基于多層準(zhǔn)入控制構(gòu)建的安全合規(guī)內(nèi)網(wǎng)

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

摘要：引入多層種準(zhǔn)入控制手段和安全解決方案，構(gòu)建多種準(zhǔn)入控制共存的完善的內(nèi)網(wǎng)終端合規(guī)管理體系，有效解決了內(nèi)網(wǎng)安全管理中突出的安全問(wèn)題，大幅度增強(qiáng)內(nèi)網(wǎng)終端的安全保護(hù)能力，有效地兼顧和平衡了安全管理中“安全性”和“便利性”的矛盾，全面提升學(xué)員機(jī)房網(wǎng)絡(luò)安全防護(hù)等級(jí)和信息安全管理水平。 

關(guān)鍵詞：多層準(zhǔn)入控制  內(nèi)網(wǎng)安全  合規(guī)管理  0 引言  重慶市電力公司教培中心學(xué)員培訓(xùn)計(jì)算機(jī)房已經(jīng)使用多年，但是存在著不少安全問(wèn)題，主要表現(xiàn)為：外來(lái)終端不難接入內(nèi)網(wǎng)，這樣就會(huì)使一些已經(jīng)感染了未知或新型病毒欺騙病毒的終端，使內(nèi)網(wǎng)受到病毒感染，直接威脅網(wǎng)絡(luò)的安全運(yùn)行。在培訓(xùn)學(xué)員時(shí)，沒(méi)有注意讓學(xué)員嚴(yán)格按照相關(guān)的規(guī)定對(duì)指定的防病毒軟件、桌面安全管理等安全軟件進(jìn)行卸載，在安裝和運(yùn)行游戲軟件、網(wǎng)絡(luò)視頻工具等其他可能存在安全隱患的軟件時(shí)也缺少相關(guān)的必要指導(dǎo)。內(nèi)網(wǎng)多使用的是以ｕ盤(pán)為代表的移動(dòng)存儲(chǔ)設(shè)備，這樣就不難導(dǎo)致病毒的侵襲或者是木馬傳播、泄露內(nèi)部重要數(shù)據(jù)和文件；同時(shí)u盤(pán)的廣泛使用也為機(jī)房組織考試增加了管理難度。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，特別是無(wú)線網(wǎng)絡(luò)互聯(lián)技術(shù)的飛快發(fā)展，使internet的聯(lián)入擺脫了地域的限制，現(xiàn)在內(nèi)、外網(wǎng)在一定程度上實(shí)現(xiàn)了互通，一些不合法外聯(lián)事件也逐漸的增多了，這給企業(yè)核心業(yè)務(wù)系統(tǒng)的穩(wěn)定安全運(yùn)行造成了很大的影響。接入內(nèi)網(wǎng)的終端，在未授權(quán)的情況下就可連接其內(nèi)部重要服務(wù)器，這樣給合法用戶的訪問(wèn)帶來(lái)不同程度影響的同時(shí)，還可能成為來(lái)自內(nèi)部或外部的非法人員，以此為跳板，攻擊其內(nèi)部關(guān)鍵業(yè)務(wù)系統(tǒng)……  經(jīng)過(guò)一番認(rèn)真的調(diào)查和仔細(xì)的研究，我們發(fā)現(xiàn)現(xiàn)有多于80%的安全事故是在內(nèi)網(wǎng)條件下出現(xiàn)的，在整個(gè)網(wǎng)絡(luò)安全管理中，在內(nèi)網(wǎng)的管理上還是很欠缺的。  1 內(nèi)網(wǎng)終端合規(guī)管理實(shí)施終端準(zhǔn)入控制  經(jīng)過(guò)研究發(fā)信，強(qiáng)制內(nèi)網(wǎng)終端合規(guī)準(zhǔn)入控制機(jī)制的建立，從終端系統(tǒng)啟動(dòng)一直到終端之間互訪的安全接入實(shí)施有效地控制，從而實(shí)現(xiàn)對(duì)終端整個(gè)過(guò)程的管理與控制，還能夠?qū)K端安全狀態(tài)做好實(shí)時(shí)的監(jiān)控，并能夠進(jìn)行修復(fù)，給內(nèi)網(wǎng)建立“終端安檢系統(tǒng)”，這樣，不管是終端用戶有意的還是無(wú)意的不按照內(nèi)網(wǎng)合規(guī)管理方案操作，這一管理系統(tǒng)就會(huì)自動(dòng)開(kāi)啟違規(guī)處理，對(duì)這些不按照相關(guān)規(guī)定進(jìn)行操作的終端做出不同程度的處理，如提示、警告、自動(dòng)修復(fù)或者是對(duì)終端進(jìn)行安全隔離，但是違規(guī)終端會(huì)很好的保護(hù)網(wǎng)絡(luò)資源，更好的完成內(nèi)網(wǎng)合規(guī)管理。  