随着信息时代的到来,绝大多数的企事业单位使用计算机来管理企业内外的资源,如企业内部使用的一些信息管理系统(OA、ERP、CRM等),大大提高了企业的工作效率。随着近几年网络安全技术的发展,人们也使用了防病毒、防火墙、入侵检测和漏洞扫描等安全措施,来提高企业的网络信息化安全。但是,网络安全仍然存在诸多隐患。现在日益突出的问题是:由企业内部引发的安全问题。企业内部局域网的不断扩建,这给企业的局域网管理带来了很大的压力和挑战。这就要求我们极度重视计算机本身的安全控制问题。
企业局域网管理面临的问题
计算机终端由于其分散性、不被重视性、安全手段缺乏等特性,已成为安全体系的一个薄弱环节,一旦失控,将严重威胁整个网络的安全。如以下情况:
内部员工的非授权访问:没有预先经过同意,就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。
计算机的登陆控制问题:内部会出现假冒他人身份,未经授权而非法使用他人计算机的情况;
信息资源的管理:由于出现越权访问,使得企业的一些重要资源泄露;
员工经常在上班时间玩游戏,办理个人私事,比如上网聊天、购物等情况,管理员很难控制;
由于个别或几个员工从互联网下载,导致整个局域网的网速缓慢,影响企业的正常工作;
针对以上局域网管理普遍存在的问题,很多企业都需要一套基于局域网管理的安全访问控制解决方案。下面以时代亿信的解决方案为例,从部署到应用,使大家了解整个安全访问控制的过程。此套安全访问控制解决方案是基于PKI理论,以软硬件结合的方式,通过统一的控制服务器实现访问策略的集中管理。
1、系统部署:
时代亿信提出的局域网解决方案是基于CA和数字证书的,首先需要的局域网内部部署一台CA服务器,用来给企业用户发放数字证书(也可考虑采用向第三方CA机构申请数字证书的方式,在此建议企业考虑自建CA的方式);另外需要部署两台服务器,一台作认证服务器用于对终端用户的身份进行认证;另一台安装时代亿信的终端访问控制软件,作访问控制服务器用,在访问控制服务器上进行集中的部署,定制安全策略实现对客户端计算机的安全管理。
系统部署如下图所示,通过安全控制中心实现了对局域网客户端进行集中的管理。
 |
| 系统部署图 |
2、业务结合
在企业局域网中部署了时代亿信的终端访问控制系统,实现了局域网的安全访问控制,给网管人员大大减轻了工作负担。具体功能如下:
登录控制:通过局域网管理员在访问控制服务器上配置,可以授权不同的用户对终端的访问控制,实现MAC+IP+SecureKey的绑定;对终端机的访问采用软硬件结合的方式进行认证:企业局域网内的每个终端用户都有自己的数字证书,证书存放在SecureKey(USB智能卡)中,用户登录个人PC必须使用SecureKey,一旦将SecureKey从计算机上拔出,系统会自动锁定或注销。这样有效的防止了局域网内非法使用机器;
应用控制:控制服务器可以灵活的控制每台PC终端运行的程序,比如可以设定:允许A用户上网,不允许B用户上网等。主要采用黑白名单对终端使用的应用程序进行管理:
白名单:指定允许终端用户运行的程序列表,如各种应用软件;
黑名单:禁止终端用户访问的各种进程列表,如qq.exe等;
访问控制:要实现对终端的存储设备(光驱、软驱及USB接口等)的安全管理,通过在控制服务器的部署,可是实现各终端对存储设的访问控制,如:可设定某一终端禁止访问光驱、软盘等;还可实现对局域网的一些公用设备的管理,比如设定不允许某个用户使用打印机等;
终端保护:可通过终端控制服务器实现对各个终端机的监控,比如网络准接入控制,防止非法终端接入网络;进行注册表保护,防止木马等恶意程序篡改;服务器可掌握每台终端的补丁信息,以便及时弥补漏洞等等;
审计分析:在终端控制服务器上可以提供系统日志、认证日志、报警日志等多种报告分析,为管理员提供了安全分析依据;日志根据情况可划分为多个级别(如紧急、警报、严重、警告等),当终端用户多次启动禁止其访问的应用程序,系统会有告警,告警方式可选择(如电子邮件、声音等);
3、应用效果
这种局域网访问控制解决方案,有效地解决了大多数企业面临的局域网终端管理问题,减轻了管理员的负担,同时在局域网的建设中有更好的规范作用。
