准入控制(精选十篇)
准入控制 篇1
一、早期的内网准入控制技术
早期局域网一般由不可网管交换机或Hub组建而成。针对这种局域网, 国内安全厂商很多都是通过ARP欺骗的方式实现这一功能, 实现原理如下。
1.用户计算机安装准入控制客户端, 客户端检测用户计算机是否达到接入要求。
2.准入控制服务器对所在网段使用ARP扫描功能, 在很短时间内 (2-3s) 获得新接入的计算机的IP地址和MAC地址。
3.通过准入控制服务器对未注册用户计算机实施ARP欺骗, 发送IP地址已占用的信息, 并发送错误的网关地址。利用Windows操作系统本身机制, 未注册客户端会发现自己的IP地址在网络中已经存在, 并认为自己的IP地址甚至错误, 系统会在未注册计算机上提示IP地址设置错误。
早期的内网接入控制技术存在一些缺点。例如会在网络中生成大量的ARP数据包, 影响整体网络性能;ARP欺骗的方式也会造成用户侧计算机ARP防火墙软件的产生报警信息。
二、当前三种可行的准入控制方案
目前针对大型园区网络可行的准入方案主要有三种。
第一通过软件准入网关实现未注册阻断功能。
第二通过硬件准入网关实现未注册阻断功能。
第三与支持802.1x协议的交换机设备联动, 在接入层实现未注册终端阻断功能。
1.软件准入网关
软件准入网关发现自己“辖区”内有未注册计算机时, 不为其分配IP地址, 或者拒绝其数据包, 对已注册计算机一律放行。
软件准入网关的一般结构如图1所示。
软件准入网关的原理和下面将要介绍的硬件准入网关原理基本一致, 但是适用环境较为单一。软件准入网关一般使用WinPcap网络驱动开发, 客户端超过100后, 系统性能会急剧下降, 应用环境受到很大限制。
2.硬件准入网关
硬件准入网关比软件准入网关性能高, 很多园区网采用这种控制方式。硬件准入网关的部署方式类似于软件准入网关, 由终端管理服务器将内网客户机状态发送给硬件网关, 再由硬件网关判断并执行阻断或URL重定向。以某知名厂商为例, 终端管理服务器和准入网关之间通信的数据格式如图2和表1所示。
准入网关和终端管理服务器之间采用应答握手验证协议 (CHAP) , 认证采用预共享口令, 认证后派生出随机加密密钥对内容进行加密。
用准入网关实现准入控制受限于所处网络的结构, 一般部署在安全级别不同的两个网络边界之间。低安全级别的计算机在进入高安全级别的网络之前, 必须经终端管理服务器检查各项安全策略, 之后通知准入网关进行放行、阻断或重定向操作。
3.基于交换机端口的准入控制
基于交换机端口的准入控制需要使用IEEE 802.1x协议。802.1x协议是一种访问控制和认证协议。它可以限制未经授权的用户通过网络交换机接入端口访问局域网。在认证通过之前, 802.1x只允许EAPoL (基于局域网的扩展认证协议) 数据通过设备连接的交换机端口;认证通过以后, 正常的数据可以顺利地通过以太网端口。
802.1x协议运行在OSI模型链路层, 借用EAP (扩展认证协议) , 不需要到网络层, 对设备的整体性能要求不高, 可以有效降低建网成本, 提供良好的扩展性和适应性。802.1x的认证体系结构中采用了"可控端口"和"不可控端口"的逻辑功能, 可以实现业务与认证的分离, 由RADIUS服务器和交换机利用可控端口共同完成对用户的认证与控制, 业务报文直接承载在正常的二层报文上, 通过可控端口进行交换, 通过认证之后的数据包是无需封装的纯数据包。802.1x协议可以映射不同的用户认证等级到不同的VLAN。
为了实现基于802.1x协议的准入控制, 需要将准入网关与支持802.1x EAP协议的交换机配合实施, 目的是为内网提供高度灵活的用户接入强制策略。同时, 为了保证能够了解内网终端在网络接入时的安全状态以及网络应用行为, 需要在接入内网的终端上安装和运行准入客户端软件 (Agent) 。
准入控制过程如下:交换机发起EAP认证, Agent在收到EAP认证质询时, 将当前终端安全状态以及终端身份向交换机报告, 交换机在收到Agent的应答以后, 将应答信息以Radius协议封装, 发送到终端管理服务器, 终端管理服务器按照管理设定的规则检验Agent的应答信息。如果终端的身份合法并且安全状态也符合企业安全策略的要求, 终端管理服务器将指示准入网关放行。准入网关同时作为Radius服务器, 负责通知交换机将终端放入正常的工作VLAN;如果终端验证失败, 准入网关就按照管理的设定, 通知交换机将终端放入隔离VLAN或直接关闭端口。在隔离VLAN的终端, Agent会自动进行终端安全状态的修复, 在修复完成以后, 系统自动将终端重新接入正常工作VLAN。
目前支持的802.1x协议的有Nortel、Alcatel、Cisco、Huawei等主流设备供应商。以Cisco公司的网络交换机为例, 802.1X认证配置如下:
以上配置中192.168.1.100为准入网关的IP地址。
本文主要介绍了三种可行的内网准入控制技术, 其中以基于网络端口的控制方案最为严格, 对系统管理水平的要求也最高。通常在园区网管理中, 一般采用硬件准入网关与基于端口的准入网关相结合的方式, 达到即经济又高效的管理效果。
摘要:内网接入管理是近年来国内外很多企业网络安全提出的一项技术需求。它要求内网中计算机接入能得到控制。未经授权的计算机禁止接入内网, 从而确保内部网络的安全性。本文讨论早期内网准入控制局限性, 并介绍了主流三种可行的准入控制技术, 即软件准入网关、硬件准入网关和基于交换机端口的准入网关。
关键词:准入控制,802.1x,协议,Radius
参考文献
[1]于昇, 祝璐.网络接入控制架构研究综述[J/OL].信息安全与通信保密, 2009 (8) :41-43.
