网络准入控制系统在电网企业的应用研究.pdf

3 8 熙曼曩了夕 电力信息安全专家J 厂 中图分类号：T P 3 19文献标志码：B文章编号：2 0 9 5 6 4 1X ( 2 0 13 ) 11 0 0 3 8 0 7 常荣 ( 云南电网公司玉溪供电局，云南玉溪6 5 3 1 0 0 ) 摘要：随着电力企业信息化程度的不断提高，企业对信息网络的依赖程度越来越高，网络内部不安 全因素对信息安全的危害越来越大。文章介绍了网络准入控制技术的研究现状与发展，及目前常 见的网络准入控制技术的特点。并分析了其优点及不足之处。此外。还介绍了网络准入控制技术在 电网企业的应用情况，结合云南电网公司网络准入控制系统的部署情况，指出了云南电网网络准入 控制系统目前在无线网络准入控制、设备准入控制、虚拟化应用支持、非W i n d o w s 系统平台支持 中存在的不足，需要对其不断地进行完善。 关键词：网络准入控制；8 0 2 1 x ；网络安全；安全策略：终端管理 0 引言 随着电力企业信息化程度的不断提高，电网企 业对信息网络的依赖程度越来越高，各种各样的设 备需要接入企业的内部网络来访问企业资源，电网 企业的内网安全管理工作面临的挑战越来越大。据 统计，8 3 的信息安全事件是由内部人员或内外人 员勾结所为【l 。】，因此加强企业内部网络安全管理是 非常必要的，网络准人控制技术可以阻止外来人员 未经允许非法接人企业内部网络、限制企业内部用 户的网络访问行为、加强内部用户的网络接人控制， 1 3 益受到企业的关注。目前很多企业部署了网络准 人控制系统H 墙】，电网企业 9 - 15 也通过部署网络准人 系统来保证用户终端的安全、阻止威胁人侵网络，实 现网络安全的主动有效控制。 网络准入控制( N e t w o r kA d m i s s i o nC o n t r o l 。 N A C ) 概念最早由C i s c o 公司于2 0 0 3 年提出 1 6 - 1 7 1 。 2 0 1 3 年第1 1 卷第1 1 期 E L E C T R I CP ( W E RI ( ：T 其核心思想是从终端网络接人控制人手，结合认证、 安全策略服务器、网络设备，以及第三方系统( 病毒 和补丁服务器) ，完成对接人终端的认证和安全策略 检查，达到保障网络安全的目的。换言之，网络准入 控制系统将自动更新、安全状态审核、准入控制等思 想集中在一起，从过去的被动防御和分散安全管理 变为主动防御和集中安全管理。图l 展示了网络准 人控制技术认证层级。 图1N A C 认证金字塔 F i g 1 A u t h e n t i c a l i o ns t r u c t ur eo fn e t w or ka c c e s sc o n t r o 万方数据 常见的网络准入控制技术 网络准人控制作为系统安全的关键技术之一， 很多机构和研究者对其进行了研究 1 6 , 1 8 - 2 1 ，并在 很多行业进行应用【4 。8 】。按实现方式，可分为两大 类：基于网络的准人控制和基于主机的网络准人控 制。基于网络的准入控制主要有基于局域网的扩展 认证协议( E x t e n s i b l eA u t h e n t i c a t i o nP r o t o c o lO v e r L A N ，E A P O L ) 技术、基于用户数据报的扩展认证 协议( E x t e n s i b l eA u t h e n t i c a t i o nP r o t o c o lO v e rU D P 。 E A P O U ) 技术、网络P l u g i n 技术；基于主机的准人 控制技术主要有系统及应用准人、客户端准入。按 准人控制所在的层次，可分为终端层、网络层和应用 层准入控制3 种( 见表1 ) 。从目前网络准人控制技 术发展的趋势来看，网络准人控制系统将向全面、多 层次方向发展，不仅局限于终端，还对用户上网行为 的全过程进行监管。 2 几种主流的网络准人解决方案 前面介绍的网络准入控制技术是一项由思科发 起、多厂商参加的项目，因此不同的厂商具有不同的 解决方案。