中小企业内网准入设计与实施

摘要：内网安全准入技术是中小企业所忽视的一项技术。内网准入机制实现了信息资源的共享和传输，有效地提升了用户访问互联网的速率。面对接入网络内的计算机进行合法的身份认证、自身安全状态评估，是计算机网络系统安全的源头，只有保障了源头的安全，才能进一步考虑计算机内的其他安全问题。所以中小企业内网准入技术的设计与实施亟不可待。本课题以三石广告公司为例，主要针对该公司的项目需求进行分析，依据项目分析选择适合三石广告公司的内网准入技术。通过合理的设计与实施，打造出一个安全可信的网络环境。
目录
一.引言 1
二.项目说明及需求分析 1
（一）项目说明 1
（二）网络现状及问题 1
1.三石广告公司网络现状 1
2.产生的问题分析 2
（三）需求改造分析 2
三.网络准入系统设计与实现 3
（一）网络准入技术选择 3
1.网络准入架构分类 3
2.内网准入架构对比分析 3
3.项目方案确立 4
（二）网络准入系统总体结构设计 4
（三）设备选型 4
（四）三石广告公司网络准入系统概述 5
（五）网络准入系统业务流程 5
（六）网络准入系统功能模块设计与实现 5
1.整体功能模块设计 5
2.网络准入验证信息说明 5
3.业务通信 5
4.信息加密技术的设计与实现 5
5.三石广告公司内网准入项目评测 5
四.总结 5
致谢 5
参考文献 5
一.引言
本课题研究的内容是中小企业内网准入技术，具体公司具体分析，每个公司所适用的内网准入技术也是各有千秋。这就需要通过分析各个公司的网络状况以及公司的需求，再结合各个准入技术的优缺点，从而设计出最适合每个公司的内网准入技术。由于现在很多中小型企业把过多的关注力放在了对外部攻击的防御，而忽视了内部网络的安全性，所以很大一部分的安全隐患是因为网络内部的攻击和泄密。由此可见建立一个安全的内网准入技术方案势在必行。
本课题研究的对象是三石广告公司。三石
 *好棒文|www.hbsrm.com +Q: ￥351916072￥ 
广告公司虽然拥有自己的网络环境，但是由于实施方案并不适合公司需求，而且管理不到位，依然时常发生网络安全问题。由此可见一个适合公司需求的内网准入技术方案是多么重要。本课题通过分析公司的网络状况从而制定出适合公司的内网准入方案，达到终端接入内网时需要强制认证，没有通过认证的不允许接入网络，只有通过认证才能接入内网可信区域。从而使公司拥有一个安全的网络环境。
二.项目说明及需求分析
（一）项目说明
三石广告公司作为一个拥有差不多一百人的企业，在公司网络管理方面存在很大的安全漏洞，没有做到尽善尽美。而且作为一个广告公司，会有很多保密性文件，这些保密性文件包括广告创意，设计稿以及客户信息等。这就要确保每份文件都是加密的，若没有加密，一旦这些保密性文件泄露出去，造成的损失将不可估量。所以，三石广告公司急需打造一个安全的网络环境，来保障公司的安全和利益。
（二）网络现状及问题
1.三石广告公司网络现状
三石广告公司拥有一百多台终端，健全的ERP和OA系统，并且已经建立AD域进行策略管理。但是依旧存在很多问题。但是公司把太多的精力放在外网安全上面，内部网络没有一个完善的架构。首先针对三石广告公司的当前网络状况进行分析，从网络状况分析问题所在，详情见下图21：


图21 三石广告公司网络现状
2.产生的问题分析
1)建立了AD域但是还有很多设备没有加入到域中，从而规避了网络管理。
2)公司人员对网络安全意识低。
a.随意安装软件，或许这些软件本身没有问题，但是它不会阻止攻击发生，只要安装就会增加恶意攻击的可能性。
b.安装杀毒软件占用内存或者需要不断更新病毒库比较浪费时间，就不会安装杀毒软件也不会及时更新病毒库，这就大大增加了病毒入侵的安全隐患。
3)随意安插使用存储设备引起的随机访问机密泄漏。
4)笔记本电脑访问外部网络后又访问内部网络，这种行为也会增加内部网络的安全隐患。因为计算设备很容易在外部感染病毒或蠕虫,当他们访问企业网络时，病毒和其他恶意代码在不经意之间就会传到企业网络环境，给企业内部网络带来安全隐患。所以再次连接到网络或断开访问网络设备都需要进行身份认证和安全审查，未通过审查的设备不允许访问网络。
通过对三石广告公司的网络现状和问题产生的原因进行分析，可以看出公司存在的问题还是挺多的。这些问题不仅仅是网络方面的，还有公司员工的行为规范，所以为了公司网络安全，实施内网准入方案刻不容缓。
（三）需求改造分析
针对三石广告公司网络现状以及产生的各种问题，需要分析并且设计出适合公司的改造方案。
1.对三石广告公司建立内网安全架构，只有通过检测的终端设备才可以接入内网，未经过安全检测的设备要被隔离网络。
2.确保员工使用的每台电脑加入到公司域中，便于管理。
3.对外来计算设备连接公司内网进行限制，不允许个人电脑接入网络。
4.管理终端USB设备，不可信的外盘禁止连接电脑，只有可信的外盘才具有读写权限，而且要达到专人专用的效果。
5.强制更新病毒库，未更新的设备隔离网络，下载更新之后才能重新接入网络。
6.对设计图、客户信息等文件进行加密处理，就算外盘或者计算机丢失，文件也无法被解密。
根据以上三石广告公司需求改造分析，先对网络准入技术方案进行比较和选择，只有拥有一个安全的内网环境作为磐石，才能针对不文明不安全行为进行改革和规范。
三.网络准入系统设计与实现
（一）网络准入技术选择
1.网络准入架构分类
内网安全产品主要有三大标准架构，分别是可信网络连接（TNC）、网络准入控制（NAC）以及网络访问保护（NAP）。这三大标准架构定义了各自的实现协议，但是遵从类似的体系框架。
思科：网络准入控制（NAC）
思科网络访问控制(NAC)是一个由思科主导，多个供应商参与的计划。NAC的目的是防止病毒、蠕虫等黑客技术对网络进行攻击，从而带来不可估量的危险。通过NAC技术，可以对接入网络内的设备进行身份认证和审查，没有通过认证和审查的终端禁止接入网络，通过认证的合法的值得信任的终端可以接入并访问网络。
微软：网络访问保护（NAP）
NAP采用三级网络系统,包括一个安全的网络、网络资源有限网络和公共网络。如果用户想要接入安全网络就必须发送请求到WEB，然后会使用不同预定义下组策略下的条件对客户端进行测试。测试方法包括运行最新的杀毒软件升级和各种重要的WINDOWS更新。NAP是一个强制性的技术策略，建立在Windows Vista和Windows Server Longhorn操作系统，它可以在访问私有网络时提供系统平台健康校验。为了校验接入网络的客户端状态，网络架构需满足多方面的功能需求，例如健康策略验证、网络访问限制、自动补救以及动态适应。
TCG组织：可信网络连接（TNC）

版权保护: 本文由 hbsrm.com编辑，转载请保留链接: www.hbsrm.com/jsj/wljs/596.html