網絡安全終端管理精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的網絡安全終端管理主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：網絡安全終端管理范文

關鍵詞：機密　數據　威脅　網絡安全　網絡管理

一、概述

隨著網絡在企業生產經營中應用越來越廣、越來越深，企業網絡安全的問題也日益凸顯。來自企業網外部和內部的攻擊無時不刻都在威脅著企業網絡的安全，也成了每一位網絡管理人員都需要面臨的考驗。如何建立一個完整的企業網絡安全解決方案，減少因網絡攻擊和病毒引發的生產經營數據的丟失和外泄引發的損失，本文將進行一個淺顯的探討。

二、網絡安全的基礎——網絡設計

網絡的設計與建設，是構建一個安全網絡的基礎。合理的網絡構架設計將為未來網絡安全的設計與構建節省一大部分開銷，這些開銷包括了設計、成本和系統的效率等。因此，在構建一個網絡的初期，就必須將網絡系統的安全作為設計的基本要素，考慮到整個系統中。一個大型的企業，如在地域上分部較為集中，其內網為了增大運行保險系數，一般主干采用雙環網的網絡構架。這種網絡在一路主用線纜引故障停止時會自動切換到備用環上，當然，根據具體的系統配置的不同，雙環網正常工作時又會被分為雙路負載分擔型和雙路數據同步型等類型，在這里就不詳細介紹了。一個企業如在地域上較為分散，下屬有多家子公司且這些子公司又擁有自己的網絡的情況下，最好采用以樹形或星型網絡結構為主的復合型網絡設計。這種設計使得各網絡層次的訪問控制權限一目了然，便于內部網絡的控制。

一個大型企業的網絡在內部又會被分為許多特定的區域——普通的辦公區，財務銷售的核心業務區，應用服務器工作區，網絡管理維護區，多方網絡互聯區域，VPN連接區等多個功能區域。其中普通的辦公區有時是與財務銷售類的業務區合并在一起的，但是，如果公司還涉及特殊業務的時候應當將這兩個區域分開，甚至為其單獨建立一套網絡系統以增強其安全保密性。應用服務器區域一般承載著企業辦公、生產等主要業務，因此在安全上其級別應當是最高的。一般對這一區域進行安全設置時最好將除所用端口以外的所有其他端口全部封鎖，以避免多余端口通信造成的安全威脅。有條件的網絡用戶或對安全要求比較高的用戶可以在不同的網絡之間配置防火墻，使其對網絡的訪問進行更好的控制或者將不同的網絡直接進行物理隔離，以完全絕斷不同網絡之間的互訪。在網絡中中有許多服務器，比如病毒服務器、郵件服務器等，有同時被內網及外網訪問的需求，應當為這些有外網需求的服務器考慮設置DMZ區域。DMZ區域的安全級別較普通用戶區高，即便得到訪問授權的用戶，其對DMZ區域的訪問也是有限制的，只有管理人員才可以對這一區域的服務器進行完全的訪問與控制。

三、終端的安全防護

病毒、木馬無論通過何種途徑傳播，其最終都是感染終端為目的的，無論這個終端是指的服務器還是普通用戶的終端，因此，對各類終端的安全防護可以說是網絡安全構建的關鍵。對終端的安全防護可以分為兩套系統；一種為硬件的防火墻類，一般由管理人員進行專業操作處理的防護系統，包括了反垃圾郵件系統、用戶上網行為監控管理系統、網站防篡改系統等專業(服務器)終端防護系統；另一種為軟件類的防火墻、殺毒軟件及其他安裝于各個用戶終端由用戶或管理人員進行操作管理的防護系統。現在多數的網絡安全防護系統多由這兩種類型的防護系統復合而成。這種復合式的系統所取得的效果在很大程度上依賴于終端用戶的計算機水平及殺毒軟件服務提供商的反應能力和軟件更新能力，總之，這種方式是比較偏重于“被動防守”的一種防護措施。

現在有廠商提供了一種協調系統，使用這種系統能讓以上所述的復合安全系統能夠在網絡管理員的干涉下實現主動的管理。這套系統一般在用戶終端安裝一個客戶端，開機時，客戶端自動判定本終端的安全狀態并與安全服務器取得聯系，當終端被判定正常時，終端可進行正常權限的網絡訪問；當終端被判定為非正常(威脅)時，此終端可根據預先堤定的安全策略，斷絕與普通局域網的連接，只能與特定的服務器如病毒服務器等進行連接以解決問題。網絡管理員可以通過這套系統實時監查每個終端的進程與數據狀態，并通過管理終端對客戶端進行控制，以解決安全威脅。此類系統的應用將所有用戶的終端都納入了系統管理員的控制下，以系統管理員專業化的技術知識實現對整個系統的監管與維護，能夠在很大程度上減少威脅并提高系統的安全性和網絡效率。

四、終端用戶的規范

網絡的安全除了在設計、硬件、技術管理上提高水平外，對網絡用戶進行必要的指導是十分重要的。普通的網絡用戶由于其計算機專業知識水平的不同，不可能要求其對終端進行專業的處理，告誡其正確的上網方式，減少各種網絡(IE)軟件、插件的使用及不明軟件的下載是十分重要的。即使對于某些安全防護類軟件(控件、插件)也應當控制使用，原因很簡單，任何軟件的編制都有BUG或漏洞的存在，終端用戶所使用的網絡軟件(插件、控件)越多，這種硬傷類的安全威脅也就越多。終端所面臨的威脅也就越多。不安裝不必要的(網絡)軟件，也能在很大程度上避免網絡威脅。

第2篇：網絡安全終端管理范文

關鍵詞：網絡安全；安全防護；接入控制；防火墻；訪問權限

隨著計算機技術的發展和Internet的廣泛應用，越來越多的企業都實現了業務系統的電子化和網絡化，計算機網絡安全已成為企業信息安全的重要組成部分。但計算機網絡也面臨著非法入侵，惡意攻擊、病毒木馬等多種威脅，對企業的信息系統安全造成損害。

因此，如何提高計算機網絡的防御能力，增強網絡的安全性和可靠性，已成為企業網絡建設時必須考慮的問題。下面介紹一些網絡安全建設方面的策略，希望能為企業網絡建設提供一些參考。

一、 做好網絡結構安全設計

網絡結構安全的核心是網絡隔離，即將整個網絡按照系統功能、信息安全等級、工作地點等原則劃分為相對獨立的子網絡，使得當某個子網絡內發生安全故障時，有害信息不能或不易擴散到別的子網絡中。

