網絡準入控制技術在企業園區網絡中的研究與應用

張寶玉 張馨天

摘要：網絡準入控制（Network Access Control，NAC）是一種新型的安全防御技術，通過對終端實施身份認證、安全檢查、權限分配來有效解決因不安全終端接入網絡而引起的安全威脅，保護網絡的安全。本文結合在工業企業部署的網絡準入控制系統的實際應用，研究分析其技術背景、實施過程、實施效果等，介紹了一種新型網絡準入控制技術。

關鍵詞：準入控制;終端安全檢測;網絡安全

中圖分類號：TP319 文獻標識碼：A 文章編號：1007-9416（2020）08-0187-03

如何加強企業園區網絡終端的安全管理，防范來自企業內部的各種網絡威脅與風險，是所有企業在進行信息化和智能制造建設急需解決的安全問題。為了確保企業內部網絡的安全、高效運轉，企業必須結合自身實際選擇一種行之有效的網絡安全方案來對企業的終端用戶和網絡資源進行有效的防護。網絡準入控制技術因其兼顧終端安全檢測與網絡訪問權限控制的雙重功能，成為企業信息化園區網絡建設的重要安全技術和手段得到了廣泛應用。

1 網絡準入控制技術的簡介

網絡準入控制技術是指對網絡的邊界進行保護，對接入網絡的終端和終端的使用人進行認證和合規性檢查，其主要目的是防止病毒、木馬、蠕蟲及各類黑客技術對企業網絡信息安全造成危害。網絡準入控制主要思路是：終端接入網絡之前根據預定的合規檢測項目對其進行合規檢查，只允許符合安全規范的終端接入網絡，不安全的終端將被放入隔離區，不允許訪問除安全服務外的其他網絡資源，直到這些終端符合網絡內的安全策略為止[1]。

2012年由Gartner發布的數據報告就指出，在網絡準入應用的第一波浪潮（2003～2006年）中，主要的網絡準入管理策略是針對終端的系統配置（如操作系統補丁是否更新、殺毒軟件是否安裝等）。在2007年，網絡準入應用進入了第二波浪潮，主要關注點變為了對來賓設備如何提高簡便易行的認證和控制，進而搭建出靈活的訪客網絡環境。在2011年網絡準入技術的第三波浪潮中，隨著移動辦公的逐步普及，提出了對員工的移動辦公設備提供“有限訪問區”的控制要求。Gartner認為，這次的第三波網絡準入應用浪潮將是有史以來最為強勁的一次[2]。

2 企業網絡準入控制的實施

下面結合實踐，介紹一種工業企業園區網絡準入控制系統的實施方案。

2.1 網絡準入控制的管理需求

隨著企業信息化和智能制造建設的不斷深入，企業內部計算機網絡的規模不斷增大，網絡終端的數量不斷增加，終端類型向著移動化發展，有線網絡和無線網絡應用齊頭并進。網絡的管理復雜性和難度不斷加大。企業員工的個人水平與素質也參次不齊，大部分員工缺乏網絡安全方面的專業知識，安全意識薄弱，出現了無口令或弱口令登錄，濫用、隨意共享網絡資源，病毒，木馬感染增多，隨意下載和安裝來歷不明軟件等安全問題，給企業網絡信息安全帶來了嚴重的威脅，只有全面提高管理能力，引進先進的網絡安全技術，才能有效的保障企業計算機網絡的安全[3]。

綜上所述，企業園區網絡安全管理的需求可以概括為以下幾點：（1）實現嚴格的實名認證，保證保障每一臺入網的網絡終端都有備案和責任人。（2）實現有線、無線網絡全覆蓋。（3）采用靈活方便的認證方式，盡量減少用戶負擔，可實現訪客友好登錄。（4）對網絡終端進行嚴格的安全檢查，自動隔離不安全網絡終端。（5）嚴格執行網絡資源訪問控制，保護好企業內部信息安全。（6）實現靈活的方便的用戶管理，用戶可在不同區域可獲得相同的網絡訪問權限。