新疆油田启动端点准入控制系统项目 篇2
新系统将为油田信息系统安全加锁
中国石油网消息:(记者 杜中闻)10月30日,新疆油田公司端点准入控制系统项目启动会召开。明年1月,端点准入控制系统将投入使用,如何确保网络正常高效地运行,成为网络信息安全管理人员最头疼的问题。端点准入控制技术从网络接入端点的安全控制入手,结合认证服务器、安全策略服务器和网络设备及第三方软件系统(病毒和系统补丁服务器),完成对接入终端用户的强制认证和安全策略应用,充当“守门员”角色。用户在接入网络之前,必先接受其检查,只有达到安全标准才能被准予放行,享受网络服务。同时它还可以主动侦测用户和系统的网络安全状态,一旦发现用户出现了对网络影响的问题时,主动应对,采取各种措施切断用户的接入,从而实现从源头保证网络安全。端点准入技术应用是2007年集团公司信息管理的一项重点工作。新疆油田公司通过项目前期调研,对实施工作进行了详细的部署和安排。有关部门介绍说,端点准入系统的应用,可以从根本上改变网络安全被动防守的局面,有效地降低网络安全风险,保障公司整个网络的安全运行和客户端的数据安全。
新疆油田GPS基站网建设项目启动
中国石油网消息:(记者杜中闻 通讯员支志英)近日,新疆油田GPS基站网建设项目实施组开始基准站的选址工作。
这一项目将依托油气储运站库,在准噶尔盆地布设17个基准站,建成以GNSS观测技术为主的油田连续运行卫星定位导航系统,提供均匀覆盖准噶尔盆地的高精度定位服务。
油田GPS基站网的建成,将有效解决油田测量设备短缺、测量标志不足、维护费大等问题,大幅度提高油田基础测绘的工作效率,满足油田井位测量、产能建设、地面工程、勘探工程、地面沉降监测、精确导航等多种现代信息化管理的需求,同时也可为市政规划、国土普查、公共安全预警等提供可靠的定位服务。
集团公司离退休系统加快推进信息化建设
中国石油网消息:(记者 韩辛)11月5日,在广西北海市闭幕的集团公司离退休系统信息化建设暨统计工作会议上,信息技术服务中心的技术人员向与会的100余名各企事业单位的代表,详细讲解了系统管理软件知识和模板演示。这标志着离退休系统将融入集团公司“信息快车道”,服务和管理将上一个新台阶。
准入控制 篇3
[摘要]国际投资蓬勃发展,各国有关国际投资的准入政策也朝着更自由的趋势发展。我国是世界上最大的发展中国家和最大的资本输入国,既要抓住这个发展的良机,又要在国际投资准入自由化和国家经济安全之间寻求一个平衡点。本文就在分析我国国际投资准入自由化发展的基础上从政策调整的角度出发,给出一些建议,以期趋利避害,良性发展。
[关键词]国际投资;自由化;国家政策;市场准入
[DOI] 10.13939/j.cnki.zgsc.2015.08.139
随着经济全球化的不断发展和众多新兴市场经济国家的崛起,国际投资蓬勃发展,各国针对国际投资的准入政策也朝着更自由,更宽容的趋势发展。我国作为最大的发展中国家,自然不会例外。
1 我国国际投资准入自由化的发展
国际投资准入自由化伴随着经济全球化发展至今,主要表现在:(1)“投资”含义的扩大化;(2)国际投资中禁止业绩要求范围扩大;(3)国际投资准入范围扩大化三个方面。三者之中,国际投资准入范围扩大是最重要的表现。
表1是1997年以来我国外商投资产业指导目录的统计表。通过分析比较表1后,可以发现:(1)目录中所列的产业总数越来越多,从1997年328项产业到2011年的473项,增长率达到了44.2%;(2)目录中鼓励外商投资的产业也逐年增长,从1997年186项到2011年的354项,增长率高达90.3%;(3)目录中限制外商投资的产业则逐年减少,从1997年111项到2011年的80项,下降率达到27.9%。这些数据都体现了我国对外资的准入政策也朝着更加自由化的趋势发展。
2 国际投资准入自由化对我国经济的影响
我国作为世界上最大的新兴市场经济国家,对国际投资的吸引力非同一般。改革开放以来,我国利用丰富的外资实现了经济腾飞;但在新时代新阶段下,投资准入自由化的发展对我国经济而言又是一把双刃剑。
2.1 投资准入自由化发展对我国经济的积极影响
第一,促进资本流入,促进经济增长。随着投资准入自由化程度的不断提高,国际投资大量进入我国,弥补了我国经济建设的资金缺口,直接推动了我国经济的高速发展。
第二,推进产业升级,改善就业状况。20世纪90年代以来,外商投资的重点转向资本和技术密集型产业,正符合我国对产业结构优化升级的需求。同时,外资企业也为中国提供了更多的就业岗位。此外,跨国公司对员工技能和综合素质培训的重视大大提升了我国劳动者的综合素养。
第三,促进技术创新,提高管理水平。掌握高精尖技术跨国公司的进入能够增强我国的技术创新能力。同时,国内企业可以学习跨国企业的先进企业管理经验,提高企业管理水平。
2.2 投资准入自由化的发展对我国经济的消极影响
第一,冲击民族企业,威胁经济安全。跨国企业竞争优势明显,进入国内市场后会对国内企业形成巨大的冲击。同时,投资准入自由化的发展会方便国际游资进入东道国国内,在冲击经济的同时加速金融危机的传播,2008年的国际金融危机的快速传播就是一个例子。
第二,国际投资不均,区域发展失衡。受我国对外开放政策所限,国际投资的地域分布十分不均。相较于中西部地区,东南沿海地区吸引了绝大部分的外资。这种情况扩大了地区发展差距,造成我国区域经济发展失衡。
第三,国际产业转移,环境压力增大。随着国内环保标准的日益严格,作为外资源头的发达国家逐渐将本国高污染产业转移到发展中国家。因此,我国在引进优质外资的同时也引进了一些高污染产业,这些产业的进入会严重破坏我国的生态环境。
3 对我国有关国际投资准入政策改进的建议
正如上文所述,国际投资准入自由化的发展对我国经济而言是一把双刃剑。但国际投资准入自由化已是大势所趋,作为最大投资输入国的我国自然无法独善其身,那么我们就必须在国际投资准入自由化和国家经济安全之间寻求一个平衡点。而调整国内外资立法与政策与参与制定区域性和多边投资规则就是两个较好的方法。
3.1 调整国内外资立法与政策
第一,调节外资的税收优惠,平等对待内外资。税收优惠政策是各国招商引资的重要手段。改革开放之初,适当的税收优惠措施为我国经济建设吸引了大量外资。而经过30多年的建设,我国经济水平大大提升,经济总量跃居世界第二位。这种情况下,给予外资大量的税收优惠已不合时宜,会对民族企业的生存和发展构成巨大威胁。因此,当前我国应在税收政策上对国内外投资者一视同仁,仅给予外资国民待遇。
第二,保护民族产业,对外资控制与开放相结合。虽说目前国际投资准入有着明显的自由化趋势,但即便是投资准入自由化程度最高的美国,在关乎国家经济命脉的行业也会对外资进入进行限制和禁止。作为发展中国家的我国既要顺应国际投资准入自由化趋势,允许外资进入,又要严格控制外资进入的规模和程度,以保护国家的经济安全、保护民族产业发展。
第三,区分不同情形,放宽审批程序。现今,世界上各国对外资进入设置的程序有申报制、审批制和申报与审批并行制。投资准入自由化程度高的少数发达国家,如美国,实行申报制。我国和大多数发展中国家都采取较为严格的审批制,然而审批制对外资进入又会构成一定障碍。
在这种情况下,我国应借鉴外国发达国家在发展过程中累积的先进经验,采取分别申报制和审批制:仅对超过一定数额标准的大型投资实行审批制,而对外国中、小型投资实行申报制。但对涉及重点行业、影响国家经济安全的项目,无论其规模大小,均应实行严格的审批制。
3.2 参与制定区域性和多边投资规则
发达国家制定了现行的国际经济贸易法律规范,而规则的制定者往往都是规则的受益者。面对这种情况,我国若想在国际投资准入自由化的浪潮下保护自己的经济利益,就应当努力成为区域性和多边投资条约的推动者、制定者,将自身立场和利益关切反映到条约的条款中去。目前来说,中国—东盟自由贸易区投资规则和WTO全球多边投资规则的制定工作就是我国拥有的两个将自身立场和利益反映到条约条款中的契机。
4 结 论
国际投资作为国际间资金流动的重要形式,是资金不充裕的发展中国家所必不可少的发展资源,然而过快的投资准入自由化进程会损害国家的经济安全。我国作为世界上最大的发展中国家和最大的资本输入国,要用好投资准入自由化发展这把双刃剑,趋利避害,以期能在国际投资准入自由化和国家经济安全之间寻求一个平衡点。
参考文献:
[1]UNCTAD. Investment Policy Review of China: Progress and Reform Challenges[J].OECD Emerging Economies,2003.
[2]UNCTAD.World Investment Report[R].UNCTAD,2004.
[3]刘丰.论外资准入的自由化趋势[J].集团经济研究,2005(6).
[4]慕亚平.国际投资的法律制度[M].广州:广东人民出版社,1999.
[5]余劲松.TRIMs协议研究[J].法学评论,2001(2).
[6]张汉林等.复兴之路:WTO与中国经济未来[M].北京:人民日报出版社,2002.