就目前而言，比较成熟解决方案有：C i s c o N A C 网络接入控制技术( N e t w o r kA c c e s sC o n t r 0 1 ) 、 类别技术 E A P O L I ： 基于网 慈翁E A P O U l 2 P l u g i n 【2 癌醐疆最 F 万曩嚣焉 f _ M i c r o s o f tN A P 网络接入保护技术( N e t w o r kA c c e s s P r o t e c t i o n ) 、华为3 C O ME A D 准入控制技术、 S y m a n t e cS N A C 网络准入技术以及T N C 可信网络 连接技术( T r u s t e dN e t w o r kC o n n e c t i o n ) 等【l 】，这些 解决方案的主要思路是从用户终端人手，通过管理 员指定的安全策略，对接入私有网络的主机进行安 全性检测，自动拒绝不安全的主机接人，保护网络直 到这些主机符合网络内的安全策略为止。 2 1C i s c oN A C C i s c oN A C 网络准人控制技术能够检测包括 通过W A N 链路、I P s e c 远程接入、拨号接入、V P N 接入、局域网、无线设备等所有接入方法部署的 终端。 N A C 系统主要包含N A CA p p l i a n c e ( N A C 产品) 和N A CF r a m e w o r k ( N A C 框架oN A CA p p l i a n c e 方 案由3 个组件构成：C i s c oC l e a nA c c e s sA g e n t ( 有W e b A g e n t 或E x eA g e n t ) 、C i s c oC l e a nA c c e s sS e r v e r ( 评 估设备并基于终端的策略符合情况授予访问权限) 、 C i s c oC l e a nA c c e s sM a n a g e r ( 集中管理C A S ，包括 执行策略和修补服务等oN A CA p p l i a n c e 通过终端 评估、策略管理和修补服务支持以实现快速部署，适 合规模较小、拓扑简单的网络。 表1 网络准入控制技术比较 T a b 1C o m p a r i s o n so fd i f f e r e n tn e t w o r ka c c e s sc o n t r o lt e c h n o l o g i e s 控制层次优点缺点 1 ) 国际标准协议，适用范围广； 2 ) 在网络接入层进行准人控制，控制粒度细； 网络层3 ) 能同时实现设备身份认证及安全状态 检测； 4 ) 无需改变网络的拓扑结构。 1 ) 对网络接入设备要求低，实施覆盖面广； 网络层2 ) 部署容易； 3 ) 无需改变网络的拓扑结构。 1 ) 对网络接人设备要求低。实施覆盖面广； 网络层2 ) 部署容易； 3 ) 具有访问控制功能。 1 ) 存在功能一致性的问题； 2 ) 交换机必须支持8 0 2 1 x ，存在投资保护的问题； 3 ) 对网络接人设备要求高实施覆盖面小； 4 ) 对大规模的网络部署困难配置管理复杂； 5 ) 对网络的性能有一定影响。 1 ) C i s c o 的专有协议，适用范同窄； 2 ) 在网络的汇聚层或核心层进行准人控制，控制粒度粗，即使 不符合准人控制策略仍可以访问其所在的接人层网络； 3 ) 使用U D P 传输认证数据包，在大用户量的情况下，会产生 显著的认证失败问题。 1 ) 改变网络拓扑，增加管理的复杂性及单点故障的几率； 2 ) 增加用户的投资； 3 ) 准人控制点和E A P O U 类似位于网络的汇聚层或核心层， 控制粒度粗。 基于主。翟孽璺兰錾：至置要：翌呈兰接入设备要求1 ) 系统及应用准人控制点处于企业网络的核心，远离终端，对 磊晶裹系竺罂只。2 、客竺塑篓要燮竺已有的投尧森磊磊荔一1 十H 、J ，堆孙师H 、l t 犁i * ”l 县，V 曲 黼麟枞蝴4 焉鐾器雾淼黝删基于进程的访矗蒸鬈蕊莩附客户端部署瓶 。 ) 访问控制功能强的，能够做到基于进程的访 。 2 0 1 3 年第1 1 卷第1 1 期 E L E f T E I CP ( ) W E I 己I ( 、T 3 9 技术研究L像心 万方数据 孽囊 N A CF r a m e w o r k 的组成包括客户端A g e n t 、 策略服务器、网络设备及集中管理系统。安全认证 分为基于L 2 一I P 和基于8 0 2 1 x2 种。