美國CSI/FBI在《計算機犯罪與安全調查報告》中指出，因內網安全漏洞造成的損失占所有計算機安全事故的一半以上；IDC的安全統計數據顯示，來自企業內部終端的安全威脅占整個安全威脅的70%以上；中國國家計算機網絡應急技術處理協調中心CNCERT/CC的《全國網絡安全狀況調查報告》指出，終端隱患已成為最大的安全威脅之一。內網終端已經成為企業網絡的阿喀琉斯之鍾，越來越多的企業都已經深刻認識到部署內網安全產品的重要性。

內網安全管理的隱患到底在哪

內網安全產品主要有三大標準架構，分別是：網絡準入控制（NAC）、網絡訪問保護（NAP）和可信網絡連接（TNC），這三大標準體系分別定義了各自的實現協議，但遵從類似的體系框架。

內網安全架構中，存在三個邏輯組件，分別是：終端代理程序、準入控制點（也稱為策略強制點）、策略決策點。其中，準入控制點是整個體系的關鍵，承擔著與后臺策略決策系統交互，控制終端對網絡的訪問，隔離非健康終端并協助其修復等多項功能。準入控制方式的選擇（也稱為策略強制點的選擇）至關重要， 內網安全產品能否成功部署，主要就在于能否結合企業網絡的具體情況，選擇到合適的準入控制點。

深入分析后，我們發現：由于絕大多數銀行用戶，其內網安全管理薄弱，內網用戶違規行為嚴重，從而導致內網用戶違規行為和安全問題頻繁發生，也因為無法追查到違規行為和攻擊的違規行為責任人、攻擊源頭，從而不能有效抵御和消除內網安全威脅和風險。

之所以存在這樣的困境，是因為內網中的用戶是虛擬的，缺乏有效的技術手段讓在網絡中虛擬的用戶與內網中真實的用戶一一對應起來，不能做到精確定位和追根溯源。以至于即使發生了安全事件，也無法找出隱藏在背后的真正責任人和"真兇",安全管理制度和條例也就形同虛設。

如果能夠建立內網用戶實名管理機制，所有的內外網用戶都必須實名上網，則可以彌補現實與網絡虛擬世界之間的鴻溝，以便保證網絡中的安全問題都可以精確定位和追根溯源，這樣就可以建立對內網違規和非法行為的威懾力，確保用戶在內網的各項行為都嚴格按照內控管理的要求進行，最終消除內網安全問題的隱患。

天珣準入控制如何構建銀行實名制合規管理系統

銀行網絡實名制合規管理，就是通過建立銀行內部網絡中用戶確定的身份標識，將網絡中的用戶標識與現實生活中真實的用戶建立起一一對應的關系，確保銀行內部每一個員工都能依據自己在銀行內部的真實角色，在網絡虛擬世界中從事與自己本職工作相關的行為。

天珣具備業界最完善的計算機終端準入控制機制，從終端層到網絡層，再到應用層和邊界層，提供了客戶端準入、網絡準入和應用準入等多種準入控制手段， 幫助銀行用戶，不僅能夠實現對所有接入和訪問內網的終端和用戶進行身份認證和安全檢測，而且能夠借助準入控制提供的強制力，保證內網用戶必須按照自己的合法身份和網絡訪問權限接入和訪問網絡，實現內網用戶實名接入和訪問網絡，為銀行用戶構建實名制合規管理系統。

圖1為基于天珣多層準入控制基礎上的銀行實名制合規管理系統邏輯示意圖：

圖1天珣準入控制構建銀行實名制合規管理系統

基于天珣多層準入構建的銀行實名制合規管理系統，可以將網絡用戶名、終端MAC地址、終端IP地址、VLAN信息、終端用戶在授權的時間周期、終端自身的安全狀態和管理狀態一個或者多個條件綁定作為用戶登錄并訪問網絡的身份條件，實現實名接入內網、實名訪問業務系統、服務器資源以及實名網上鄰居。

