公務(wù)員期刊網(wǎng) 論文中心 正文

企業(yè)網(wǎng)絡(luò)安全管理

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了企業(yè)網(wǎng)絡(luò)安全管理范文,希望能給你帶來靈感和參考,敬請閱讀。

企業(yè)網(wǎng)絡(luò)安全管理

摘要:網(wǎng)絡(luò)準入控制(NetworkAccessControl,NAC)是一種新型的安全防御技術(shù),通過對終端實施安全防護,有效解決因不安全終端接入網(wǎng)絡(luò)而引起的安全威脅,保護網(wǎng)絡(luò)的安全。本文針對某電力企業(yè)部署的網(wǎng)絡(luò)準入控制系統(tǒng)進行研究,分析其技術(shù)背景、解決方案、實施效果等,以便提高企業(yè)網(wǎng)絡(luò)安全管理水平。

關(guān)鍵詞:準入控制;策略路由;網(wǎng)絡(luò)安全

如何加強內(nèi)網(wǎng)終端的安全管理,防范來自內(nèi)部的各種網(wǎng)絡(luò)威脅與風(fēng)險,是該企業(yè)急需解決的安全問題。為了確保企業(yè)內(nèi)部網(wǎng)絡(luò)的安全、高效運轉(zhuǎn),該企業(yè)通過調(diào)研與對比,最終決定采用國內(nèi)某公司的網(wǎng)絡(luò)準入控制系統(tǒng)對內(nèi)網(wǎng)接入設(shè)備進行控制和管理。

一、網(wǎng)絡(luò)準入控制技術(shù)的簡介

網(wǎng)絡(luò)準入控制是指對網(wǎng)絡(luò)的邊界進行保護,對接入網(wǎng)絡(luò)的終端和終端的使用人進行合規(guī)性檢查,其宗旨是防止病毒和蠕蟲等新興黑客技術(shù)對企業(yè)安全造成危害。網(wǎng)絡(luò)準入控制主要思路:終端接入網(wǎng)絡(luò)之前根據(jù)預(yù)定安全策略對其進行檢查,只允許符合安全策略的終端接入網(wǎng)絡(luò),不安全的終端將被隔離于網(wǎng)絡(luò)之外,自動拒絕不安全的終端接入保護網(wǎng)絡(luò),直到這些終端符合網(wǎng)絡(luò)內(nèi)的安全策略為止。網(wǎng)絡(luò)準入控制技術(shù)在多年的發(fā)展中,經(jīng)歷了三代技術(shù)框架的變遷。第三代NAC產(chǎn)品本身是一個網(wǎng)絡(luò)設(shè)備,對網(wǎng)絡(luò)環(huán)境要求很低,一般需要接入層交換機以Trunk方式接入?yún)R聚層即可,主要通過網(wǎng)絡(luò)層的檢測來實現(xiàn)終端接入網(wǎng)絡(luò)的控制,具有代表性的有虛擬網(wǎng)關(guān)、網(wǎng)關(guān)、策略路由等技術(shù)。

二、網(wǎng)絡(luò)準入控制的實施

(一)基于策略路由的準入方案

該公司的網(wǎng)絡(luò)交換機品牌以H3C為主,各層交換機之間兼容性好。此次部署的網(wǎng)絡(luò)準入控制系統(tǒng)基于第三代準入控制技術(shù),是軟硬件集成的終端安全管理平臺。根據(jù)公司的網(wǎng)絡(luò)現(xiàn)狀況與需求,采用基于策略路由的模式,物理旁路方式連接核心交換機。在核心交換機對所管控的網(wǎng)段配置策略路由,需要管控的地址段在相應(yīng)的VLAN下啟用。此模式不需改動網(wǎng)絡(luò)的拓撲結(jié)構(gòu),支持的逃生機制簡單?;诓呗月酚傻臏嗜敕桨?,通過在核心交換機上利用ACL捕獲所有訪問核心業(yè)務(wù)服務(wù)器的數(shù)據(jù)流量,并通過策略路由將捕獲的流量發(fā)送至已經(jīng)配置好的下一跳地址。被管控設(shè)備的所有上行流量都將經(jīng)過準入設(shè)備并接受安全準入管理,合規(guī)終端放行。其上行數(shù)據(jù)路由為:核心網(wǎng)關(guān)→準入設(shè)備→核心網(wǎng)關(guān)→目標資源。所有訪問核心服務(wù)器的設(shè)備都會被準入設(shè)備所控制,從而達到保護核心資源,對入網(wǎng)設(shè)備進行準入控制的安全目標。策略路由部署方式只對終端上行流量做重定向,對數(shù)據(jù)量影響較小。

(二)網(wǎng)絡(luò)準入設(shè)備的端口設(shè)置與接線

網(wǎng)絡(luò)準入設(shè)備的三個端口ETH0、ETH1、ETH3,分別通過3條網(wǎng)線與核心交換機相連。ETH0口是重定向接口,終端流量從此接口重定向,連接至核心交換機上的G1/1/0/6,ETH1口是準入管理口,用作管理、終端認證地址,連接至核心交換機上的G1/1/0/5,ETH3口為trunk口,用作終端自動發(fā)現(xiàn),輔助準入設(shè)備發(fā)現(xiàn)接入網(wǎng)內(nèi)的終端,連接至核心交換機上的G1/1/0/7。

