基于多層準(zhǔn)入控制構(gòu)建的安全合規(guī)內(nèi)網(wǎng)

申請免費試用、咨詢電話：400-8352-114

摘要：引入多層種準(zhǔn)入控制手段和安全解決方案，構(gòu)建多種準(zhǔn)入控制共存的完善的內(nèi)網(wǎng)終端合規(guī)管理體系，有效解決了內(nèi)網(wǎng)安全管理中突出的安全問題，大幅度增強(qiáng)內(nèi)網(wǎng)終端的安全保護(hù)能力，有效地兼顧和平衡了安全管理中“安全性”和“便利性”的矛盾，全面提升學(xué)員機(jī)房網(wǎng)絡(luò)安全防護(hù)等級和信息安全管理水平。 

關(guān)鍵詞：多層準(zhǔn)入控制  內(nèi)網(wǎng)安全  合規(guī)管理  0 引言  重慶市電力公司教培中心學(xué)員培訓(xùn)計算機(jī)房已經(jīng)使用多年，但是存在著不少安全問題，主要表現(xiàn)為：外來終端不難接入內(nèi)網(wǎng)，這樣就會使一些已經(jīng)感染了未知或新型病毒欺騙病毒的終端，使內(nèi)網(wǎng)受到病毒感染，直接威脅網(wǎng)絡(luò)的安全運行。在培訓(xùn)學(xué)員時，沒有注意讓學(xué)員嚴(yán)格按照相關(guān)的規(guī)定對指定的防病毒軟件、桌面安全管理等安全軟件進(jìn)行卸載，在安裝和運行游戲軟件、網(wǎng)絡(luò)視頻工具等其他可能存在安全隱患的軟件時也缺少相關(guān)的必要指導(dǎo)。內(nèi)網(wǎng)多使用的是以ｕ盤為代表的移動存儲設(shè)備，這樣就不難導(dǎo)致病毒的侵襲或者是木馬傳播、泄露內(nèi)部重要數(shù)據(jù)和文件；同時u盤的廣泛使用也為機(jī)房組織考試增加了管理難度。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，特別是無線網(wǎng)絡(luò)互聯(lián)技術(shù)的飛快發(fā)展，使internet的聯(lián)入擺脫了地域的限制，現(xiàn)在內(nèi)、外網(wǎng)在一定程度上實現(xiàn)了互通，一些不合法外聯(lián)事件也逐漸的增多了，這給企業(yè)核心業(yè)務(wù)系統(tǒng)的穩(wěn)定安全運行造成了很大的影響。接入內(nèi)網(wǎng)的終端，在未授權(quán)的情況下就可連接其內(nèi)部重要服務(wù)器，這樣給合法用戶的訪問帶來不同程度影響的同時，還可能成為來自內(nèi)部或外部的非法人員，以此為跳板，攻擊其內(nèi)部關(guān)鍵業(yè)務(wù)系統(tǒng)……  經(jīng)過一番認(rèn)真的調(diào)查和仔細(xì)的研究，我們發(fā)現(xiàn)現(xiàn)有多于80%的安全事故是在內(nèi)網(wǎng)條件下出現(xiàn)的，在整個網(wǎng)絡(luò)安全管理中，在內(nèi)網(wǎng)的管理上還是很欠缺的。  1 內(nèi)網(wǎng)終端合規(guī)管理實施終端準(zhǔn)入控制  經(jīng)過研究發(fā)信，強(qiáng)制內(nèi)網(wǎng)終端合規(guī)準(zhǔn)入控制機(jī)制的建立，從終端系統(tǒng)啟動一直到終端之間互訪的安全接入實施有效地控制，從而實現(xiàn)對終端整個過程的管理與控制，還能夠?qū)K端安全狀態(tài)做好實時的監(jiān)控，并能夠進(jìn)行修復(fù)，給內(nèi)網(wǎng)建立“終端安檢系統(tǒng)”，這樣，不管是終端用戶有意的還是無意的不按照內(nèi)網(wǎng)合規(guī)管理方案操作，這一管理系統(tǒng)就會自動開啟違規(guī)處理，對這些不按照相關(guān)規(guī)定進(jìn)行操作的終端做出不同程度的處理，如提示、警告、自動修復(fù)或者是對終端進(jìn)行安全隔離，但是違規(guī)終端會很好的保護(hù)網(wǎng)絡(luò)資源，更好的完成內(nèi)網(wǎng)合規(guī)管理。  