一种网络终端控制方法与流程

本发明涉及一种控制方法，特别是一种网络终端控制方法。

背景技术：

目前在电力企业中，网络管理员更多关注网络对外部的防护，包括部署ips/ids、防火墙等设备，但是实际中更多的网络安全事件都是由脆弱的用户终端和“失控”的内网使用行为引起。在内网中，用户终端不及时升级系统补丁和病毒库的现象普遍存在，“失控”的用户终端一旦接入网络，就相当于安全威胁绕过了ips/ids、防火墙等，直接面对网络核心业务。因此保证用户终端的安全，对用户的内网访问行为进行有效的控制，是保证网络安全运行的前提，也是目前内网安全管理急需解决的问题。

由于网络终端已经涉及到生产和办公的诸多领域，扮演的角色极其重要，因此对网络终端的准入控制也极其重要。用户终端作为内网防护的薄弱端，如果在用户终端上出现安全事件，将会严重威胁内网安全性，继而影响电力企业与内网相关的生产、办公的正常进行。

一方面由于网络终端设备中有可能存储机密信息，且信息内网与信息外网、互联网等不允许连接，如未做好网络终端准入控制，则有可能发生终端设备违规外联，或非法设备接入的情况，导致信息泄露。

另一方面由于网络终端在生产办公中地位重要，因此保持网络和终端的稳定性、可用性都是很重要的。一旦发生网络故障，将严重影响生产办公秩序。准入控制是保证网络稳定性的一个重要环节。

当前很多的网络终端准入控制方法主要以人工管理和软件控制为主。人工管理主要包括网络端口绑定以及终端接入、回收时的台账登记；软件控制主要包括桌面终端标准化管理系统和综合网管系统。

当前网络终端在接入网络时，例如新设备的接入、旧设备的位置移动时，需要接入的终端设备和连接的室内网络端口、以及对应的机房交换机端口进行绑定。若终端接入网络时其绑定信息和端口信息不符，则不允许接入网络。这样可以防止内网外联，也可以防止非法接入。这种方法需要网络管理人员对交换机进行操作，将设备的mac地址和接入的ip地址进行绑定。

台账登记指的是在设备接入/位置移动时，由运维人员登记设备的相关信息，例如使用人、ip、mac地址和设备序列号、等信息，并上报信息专业人员进行记录；在设备报废回收时，也同样由运维人员记录相关的信息并上报信息专业人员记录，信息专业人员通过对设备信息、使用人信息等信息的核对，确保使用人始终对应其使用的设备，实现对网络终端的跟踪管理。

在软件方面，管控用的软件主要是针对计算机终端设备管理所使用的桌面终端标准化管理系统（简称“桌管系统”），以及针对网络交换机设备管理的综合网管系统。桌管系统主要实现的功能是对计算机终端设备产生违规外联时进行监控，阻断、告警和日志取证，并记录所安装网络终端的硬件、软件信息。网管系统主要实现的功能是对网络交换机设备在运状态进行监控，告警，其侧重点在于网络故障检修辅助。

技术实现要素：

本发明的目的在于克服现有技术的不足之处，而提供一种能够保证电力企业内网终端的稳定运行和网络安全，有利于节约管理和运维成本，有利于电力企业内部网络的规划和发展，也有助于电力企业工作的稳定开展的网络终端控制方法。

一种网络终端控制方法：（1）.在设备采购但未安装时，统一为设备预装操作系统和所需办公软件，以便后期维护和管理。安装软件中包含桌面终端标准化管理系统，它可以在每次开机时自动检查系统的版本，以防操作系统被篡改；

（2）.在设备安装时，凭借调配单或异动单对用户和计算机信息进行记录并录入系统，实现人机信息绑定，此外，用户的计算机mac地址也将与分配的ip地址，以及用户的计算机所接网口对应的机房接入层交换机端口进行三者绑定，不符合绑定信息的设备无法通过接入层交换机进入网络，并且每次入网时都会通过桌管系统检查绑定情况是否符合，对绑定情况不符的终端以及无法通过桌管系统验证的终端均拒绝入网；

（3）.对于刚刚接入网络的终端设备，都要通过以旁路方式连接到网络核心层交换机的入网规范管理系统（asm）进行身份认证和安全检查，身份认证是指入网终端是否是已登记的、使用中的终端；安全检查是指检查杀毒软件、系统漏洞补丁的安装情况等，对于通过身份认证和安全检查的设备才允许其入网；