(三)基于角色的網(wǎng)絡(luò)授權(quán)

準入控制系統(tǒng)基于終端用戶的角色,根據(jù)事先配置的接入控制安全策略,分配網(wǎng)絡(luò)訪問權(quán)限,通過角色權(quán)限規(guī)范用戶的網(wǎng)絡(luò)使用行為。每個入網(wǎng)終端分配一個角色。角色定義包括:安全規(guī)范、安全域、安全策略三個方面。1.安全規(guī)范的檢查項(1)殺毒軟件檢查,檢查是否安裝殺毒軟件。(2)網(wǎng)絡(luò)連接檢查,檢查是否存在無線WiFi與雙網(wǎng)卡,若不符合工作需要,則禁用,符合工作需要的,設(shè)置特殊角色與使用權(quán)限。(3)操作系統(tǒng)版本檢查,檢查操作系統(tǒng)版本是否符合安全要求(win8以上系統(tǒng)禁用)。2.安全域設(shè)定根據(jù)入網(wǎng)終端的業(yè)務(wù)需求范圍,劃分多個安全域:局域網(wǎng)、廣域網(wǎng)、互聯(lián)網(wǎng),由管理員配置安全域的IP地址段。3.安全策略的設(shè)定(1)違規(guī)外聯(lián):只能訪問規(guī)定區(qū)域的網(wǎng)路資源,禁止訪問違規(guī)區(qū)域。(2)移動介質(zhì)管理:對U盤等移動介質(zhì)進行設(shè)定,可禁用移動介質(zhì)的使用,有特殊用途的用戶,單獨開啟移動介質(zhì)的使用權(quán)限。4.終端角色的控制管理(1)終端角色安全域、控制要求與方法領(lǐng)導(dǎo)角色安全域范圍是局域網(wǎng)、廣域網(wǎng)、互聯(lián)網(wǎng),控制要求和方法是安裝準入控制客戶端,審核通過,可訪問安全域內(nèi)資源。(2)班組角色安全域范圍是局域網(wǎng)、廣域網(wǎng),控制要求和方法安裝準入控制客戶端,審核通過,可訪問安全域內(nèi)資源,禁止訪問違規(guī)區(qū)域。(3)特殊角色安全域范圍是局域網(wǎng)、廣域網(wǎng),控制要求和方法安裝準入控制客戶端,在安全規(guī)范上進行限定,審核通過可訪問安全域內(nèi)資源。

(四)終端入網(wǎng)流程

終端接入網(wǎng)絡(luò)時,被重定向至客戶端安裝界面,安裝客戶端后,進行終端設(shè)備注冊,填寫終端使用人姓名部門等信息,注冊后提交認證,網(wǎng)絡(luò)管理員進行終端身份審核,非法終端拒絕入網(wǎng),合法的終端分配角色,繼續(xù)執(zhí)行安全規(guī)范的檢查,給出安檢得分,合規(guī)的終端依據(jù)所屬角色進行權(quán)限分配,可以訪問相關(guān)資源,不合規(guī)的終端被隔離,直至修復(fù)完成。

三、網(wǎng)絡(luò)準入控制系統(tǒng)上線后的效果

(1)實現(xiàn)了對入網(wǎng)終端的可控管理,確保了每個接入網(wǎng)絡(luò)的終端符合入網(wǎng)安全管理規(guī)范??煽焖俣ㄎ蝗刖W(wǎng)終端所屬的交換機與端口,查看網(wǎng)絡(luò)終端的信息和狀態(tài)。將IP地址與MAC地址進行綁定管理,杜絕了隨意更改IP地址的行為。(2)利用準入控制系統(tǒng)的遠程協(xié)助,解決終端常見故障,減少了維護量,提高了解決問題的效率。(3)通過任務(wù)管理的軟件分發(fā),向客戶端推送軟件或補丁,便于軟件與補丁的安裝與更新。(4)通過準入控制系統(tǒng)的查詢統(tǒng)計,可以對入網(wǎng)計算機的硬件資產(chǎn)統(tǒng)計查詢并導(dǎo)出資產(chǎn)報表,對硬件資產(chǎn)的管理提供了詳實的記錄。

四、結(jié)束語

該公司部署網(wǎng)絡(luò)準入控制系統(tǒng)后,實現(xiàn)了有效的終端入網(wǎng)控制,規(guī)范了終端用戶的入網(wǎng)行為,提高了信息管理人員的工作效率。但網(wǎng)絡(luò)準入控制系統(tǒng)只是側(cè)重于終端入網(wǎng)的管理,還要與防火墻技術(shù)、IPS、殺毒軟件等安全管理措施結(jié)合起來,才能全方位做好網(wǎng)絡(luò)安全管理。

參考文獻

[1]周超,周城,丁晨路.計算機網(wǎng)絡(luò)終端準入控制技術(shù)[J].計算機系統(tǒng)應(yīng)用,2011,20(1):90.

作者:趙瑾 單位:華電淄博熱電有限公司