医院网络终端准入控制解决方案 篇4
随着信息化的发展,当前医院的网络越来越复杂、越来越重要,如果不安全的用户终端接入网络,就等于给潜在的安全威胁敞开了大门,使安全威胁在更大范围内快速扩散,进而导致网络使用行为的失控[1]。终端准入控制从控制用户终端安全接入网络的角度入手,整合网络接入控制与终端安全产品,对接入网络的用户终端强制实施安全策略,严格控制终端用户的网络使用行为,有效地加强了用户终端的主动防御能力[2]。为保证用户终端的安全、阻止威胁入侵网络,对全院登陆网络的用户实施终端准入控制,对全网采取接入认证,对用户的网络访问行为进行有效地控制,使得非法用户无法进入医院网络,杜绝各种可能导致整网不安全的行为,如非法使用外置存储、不安装防火墙软件、私自修改注册表等。医院网络终端准入控制解决方案,对全院用户上网行为进行了有效地监控,为网络管理人员提供了有效、易用的管理工具和手段。
1 准入组网模型
H3C终端准入控制(End user Admission Domination,EAD)安全产品是一套融合网络设备、用户终端和第三方安全产品的全网安全体系框架,其目的是整合孤立的单点安全部件,形成完整的网络安全体系,最终为用户提供端到端的安全防护[3]。H3C EAD组网模型(图1),包括安全客户端、安全联动设备、安全策略服务器和第三方服务器。
安全客户端是指安装了H3C i Node智能客户端的用户接入终端,负责身份认证的发起和安全策略的检查。安全联动设备是指网络中的交换机、路由器、VPN网关等设备。EAD提供了灵活多样的组网方案,安全联动设备可以根据需要灵活部署在网络接入层和汇聚层。安全策略服务器和安全联动设备负责给客户端下发安全策略、接收客户端安全策略检查结果并进行审核,向安全联动设备发送网络访问的授权指令。第三方服务器是指补丁服务器、病毒服务器和安全代理服务器等,被部署在隔离区中。当用户通过身份认证、但安全认证失败时,将被隔离到隔离区,此时,用户仅能访问隔离区中的服务器,需通过第三方服务器进行自身安全修复,直到满足安全策略要求为止。
安全策略服务器是EAD系统的核心,如果安全策略服务器出现宕机将对终端用户接入网络产生影响。为了提高EAD系统的高可用性和容灾性,我们采用双机冷备方案。当主服务器出现故障时,交换机与主服务器之间通讯中断,发出的认证请求在一定时间内未得到响应,经过缺省的重试数次后,交换机自动将认证请求发往备服务器,同时将主服务器状态置为“封锁”。等待一定的时间间隔后,再次尝试将认证请求发往主服务器,若通讯恢复则立即将主服务器状态置为“激活”,从服务器状态不变。为了保证主服务器和备服务器上保存的账户信息同步,EAD系统提供了数据库自动同步功能,每间隔24h主服务器和备服务器会进行1次数据库同步,若有需要,也可手动立即执行数据库同步。
2 网络接入认证
EAD解决方案提供完善的接入控制,可以支持有线、无线各种接入方式,支持包括HUB在内的各种复杂网络、异构网络环境下的部署,保证从任何地点、任何方式下的接入安全。除基于用户名和密码的身份认证外,EAD还支持身份与接入终端的MAC地址、IP地址、所在VLAN(虚拟局域网)、接入设备IP、接入设备端口号等信息进行绑定,支持智能卡、数字证书认证,增强身份认证的安全性。
对于要接入网络的用户,EAD解决方案首先要对其进行身份认证,通过用户名和密码来确定用户是否合法,身份认证通过后的用户进行终端的安全认证。根据网络管理员定制的安全策略进行包括病毒库更新情况、系统补丁安装情况、软件的黑白名单、U盘外设使用情况等内容的安全检查,根据检查的结果,EAD对用户网络准入进行授权和控制[4,5]。通过安全认证后,隔离状态被解除,用户可以正常使用网络,与此同时,EAD可以对用户终端运行情况和网络使用情况进行审计和监控。如果安全认证未通过,则继续隔离用户,直到用户完成相关修复操作后通过安全认证为止。EAD解决方案对用户网络准入的整体认证过程,见图2。
医院网络分为线接入和无线接入两部分。根据EAD的部署效果,有线部分采用802.1x认证,无线部分采用portal认证。有线接入部分,认证全部终结在楼层的接入交换机上,在接入交换机上进行安全控制。对需要开启认证的交换机,在安全策略服务器上添加接入设备,根据从交换机端口接入的用户信息逐个配置交换机开启认证。无线部分的认证全部终结在无线交换机上。对于无线交换机,直接开启部分网段用户portal接入认证即可。网络接入认证时自适应绑定终端的MAC地址。
3 安全策略规划
EAD对终端用户的安全策略进行配置,安全策略服务器则用于对用户终端的染毒状况、杀毒策略、系统补丁、软件使用情况进行集中管理、强制配置(强制病毒客户端升级、强制打补丁),确保全网安全策略的统一。同时,通过客户端管理代理与安全客户端相配合,记录用户的安全日志,并提供查询及监控功能,为网络管理员提供网络安全状态的详细信息。通过这种防病毒软件、安全客户端的整合,EAD安全产品能够防止已感染病毒或存在系统漏洞的用户终端对网络中的其他用户产生危害,保护缺乏防御能力的用户因暴露在非安全的网络中而受到威胁,避免了来自网络内部的入侵。
安全检查基本策略如下:合法用户才能登录,如802.1x认证端口用户未认证不能访问任何地址;Portal认证用户认证前只能访问DHCP服务器和文件服务器等有限资源。用户必须安装防病毒客户端软件,防病毒客户端软件的杀毒引擎版本、病毒库版本必须符合要求。对安全策略模式进行如下规划。
3.1 隔离模式
对于一些关系比较重大的安全漏洞或补丁,如Windows服务器的致命安全补丁,需要进行比较严厉地控制。具体来说,就是一旦用户终端安全状态不合格,就限制其网络访问区域为隔离区,再进行修复操作,满足企业终端安全策略要求后,才能重新发起认证,正常接入网络。对有线接入终端,安全检查不合格时,设置隔离模式,只能访问隔离区的资源。
3.2 警告模式
某些应用环境下,不需要根据用户终端的安全状态严格控制用户终端的访问权限,可以采用警告模式来处理不合格的安全状态,如对于安全等级略低一些的补丁可以采取这种方式。在警告模式下,安全客户端检查用户终端的安全状态信息,并将不合格项以弹出窗口的形式提供给终端用户,同时提供修复指导和相关链接。用户的网络访问权限不因终端安全状态不合格而被更改。
3.3 监控模式
监控模式同警告模式的实现流程基本相同,区别在于在监控模式下,安全客户端不会弹出窗口向用户提示终端的不合格项。但网络管理员可在EAD安全策略服务器的管理界面中对用户终端安全状态进行实时监控,了解用户终端的安全信息。一些相对普通的安全问题,如提示性的补丁安装,可以在不影响终端用户工作的情况下,由管理员进行定期检查并通告。同时,对于重要的网络用户,如院领导、部门领导,管理员对其网络访问的管理也可应用监控模式。
4 结束语
我院“军字一号”网是全院的主要业务运行网络,是二、三层混合架构,拥有各类网络交换机110台,展开网络终端1600余个,对网络运行使用制定了相关管理规章制度,并对网络开展季度巡检[6],但并未消除用户的终端计算机不及时升级系统补丁和病毒库的现象,并未完全控制私设代理服务器、私自访问外部网络、滥用禁用软件等行为。实施终端准入控制后,EAD通过与交换机的联动,强制检查用户终端的病毒库和系统补丁信息,降低病毒和蠕虫蔓延的风险,同时,强制实施网络接入用户的安全策略,阻止了来自医院内部的安全威胁。在用户终端通过病毒、补丁等安全信息检查后,EAD可基于终端用户的角色,向安全联动设备下发事先配置的接入控制策略,按照用户角色权限规范用户的网络使用行为,保障了医院网络的安全[7,8]。
摘要:本文介绍了医院网络终端准入控制的组网模型、网络接入认证和安全策略规划。通过实施终端准入控制,对用户的网络访问行为进行有效地控制,规范用户的网络使用行为,使得非法用户无法进入医院网络。强制检查用户终端的安全,强制实施网络接入用户的安全策略,阻止来自医院内部的安全威胁,保障了医院网络的安全。
关键词:“军字一号”,医院网络安全,终端准入控制,接入认证,安全策略服务器
参考文献
[1]巩蕾,路万里,王伟伟.构建医院网络信息安全防护体系的探讨[J].当代医学,2010,16(6):26-27.