各個子網絡之間應部署防火墻、網閘等網絡安全設備，實現信息系統隔離和訪問控制。同時，充分利用IP地址、VLAN、訪問控制列表等工具，實現子網絡之間的邏輯隔離。

二、 網絡設備的安全防護

網絡設備的安全防護是指同設備交互時的安全防護，一般用于設備的配置和管理。同設備的交互有以下幾種方式：

* 通過設備Console 口訪問。

* 異步輔助端口的本地/遠程撥號訪問

* TELNET訪問

* SNMP訪問

* HTTP訪問

針對這幾種交互方式，采取的安全策略如下：

(1) 用戶登錄驗證

必須要求設備配置身份驗證，如果設備未配，將拒絕接受用戶登錄，可以通過本地用戶驗證或RADIUS驗證實現。

(2) 控制臺超時注銷

控制臺訪問用戶超過一段時間對設備沒有交互操作，設備將自動注銷本次控制臺配置任務，并切斷連接。超時時間必須可配置，缺省為10分鐘。

(3) 控制臺終端鎖定

配置用戶離開配置現場，設備提供暫時鎖定終端的能力，并設置解鎖口令。

(4) 限制telnet用戶數目

設備對telnet用戶數量必需做出上限控制。

三、 部署用戶安全接入控制系統

用戶安全接入控制是指企業員工在使用終端訪問企業資源前，先要經過身份認證和終端安全檢查。用戶在確認身份合法并通過安全檢查后，終端可以訪問用戶授權的內部資源，認證不通過則被拒絕接入網絡。終端安全接入控制主要是防止不安全的終端接入網絡和防止非法終端用戶訪問企業內部網絡。

用戶接入控制可通過部署終端安全管理系統實現。終端安全管理系統是一個包括軟件和硬件整體系統。在用戶終端上安裝安全服務程序，在用戶使用網絡前，必須啟動程序，然后輸入身份信息進行登錄。由安全管控服務器對終端用戶進行身份認證和安全檢查。通過之后服務器把檢查結果通知安全接入網關，安全接入網關根據用戶的角色，開放終端用戶的訪問權限，有效的制止用戶的非法訪問和越權訪問。

四、 網絡數據流控制

網絡數據流控制通過數據包過濾來實現。通過網絡數據包過濾，可以限制網絡通信量，限制網絡訪問到特定的用戶和設備。

訪問列表可用來控制網絡上數據包的傳遞，限制終端線路的通信量或者控制路由選擇更新，以達到增強網絡安全性的目的。在端口上設定數據流過濾，防止企業內部的IP地址欺騙。嚴格控制PING、Telnet、Discard、Echo、SNMP、Rsh、Rlogin、Rcp、TraceRT等數據流通過網絡設備，原則上只允許本系統應用需要的應用數據流才能通過網絡設備。

五、 部署網絡防病毒軟件

網絡病毒的入口點是非常多的。在一個具有多個網絡入口的連接點的企業網絡環境中，病毒可以由軟盤、光盤、U盤等傳統介質進入，也可能由企業信息網等進入，還有可能從外部網絡中通過文件傳輸等方式進入。所以不僅要注重單機的防毒，更要重要網絡的整體防毒措施。

任何一點沒有部署防病毒系統，對整個網絡都是一個安全的威脅。網絡中應部署一套網絡防病毒系統，在所有重要服務器、操作終端安裝殺毒軟件。通過網絡殺毒服務器及時更新病毒庫及殺毒引擎，保證內部網絡安全、穩定的運行。

六、 內部網絡使用安全

* 內部系統中資源共享

嚴格控制內部員工對網絡共享資源的使用。在內部子網中一般不要輕易開放共享目錄，否則較容易因為疏忽而在與員工間交換信息時泄漏重要信息。對有經常交換信息需求的用戶，在共享時也必須加上必要的口令認證機制，即只有通過口令的認證才允許訪問數據。雖然說用戶名加口令的機制不是很安全，但對一般用戶而言，還是起到一定的安全防護，即使有刻意破解者，只要口令設得復雜些，也得花費相當長的時間。

* 信息存儲

對有涉及企業秘密信息的用戶主機，使用者在應用過程中應該做到盡量少開放一些不常用的網絡服務。對數據庫服務器中的數據庫必須做安全備份，包括本地備份和遠程備份存儲。

* 構建安全管理平臺

構建安全管理平臺將會降低很多因為無意的人為因素而造成的風險。構建安全管理平臺從技術上如：組成安全管理子網，安裝集中統一的安全管理軟件，如病毒軟件管理系統、網絡設備管理系統以及網絡安全設備統一管理軟件。通過安全管理平臺實現全網的安全管理。

總之，網絡安全是一個系統的工程，要用系統的思想來建設全方位的、多層次的、立體的安全防護體系。這是一項長期而艱巨的任務，需要不斷的探索。網絡安全建設不能僅僅依靠于技術手段，而應建立包括安全規范、規章制度、人員培訓等全面的管理體系，提高全體員工的安全防范意識，保護好每臺接入網絡中的設備，才能實現高速穩定安全的信息化網絡系統。

參考文獻：

第3篇：網絡安全終端管理范文

準入控制策略準入控制策略的主要目的是將安全問題防患于未然，而不是等到有了安全問題才開始處理。準入控制策略的原理是終端用戶在入網之前要接受系統安全方面的檢查，如果發現系統有安全問題，則不允許入網，并提示問題所在。為保證安全入網，凡可統一管理的終端機（如公共機房、電子閱覽室、多媒體教室、辦公室等）均做統一安全處理。如安裝殺病毒軟件，及時更新系統補丁，做好各項數據備份，自建批處理文件、綁定正確網關等。防火墻與IDS聯動策略防火墻側重于控制，IDS側重于主動發現入侵的信號。而且，它們本身所具有的強大功能并沒有得到充分發揮。例如，IDS檢測到一種攻擊行為，不能及時有效地阻斷或過濾；沒有IDS，一些攻擊行為會利用防火墻合法的通道進入網絡。因此，防火墻和IDS之間十分適合建立緊密的聯動關系，已將兩者的能力充分發揮出來，相互彌補不足，相互提供保護。訪問控制列表策略對交換機的訪問控制列表進行合理設置可以制定各種有效的安全策略。一般病毒主要集中在幾個端口，可以通過訪問控制列表將這幾個端口封鎖。校園網內P2P下載，嚴重影響網絡速度，而迅雷、電騾等工具的使用都是基于TCP協議的。通過防火墻無法阻止，也可以通過封鎖這類工具的端口達到阻止BT下載的目的。身份認證策略為使所有終端用戶對網絡安全引起重視，也為了在網絡安全出現問題后，能迅速定位問題用戶，所有入網用戶要經過身份驗證，采取實名制。