從上面的分析中，我們制定了幾種內(nèi)網(wǎng)終端合規(guī)管理解決方案的原則：①終端接入內(nèi)網(wǎng)后，從網(wǎng)絡(luò)邊界、業(yè)務(wù)應(yīng)用系統(tǒng)到其他客戶端做好控制。②終端接入內(nèi)網(wǎng)后，要對其強(qiáng)制執(zhí)行內(nèi)網(wǎng)合規(guī)管理策略。③監(jiān)控終端的全過程、動態(tài)的合規(guī)狀態(tài)，如果出現(xiàn)終端違規(guī)現(xiàn)象，就會對違規(guī)行為進(jìn)行提示、警告、自動修復(fù)甚至對終端實施安全隔離。  2 能夠?qū)崿F(xiàn)合規(guī)管理無盲區(qū)，不妥協(xié)  構(gòu)筑多層準(zhǔn)入的內(nèi)網(wǎng)終端合規(guī)管理系統(tǒng)  基于以上原則，我們廣泛了解現(xiàn)在內(nèi)網(wǎng)終端安全管理市場，考察了多家國內(nèi)外專業(yè)安全廠商，深入了解和測試了多款這些廠家所提供的成熟和穩(wěn)定的內(nèi)網(wǎng)終端安全管理產(chǎn)品，最終決定跟國內(nèi)著名的安全公司“啟明星辰”合作，發(fā)展好內(nèi)網(wǎng)終端計算機(jī)的綜合信息中心，在合規(guī)管理平臺的運行上不斷創(chuàng)新，作為教培中心培訓(xùn)機(jī)房的內(nèi)網(wǎng)終端合規(guī)管理系統(tǒng)承載平臺，這樣就使得教培中心培訓(xùn)機(jī)房擁有了全新的多層準(zhǔn)入內(nèi)網(wǎng)安全管理體系架構(gòu)。  在多層準(zhǔn)入控制的幫助下，我們能夠?qū)崿F(xiàn)以下準(zhǔn)入控制流程：終端層→網(wǎng)絡(luò)層→應(yīng)用層（包括客戶端準(zhǔn)入、網(wǎng)絡(luò)準(zhǔn)入和應(yīng)用準(zhǔn)入等）。  2.1 如果終端想借助交換機(jī)接入內(nèi)網(wǎng)  管理服務(wù)器可以跟接入層和匯聚層網(wǎng)絡(luò)設(shè)備聯(lián)動，控制那些想要連入內(nèi)網(wǎng)的終端網(wǎng)絡(luò)準(zhǔn)入，不僅會對其進(jìn)行嚴(yán)格的身份驗證，還要進(jìn)行合理的合規(guī)檢查，我們要做到的是只允許合法的和安全的終端接入內(nèi)網(wǎng)。那些違規(guī)的或者是不合法的終端，系統(tǒng)會自動將其劃入修復(fù)區(qū)甚至是隔離。詳見下圖：  2.2 當(dāng)接入網(wǎng)絡(luò)的終端試圖訪問內(nèi)網(wǎng)服務(wù)器或關(guān)鍵業(yè)務(wù)系統(tǒng)時  在內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)中，需要有一個特有準(zhǔn)入控制組件—策略網(wǎng)關(guān)，把它安裝在企業(yè)網(wǎng)的重要服務(wù)器或者是關(guān)鍵業(yè)務(wù)系統(tǒng)上，這樣就能夠保障有效地控制終端應(yīng)用層的準(zhǔn)入，一旦出現(xiàn)不受控的終端或者是不合規(guī)的終端，就無法訪問該服務(wù)器或業(yè)務(wù)系統(tǒng)。  