīng)的準(zhǔn)入設(shè)置，同時(shí)相關(guān)人員要對(duì)危險(xiǎn)信息進(jìn)行評(píng)估，尤其是對(duì)于封裝TCP或ICMP協(xié)議的IP數(shù)據(jù)，要依據(jù)數(shù)據(jù)包信息IP地址進(jìn)行特殊全面的過(guò)濾。其中應(yīng)用層的協(xié)議中包含了RPC、FTP等服務(wù)過(guò)濾，實(shí)施具體的防范過(guò)程是，防火墻需要全面識(shí)別文件，同時(shí)還要對(duì)文件地址以及文件特點(diǎn)、文件長(zhǎng)度等信息進(jìn)行準(zhǔn)入、攔截等安全措施設(shè)置。

2.7 入侵技術(shù)檢測(cè)

入侵檢測(cè)技術(shù)共分為兩種，分別為誤用檢測(cè)技術(shù)和不規(guī)范技術(shù)檢測(cè)。其中誤用檢測(cè)技術(shù)需要參照物為示例，以不規(guī)范行為參照，通過(guò)對(duì)比的方式進(jìn)行檢測(cè)，如果與不規(guī)范行為一致，則判定為病毒入侵，如果與不規(guī)范行為不一致，則需要進(jìn)一步的檢測(cè)；不規(guī)范檢測(cè)技術(shù)與誤用檢測(cè)技術(shù)的區(qū)別在于參照物的不同，它以用戶(hù)的使用習(xí)慣為參照，對(duì)處理之后的模型與用戶(hù)展開(kāi)對(duì)比，從而判斷病毒的入侵行為。

3 結(jié) 論

綜上所述，本文主要論述的是在計(jì)算機(jī)網(wǎng)絡(luò)終端中，準(zhǔn)入控制技術(shù)的應(yīng)用，可以有效保護(hù)信息的安全性，減少各種信息泄露事件的發(fā)生，在計(jì)算機(jī)網(wǎng)絡(luò)終端中進(jìn)行安全控制，增強(qiáng)網(wǎng)絡(luò)終端綜合防御能力，實(shí)現(xiàn)網(wǎng)絡(luò)終端安全性能的全面提升。

參考文獻(xiàn)：

[1] 劉美娟.網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)在企業(yè)中的應(yīng)用探討 [J].電腦編程技巧與維護(hù)，2016（4）：83-84.

[2] 于濤，陳鵬，王耀，等.企業(yè)網(wǎng)絡(luò)安全準(zhǔn)入控制與終端安全協(xié)同防控技術(shù)研究與應(yīng)用 [J].陜西煤炭，2017，36（5）：13-16+33.

[3] 季欣榮，陳飛，李珺，等.終端準(zhǔn)入控制系統(tǒng)在電力調(diào)度中的應(yīng)用 [J].自動(dòng)化技術(shù)與應(yīng)用，2018，37（1）：42-46.

[4] 吉日嘎拉.計(jì)算機(jī)網(wǎng)絡(luò)遠(yuǎn)程控制系統(tǒng)的研究與應(yīng)用 [J].科教導(dǎo)刊-電子版，2016（11）：159.

[5] 劉佳.桌面終端安全系統(tǒng)在煙草網(wǎng)絡(luò)安全管控中的應(yīng)用 [J].電腦知識(shí)與技術(shù)，2017，13（18）：39-41+58.

作者簡(jiǎn)介：楊陽(yáng)（1984.01-），女，漢族，山東泰安人，中級(jí)工程師，項(xiàng)目經(jīng)理，碩士，研究方向：網(wǎng)絡(luò)安全、云終端；尹琴（1988.11-），女，漢族，山西忻州人，初級(jí)工程師，項(xiàng)目經(jīng)理，碩士，研究方向：網(wǎng)絡(luò)安全、計(jì)算機(jī)網(wǎng)絡(luò)；馮磊（1990.05-），男，漢族，河北承德人，項(xiàng)目管理，本科，研究方向：網(wǎng)絡(luò)安全、云終端；李寧（1989.12-），男，漢族，山東濟(jì)寧人，初級(jí)工程師，項(xiàng)目經(jīng)理，本科，研究方向：網(wǎng)絡(luò)安全、計(jì)算機(jī)技術(shù)。