防止入網賬號被盜，禁止弱密碼的設置，控制密碼輸入次數，必要情況下，還要采用雙重認證體系。對重要服務器維護的管理員，要經常更換服務器密碼，對服務器進行多重密碼設置，密碼保管責任到人。途徑傳播。網絡輿情監控系統是指通過對網絡各類信息進行匯集、分類、整合、篩選等技術處理，再形成對網絡動態、熱點、網民意見等實時統計報表的軟件工具。利用輿情監控系統，合理設置后，可以有效地對違法違規的言論、行為進行管制。分級管理模式校園網絡的安全管理僅憑網絡信息中心的成員肯定是不行的。四川民族學院各系部公共機房，電子閱覽室，多媒體教室等都配有管理人員。在不增加人員投入的情況下，完全可以由各分部管理員與網絡中心的安全管理員組成分級安全管理小組。分部管理員在發現安全問題后，將問題和處理方法報告給網絡中心的安全管理員。若分部管理員不能處理該安全問題，由網絡中心的安全管理員組織分部成員共同分析研究。成立網絡服務小組根據目前四川民族學院規模，可以在A、B校區各成立一個網絡服務小組，主要負責終端用戶的網絡服務和輿情監控，小組成員在學生中選拔。網絡信息中心不定期對小組成員進行培訓，小組成員可以對準入控制系統提示系統安全有問題的終端用戶給予幫助。小組成員介入校內BBS和校外社區，做好網上輿情跟蹤，及時對網絡上相關輿論進行引導。舉辦“網絡文明”講座通過舉辦“網絡文明”講座，提高終端用戶對網絡安全的基本知識的了解。加強用戶對網絡安全法律法規的認識，培養終端用戶內在的、自覺的網絡道德情感、道德責任和自律能力，幫助用戶在主觀思想上建起一道防線，抵制虛假、黃色、消極內容，使他們自覺維護網絡安全。病毒應對信息網絡中心應及時在校園網上病毒襲擊及應對信息。目前，四川民族學院已經開展了這項工作，不足之處在于對校園網的病毒襲擊情況了解不夠全面，處理病毒的方法很多終端用戶即使通過閱讀的信息也無法自行處理。解決這兩個不足，要結合管理層面應對策略1和2。通過策略1的分級管理模式收集網絡安全信息，分析安全處理方法；通過策略2的網絡服務小組幫助不能自行處理的終端用戶處理。

根據藏區工作會議精神，國家要加大藏區高校的投入，包括四川民族學院在內的藏區高校網絡將迅速發展。隨著校園網絡拓撲結構、用戶網絡安全素質、校園網安全需求等多方面的發展變化，校園網安全管理需要及時調整安全策略。校園網絡安全管理人員也應不斷地進行探索和學習，與兄弟院校及企業進行交流和合作，不斷完善管理手段，從而為師生建立一個安全、方便、健康的網絡環境。

作者：蔡勇智 莫泓銘 單位：四川民族學院

第4篇：網絡安全終端管理范文

【 關鍵詞 】 網絡安全；保密方案；虛擬計算技術；安全控制技術

1 引言

隨著網絡應用的普及，網絡安全問題成為了當下人們所關注的重點。在網絡應用中，由于軟件及硬件存在一定的漏洞，被不法分子利用造成數據的丟失或者是系統的破壞，因此，為計算機網絡進行安全保密勢在必行。本文所提出的基于云計算技術的計算機網絡安全保密解決方案和基于安全控制技術的計算機網絡安全保密解決方案，在特定環境下都能夠對計算機網絡提供一定的保密措施，但是由于兩種方案自身也存在一定的漏洞，所以在不同環境下選擇不同的解決方案，對于計算機網絡安全保密具有非常重要的現實作用。

2 計算機網絡泄密風險

目前計算機網絡應用中可能存在的泄密渠道主要包括互聯網、局域網、無線設備、移動存儲設備、打印傳真設備等。其泄密方式如圖1所示。

在計算機網絡應用過程中，存在的泄密行為與泄密風險如表1所示。

3 基于云計算技術的計算機網絡安全保密解決方案

隨著大數據、云計算的興起，傳統的計算機安全保密方式從多終端向集中存儲安全管理方式轉變，利用云計算將客戶端的數據集中管理，解決的不同終端安全管理難的問題，同時又降低了客戶端的數據存儲壓力，實現資源高效利用、統一管理，為計算機網絡安全管理提供了便利。

基于云計算技術的計算機網絡安全保密解決方案實施流程如圖2所示。

云計算技術為用戶構建了虛擬桌面，提供遠程數據訪問和軟件應用。在服務器端，不僅能夠為用戶提供數據的存儲服務和應用軟件的使用，同時云端服務器還對所有用戶的操作進行監控，對資源的利用進行管理，并將用戶權限等級進行設定，根據用戶使用權限為其提供相應的服務器資源利用。

基于云計算技術的計算機網絡安全保密解決方案實現了數據的集中統一管理，采用統一安裝應用軟件、統一建立防火墻和殺毒軟件，并及時對軟硬件進行升級，可降低用戶端設備泄密的幾率。在云端服務器中儲存的數據可根據重要等級進行管理，對級別高的數據可實行定期備份，有效的防止了數據的丟失，提高了數據資源利用的可靠性。

4 基于安全控制技術的計算機網絡安全保密解決方案

基于安全控制技術的計算機網絡安全保密解決方案是利用安全控制技術對技術網絡設備進行安全保護，其中包括對設備的通信接口、用戶認證等。基于安全控制技術的計算機網絡安全保密解決方案實施流程如圖3所示。

可信終端設備和安全控制系統可經由交換機訪問服務器，在交換機中安裝內容審計系統，該系統能夠對網絡數據進行實時監測，監測用戶網絡應用的行為。用戶通過監測審查后可訪問具有安全控制系統的服務器，該服務器屬于初級服務器，可為用戶提供并不私密的數據。如果用戶想訪問受保護的服務器，則需要通過安全控制系統安全網關，在該網關中安裝入侵檢測系統，其可以對加密級數據提供入侵檢測功能，實現對核心加密數據的安全保護。用戶通過層層檢測后，可經過交換機訪問到受保護服務器中的重要數據。

基于安全控制技術的計算機網絡安全保密解決方案在用戶與服務器之間進行通信時需要提供用戶身份認證，獲得通信端口加密口令后，可登陸服務器調用服務器數據資源，也可以通過USB令牌或者口令卡進行通信加密，確保用戶身份與服務器登記身份相吻合，這種方案常用于網上銀行用戶身份安全認證。

5 兩種計算機網絡安全保密解決方案比較分析

對基于云計算技術的計算機網絡安全保密解決方案和基于安全控制技術的計算機網絡安全保密解決方案進行比較，建立對比如表2所示。

基于云計算技術的計算機網絡安全保密解決方案適用于用戶集中區域的管理，譬如大廈辦公樓、政府機關、企事業單位等。基于云計算技術的計算機網絡安全保密解決方案具有降低終端設備維護壓力和運行壓力、集中網絡安全保密，防止由終端泄密的問題。隨著大數據集中管理和云計算技術的日益成熟，基于云計算技術的計算機網絡安全保密解決方案將具有更加廣闊的發展空間。但是，在進行高性能計算時，對于服務器產生的壓力巨大，所以其不適用于專業性計算機網絡安全應用，同時由于小規模計算機網絡建立云計算成本較大，因此，云計算技術適用于規模較大的用戶群體，具有廣泛應用性，而不具備尖端應用性。

