实施内网终端监控NAC方案

随着信息技术的迅速发展，内网由于安全机制缺乏，内部漏洞造成的的威胁远大于从互联网穿透防火墙造成的入侵威胁，而传统的防护技术，如防火墙、IDS等均无法有效地进行防范。因此，建立起一套行之有效的可操控和集中管理的信息安全保障系统势在必行。网络准入控制（NAC）作为入网的安全保障平台，对设备、人员进行授权、安全评估、实时监测、智能管控的—体化管理体系，从接入与使用两个角度来建设全网立体安全防护体系，真正做到对资源分配和网络安全的全面管理，全面提升网络性能及安全架构。

图1 基于网络终端管理部署示意图

方案设计

为了减少和杜绝来自外部人员或单位内部的各类违规操作，建立起一套行之有效的可操控和集中管理的信息安全保障系统势在必行，采用网络准入控制（NAC）作为入网的安全保障平台，对设备、人员进行授权、安全评估、实时监测、智能管控的一体化管理体系。从接入与使用两个角度建立安全立体的防护体系，完成计算机终端接入控制、身份认证、安全检查、终端修复、权限控制、等功能，最终实现内网终端的标准化、流程化安全管理。

终端接入控制方案的设计应坚持使内部网络安全防护具有先进性、实用性、可靠性、兼容性、可扩充性和灵活性等原则。如图1所示，笔者单位选择第3代准入控制产品的某款入网规范管理系统，其部署简单，无需客户额外部署认证服务器、无需安装Agent代理、终端漏洞智能修复。通过网关级准入方案，实现准入管理全流程管理，从网络接入层、核心层设备上安全、快速、准确的阻断一切非法或外来的终端设备接入网络，防止别有用心的人通过接入控制管理漏洞而窃取单位内网核心机密文件或资料。

1.入网设备统一规范准入检查项目

可以自行设置预置的25项准入检查项目，也可以自行增加内网管理已经部署的项目，如桌面终端管理等。通过终端准入审核来实现员工、来宾上网权限管理。

依据审核内容自动安装杀毒软件、系统补丁等，直至通过审核要求，如图2所示。

当用无线上网方式不符合管理绑定要求时无法通过认证，被禁止上内网，如果认证通过则符合安全规则，则可以通过上内网，如图3所示。

图2 审核提示

图3 绑定要求提示

来宾接入内网通过审核认证后，通过来宾授权码验证进入内网规定使用区域，从而保证内网安全。

2.准入控制功能

能够依据设备的安全状况或人员所属角色对入网权进行控制和管理。

网络透视与角色管理

接入层交换机到终端计算机的网络拓扑管理模型，能够对全网终端进行终端对应交换机端口的直观拓扑展示。在拓扑展示图上可以进一步向下细化定位，直至每台终端设备。也可以通过终端设备向上检索，找到其连接的交换机，及该交换机在网络中的位置、运行情况和安全状态等信息，通过网络权限的角色控制，根据人员角色设定入网访问的控制安全域，实现网络权限的精细控制。

实施总结

通过ASM入网规范管理系统的应用，对单位内部的网络架构将实现规范化统一管理，并与桌面终端管理系统联动，定期对入网设备进行安全性检查，通过安全性检查与评估，获得全网的整体安全性视图，简化安全管理、降低维护强度与管理成本，同时解决来宾使用内网的数据安全问题。有了准入管理控制系统，在没有安装桌面终端管理客户端、系统没有打补丁以及未安装杀毒软件等安全认证项目没通过，则无法通过内网系统安全认证，就无法使用内网。通过安全系统建设项目的相互联动，能及时发现终端存在的系统漏洞、病毒与木马。

另外，通过身份识别、来宾访问控制以及访问管理等一系列的内网安全措施，可形成全网各个项目和条例的详细报表情况的归档文件，并作为网络安全核查评定及信息安全等级保护的考核资料。