2.2 基于MAC優先的PORTAL認證

基于MAC優先的PORTAL認證模式首先需要建立好用戶數據庫，當用戶首次登陸網絡時需要輸入員工編號和登陸默認密碼，首次登陸需要修改個人秘密，系統會自動記錄員工登陸的終端電腦MAC地址，并將員工信息與MAC地址綁定。默認情況下每個員工只允許綁定一臺終端設備，如果有特殊需要可以申請新的MAC地址許可。用戶再次登陸網絡時系統如果能夠查詢到用戶終端的MAC 地址，該終端即可自動認證，不需要用戶重新輸入登陸信息，也不需要在用戶終端上安裝任何準入軟件。這樣就實現了用戶的實名認證，同時也最大限度的減少了員工的操作和終端電腦的負擔。

2.3 與終端殺毒軟件聯動實現終端安全狀態檢查

在用戶身份信息得到準確的認證后，必須對用戶終端的安全狀態進行檢查，只有滿足安全要求的終端才可以接入園區網絡訪問相應網絡資源，對不符合安全規范的終端應該進行網絡隔離，直至符合安全規范后方可恢復其網絡訪問權限。

本方案中采用的是網絡準入控制系統與終端殺毒軟件系統聯動的機制來實現終端安全檢查。網絡準入系統在得到用戶發出的認證信息后，會到網絡殺毒軟件控制臺檢索該終端的安全狀態，反饋結果包括：合格、不合格、未安裝。只有檢查結果為合格的終端才會分配網絡訪問權限允許接入網絡，反饋結果為不合格和未安裝的終端將被劃入隔離區，只能訪問防病毒服務器和補丁分發服務器，直至安裝、修復、檢查結果合格后方可重新接入網絡。

這里需要特別指出的是可以根據網絡終端的不同用途，在殺毒軟件中定制不同安全檢查模板，例如：禁用U盤，禁止安裝非法軟件等，以便更精準的保障各類終端設備的安全。

2.4 基于安全組策略的網絡訪問權限分配和業務隨行功能

在完成網絡終端身份認證和終端安全檢查合格后，最后一步就是按照安全組策略的規劃給進入園區網絡的終端分配相應的網絡訪問權限，以最大限度的保障企業的信息安全。

本方案采用的基于安全組的網絡控制策略，較傳統基于IP和VLAN的ACL訪問控制策略具有較大差別，其工作原理如圖1所示。

該訪問控制方式最大的特點是將控制策略與IP地址和VLAN拖鉤，可實現同一用戶在不同區域的網絡訪問權限相同。這樣既保證了網絡訪問權限的有效控制，同時也降低的網絡管理員的維護工作量。

在進行網絡安全組的劃分之前，首先要進行網絡訪問權限的收集，我們可以下發網絡權限統計表。表的橫項目為網絡中的可訪問資源，縱項目為各單位的員工姓名，需要各單位根據工作需要，在員工需要訪問的網絡資源下畫√，然后根據統計上來的網絡權限將具有相同權限的員工規劃到一個安全組分配相同分網絡訪問權限。

2.5 終端入網流程圖

本方案的網絡準入控制流程圖如圖2所示。

3 網絡準入控制系統上線后的效果

本方案實施后達到了以下的管理效果：（1）實現了入網終端的全部實名認證，杜絕非認證終端的非法接入。（2）實現了用戶終端安全狀態的監控和管理，非安全終端自動隔離。（3）實現了網絡訪問權限的精準分配，確保企業關鍵信息安全。（4）實現了有線、無線網絡的全覆蓋，不留網絡管理死角。（5）用戶網絡權限不受地點限制，實現了業務隨行。（6）全網設備安全狀況實時監控，提高了網絡整體安全水平。

4 結語

網絡安全問題是一個綜合性的問題，需要多方面的技術綜合運用才能達到比較理想的效果。本文結合實際，總結了一整套適用于工業企業園區網絡管理的準入控制技術，希望對從事網絡安全的技術人員有所幫助。

參考文獻

[1] 周超，周城，丁晨路.計算機網絡終端準入控制技術[J].計算機系統應用，2011，20（1）：90.

[2] 陳遠鵬.網絡準入控制系統的設計與實現[D].北京：北京工業大學，2017.

[3] 趙志平.絡準入控制技術在企業中的應用分析[J].科技創新與應用，2018（35）：185.