基于安全控制技術的計算機網絡安全保密解決方案對計算機的配置要求較高，通常應用與科學研發、課題攻堅、指揮控制等方面，其可滿足較高性能的計算，更加適用于安全要求級別高的網絡應用。

6 結束語

本文對計算機網絡安全保密解決方案進行分析，提出基于云計算技術的計算機網絡安全保密和基于安全控制技術的計算機網絡安全保密兩種解決方案，并對兩種解決方案的架構和工作方式進行研究，分析兩種解決方案的執行原理，對二者進行了比較分析，提出在不同環境下可選擇不同的計算機網絡安全保密解決方案，做到有的放矢，更好的發揮出彼此的優勢，對完善計算機網絡安全具一定的借鑒意義。

參考文獻

[1] 魯林鑫.企業計算機網絡安全防護措施和對策研究[J].科技創新導報，2010（04）.

[2] 克依蘭?吐爾遜別克.計算機網絡安全分析研究[J].網絡安全技術與應用，2014（01）.

[3] 宋國云，趙威，董平，張元龍.有效改善計算機網絡安全問題及其防范措施[J].電腦知識與技術，2014（01）.

[4] 黨政，楊同慶.信息系統安全技術探究[J].技術與創新管理，2014（03）.

[5] 俞迪.基于計算機網絡安全保密解決方案的分析[J].中國新通信，2014（02）.

第5篇：網絡安全終端管理范文

【關鍵詞】大數據 虛擬化 網絡安全架構 機制

1 大數據時代網絡安全風險

1.1 大數據及其特點

大數據（Big Data）最早由美國提出，并逐漸運用于世界各地的學術既商業活動之中，具體指相對于計算機的處理能力而言該類數據的“海量”與“大”，即在任意有限的時間內不能使用任意的IT或軟硬件技術工具進行操作和運用的數據集合。科學家John Rauser曾用一句更為簡單的話解釋了大數據，即他認為大數據的數據處理量之大已經超過了任意一臺計算機的處理能力。

大數據具有結構復雜、數據量大、類型眾多、集成共享與交叉復用的特點，對應于大數據的處理，計算機科學界產生了與之對應的云計算技術方法基于云計算技術的應用漸趨成熟，大數據在行業內被提出具備4V特征，即稻萑萘看籩擲嘍啵Volume）、數據類型多（Variety）、商業價值高（Value）、處理速度快（Velocity），大數據及其特征可以更好的用圖1表示。

1.2 大數據時代網絡安全現狀

網絡安全是國家安全的一個重要組成部分，根據我國互聯網應急響應中心CNCERT/CC 其2016年度《中國互聯網網絡安全報告》中提供的數據，截止到15年年底中國網站總量已達到426.7萬余個，同比年度凈增長2萬余個，此外在其的《CNCERT互聯網完全威脅報告》中，僅2017年2月，境內感染網絡病毒的終端數為近118萬個，被篡改網站數量為4493個，其中政府網站有109個。可見大數據時代，我國目前網絡安全形勢依舊嚴峻，主要問題表現在：

（1）公民個人安全意識不強，個人信息泄露嚴重，從國內感染木馬網絡病毒的網站數來看，用戶對于網絡安全的意識低下的現狀；

（2）國內網絡安全保護與威脅漏洞防范措施滯后，國內計算機網絡安全防護的基本措施基本都處于形式的靜態防護狀態，真正對新木馬、新病毒的發現和攻克技術未及時跟上病毒與木馬產生的速度，防范能力低下，感染與反復感染情況嚴重。

（3）網絡攻擊等行業逐步壯大與興起，大數據時代，數據的商業價值被進一步挖掘，強大的利益誘惑下，國內不少網絡攻擊企業逐漸形成甚至形成不正規產業鏈，該行業的發展趨勢有待及時的制止與修正。

2 虛擬化網絡安全技術概述

2.1 病毒防護技術

遠程或者本地主機上存在的安全漏洞可以通過漏洞掃描來自動檢測。漏洞掃描可以“防患于未然”，在問題還未發生，或者在侵犯還未形成時，就將其隱藏的安全問題解決。漏洞掃描又可以分為網絡內部和網絡外部的掃描。將掃描軟件置于網絡內部，檢測解決內部網絡存在的漏洞和安全隱患，稱之為網絡內部掃描。相應的，外網絡外部掃描，是指把漏洞掃描程序置于外部網絡，來保護網絡免于來自外部網絡的侵犯和攻擊，除去安全隱患。

2.2 入侵檢測技術

通過加強對網絡間訪問的控制來保護網絡內部操作環境和資源，一般來說，就是我們所說的防火墻。它的原理是，避免外部網絡用戶非法進入內部環境。性質上，屬于一種特殊的網絡互聯設備。互聯網技術日新月異，防火墻技術快速發展。防火墻技術經歷了包過濾型、型、監測型，其安全性也是遞增的。最開始的包過濾型防火墻，它是通過分析數據來源是否是可靠地安全站點，從而達到維護系統安全的要求。

2.3 漏洞掃描技術

遠程或者本地主機上存在的安全漏洞可以通過漏洞掃描來自動檢測。漏洞掃描可以“防患于未然”，在問題還未發生，或者在侵犯還未形成時，就將其隱藏的安全問題解決。漏洞掃描又可以分為網絡內部和網絡外部的掃描。將掃描軟件置于網絡內部，檢測解決內部網絡存在的漏洞和安全隱患，我們稱之為網絡內部掃描。相應的，外網絡外部掃描，是指把漏洞掃描程序置于外部網絡，來保護網絡免于來自外部網絡的侵犯和攻擊，除去安全隱患。

2.4 防火墻技術

通過加強對網絡間訪問的控制來保護網絡內部操作環境和資源，一般來說，就是我們所說的防火墻。它的原理是，避免外部網絡用戶非法進入內部環境。性質上，屬于一種特殊的網絡互聯設備。互聯網技術日新月異，防火墻技術快速發展。防火墻技術經歷了包過濾型、型、監測型，其安全性也是遞增的。最開始的包過濾型防火墻，它是通過分析數據來源是否是可靠地安全站點，從而達到維護系統安全的要求。防火墻超出了最初對防火墻的定義是從監測型防火墻的出現開始的。其表現是，不僅能阻止外來侵擾，更重要的是，它也能對來自網絡內部的破壞起到防護的作用