表2 详细介绍 了N A Co v e r8 0 2 1 x 和N A Co v e rL 2 I P 认证方式的 特点。 表2N A Co v e r8 0 2 1 X 和N A Co v e rL 2 一I P 认证方式 T a b 2T h ea u t h e n t i c a t i O nm o d eo fN A Co v e r8 0 2 1Xa n d N A Co v erL 2 I P 序号认证方式 N A Co v e r l 8 0 2 1 X N A Co v e r L 2 I P 特点 1 ) 使用8 0 2 1 X 胁议，可根据入网终端的健康状况决 定是否允许其人网； 2 ) 利用8 0 2 I x 进行终端和客户端的身份识别、认证 和授权等操作，从而实现资源访问层面的安全性； 3 ) 采用V L A N 控制h 式，实现灵活控制。， 1 ) 使用U D P 协 义传递用户终端健康信息，而不依赖 于8 0 2 1 x 协议。，存在认证失败的情况：! j 网络拥塞 时尤为严重； 2 ) 网络l 殳备须开启I PS o u r c eG u a r d 和D H C P s n o o p i n g 功能，对网络设备性能要求高； 3 ) 通过A C L 的方式控制终端的通信行为控制力式 不灵活。 N A CF r a m e w o r k 虽然对网络环境要求高，存在 投资保护问题，但可以很好地与第三方安全产品进 行联动，为规模较大、拓扑复杂的网络提供从无线到 有线、本地到远端的多层次、多平台的安全防护。 2 2M i c r o s o f tN A P 微软网络访问保护N A P 是一种区别于N A C 的 准人控制体系结构，N A P 提供了一套完整的校验方 法来检测接人终端的健康状态，确保终端运行状况 策略符合要求，并有选择地限制安全状况不正常的 计算机的网络访问。N A P 具有强制更新功能，该功 能可以和其他厂商的软件进行整合，实现对接人终 端特定系统或软件进行更新检查，对不更新的终端 限制其接人，最终实现以下目标： 1 ) 监视计算机访问网络是否符合健康策略要求； 2 ) 自动更新计算机，使其符合健康策略要求； 3 ) 限制不符合安全策略要求的计算机，将其限 制在受限制的网络中 t 6 1 。 2 3H 3 CE A D E A D 是华为3 C O M 在2 0 0 5 年前后推出的端点 准人防御解决方案，该方案通过客户端A g e n t 、网络 设备、安全策略服务器及防病毒软件对接入网络的 终端下发安全策略，控制用户终端网络使用行为，以 口銎篡1 慕搏 提高终端的主动防御能力。E A D 解决方案包括补丁 服务器、C A M S 服务器( 安全策略服务器) 、防病毒服 务器、H 3 C 客户端A g e n t 和安全联动设备等基本部 件，通过安全策略中心协调各部件实现对接入网络 的终端的安全准人控制。 E A D 解决方案主要有3 种部署方式：接人层准 人控制、汇聚层准人控制以及多厂商设备混合准人 控制 16 1 。表3 归纳了3 种部署方式的特点。 表3E A D3 种部署方式 T a b 3T hr e ed e p l o y m e n tm o d e so fE A D 序号部署方式特点 接人层准 人控制 汇聚层准 入控制 多厂商设 3备混合准 入控制 1 ) 要求接入层交换机都支持E A D 特性，需要采用 H 3 C 系列交换机实现8 0 2 1 x 认证和动态A C L ， V L A N 崩涮： 2 ) 该方案比较适合于新建的网络， 1 ) 将汇聚层设备作为安全准人控制点，以解决接 人层设备不支持E A D 特性时实现E A D 解决方案 应用； 2 ) 该方案有利于保护企业的现有投资 1 ) 安装1 台或多台网关设备作为强制认证控制器， 使用基于P o r t a l 的认证协议与i N o d e 客户端、安全 策略服务器配合完成E A D 端点准人防御，P o r t a l 认 证同8 0 21 x 认证相比具有应用简单的优势； 2 ) E A D 解决方案中使朋ri N o d e 客户端来进行终 端的安全状态检测和控制，扩展了P o r t a l 协议，使之 不仅能够处理H t t p 协泌，还町以控制其他协议的数 据流。 