张皓然

摘要：当前情况下，在我国的公安网运行过程中已经融入一套科学合理的管理系统，与此同时许多新的问题也接踵而来。本文就针对公安网终端计算机准入控制安全管理技术进行了浅要的研究，对于公安网络端计算机的接入流程进行分析，以便从根本上提升公安网的运行水平。

关键词：内网安全；准人控制；安全检查

一、引言

近年来，随着我国信息化技术的不断发展，其在公安网的运行中也取得了广泛的应用。公安网作为公安部门中重要的网络系统，涉及到许多秘密的警务信息，公安网网络信息的安全性十分重要。如果公安网的安全性受到了威胁，可能造成警务信息泄露等严重问题。因此，为了充分保障公安网的安全性，公安网通常会设置一系列的硬件设备，这些硬件设备需要花费较多的资金作为支撑，而其所产生的保护性效果却微乎其微。由于网络终端是网络的一个重要组成部分，因此网络终端的安全性能受到了人们的广泛关注。人们将终端准入控制技术是未来发展过程中的一个重要研究方向。

二、公安网终端计算机准入控制的发展现状

目前，公安网的终端准入控制安全管理问题已经受到了人们的广泛重视，虽然已经通过相关的技术手段来进行了保护，但计算机准入控制的发展仍然存在着一些问题。在内网管理系统当中，存在着一些漏洞，通过一些欺诈性的技术手段可以起到伪造网关的作用，以此为前提就可以非法侵入终端计算机当中，改变公安网的相关数据，甚至发布虚假的公关数据，对公安网的信息安全带来了极大的困扰。

三、公安网终端计算机准入控制安全管理的系统架构

我们选择采用主动式的网络安全管理技术来管控公安网系统，这种方式可以大幅度提升网络的安全性和可靠性。对于网络终端设备来说，在正式进行网络的接入连接前，必须通过身份认证，只有符合系统认证需求，获得系统认可的用户才能获得访问页面的权利，而对于任何不符和安全要求的设备都不允许进行连接，必要时还会将其转入隔离区中，仅允许这项设备访问安全修复区域内的资源。为了充分保障所接入设备的安全性和可靠性，在本系统中会对于公安网的终端设备设置安全防护层，防护层会对接入的设备进行检查，如果所接触的设备不符和内网的安全性要求，那么内网将会阻断该设备的访问，然后将其引入安全修复区进行安全修改，待设备满足访问条件后再允许接入。除此之外，在这一系统中涉及到诸多的方面，下面就针对该系统中的一些重要部分进行探究。

（一）入网控制实现原理

在本系统中，为了保障信息的安全，普遍采用身份认证以及白名单两类方式来实现入网控制。通过掌握网络访问员的地址信息，来判定其是否满足入网访问的要求，通过监测网络通信数据包，来对白名单中的设备进行判定，如果访问的设备属于白名单中的保护设备，则不需要进行身份认证检测，允许通过认证，直接进行网络访问，如果设备并不属于白名单中的保护设备，那么该设备将通过以下的认证流程：

首先，入网安全控制网关或准入控制客户端会生产出一段字符串，然后通过精密的计算，将所得的结果发送给源地址计算机。

其次，如果源地址计算机已经完成了入网注册，那么则允许其接入控制客户端程序，系统会直接向其发送加密数据包以及解密字符串。

接下来，需要对用于解密的字符串进行逻辑性的运算处理，然后在重新通过加密计算法进行计算后重新发送给入网安全控制客户端。

最后，当准入控制客户端接收到加密数据包以后，可以直接对数据包进行解密处理，经过具体的运算处理后得出新的字符串，通过同样的处理方式对于字符串进行下一步的运算处理，然后将所得的结果与之前计算出的加密字符进行对比，若两者之间完全相同，则视为通过身份认证。如果系统没有在规定的时间内收到数据包，或是计算所得的字符与加密字符之间存在差异，则将访问设备视为非法设备，系统则会重新引入注册向导页面，用户可以通过这一页面重新进行入网前的安全性检查，重新进行流程的认证。否则将视为该系统不满足访问网络资源的条件。

