地市煙草網絡準入控制及終端安全防護的研究

（福建省煙草公司南平市公司，福建南平 354200）

0 背景

地市煙草計算機網絡規模龐大，信息接入點非常多，雖然在網絡邊界部署了防火墻、漏洞掃描、防病毒、IPS等防御措施，但由于內部網絡計算機終端引發的安全問題仍時有發生。特別是蠕蟲病毒、ARP病毒、DDOS病毒等不僅對終端本身的安全造成危害，還會影響整個網絡的運行，對正常辦公和業務開展帶來不利影響。當前，地市煙草計算機網絡中最主要的威脅來源于因終端隨意接入網絡所帶來的各類病毒與蠕蟲。為了有效應對這些威脅，必須要采取多層次、主動的安全防護技術，從源頭上杜絕蠕蟲與病毒的威脅。特別是當新終端要接入煙草網絡時，必須要確保該終端是否受到保護，是否符合安全策略要求。

當前，終端安全主要存在以下三個方面的問題：（1）安全防護措施覆蓋不完全，不能對所有的終端進行保護；（2）終端接入控制機制不嚴，存在非法接入煙草網絡的情況；（3）終端管理不力，私購終端接入網絡，非法接入網絡等現象時有發生。這三個方面的問題對煙草計算網絡的安全造成了嚴重威脅。

隨著接入網點的增加，數據的高速積累，網絡安全準入控制變得越來越重要。為做好準入工作，需要提前進行廣泛調研。主要工作包括：分析具體的部署需求，對網絡設備進行安全等級評估，評估準入制度是否滿足未來需要，系統架構是否具有可控性等。

1 準入控制現狀及需求分析

1.1 地市煙草網絡建設現狀分析

地市煙草網絡一般由機關風局域網絡及分支機構網絡兩部分組成，現已實現對市局公司、縣市局公司的全覆蓋，并全面支持802.1X網絡協議，使用的網絡配置較高。在市公司機關局域網中主要采取的是分區分域的網絡架構，各個分區的網絡匯聚到分區交換機以后再與核心路由器連接。整個網絡在核心設備與關鍵網絡中實行冗余設計，提高數據傳輸處理的同時，保證網絡的可靠性。機關局域網的互聯網出口設置在機關信息中心，并部署防火墻等安全設備。然而，在地市煙草數據網絡中存在的最大問題是網絡向全部用戶開放，而沒有接入控制措施。此外，網絡缺乏集中統一管理機制，當終端出現問題時，必須要由管理員親自維護，費時費力。

1.2 地市煙草網絡準入及終端管理的需求分析

1.2.1 終端合法性的檢測策略及方法

我們建設地市煙草網絡，一般是基于互聯網建設的，并沒組建專網，所以一般設備很容易接入其中。因此，用戶可以通過互聯網，很容易獲得內網信息。這一缺陷使得煙草公司必須加強網絡管理，對網絡接入進行嚴格的網絡控制，才能保證相關數據的安全。

1.2.2 對網絡終端的安全性進行深入判斷

當前，隨著日常工作越來越依靠互聯網，煙草公司接入互聯網的終端數發生幾何級增長。這些終端在結構上存在異構型（型號、CPU、內存不同），所安全的軟件各式各樣。各個系統的漏洞也多種多樣，操作系統漏洞、軟件配置漏洞、數據庫漏洞、木馬、病毒等都可以影響這些系統運行。更重要的是一個漏洞可能被利用，從而侵入內網，控制更多的計算機，從而影響整個系統的運行。

1.2.3 多種準入控制方式利用煙草終端的控制

在煙草網絡中所具有的設備多種多樣：傳統的計算機、服務器、手持PoS、存儲器、打印機等。這些終端設備提供不同功能，也具有不同的應用場景，引入多種準入控制方式，才能保證所有終端設備都能實現網絡準入控制，為煙草行業運行提供方便，杜絕出現控制盲區。

1.2.4 需要降低桌面終端管理壓力

當前在地市煙草網絡中，仍然是采用手工處理方法對桌面終端進行管理與統計。這種方法的缺陷是非常明顯的：（1）不能方便地對網絡中的各種終端進行管理，無法監控各個終端設備的變化，導致終端設備管理混亂無章；（2）桌面終端的升級與更新依賴手工進行，不僅浪費了大量的人力資源，也會導致系統更新不及時，給網絡帶來安全隱患。基于此，桌面終端管理技術的引入已成為地市煙草網絡安全工作的重中之重。利用桌面終端管理系統，不僅可以提升工作效率，減少不必要的人才開支，也能對終端進行集中統一管理，提高安全性。

