前言

随着公司业务的拓展，内外部业务系统的不断增多，当前的网络环境已无法满足，需要不断扩展网络架构。而基于传统的局域网划分、访问控制策略的改造升级也提上日程，保障网络安全运行显示尤为重要。一旦外部人员可以随意接入公司内网访问，就有可能被非法入侵，被窃取或篡改信息，对公司可能造成严重的后果。公司办公网络终端数增多，分布在楼层的不同位置，且有异地平台公司、办事处等通过VPN接入内网访问核心系统，在信息安全规划和建设中发现了网络接入访问的薄弱环节，所以需要引入网络准入控制（NAC）技术，解决以上问题。

项目背景

目前，公司内部已经部署了终端安全管理软件，对终端资产有一定的管理作用，并能针对漏洞补丁、木马病毒做防护。但是，面对复杂的内部网络环境，单纯依靠边界防火墙、终端杀毒、网段隔离等手段，始终无法完全覆盖内网安全。曾经听一位安全厂商的项目经理说过，“没有准入控制的内网安全，不是真正的内网安全”，因此，要实现全面内网安全，准入控制必须先行。

遇到的问题及解决的思路分析

首先，在推进部署准入控制的时候，我们是在终端安全管理软件的基础上做的NAC认证。我们遇到的第一个问题就是，终端安全管理软件的版本与网络准入控制的版本不兼容，而之前已经部署了很多低版本的客户端，存在历史方面的原因，所以需要针对所有的终端做一次卸载后重新安装才行。面对分散的终端设备，有台式电脑、笔记本、大屏主机、公共PC等，需要逐一进行排查，桌面运维的工作量巨大。为了上准入，只能硬着头皮做下去，万事开头难。还好我们有合理的分工协作机制，几个同事分工负责不同的办公楼层，逐个卸载重装，很快就把低版本的客户端全部重装并升级完成，也解决了版本兼容的问题。

我们遇到的第二个问题就是，准入终端设备重启后，导致业务部门的网络断开，而当时以为旁路的设备重启，不会影响到业务的。后来通过分析当时的日志情况获知，在设备升级重启前开启了监听端口导致准入策略生效。入网流程为安装终端管理软件后再入网，部分用户未安装客户端就会出现断网，而已安装客户端的用户则会有十几秒的断网延迟后恢复正常入网状态，等到设备两分钟后重启关闭监听端口网络恢复正常。虽然最后以最快的速度恢复了上网，但是还是给我们提醒了，不能在上班时间操作与业务相关联的事情，特别是对准入设备无法完全摸清楚的情况下，更是要慎之又慎。

我们遇到的第三个问题就是，有些业务单位对自己的电脑终端被监管产生排斥心理，特别是一听到要做网络准入控制，他们有些人第一反应就是上网不自由，信息被监控，影响业务甚至会降低办公效率等等。面对突出的问题，我们前期分别利用检查和访谈的方式，跟不同楼层业务单位的信息化负责人沟通，详细了解业务单位的电脑操作习惯、业务高峰期的分布情况，检查电脑终端配置及上网需求。有些业务单位的电脑终端配置较低，所以在准入控制方面确实会存在安全检查比较久的问题。而他们需要在上班后就投入到业务中，不希望安全检查占用他们太长时间。而有些业务单位上班时段也是业务高峰期，希望保持稳定的网络环境，与客商有足够的跟单时间，不希望中途因为网络中断导致无法进行业务往来。基于以上原因，我们推进准入的策略是，提高安检的效率，精简重要的安全检查项，对于不合规的项目提供一键修复而无需用户操作。并在夜间非业务高峰期开启准入策略，预先做好打点，避开第二天的上班期间出现集中打点导致的网络拥堵等异常情况。通过小范围的测试验证，后来在业务单位无感知的情况下，得到持续稳步的推进，确实发现存在的安全隐患并帮助他们逐一排除，他们的排斥心理也逐渐消失了。

