（福建省烟草公司南平市公司，福建南平 354200）

0 背景

地市烟草计算机网络规模庞大，信息接入点非常多，虽然在网络边界部署了防火墙、漏洞扫描、防病毒、IPS等防御措施，但由于内部网络计算机终端引发的安全问题仍时有发生。特别是蠕虫病毒、ARP病毒、DDOS病毒等不仅对终端本身的安全造成危害，还会影响整个网络的运行，对正常办公和业务开展带来不利影响。当前，地市烟草计算机网络中最主要的威胁来源于因终端随意接入网络所带来的各类病毒与蠕虫。为了有效应对这些威胁，必须要采取多层次、主动的安全防护技术，从源头上杜绝蠕虫与病毒的威胁。特别是当新终端要接入烟草网络时，必须要确保该终端是否受到保护，是否符合安全策略要求。

当前，终端安全主要存在以下三个方面的问题：（1）安全防护措施覆盖不完全，不能对所有的终端进行保护；（2）终端接入控制机制不严，存在非法接入烟草网络的情况；（3）终端管理不力，私购终端接入网络，非法接入网络等现象时有发生。这三个方面的问题对烟草计算网络的安全造成了严重威胁。

随着接入网点的增加，数据的高速积累，网络安全准入控制变得越来越重要。为做好准入工作，需要提前进行广泛调研。主要工作包括：分析具体的部署需求，对网络设备进行安全等级评估，评估准入制度是否满足未来需要，系统架构是否具有可控性等。

1 准入控制现状及需求分析

1.1 地市烟草网络建设现状分析

地市烟草网络一般由机关风局域网络及分支机构网络两部分组成，现已实现对市局公司、县市局公司的全覆盖，并全面支持802.1X网络协议，使用的网络配置较高。在市公司机关局域网中主要采取的是分区分域的网络架构，各个分区的网络汇聚到分区交换机以后再与核心路由器连接。整个网络在核心设备与关键网络中实行冗余设计，提高数据传输处理的同时，保证网络的可靠性。机关局域网的互联网出口设置在机关信息中心，并部署防火墙等安全设备。然而，在地市烟草数据网络中存在的最大问题是网络向全部用户开放，而没有接入控制措施。此外，网络缺乏集中统一管理机制，当终端出现问题时，必须要由管理员亲自维护，费时费力。

1.2 地市烟草网络准入及终端管理的需求分析

1.2.1 终端合法性的检测策略及方法

我们建设地市烟草网络，一般是基于互联网建设的，并没组建专网，所以一般设备很容易接入其中。因此，用户可以通过互联网，很容易获得内网信息。这一缺陷使得烟草公司必须加强网络管理，对网络接入进行严格的网络控制，才能保证相关数据的安全。

1.2.2 对网络终端的安全性进行深入判断

当前，随着日常工作越来越依靠互联网，烟草公司接入互联网的终端数发生几何级增长。这些终端在结构上存在异构型（型号、CPU、内存不同），所安全的软件各式各样。各个系统的漏洞也多种多样，操作系统漏洞、软件配置漏洞、数据库漏洞、木马、病毒等都可以影响这些系统运行。更重要的是一个漏洞可能被利用，从而侵入内网，控制更多的计算机，从而影响整个系统的运行。

1.2.3 多种准入控制方式利用烟草终端的控制

在烟草网络中所具有的设备多种多样：传统的计算机、服务器、手持PoS、存储器、打印机等。这些终端设备提供不同功能，也具有不同的应用场景，引入多种准入控制方式，才能保证所有终端设备都能实现网络准入控制，为烟草行业运行提供方便，杜绝出现控制盲区。

1.2.4 需要降低桌面终端管理压力

当前在地市烟草网络中，仍然是采用手工处理方法对桌面终端进行管理与统计。这种方法的缺陷是非常明显的：（1）不能方便地对网络中的各种终端进行管理，无法监控各个终端设备的变化，导致终端设备管理混乱无章；（2）桌面终端的升级与更新依赖手工进行，不仅浪费了大量的人力资源，也会导致系统更新不及时，给网络带来安全隐患。基于此，桌面终端管理技术的引入已成为地市烟草网络安全工作的重中之重。利用桌面终端管理系统，不仅可以提升工作效率，减少不必要的人才开支，也能对终端进行集中统一管理，提高安全性。