綜上所述，網絡準入控制系統和終端管理對地市煙草網絡的安全平穩運行非常重要，兩個系統相互協作，才能滿足地市煙草網絡的安全管理需求，各級煙草公司應當高度重視兩方面的相互協作。

2 網絡準入控制方法、技術及應用模式

2.1 網絡準入控制方法及原理

網絡準入控制是指采用軟/硬件系統，實現系統的控制技術，對終端設備及用戶身份進行驗證，使那些通過系統認證的，滿足認證條件的終端接入到煙草企業內網中，而阻止非法的、未得到授權的設備登錄到系統，從而達到防止不法攻擊者對地市煙草網絡的侵犯、攻擊。

資源訪問控制策略在網絡準入控制擔當主要的作用。煙草企業網絡同其企業一樣，可劃分為三個區域：用戶區、設備聯動區、策略控制。對不同區域，由于需求不同，采用不同的策略實現網絡的安全監控，并通過不同的策略來實現對企業網絡的全方位管控。對三個區域，采用工具、人工、協同工作的方式發現問題，待問題終端完成安全缺陷修復后，準入控制模塊再次根據訪問控制策略對其進行認證；資源訪問策略控制系統檢測出來的合法且不存在安全缺陷的用戶可正常接入企業網絡，并在權限內實現正常的訪問，但其使用網絡的相關情況需要被安全策略服務器實時監控并記入日志[1]。

2.2 網絡準入控制技術實現方式

網絡準入控制技術的實現方式有多種，目前較為常用的主要有以下幾類：基于802.1協議族的網絡準入控制方式；EOU思科網絡準入控制；網關型網絡準入控制方式；基于DHCP的網絡準入控制；基于ARP的網絡準入控制。各類準入控制技術的對比如表1所示[2]。

上述幾類網絡準入控制方式中（如圖1所示），其中802.1X協議的控制方式因其安全可靠、支持設備多等優點在市場中得到了大量的應用。

2.3 網絡準入控制技術在終端安全管理體系中的應用模式

地市煙草網絡準入與終端管理系統二者系統工作，才能從源頭上消除網絡威脅，保證應用系統的安全，防止非法訪問，同時記錄接入用戶的網絡行為，規范日常操作，為煙草網絡的安全運行提供保障，避免出現安全事件。

每個終端在接入企業網絡時就需要進行認證，因此需要將網絡準入控制技術與終端管理技術進行整合，具體的整合架構如圖1所示[3]。

認證管理的具體流程如下：

首先網絡準入控制需要對接入的終端進行多方面的安全檢測，檢測主要從下面三個方面進行：

表1 幾種網絡準入控制技術比較

圖1 網絡準入控制系統和終端安全管理結合架構

（1）賬戶認證。檢查用戶的密碼與賬戶是否匹配，防止非法用戶登錄系統獲得數據。這里包括驗證次數設置，密碼恢復策略等多方面的內容。

（2）安全設置規范檢查。日常管理才是安全管理的重中之重，需要根據企業的需求對終端的安全設置制定相關的制度，其內容包括：關閉訪客賬戶、弱口令檢測、Windows域名檢測、系統漏洞升級更新、共享權限控制、防病毒軟件病毒特征庫更新等。

（3）終端注冊ID檢查。對接入的終端ID進行檢查，只允許已經注冊成功的ID登入，拒絕其他ID，并記錄所有登錄行為。

其次，可對接入網絡的終端進行進一步的安全管理與控制，包括以下幾個方面：

（1）安全加固。針對接入網絡的終端進行安全加固，主要包括：對系統密碼、屏保密碼等進行加固，關閉系統自動加載服務、關閉移動存儲介質自動播放、關閉系統目錄共享、強制終端安裝指定的殺毒軟件與防火墻軟件、自動對接入終端進行系統升級、自動對接入終端進行殺毒軟件更新等。

（2）安全評估。系統管理員根據網絡的運行情況對網絡中所有接入的終端的安全狀態進行初步實時評估，主要包括：評估終端的系統密碼是否是滿足復雜度、檢測終端是否開放了系統共享、檢測終端運行的進程與線程是否存在危險；檢測終端是否及時對系統漏洞進行了更新；檢測終端的網絡流量是否正常；檢測終端的網絡行為是否存在異常等。

