基于准入控制技术的企业网络安全的优化研究

石友晨，王胤权，李 洋，李 伟，汤彩霞

（1.新疆油田公司数据公司，新疆 克拉玛依 834000；2.中国石油新疆油田分公司采油一厂，新疆 克拉玛依 834000）

1 准入控制技术的相关研究

随着时代发展，网络访问模式不断优化，许多大型企业建立了具有针对性的网络访问方案，以解决各类网络供应问题，实现网络访问控制模块标准化的目标。例如，2004 年5 月，可信计算组织成立了可信网络连接（Trusted Network Connect，TNC）分组，并计划开发一个对所有开发商开放的架构规范。近几年，TNC 模式不断优化，标准化网络体系不断完善，网络安全准入技术不断升级，尤其是软硬件环境不断优化，使网络安全准入控制技术日益标准化［1］。

在学者对网络访问控制（Network Admission Control，NAC）技术的研究中，其使用的术语和对网络访问控制的定义各不相同。不同企业也设计了针对自身情况的网络访问控制方案，各有侧重点。但其网络运作的操作原理是相同的。企业应用统一的网络安全标准检测和评估网络安全状态，满足了不同端点系统的网络连接要求，并根据测试和评估结果实施网络系统的接入及修复，就网络安全运行状况展开分析［2］。

网络安全准入策略的制定离不开良好的安全基线基础。经过系统监测，合格的终端系统或用户将被给予完全的网络接入权限，而不具备进入资格的用户将会被阻止。为减少可能出现的漏洞问题，端点系统会对不同用户进行权限控制，越重要的系统，用户越需要具备较高的权限，如拥有对某些特定级别系统模块的操作权及访问权［3］。

网络访问控制系统实现了各类网络技术的结合，基于统一的网络安全标准，在企业组建运行网络的过程中，构成安全防范体系，应对各类网络安全问题。在网络访问控制系统的设计及运行过程中，比较常见的安全技术包括802.1x 技术、虚拟专用网络（Virtual Private Network，VPN）技术，其构成了系统访问的基础。802.1x 系统是典型的ClientlServer 模型，由3 个部分组成，分别为客户端、设备和认证服务器（Authentication Server，AS）。客户端一般为支持基于局域网的可扩展认证协议（Extensible Authentication Protocol Over LAN，EAPOL）的用户终端。在操作过程中，用户需要在网络系统中启动相应客户端软件，发起802.1x 认证。其服务器一般为802.1 认证服务器或者是远程用户拨号认证系统（Remote Authentication Dial In User Service，RADIUS）服务器，就接入网络系统的客户端展开认证、授权及分析［4］。

2 企业网络安全准入控制的优化

2.1 802.1x 协议的应用

802.1 x 协议是一种标准化的网络认证协议，这种协议的通用性很强，可为企业提供非常有效的以太网边界安全控制功能。在网络操作过程中，许多接入设备都支持这种协议，也有许多企业利用这种协议就内部网络展开访问控制。当今信息和网络技术快速发展，各企业依靠其核心业务网络，推动金融计算机化，优化网络服务技术，提高网络服务效率和市场竞争力，在这一过程中，网络的操作可靠性不断增强。在核心网络操作过程中，需要设计一个非常明确的量化标准，从而就系统操作状况展开评估。网络安全工作是复杂的，难以预料所有的问题，网络病毒也在不断变化，网络系统的漏洞也具有流动性。在网络安全管理过程中，必须分析企业常见的安全问题。

2.2 智能终端系统的应用

在系统操作过程中，部分企业应用了一系列智能终端系统以识别及管理网络信息，其涉及各类服务器设备、网络监控设备等。操作各类专用网络设备需要遵循相应的规范，用户不能私自更改网际互联协议（Internet Protocol，IP），避免出现IP 冲突问题，也避免用户网络访问问题；将介质访问控制（Media Access Control，MAC）与IP 模块绑定，可迅速追踪IP地址；将终端设备网络与用户操作网络结合，可实现网络接入设备的有效应用，避免出现网络接入设备操作问题，保证用户正常使用。20 世纪初，部分企业应用了桌面安全系统，在之后的几年里，360 安全桌面系统得到了应用，提高了网络操作水平，也提高了员工办公终端的安全管理效益和安全维护水平。准入访问机制的优化，提高了企业网络信息数据系统运行的安全性［5］。