[2]周超,周城,丁晨路.计算机网络终端准入控制技术[J].计算机系统应用,2011,20(1):89-94.
[3]支林仙,朱宇阳.端点准入防御(EAD)解决方案简析[J].福建电脑,2007,(4):74.
[4]周祥峰.基于802.1X协议的网络准入控制技术在电力企业的推广应用[J].现代计算机,2010,(8):101-104.
[5]唐晓雷,余镇危,刘知一,等.准入控制研究综述[J].计算机工程与应用,2005,(5):129-131.
[6]马锡坤,杨国斌,袁波.构筑信息网络基础平台保障人财物科学管理[J].中国数字医学,2010,5(8):20-22.
[7]马锡坤,徐旭东,张曙光.我院“军字一号”网络使用的科学管理[J].中国医疗设备,2008,23(11):70-72.
医院技术准入制度 篇5
一、为了确保有效、合理运用现代科学技术,我院鼓励开展新技术、新项目,为避免医疗资源的浪费,保证医疗安全,制定本制度。
二、本制度所称新技术、新项目是指国内外已经开展,而我院尚未开展的预防、诊断和治疗技术或项目。
三、新技术、新项目准入制度是指在各医疗、医技科室在开展新技术、新项目前须通过调研、论证及审批的制度。
四、各医疗、医技科室在开展新技术、新项目前应向医教部进行申报,在取得准入后方可实施。准备开展新技术、新项目的科室填写《新技术、新项目申报表》一式三份报医教部。其申报的主要内容有:
1、新技术、新项目的基本情况;
2、新技术、新项目临床应用的分析(合法性、伦理性、安全性、有效性、适宜性、可行性、需求、成本及效益);
3、拟开展新技术、新项目的人员经过专业培训及考核证明文件的复印件,(独立开展项目的科室须有3人以上);
4、开展新技术、新项目所需的设备、设施及其他相应辅助支持条件;
5、新技术、新项目的诊疗常规、操作规范及临床路径;
6、新技术、新项目预见的风险、应急处理预案及知情同意书;
五、医教部在接到科室申请后对申报书内容进行审核,组织专家进行论证。有一定技术难度的新技术、新项目及人员资质须由医疗质量管理委员会进行专家论证;凡涉及有可能对社会伦理道德有影响的须经院医学论理学委员会讨论通过。
六、经专家论证后,新技术、新项目属于低医疗风险、创伤性小的由医教部进行审批;属于国内成熟的、外院已开展的、医疗风险较大的由业务副院长进行审批;属于多学科联合、探索性的、医疗风险高的由院长审批;属世界性创新的、实验性的需由院长同意后,报上级卫生行政主管部门进行审批后方可开展。
七、各科室不得擅自开展新技术、新项目。对未经同意擅自开展的新技术、新项目,医教部责令停止,给予警告及处罚。因擅自开展新技术、新项目导致的不良后果,由开展的科室承担完全责任,并追究有关负责人的责任。
八、在接到批准文件后,由科室副主任医师以上人员负责开展此项新技术半年。
准入管制还是行为监管 篇6
我们知道:放宽行业准入并不等于放弃行业监管。可以认为:行业准入和行业监管分别对应了企业招收员工时的各种考查和员工入职后的各种纪律约束及绩效考核。作为私人部门的企业,可以采用类似行业准入的办法设置门槛,招收符合自己企业要求的员工,但作为公共部门的政府则要从全社会公平的目的出发,尽量减少行业准入的设置。企业除了采用入职测试和评估的方式选择员工,还会对员工入职后的表现加以约束和考核;政府尽管在尽可能地减少行业准入设置,但对执业行为的监管则是一点也不能含糊的。正因为如此,一方面政府依照《行政许可法》的要求谨慎地设置行政许可,另一方面也会依照《行政强制法》的要求对不符合法律规定的职业行为采取强制措施,这两者是相互补充,不可或缺的。
其实,许可也好,强制也好,都属于强制,只是一个是在事前强制——不允许做相关的任何事情;一个是在事后强制——做了不对的事情要接受强制处分。笔者认为:在行业从业人员素质普遍不如人意的情况下,如果采用事后强制的方式,耗费的监管人力会是海量的,可能的不良从业行为给社会带来的负面影响也会非常巨大。因此,事前的强制,适当的行业准入还是很有必要的。
政府采取行业准入的宽严程度还和企业对员工的管治意愿和能力有关。政府的管制和监管是为了不使从业人员危害社会和损害客户利益,如果企业能够管制好自己的员工,那么也同样能够达到这些目的。事实上,一些有品牌的房地产中介企业也在加大对员工管治的力度,从员工招聘标准到员工行为规范都有很高的要求,这当然就相应减少了政府监管的工作量。
而且,企业对员工的入职筛选和对工作行为的约束同样也是互补的——如果在员工入职时能够提高标准,并辅以高水平的入职培训,以后在工作中对员工的管理就会相应轻松很多。
结合上个月专栏的文章,笔者认为:德治和法治、事前强制(准入许可)和事后强制(从业监管)、政府管制和企业管治,对于房地产经纪行业的管理都是不可或缺的。
准入控制 篇7
关键词:安全管理,网路准入控制技术,终端
1 网络准入控制原理
网络准入控制的宗旨是防止计算机病毒和蠕虫等黑客攻击技术对安全造成危害, 借助网络准入控制技术, 可以控制经讨授权的、合法、安全、值得信任的终端设备接入网络, 而未经授权的终端不能接入。网络准入控制系统基于一个个新系统架构, 它将整个内网安全防护策略划分为锣辑上的3个组成部分: ①内网边界安全防护, 对来自网络外部的安全威胁讲行安全防护;②内网安全威胁防护, 对来自网络内部的安全威胁讲行防护;③外网移动用户安全接入防护, 用于保证内部移动用户在不同网络环境中的自身安全及网络安全。因此, 只有建立完整的网络准入控制体系才能有效保护内部网络安全, 只有拥有网络准入控制的终端安全管理体系才能够提供终端的个程、纵深终端安全保障体系。
2 网络准入控制技术实现方式
网络准入控制技术主要有以下几种实现方式:①基于802.lx协议的网络准入控制;②思科EOU方式的网络准入控制;③网关型网络准入控制;④DHCP方式的网络准入控制;⑤ARP方式的网络准入控制几种网络准入控制技术的比较。其中, 基于802. lx协议的网络准入控制方式由于其安全性、可靠性和多设备厂商支持等特性在市场上得到了大量的应用。本文主要讨论该种类型的网络准入控制技术及扩展应用。
3 基于 802. lx 协议的准入控制技术
3.1 认证体系
802. lx是一种对用户讲行认证的方法和策略, 802.lx认证的最终目的就是确定一个端口是否可用802. lx的体系结构如图1所示, 它仅括3个部分, 即请求者系统、认证系统和认证服务器系统3部分。
3. 2 认证流程
基于802.1x的认证系统在客户端和认证系统之间使用EAP (>I、格式封装EAP (Extensible Authentication Pro-tocol, 可扩展认证协议) 协议传送认证信息, 认证系统与认证服务器之间诵讨RADIUS协议传送认证信息。802. lx认证系统利用EAP协议, 在客户端和认证服务器之间交换认证信息, 图2显不了该种工作机制。
(1) 在客户端PAE与设备端PAE之间, EAP协议报文使用EAPOL封装格式, 直接承载于LAN环境中。
(2) 在设备端PAE与RADIUS服务器之间, EAP协议报文可以使用EAPOR (EAP over RADIUS) 封装格式, 承载于RADIUS协议中;也可以由设备端PAE讲行终结, 而在设备端PAE与RADIUS服务器之间传送PAP协议报文或CHAP协议报文。
(3) 当用户通过认证后, 认证服务器会把用户的相关信息传递给设备端, 设备端PAE根据RADIUS服务器的指不决定受控端口的授权/非授权状态。
