基于多层准入控制构建的安全合规内网.pdfVIP

基于多层准入控制构建的安全合规内网 孙庆恭 (广东电网公司汕尾供电局，汕尾51e舳o) 摘要：汕尾供电局引入多层种准入控制手段和UTM2解决方案．构建多种准入控制共存的完 善的内网终端合规管理体系，有效解决内网安全管理中突出的安全问题，大幅度增强 内网终端的安全保护能力，有效地兼顾和平衡了安全管理中安全性和便利性的矛盾， 全面提升汕尾供电局网络安全防护等级和信息安全管理水平。 关键词：多层准入控制；内网安全；舍规管理；天殉；UTM2 0 引言 ⑤接人内网终端，可以随意对内部重要服务器 进行非授权访问．不仅影响到其他合法用户正常访 尽管汕尾供电局已经构建起比较完善的网络安 问。而且还可能成为来自内部或外部的非法人员，将 全控制和管理体系。但是安全事件仍旧时有发生。突 内网终端作为“肉鸡”或跳板．发起对内部关键业务 出表现在： 系统的攻击。 ①外来终端可轻易接入内网，致使部分已经感 通过对汕尾供电局深入调查和研究．我们发现 染未知或新型病毒例如ARP欺骗病毒的终端。成为 口前超过80％的安全事件都发生在内网环境中，内 内网的病毒传播源．直接威胁电力信息系统和网络 网安全已经成为整个电力网络安全管理中事实短 的安全运行： 板。 ②内部员工随意卸载指定的防病毒软件、桌面 安全管理等安全软件。或者安装和运行游戏软件、网 1 终端准入控制。内网终端合规管理解决 络视频工具、文件下载工具和其他可能存在安全隐 之道 患的软件。不仅占用宝贵的网络带宽，还有可能带来 通过研究．我们发现如果引入一套强制内网终 内部重要信息的外泄的风险： 端合规准入控制机制．实现从终端系统启动、通过交 ③以u盘为代表的移动存储设备内网广泛使 换机接入内网、访问业务系统和网络资源，再到终端 用。使其也成为病毒和木马传播。为内部重要数据和 之间互访的安全接入控制．全过程保证终端受控并 文件钋泄提供方便之门； 接受管理。并能实时监控和修复终端安全状态，为内 ④网络互联技术，尤其是无线网络互联技术(例 网构建一套终端安检系统，那么。一旦终端用户无意 如WiFi、GPRS、3G等)高速发展，使每个角落的计算 或恶意违反内网合规管理策略．内网终端合规管理 机都可以轻松连入Intemet．使原本从物理上完全隔 系统将自动触发违规处理流程。对违规的终端实施 离的内、外网，违规非法外联事件时有发生。已经严 提示、警告、自动修复甚至对终端实施安全隔离，保 重威胁到了企业核心业务系统的稳定安全运行：