2.3 优化常用网络准入技术方案

在建立网络安全防护机制的过程中，必须不断优化常用网络准入技术方案，解决各类黑客问题、病毒入侵问题，避免受到外部网络侵害。对系统操作而言，外部网络缺乏安全性。在系统操作过程中，核心网络运行状况、服务器操作状况非常重要，需要积极展开网络安全保护。在解决网络安全问题的过程中，要积极利用各类杀毒软件及防火墙系统。在建设企业网络安全防护机制的过程中，要采取有效措施解决外部网络安全问题，在内部网络局域网安全的维护过程中，避免企业系统核心网络及服务器遭受攻击，避免由于人为失误及不可抗力而出现重大安全事故问题。企业不仅要考虑人工防范的相关因素，还要做好技术防范的相关工作。

无线广域网外部移动终端的创新在促进企业业务发展方面发挥了重要作用。相较于范围比较狭窄的企业局域网，无线广域网络的操作步骤更为复杂，需要由专门人员操作专业设备，保证企业安全监控系统的安全，在新时期也可应用便携式终端设备。企业在安全操作过程中，各个部门要与安全技术部门展开充分沟通及协作，分析企业不同部门的安全需求，为设计无线广域网环境下的网络终端调度方案提供依据。设计相应的无线局域网系统时，要将被分配的终端当作特殊网络终端处理，利用内部局域网设置安全门禁。在新时期，网络安全准入系统需要应用移动数据网络以及优化VPN 技术的应用。

通过技术手段防范网络风险一般有两种方式，一是增加硬件设施的投资提高网络的安全性；二是通过调整和优化网络的物理和逻辑结构提高网络的安全性。

面对严峻的终端安全问题，必须优化网络安全准入方案，解决各类网络终端问题。在这个过程中，应用网络门禁技术可实现安全控制技术与移动技术的结合，提高设备的安全访问控制效益，解决各类网络安全终端问题。还应不断细化准入控制技术的各个细节，深入分析业务的不同运作场景，解决企业发展问题。

在企业运作过程中，骨干网主要应用IEEE802 标准。在操作过程中，用户配置好IP 网络地址，利用各类以太网交换机端口连接及应用企业内部资源信息，这个过程会存在一些网络安全问题。进入21 世纪后，802.1x 认证协议机制不断得到优化，这种运作机制解决了以太网网络接入的相关安全问题。在网络安全管理技术蓬勃发展的今天，网络访问控制模式面临日益严峻的发展挑战，这就需要就网络用户的身份及权限状况展开识别、评估及控制，终端用户只有经过系统的最终审核才可以进入企业系统网络，从而提高了计算机网络系统整体的安全性。

2.4 优化网络准入控制系统功能

为适应现阶段企业长远发展的需要，必须完善企业基础设施体系，优化NAC 结构部署系统，积极应用动态主机配置协议（Dynamic Host Configuration Protocol，DHCP）、IP 地址管理（IP Address Management，IPAM）、简单网络管理协议（Simple Network Management Protocol，SNMP）等技术，以实现网络设备在线信息状况的实时收集，汇总、规划及分析各类信息数据，并通过可视化的方法展示相关信息。先进的网络访问控制系统可以就内部网络展开有效、实时的监控，也可就不同设备及交换机端口等展开安全管理。通过各类网络信息报表、图像、图形等方式，分析企业内部网络不同实体的动态信息、统计信息等。内部网络可视化管理可以提高管理效率，减少工作量，就设备的运作状况展开有效管理，这就需要提高终端端口、网络端口、服务端口等的运作效率，灵活应用各类信息采集设备，就不同的网络操作环境、不同的网络操作平台配置专门的鹰眼，实现网络路由数据的有效性统计，提高企业网络设备的操作运行效率。

3 结语

优化网络安全准入系统可以解决各类网络病毒问题、漏洞问题，避免人为因素对企业网络安全的各种侵害。网络安全控制系统的运行可以将各类办公终端网络纳入安全的网络控制环境中，拒绝各类外在访问。各类网络准入控制模式的应用提高了系统终端的信息安全性，保障了企业稳定发展。