3. 3 认证组网应用
按照不同的组网方式及网络规模, 802. lx认证可以采用集中式组网 (汇聚层设备集中认证) 、分布式组网 (接入层设备分布认证) 和本地认证组网不同组网方式下, 802.1x认证系统实现的网络位置有所示。
(1) 802.1x集中式组网 (汇聚层设备集中认证) 该种组网方式的伏点在于802. lx采用集中管理方式, 降低了管理和维护成本, 如图3所示。
(2) 802.1x分布式组网 (接入层设备分布认证) 该种组网方式的伏点在于, 它采用高/中端设备与低端设备认证相结合的方式, 将认证工作分配到众多的设备上, 从而减轻了核心设备的负荷, 满足了复杂网络环境的认证。
(3) 802.1x本地认证组网不需要单独购置昂贵的服务器, 可以节约成本。
3网络准入控制技术在终端安全管理体系中的应用模式为了有效解决终端在接入网络时的认证, 需要将网络准入控制技术和终端安全管理技术有效结合网络准入控制系统和终端安全管理结合架构如图5所示。
(1) 账户检查:用户名和密码防止外来人员私自安装一个相同的Agent后接入网络。
(2) 安全设置规范检查:终端安全设置 (依据需求) 检查系统账户, 仅括Guest账户和弱口令检查;Windows域检查, 检查终端是否加入指定的Windows域;检查可写共享设置, 检查终端是否设置了可写或者没有权限限制的可写共享;检查终端操作系统补丁安装情况;检查终端的防病毒安装情况及其病毒特征库是否及时升级;检查终端是否有可疑的注册表项;检查终端是否有可疑的档存在;检查终端是否安装了非法软件。
(3) 终端注册ID检查:检查终端是否在内部网络注册登陆, 通过网络准入控制确保接入网络的计算机终端是合法且符合接入安全管理规范的计算机终端, 并接受管理终端的计算机终端。
4 结语
从终端信息防泄露的实际需求出发, 以终端网络准入控制系统为开端, 构建一个基于安全终端网络环境的个方位的安全防护体系, 可以有效杜绝终端计算机上受控的安全信息的非法外传。
参考文献
[1]邹汪平.一种基于网络安全控制的蜂群算法应用研究[J].吉林师范大学学报 (自然科学版) , 2013, 04:129-131.
[2]田晓春, 朱峥.浅谈报业网络终端安全与入网控制的建设[J].中国传媒科技, 2013, 13:108-109.
端点准入控制在炼化企业中的应用 篇8
关键词:VRV防病毒,网络安全管理,接入管理,补丁分发
一、系统功能介绍
VRV系统用一个管理平台,集中管理所属区域内的所有IT设备。主要功能有以下几个方面:
接入管理:(1)终端注册管理:允许用户以实名制注册并接受管理,注册信息可以包括使用人的所属区域、单位、部门、姓名、IP/MAC地址、主机名、设备类型、电话、房间号、E-mail地址等元素。(2)IP和MAC绑定管理:客户端IP获取方式设定;客户端绑定内容改变时自动提示、恢复、断网;禁止修改网关、禁用冗余网;内、外部网络环境自动侦测。(3)终端漫游管理:基于CA体系的客户端漫游管理;可检测漫游用户的工作状态;可设定漫游用户的策略服从对象。
IT资产管理:(1)硬件设备信息统计:CPU、内存、硬盘、光驱、主板、显卡、键盘、调制解调器、监视器、鼠标及其他指针设备、网络适配器等信息的统计与收集。(2)软件资产统计:已安装软件及更新的名称、版本、安装时间。(3)设备软硬件资产变更监控:硬件、软件发生变更前后的型号、时间等信息记录。(4)IT资产报表功能:将采集到的软硬件资产按照自定义组合的方式输出报表。
补丁分发管理:(1)系统补丁自动分发。(2)补丁手动分发。(3)补丁分发情况统计。(4)漏打补丁主动检测。(5)普通文件分发/运行。(6)文件分发情况统计。
桌面管理及运维:(1)桌面管理:桌面流量管理、软件安装监控、桌面消息通知。(2)网络主机运维:运行资源监控、流量异常监控、进程异常监控。(3)黑白名单管理:软件黑白名单、进程黑白名单、URL黑白名单、端口黑白名单。
桌面安全及审计:(1)桌面安全:终端密码管理、终端账户/权限监控、终端统一协议防火墙、终端杀毒软件管理。(2)桌面审计:终端网络访问行为审计、移动存储介质使用审计、文件输出审计、关键目录文件使用审计、注册表审计、邮件审计、打印审计、共享输出审计、系统日志审计。
非法外联行为监控:(1)内部终端非法接入互联网行为监控。(2)离网终端非法接入互联网行为监控。(3)内部终端非法接入其它网络行为监控。(4)内部终端非法外联行为告警和网络锁定。(5)内部终端非法外联行为取证。
移动存储介质管理:(1)可管理性:提供对移动存储介质的集中或在线注册、授权管理;从其入网、使用到退出网络每个阶段都进行追踪。(2)访问控制:区分“注册”与“非注册”移动存储介质、非注册移动存储介质插入内部计算机后,将产生告警。(3)加密分区:对介质进行加密,任何访问该介质的行为均需要输入个人用户密码,可将存储分区划分为“交换”和“保密”两个分区。(4)数据安全:系统为用户存储在移动介质上的数据提供加密功能、在外网计算机上无法识别保密数据区、数据访问自动病毒检测。(5)日志审计:完备的审计记录,将使用人、使用时间、使用地点、使用行为等记录详尽的上报给管理员。
二、系统管理方案
准入控制 篇9
随着电力企业信息化程度的不断提高, 电网企业对信息网络的依赖程度越来越高, 各种各样的设备需要接入企业的内部网络来访问企业资源, 电网企业的内网安全管理工作面临的挑战越来越大。据统计, 83%的信息安全事件是由内部人员或内外人员勾结所为[1,2,3], 因此加强企业内部网络安全管理是非常必要的, 网络准入控制技术可以阻止外来人员未经允许非法接入企业内部网络、限制企业内部用户的网络访问行为、加强内部用户的网络接入控制, 日益受到企业的关注。目前很多企业部署了网络准入控制系统[4,5,6,7,8], 电网企业[9,10,11,12,13,14,15]也通过部署网络准入系统来保证用户终端的安全、阻止威胁入侵网络, 实现网络安全的主动有效控制。
网络准入控制 (Network Admission Control, NAC) 概念最早由Cisco公司于2003年提出[16,17], 其核心思想是从终端网络接入控制入手, 结合认证、安全策略服务器、网络设备, 以及第三方系统 (病毒和补丁服务器) , 完成对接入终端的认证和安全策略检查, 达到保障网络安全的目的。换言之, 网络准入控制系统将自动更新、安全状态审核、准入控制等思想集中在一起, 从过去的被动防御和分散安全管理变为主动防御和集中安全管理。图1展示了网络准入控制技术认证层级。
1 常见的网络准入控制技术
网络准入控制作为系统安全的关键技术之一, 很多机构和研究者对其进行了研究[16,18,19,20,21], 并在很多行业进行应用[4,5,6,7,8]。按实现方式, 可分为两大类:基于网络的准入控制和基于主机的网络准入控制。基于网络的准入控制主要有基于局域网的扩展认证协议 (Extensible Authentication Protocol Over LAN, EAPOL) 技术、基于用户数据报的扩展认证协议 (Extensible Authentication Protocol Over UDP, EAPOU) 技术、网络Plug-in技术;基于主机的准入控制技术主要有系统及应用准入、客户端准入。按准入控制所在的层次, 可分为终端层、网络层和应用层准入控制3种 (见表1) 。从目前网络准入控制技术发展的趋势来看, 网络准入控制系统将向全面、多层次方向发展, 不仅局限于终端, 还对用户上网行为的全过程进行监管。