從上面的分析中，我們制定了幾種內(nèi)網(wǎng)終端合規(guī)管理解決方案的原則：①終端接入內(nèi)網(wǎng)后，從網(wǎng)絡(luò)邊界、業(yè)務(wù)應(yīng)用系統(tǒng)到其他客戶端做好控制。②終端接入內(nèi)網(wǎng)后，要對(duì)其強(qiáng)制執(zhí)行內(nèi)網(wǎng)合規(guī)管理策略。③監(jiān)控終端的全過(guò)程、動(dòng)態(tài)的合規(guī)狀態(tài)，如果出現(xiàn)終端違規(guī)現(xiàn)象，就會(huì)對(duì)違規(guī)行為進(jìn)行提示、警告、自動(dòng)修復(fù)甚至對(duì)終端實(shí)施安全隔離。  2 能夠?qū)崿F(xiàn)合規(guī)管理無(wú)盲區(qū)，不妥協(xié)  構(gòu)筑多層準(zhǔn)入的內(nèi)網(wǎng)終端合規(guī)管理系統(tǒng)  基于以上原則，我們廣泛了解現(xiàn)在內(nèi)網(wǎng)終端安全管理市場(chǎng)，考察了多家國(guó)內(nèi)外專業(yè)安全廠商，深入了解和測(cè)試了多款這些廠家所提供的成熟和穩(wěn)定的內(nèi)網(wǎng)終端安全管理產(chǎn)品，最終決定跟國(guó)內(nèi)著名的安全公司“啟明星辰”合作，發(fā)展好內(nèi)網(wǎng)終端計(jì)算機(jī)的綜合信息中心，在合規(guī)管理平臺(tái)的運(yùn)行上不斷創(chuàng)新，作為教培中心培訓(xùn)機(jī)房的內(nèi)網(wǎng)終端合規(guī)管理系統(tǒng)承載平臺(tái)，這樣就使得教培中心培訓(xùn)機(jī)房擁有了全新的多層準(zhǔn)入內(nèi)網(wǎng)安全管理體系架構(gòu)。  在多層準(zhǔn)入控制的幫助下，我們能夠?qū)崿F(xiàn)以下準(zhǔn)入控制流程：終端層→網(wǎng)絡(luò)層→應(yīng)用層（包括客戶端準(zhǔn)入、網(wǎng)絡(luò)準(zhǔn)入和應(yīng)用準(zhǔn)入等）。  2.1 如果終端想借助交換機(jī)接入內(nèi)網(wǎng)  管理服務(wù)器可以跟接入層和匯聚層網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)，控制那些想要連入內(nèi)網(wǎng)的終端網(wǎng)絡(luò)準(zhǔn)入，不僅會(huì)對(duì)其進(jìn)行嚴(yán)格的身份驗(yàn)證，還要進(jìn)行合理的合規(guī)檢查，我們要做到的是只允許合法的和安全的終端接入內(nèi)網(wǎng)。那些違規(guī)的或者是不合法的終端，系統(tǒng)會(huì)自動(dòng)將其劃入修復(fù)區(qū)甚至是隔離。詳見(jiàn)下圖：  2.2 當(dāng)接入網(wǎng)絡(luò)的終端試圖訪問(wèn)內(nèi)網(wǎng)服務(wù)器或關(guān)鍵業(yè)務(wù)系統(tǒng)時(shí)  在內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)中，需要有一個(gè)特有準(zhǔn)入控制組件—策略網(wǎng)關(guān)，把它安裝在企業(yè)網(wǎng)的重要服務(wù)器或者是關(guān)鍵業(yè)務(wù)系統(tǒng)上，這樣就能夠保障有效地控制終端應(yīng)用層的準(zhǔn)入，一旦出現(xiàn)不受控的終端或者是不合規(guī)的終端，就無(wú)法訪問(wèn)該服務(wù)器或業(yè)務(wù)系統(tǒng)。  