智能控制办公电脑安全接入网络实践与探讨

邓小勇

广西电网有限责任 公司桂林供电局信息中心，广西，桂林 541002

摘要：当今社会是信息数据化网络技术高速发展的社会，信息网络技术在不断向高端技术发展，数字网络应用逐渐普及^[1]。企业办公电脑运用于企业办公各个领域，成为企业员工工作、生活不可分割的一部分，极大的推动了企业信息数字化时代的发展过程。但随之而来的是计算机病毒无处不在，黑客的猖獗，加上安全机制的缺乏和防范意识不强，办公电脑网络安全面临了巨大的威胁。故数字化智能控制管理办公电脑安全接入网络被提上日程，来切实保障我们的网络应用环境安全可靠。

关键词：智能控制；办公电脑；安全接入网络

1. 引言

日前网络时代发展迅速，随着计算机终端的广泛应用和网络的不断普及，企业办公及企业级信息系统也日趋网络化，计算机运用于企业办公各个领域，成为企业员工工作、生活不可分割的一部分，极大的推动了企业信息化时代的发展过程。但随之而来的是计算机病毒无处不在，黑客的猖獗，加上安全机制的缺乏和防范意识不强，计算机终端网络安全面临了巨大的威胁^[2]。作为企业级信息网络与安全管理员，将担负着保障企业内部网络信息与安全的重任。当然，在保障企业内部网络信息与安全方面，我们也做了大量的技术保障措施，本文将详细实践与探讨保障本单位信息网络与安全的数字智能控制管理办公电脑安全接入网络相关技术措施，相关技术措施包括AD域管理技术、终端安全管理系统和数据流量监控分析技术等。

2. 数字智能控制管理办公电脑安全接入网络相关技术措施

1. AD域管理技术

AD（active directory）活动目录，指的是一组服务器和工作站的集合。域将计算机、用户的帐号密码集中放在一个数据库内，使得用户只使用一个帐号和密码就能够访问网络中的其他资源。

在网络中，AD域管理技术能集中管理域内用户帐号和权限^[3]。AD域控就如为一个办公场所安排一名大门保安，只有登录认证通过后，才能放你进入，未通过认证的只有被拒之门外。有效的增加了办公场所内部的安全性。

在本人从事的单位办公网内，通过有效部署AD域管理内网办公电脑，解决了以往对于桌面计算机系统用户账号的传统手工维护、监控上存在的低效、不全面的问题，使用域账号来替代传统的本地用户账号，实现了对域中的桌面计算机用户的统一管理，如账号权限、用户分组等；同时通过AD域与PKI系统相结合，为域用户提供了更为安全便捷的基于PKI-KEY的计算机系统以及业务系统的统一认证登录功能。

在AD域管理中，按照相应的桌面计算机操作系统的安全基线标准来制定、分发组策略，可达到高效快捷的统一配置域中桌面计算机的效果，有助于消除桌面运维工作的高重复性。AD域对域中资源的统一管理能力，也极大减轻了桌面运维人员的工作负担；解决了桌面计算机系统难以进行一致的安全设置问题，提高了桌面计算机系统的安全性。

2. 终端安全管理系统

在本人从事的单位办公网内，使用的是360网神终端安全管理系统，该系统管理内容包括：终端管理、用户管理、设备管理、日志报表、策略中心等模块。360网神终端安全管理系统是集桌面安全管理、防病毒和网络准入安全“三件套”于一体的系统。提供了防火墙、IDS、专业网管软件所不能提供的防护功能，对它们管理的盲区进行监控，成为一个实时的安全监控系统，并能够自动采集部署了该客户端的办公电脑安全运行情况，实现病毒日志、电脑异常告警日志、违规外联日志等自动上报控制后台，以便管理员能智能准确定位异常终端并进行相应应急处置。

2.2.1桌面安全管理模块

360网神终端安全管理系统桌面安全管理模块能实现对网络安全资源进行合理的规划，如防止非法移动设备接入内部网络、IP资源分配管理、静态IP同MAC地址的绑定、提供设备资源登记及硬件设备（硬盘、CPU、内存等）变化报警、进行内部网络连接阻断和管控非法存储介质接入内部办公电脑等功能。同时，该系统提供了实时监控的强大功能，能依据网络管理需要实时报警以及实时切断非法计算机同内网的连接。

