基于準(zhǔn)入控制技術(shù)的企業(yè)網(wǎng)絡(luò)安全的優(yōu)化研究

石友晨，王胤權(quán)，李 洋，李 偉，湯彩霞

（1.新疆油田公司數(shù)據(jù)公司，新疆 克拉瑪依 834000；2.中國石油新疆油田分公司采油一廠，新疆 克拉瑪依 834000）

1 準(zhǔn)入控制技術(shù)的相關(guān)研究

隨著時(shí)代發(fā)展，網(wǎng)絡(luò)訪問模式不斷優(yōu)化，許多大型企業(yè)建立了具有針對性的網(wǎng)絡(luò)訪問方案，以解決各類網(wǎng)絡(luò)供應(yīng)問題，實(shí)現(xiàn)網(wǎng)絡(luò)訪問控制模塊標(biāo)準(zhǔn)化的目標(biāo)。例如，2004 年5 月，可信計(jì)算組織成立了可信網(wǎng)絡(luò)連接（Trusted Network Connect，TNC）分組，并計(jì)劃開發(fā)一個(gè)對所有開發(fā)商開放的架構(gòu)規(guī)范。近幾年，TNC 模式不斷優(yōu)化，標(biāo)準(zhǔn)化網(wǎng)絡(luò)體系不斷完善，網(wǎng)絡(luò)安全準(zhǔn)入技術(shù)不斷升級，尤其是軟硬件環(huán)境不斷優(yōu)化，使網(wǎng)絡(luò)安全準(zhǔn)入控制技術(shù)日益標(biāo)準(zhǔn)化［1］。

在學(xué)者對網(wǎng)絡(luò)訪問控制（Network Admission Control，NAC）技術(shù)的研究中，其使用的術(shù)語和對網(wǎng)絡(luò)訪問控制的定義各不相同。不同企業(yè)也設(shè)計(jì)了針對自身情況的網(wǎng)絡(luò)訪問控制方案，各有側(cè)重點(diǎn)。但其網(wǎng)絡(luò)運(yùn)作的操作原理是相同的。企業(yè)應(yīng)用統(tǒng)一的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)檢測和評估網(wǎng)絡(luò)安全狀態(tài)，滿足了不同端點(diǎn)系統(tǒng)的網(wǎng)絡(luò)連接要求，并根據(jù)測試和評估結(jié)果實(shí)施網(wǎng)絡(luò)系統(tǒng)的接入及修復(fù)，就網(wǎng)絡(luò)安全運(yùn)行狀況展開分析［2］。

網(wǎng)絡(luò)安全準(zhǔn)入策略的制定離不開良好的安全基線基礎(chǔ)。經(jīng)過系統(tǒng)監(jiān)測，合格的終端系統(tǒng)或用戶將被給予完全的網(wǎng)絡(luò)接入權(quán)限，而不具備進(jìn)入資格的用戶將會被阻止。為減少可能出現(xiàn)的漏洞問題，端點(diǎn)系統(tǒng)會對不同用戶進(jìn)行權(quán)限控制，越重要的系統(tǒng)，用戶越需要具備較高的權(quán)限，如擁有對某些特定級別系統(tǒng)模塊的操作權(quán)及訪問權(quán)［3］。

網(wǎng)絡(luò)訪問控制系統(tǒng)實(shí)現(xiàn)了各類網(wǎng)絡(luò)技術(shù)的結(jié)合，基于統(tǒng)一的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，在企業(yè)組建運(yùn)行網(wǎng)絡(luò)的過程中，構(gòu)成安全防范體系，應(yīng)對各類網(wǎng)絡(luò)安全問題。在網(wǎng)絡(luò)訪問控制系統(tǒng)的設(shè)計(jì)及運(yùn)行過程中，比較常見的安全技術(shù)包括802.1x 技術(shù)、虛擬專用網(wǎng)絡(luò)（Virtual Private Network，VPN）技術(shù)，其構(gòu)成了系統(tǒng)訪問的基礎(chǔ)。802.1x 系統(tǒng)是典型的ClientlServer 模型，由3 個(gè)部分組成，分別為客戶端、設(shè)備和認(rèn)證服務(wù)器（Authentication Server，AS）。客戶端一般為支持基于局域網(wǎng)的可擴(kuò)展認(rèn)證協(xié)議（Extensible Authentication Protocol Over LAN，EAPOL）的用戶終端。在操作過程中，用戶需要在網(wǎng)絡(luò)系統(tǒng)中啟動相應(yīng)客戶端軟件，發(fā)起802.1x 認(rèn)證。其服務(wù)器一般為802.1 認(rèn)證服務(wù)器或者是遠(yuǎn)程用戶撥號認(rèn)證系統(tǒng)（Remote Authentication Dial In User Service，RADIUS）服務(wù)器，就接入網(wǎng)絡(luò)系統(tǒng)的客戶端展開認(rèn)證、授權(quán)及分析［4］。