應(yīng)用準(zhǔn)入與網(wǎng)絡(luò)準(zhǔn)入的主要區(qū)別：①在數(shù)據(jù)中心的服務(wù)器區(qū)就可實(shí)現(xiàn)應(yīng)用準(zhǔn)入，不涉及網(wǎng)絡(luò)環(huán)境，如果出現(xiàn)與網(wǎng)絡(luò)準(zhǔn)入條件不相符合的情況，或者是由于內(nèi)網(wǎng)終端合規(guī)管理的現(xiàn)實(shí)情況，在網(wǎng)絡(luò)準(zhǔn)入控制方面可以不必太嚴(yán)格，此時(shí)使用應(yīng)用準(zhǔn)入控制就可以，不必進(jìn)行終端合規(guī)準(zhǔn)入控制。②應(yīng)用準(zhǔn)入具有自動(dòng)重定向功能，一旦發(fā)現(xiàn)未受控終端，以及不合規(guī)終端，系統(tǒng)就會(huì)出現(xiàn)相關(guān)的提示，通知其被攔截的消息，并告知其原因。而且在提示頁(yè)面中還能夠設(shè)置合規(guī)管理客戶端下載鏈接，這樣在很大程度上使系統(tǒng)維護(hù)人員的工作量變少了，使用戶的滿意程度不斷提高，使他們更樂(lè)于接受，進(jìn)而實(shí)現(xiàn)了內(nèi)網(wǎng)合規(guī)的最佳效果。  2.3 當(dāng)兩個(gè)終端相互之間進(jìn)行訪問(wèn)時(shí)  來(lái)訪的終端會(huì)受到合規(guī)受控的終端的客戶端準(zhǔn)入控制，同時(shí)還要接受合規(guī)檢查，只有合規(guī)安全的終端才能進(jìn)行訪問(wèn)，如果是不合規(guī)的終端或者是不合法的終端都將無(wú)法訪問(wèn)，這樣當(dāng)那些感染了蠕蟲(chóng)病毒的非受控終端想要對(duì)合規(guī)終端進(jìn)行病毒感染時(shí)，就可以將其及時(shí)的切斷。  3 全面進(jìn)入內(nèi)網(wǎng)終端合規(guī)管理  教培中心培訓(xùn)機(jī)房首先完成構(gòu)建混合準(zhǔn)入控制體系，然后充分考慮到內(nèi)網(wǎng)終端合規(guī)管理以及內(nèi)網(wǎng)安全等級(jí)保護(hù)的要求，編輯和下發(fā)了一些終端合規(guī)安全管理策略，通過(guò)對(duì)這些策略的認(rèn)真執(zhí)行，使內(nèi)網(wǎng)終端的安全保護(hù)能力得到顯著提高，而且由于非安全終端造成的很多內(nèi)網(wǎng)安全問(wèn)題也減少了很多，此外，不僅僅是教培中心培訓(xùn)學(xué)員網(wǎng)絡(luò)安全防護(hù)等級(jí)提高了，而且信息安全管理水平也有了明顯的改善。  4 總結(jié)  教培中心培訓(xùn)學(xué)員機(jī)房通過(guò)部署內(nèi)網(wǎng)安全風(fēng)險(xiǎn)管理與審計(jì)系統(tǒng)，構(gòu)建多種準(zhǔn)入控制手段混合共存的內(nèi)網(wǎng)終端合規(guī)準(zhǔn)入管理體系，更好地實(shí)施內(nèi)網(wǎng)終端合規(guī)管理規(guī)范，在信息安全系統(tǒng)投資中收到最好的效益。  參考文獻(xiàn)：  [1]孫強(qiáng)，陳偉，王東紅著.信息安全管理：全球最佳實(shí)務(wù)與實(shí)施指南. 北京：清華大學(xué)出版社，2004.  [2]啟明星辰編著.utm（統(tǒng)一威脅管理）技術(shù)概論.北京：電子工業(yè)出版社.  [3]曾朝蓉.內(nèi)網(wǎng)安全管理方案探討[j].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2009，(11).