基于网络准入控制的内网安全防护方案探讨
摘要:为了保障各单位的信息安全,需要对内网进行防护和抵御。本文主要研究和讨论了关于内网安全的防护方案,根据出现的问题,对两种认证方式进行对比,根据现实需求设计出了一套网络准入控制系统的内部结构和各个部分的分工以及整个工作流程。经过长期的应用,该方案对于内网安全防护有着极为重要的作用和意义。
关键词:内网安全防护;网络准入控制;802.1x认证
对于网络安全,其主要防护渠道是通过机房和入网处等,通过这类防护能大大减少外部病毒等威胁。但就目前的现状来说,内网出现诸多信息安全事故。计算机经常会受到外部病毒的侵入,在日常运作中需要进行经常维护,既花费时间,还加大了技术维护人员的工作量,严重影响工作质量和工作效率的提升。网络黑客一般会选择防护较为薄弱的终端入侵,一旦被控制,可能会导致计算机服务出现中断、重要数据被泄露或者丢失等信息安全事故。因此,我们必须要建立一套安全可靠的内网安全防护系统,旨在保护企事业单位内部网络的安全。
一、导致内网信息安全事故的原因
随着社会的发展,行政机关,企事业单位管理层对于维护信息安全的意识也进一步提高,部分单位自身有一套网络安全保护系统,并将其操作、使用等都制定了相应的标准。但是,以上这些举措,并不能很好地抵御和防护各类病毒、木马对信息的威胁。主要原因有:
(一)安全策略执行不到位
为了保护单位内部一些重要的信息资料,增强自身的抗风险能力,一般企事业单位都会根据自身的需求和发展特点,制定相应的安全防护策略和制度。由于内网的规模逐步扩大,复杂度也不断上升,使得之前制定的安全策略和制度的执行难度也在逐步增大。单位内的个人终端、移动设备以及大规模的主机等无法得到有效监控和有力执行。
(二)系统内存在漏洞、未打补丁
对于各类信息安全事故的深入分析得出,引发该类事故的根本原因就是单位系统内部存在一部分没有打补丁或者有些软件存在漏洞。由此可见,要想保护好内网安全,要牢牢把握好对系统的修复工作,及时对需要补丁的地方进行修复,从而增强系统抗风险能力。
(三)内网接入控制缺位
部分单位在安装终端时,并没有按规定和要求进行操作,对补丁软件和所需的病毒库没有升级和更新,还存在部分未被允许进入的软件,这类现象的存在,导致内网面临着极为致命的风险。
(四)终端用户使用不被允许使用的外联设备
单位的内部网络可能会出现对信息安全相关的制度管理不到位,相关的监控设备和技术不达标,有部分用户会违规操作,使用相关的接入设备与外界联通,并进行私人操作,网络黑客便利用这一漏洞,直接能够略过内网的防护系统,可能会导致重要信息的泄露以及恶性病毒的入侵。
二、合理有效防护内网信息安全的方案
通过上述分析,我们能够明确导致当前各行政机关,企事业单位信息安全事故发生的原因,为了使信息有一道安全的屏障,需要建立健全内网信息准入和控制机制,以此来实现计算机终端接入网络的安全性,在此基础上,要及时对内部系统进行补丁修复,并严格禁止外联行为,对移动储存设备进行控制和管理。因此,我们对目前市场上各类网络准入产品从各个角度进行对比分析,NAC准入控制系统以其良好的性能和优势在各类产品中脱颖而出。
(一)NAC系统的主要结构
NAC系统主要是为了解决网络安全存在的相关问题从而形成的一整套技术解决手段,该系统主要是利用802.1X技术,对计算机终端中所有的信息资源进行检查,从而能够预防病毒以及各类垃圾软件对内部信息的威胁。利用NAC系统,使计算机终端用户在访问网络时,只能在被允许的范围内进行操作,对于不符合安全规定和标准的设备和终端能够有效进行监督和控制。此外,该系统对于相关的储存设备进行实名的注册和登记。NAC系统的主要架构有策略管理和准入控制的服务器以及终端管理软件。
(二)NAC系统的相关服务流程
计算机终端在接入网络之前,对于新的网络来说,需要在策略管理的服务器中进行注册和登记,之后才能通过主机安全检测。在每次进行网络连接时,都会有一道检查程序,并将相关的检查结果传输给802.1X认证的接入交换机中,进而又传给负责准入和控制的服务器。最后,根据相关的检查结果来决定是否打开网络准入门槛。其中,准入控制和策略管理这两个服务器定期进行信息沟通,以此来实现客户端的相关信息和数据的更新。
