省级气象部门网络架构中内网准入的设计与实现

田晓龙 岑瑶

（内蒙古自治区气象信息中心 内蒙古自治区呼和浩特市 010051）

1 引言

开放式网络是目前各类企业网络环境的主要形式，人们过去在Internet 的安全接入方面投入了大量的资金，部署了包括防火墙、IPS、IDS、日志检测系统、态势感知平台等一系列的防病毒安全设备，但是依然会有各种网络安全事件发生，安全泄露事件层出不穷，开放式的网络架构在一定程度上可以给企业内部办公带来便捷，但同时也增加了相应的安全风险。同时当今科技不断发展，不断出现的新型网络病毒、各种蠕虫、植入木马以及黑客的远程入侵都在威胁着企业安全，网络的安全边界不断缩小，传统意义上的增加服务器登录密码复杂度已经无法解决现有的网络泄露问题，企业IT 基础设施建设受到极大的威胁，数据的安全性问题、系统的稳定性问题、传输的准确性问题都受到一定的影响，因此，新一代的内部终端准入安全防御体系开始崭露头角，逐渐获得企业和市场的认可，开始在企业安全网络保障中发挥日益重要的作用。

2 存在的问题

企事业单位目前存在各种终端接入的问题，具体如下：

（1）企业网络的内部终端接入程序不完善，各种终端接入还是开放、透明的。

（2）存在大量的终端分散性地通过信息口接入网络，但这些终端的入网安全基线无法做到合规合法。如何定位追踪？如何进行有效的接入安全分析和审计？

（3）企事业单位有部分业务是外包的，这就需要不定期的会有部分外包人员需要进入内网进行系统的检查和检修，如何保证这些访问是安全的，访问权限必须严格把控。

（4）必须有效控制智能手持设备及无线设备的接入管理。

（5）事业单位的核心数据是很重要的一部分内容，必须保障数据访问的安全性，同时还要保障核心业务系统的稳定运行。

（6）目前企事业单位内网中的杀毒软件有很多较为陈旧，必须更换更为先进的杀毒软件，开启全面防控。

3 360准入安全防御系统概况

终端准入安全防御体系的出现有效地解决了企业内部网络中终端设备混乱接入的问题，准入系统要求所有终端设备必须进行实名认证，统一监控，同时对终端设备上网合规性进行分析，分析潜在的网络病毒与威胁，形成分析日志提供给管理员进行审核，达到规范化管理计算机终端的目的。

内蒙古气象360 准入安全防御体系主要由360 强制合规（NAC）引擎设备、360 天擎设备以及气象内网终端设备组成。360 强制合规（NAC）引擎设备基于360 天擎软件集中统一管理，设备全部部署于内网下，管理员在天擎“一体化”平台对整体准入安全防御体系进行全面控制，具体包括集中策略下发、设备批量升级、设备统一监管、区域分权管理等方式。360 准入安全防御体系可实现超大规模用户部署，可实现成百上千终端的接入管理，各种灵活的手段让其可以满足大型网络架构的业务管理需求，真正实现了设备分布式部署、集中化管理的要求。

汇率的高低反映一国宏观经济运行的基本状况，不同汇率制度下的汇率波动也会对宏观经济变量产生不同的响应。因此，汇率制度的选择与改革对宏观经济发展有着重要影响。

图1：准入系统概况

图2：内蒙古气象数据中心准入设备系统

内蒙古气象360 准入安全防御体系支持多种认证技术及方式，系统具备用户注册、认证授权、访问控制等“一站式”的管理操作，同时可以达到从终端发现、日志分析、入网追溯的入网安全监控，从而使企业内网安全透明、网络管理有序高效，全面满足信息安全管理要求。

4 360准入安全防御系统部署的技术特点和优势

（1）360 准入安全防御系统部署简单方便，在企业内网下只需要进行旁路接入抓取内网镜像流量即可。

（2）只有安装了360 天擎软件的终端设备才可以进行准入打点认证，未安装的终端无法获得认证通过，这样可以极大的丰富360 天擎的安装覆盖率和去化率。

（3）终端客户发起入网申请，准入系统认证打点通过之后才可以进行访问，保证访问安全。

（4）旁路部署简单，对环境依赖较小，无风险和故障点。

5 360准入安全防御系统建设及应用分析

终端应用准入是一种网关准入防护技术，目的是在网络传输层进行安全防护，防止非法终端未通过认证的情况下访问企业核心区域资源，规范企业内部入网流程，同时实时对入网终端进行安全检查，可满足企业入网的合规性管理要求。

图3：内蒙古气象数据中心准入系统入网流程展示

如图1 所示，360 强制合规（NAC）设备引擎采用旁路部署，检测入网终端是否安装360 天擎客户端，达到入网遵从条件，提高客户端部署效率、防止360 天擎去化率过高，保障入网终端是在安全可控范围内，防止非合规性终端访问企业核心资源服务器。NAC设备来判断是否拦截未安装天擎客户端的终端，达到入网安全性检测，配置安全检查策略可实现更加细粒度的入网合规要求。

6 内蒙古气象360准入安全防御系统建设规划与分析

如图2 所示，内蒙古气象信息中心准入系统中360 天擎强制合规（NAC）设备采用单机核心网络旁路接入的部署方式，通过一条千兆网线直连内网区域核心交换机，核心交换机预留流量镜像口，准入设备通过采集核心交换机流量镜像来进行分析认证，同时再通过一条管理网线直连核心电口进行管理登录，配置内网可登录状态，达到办公室即可操作认证管理的目的。

准入系统管理员可以强制重定向安装天擎客户端的页面地址，重定向地址可以是NAC 控制台地址、可以是当前服务器也可以是其他天擎服务器的地址。管理员登录准入管理页面，选择相应的重定向页面进行添加，终端用户访问内网业务系统的时候会自动切换到重定向页面。终端用户选择安装天擎软件进行注册，同时用以管理自己的终端设备。

360 天擎强制合规安全系统支持详尽的接入终端的健康情况，每台终端会有一个平均体检分数和健康率，管理员根据系统提供的数据全方位的追溯和分析终端接入和安全状态，下发整改文件，要求相应的终端用户进行病毒查杀和漏洞修复，每台终端会有未修复漏洞数量统计，这样可以实时保护终端电脑免受病毒侵袭，对所有的用户都起到了监控和督查的作用。

360 天擎强制合规安全系统提供接入认证终端的终端概况，具体包括不同的分组和不同的用户所展示的不同信息，分组信息主要展示了所属分组下面的入网终端数量、360 天擎软件安装率，漏洞数量和体检分。个人用户主要显示用户注册打点中输入的用户名、使用人、房间号、手机等个人信息，同时还显示终端设备的TP 地址，操作系统、设备类型以及最后在线时间。

7 结束语

目前，内蒙古气象360 准入安全防御系统内部可以实现全部入网终端设备的安全防御要求，但是目前仅仅停留在网络层面的管理准入，对于无线路由器的内网扩散式终端连接无法做到全部管控，无线终端可以共用相同的IP 地址，只需要注册一次就可允许多终端使用，目前本省气象内网架构采取无路由器办公状态，全部采用有线网络连接，后续将不断完成升级，丰富安全准入流程，并配合AC 控制器进行使用，实现对全部入网终端物理地址的管控。