2 4S y m a n t e cS N A C S N A C 解决方案包含了L A NE n f o r c e r ，G a t e w a y E n f o r c e r s ，D H C PE n f o r c e r s 。 1 ) 采用L A NE n f o r c e r s 即8 0 2 1 x ，网络准人的 控制粒度较细，但对网络设备有较高的要求：所有接 人层交换机必须支持8 0 2 1 x ，而且接入层交换机下 面不能再接H U B 或者非8 0 2 1 x 交换机。此外，实 施起来比较麻烦，并非所有设备的操作系统都支持 8 0 2 1 x ，比如网络打印机、传真机、L i n u x 机器等。 2 ) G a t e w a yE n f o r c e r s 方案是在网络瓶颈点部 署的内嵌实施设备，典型部署方案是位于远程分支 机构与公司总部之间的V P N 、无线网络和会议室网 络等场景。 3 ) D H C PE n f o r c e r s 以内嵌方式部署在端点 和企业现有的D H C P 服务基础架构之间，如果端 点没有运行代理或者处于不遵从状态，则D H C P E n f o r c e r s 会分配限制性的D H C P 租用，提供的是不 万方数据 可路由或隔离的I P 地址，降低网络访问权限，D H C P E n f o r c e r s 不太适合大规模的应用，只适合作为辅助 方案。 S N A C 的策略管理都通过一个管理控制台进行， 即S E P M 服务器。在S E P M 服务器里需要设置控制 策略、交换机、R a d i u s 等信息。 2 5T N C T N C 是建立在基于主机可信计算技术之上的 一种网络准人控制技术，通过使用可信主机提供的 终端技术，提供一种由多种协议规范组成的框架，来 实现终端网络访问准人控制。换句话说，通过协议 的扩展，将T N C 技术应用到网络上，实现网络准人 控制功能。当可信的端点要接入网络时，须先使用 整体性的安全策略评估后，结合网络访问控制策略 ( 例如8 0 2 1 x 、R a d i u s 、I K E 协议) 来完成网络接入 过程。 T N C 网络准人控制技术可以实现以下功能： 1 ) 验证用户身份及平台状态完整性检测； 2 ) 确认终端及其用户权限； 3 ) 建立在其接入网络前的可信级别； 4 ) 平衡已存在的产品、标准及技术； 5 ) 根据终端的状态建立一个可信级别，实现终 端访问策略授权； 6 ) 隔离不符合可信策略的终端，使之在可信网 络之外，若可能，对其进行修复。 3 网络准入产品技术比较 以上介绍的几种主流网络准入解决方案中，虽 然其实现方式各不相同，但其实现的目标和采用的 技术却有很大相似性，可以理解为终端、网络设备、 安全策略服务器这3 个组件协同配合工作，其区别 主要表现在以下几个方面【l9 1 。 1 ) 协议。C i s c o 、华为通过采用E A P 、8 0 2 1 X 及 R A D I U S 协议实现网络准人控制，依赖于各自网络 设备的特性。微软则采用D H C P 和R A D I U S 来实 现，依赖于自身的O S 及A D 域，并强制选择D H C P ， I P S e c ，8 0 2 1 X ，V P N 隔离，对不同厂家的网络设备进 行了屏蔽。 2 ) 身份认证。C i s c o 、S y m a n t e c 使用R A D I U S 服务器作为身份认证平台，微软则使用自身的A D 域 实现身份认证，华为主要采用用户名密码的方式进 行身份认证。 嬲曩曩了夕 t 乜力信息安全专家j 厂 3 ) 管理方式。C i s c o 、S y m a n t e c 、微软、华为均选 择了集中控制管理方式，用户管理和准人策略由统 一的管理平台负责，策略控制、应用则由策略服务器 和第三方产品协同进行。 4 网络准人控制系统在电网企业的应用概况 电网企业是信息化高度发达的行业之一，为了 提高企业终端的网络准入，很多电网企业部署了网 络准入系统，从技术上加强了对局域网内计算机的 监管，从而终端设备的抗风险能力显著提升。表4 归纳了文献中介绍的电网企业采用的网络准人解 决方案，根据企业自身的需求，普遍采用S y m a n t e c S N A C 网络准人系统。 