网络准入控制技术在企业园区网络中的研究与应用

张宝玉 张馨天

摘要：网络准入控制（Network Access Control，NAC）是一种新型的安全防御技术，通过对终端实施身份认证、安全检查、权限分配来有效解决因不安全终端接入网络而引起的安全威胁，保护网络的安全。本文结合在工业企业部署的网络准入控制系统的实际应用，研究分析其技术背景、实施过程、实施效果等，介绍了一种新型网络准入控制技术。

关键词：准入控制;终端安全检测;网络安全

中图分类号：TP319 文献标识码：A 文章编号：1007-9416（2020）08-0187-03

如何加强企业园区网络终端的安全管理，防范来自企业内部的各种网络威胁与风险，是所有企业在进行信息化和智能制造建设急需解决的安全问题。为了确保企业内部网络的安全、高效运转，企业必须结合自身实际选择一种行之有效的网络安全方案来对企业的终端用户和网络资源进行有效的防护。网络准入控制技术因其兼顾终端安全检测与网络访问权限控制的双重功能，成为企业信息化园区网络建设的重要安全技术和手段得到了广泛应用。

1 网络准入控制技术的简介

网络准入控制技术是指对网络的边界进行保护，对接入网络的终端和终端的使用人进行认证和合规性检查，其主要目的是防止病毒、木马、蠕虫及各类黑客技术对企业网络信息安全造成危害。网络准入控制主要思路是：终端接入网络之前根据预定的合规检测项目对其进行合规检查，只允许符合安全规范的终端接入网络，不安全的终端将被放入隔离区，不允许访问除安全服务外的其他网络资源，直到这些终端符合网络内的安全策略为止[1]。

2012年由Gartner发布的数据报告就指出，在网络准入应用的第一波浪潮（2003～2006年）中，主要的网络准入管理策略是针对终端的系统配置（如操作系统补丁是否更新、杀毒软件是否安装等）。在2007年，网络准入应用进入了第二波浪潮，主要关注点变为了对来宾设备如何提高简便易行的认证和控制，进而搭建出灵活的访客网络环境。在2011年网络准入技术的第三波浪潮中，随着移动办公的逐步普及，提出了对员工的移动办公设备提供“有限访问区”的控制要求。Gartner认为，这次的第三波网络准入应用浪潮将是有史以来最为强劲的一次[2]。

2 企业网络准入控制的实施

下面结合实践，介绍一种工业企业园区网络准入控制系统的实施方案。

2.1 网络准入控制的管理需求

随着企业信息化和智能制造建设的不断深入，企业内部计算机网络的规模不断增大，网络终端的数量不断增加，终端类型向着移动化发展，有线网络和无线网络应用齐头并进。网络的管理复杂性和难度不断加大。企业员工的个人水平与素质也参次不齐，大部分员工缺乏网络安全方面的专业知识，安全意识薄弱，出现了无口令或弱口令登录，滥用、随意共享网络资源，病毒，木马感染增多，随意下载和安装来历不明软件等安全问题，给企业网络信息安全带来了严重的威胁，只有全面提高管理能力，引进先进的网络安全技术，才能有效的保障企业计算机网络的安全[3]。

综上所述，企业园区网络安全管理的需求可以概括为以下几点：（1）实现严格的实名认证，保证保障每一台入网的网络终端都有备案和责任人。（2）实现有线、无线网络全覆盖。（3）采用灵活方便的认证方式，尽量减少用户负担，可实现访客友好登录。（4）对网络终端进行严格的安全检查，自动隔离不安全网络终端。（5）严格执行网络资源访问控制，保护好企业内部信息安全。（6）实现灵活的方便的用户管理，用户可在不同区域可获得相同的网络访问权限。