應(yīng)用準(zhǔn)入與網(wǎng)絡(luò)準(zhǔn)入的主要區(qū)別：①在數(shù)據(jù)中心的服務(wù)器區(qū)就可實現(xiàn)應(yīng)用準(zhǔn)入，不涉及網(wǎng)絡(luò)環(huán)境，如果出現(xiàn)與網(wǎng)絡(luò)準(zhǔn)入條件不相符合的情況，或者是由于內(nèi)網(wǎng)終端合規(guī)管理的現(xiàn)實情況，在網(wǎng)絡(luò)準(zhǔn)入控制方面可以不必太嚴(yán)格，此時使用應(yīng)用準(zhǔn)入控制就可以，不必進(jìn)行終端合規(guī)準(zhǔn)入控制。②應(yīng)用準(zhǔn)入具有自動重定向功能，一旦發(fā)現(xiàn)未受控終端，以及不合規(guī)終端，系統(tǒng)就會出現(xiàn)相關(guān)的提示，通知其被攔截的消息，并告知其原因。而且在提示頁面中還能夠設(shè)置合規(guī)管理客戶端下載鏈接，這樣在很大程度上使系統(tǒng)維護(hù)人員的工作量變少了，使用戶的滿意程度不斷提高，使他們更樂于接受，進(jìn)而實現(xiàn)了內(nèi)網(wǎng)合規(guī)的最佳效果。  2.3 當(dāng)兩個終端相互之間進(jìn)行訪問時  來訪的終端會受到合規(guī)受控的終端的客戶端準(zhǔn)入控制，同時還要接受合規(guī)檢查，只有合規(guī)安全的終端才能進(jìn)行訪問，如果是不合規(guī)的終端或者是不合法的終端都將無法訪問，這樣當(dāng)那些感染了蠕蟲病毒的非受控終端想要對合規(guī)終端進(jìn)行病毒感染時，就可以將其及時的切斷。  3 全面進(jìn)入內(nèi)網(wǎng)終端合規(guī)管理  教培中心培訓(xùn)機(jī)房首先完成構(gòu)建混合準(zhǔn)入控制體系，然后充分考慮到內(nèi)網(wǎng)終端合規(guī)管理以及內(nèi)網(wǎng)安全等級保護(hù)的要求，編輯和下發(fā)了一些終端合規(guī)安全管理策略，通過對這些策略的認(rèn)真執(zhí)行，使內(nèi)網(wǎng)終端的安全保護(hù)能力得到顯著提高，而且由于非安全終端造成的很多內(nèi)網(wǎng)安全問題也減少了很多，此外，不僅僅是教培中心培訓(xùn)學(xué)員網(wǎng)絡(luò)安全防護(hù)等級提高了，而且信息安全管理水平也有了明顯的改善。  4 總結(jié)  教培中心培訓(xùn)學(xué)員機(jī)房通過部署內(nèi)網(wǎng)安全風(fēng)險管理與審計系統(tǒng)，構(gòu)建多種準(zhǔn)入控制手段混合共存的內(nèi)網(wǎng)終端合規(guī)準(zhǔn)入管理體系，更好地實施內(nèi)網(wǎng)終端合規(guī)管理規(guī)范，在信息安全系統(tǒng)投資中收到最好的效益。  參考文獻(xiàn)：  [1]孫強(qiáng)，陳偉，王東紅著.信息安全管理：全球最佳實務(wù)與實施指南. 北京：清華大學(xué)出版社，2004.  [2]啟明星辰編著.utm（統(tǒng)一威脅管理）技術(shù)概論.北京：電子工業(yè)出版社.  [3]曾朝蓉.內(nèi)網(wǎng)安全管理方案探討[j].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2009，(11).