2 企業(yè)網(wǎng)絡(luò)安全準(zhǔn)入控制的優(yōu)化

2.1 802.1x 協(xié)議的應(yīng)用

802.1 x 協(xié)議是一種標(biāo)準(zhǔn)化的網(wǎng)絡(luò)認(rèn)證協(xié)議，這種協(xié)議的通用性很強(qiáng)，可為企業(yè)提供非常有效的以太網(wǎng)邊界安全控制功能。在網(wǎng)絡(luò)操作過程中，許多接入設(shè)備都支持這種協(xié)議，也有許多企業(yè)利用這種協(xié)議就內(nèi)部網(wǎng)絡(luò)展開訪問控制。當(dāng)今信息和網(wǎng)絡(luò)技術(shù)快速發(fā)展，各企業(yè)依靠其核心業(yè)務(wù)網(wǎng)絡(luò)，推動金融計(jì)算機(jī)化，優(yōu)化網(wǎng)絡(luò)服務(wù)技術(shù)，提高網(wǎng)絡(luò)服務(wù)效率和市場競爭力，在這一過程中，網(wǎng)絡(luò)的操作可靠性不斷增強(qiáng)。在核心網(wǎng)絡(luò)操作過程中，需要設(shè)計(jì)一個(gè)非常明確的量化標(biāo)準(zhǔn)，從而就系統(tǒng)操作狀況展開評估。網(wǎng)絡(luò)安全工作是復(fù)雜的，難以預(yù)料所有的問題，網(wǎng)絡(luò)病毒也在不斷變化，網(wǎng)絡(luò)系統(tǒng)的漏洞也具有流動性。在網(wǎng)絡(luò)安全管理過程中，必須分析企業(yè)常見的安全問題。

2.2 智能終端系統(tǒng)的應(yīng)用

在系統(tǒng)操作過程中，部分企業(yè)應(yīng)用了一系列智能終端系統(tǒng)以識別及管理網(wǎng)絡(luò)信息，其涉及各類服務(wù)器設(shè)備、網(wǎng)絡(luò)監(jiān)控設(shè)備等。操作各類專用網(wǎng)絡(luò)設(shè)備需要遵循相應(yīng)的規(guī)范，用戶不能私自更改網(wǎng)際互聯(lián)協(xié)議（Internet Protocol，IP），避免出現(xiàn)IP 沖突問題，也避免用戶網(wǎng)絡(luò)訪問問題；將介質(zhì)訪問控制（Media Access Control，MAC）與IP 模塊綁定，可迅速追蹤IP地址；將終端設(shè)備網(wǎng)絡(luò)與用戶操作網(wǎng)絡(luò)結(jié)合，可實(shí)現(xiàn)網(wǎng)絡(luò)接入設(shè)備的有效應(yīng)用，避免出現(xiàn)網(wǎng)絡(luò)接入設(shè)備操作問題，保證用戶正常使用。20 世紀(jì)初，部分企業(yè)應(yīng)用了桌面安全系統(tǒng)，在之后的幾年里，360 安全桌面系統(tǒng)得到了應(yīng)用，提高了網(wǎng)絡(luò)操作水平，也提高了員工辦公終端的安全管理效益和安全維護(hù)水平。準(zhǔn)入訪問機(jī)制的優(yōu)化，提高了企業(yè)網(wǎng)絡(luò)信息數(shù)據(jù)系統(tǒng)運(yùn)行的安全性［5］。