(三)交换机802.1X认证的控制方式分析
NAC系统的实际应用,要结合交换机802.1x认证进行控制和监督。交换机802.1X认证主要是基于MAC地址和端口这两种接入控制方式。其中,基于MAC的接入控制方式主要是利用计算机终端的地址对想要进入的网络进行分类。通过该控制方式,对所有终端上的用户进行单独认证,就算其中一个用户下线,也不会影响其他用户的使用。对于无法使用客户端的外联设备,需要将其加入免认证的白名单,才能保证该类设备正常访问网络。此外,基于端口的接入控制方式主要是利用其所属的端口对网络准入的相关对象进行控制和管理。在某一特点端口下,首位用户认证成功,其余用户则不需要进行在此认证。但该端口中首位认证的用户下线后,该端口中其余的用户也无法使用该网络。
三、有效解决内网信息安全防护的设计方案
根据具体的情况以及现实的条件,我们利用NAC准入控制系统,将接入交换机基于端
口的802.1x认证方式与之相结合,设计出了一套能够有效解决内网安全防护的实施方案。
(一)策略管理服务器
通过对内网信息安全事故发生原因的深入分析,在策略管理服务器中,要设置相应的主机设备安全策略。一旦客户端没有达到安全策略标准,该终端则不被允许进入网络。还需要在客户端中安装补丁修复软件,对相关的信息进行及时的更新和调整,以此避免客户端漏洞被病毒入侵。为了增强客户端的病毒防御能力,要确保客户端安装性能较好的杀毒软件。要对客户端的密码设置有一定的要求,密码设置越复杂,客户端安全性则越高,以此来提高应对非法访问的能力。
(二)准入控制服务器
该服务器主要利用储备方式对客户端的相关事项进行部署,主要是为了防止其中某一个控制服务器出现故障而导致所有服务器上的用户无法通过802.1x认证而出现的断网现象。以此同时,还能将主机安全策略和用户注册信息进行实时更新,并指向策略管理服务器。
(三)接入交换机
接入交换机是整个系统的关口,主要是对网络的准入进行控制和把关。此外,还需要将接入交换机配置802.1X认证,同时与准入控制服务器进行联动。在整个运行模式中,将交换机认证服务器配置为准入控制服务器,并进行全部用户的802.1x认证。由于基于端口的802.1x认证方式存在相关安全性问题,需要利用网络对相关的漏洞进行及时修复。
四、内网信息安全防护设计方案的效果评定
基于网络准入控制的内网安全防护方案,主要是利用计算机终端,在连接网络之前要对相关的主机进行必要的安全检查和802.1x认证,能够切实有效的实施所制定的相关终端安全策略,解决网络病毒、非法外联以及垃圾软件等相关问题,以此来有效提升内网信息安全水平。除此之外,对信息的安全问题实施统一的管理以及科学合理的准入控制方式,能够提高相关维护技术人员的工作质量和工作效率,也实现了信息安全,缓解了内网运行和维护的压力。
结语
在现代化的行政机关,企事业单位发展过程中,保障信息的安全是每个单位亟需重视的问题。因此,内网准入控制系统对内部终端计算机的信息安全防护起到了极为积极地作用和意义。建立健全内网准入控制系统,让相关终端要对安全策略进行落实,增强计算机终端抵御各类病毒的能力,从技术层面为计算机安全提供保障,提升内网信息安全防护水平。
参考文献
[1]饶跃东,熊瑜.基于“震网”病毒的物理隔离网络的风险控制措施[J].广西科学院学报
,2012(01).
[2]马智勇.基于多层准入控制构建的安全合规内网[J].中小企业管理与科技(上旬刊),2012(09).
[3]陈璐,陈华智,邓松,张涛,马媛媛.电力内网终端的安全接入控制方法研究[J].电力信息与通信技术,2014(09).
[4]孙庆恭.基于多层准入控制构建的安全合规内网[J].现代计算机(专业版),2010(03).
[5]杨庆明,杜保东.桌面终端安全防护技术企业网管理中的应用研究[J].计算机安全,2010(10).