表4 电网企业采用的网络准入解决方案 T a b 4T h es o l u t i o no fn e t w or ka c c e s sc o n t r o lu s e db y p o w e rgr i de n t e r p r i s e s 食业网络准人 霎 名称懈决方案 “水 1 ) 能够有效阻止不满足安全条件的内部计算 。 机和外部存储设备、移动设备擅自接k 网络以 虑器8 y s m 撇a n t e 。i 燃嚣畏全管理提供了技术 手段，有效提高内网信息安全防护水平。 1 ) 支持多种准入控制模式，可以选择在不同网 段分别启用8 0 2 1 x 认证、非8 0 2 1 x 认证、不启 用网络准人等准人方式的组合； 供毫：，8 y s m N a A n c t e 。；：萋薹霁喜羞篡蠡喜萋毽的判断； 4 ) 实现计算机终端合规性的判断； 5 ) 满足计算机终端安全防护需求。 I ) 设备准入控制：设备经过授权方能接入网 络未经授权的设备禁止接入网络； 黜 S y m a n t e c 篇鬻凳篙淼篇裟 公卅”“ s N A c 3 ) 终端安全性、合规性控制：只有符合安全策 略的终端才可以接人网络，不符合安全策略的 终端，放人隔离网络进行修复。 I ) 实现设备准人控制：通过M A C 地址实现 嚣川s y 呲m a n c t 。鋈季裟燃黧淼 2 ) 终端安全性、合规性准入控制。 从表4 各供电局的需求来看，S y m a n t e cS N A C 网络准入系统能够满足电网企业网络准人需求，具 有很好的适应性和扩展性，因此在电网企业中得到 了广泛的应用。 2 0 1 3 ：慧：1 三慧11ELE(T嚣T 口：l u ( ：p ( ) w E l tI ( ： 万方数据 口 二瓣参 E L E C T R l CP O W E Rl C T 5 云南电网公司网络准人控制系统应用情况 为了提高企业终端的网络准人，云南电网公司 在全省地市供电局统一部署了华赛T S M 网络准人 控制系统，系统主要提供终端安全接入控制、终端安 全管理、补丁管理、终端用户行为管理、软件分发、资 产管理等六大功能。系统通过终端网络准人控制、 终端安全检查、访问控制和安全修复，有效控制了包 括企业员工、外部访客、合作伙伴的临时员工等对网 络的访问，同时，系统还能够随时发现并隔离带有威 胁的终端主机，提升云南电网网络防御安全威胁的 能力。 玉溪供电局实施的华赛T S M 网络准入控制系 统，实现了计算机终端的实名制安全管控，切实做到 预防木马、病毒、A R P 欺骗攻击以及非法外联等主动 违规行为，有效规范了计算机终端接人流程，减轻了 终端维护工作压力，提高了网络与信息系统安全水 平，但同时也存在着一些亟需改进的地方。 1 ) T S M 网络准人控制系统部署采用网关方式， 控制的细粒度较大。目前T S M 将云南电网的网络 资源按照业务和安全等级划分为3 个安全域：认证 前域、隔离域和认证后域。认证前域指终端在身份 认证和安全检查通过前能够访问的网络资源，认证 后域指终端在通过身份认证和安全检查后能够访问 数据中心的网络资源，隔离域指终端在通过身份认 证但没有通过安全检查时所能访问的网络资源。华 赛T S M 网络准人控制网关部署在云南电网公司数 据中心和互联网资源核心交换机上，而玉溪供电局 的局域网资源处于认证前域，接人玉溪供电局的终 端无需经过身份认证和安全检查即可访问玉溪供电 局的网络资源，对终端的准人控制粒度较粗，存在信 息未经授权非法访问、数据泄露的风险。 2 ) 系统部署结构单一，A g e n t 客户端无法实现 异构系统的网络准入( 如L i n u x ) 。云南电网华赛 T S M 网路准人控制系统采用了P K I C A 数字证书进 行身份认证，目前客户端A g e n t 仅支持W i n d o w s 系 统，对于L i n u x 系统终端、A n d r o i d 、i O S 移动终端无 法通过P K I C A 数字证书进行准人，极大地限制了 这些移动设备的使用。而B Y O D ( B r i n gY o u rO w n D e v i c e ) 模式的兴起，给企业的信息化工作带来了新 的挑战。目前云南电网T S M 网络准人系统还无法 有效地对移动设备实施准人控制，为不断适应信息 2 0 1 3 年第1 1 卷第1 1 期 E L E C T R I CP O W E RI C T 技术的发展的要求，不断对T S M 网络准入系统进行 完善是非常必要的。 