3 大數據環境虛擬化網絡安全SDN架構

網絡安全應用虛擬化（Virtualized Security Appliance）是較為有效的解決網絡安全的常見方式，本節根據大數據時代網絡安全特征及可用技術，結合傳統軟件定義網絡SDN安全架構方式，提出如下所示的基于安全應用虛擬化的網絡安全SDN架構，即SDN-VSN。

該架構首先在安全業務管理實踐的基礎上運用SDN API進行業務需求與計算機指令的靈活轉換，在SDN控制層能夠實現網絡虛擬化安全防護，包括有安全協議的描述、安全網絡檢測、安全路由保證、網絡拓撲管理及安全資源管理的基礎業務描述與控制；其次，在安全策略方面，該架構采用二級分解方式，指定的物理資源進行了映射配置和安全防控，并采用事件驅動的啟動模式，達到一種及時響應、及時防護的安全防控效果；最后，在安全實施方面，上述架構包含了字符段匹配、安全協議識別等通過標準Open Flow表示、識別與實施的安全運作機制。

4 大數據環境下虛擬化網絡安全機制

4.1 邊界安全機制

網絡邊界安全機制指從網絡與外界之間互通引起的安全題進行防護的一種防護機制，包括黑客入侵、網絡攻擊及木馬病毒攻擊的防護，大數據環境下網絡邊界安全直接影響網絡用戶的整體安全，因此如何從數據挖掘的角度設計并分析已有病毒或木馬庫的特征，及時更新病毒庫進行有效的邊界保護，最大限度實現邊界隔離。

4.2 終端安全機制

網絡終端指網絡的最終使用者即網絡用戶，網絡終端安全機制即是強調網絡安全防護過程中從網絡用戶端入手，運用防火墻、防病毒、防木馬等技術對可能的網絡安全漏洞進行措施性規避，新一代的大數據環境下的網絡終端數量劇增，在對于網絡終端防護的安全機制需要考慮終端之間的統一有效控制，即當某一終端出現安全漏洞威脅時，其他與之相近的終端能夠迅速接受信號，并在統一受控的基礎上進行迅速的防護技術部署，防止漏洞和威脅進一步無限制的蔓延，終端防護的技術在大數據環境下需要過更多運用云技術，通過云端有效控制數以億增的網絡終端量及相應的可能遭受的安全風險。

4.3 聯動安全機制

聯動安全機制是在保證邊界安全和終端安全的基礎上運用云端技術及大數據預測技術及時的將終端與邊界聯動起來的一種安全機制，即保證終端與邊界的安全統一。實際的操作中，網絡的邊界與終端無論哪一邊遭受到安全攻擊，通過數據分析及時更新數據并下發到另一端，以確保實現聯動的防護機制。雙防御的及時防護就像一個新型高效網絡護盾，如當某一終端遭受攻擊或漏洞被篡改，可以迅速的通知邊界設備進行及時的物理或網絡隔離，并迅速進行數據分析更新數據庫病毒庫，防止同網絡種其他設備遭受到相同黑客病毒的攻擊。聯動機制有效的提高了終端和邊界雙方面聯動的防護效果，有效應對未知攻擊并可以進行及時的防護措施，并運用大數據預測與分析技術可以預測可能受到的安全攻擊，進行對應的防護措施，從而將損害降到最低，實現網絡安全最大化的終極目標。

參考文獻

[1]CNCERT互聯網安全威脅報告.國家互聯網應急中心[EB/OL].http：//.cn/publish/main/upload/File/2017monthly02.pdf.

[2]孟治強.基于大數據的下一代網絡安全架構初探[J].商，2015（34）：207-207.

[3]楊艷，張瑩.大數據背景下的網絡信息安全研究[J].自動化與儀器儀表，2016（10）：149-150.

[4]劉新，常英賢，田健偉.大數據時代網絡信息安全防護策略研究[J].探索科學，2016（10）.

[5]馬文靜.下一代無線網絡安全及切換機制研究[D].北京郵電大學，2010.

[6]吳越，孫皓，張樹彬.下一代網絡中的無線網絡安全關鍵技術研究[J].信息網絡安全，2007（05）：12-14.

第6篇：網絡安全終端管理范文

【關鍵詞】郵政網絡 網絡安全 加密

1 郵政系統的基本原理

郵政綜合計算機網絡系統是一個三級四層的全國性的網絡系統，其中三級為省際網、省內網和郵區網，四層為國家郵政信息中心、省郵政信息中心、郵區郵政信息中心和基礎接入節點。

郵政綜合計算機網廣域網的網絡結構如下圖所示，網絡互連方式包括郵政綜合計算機網絡系統內部三級四層之間的互連、郵政綜合計算機網二級機構接入、郵政綜合計算機網絡系統與外部網絡的互連。網絡上使用的通信協議為TCP/IP。

2 現有系統的基本原理

通過建立郵政行業內通用的綜合安全保密管理技術架構和管理中心平臺，從而為郵政系統建立健全的安全組織、完善的安全管理機制和集成統一的安全策略提供必要的技術基礎。該管理中心平臺在結構上和郵政系統現有管理體制和網絡結構相適應，并在密碼設備管理、密碼服務調用接口、密鑰管理、安全日志管理等方面建立統一的標準和要求，此外，該平臺應具有較強的開放性，能容納未來的安全保密設備。

以目前比較成熟的PKI體系為基礎，針對不同應用模式構建統一的安全服務平臺，為郵政業務系統提供一個公共的安全服務平臺，為郵政生產、業務、服務和管理應用提供一系列標準的、切合郵政安全需求的安全服務接口，使得各個應用系統的開發在一個高安全性的服務環境下順利實施。

綜合運用數據包封裝技術、密碼技術和網絡訪問控制技術，構建建立能涵蓋郵政終端節點->城市中心->省中心->國家中心各部門（人員）的中國郵政虛擬專用網絡系統（VPN）。

3 現有系統的組成結構

現有系統共包含五個組成部分：綜合安全管理中心、應用安全服務平臺、低端網絡IP密碼服務包、網絡IP加密機和終端線路加密器。以下分別介紹各個部件的功能：

3.1 綜合安全管理中心

綜合安全管理中心實現對全網絡密碼設備的分級集中管理，包括對密碼設備所需數字證書的管理、密碼設備遠程配置、密碼設備運行狀態監控及密碼設備安全審計日志的集中存放、動態分析和報告生成等功能。此外，該中心還可包含對其它安全設備，如防火墻、入侵檢測等的集中管理。

3.2 應用安全中間件

應用安全中間件是一個由五個安全組件構成的安全服務套件，可以為基于不同平臺的各類業務系統提供統一、標準的安全服務，它為用戶提供了實現數據機密性、完整性、不可抵賴性以及身份認證功能等的統一的途徑和方法。安全中間件的每一組件所完成的安全層次各異、互為補充，構成了一個面向用戶信息應用系統的較為完整的安全服務體系。該套件的所有組件均集成了國密辦審批的本項目專用密碼算法和密碼模塊，其功能基本覆蓋了郵政系統各類業務系統的安全服務需求。

