企业局域网安全访问控制解决方案介绍随着信息时代的到来，绝大多数的企事业单位使用计算机来管理企业内外的资源，如企业内部使用的一些信息管理系统（OA、ERP、CRM等），大大提高了企业的工作效率。随着近几年网络女全技术的发展，人们也使川了防病毒、防火墙、入侵检测和漏洞扫描等女全措施，來提高企业的网络信息化安全。但是，网络安全仍然存在诸多隐患。现在日益突出的问题是：由企业内部引发的安全问题。企业内部局域网的不断扩建，这给企业的局域网管理带来了很大的压力和挑战。这就要求我们极度重视计算机木身的安全控制问题。企业局域网管理面临的问题计算机终端由于其分散性、不被重视性、女全手段缺乏等特性，已成为女全体系的一个薄弱环节，一旦失控，将严重威胁整个网络的安全。如以F情况：内部员工的非授权访问：没有预先经过同意，就使川网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制，对网络设备及资源进行非止常使用，或擅自扩大权限，越权访问信息。计算机的登陆控制问题：内部会出现假胃他人身份,未经授权而非法使用他人计算机的情况;信息资源的管理：由于出现越权访问，使得企业的一些重要资源泄露；员工经常在1二班时间玩游戏，办理个人私事，比如I••网聊犬、购物等情况，管理员很难控制;由于个别或几个员工从互联网下载，导致整个局域网的网速缓慢，影响企业的正常工作；针対以上局域网管理普遍存在的问题，很多企业都需要一•套基于局域网管理的安全访问控制解决方案。下面以时代亿信的解决方案为例，从部署到应用，使大家了解整个安全访问控制的过程。此套安全访问控制解决方案是基TPKI理论，以软硬件结合的方式，通过统一的控制服务器实现访问策略的集中管理。1、系统部署：时代亿信提岀的局域网解决方案是慕丁•CA和数字证书的，首先需要的局域网内部部署一台CA服务器，用来给企业用户发放数字证书（也可考虑采用向第三方CA机构川请数字证书的方式，在此建议企业考虑自建CA的方式）；另外需要部署两台服务器，一台作认证服务器川于对终端川户的身份进行认证；另一台安装时代亿信的终端访问控制软件，作访问控制服务器用，在访问控制服务器上进行集中的部署，定制安全策略实现对客八端计算机的安全管理。系统部署如卜图所示，通过安全控制中心实现了对局域网客户端进行集中的管理。---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---系统部署图2、业务结合在企业局域网中部署了时代亿信的终端访问控制系统，实现了局域网的安全访问控制，给网管人员大大减轻了工作负担。具体功能如F：登录控制：通过局域网管理员在访问控制服务器上配置，町以授权不同的用八对终端的访问控制，实现MAC+IP+SccurcKcy的绑定；对终端机的访问采用软破件结合的方式进行认证:企业局域网内的每个终端用八都有自C的数字证书，证书存放在SecureKey（USB智能卡）屮，川户登录个人PC必须使川SecureKey,一旦将SecureKey从计算机上拔出，系统会自动锁定或注销。---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---这样有效的防止了局域网内非法使用机器；应用控制：控制服务器可以灵活的控制每台PC终端运行的程序，比如可以设定：允许A用户上网，不允许B用八上网等。主要采用黑白名单对终端使用的应用程序进行管理：白名单：指定允许终端用户运行的程序列表，如各种应用软件；黑名单：禁止终端用户访问的各种进程列表，如qq.exe等；访问控制：要实现对终端的存储设备（光驱、软驱及USB接口等）的安全管理，通过在控制服务器的部署，可是实现各终端对存储设的访问控制，如：可设定某-终端禁止访问光驱、软盘等;还可实现对局域网的一些公用设备的管理，比如设定不允许某个用户使用打卬机等;终端保护：可通过终端控制服务器实现对各个终端机的监控，比如网络准接入控制，防止非法终端接入网络；进行注册表保护，防止木马等恶意程序篡改；服务器可掌握每台终端的补丁信息，以便及时弥补漏洞等等：审计分析：在终端控制服务器上可以提供系统口志、认证口志、报警口志等多种报告分析,为管理员提供了安全分析依据；...