公務員期刊網 論文中心 正文

企業(yè)網絡安全管理

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了企業(yè)網絡安全管理范文,希望能給你帶來靈感和參考,敬請閱讀。

企業(yè)網絡安全管理

摘要:網絡準入控制(NetworkAccessControl,NAC)是一種新型的安全防御技術,通過對終端實施安全防護,有效解決因不安全終端接入網絡而引起的安全威脅,保護網絡的安全。本文針對某電力企業(yè)部署的網絡準入控制系統(tǒng)進行研究,分析其技術背景、解決方案、實施效果等,以便提高企業(yè)網絡安全管理水平。

關鍵詞:準入控制;策略路由;網絡安全

如何加強內網終端的安全管理,防范來自內部的各種網絡威脅與風險,是該企業(yè)急需解決的安全問題。為了確保企業(yè)內部網絡的安全、高效運轉,該企業(yè)通過調研與對比,最終決定采用國內某公司的網絡準入控制系統(tǒng)對內網接入設備進行控制和管理。

一、網絡準入控制技術的簡介

網絡準入控制是指對網絡的邊界進行保護,對接入網絡的終端和終端的使用人進行合規(guī)性檢查,其宗旨是防止病毒和蠕蟲等新興黑客技術對企業(yè)安全造成危害。網絡準入控制主要思路:終端接入網絡之前根據(jù)預定安全策略對其進行檢查,只允許符合安全策略的終端接入網絡,不安全的終端將被隔離于網絡之外,自動拒絕不安全的終端接入保護網絡,直到這些終端符合網絡內的安全策略為止。網絡準入控制技術在多年的發(fā)展中,經歷了三代技術框架的變遷。第三代NAC產品本身是一個網絡設備,對網絡環(huán)境要求很低,一般需要接入層交換機以Trunk方式接入匯聚層即可,主要通過網絡層的檢測來實現(xiàn)終端接入網絡的控制,具有代表性的有虛擬網關、網關、策略路由等技術。

二、網絡準入控制的實施

(一)基于策略路由的準入方案

該公司的網絡交換機品牌以H3C為主,各層交換機之間兼容性好。此次部署的網絡準入控制系統(tǒng)基于第三代準入控制技術,是軟硬件集成的終端安全管理平臺。根據(jù)公司的網絡現(xiàn)狀況與需求,采用基于策略路由的模式,物理旁路方式連接核心交換機。在核心交換機對所管控的網段配置策略路由,需要管控的地址段在相應的VLAN下啟用。此模式不需改動網絡的拓撲結構,支持的逃生機制簡單?;诓呗月酚傻臏嗜敕桨?,通過在核心交換機上利用ACL捕獲所有訪問核心業(yè)務服務器的數(shù)據(jù)流量,并通過策略路由將捕獲的流量發(fā)送至已經配置好的下一跳地址。被管控設備的所有上行流量都將經過準入設備并接受安全準入管理,合規(guī)終端放行。其上行數(shù)據(jù)路由為:核心網關→準入設備→核心網關→目標資源。所有訪問核心服務器的設備都會被準入設備所控制,從而達到保護核心資源,對入網設備進行準入控制的安全目標。策略路由部署方式只對終端上行流量做重定向,對數(shù)據(jù)量影響較小。

(二)網絡準入設備的端口設置與接線

網絡準入設備的三個端口ETH0、ETH1、ETH3,分別通過3條網線與核心交換機相連。ETH0口是重定向接口,終端流量從此接口重定向,連接至核心交換機上的G1/1/0/6,ETH1口是準入管理口,用作管理、終端認證地址,連接至核心交換機上的G1/1/0/5,ETH3口為trunk口,用作終端自動發(fā)現(xiàn),輔助準入設備發(fā)現(xiàn)接入網內的終端,連接至核心交換機上的G1/1/0/7。

(三)基于角色的網絡授權

準入控制系統(tǒng)基于終端用戶的角色,根據(jù)事先配置的接入控制安全策略,分配網絡訪問權限,通過角色權限規(guī)范用戶的網絡使用行為。每個入網終端分配一個角色。角色定義包括:安全規(guī)范、安全域、安全策略三個方面。1.安全規(guī)范的檢查項(1)殺毒軟件檢查,檢查是否安裝殺毒軟件。(2)網絡連接檢查,檢查是否存在無線WiFi與雙網卡,若不符合工作需要,則禁用,符合工作需要的,設置特殊角色與使用權限。(3)操作系統(tǒng)版本檢查,檢查操作系統(tǒng)版本是否符合安全要求(win8以上系統(tǒng)禁用)。2.安全域設定根據(jù)入網終端的業(yè)務需求范圍,劃分多個安全域:局域網、廣域網、互聯(lián)網,由管理員配置安全域的IP地址段。3.安全策略的設定(1)違規(guī)外聯(lián):只能訪問規(guī)定區(qū)域的網路資源,禁止訪問違規(guī)區(qū)域。(2)移動介質管理:對U盤等移動介質進行設定,可禁用移動介質的使用,有特殊用途的用戶,單獨開啟移動介質的使用權限。4.終端角色的控制管理(1)終端角色安全域、控制要求與方法領導角色安全域范圍是局域網、廣域網、互聯(lián)網,控制要求和方法是安裝準入控制客戶端,審核通過,可訪問安全域內資源。(2)班組角色安全域范圍是局域網、廣域網,控制要求和方法安裝準入控制客戶端,審核通過,可訪問安全域內資源,禁止訪問違規(guī)區(qū)域。(3)特殊角色安全域范圍是局域網、廣域網,控制要求和方法安裝準入控制客戶端,在安全規(guī)范上進行限定,審核通過可訪問安全域內資源。

(四)終端入網流程

終端接入網絡時,被重定向至客戶端安裝界面,安裝客戶端后,進行終端設備注冊,填寫終端使用人姓名部門等信息,注冊后提交認證,網絡管理員進行終端身份審核,非法終端拒絕入網,合法的終端分配角色,繼續(xù)執(zhí)行安全規(guī)范的檢查,給出安檢得分,合規(guī)的終端依據(jù)所屬角色進行權限分配,可以訪問相關資源,不合規(guī)的終端被隔離,直至修復完成。

三、網絡準入控制系統(tǒng)上線后的效果

(1)實現(xiàn)了對入網終端的可控管理,確保了每個接入網絡的終端符合入網安全管理規(guī)范。可快速定位入網終端所屬的交換機與端口,查看網絡終端的信息和狀態(tài)。將IP地址與MAC地址進行綁定管理,杜絕了隨意更改IP地址的行為。(2)利用準入控制系統(tǒng)的遠程協(xié)助,解決終端常見故障,減少了維護量,提高了解決問題的效率。(3)通過任務管理的軟件分發(fā),向客戶端推送軟件或補丁,便于軟件與補丁的安裝與更新。(4)通過準入控制系統(tǒng)的查詢統(tǒng)計,可以對入網計算機的硬件資產統(tǒng)計查詢并導出資產報表,對硬件資產的管理提供了詳實的記錄。

四、結束語

該公司部署網絡準入控制系統(tǒng)后,實現(xiàn)了有效的終端入網控制,規(guī)范了終端用戶的入網行為,提高了信息管理人員的工作效率。但網絡準入控制系統(tǒng)只是側重于終端入網的管理,還要與防火墻技術、IPS、殺毒軟件等安全管理措施結合起來,才能全方位做好網絡安全管理。

參考文獻

[1]周超,周城,丁晨路.計算機網絡終端準入控制技術[J].計算機系統(tǒng)應用,2011,20(1):90.

作者:趙瑾 單位:華電淄博熱電有限公司