2.2 基于MAC优先的PORTAL认证

基于MAC优先的PORTAL认证模式首先需要建立好用户数据库，当用户首次登陆网络时需要输入员工编号和登陆默认密码，首次登陆需要修改个人秘密，系统会自动记录员工登陆的终端电脑MAC地址，并将员工信息与MAC地址绑定。默认情况下每个员工只允许绑定一台终端设备，如果有特殊需要可以申请新的MAC地址许可。用户再次登陆网络时系统如果能够查询到用户终端的MAC 地址，该终端即可自动认证，不需要用户重新输入登陆信息，也不需要在用户终端上安装任何准入软件。这样就实现了用户的实名认证，同时也最大限度的减少了员工的操作和终端电脑的负担。

2.3 与终端杀毒软件联动实现终端安全状态检查

在用户身份信息得到准确的认证后，必须对用户终端的安全状态进行检查，只有满足安全要求的终端才可以接入园区网络访问相应网络资源，对不符合安全规范的终端应该进行网络隔离，直至符合安全规范后方可恢复其网络访问权限。

本方案中采用的是网络准入控制系统与终端杀毒软件系统联动的机制来实现终端安全检查。网络准入系统在得到用户发出的认证信息后，会到网络杀毒软件控制台检索该终端的安全状态，反馈结果包括：合格、不合格、未安装。只有检查结果为合格的终端才会分配网络访问权限允许接入网络，反馈结果为不合格和未安装的终端将被划入隔离区，只能访问防病毒服务器和补丁分发服务器，直至安装、修复、检查结果合格后方可重新接入网络。

这里需要特别指出的是可以根据网络终端的不同用途，在杀毒软件中定制不同安全检查模板，例如：禁用U盘，禁止安装非法软件等，以便更精准的保障各类终端设备的安全。

2.4 基于安全组策略的网络访问权限分配和业务随行功能

在完成网络终端身份认证和终端安全检查合格后，最后一步就是按照安全组策略的规划给进入园区网络的终端分配相应的网络访问权限，以最大限度的保障企业的信息安全。

本方案采用的基于安全组的网络控制策略，较传统基于IP和VLAN的ACL访问控制策略具有较大差别，其工作原理如图1所示。

该访问控制方式最大的特点是将控制策略与IP地址和VLAN拖钩，可实现同一用户在不同区域的网络访问权限相同。这样既保证了网络访问权限的有效控制，同时也降低的网络管理员的维护工作量。

在进行网络安全组的划分之前，首先要进行网络访问权限的收集，我们可以下发网络权限统计表。表的横项目为网络中的可访问资源，纵项目为各单位的员工姓名，需要各单位根据工作需要，在员工需要访问的网络资源下画√，然后根据统计上来的网络权限将具有相同权限的员工规划到一个安全组分配相同分网络访问权限。

2.5 终端入网流程图

本方案的網络准入控制流程图如图2所示。

3 网络准入控制系统上线后的效果

本方案实施后达到了以下的管理效果：（1）实现了入网终端的全部实名认证，杜绝非认证终端的非法接入。（2）实现了用户终端安全状态的监控和管理，非安全终端自动隔离。（3）实现了网络访问权限的精准分配，确保企业关键信息安全。（4）实现了有线、无线网络的全覆盖，不留网络管理死角。（5）用户网络权限不受地点限制，实现了业务随行。（6）全网设备安全状况实时监控，提高了网络整体安全水平。

4 结语

网络安全问题是一个综合性的问题，需要多方面的技术综合运用才能达到比较理想的效果。本文结合实际，总结了一整套适用于工业企业园区网络管理的准入控制技术，希望对从事网络安全的技术人员有所帮助。

参考文献

[1] 周超，周城，丁晨路.计算机网络终端准入控制技术[J].计算机系统应用，2011，20（1）：90.

[2] 陈远鹏.网络准入控制系统的设计与实现[D].北京：北京工业大学，2017.

[3] 赵志平.络准入控制技术在企业中的应用分析[J].科技创新与应用，2018（35）：185.