3.3 基于網絡的IP加密機

基于網絡的IP加密機通過在網絡層實施密碼技術和網絡訪問控制技術，實現郵政系統各級機構間通過公網的安全互聯。IP加密機為一獨立的網絡安全設備，可透明地接入（嵌入）郵政系統現有網絡架構，并采用統一的方式，由綜合安全管理中心集中管理。

3.4 基于主機的低端網絡IP密碼服務包

基于主機的網絡IP密碼服務包的應用對象為郵政系統中大量存在的柜員微機工作站和儲蓄網點PC，是一個能嵌入到現有客戶端系統中的IP安全保密墊片程序模塊，該模塊處于網絡驅動程序和IP協議棧之間，對出入主機的數據包實施加解密處理和訪問控制，實現和基于網絡的IP加密機的互通，并采用統一的方式，由綜合安全管理中心集中管理。

3.5終端線路加密器

終端線路加密器是一個能完成終端柜員身份認證功能及線路加密功能的設備，其應用對象為郵政系統中大量存在的郵政儲蓄和電子匯兌柜員終端。該設備能透明地接入郵政儲蓄柜員終端業務系統和其它“終端-主機”結構的網絡系統中，解決（啞）終端用戶的強身份認證和線路加密功能，并采用統一的方式，由綜合安全管理中心集中管理。

4網絡安全的重要性

在信息社會中，信息具有和能源、物源同等的價值，在某些時候甚至具有更高的價值。具有價值的信息必然存在安全性的問題，對于企業更是如此。例如：在競爭激烈的市場經濟驅動下，每個企業對于原料配額、生產技術、經營決策等信息，在特定的地點和業務范圍內都具有保密的要求，一旦這些機密被泄漏，不僅會給企業，甚至也會給國家造成嚴重的經濟損失。 經濟社會的發展要求各用戶之間的通信和資源共享，需要將一批計算機連成網絡，這樣就隱含著很大的風險，包含了極大的脆弱性和復雜性，特別是對當今最大的網絡――國際互聯網，很容易遭到別有用心者的惡意攻擊和破壞。隨著國民經濟的信息化程度的提高，有關的大量情報和商務信息都高度集中地存放在計算機中，隨著網絡應用范圍的擴大，信息的泄露問題也變得日益嚴重，因此，計算機網絡的安全性問題就越來越重要。

5 結論

隨著互聯網的迅速發展，網絡攻擊也在迅速增多，病毒郵件攻擊的影響日益激烈，病毒、蠕蟲和毫無必要的大量垃圾電子郵件利用互聯網資源來傳播，使企業網絡的傳輸速度緩慢甚至癱瘓。本文提出的企業網絡安全解決方案能夠為企業提供安全的網絡保護，并縮減了企業在網絡安全方面的投資。解決了企業的安全隱患，使能夠合理利用網絡并從網絡中獲取豐厚的效益，提高了企業的競爭力。

參考文獻

[1]張千里，陳光英 .網絡安全新技術[M].北京：人民郵電出版社，2003（01）.

[2]董玉格等.網絡攻擊與防護-網絡安全與實用防護技術[M].北京：人民郵電出版社，2002（08）.

[3]顧巧論等編著.計算機網絡安全[M].北京：科學出版社，2003（01）.

第7篇：網絡安全終端管理范文

【關鍵詞】制藥企業 網絡系統 網絡安全架構 網絡設計

隨著數字化和信息化進程的不斷加速，企業網絡規模和應用范圍日益擴大。制藥企業作為技術密集型企業，多以精深工藝、提升品質、加強管理為目的，建立了由ERP、電子商務、Web網站、OA構成的網絡系統。目前，網絡已應用于制藥企業各個事務層面，因此網絡安全尤為重要，必須建立多層次的安全體系架構，作為企業網絡系統的基礎保障。

一、安全架構設計要點

（一）多元線程。安全架構分為“預防”、“治理”、“鞏固”三個線程。“預防”是通過Windows Server Update Services更新服務，及時修補內網終端與服務器的系統漏洞。“治理”是針對不同的安全威脅進行防護。對于病毒威脅和黑客入侵，進行軟硬件聯合防御。“鞏固”是保存完整網絡日志，有科學的備份策略，對終端計算機的嚴格管理，保證終端安全。

（二）立體布局。安全架構設計要兼顧物理層、鏈路層、網絡層和應用層，形成立體化的防護布局。以安全域來劃分為主線，同一安全域共享公用的信息資源、安全基礎設施、網絡基礎設施等。

（三）系統管理。安全架構包括技術層和管理層兩方面，必須建立安全管理系統與安全技術相適應。管理系統要求嚴密的崗位分工，以及日常維護管理制度。一個合理的管理系統能夠明確網絡邊界，增強網絡的可控性，實現有計劃的訪問控制，有效阻止滲透式網絡攻擊。

二、安全架構設計方案

（一）網絡平臺方案設計

1.網絡結構設計。制藥企業的網絡設置采用拓撲結構，根據藥品的生產、銷售、組織、管理等部門分成多個子網，共同構建企業網絡平臺。在各VLAN之間布置路由，實現各VLAN間的自由互訪。但各子網間互訪需要進行網絡驗證，避免某子網的安全威脅獲得擴大性傳播。

2.域管理設計。為實現集中式管理，應在制藥企業網絡平臺布局域管理。域管理可以實現單一賬戶登錄，單節點管理，具有安全便捷的優點。企業內網絡終端設備較多，因此要進行網絡標簽設置，具體規則如下：XX――X――XX，字符分別代表了一定含義，第一段字符代表所屬網關，第二段代表部門，第三段代表姓名全拼，唯一的網絡標簽可以保證定位的速度與精度。

3.入侵檢測設計。網絡入侵檢測是通過防火墻和專用軟件（IDS）實現的。配置企業級防火墻，可以杜絕內外網間的病毒威脅，提供相對安全的網絡環境。而網康、綠盟、安全胄甲等專業入侵檢測軟件（IDS）則是對防火墻的合理補充，IDS從企業網絡中采集關鍵信息，分析總流量、上傳量、ERP等數據變化，自主判斷網絡中違反安全策略的行為。聯合應用防火墻與IDS，可以實時、動態地保護網絡平臺，擴展系統管理員的安全管理能力，形成完整的網絡安全平臺結構。

（二）防治病毒方案設計

1.分布式部署。一般而言，制藥企業規模龐大且機構復雜，由多個服務器構成子網，因此在防毒軟件的安裝方面，要采用分布部署的方法，分地域、分工段、分部門進行配置，并根據企業現有的網絡構架，設立多級病毒防治管理中心，負責各自網段的病毒查殺工作。