综上所述，网络准入控制系统和终端管理对地市烟草网络的安全平稳运行非常重要，两个系统相互协作，才能满足地市烟草网络的安全管理需求，各级烟草公司应当高度重视两方面的相互协作。

2 网络准入控制方法、技术及应用模式

2.1 网络准入控制方法及原理

网络准入控制是指采用软/硬件系统，实现系统的控制技术，对终端设备及用户身份进行验证，使那些通过系统认证的，满足认证条件的终端接入到烟草企业内网中，而阻止非法的、未得到授权的设备登录到系统，从而达到防止不法攻击者对地市烟草网络的侵犯、攻击。

资源访问控制策略在网络准入控制担当主要的作用。烟草企业网络同其企业一样，可划分为三个区域：用户区、设备联动区、策略控制。对不同区域，由于需求不同，采用不同的策略实现网络的安全监控，并通过不同的策略来实现对企业网络的全方位管控。对三个区域，采用工具、人工、协同工作的方式发现问题，待问题终端完成安全缺陷修复后，准入控制模块再次根据访问控制策略对其进行认证；资源访问策略控制系统检测出来的合法且不存在安全缺陷的用户可正常接入企业网络，并在权限内实现正常的访问，但其使用网络的相关情况需要被安全策略服务器实时监控并记入日志[1]。

2.2 网络准入控制技术实现方式

网络准入控制技术的实现方式有多种，目前较为常用的主要有以下几类：基于802.1协议族的网络准入控制方式；EOU思科网络准入控制；网关型网络准入控制方式；基于DHCP的网络准入控制；基于ARP的网络准入控制。各类准入控制技术的对比如表1所示[2]。

上述几类网络准入控制方式中（如图1所示），其中802.1X协议的控制方式因其安全可靠、支持设备多等优点在市场中得到了大量的应用。

2.3 网络准入控制技术在终端安全管理体系中的应用模式

地市烟草网络准入与终端管理系统二者系统工作，才能从源头上消除网络威胁，保证应用系统的安全，防止非法访问，同时记录接入用户的网络行为，规范日常操作，为烟草网络的安全运行提供保障，避免出现安全事件。

每个终端在接入企业网络时就需要进行认证，因此需要将网络准入控制技术与终端管理技术进行整合，具体的整合架构如图1所示[3]。

认证管理的具体流程如下：

首先网络准入控制需要对接入的终端进行多方面的安全检测，检测主要从下面三个方面进行：

表1 几种网络准入控制技术比较

图1 网络准入控制系统和终端安全管理结合架构

（1）账户认证。检查用户的密码与账户是否匹配，防止非法用户登录系统获得数据。这里包括验证次数设置，密码恢复策略等多方面的内容。

（2）安全设置规范检查。日常管理才是安全管理的重中之重，需要根据企业的需求对终端的安全设置制定相关的制度，其内容包括：关闭访客账户、弱口令检测、Windows域名检测、系统漏洞升级更新、共享权限控制、防病毒软件病毒特征库更新等。

（3）终端注册ID检查。对接入的终端ID进行检查，只允许已经注册成功的ID登入，拒绝其他ID，并记录所有登录行为。

其次，可对接入网络的终端进行进一步的安全管理与控制，包括以下几个方面：

（1）安全加固。针对接入网络的终端进行安全加固，主要包括：对系统密码、屏保密码等进行加固，关闭系统自动加载服务、关闭移动存储介质自动播放、关闭系统目录共享、强制终端安装指定的杀毒软件与防火墙软件、自动对接入终端进行系统升级、自动对接入终端进行杀毒软件更新等。

（2）安全评估。系统管理员根据网络的运行情况对网络中所有接入的终端的安全状态进行初步实时评估，主要包括：评估终端的系统密码是否是满足复杂度、检测终端是否开放了系统共享、检测终端运行的进程与线程是否存在危险；检测终端是否及时对系统漏洞进行了更新；检测终端的网络流量是否正常；检测终端的网络行为是否存在异常等。