3 ) 存在多主机模式。在T S M 网络准人控制系 统日常的维护中发现，如果某个会议、培训需要临时 开通无线网络时，信息中心一般通过架设一个普通 的无线A P 或者一个充当H U B 作用的交换机，为这 些会议和培训提供网络服务，当接在这台H U B 或 A P 上的一台终端通过认证并授权后，这台H U B 或 A P 后面任意数量的终端都可以访问网络，这种现象 在网络准人中称之为多主机模式。这种情况的出现 削弱了网络准人系统的控制能力，因此企业必须严 格控制无线A P 及H U B 的使用。 4 ) 无线网络准入控制。由于无线网络是以电磁 波来传输数据，也带来了不容轻视的信息安全问题。 从根本上讲，无线网安全问题的根源在于无线网络 信号的空间扩散特性。8 0 2 1 1 无线网络的物理特征 决定了其不可能阻止未经授权的第三者监听网络数 据，用户的网络接人也并不能像有线网络一样受到 企业围墙大门的保护。当前企业无线网络安全威胁 类型主要有以下4 类：未授权用户非法访问服务；通 过窃听、截取用户数据包，盗取账号、密码等关键数 据，造成隐私信息外泄；攻击无线网络设备，获取网 络相关权限，篡改网络相关配置或策略，降低网络安 全防护能力；带病毒主机接入无线网络将病毒木马 引人企业内部，严重危害企业信息系统安全。 无线网络的准人需要考虑2 方面的因素：一方 面是无线A P 的准人、检测与定位；另外一方面是接 人到无线网络终端的准入。对于接人到无线网络终 端的准人，利用现有的网络准人系统即可实现。但 对于无线A P 的准人、检测与定位，现有的网络准人 系统还不具有此功能。而在目前企业的网络管理中， 经常出现用户私接A P 现象，如果A P 的设置不当， 往往会造成在同一个子网的用户获取了错误的I P 地 址，出现无法访问网络的情况发生。因此，为了实现 无线A P 的准入、A P 的检测与定位、非法A P 攻击的 自动阻断，可以通过部署无线人侵防护系统作为现 有的网络准入系统的补充，实现只有经过M A C 地址 认证成功的无线A P 才能正常接入网络，未经授权而 认证失败的无线A P 即使物理连入网络也将无法与 网络交换设备进行正常通信，从而做到无线网络准 人从“被动发现监控”到“主动人为授权控制”，从源 万方数据 E L E C 下R I CP O W E Rl C T 一；蒸? 一誊：蒙瓣| 一_ i 瓣嘲拳 头上主动消除私接A P 安全隐患，保障无线网络接人 安全。 5 ) 对虚拟化应用的支持。虚拟化技术对终端的 网络准人控制提出了更高的要求。网络准人控制系 统很容易实现防止违反策略的物理终端接入网络， 但如何实现虚拟化终端的准入控制，是T S M 网络准 入控制系统需要解决的一个问题。目前，服务器虚 拟化、桌面的虚拟化技术已经很普遍，若网络准人控 制系统无法区分真实网卡与虚拟网卡，仅通过一刀 切的方式禁用虚拟机( 虚拟网卡) 使用网络，显然会 影响到用户正常的网络接入。 6 结语 网络准人控制技术从网络接入端点的安全控制 人手，以准入控制为手段，通过安全客户端、安全策 略服务器、网络设备以及第三方软件的联动，对接人 网络的用户终端强制实施安全策略，实现网络安全 管理方式“由被动变主动、由分散变集中”的转变，达 到从源头上对入网的终端进行相应的安全控制。但 在应用网络准入控制技术加强终端安全管控方面， 需要通过技术手段与管理制度的结合及用户的主动 配合。此外，随着网络技术的不断发展，各种新技术 不断出现，网络准入技术也应不断改进，因为网络安 全是一个过程控制问题。 参考文献： 【2 3 】 4 周超，周城，丁晨路计算机网络终端准人控制技术 J 】计算机 系统应用，2 0 11 ，2 0 ( 1 ) ：8 9 - 9 4 Z H O UC h a o ，Z H O UC h e n g ，D I N GC h e n - l u T e c h n o l o g yo f e n d p o i n ta d m i s s i o nc o n t r o li nc o m p u t e rn e t w o r k s J C o m p u t e r S y s t e m A p p l i c a t i o n ，2 0 11 ，2 0 ( 1 ) ：8 9 9 4 司徒健辉企业网络安全准入控制技术设计与应用 J 大科技 科技天地，2 0 1 0 ( 7 ) ：2