邢台烟草内网终端安全管理系统的实现

所属分类：建筑论文阅读254次时间：2017-11-22 13:56

本文摘要：这篇烟草发展论文发表了邢台烟草内网终端安全管理系统的实现，随着网络规模的不断扩大，内网一般是一个团体人员独立使用的网络，内网管理系统是通过控制技术和终端管理技术相结合，实现用户的控制和应用管理，结局了企业内网终端安全管理问题，保证了内网的安

　　这篇烟草发展论文发表了邢台烟草内网终端安全管理系统的实现，随着网络规模的不断扩大，内网一般是一个团体人员独立使用的网络，内网管理系统是通过控制技术和终端管理技术相结合，实现用户的控制和应用管理，结局了企业内网终端安全管理问题，保证了内网的安全。

中国烟草学报

　　关键词：烟草发展论文,终端管理,安全

　　伴随邢台烟草业务发展和业务信息化建设的深入，现有网络规模不断扩大，连入邢台烟草内部网络(内部网络全文简称内网)的计算机数量逐年增加。随之而来安全问题与日俱增，不单单只是影响了内网用户自己，更为严重的是可能导致网络瘫痪，从而使整个业务不能正常开展。面对上述安全隐患，邢台烟草采用终端安全控制技术，部署内网终端安全管理系统，加强对网络终端的统一安全管理，保护内网的安全。

　　1邢台烟草内网现状

　　邢台烟草内网由机关网络和19个下属单位网络两部分组成，与外网物理分离。市公司机关网络采用双星形网络架构，核心设备有冗余。中心机房服务器及房服务器核心交换机、机关楼层网络直接接入核心交换，下属单位网络通过路由器接入核心交换。机房在关键出口和网段都部署防火墙、入侵检测、防病毒网关等安全设备。大部分用户终端安装网络版的杀毒软件，采用静态固定IP地址访问网络，没有任何接入控制措施。因为终端引发的内网安全问题不断出现，除了危害终端自己外，更为严重的是可能导致网络瘫痪，影响信息系统的正常运行。

　　2邢台烟草内网安全建设需求

　　2.1终端合法性验证需求

　　由于现有网络没有准入控制，外来设备的接入无法控制，只能靠规章制度管理。假如这个漏洞被外来人员或者木马利用，就可以访问内网任何资源，也可进行任何攻击，或者窃取公司的重要的数据和信息。这使得在网络入口进行身份认证显得尤为必要，确保只有合法身份的用户才能进行正常的网络访问。

　　2.2终端安全性判断需求

　　公司内网存在一定量的不符合安全策略的终端(比如如补丁更新不及时、未按要求装防病毒软件、病毒库升级不及时、系统配置有缺陷等)计算机，一旦被攻克，很可能带有各种各样的安全缺陷，导致网络或系统瘫痪。

　　2.3降低终端管理需求

　　当前对终端的管使用人工管理，造成网内终端软硬件资产统计费事费力，难以及时跟踪终端设备的资产变化，造成设备管理的混乱。由于没有升级服务器，也不能上外网，现有系统升级包和补丁分发升级完全依赖人工，不但人力成本投入大，而且导致升级时间滞后，存在很大的安全隐患。因此，采用部署终端管理技术进行集中管控，使信息人员有更大精力投入到安全中来，减轻运维压力。

　　2.4支持多种准入控制方式需求

　　考虑到未来不同的终端设备(桌面终端、手机、平板等)需要不同的应用场景或技术限制，需要网络支持不同的准入控制技术去适应不同的终端设备，以确保网络准入控制的覆盖率。

　　3邢台烟草内网终端安全管理系统的实现

　　3.1系统架构

　　内网终端安全管理系统主要由上层的网络准入层、中层的控制层和底层的终端管理构成。由终端的客户端进行集中的身份验证、安全扫描等;运维人员可以在中控分析报告、配置安全标准和管理策略;底层的终端管理实现远程维护、补丁管理、软件定制、资产管理等功能对终端设备集中管控。

　　3.2系统部署方式

　　该系统硬件由核心服务器、准入控制器、补丁服务器、无线控制器和无线接入点构成。相关的硬件安装在旁路，不需要改动当前的网络拓扑，没有形成新的络故障点。由于大部分网络设备支持802.1x，并且它的认证方式的控制力度强，因此终端设备采用802.1x认证的方式接入网络，。

　　4邢台烟草内网终端安全管理系统应用效果

　　通过内网终端安全管理系统应用实现了对所有终端进行管理和控制，符合邢台烟草适合当前信安全息工作需要，为信息安全管理提升提供了技术支撑。

　　4.1有效的保护了内网的边界

　　内网终端安全管理系统不依赖于现有网络基础架构，旁路接入，使现有的网络无需做任何改动，实现集中的管理用户终端对其所访问网络的限制。而终端想要接入到内网时，内网终端安全管理系统首先强制验证身份，否则无法获得使用网络的权限;然后身份验证没有问题的终端也必须评估终端的健康状态;最后是只有合法身份并且符合管理要求的终端方能访问内网资源。为减少对网络资源的占用，定期检测终端的安全状态，对不合规的终端按照实际的需要，系统提供一定修复的机制，从而达到防护内网边界的目的。

　　4.2方便了信息资产管理，减轻了运维的压力

　　终端的管理是一项费时费力的工作，通过该系统对资产实现了统一管理，统计工作简单了，可以实时关注信息资产的变化。面对对数量众多的、最难以管理的桌面终端建立了安全加固、集中维护的安全管理体系，当出现问题时，通过远程控制协助处理，减少信息人员的工作强度，降低了维护成本。

　　4.3使用了多种管理手段，提高安全能力

　　内网终端安全管理系统把网络管理延伸到了使用者的终端，通过终端管理、策略管理、补丁管理、安全管理等功能，有效的切断了绝大多数病毒传播途径，缩短了对系统补丁从发布到安装之间的时间差，实现了对用户终端的统一管理和控制，大大地增强了终端的安全系数，使内网的安全进一步强化。5结语内网终端安全管理系统整合了准入控制和终端管理这两种技术，实现了内网管理从路由交换层延伸到网络接入层，增强了终端的安全，从而整体提高网络的安全性能。该系统从多个方面满足对于信息安全防护的需求，将成为邢台烟草信息安全防御体系中重要的一环，为信息安全工作打下了坚实的基础。

　　参考文献

　　[1]杨永兴.网络准入系统在供电企业的应用研究[J].信息通信，2017(1)

　　[2]胡海波.网络准入技术研究[J].中国信息化，2014(7).

　　[3]高翔，刘梦伦，廖捷[J].基于网络准入控制的内网安全防护方案探讨.网络安全技术与应用，2016(1).

　　作者：安英林单位：河北省烟草公司邢台市公司

　　推荐阅读：《中国烟草学报》(双月刊)创刊于1992年，由中国科协主管，中国烟草学会主办的覆盖烟草工业、农业、经济管理及相关领域的学术期刊。