基于多层准入控制构建的安全合规内网

申请免费试用、咨询电话：400-8352-114

摘要：引入多层种准入控制手段和安全解决方案，构建多种准入控制共存的完善的内网终端合规管理体系，有效解决了内网安全管理中突出的安全问题，大幅度增强内网终端的安全保护能力，有效地兼顾和平衡了安全管理中“安全性”和“便利性”的矛盾，全面提升学员机房网络安全防护等级和信息安全管理水平。 

关键词：多层准入控制  内网安全  合规管理  0 引言  重庆市电力公司教培中心学员培训计算机房已经使用多年，但是存在着不少安全问题，主要表现为：外来终端不难接入内网，这样就会使一些已经感染了未知或新型病毒欺骗病毒的终端，使内网受到病毒感染，直接威胁网络的安全运行。在培训学员时，没有注意让学员严格按照相关的规定对指定的防病毒软件、桌面安全管理等安全软件进行卸载，在安装和运行游戏软件、网络视频工具等其他可能存在安全隐患的软件时也缺少相关的必要指导。内网多使用的是以ｕ盘为代表的移动存储设备，这样就不难导致病毒的侵袭或者是木马传播、泄露内部重要数据和文件；同时u盘的广泛使用也为机房组织考试增加了管理难度。随着网络技术的不断发展，特别是无线网络互联技术的飞快发展，使internet的联入摆脱了地域的限制，现在内、外网在一定程度上实现了互通，一些不合法外联事件也逐渐的增多了，这给企业核心业务系统的稳定安全运行造成了很大的影响。接入内网的终端，在未授权的情况下就可连接其内部重要服务器，这样给合法用户的访问带来不同程度影响的同时，还可能成为来自内部或外部的非法人员，以此为跳板，攻击其内部关键业务系统……  经过一番认真的调查和仔细的研究，我们发现现有多于80%的安全事故是在内网条件下出现的，在整个网络安全管理中，在内网的管理上还是很欠缺的。  1 内网终端合规管理实施终端准入控制  经过研究发信，强制内网终端合规准入控制机制的建立，从终端系统启动一直到终端之间互访的安全接入实施有效地控制，从而实现对终端整个过程的管理与控制，还能够对终端安全状态做好实时的监控，并能够进行修复，给内网建立“终端安检系统”，这样，不管是终端用户有意的还是无意的不按照内网合规管理方案操作，这一管理系统就会自动开启违规处理，对这些不按照相关规定进行操作的终端做出不同程度的处理，如提示、警告、自动修复或者是对终端进行安全隔离，但是违规终端会很好的保护网络资源，更好的完成内网合规管理。  从上面的分析中，我们制定了几种内网终端合规管理解决方案的原则：①终端接入内网后，从网络边界、业务应用系统到其他客户端做好控制。②终端接入内网后，要对其强制执行内网合规管理策略。③监控终端的全过程、动态的合规状态，如果出现终端违规现象，就会对违规行为进行提示、警告、自动修复甚至对终端实施安全隔离。  2 能够实现合规管理无盲区，不妥协  构筑多层准入的内网终端合规管理系统  基于以上原则，我们广泛了解现在内网终端安全管理市场，考察了多家国内外专业安全厂商，深入了解和测试了多款这些厂家所提供的成熟和稳定的内网终端安全管理产品，最终决定跟国内著名的安全公司“启明星辰”合作，发展好内网终端计算机的综合信息中心，在合规管理平台的运行上不断创新，作为教培中心培训机房的内网终端合规管理系统承载平台，这样就使得教培中心培训机房拥有了全新的多层准入内网安全管理体系架构。  在多层准入控制的帮助下，我们能够实现以下准入控制流程：终端层→网络层→应用层（包括客户端准入、网络准入和应用准入等）。  2.1 如果终端想借助交换机接入内网  管理服务器可以跟接入层和汇聚层网络设备联动，控制那些想要连入内网的终端网络准入，不仅会对其进行严格的身份验证，还要进行合理的合规检查，我们要做到的是只允许合法的和安全的终端接入内网。那些违规的或者是不合法的终端，系统会自动将其划入修复区甚至是隔离。详见下图：  2.2 当接入网络的终端试图访问内网服务器或关键业务系统时  在内网安全风险管理与审计系统中，需要有一个特有准入控制组件—策略网关，把它安装在企业网的重要服务器或者是关键业务系统上，这样就能够保障有效地控制终端应用层的准入，一旦出现不受控的终端或者是不合规的终端，就无法访问该服务器或业务系统。  应用准入与网络准入的主要区别：①在数据中心的服务器区就可实现应用准入，不涉及网络环境，如果出现与网络准入条件不相符合的情况，或者是由于内网终端合规管理的现实情况，在网络准入控制方面可以不必太严格，此时使用应用准入控制就可以，不必进行终端合规准入控制。②应用准入具有自动重定向功能，一旦发现未受控终端，以及不合规终端，系统就会出现相关的提示，通知其被拦截的消息，并告知其原因。而且在提示页面中还能够设置合规管理客户端下载链接，这样在很大程度上使系统维护人员的工作量变少了，使用户的满意程度不断提高，使他们更乐于接受，进而实现了内网合规的最佳效果。  2.3 当两个终端相互之间进行访问时  来访的终端会受到合规受控的终端的客户端准入控制，同时还要接受合规检查，只有合规安全的终端才能进行访问，如果是不合规的终端或者是不合法的终端都将无法访问，这样当那些感染了蠕虫病毒的非受控终端想要对合规终端进行病毒感染时，就可以将其及时的切断。  3 全面进入内网终端合规管理  教培中心培训机房首先完成构建混合准入控制体系，然后充分考虑到内网终端合规管理以及内网安全等级保护的要求，编辑和下发了一些终端合规安全管理策略，通过对这些策略的认真执行，使内网终端的安全保护能力得到显著提高，而且由于非安全终端造成的很多内网安全问题也减少了很多，此外，不仅仅是教培中心培训学员网络安全防护等级提高了，而且信息安全管理水平也有了明显的改善。  4 总结  教培中心培训学员机房通过部署内网安全风险管理与审计系统，构建多种准入控制手段混合共存的内网终端合规准入管理体系，更好地实施内网终端合规管理规范，在信息安全系统投资中收到最好的效益。  参考文献：  [1]孙强，陈伟，王东红著.信息安全管理：全球最佳实务与实施指南. 北京：清华大学出版社，2004.  [2]启明星辰编著.utm（统一威胁管理）技术概论.北京：电子工业出版社.  [3]曾朝蓉.内网安全管理方案探讨[j].网络安全技术与应用.2009，(11).