2.3 優(yōu)化常用網(wǎng)絡(luò)準(zhǔn)入技術(shù)方案

在建立網(wǎng)絡(luò)安全防護(hù)機(jī)制的過程中，必須不斷優(yōu)化常用網(wǎng)絡(luò)準(zhǔn)入技術(shù)方案，解決各類黑客問題、病毒入侵問題，避免受到外部網(wǎng)絡(luò)侵害。對系統(tǒng)操作而言，外部網(wǎng)絡(luò)缺乏安全性。在系統(tǒng)操作過程中，核心網(wǎng)絡(luò)運(yùn)行狀況、服務(wù)器操作狀況非常重要，需要積極展開網(wǎng)絡(luò)安全保護(hù)。在解決網(wǎng)絡(luò)安全問題的過程中，要積極利用各類殺毒軟件及防火墻系統(tǒng)。在建設(shè)企業(yè)網(wǎng)絡(luò)安全防護(hù)機(jī)制的過程中，要采取有效措施解決外部網(wǎng)絡(luò)安全問題，在內(nèi)部網(wǎng)絡(luò)局域網(wǎng)安全的維護(hù)過程中，避免企業(yè)系統(tǒng)核心網(wǎng)絡(luò)及服務(wù)器遭受攻擊，避免由于人為失誤及不可抗力而出現(xiàn)重大安全事故問題。企業(yè)不僅要考慮人工防范的相關(guān)因素，還要做好技術(shù)防范的相關(guān)工作。

無線廣域網(wǎng)外部移動終端的創(chuàng)新在促進(jìn)企業(yè)業(yè)務(wù)發(fā)展方面發(fā)揮了重要作用。相較于范圍比較狹窄的企業(yè)局域網(wǎng)，無線廣域網(wǎng)絡(luò)的操作步驟更為復(fù)雜，需要由專門人員操作專業(yè)設(shè)備，保證企業(yè)安全監(jiān)控系統(tǒng)的安全，在新時(shí)期也可應(yīng)用便攜式終端設(shè)備。企業(yè)在安全操作過程中，各個(gè)部門要與安全技術(shù)部門展開充分溝通及協(xié)作，分析企業(yè)不同部門的安全需求，為設(shè)計(jì)無線廣域網(wǎng)環(huán)境下的網(wǎng)絡(luò)終端調(diào)度方案提供依據(jù)。設(shè)計(jì)相應(yīng)的無線局域網(wǎng)系統(tǒng)時(shí)，要將被分配的終端當(dāng)作特殊網(wǎng)絡(luò)終端處理，利用內(nèi)部局域網(wǎng)設(shè)置安全門禁。在新時(shí)期，網(wǎng)絡(luò)安全準(zhǔn)入系統(tǒng)需要應(yīng)用移動數(shù)據(jù)網(wǎng)絡(luò)以及優(yōu)化VPN 技術(shù)的應(yīng)用。

通過技術(shù)手段防范網(wǎng)絡(luò)風(fēng)險(xiǎn)一般有兩種方式，一是增加硬件設(shè)施的投資提高網(wǎng)絡(luò)的安全性；二是通過調(diào)整和優(yōu)化網(wǎng)絡(luò)的物理和邏輯結(jié)構(gòu)提高網(wǎng)絡(luò)的安全性。

面對嚴(yán)峻的終端安全問題，必須優(yōu)化網(wǎng)絡(luò)安全準(zhǔn)入方案，解決各類網(wǎng)絡(luò)終端問題。在這個(gè)過程中，應(yīng)用網(wǎng)絡(luò)門禁技術(shù)可實(shí)現(xiàn)安全控制技術(shù)與移動技術(shù)的結(jié)合，提高設(shè)備的安全訪問控制效益，解決各類網(wǎng)絡(luò)安全終端問題。還應(yīng)不斷細(xì)化準(zhǔn)入控制技術(shù)的各個(gè)細(xì)節(jié)，深入分析業(yè)務(wù)的不同運(yùn)作場景，解決企業(yè)發(fā)展問題。