2.網絡邊緣防護。網絡邊緣是靠近用戶端的網絡層面，對其進行病毒防護的方法是在部署好防病毒網關后再連接外網，全面掃描網絡后安置硬件防毒墻。建議使用網神、驅逐艦、趨勢，瑞星、 MacAfee等品牌防毒墻，針對HTTP、FTP協議進行查殺病毒。再配置一套符合企業網絡應用需要的安全策略，控制多項網絡端口，填補邊緣防護缺口，建立起軟硬件相結合的安全屏障。

3.防病毒管理。防毒技術是網絡安全架構的技術保障，而技術需要管理制度作為保障才能發揮最大效用。制藥企業防毒管理制度應包括：強制實施防病毒策略，嚴肅工作紀律；定期檢查硬件防毒墻運行狀態，調整工作參數，避免過熱過勞運行；定期升級防毒軟件病毒庫，如有大規模病毒爆發需進行專項治理；加強移動存儲介質管理，不使用來源不明的存儲介質。

（三）數據備份和審計方案設計

數據備份和審計是制藥企業網絡安全架構的重要組件。數據備份的作用是記錄各類網絡信息，為查找漏洞、排除問題、安全設置提供參考。考慮到制藥企業數據備份的規模及對數據安全的要求，可利用IBM公司開發的iSCSI接口，將現有SCSI接口與以太網絡結合，實現服務器與IP網絡儲存裝置的資料交換。由于備份管理軟件對存儲性能有重要影響，應用符合一定技術標準的備份軟件，具備快速存取能力、極簡管理能力和災難恢復能力。另外，備份軟件要適應當前的網絡條件，能同時支持64位和32位WINDOWS系統、UNIX、IOS系統，能在常用系統平臺進行主動式備份。建議采用FileGee等備份軟件，實現自動備份文件，并可進行多介質服務器管理，提供集中管理備份策略。

數據備份的目的是進行數據審計，通過檢索備份數據，分析數據特征和變化趨勢，對企業內服務器和終端設備進行安全審計。終端設備審計方案是：調取網絡數據，對各種網絡應用進行識別、記錄和控制，在此基礎上判斷網絡行為正當與否，如存在安全隱患則采取緊急策略，對問題網絡端口進行控制。服務器審計方案是：在數據庫中提取記錄企業服務器運行信息，包括網絡設備、安全設備、主機、數據庫和應用系統日志，作出勘察、判斷與決策，防止誤操作和不當操作行為，預防各種潛在的違規操作行為。

三、總結

本文立足于制藥企業的網絡管理實際，擬定了三項網絡系統安全架構的設計要點，提出安全規劃，明確建設目標。網絡安全架構設計以平臺安全、防治病毒、數據備份和審計為基點，兼顧了整體性和可操作性，設計出符合線程化、立體化、系統化要求的安全架構，為制藥企業網絡安全應用和管理提供了技術支持。

參考文獻：

[1] 熊芳芳.淺談計算機網絡安全問題及其對策.電子世界.2012（11）.

第8篇：網絡安全終端管理范文

隨著智能手機、平板電腦等終端產品的普及，網絡安全問題變得越來越復雜。面對新的網絡安全的威脅和攻擊，傳統的應對手段也需要顛覆了。請關注—

隨著新的互聯網時代的到來，許多人已經可以實現借助家里電腦、智能手機、平板電腦等終端進行遠程辦公，現今IT信息系統的架構也發生了變化，導致網絡安全問題變得越來越復雜。在近期舉辦的第二屆國家網絡安全宣傳周上，基于云端架構的網絡安全防護體系正受到越來越多的追捧。

網絡安全問題越來越復雜

今年2月份，網絡安全公司卡巴斯基的一份分析報告顯示，黑客組織Carbanak在兩年內連續攻擊了俄、烏、白等30多個國家的金融機構，造成損失達10億美元，引發了俄羅斯銀行業恐慌。

根據2012年的數據，我國電子銀行交易筆數高達896.2億筆，交易規模為820萬億元，個人網銀用戶規模為2.1億戶。電子銀行替代率提高到72.3%，且到2016年時，該比率預計將達到82.3%。而與此同時，信息泄露、惡意軟件、釣魚網站等卻在不斷的威脅到網銀安全服務，中國工商銀行(601398，股吧)安全部總經理敦宏程表示，這些網絡上侵害金融安全的非法活動甚至已形成黑色產業鏈，相關組織內分工明確。

“黑客最初是向目標機構的普通職員發送電子郵件，誘使他們打開一個包含惡意軟件的附件；突破職員電腦后，黑客會以此為跳板進行滲透平移，找到并攻陷掌握銀行交易權限的高級管理人員；通過在管理人員的電腦植入木馬程序，分析得到合法賬號、密碼以及系統操作流程，最終冒充合法賬號成功轉移資產。”網康科技執行副總裁左英男介紹俄羅斯銀行大案時說，盡管俄羅斯警方幾年前已經逮捕了8名犯罪團伙成員，但攻擊并未停止。

“哪個網絡是不可信的？哪個網絡是可信的？這些概念已經改變了。傳統的網絡安全理論是靜態、被動的，是一種防御性思維，已不適應信息產業架構的變化。隨著互聯網的云化和移動終端移動化趨勢，IT信息系統的架構需要有新的手段去解決安全問題。”左英男說。

借助云端解決網絡安全

“安全問題永遠是人與人之間的智力對抗，所謂魔高一尺道高一丈，但防御的一方永遠處于被動地位，所以現在要改變這種防御策略，形成主動發現、主動打擊。這就是我們提出的下一代網絡安全架構，提供主動對抗的手段。”左英男介紹，下一代網絡安全架構的一個重要特點就是智能協同，主動防御。云、邊界設備與終端設備之間都可以進行聯動，使得架構中“邊界”設備和“終端”設備的安全能力都得到了劃時代的提升，可以有效應對已知和未知的高級威脅。

“更好的安全模型應該是PDFP模型(Prediction預測、Detection檢測、Forensics取證、Protection防護)，即假設IT系統存在無法預估的風險，甚至認為攻擊已經發生只是人們尚未感知，此時必須進行動態檢測，把異常的人員、行為、應用、內容等日志信息實時匯集到云分析中心，通過跨時空的大數據分析，迅速判定攻擊并進行過程溯源，從而實施對抗策略。這個過程是動態的、主動的，是一種對抗型思維。”左英男解釋，“將來我們會給客戶提供一個云管端的架構，部屬終端、部屬終結設備，會給他一個云賬號，登錄云賬號之后，能夠看到經過大數據分析之后的結果，主機是否危險，內部有哪些僵尸，都在干什么，有非常直觀的風險信息提示。”