（3）安全審計。管理員可利用終端管理控制系統對接入網絡各終端的行為進行安全審計，通過對終端上的文件操作行為、網絡行為等確定終端是否存在非法操作、是否安裝了非法軟件、是否對安全設置進行了更改。一旦發現終端存在著不安全的行為，則可對其進行遠程管理與控制。同時，管理員還可利用終端集中控制平臺，對終端進行批量查詢與操作，例如分組、批量或集中對桌面終端進行安全狀態查詢或安全設置；集中向桌面終端分發系統補丁或殺毒軟件更新包；對指定的終端設備進行遠程控制與操作；對系統中出現的不安全設備進行快速定位，并采取相應的措施來阻止網絡攻擊的擴散；對網絡上所有的終端設備進行統計匯總，以方便進行資產管理等。總之，安全審計可幫助系統管理員針對不同的安全事件采取不同的處理流程，確保安全事件能得到快速有效處理[4]。

3 應用

3.1 產品原則

3.1.1 要選擇優質的產品

在選擇產品時要選擇具有良好適應性的產品，以避免對現有網絡進行較多的發行；要選擇技術成熟的網絡準入控制方案，要能夠實現快速部署，不需要在終端上進行客戶端安裝，不要對終端用戶的正常使用產生影響，要方便管理；要選擇擴展性好的產品，要能實時對安全檢查引擎進行升級；要選擇具備終端認證、訪問控制、安全修復等功能的產品，要與企業的實際情況相符，選擇功能完備的產品。

3.1.2 要選擇實力較強的安全廠商

企業網絡準入控制是一項復雜的工程，因此在項目建設上必須要選擇專業實力強、工作經驗豐富的安全廠商。只有實力強的安全廠商，才擁有專業的技術服務團隊，才能為企業提供優勢、專業的網絡準入控制項目建設服務，才能在后期的維護中提供專業的技術支持。從某種程度而言，網絡準入控制產品的技術服務遠比產品本身重要，原因主要有：在項目建設的前期，需要經驗豐富的安全技術人員根據企業的實際情況對系統進行方案規劃；在項目建設中，需要完整的建設計劃與管理制度，確保準入控制項目建設順利；在項目建設完成后，還需要有完善的技術支持服務，以便及時解決系統在運行中出現的各種問題。而這些，都需要技術實力強、規模較大的安全廠商才能做到，因此在選擇網絡準入控制產品時，不僅要重視產品本身的功能，還要重視對生產廠商實力的考察。

3.2 建設步驟

3.2.1 要明確網絡準入控制建設要達到的目標

首先要對企業網絡所存在的問題與威脅進行明確，深入分析網絡準入控制技術所要保護的對象以及實施網絡準入控制后所帶來的積極與消極影響。只有符合企業實際需求才可解決企業網絡安全所面臨的問題，并且在企業所帶來的好處大于建設成本時，網絡準入控制項目才有建設的可行性。

3.2.2 要明確企業網絡準入控制項目的實施對象和范圍

在建設中，網絡準入控制安全廠商通常會為建設企業提供相應的項目實施范圍參考，企業通過對自身的實際需求調研，再與廠商進行討論，并對項目建設的內容進行分析，權衡項目的利弊，綜合各方面的因素以確認實施范圍是否合理可行，是否需要有增加或刪除的地方。

3.2.3 要選擇合適的網絡準入控制系統

當確定好網絡準入控制項目實施范圍后，就需要對網絡準入控制系統進行選擇。由于網絡準入控制技術可在企業網絡的任意位置上進行，因此需要在項目建設中確定執行點。項目建設企業需要根據自己的實際情況對執行點進行選擇，在選擇執行點時要確保不對終端用戶的使用造成困擾。從當前網絡準入控制的應用情況來看，執行點通常選擇在企業的內聯上。

3.2.4 進行成本分析和測試

網絡準入控制項目建設成本與建設企業的設計選擇密切相關，因此在建設中企業需要根據項目的實際情況來評估其設計選擇是否正確。例如，在企業網絡中配置一個獨立的準入控制設備所需要的成本并不高，但是要對設備進行配置應用就需要花費較多的時間與精力，因此在方案設計時需要充分考慮建設備份單元以應對主要單元失效的情況。在項目建設完成交付使用之前，需要對網絡準入控制項目進行全面網絡測試，以了解其是否達到了設計目標，是否與企業的需要相一致。

3.2.5 實施網絡準入控制項目建設

網絡準入控制項目的建設主要是通過搭建服務器、配置交換機、配置終端、配置交換機商品等來實現對企業網絡的控制。在實施項目前，企業要做好項目負責人確定、內部工作部署、準入控制效果評價等工作。

4 結語

網絡準入控制與終端安全防護能為地市級煙草網絡通安全保護，從而有效防止終端信息泄露，并采用相關的技術及加強管理制度，保證整個系統的安全運行。