企业内网的终端接入安全管理系统的设计与实现

摘要

随着企业信息化的不断发展,对网络安全的要求也随之不断提高。网络安全是相对的,网络开放互连、设备引进、新技术引入等多种因素的存在等造成了网络的脆弱性。当大型企业网络由封闭的、基于电路交换的系统向基于开放、IP数据业务转型中,安全及管理问题更加暴露。实现可信接入是网络安全的基础,也是近年来安全业界的一个热点。如何确保接入的节点是可信而且安全的,是任何一个企业信息系统在设计和运维时都必须考虑的难题。安全的接入管理应该能够确保用户在接入时满足终端安全策略的要求即通过健康体检,并且一旦出现健康状况不满足安全策略时即被限制访问和要求修复。
　　 本文提出了基于SNMP、802.1x、ARP/RARP等协议的接入管理方法,它结合交换机接入管理、802.1x接入管理、IP地址管理、安全访问控制器、客户端网络访问控制及与第三方安全产品联动多种控制方式,并实现了节点扫描、接入控制、非法阻断、IP保护、IP资源管理等功能。本文主要研究成果有四个方面:
　　 (1)实现了一个基于多种接入控制技术的内网安全管理平台,系统通过对内网接入设备的自动发现、认证,对终端设备实施强制措施。用户自定义接入策略,对于不符合要求或者已经存在风险的终端能及时发现、定位并迅速隔离或阻断,避免对整个网络造成更大的危害。
　　 (2)分析了企业内网常见安全问题,比较了各种接入管理技术、国内外同类产品的优势、局限和应用场景。
　　 (3)提出了综合接入安全管理的策略,解决应用单一接入控制手段时容易被攻破或绕开的问题,实现了多种接入控制手段的一体化。通过构建纵深防御的安全体系,在攻击者成功地破坏了某个保护机制的情况下,其它保护机制能够提供附加的保护。
　　 (4)解决了安全产品本身的安全性问题,通过采用分布式部署的架构设计、采用专用操作系统和硬件平台、进行系统安全加固等手段,保障了安全系统的高可用性。