桌面安全管理模块是基于局域网及广域网等网络，支持多级系统中心级联等管理模式，网络管理员能通过Web方式对整个系统进行应用策略配置，管理网络和查询报警数据等操作，有效防范不安全因素对企业办公网络构成的威胁，切实保障了内部网络的完全安全管理。

2.2.2防病毒模块

计算机病毒是不法分子在计算机程序中插入的破坏计算机功能或者数据的代码，影响计算机正常使用，并能自我复制的一组计算机指令或者程序代码。而360网神终端安全管理系统防病毒模块则是通过一定的技术手段防止计算机病毒对系统的传染和破坏。360网神终端安全管理系统是基于局域网及广域网等网络，支持多级系统中心级联等管理模式，能实时监控所有计算机终端。如有感染病毒的文件在员工计算机或移动存储设备中出现，则通过防病毒系统的实时监控和实施防御功能对该文件进行病毒清除。网络安全管理员也能方便从系统控制后台实时查看病毒查杀情况，并对高危染毒计算机进行针对性的现场应急处理，如重装系统等。切实保障信息企业级办公网安全稳定运行。

2.2.3网络准入模块

网络准入控制（Network Access Control, NAC ）是一个过程。通过强制作为网络访问前提条

件的IT安全策略，来减少网络安全事件，增强对企业安全制度的遵从。网络准入控制技术通过在端点连接到网络之前对它们的安全状态进行审计，并在连接到标准企业网络之前进行适当的更新。从而强制应用级的安全策略满足网络安全管理员设置的安全策略。

360网神终端安全管理系统网络准入控制模块是基于802.1x 认证协议运行机制，在用户访问计算机网络之前，需要提供有效的凭证来增加安全。802.1x 认证是通过与终端楼层接入交换机进行联动，由楼层接入交换机传递计算机允许登录的凭证到验证服务器。通常，验证服务器是一个RADIUS 服务器。如果凭证正确，RADIUS 服务器将发送一个认证消息到交换机或接入点，授权该用户访问网络资源，并配置该用户连接的服务属性。如果凭证错误，该用户将无法得到授权访问网络。

3. 数据流量监控分析技术

常用的网络安全检测工具如杀毒软件、防毒墙、IPS、IDS、防火墙等设备的检测大多基于已知安全漏洞及恶意代码特征的部分攻击行为，无法检测利用 0day 漏洞进行渗透的攻击。

通过将网络边界交换机数据流量包镜像到流量监控分析预警平台，预警平台智能分析大数据内网网络数据包，利用网络流量分析技术，异常访问定位技术、基于 Web 的攻击检测技术、恶意文件分析技术及云端的高级分析技术来综合分析检测发现 APT攻击击（Advanced Persistent Threat），即高级可持续威胁攻击。以便网络安全管理员快速准确定位渗透攻击非法用户，并及时进行应急处置，从而确保办公内网安全稳定运行。

3. 结语

计算机网络信息安全是一个需要深入探讨研究，并且综合性较强的课题，涉及的技术层面、管理层面、用户使用等诸多方面。网络安全不仅仅是技术问题，同时也是一个安全管理问题。要想能生成一个高效、通用、安全的计算机网络系统，则需要将各种安全技术与管理手段智能结合在一起。通过将AD域管理技术、终端安全管理系统和数据流量监控分析技术等综合起来，形成一套完整的、协调一致的网络安全防护体系。当然，随着网络的普及和网络技术的飞速发展，没有绝对安全的信息网络系统，但最为信息网络安全管理员，则必须时时刻刻关注本单位信息系统的安全态势，切实保障单位的信息网络安全，提高企业级信息系统安全稳定运行可靠性。

参考文献

[1] 赵红言,许柯,赵绪民.计算机网络安全及防范技术[J].陕西师范大学学报,2007(9).

[2] 王小芹.计算机网络安全的防范技术及策略[J].内蒙古科技与,2005(15).

[3] 彭珺,高珺.计算机网络信息安全及防护策略研究[J].计算机与数字工程,2011(9).