目前，為了防止用戶信息泄露和受到詐騙，當前各大銀行紛紛采取措施，其中云技術、大數據等已被運用。比如銀聯推出的虛擬銀行卡，可以直接使用手機來刷POS機，而基于云端的安全機制將大大提高賬戶的安全性。

提高民眾的安全意識是關鍵

“網絡安全問題并不僅僅是一個行業、一個企業的行為，它還需要整個全民網絡安全意識的提高，以及整個社會網絡安全防護體系的構建。”左英男說。

中國工商銀行安全部總經理敦宏程表示，相對銀行采取的種種措施，民眾的網絡安全意識仍然是抵御網絡金融詐騙和信息泄露的第一道關口。“用戶的安全意識，實際上相對來說是各個環節中最薄弱的環節，工商銀行為此提供了很多安全措施，都是針對客戶安全意識不足做的補充措施。”

第9篇：網絡安全終端管理范文

關鍵詞：終端準入 網絡安全 802.1x EAD

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9416（2013）06-0014-02

1 引言

在創新無處不在的IT世界里，從要求可用性到安全性再到高效率，只經歷了短短的幾年時間。如何對終端設備進行高效、安全、全方位控制一直都困擾著眾多IT管理者，由于終端設備數量多、分布廣、使用者素質及應用水平參差不齊，而且終端設備所接入的網絡環境異構化程度很高，導致了終端成為整個IT管理環境中最容易出現問題的一環，對終端問題的響應業已成為IT管理者日常最主要的工作之一，它同樣遵循著從可用性到安全性再到追求效率的發展規律。

終端作為網絡的關鍵組成和服務對象，其安全性受到極大關注。終端準入控制技術是網絡安全一個重要的研究方向，它通過身份認證和完整性檢查，依據預先設定的安全策略，通過軟硬件結合的方式控制終端的訪問權限，能有效限制不可信、非安全終端對網絡的訪問，從而達到保護網絡及終端安全的目的。終端準入控制技術的研究與應用對于提高網絡安全性，保障機構正常運轉具有重要作用；對于機構解決信息化建設中存在的安全問題具有重要意義。目前，終端準入控制技術已經得到較大的發展和應用，在安全領域起到越來越重要的作用。

2 發展現狀

為了解決網絡安全問題，安全專家相繼提出了新的理念。上世紀90年代以來，國內外提出了主動防御、可信計算等概念，認為安全應該回歸終端，以終端安全為核心來解決信息系統的安全問題。

3 終端準動模型

H3C終端準入控制解決方案（EAD，End user Admission Domination）從控制用戶終端安全接入網絡的角度入手，整合網絡接入控制與終端安全產品，通過智能客戶端、安全策略服務器、聯動設備以及第三方軟件的聯動，對接入網絡的用戶終端按需實施靈活的安全策略，并嚴格控制終端用戶的網絡使用行為，極大地加強了企業用戶終端的主動防御能力，為企業IT管理人員提供了高效、易用的管理工具。

4 終端準入控制過程

EAD解決方案提供完善的接入控制，除基于用戶名和密碼的身份認證外，EAD還支持身份與接入終端的MAC地址、IP地址、所在VLAN、所在SSID、接入設備IP、接入設備端口號等信息進行綁定，支持智能卡、數字證書認證，支持域統一認證，增強身份認證的安全性。根據實際情況我們采用基于域統一認證，與接入終端MAC地址和接入設備IP信息進行綁定的嚴格身份認證模式。通過身份認證之后，根據管理員配置的安全策略，用戶進行包括終端病毒庫版本檢查、終端補丁檢查、是否有等安全認證檢查。通過安全認證后，用戶可正常使用網絡，同時EAD將對終端運行情況和網絡使用情況進行監控和審計。若未通過安全認證，則將用戶放入隔離區，直到用戶通過安全認證檢查。EAD解決方案對終端用戶的整體控制過程如圖2所示。

5 終端準入控制策略的實現

5.1 接入用戶身份認證

為了確保只有符合安全標準的用戶接入網絡，EAD通過交換機的配合，強制用戶在接入網絡前通過802.1x方式進行身份認證和安全狀態評估，但很多單位已經建立了基于Windows域的信息管理系統，通過Windows域管理用戶訪問權限和應用執行權限。為了更加有效地控制和管理網絡資源，提高網絡接入的安全性，EAD實現了Windows 域與802.1x統一認證方案，平滑地解決了兩種認證流程之間的矛盾，避免了用戶二次認證的煩瑣。該方案的關鍵在于兩個“同步”過程：一是同步域用戶與802.1x接入用戶的身份信息（用戶名、密碼），EAD解決方案使用LDAP功能實現用戶和Windows域用戶信息的同步。二是同步域登錄與802.1x認證流程，EAD解決方案通過H3C自主開發的iNode智能客戶端實現認證流程的同步。統一認證的基本流程如圖3所示。

5.2 安全策略狀態評估

EAD終端準入控制解決方案在安全策略服務器統一進行安全策略的管理，并在安全策略管理中提供黑白軟件統一管理功能。管理員可根據IT政令，在安全策略服務器定義員工終端黑白軟件列表，通過智能客戶端實時檢測、網絡設備聯動控制，完成對用戶終端的軟件安裝運行狀態的統一監控和管理。如果用戶通過安全策略檢查，可以正常訪問授權的網絡資源；如果用戶未滿足安全策略，則將被強制放入隔離區內，直至通過安全策略檢查才可訪問授權的網絡資源。

5.3 EAD與iMC融合管理

EAD通過與iMC（開放智能管理中樞，Intelligent Management Center）靈活組織功能組件，形成直接面向客戶需求的業務流解決方案，從根本上解決多業務融合管理的復雜性。EAD實現了對用戶的準入控制、終端安全、桌面資產管理等功能，iMC平臺實現了對網絡、安全、存儲、多媒體等設備的資源管理功能，UBAS、NTA等組件實現了行為審計、流量分析等業務的管理功能，這幾者結合在一起，為企業IT管理員提供了前所未有的融合用戶、資源和業務三大要素的開放式管理體驗。

6 結語

在未實施終端準入解決方案之前，本企業網絡管理模式被動，雖制定完善的IT管理制度，但不能有效實行，比如不能及時升級系統補丁，不能及時升級殺毒軟件病毒庫，不能實時監控用戶軟件安裝，不能實時監控計算機硬件信息等問題。通過實施終端準入解決方案，降低了來自企業內部網絡的威脅，規范了終端準入安全策略，提高了IT管理員工作效率，從而保障了企業網絡環境的安全。

參考文獻

[1]周超，周城，丁晨路.計算機網絡終端準入控制技術.計算機系統應用，2011，20（1）：89—94.

[2]馬錫坤.醫院網絡終端準入控制解決方案.醫院數字化，2011，26（11）：30-32.

[3]成大偉，呂鋒.支持802.1x的網絡準入系統在企業中的應用.中國科技博覽，2012，27：296.