（二）入网注册流程

对于刚刚入网的计算机来说，如果该设备想要对于公安网或者与公安网相关的其他网络终端进行访问时，系统会将计算机终端引入系统注册页面，用户必须按照公安网的管理需求进行入网前的注册，注册成功之后才可以对于内网的资源进行访问。

入网注册主要涉及到临时IP注册以及固定IP注册两种注册方法。临时IP注册，顾名思义就是注册临时性的访问IP，首先要在入网控制管理平台上设置专属的IP端以及临时IP。当用户提交了入网注册申请时，需要通过所属部门所分配的临时性IP实现与内网之间的连接，当每一个注册步骤都完成后，系统将会将其所在部门的专用IP分配给用户。这种注册的方式可以对IP的使用情况进行限制，可以有效避免计算机终端用户随意配置IP的情况发生。固定IP的注册当时与临时IP的注册方式类似，同样是由系统终端计算机为其所在部门设置专属IP接入内网，完成入网注册。

四、系统安全性

为了充分保障系统的安全性能，避免公安网受到攻击或破坏，下面就从常见的网络攻击，这一方面对于公安网系统的安全性能进行具体的管控设计。

（一）客户端自防护设计

很多时候，网络恶意攻击常会导致客户端程序意外终止，这就需要通过相应的网络技术来对恶意攻击进行阻拦。另外，通过在系统当中引入代码注入技术，本地线程与远程线程首尾呼应，如果这两者之间其中的一个部分出现了问题，另外一个部分将作为备用第一时间启动运行。

（二）网络通信保护设计

现阶段，我国各项技术取得了明显的发展，网络通信技术也取得了较大的进步。随之而来的就是网络攻击方式也越来越广泛，网络入侵者可以在由网络系统非接触的前提下，通过双绞线的电磁辐射的信息网，来进行网络数据包的阻碍，对于内网内的数据进行修改，之系统内部的安全管理性能出现故障。而本系统通过采用加密技术对网络数据包进行二次加密处理。值得注意的是，为了充分保障加密的效率可以满足系统运行需求，在系统中采用对称加密算法来微系统生产出一套配套的密保装置。另外，为了朋友给我一个密保装置受到入侵者的攻击，系统会自动依据不同的设定来进行力保装置的转换。

（三）数据存储保护设计

网络存储系统的安全性能直接关系到整个系统内资料的安全性。为了充分保障公安网内部一些机密资源的安全性。系统会对于在认证层方面实现用户的访问认证以及网络传输上的消息加密。

五、总结

综上所述，随着网络技术的不断发展，当前，在我国的许多重要部门当中都选择将一些机密性的信息存储在网络系统当中，而公安网系统中的许多信息都具有机密性。我在公安网中应用准入控制技术，可以实现从网络终端对于系统进行保护，将准入控制作为有效的控制方法，结合现阶段常用的一些网络安全控制技术，以便提升整个系统的防御能力。值得注意的是，在网络系统中运用准入控制方案可以有效保障网络运行的安全性，但这并不代表著网络运行时完全安全的，这就需要在公安网的运行中融入更为科学合理的管理策略，通过提高公安网的整体安全性能来避免因网站受到攻击而造成的信息泄露问题。

参考文献：

[1]孟庆博，倩宝，魏珉，基于windows环境进程监控的设计与实现[J].信息工程大学学报，2007.8（1）：26-29.

[2]戴飞军，凤琦，姚立宁，王震宇，新型终端安全接入技术对比分析，信息工程大学学报，2008.9（3）：334-347.

[3]胡索荣，叶晓俊，等.数据库安全深度防护模型的设计和实现[J].计算机研究和发展，2009.4（增刊）：99-104.

[4]王云，等.网络安全入侵与防范，警察技术，2006（6）.