2 几种主流的网络准入解决方案
前面介绍的网络准入控制技术是一项由思科发起、多厂商参加的项目, 因此不同的厂商具有不同的解决方案。就目前而言, 比较成熟解决方案有:Cisco NAC网络接入控制技术 (Network Access Control) 、Microsoft NAP网络接入保护技术 (Network Access Protection) 、华为3COM EAD准入控制技术、Symantec SNAC网络准入技术以及TNC可信网络连接技术 (Trusted Network Connection) 等[1], 这些解决方案的主要思路是从用户终端入手, 通过管理员指定的安全策略, 对接入私有网络的主机进行安全性检测, 自动拒绝不安全的主机接入, 保护网络直到这些主机符合网络内的安全策略为止。
2.1 Cisco NAC
Cisco NAC网络准入控制技术能够检测包括通过WAN链路、IPsec远程接入、拨号接入、VPN接入、局域网、无线设备等所有接入方法部署的终端。
NAC系统主要包含NAC Appliance (NAC产品) 和NAC Framework (NAC框架) 。NAC Appliance方案由3个组件构成:Cisco Clean Access Agent (有Web Agent或Exe Agent) 、Cisco Clean Access Server (评估设备并基于终端的策略符合情况授予访问权限) 、Cisco Clean Access Manager (集中管理CAS, 包括执行策略和修补服务等) 。NAC Appliance通过终端评估、策略管理和修补服务支持以实现快速部署, 适合规模较小、拓扑简单的网络。
NAC Framework的组成包括客户端Agent、策略服务器、网络设备及集中管理系统。安全认证分为基于L2-IP和基于802.1x 2种。表2详细介绍了NAC over 802.1x和NAC over L2-IP认证方式的特点。
NAC Framework虽然对网络环境要求高, 存在投资保护问题, 但可以很好地与第三方安全产品进行联动, 为规模较大、拓扑复杂的网络提供从无线到有线、本地到远端的多层次、多平台的安全防护。
2.2 Microsoft NAP
微软网络访问保护NAP是一种区别于NAC的准入控制体系结构, NAP提供了一套完整的校验方法来检测接入终端的健康状态, 确保终端运行状况策略符合要求, 并有选择地限制安全状况不正常的计算机的网络访问。NAP具有强制更新功能, 该功能可以和其他厂商的软件进行整合, 实现对接入终端特定系统或软件进行更新检查, 对不更新的终端限制其接入, 最终实现以下目标:
1) 监视计算机访问网络是否符合健康策略要求;
2) 自动更新计算机, 使其符合健康策略要求;
3) 限制不符合安全策略要求的计算机, 将其限制在受限制的网络中[16]。
2.3 H3C EAD
EAD是华为3COM在2005年前后推出的端点准入防御解决方案, 该方案通过客户端Agent、网络设备、安全策略服务器及防病毒软件对接入网络的终端下发安全策略, 控制用户终端网络使用行为, 以提高终端的主动防御能力。EAD解决方案包括补丁服务器、CAMS服务器 (安全策略服务器) 、防病毒服务器、H3C客户端Agent和安全联动设备等基本部件, 通过安全策略中心协调各部件实现对接入网络的终端的安全准入控制。
EAD解决方案主要有3种部署方式:接入层准入控制、汇聚层准入控制以及多厂商设备混合准入控制[16]。表3归纳了3种部署方式的特点。
2.4 Symantec SNAC
SNAC解决方案包含了LAN Enforcer, Gateway Enforcers, DHCP Enforcers。
1) 采用LAN Enforcers即802.1x, 网络准入的控制粒度较细, 但对网络设备有较高的要求:所有接入层交换机必须支持802.1x, 而且接入层交换机下面不能再接HUB或者非802.1x交换机。此外, 实施起来比较麻烦, 并非所有设备的操作系统都支持802.1x, 比如网络打印机、传真机、Linux机器等。
2) Gateway Enforcers方案是在网络瓶颈点部署的内嵌实施设备, 典型部署方案是位于远程分支机构与公司总部之间的VPN、无线网络和会议室网络等场景。
3) DHCP Enforcers以内嵌方式部署在端点和企业现有的DHCP服务基础架构之间, 如果端点没有运行代理或者处于不遵从状态, 则DHCP Enforcers会分配限制性的DHCP租用, 提供的是不可路由或隔离的IP地址, 降低网络访问权限, DHCP Enforcers不太适合大规模的应用, 只适合作为辅助方案。
SNAC的策略管理都通过一个管理控制台进行, 即SEPM服务器。在SEPM服务器里需要设置控制策略、交换机、Radius等信息。
2.5 TNC
TNC是建立在基于主机可信计算技术之上的一种网络准入控制技术, 通过使用可信主机提供的终端技术, 提供一种由多种协议规范组成的框架, 来实现终端网络访问准入控制。换句话说, 通过协议的扩展, 将TNC技术应用到网络上, 实现网络准入控制功能。当可信的端点要接入网络时, 须先使用整体性的安全策略评估后, 结合网络访问控制策略 (例如802.1x、Radius、IKE协议) 来完成网络接入过程。
TNC网络准入控制技术可以实现以下功能:
1) 验证用户身份及平台状态完整性检测;
2) 确认终端及其用户权限;
3) 建立在其接入网络前的可信级别;
4) 平衡已存在的产品、标准及技术;
5) 根据终端的状态建立一个可信级别, 实现终端访问策略授权;
6) 隔离不符合可信策略的终端, 使之在可信网络之外, 若可能, 对其进行修复。
3 网络准入产品技术比较
以上介绍的几种主流网络准入解决方案中, 虽然其实现方式各不相同, 但其实现的目标和采用的技术却有很大相似性, 可以理解为终端、网络设备、安全策略服务器这3个组件协同配合工作, 其区别主要表现在以下几个方面[19]。
1) 协议。Cisco、华为通过采用EAP、802.1x及RADIUS协议实现网络准入控制, 依赖于各自网络设备的特性。微软则采用DHCP和RADIUS来实现, 依赖于自身的OS及AD域, 并强制选择DHCP, IPSec, 802.1x, VPN隔离, 对不同厂家的网络设备进行了屏蔽。
2) 身份认证。Cisco、Symantec使用RADIUS服务器作为身份认证平台, 微软则使用自身的AD域实现身份认证, 华为主要采用用户名/密码的方式进行身份认证。
3) 管理方式。Cisco、Symantec、微软、华为均选择了集中控制管理方式, 用户管理和准入策略由统一的管理平台负责, 策略控制、应用则由策略服务器和第三方产品协同进行。
4 网络准入控制系统在电网企业的应用概况
电网企业是信息化高度发达的行业之一, 为了提高企业终端的网络准入, 很多电网企业部署了网络准入系统, 从技术上加强了对局域网内计算机的监管, 从而终端设备的抗风险能力显著提升。表4归纳了文献中介绍的电网企业采用的网络准入解决方案, 根据企业自身的需求, 普遍采用Symantec SNAC网络准入系统。