1）實名制內網接入

當終端試圖通過交換機接入內網時：天珣能夠在內網接入層，甚至內網匯聚層，與接入層或匯聚層的網絡設備聯動，對嘗試聯網的終端實施網絡準入控制，執行身份驗證和合規檢查，保證只有使用專屬于指定的用戶名/密碼、指定的終端、指定的IP地址，并在授權有效期限內，接入內網。對于不合規的終端，系統將自動對其進行隔離或者自動劃入修復區。

2） 實名制業務系統和服務資源訪問

當接入網絡的終端試圖訪問內網服務器或關鍵業務系統時：天珣在關鍵業務系統服務器之上，執行應用層準入控制，可以對來訪的終端執行合規檢查，保證使用專屬于指定的用戶名/密碼、指定的終端、指定的IP地址，并在授權有效期限內，才能對內網服務資源進行授權訪問，如果來訪終端非受控或不合規，將被拒絕訪問該服務器或業務系統。天珣可以詳細記錄由終端發起的各種網絡行為，其中包括終端對業務系統服務器的網絡訪問記錄，如果業務系統或服務器發生了意外的非法訪問或攻擊，可以通過天珣所記錄的網絡行為信息，定位非法方位或攻擊是從那臺終端發起，追查事件的責任人。

3）實名制網上鄰居

當兩個終端相互之間進行訪問時：合規受控的終端可以對來訪的終端實施客戶端準入控制，對來訪的終端執行合規檢查，只接受合規安全的終端的訪問，杜絕不安全的終端進行非法訪問，也有效切斷感染蠕蟲病毒的非受控終端對合規終端的病毒感染和傳播。

借助實名制管理系統，還可以幫助銀行實施實名制終端行為審計和實名制移動存儲管理，即便是內網意外發生安全事件，借助實名管理系統，即可精確定位到發起網絡訪問的終端和用戶賬號，并通過集中管理的用戶系統，很容易就找出當時具體是哪個員工在訪問網絡，從而為加強企業安全管理，將安全管理政策的執行，具體落實到每一個員工，并在企業網突發安全事件，也能夠快速定位源頭，并找出該安全事件的責任人。

銀行實名制合規管理系統案例賞析

中國建設銀行廣東省分行一直都很關注網絡實名制對內控管理的價值，而啟明星辰的天珣多層準入控制的獨特價值，正切中了實現企業網實名制管理的關鍵，經過與啟明星辰深入交流之后，中國建設銀行廣東省分行最終選擇了啟明星辰的天珣內網安全風險管理與審計系統，為廣東建行構建用戶實名制合規管理系統。

圖2 建設銀行廣東分行基于天珣的實名制管理系統示意

廣東建行實名制管理合規系統是由安裝在每一臺終端的天珣客戶端軟件、接入層交換機和天珣后臺認證和管理服務器組成的。其中天珣客戶端不僅作為用戶進行驗證和登錄網絡的起點，也是終端全程安全防御的起點；后臺的天珣認證和管理服務器作為驗證和管理終端與用戶的系統，維護終端實名制管理列表，而接入交換機則作為終端和用戶接入和訪問網絡的唯一入口，實現內部合法用戶使用實名接入和訪問網絡。

內網安全是當前網絡安全領域的熱門話題之一。在內網安全產品架構中，準入控制方式至關重要。通過深入分析目前業界主要準入控制機制的技術原理，我們可以發現，包括802.1X、終端防火墻、DHCP控制、ARP spoofing、DNS重定向等各有其優缺點。一般地，我們可以根據企業網絡的具體情況，選擇一種或者多種準入控制方案，完成內網安全產品的部署。啟明星辰的UTM2統一安全套件，使用網關來完成準入控制功能與終端安全軟件的有機配合，在易部署、強制性、統一性等準入控制綜合能力上可圈可點。這也體現出，像啟明星辰這樣集多種網絡安全核心技術于一身的綜合類安全提供商，正在為整合企業網絡安全應用做出有益的探索。