探索内网终端安全管理系统在烟草的应用论文
摘要:随着邢台烟草信息化建设的发展,终端网络用户规模扩大,保护内网边界,降低终端安全隐患,保障内网安全尤为迫切。内网终端安全管理系统通过入控制技术和终端管理技术相结合,进行用户行为控制和应用管理,实现了网络管理从路由交换层延伸到了网络终端,解决了企业内网终端安全管理问题。同时提高了信息化资产管理效率,减轻了运维的压力。
关键词:终端管理;安全;应用
伴随邢台烟草业务发展和业务信息化建设的深入,现有网络规模不断扩大,连入邢台烟草内部网络(内部网络全文简称内网)的计算机数量逐年增加。随之而来安全问题与日俱增,不单单只是影响了内网用户自己,更为严重的是可能导致网络瘫痪,从而使整个业务不能正常开展。面对上述安全隐患,邢台烟草采用终端安全控制技术,部署内网终端安全管理系统,加强对网络终端的统一安全管理,保护内网的安全。
1邢台烟草内网现状
邢台烟草内网由机关网络和19个下属单位网络两部分组成,与外网物理分离。市公司机关网络采用双星形网络架构,核心设备有冗余。中心机房服务器及房服务器核心交换机、机关楼层网络直接接入核心交换,下属单位网络通过路由器接入核心交换。机房在关键出口和网段都部署防火墙、入侵检测、防病毒网关等安全设备。大部分用户终端安装网络版的杀毒软件,采用静态固定IP地址访问网络,没有任何接入控制措施。因为终端引发的内网安全问题不断出现,除了危害终端自己外,更为严重的是可能导致网络瘫痪,影响信息系统的正常运行。
2邢台烟草内网安全建设需求
2.1终端合法性验证需求
由于现有网络没有准入控制,外来设备的接入无法控制,只能靠规章制度管理。假如这个漏洞被外来人员或者木马利用,就可以访问内网任何资源,也可进行任何攻击,或者窃取公司的重要的数据和信息。这使得在网络入口进行身份认证显得尤为必要,确保只有合法身份的用户才能进行正常的网络访问。
2.2终端安全性判断需求
公司内网存在一定量的不符合安全策略的终端(比如如补丁更新不及时、未按要求装防病毒软件、病毒库升级不及时、系统配置有缺陷等)计算机,一旦被攻克,很可能带有各种各样的安全缺陷,导致网络或系统瘫痪。
2.3降低终端管理需求
当前对终端的管使用人工管理,造成网内终端软硬件资产统计费事费力,难以及时跟踪终端设备的资产变化,造成设备管理的混乱。由于没有升级服务器,也不能上外网,现有系统升级包和补丁分发升级完全依赖人工,不但人力成本投入大,而且导致升级时间滞后,存在很大的安全隐患。因此,采用部署终端管理技术进行集中管控,使信息人员有更大精力投入到安全中来,减轻运维压力。
2.4支持多种准入控制方式需求
考虑到未来不同的终端设备(桌面终端、手机、平板等)需要不同的应用场景或技术限制,需要网络支持不同的准入控制技术去适应不同的终端设备,以确保网络准入控制的覆盖率。
3邢台烟草内网终端安全管理系统的实现
3.1系统架构
内网终端安全管理系统主要由上层的网络准入层、中层的控制层和底层的终端管理构成。由终端的客户端进行集中的身份验证、安全扫描等;运维人员可以在中控分析报告、配置安全标准和管理策略;底层的终端管理实现远程维护、补丁管理、软件定制、资产管理等功能对终端设备集中管控。
3.2系统部署方式
该系统硬件由核心服务器、准入控制器、补丁服务器、无线控制器和无线接入点构成。相关的'硬件安装在旁路,不需要改动当前的网络拓扑,没有形成新的络故障点。由于大部分网络设备支持802.1x,并且它的认证方式的控制力度强,因此终端设备采用802.1x认证的方式接入网络,。
4邢台烟草内网终端安全管理系统应用效果
通过内网终端安全管理系统应用实现了对所有终端进行管理和控制,符合邢台烟草适合当前信安全息工作需要,为信息安全管理提升提供了技术支撑。
4.1有效的保护了内网的边界
内网终端安全管理系统不依赖于现有网络基础架构,旁路接入,使现有的网络无需做任何改动,实现集中的管理用户终端对其所访问网络的限制。而终端想要接入到内网时,内网终端安全管理系统首先强制验证身份,否则无法获得使用网络的权限;然后身份验证没有问题的终端也必须评估终端的健康状态;最后是只有合法身份并且符合管理要求的终端方能访问内网资源。为减少对网络资源的占用,定期检测终端的安全状态,对不合规的终端按照实际的需要,系统提供一定修复的机制,从而达到防护内网边界的目的。
4.2方便了信息资产管理,减轻了运维的压力
终端的管理是一项费时费力的工作,通过该系统对资产实现了统一管理,统计工作简单了,可以实时关注信息资产的变化。面对对数量众多的、最难以管理的桌面终端建立了安全加固、集中维护的安全管理体系,当出现问题时,通过远程控制协助处理,减少信息人员的工作强度,降低了维护成本。
4.3使用了多种管理手段,提高安全能力
内网终端安全管理系统把网络管理延伸到了使用者的终端,通过终端管理、策略管理、补丁管理、安全管理等功能,有效的切断了绝大多数病毒传播途径,缩短了对系统补丁从发布到安装之间的时间差,实现了对用户终端的统一管理和控制,大大地增强了终端的安全系数,使内网的安全进一步强化。
5结语
内网终端安全管理系统整合了准入控制和终端管理这两种技术,实现了内网管理从路由交换层延伸到网络接入层,增强了终端的安全,从而整体提高网络的安全性能。该系统从多个方面满足对于信息安全防护的需求,将成为邢台烟草信息安全防御体系中重要的一环,为信息安全工作打下了坚实的基础。
参考文献
[1]杨永兴.网络准入系统在供电企业的应用研究[J].信息通信,2017(1)
[2]胡海波.网络准入技术研究[J].中国信息化,2014(7).
[3]高翔,刘梦伦,廖捷[J].基于网络准入控制的内网安全防护方案探讨.网络安全技术与应用,2016(1).
【探索内网终端安全管理系统在烟草的应用论文】相关文章: