隨著信息時(shí)代的到來(lái)，絕大多數(shù)的企事業(yè)單位使用計(jì)算機(jī)來(lái)管理企業(yè)內(nèi)外的資源，如企業(yè)內(nèi)部使用的一些信息管理系統(tǒng)（OA、ERP、CRM等），大大提高了企業(yè)的工作效率。隨著近幾年網(wǎng)絡(luò)安全技術(shù)的發(fā)展，人們也使用了防病毒、防火墻、入侵檢測(cè)和漏洞掃描等安全措施，來(lái)提高企業(yè)的網(wǎng)絡(luò)信息化安全。但是，網(wǎng)絡(luò)安全仍然存在諸多隱患。現(xiàn)在日益突出的問(wèn)題是：由企業(yè)內(nèi)部引發(fā)的安全問(wèn)題。企業(yè)內(nèi)部局域網(wǎng)的不斷擴(kuò)建，這給企業(yè)的局域網(wǎng)管理帶來(lái)了很大的壓力和挑戰(zhàn)。這就要求我們極度重視計(jì)算機(jī)本身的安全控制問(wèn)題。

企業(yè)局域網(wǎng)管理面臨的問(wèn)題
計(jì)算機(jī)終端由于其分散性、不被重視性、安全手段缺乏等特性，已成為安全體系的一個(gè)薄弱環(huán)節(jié)，一旦失控，將嚴(yán)重威脅整個(gè)網(wǎng)絡(luò)的安全。如以下情況:
內(nèi)部員工的非授權(quán)訪問(wèn)：沒(méi)有預(yù)先經(jīng)過(guò)同意，就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源被看作非授權(quán)訪問(wèn)，如有意避開系統(tǒng)訪問(wèn)控制機(jī)制，對(duì)網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使用，或擅自擴(kuò)大權(quán)限，越權(quán)訪問(wèn)信息。
計(jì)算機(jī)的登陸控制問(wèn)題：內(nèi)部會(huì)出現(xiàn)假冒他人身份，未經(jīng)授權(quán)而非法使用他人計(jì)算機(jī)的情況；
信息資源的管理：由于出現(xiàn)越權(quán)訪問(wèn)，使得企業(yè)的一些重要資源泄露；
員工經(jīng)常在上班時(shí)間玩游戲，辦理個(gè)人私事，比如上網(wǎng)聊天、購(gòu)物等情況，管理員很難控制；
由于個(gè)別或幾個(gè)員工從互聯(lián)網(wǎng)下載，導(dǎo)致整個(gè)局域網(wǎng)的網(wǎng)速緩慢，影響企業(yè)的正常工作；

針對(duì)以上局域網(wǎng)管理普遍存在的問(wèn)題，很多企業(yè)都需要一套基于局域網(wǎng)管理的安全訪問(wèn)控制解決方案。下面以時(shí)代億信的解決方案為例，從部署到應(yīng)用，使大家了解整個(gè)安全訪問(wèn)控制的過(guò)程。此套安全訪問(wèn)控制解決方案是基于PKI理論，以軟硬件結(jié)合的方式，通過(guò)統(tǒng)一的控制服務(wù)器實(shí)現(xiàn)訪問(wèn)策略的集中管理。
1、系統(tǒng)部署：
時(shí)代億信提出的局域網(wǎng)解決方案是基于CA和數(shù)字證書的，首先需要的局域網(wǎng)內(nèi)部部署一臺(tái)CA服務(wù)器，用來(lái)給企業(yè)用戶發(fā)放數(shù)字證書（也可考慮采用向第三方CA機(jī)構(gòu)申請(qǐng)數(shù)字證書的方式，在此建議企業(yè)考慮自建CA的方式）；另外需要部署兩臺(tái)服務(wù)器，一臺(tái)作認(rèn)證服務(wù)器用于對(duì)終端用戶的身份進(jìn)行認(rèn)證；另一臺(tái)安裝時(shí)代億信的終端訪問(wèn)控制軟件，作訪問(wèn)控制服務(wù)器用，在訪問(wèn)控制服務(wù)器上進(jìn)行集中的部署，定制安全策略實(shí)現(xiàn)對(duì)客戶端計(jì)算機(jī)的安全管理。
系統(tǒng)部署如下圖所示，通過(guò)安全控制中心實(shí)現(xiàn)了對(duì)局域網(wǎng)客戶端進(jìn)行集中的管理。

系統(tǒng)部署圖

2、業(yè)務(wù)結(jié)合
在企業(yè)局域網(wǎng)中部署了時(shí)代億信的終端訪問(wèn)控制系統(tǒng)，實(shí)現(xiàn)了局域網(wǎng)的安全訪問(wèn)控制，給網(wǎng)管人員大大減輕了工作負(fù)擔(dān)。具體功能如下：
登錄控制：通過(guò)局域網(wǎng)管理員在訪問(wèn)控制服務(wù)器上配置，可以授權(quán)不同的用戶對(duì)終端的訪問(wèn)控制，實(shí)現(xiàn)MAC+IP+SecureKey的綁定；對(duì)終端機(jī)的訪問(wèn)采用軟硬件結(jié)合的方式進(jìn)行認(rèn)證：企業(yè)局域網(wǎng)內(nèi)的每個(gè)終端用戶都有自己的數(shù)字證書，證書存放在SecureKey（USB智能卡）中，用戶登錄個(gè)人PC必須使用SecureKey，一旦將SecureKey從計(jì)算機(jī)上拔出，系統(tǒng)會(huì)自動(dòng)鎖定或注銷。這樣有效的防止了局域網(wǎng)內(nèi)非法使用機(jī)器；
應(yīng)用控制：控制服務(wù)器可以靈活的控制每臺(tái)PC終端運(yùn)行的程序，比如可以設(shè)定：允許A用戶上網(wǎng)，不允許B用戶上網(wǎng)等。主要采用黑白名單對(duì)終端使用的應(yīng)用程序進(jìn)行管理：
白名單：指定允許終端用戶運(yùn)行的程序列表，如各種應(yīng)用軟件；
黑名單：禁止終端用戶訪問(wèn)的各種進(jìn)程列表，如qq.exe等；
訪問(wèn)控制：要實(shí)現(xiàn)對(duì)終端的存儲(chǔ)設(shè)備（光驅(qū)、軟驅(qū)及USB接口等）的安全管理，通過(guò)在控制服務(wù)器的部署，可是實(shí)現(xiàn)各終端對(duì)存儲(chǔ)設(shè)的訪問(wèn)控制，如：可設(shè)定某一終端禁止訪問(wèn)光驅(qū)、軟盤等；還可實(shí)現(xiàn)對(duì)局域網(wǎng)的一些公用設(shè)備的管理，比如設(shè)定不允許某個(gè)用戶使用打印機(jī)等；
終端保護(hù)：可通過(guò)終端控制服務(wù)器實(shí)現(xiàn)對(duì)各個(gè)終端機(jī)的監(jiān)控，比如網(wǎng)絡(luò)準(zhǔn)接入控制，防止非法終端接入網(wǎng)絡(luò)；進(jìn)行注冊(cè)表保護(hù)，防止木馬等惡意程序篡改；服務(wù)器可掌握每臺(tái)終端的補(bǔ)丁信息，以便及時(shí)彌補(bǔ)漏洞等等；
審計(jì)分析：在終端控制服務(wù)器上可以提供系統(tǒng)日志、認(rèn)證日志、報(bào)警日志等多種報(bào)告分析，為管理員提供了安全分析依據(jù)；日志根據(jù)情況可劃分為多個(gè)級(jí)別（如緊急、警報(bào)、嚴(yán)重、警告等），當(dāng)終端用戶多次啟動(dòng)禁止其訪問(wèn)的應(yīng)用程序，系統(tǒng)會(huì)有告警，告警方式可選擇（如電子郵件、聲音等）；

3、應(yīng)用效果
這種局域網(wǎng)訪問(wèn)控制解決方案，有效地解決了大多數(shù)企業(yè)面臨的局域網(wǎng)終端管理問(wèn)題，減輕了管理員的負(fù)擔(dān)，同時(shí)在局域網(wǎng)的建設(shè)中有更好的規(guī)范作用。