（4）.当设备涉及位置移动时，如果接入的网口变动则更改交换机端口与ip/mac的绑定关系，先解绑旧端口再绑定至新端口，如果设备移动的位置较大，可能需要更改ip以实现更好的ip段管理时，则除了重新绑定端口之外，还需要重新绑定ip。此外，运维人员负责将用户设备的更改信息录入系统；

（5）.当由于人员变动或设备以旧换新，需要对终端设备进行回收时，先确保需要保密的信息已经妥善保存并从终端中删除，然后查询该用户终端的绑定信息，解绑ip和mac端口，最后将终端设备回收。

综上所述的，本发明相比现有技术如下优点：

1.非法设备接入网络的及时阻止和告警，有效消除了非法设备接入网络带来的隐患，网络管理员也能够迅速定位到接入的具体信息。

2.员工入网时的违规外联行为阻止和预警，以及错误联网时的及时阻止，例如将内网机连入外网时网络将立刻被阻断，使用手机等连接到电脑时，网络管理员也能够及时发现此类违规外联情况。

3.对终端管理的进一步完善，通过全过程管理，进一步减少终端在购置、分配、回收等过程中的不规范行为。

4.对运维过程的进一步完善，通过详细的规则提升运维效率，减少运维过程中不规范或有可能造成风险的行为。

5.部署的asm方案将有助于进一步简化终端管理流程，有助于提升效率和消除盲点。

6.缺陷智能化管理解决方案能够降低运维工作量，提升运维效率。

综上，通过该网络终端准入控制标准策略，能够保证内网终端的稳定运行和内网的安全，有利于节约管理和运维成本，有利于电力企业内部网络的规划和发展，也有助于电力企业工作的稳定开展。

附图说明

图1是用户终端资产管理流程图。

图2是设备生命周期管理流程图。

图3是asm对入网设备的检查流程图。

具体实施方式

下面结合实施例对本发明进行更详细的描述。

实施例1

一种网络终端控制方法，1.在设备采购安装后，统一为设备预装操作系统和所需办公软件，以便后期维护和管理。安装软件中包含桌面终端标准化管理系统（简称“桌管系统”），它可以在每次开机时自动检查系统的版本，以防操作系统被篡改。

2.在设备安装到用户处安装时，凭借工单（调配单或异动单）对用户和计算机信息进行记录并录入系统，实现人机信息绑定。此外，用户的计算机mac地址也将与分配的ip地址，以及用户的计算机所接网口对应的机房接入层交换机端口进行三者绑定，不符合绑定信息的设备无法通过接入层交换机进入网络。并且每次入网时都会通过桌管系统检查绑定情况是否符合，对绑定情况不符的终端以及无法通过桌管系统验证的终端均拒绝入网。该步骤主要在于规范终端信息，保证桌管系统的准入规则以及下一步的asm所做的检查可以正常运行。

3.对于刚刚接入网络的终端设备，都要通过以旁路方式连接到网络核心层交换机的入网规范管理系统（asm）进行身份认证和安全检查。身份认证是指入网终端是否是已登记的、使用中的终端；安全检查是指检查杀毒软件、系统漏洞补丁的安装情况等。对于通过身份认证和安全检查的设备才允许其入网。该步骤主要在于防范平时合法用户终端受到病毒感染，以及非法终端接入的情况。

4.设备涉及位置移动时，如果接入的网口变动则更改交换机端口与ip/mac的绑定关系，先解绑旧端口再绑定至新端口。如果设备移动的位置较大，可能需要更改ip以实现更好的ip段管理时，则除了重新绑定端口之外，还需要重新绑定ip。该步骤主要保证在设备位置变动时，确保ip、mac地址、交换机端口的绑定正确，这样才能使第二步桌管系统和第三步asm的认证正常运行。

5.当由于人员变动或设备以旧换新，需要对终端设备进行回收时，先确保需要保密的信息已经妥善保存并从终端中删除，然后查询该用户终端的绑定信息，解绑ip和mac端口，然后将终端设备回收。该步骤主要保证网络终端的安全回收，以及回收后原有ip和交换机端口可以重新使用。

本实施例未述部分与现有技术相同。