从表4各供电局的需求来看, Symantec SNAC网络准入系统能够满足电网企业网络准入需求, 具有很好的适应性和扩展性, 因此在电网企业中得到了广泛的应用。
5 云南电网公司网络准入控制系统应用情况
为了提高企业终端的网络准入, 云南电网公司在全省地市供电局统一部署了华赛TSM网络准入控制系统, 系统主要提供终端安全接入控制、终端安全管理、补丁管理、终端用户行为管理、软件分发、资产管理等六大功能。系统通过终端网络准入控制、终端安全检查、访问控制和安全修复, 有效控制了包括企业员工、外部访客、合作伙伴的临时员工等对网络的访问, 同时, 系统还能够随时发现并隔离带有威胁的终端主机, 提升云南电网网络防御安全威胁的能力。
玉溪供电局实施的华赛TSM网络准入控制系统, 实现了计算机终端的实名制安全管控, 切实做到预防木马、病毒、ARP欺骗攻击以及非法外联等主动违规行为, 有效规范了计算机终端接入流程, 减轻了终端维护工作压力, 提高了网络与信息系统安全水平, 但同时也存在着一些亟需改进的地方。
1) TSM网络准入控制系统部署采用网关方式, 控制的细粒度较大。目前TSM将云南电网的网络资源按照业务和安全等级划分为3个安全域:认证前域、隔离域和认证后域。认证前域指终端在身份认证和安全检查通过前能够访问的网络资源, 认证后域指终端在通过身份认证和安全检查后能够访问数据中心的网络资源, 隔离域指终端在通过身份认证但没有通过安全检查时所能访问的网络资源。华赛TSM网络准入控制网关部署在云南电网公司数据中心和互联网资源核心交换机上, 而玉溪供电局的局域网资源处于认证前域, 接入玉溪供电局的终端无需经过身份认证和安全检查即可访问玉溪供电局的网络资源, 对终端的准入控制粒度较粗, 存在信息未经授权非法访问、数据泄露的风险。
2) 系统部署结构单一, Agent客户端无法实现异构系统的网络准入 (如Linux) 。云南电网华赛TSM网路准入控制系统采用了PKI/CA数字证书进行身份认证, 目前客户端Agent仅支持Windows系统, 对于Linux系统终端、Android、i OS移动终端无法通过PKI/CA数字证书进行准入, 极大地限制了这些移动设备的使用。而BYOD (Bring Your Own Device) 模式的兴起, 给企业的信息化工作带来了新的挑战。目前云南电网TSM网络准入系统还无法有效地对移动设备实施准入控制, 为不断适应信息技术的发展的要求, 不断对TSM网络准入系统进行完善是非常必要的。
3) 存在多主机模式。在TSM网络准入控制系统日常的维护中发现, 如果某个会议、培训需要临时开通无线网络时, 信息中心一般通过架设一个普通的无线AP或者一个充当HUB作用的交换机, 为这些会议和培训提供网络服务, 当接在这台HUB或AP上的一台终端通过认证并授权后, 这台HUB或AP后面任意数量的终端都可以访问网络, 这种现象在网络准入中称之为多主机模式。这种情况的出现削弱了网络准入系统的控制能力, 因此企业必须严格控制无线AP及HUB的使用。
4) 无线网络准入控制。由于无线网络是以电磁波来传输数据, 也带来了不容轻视的信息安全问题。从根本上讲, 无线网安全问题的根源在于无线网络信号的空间扩散特性。802.11无线网络的物理特征决定了其不可能阻止未经授权的第三者监听网络数据, 用户的网络接入也并不能像有线网络一样受到企业围墙大门的保护。当前企业无线网络安全威胁类型主要有以下4类:未授权用户非法访问服务;通过窃听、截取用户数据包, 盗取账号、密码等关键数据, 造成隐私信息外泄;攻击无线网络设备, 获取网络相关权限, 篡改网络相关配置或策略, 降低网络安全防护能力;带病毒主机接入无线网络将病毒木马引入企业内部, 严重危害企业信息系统安全。
无线网络的准入需要考虑2方面的因素:一方面是无线AP的准入、检测与定位;另外一方面是接入到无线网络终端的准入。对于接入到无线网络终端的准入, 利用现有的网络准入系统即可实现。但对于无线AP的准入、检测与定位, 现有的网络准入系统还不具有此功能。而在目前企业的网络管理中, 经常出现用户私接AP现象, 如果AP的设置不当, 往往会造成在同一个子网的用户获取了错误的IP地址, 出现无法访问网络的情况发生。因此, 为了实现无线AP的准入、AP的检测与定位、非法AP攻击的自动阻断, 可以通过部署无线入侵防护系统作为现有的网络准入系统的补充, 实现只有经过MAC地址认证成功的无线AP才能正常接入网络, 未经授权而认证失败的无线AP即使物理连入网络也将无法与网络交换设备进行正常通信, 从而做到无线网络准入从“被动发现监控”到“主动人为授权控制”, 从源头上主动消除私接AP安全隐患, 保障无线网络接入安全。
5) 对虚拟化应用的支持。虚拟化技术对终端的网络准入控制提出了更高的要求。网络准入控制系统很容易实现防止违反策略的物理终端接入网络, 但如何实现虚拟化终端的准入控制, 是TSM网络准入控制系统需要解决的一个问题。目前, 服务器虚拟化、桌面的虚拟化技术已经很普遍, 若网络准入控制系统无法区分真实网卡与虚拟网卡, 仅通过一刀切的方式禁用虚拟机 (虚拟网卡) 使用网络, 显然会影响到用户正常的网络接入。
6 结语
准入控制 篇10
1 概述
终端既是网络行为的执行者, 也是网络行为的发起者, 更是网络信息实现交流的最前沿, 因此终端的安全成为制约信息安全的瓶颈。 随着人们安全意识的增强, 网络安全问题也逐渐被重视, 企业在网络防护方面也投入了大量的精力和资源, 尤其在防火墙、 入侵检测等网络边界防护上。 但是据CERT报道, 在所有的计算机网络安全问题中, 有90%以上的案件都是由于终端管理不善导致的, 如计算机自身软硬件安全问题、 运行安全问题、 信息安全问题等都会对信息安全造成威胁。
目前大多数企业构建的还是开放式的网络, 虽然网络出口处部署了防火墙、 IPS、 防病毒、 防毒墙等安全设备, 但是网络安全事件依然层出不穷。 企业内部网络接入层采用开放式的网络架构, 给企业业务开展确实能够带来很多便捷, 但也带来了严重的安全风险, 随着IT技术的快速发展, 各种网络应用的日益增多, 病毒、 木马、 蠕虫以及黑客等等不断威胁并入侵企业网络。而企业内部终端设备众多, 终端使用的人, 水平参次不齐同且人员流动性较大, 用户的安全意识都非常薄弱, 伪造用户登录、滥用资源、 病毒木马攻击、 随意安装应用程序、 信息泄密、 网络连接威胁、 恶意破坏终端等安全问题不胜枚举, 对企业的信息安全管理造成极大的威胁。 因此企业要重视终端安全管理体系建设, 要不断引进先进的网络技术来保障企业的终端安全, 以提高企业网络的整体安全防御能力和企业的信息安全保密程度。
2 引入与工作原理
当前网络安全问题已经成为信息安全的主要威胁, 虽然人们在防火墙、 VPN、 IDS、 杀毒软件以及IPS等软硬件上进行了大量投资, 但是网络安全威胁问题依然没有得到有效的解决, 针对这一困境, 诞生了新的安全理念。 20 世纪90 年代, 西方发达国家率先提出了可信计算、 主动防御等观点, 他们认为计算机安全问题应该回归终端, 倡导研究以终端为核心的安全防御技术手段来解决信息安全问题。 同时很多安全厂商也开始进行了终端安全研究, 如自我防御网络和安全渗透网络等都是终端安全的具体体现, 并且安全厂商不约而同的将准入控制技术作为重要的技术实现方式, 其中最典型的代表就是由思科发起, 众多厂商参与的网络准入控制技术计划, 对终端安全控制提出了全新的思路和有效的方法。