在企業(yè)運(yùn)作過程中，骨干網(wǎng)主要應(yīng)用IEEE802 標(biāo)準(zhǔn)。在操作過程中，用戶配置好IP 網(wǎng)絡(luò)地址，利用各類以太網(wǎng)交換機(jī)端口連接及應(yīng)用企業(yè)內(nèi)部資源信息，這個(gè)過程會存在一些網(wǎng)絡(luò)安全問題。進(jìn)入21 世紀(jì)后，802.1x 認(rèn)證協(xié)議機(jī)制不斷得到優(yōu)化，這種運(yùn)作機(jī)制解決了以太網(wǎng)網(wǎng)絡(luò)接入的相關(guān)安全問題。在網(wǎng)絡(luò)安全管理技術(shù)蓬勃發(fā)展的今天，網(wǎng)絡(luò)訪問控制模式面臨日益嚴(yán)峻的發(fā)展挑戰(zhàn)，這就需要就網(wǎng)絡(luò)用戶的身份及權(quán)限狀況展開識別、評估及控制，終端用戶只有經(jīng)過系統(tǒng)的最終審核才可以進(jìn)入企業(yè)系統(tǒng)網(wǎng)絡(luò)，從而提高了計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)整體的安全性。

2.4 優(yōu)化網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)功能

為適應(yīng)現(xiàn)階段企業(yè)長遠(yuǎn)發(fā)展的需要，必須完善企業(yè)基礎(chǔ)設(shè)施體系，優(yōu)化NAC 結(jié)構(gòu)部署系統(tǒng)，積極應(yīng)用動態(tài)主機(jī)配置協(xié)議（Dynamic Host Configuration Protocol，DHCP）、IP 地址管理（IP Address Management，IPAM）、簡單網(wǎng)絡(luò)管理協(xié)議（Simple Network Management Protocol，SNMP）等技術(shù)，以實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備在線信息狀況的實(shí)時(shí)收集，匯總、規(guī)劃及分析各類信息數(shù)據(jù)，并通過可視化的方法展示相關(guān)信息。先進(jìn)的網(wǎng)絡(luò)訪問控制系統(tǒng)可以就內(nèi)部網(wǎng)絡(luò)展開有效、實(shí)時(shí)的監(jiān)控，也可就不同設(shè)備及交換機(jī)端口等展開安全管理。通過各類網(wǎng)絡(luò)信息報(bào)表、圖像、圖形等方式，分析企業(yè)內(nèi)部網(wǎng)絡(luò)不同實(shí)體的動態(tài)信息、統(tǒng)計(jì)信息等。內(nèi)部網(wǎng)絡(luò)可視化管理可以提高管理效率，減少工作量，就設(shè)備的運(yùn)作狀況展開有效管理，這就需要提高終端端口、網(wǎng)絡(luò)端口、服務(wù)端口等的運(yùn)作效率，靈活應(yīng)用各類信息采集設(shè)備，就不同的網(wǎng)絡(luò)操作環(huán)境、不同的網(wǎng)絡(luò)操作平臺配置專門的鷹眼，實(shí)現(xiàn)網(wǎng)絡(luò)路由數(shù)據(jù)的有效性統(tǒng)計(jì)，提高企業(yè)網(wǎng)絡(luò)設(shè)備的操作運(yùn)行效率。

3 結(jié)語

優(yōu)化網(wǎng)絡(luò)安全準(zhǔn)入系統(tǒng)可以解決各類網(wǎng)絡(luò)病毒問題、漏洞問題，避免人為因素對企業(yè)網(wǎng)絡(luò)安全的各種侵害。網(wǎng)絡(luò)安全控制系統(tǒng)的運(yùn)行可以將各類辦公終端網(wǎng)絡(luò)納入安全的網(wǎng)絡(luò)控制環(huán)境中，拒絕各類外在訪問。各類網(wǎng)絡(luò)準(zhǔn)入控制模式的應(yīng)用提高了系統(tǒng)終端的信息安全性，保障了企業(yè)穩(wěn)定發(fā)展。