企业局域网安全访问控制解决方案介绍

随着信息时代的到来，绝大多数的企事业单位使用计算机来管理企业内外的资源，如企业内部使用的一些信息管理系统（OA、ERP、CRM等），大大提高了企业的工作效率。随着近几年网络安全技术的发展，人们也使用了防病毒、防火墙、入侵检测和漏洞扫描等安全措施，来提高企业的网络信息化安全。但是，网络安全仍然存在诸多隐患。现在日益突出的问题是：由企业内部引发的安全问题。企业内部局域网的不断扩建，这给企业的局域网管理带来了很大的压力和挑战。这就要求我们极度重视计算机本身的安全控制问题。

企业局域网管理面临的问题
计算机终端由于其分散性、不被重视性、安全手段缺乏等特性，已成为安全体系的一个薄弱环节，一旦失控，将严重威胁整个网络的安全。如以下情况:
内部员工的非授权访问：没有预先经过同意，就使用网络或计算机资源被看作非授权访问，如有意避开系统访问控制机制，对网络设备及资源进行非正常使用，或擅自扩大权限，越权访问信息。
计算机的登陆控制问题：内部会出现假冒他人身份，未经授权而非法使用他人计算机的情况；
信息资源的管理：由于出现越权访问，使得企业的一些重要资源泄露；
员工经常在上班时间玩游戏，办理个人私事，比如上网聊天、购物等情况，管理员很难控制；
由于个别或几个员工从互联网下载，导致整个局域网的网速缓慢，影响企业的正常工作；

针对以上局域网管理普遍存在的问题，很多企业都需要一套基于局域网管理的安全访问控制解决方案。下面以时代亿信的解决方案为例，从部署到应用，使大家了解整个安全访问控制的过程。此套安全访问控制解决方案是基于PKI理论，以软硬件结合的方式，通过统一的控制服务器实现访问策略的集中管理。
1、系统部署：
时代亿信提出的局域网解决方案是基于CA和数字证书的，首先需要的局域网内部部署一台CA服务器，用来给企业用户发放数字证书（也可考虑采用向第三方CA机构申请数字证书的方式，在此建议企业考虑自建CA的方式）；另外需要部署两台服务器，一台作认证服务器用于对终端用户的身份进行认证；另一台安装时代亿信的终端访问控制软件，作访问控制服务器用，在访问控制服务器上进行集中的部署，定制安全策略实现对客户端计算机的安全管理。
系统部署如下图所示，通过安全控制中心实现了对局域网客户端进行集中的管理。

系统部署图

2、业务结合
在企业局域网中部署了时代亿信的终端访问控制系统，实现了局域网的安全访问控制，给网管人员大大减轻了工作负担。具体功能如下：
登录控制：通过局域网管理员在访问控制服务器上配置，可以授权不同的用户对终端的访问控制，实现MAC+IP+SecureKey的绑定；对终端机的访问采用软硬件结合的方式进行认证：企业局域网内的每个终端用户都有自己的数字证书，证书存放在SecureKey（USB智能卡）中，用户登录个人PC必须使用SecureKey，一旦将SecureKey从计算机上拔出，系统会自动锁定或注销。这样有效的防止了局域网内非法使用机器；
应用控制：控制服务器可以灵活的控制每台PC终端运行的程序，比如可以设定：允许A用户上网，不允许B用户上网等。主要采用黑白名单对终端使用的应用程序进行管理：
白名单：指定允许终端用户运行的程序列表，如各种应用软件；
黑名单：禁止终端用户访问的各种进程列表，如qq.exe等；
访问控制：要实现对终端的存储设备（光驱、软驱及USB接口等）的安全管理，通过在控制服务器的部署，可是实现各终端对存储设的访问控制，如：可设定某一终端禁止访问光驱、软盘等；还可实现对局域网的一些公用设备的管理，比如设定不允许某个用户使用打印机等；
终端保护：可通过终端控制服务器实现对各个终端机的监控，比如网络准接入控制，防止非法终端接入网络；进行注册表保护，防止木马等恶意程序篡改；服务器可掌握每台终端的补丁信息，以便及时弥补漏洞等等；
审计分析：在终端控制服务器上可以提供系统日志、认证日志、报警日志等多种报告分析，为管理员提供了安全分析依据；日志根据情况可划分为多个级别（如紧急、警报、严重、警告等），当终端用户多次启动禁止其访问的应用程序，系统会有告警，告警方式可选择（如电子邮件、声音等）；

3、应用效果
这种局域网访问控制解决方案，有效地解决了大多数企业面临的局域网终端管理问题，减轻了管理员的负担，同时在局域网的建设中有更好的规范作用。