网络准入控制的目的在于防止蠕虫和病毒等黑客攻击电脑技术对企业的信息安全造成威胁, 通过网络准入控制技术, 使经过授权的、 安全的、 合法的、 值得信任的终端设备可以接入企业网络, 但是未经授权的终端设备将无法接入企业网络。 网络准入控制技术将内网安全防护策略划分为内网边界安全防护、 安全威胁防护以及外网移动用户安全接入防护, 是一个全新的系统构架。 其中内网边界安全防护是指对内网以外的所有安全威胁进行防护, 内网安全威胁防护是指对网络内部的所有安全威胁进行防护, 外网移动用户安全接入防护是指公司内部的移动用户在不同的网络环境之下都能保证企业网络的安全以及自身移动终端的安全。 因此, 只有通过网络准入控制技术建立完善的终端安全管理体系, 才能保障企业的网络安全。
3 技术实现
网络准入控制技术将资源访问控制策略作为系统核心, 通过设备联动区、 策略控制区以及用户区3 个方面对企业网络实现全方位的控制与管理。 (1) 用户区通过安装准入控制模块, 以实现用户身份认证、 安全检查和策略系统联动进行终端控制与用户控制。 (2) 设备联动区通过对路由器、 交换机以及防火墙、 IDS等进行改造, 使之能够实现与安全策略控制区的联动, 完成基本数据的交换、 策略接收、 策略执行、网络监测信息上传等功能, 能够起到隔离问题终端设备、 强制用户入网认证、 为认证合格用户提供安全网络的作用。 (3) 资源访问控制策略系统作为策略控制区的核心, 通过与补丁服务器、 防病毒服务器、 DHCP服务器、 终端安全策略服务器、 网管服务器、 基础信息数据库等设备进行联动, 负责进行策略部署与下发、 内容审核、 资源访问、 安全评估以及身份认证等任务, 也是网络准入控制系统的中心枢纽。
当终端用户准备接入企业网络的时候, 安装在客户终端上的准入模块就会主动收集客户端的病毒版本、 系统补丁、 基础配置等信息, 并自动上传基本信息到资源访问策略控制系统, 资源访问策略控制系统就会根据上传的信息对用户的身份认证以及安全策略进行比对检查。 检查完成后, 非法用户将会被企业网络拒绝, 合法用户但终端存在安全问题的将被限制在特定网络区域, 资源访问策略控制系统就会提示问题终端进行病毒库升级、漏洞修复、 终端认证信息检查等行为, 问题终端设备完成修复后又会被准入模块接入资源访问控制策略系统进行认证, 合法又合规的终端用户就能够在系统权限内实现正常的网络行为, 用户网络资源使用情况将会被安全策略服务器进行实时监控。
4 企业应用
随着信息化时代的到来, 人们对信息安全程度的要求不断提高, 现有的网络防火墙、 IDS等无法满足企业网络安全的更多需求, 因此网络准入控制技术从诞生之日起就受到广泛的关注与应用, 尤其受到对信息安全要求较高的企业追捧。网络准入控制技术有利于完善企业终端安全防护体系, 确保企业网络系统的安全。
4.1 产品原则
(1) 要选择优质的产品。 产品必须要具有良好的网络环境适应性, 要避免选择对现有网络改造较多的的产品; 要选择成熟的网络准入控制方案, 要能实现快速部署, 在终端上最好不要安装客户端, 要便于终端用户的接受与使用, 要便于管理, 减少终端管理的工作; 产品本身需要具备良好的逃生方案, 要具备良好的可扩展性, 安全检查引擎要能够及时升级; 产品需要具备终端认证、 安全修复、 以及访问控制等一站式服务体系, 产品要具备完整的功能体系, 要适用于企业的实际情况。
(2) 要选择实力较强的安全厂商。 企业网络准入控制技术项目的建设, 必须要具有工作经验丰富、 专业实力深厚的管理服务团队为支撑, 只有实力厚的安全厂商, 才拥有专门的完整技术团队, 才能为网络准入控制项目建设的企业提供优质、 专业的服务。 在某种程度上可以说产品的技术服务要比产品自身更为重要, 因为在产品项目建设前期, 需要经验丰富的技术人员对产品网络准入系统进行方案规划, 在项目建设过程中, 需要有完整的项目建设计划与管理制度, 在项目建设结束以后还需要完善的售后服务体系, 以便及时解决项目建设在企业实施过程中的各种难题。 因为这些要求相对较小的安全厂商来说是很难办到的, 因此除了要重视产品本身的功能外, 还要重视对安全厂商的考察。
4.2 建设步骤
(1) 要明确网络准入控制建设要达到的目标。 要明确企业网络存在的问题与威胁, 要深入分析网络准入控制保障的对象及可能造成的积极影响与消极影响, 要权衡利弊。 只有当网络准入控制技术能够解决企业网络安全防护问题、 适合企业实际需求、 减少终端用户使用负担并且给企业带来的好处大于对其付出的成本时, 网络准入控制项目的建设才具有实际的意义。
(2) 要明确企业网络准入控制项目的实施对象和范围。通常网络准入控制产品厂商会为项目建设企业提供一个参考的项目实施范围, 企业再根据自身的实际需求, 与厂商进行讨论, 将网络准入控制项目建设包含的内容进行分析, 权衡利弊与实际需求, 综合考虑多方面因素确认范围是否合理, 是否有需要增删的地方。
(3) 要选择合适的网络准入控制系统。 网络准入控制项目建设的实施范围确定以后就要立即开展网络准入控制系统的选择工作。 由于网络准入控制技术可以在企业网络中的任何位置上进行, 因此提前确定执行点对于项目建设来说是非常重要的, 执行点的问题也成为网络准入控制项目建设最重要的设计问题之一。 从当前的实施应用情况来看, 执行点一般被设在企业的内联上。 项目建设企业需要根绝自身实际情况的需要选择执行点, 但是不能对终端用户的使用造成困扰。
(4) 进行成本分析和测试。 网络准入项目建设的成本高低通常取决于企业的设计选择, 因此项目建设企业需要根据项目实施的成本和方法来衡量自己的设计选择是否正确。 例如, 在企业网络中插入一个独立的准入控制设备虽然不会花费给很多的时间和精力, 但是其配置成本将会非常高昂, 因此在方案设计上要考虑建设备份单元以应对主要单元实效。通过这样的方法对网络准入控制项目建设设计进行调整后, 一定要在付款之前将产品用于企业网络测试, 通过测试了解产品是否能与企业的需求相一致。
(5) 实施网络准入控制项目建设。 主要就是通过搭建与服务器、 交换机全局配置、 终端配置、 交换机端口配置等设备之间的联系, 从而实现对企业网络的控制。 在项目实施之前, 企业需要考虑项目负责人, 内部工作部署及效果评价等问题。
5 结语
网络准入控制技术在企业中的应用, 对规范企业终端的入网流程和标准、 对终端的差异化安全管理, 以及在PDCA管理框架下对终端安全短板不断地进行修复和提升、 减少网络和终端的信息安全隐患的系列问题上, 对提升企业网络的终端安全与信息安全具有非常重要的意义和作用。
摘要:网络准入控制技术是企业实现终端安全管理的重要途径之一, 有助于弥补防火墙、入侵检测等网络安全系统的不足。从终端安全问题概述着手, 简述了网络准入控制技术的引进、工作原理和实现路径, 分析了网络准入控制在企业中的实际应用情况。
关键词:网络准入控制,技术应用,企业网络
参考文献
[1]刘佳.关于终端安全管理问题的研究——以盐城地税为例[D].苏州大学, 2012.
[2]钱杨.企业网网络准入控制及终端安全防护研究[D].华南理工大学, 2012.
[3]马岩岩.网络准入控制让企业网络更加安全[J].2011, (10) :66-67.