具体实践的方法及过程

经过与网络准入控制的安全厂商不断深入地交流和讨论，并在“踩坑”的过程中形成了一套符合公司自身特点的网络准入控制实践方案。具体如下：

• 首先检查全网准入及终端管理软件的配置；
• 创建安全检查的模板，包括合规检查项的策略；
• 启用入网准入策略；
• 对信息化部门的电脑开启准入进行测试，开启前检查分组的准入及终端管理软件配置；
• 启用监听端口。

根据之前测试的情况，每个分组逐一开启入网流程前，务必先将监听端口关闭后，待入网流程启用后，再开启监听端口。

在具体的实施中，我们每一次调整策略，会先在信息化部门的分组上启用策略做小范围测试，没有问题后，将该策略移入安全检查模板，并加入到其他分组中启用。注意，在网络准入控制的操作中，都需要提前将消息通知给对应部门的信息员或行政人员，让他们内部通知，并知晓当前网络准入控制的方式及可能带来的影响，给用户先有个心理上的准备。

关于安全检查合规项的选择，我们根据项目属于部署初期的特点，结合公司信息安全管理规范中关注的点，指定了6项常规检查：禁用U盘自动运行检查、防火墙开启检查、禁用guest账号检查、密码强度不低于8位检查、病毒库更新天数不低于15天检查、补丁修复不低于15天检查。其中，前三项如不满足，可通过一键修复即可自动完成。而后三项如不满足，则用户需要根据弹窗提示手动修复。特别是在做密码强度的检查中发现，如果该用户是使用域账号登录，则需要检查当前域账号下的组策略是否符合密码强度安检要求。

病毒库的更新、补丁的下载安装都是基于当前客户端与控制台的通讯正常，对不满足要求的客户端更新病毒库，推送补丁。这个根据版本的差异性及补丁大小，会影响到客户端的修复时间。就有遇到个别的电脑终端，由于客户端在某一时间点与控制台失去通讯导致无法自动下载修复补丁，引发安全检查不通过持续下载安装很多补丁，占用大量的上班时间。后来，经过研判此项可以由控制台分组下发补丁自动修复的策略，于是去掉了补丁修复作为安全合规的检查项。通过静默自动下载安装补丁，让用户无感知，并减少用户因补丁下载安装失败导致的安检不通过，进而引起无法正常上网的问题。

使用成效

在本次的网络准入控制中，能发现不少问题，有些电脑没有安装公司的终端管理软件，并下载了恶意的软件全家桶导致弹窗广告满天飞，在入网检查中通过用户反馈发现该问题并安装了公司的终端管理软件，做了全盘的病毒查杀，并将木马病毒隔离。这类“裸奔”的电脑在本次终端入网准入的检查中，通过断网的方式能主动发现并提醒用户下载安装终端管理软件。

有个别电脑没有设置登录密码，在入网检查中被断网并要求用户必须设置8位以上登录密码才算合规。在基本的密码管理中能起到一定的检查作用，对于不合规的密码长度，特别是123456这类弱密码，后续将不断改进密码强度检查策略，启用密码复杂度要求检查。

某下属单位有一定数量的用户，在公司会使用笔记本电脑办公，但是有部分用户离开工作网络（如带回家或者出差）后超过一定的时间未再与内网控制台做通讯，导致病毒库未及时更新，当再次接入到公司网络后会提示用户必须更新病毒库后才算合规并允许上网。同时，通过这一次也让这些笔记本资产做了自助登记，有效地更新和维护了公司电脑的资产信息。

总结

网络准入控制，并不是数字化转型路上的“绊脚石”，而是信息安全航行上的“灯塔”，守护安全，照亮每一个角度。根据网络安全等级保护的基本要求，它实现了对非授权设备接入内部网络的发现和管控，能有效针对异常访问行为进行阻断，遏制信息安全事件的蔓延，为内部网络安全构建了一道基础的屏障。我们也将会持续推进网络准入控制，做到桌面终端、服务器的全覆盖，做到异地公司的全覆盖，做到网络安全检查的全覆盖，为企业安全做到持续有效的保障。