（3）安全审计。管理员可利用终端管理控制系统对接入网络各终端的行为进行安全审计，通过对终端上的文件操作行为、网络行为等确定终端是否存在非法操作、是否安装了非法软件、是否对安全设置进行了更改。一旦发现终端存在着不安全的行为，则可对其进行远程管理与控制。同时，管理员还可利用终端集中控制平台，对终端进行批量查询与操作，例如分组、批量或集中对桌面终端进行安全状态查询或安全设置；集中向桌面终端分发系统补丁或杀毒软件更新包；对指定的终端设备进行远程控制与操作；对系统中出现的不安全设备进行快速定位，并采取相应的措施来阻止网络攻击的扩散；对网络上所有的终端设备进行统计汇总，以方便进行资产管理等。总之，安全审计可帮助系统管理员针对不同的安全事件采取不同的处理流程，确保安全事件能得到快速有效处理[4]。

3 应用

3.1 产品原则

3.1.1 要选择优质的产品

在选择产品时要选择具有良好适应性的产品，以避免对现有网络进行较多的发行；要选择技术成熟的网络准入控制方案，要能够实现快速部署，不需要在终端上进行客户端安装，不要对终端用户的正常使用产生影响，要方便管理；要选择扩展性好的产品，要能实时对安全检查引擎进行升级；要选择具备终端认证、访问控制、安全修复等功能的产品，要与企业的实际情况相符，选择功能完备的产品。

3.1.2 要选择实力较强的安全厂商

企业网络准入控制是一项复杂的工程，因此在项目建设上必须要选择专业实力强、工作经验丰富的安全厂商。只有实力强的安全厂商，才拥有专业的技术服务团队，才能为企业提供优势、专业的网络准入控制项目建设服务，才能在后期的维护中提供专业的技术支持。从某种程度而言，网络准入控制产品的技术服务远比产品本身重要，原因主要有：在项目建设的前期，需要经验丰富的安全技术人员根据企业的实际情况对系统进行方案规划；在项目建设中，需要完整的建设计划与管理制度，确保准入控制项目建设顺利；在项目建设完成后，还需要有完善的技术支持服务，以便及时解决系统在运行中出现的各种问题。而这些，都需要技术实力强、规模较大的安全厂商才能做到，因此在选择网络准入控制产品时，不仅要重视产品本身的功能，还要重视对生产厂商实力的考察。

3.2 建设步骤

3.2.1 要明确网络准入控制建设要达到的目标

首先要对企业网络所存在的问题与威胁进行明确，深入分析网络准入控制技术所要保护的对象以及实施网络准入控制后所带来的积极与消极影响。只有符合企业实际需求才可解决企业网络安全所面临的问题，并且在企业所带来的好处大于建设成本时，网络准入控制项目才有建设的可行性。

3.2.2 要明确企业网络准入控制项目的实施对象和范围

在建设中，网络准入控制安全厂商通常会为建设企业提供相应的项目实施范围参考，企业通过对自身的实际需求调研，再与厂商进行讨论，并对项目建设的内容进行分析，权衡项目的利弊，综合各方面的因素以确认实施范围是否合理可行，是否需要有增加或删除的地方。

3.2.3 要选择合适的网络准入控制系统

当确定好网络准入控制项目实施范围后，就需要对网络准入控制系统进行选择。由于网络准入控制技术可在企业网络的任意位置上进行，因此需要在项目建设中确定执行点。项目建设企业需要根据自己的实际情况对执行点进行选择，在选择执行点时要确保不对终端用户的使用造成困扰。从当前网络准入控制的应用情况来看，执行点通常选择在企业的内联上。

3.2.4 进行成本分析和测试

网络准入控制项目建设成本与建设企业的设计选择密切相关，因此在建设中企业需要根据项目的实际情况来评估其设计选择是否正确。例如，在企业网络中配置一个独立的准入控制设备所需要的成本并不高，但是要对设备进行配置应用就需要花费较多的时间与精力，因此在方案设计时需要充分考虑建设备份单元以应对主要单元失效的情况。在项目建设完成交付使用之前，需要对网络准入控制项目进行全面网络测试，以了解其是否达到了设计目标，是否与企业的需要相一致。

3.2.5 实施网络准入控制项目建设

网络准入控制项目的建设主要是通过搭建服务器、配置交换机、配置终端、配置交换机商品等来实现对企业网络的控制。在实施项目前，企业要做好项目负责人确定、内部工作部署、准入控制效果评价等工作。

4 结语

网络准入控制与终端安全防护能为地市级烟草网络通安全保护，从而有效防止终端信息泄露，并采用相关的技术及加强管理制度，保证整个系统的安全运行。