引言：多年來，計算機在辦公自動化、業務管理和信息支持服務方面得到了廣泛應用。隨著機構改革，業務范圍和應用領域逐漸擴大，現代信息技術在出入境檢驗檢疫中正在發揮著具大作用。出入境檢驗檢疫局簡稱C.I.Q，是為國家進行出入境檢驗檢疫工作的部門。職責是對出入境的貨物、人員、交通工具、集裝箱、行李郵包攜帶物等進行包括衛生檢疫、動植物檢疫、商品檢驗等的檢查，以保障人員、動植物安全衛生和商品的質量。隨著檢驗檢疫業務的持續發展，對信息化系統的要求也越來越高，系統的處理能力、響應速度等都直接影響到檢驗檢疫的工作效率，服務器的數量和處理能力，由此，在當前復雜的網絡環境中，可以保障網絡安全的信息化基礎設施的升級換代的 “與時俱進”就顯得尤為重要。

需求呼喚：專業終端安全防護產品

中華人民共和國北京出入境檢驗檢疫局（以下簡稱“北京檢驗檢疫局”）是國家質量監督檢驗檢疫總局設在北京并授權依法管理北京地區出入境檢驗檢疫工作的行政執法機關和涉外經濟監督部門。

北京檢驗檢疫局成立于1999年，自成立以來，北京檢驗檢疫局本著“依法把關、監管有效、方便進出、管理科學”的原則，逐步形成了以出入境檢驗檢疫行政執法為主體，以技術保障和技術服務為支持的檢驗檢疫工作體系，截止目前，北京檢驗檢疫局機關內設置了17個處室。隨著信息化應用整體提升和業務系統融合，客戶端和服務器的數量在近幾年中也在大幅增長。

近年來，國家大力進行信息安全等級保護建設，北京市出入境檢驗檢疫局作為信息安全等級保護建設單位，也在不斷的根據信息安全等級保護的建設要求加強內部信息系統的等級保護建設，為此，在主機安全保護層面，北京市出入境檢驗檢疫局經過多方論證，面對眾多的安全廠商中，北京市出入境檢驗檢疫局最終決定選用北信源內網安全管理系統來完成本單位的信息安全等級保護建設。

據北信源項目負責人介紹：“北京市出入境檢驗檢疫局要從主機安全保護層面落實信息安全等級保護的基礎，因此，需要在內網每臺終端上都安裝有內網安全管理系統軟件，才能保證整個信息系統的安全建設能夠達到等級保護的預期目標。但是實際上，由于缺乏相關的強制安裝機制，內網終端并沒有100%的安裝上相關的軟件，這將成為整個信息安全保護建設的漏洞所在。”基于以上問題，北京出入境檢驗檢疫局提出了“四點”以終端安裝校驗為要求的準入控制機制。即要能實現主動識別和發現未安裝內網安全管理系統軟件的終端；要對未安裝內網安全管理系統軟件的終端，禁止訪問某些重要的信息系統；同時對未安裝內網安全管理系統軟件的終端，要提供一定的手段進行安裝提示；還需要支持訪客模式管理，允許訪客白名單設置。” 

“我們希望在部署了北信源內網安全管理系統軟件后，要從主機安全加固、主機安全審計出發，加強內部信息系統的安全保護。” 北京市出入境檢驗檢疫局相關負責人強調了此項目建設要達成的目標。

安全準入：北信源給出解決之道

根據北京市出入境檢驗檢疫局的需求，北信源公司向用戶推薦了北信源網絡接入控制解決方案，該方案可以作為北信源內網安全管理軟件解決方案的有力補充，通過主動探測或者被動接收的方式，識別發現未安裝內網安全管理系統軟件的終端，禁止未安裝軟件的終端訪問重要的系統信息資源。北京市出入境檢驗檢疫局，目前有17個處室，所有處室都通過專網連接到總部訪問設置在總部的服務器資源，只要在總部服務器區域前端部署一臺北信源網絡接入控制系統，就可以保證所有處室的終端在訪問服務器時必須要安裝內網安全管理系統軟件。

系統部署示意圖

工欲其事，必先利器：北信源方案之“優勢”特點

北信源網絡接入控制系統區別于傳統的NAC技術（即純粹的用戶認證準入），采用最新的TNC（可信網絡連接）理念，將NAC技術和終端測量、終端評估技術進行結合，在身份認證的基礎上增加了終端安全性校驗等準入手段，將準入控制技術提高到了一個新的層面，為網絡提供了更可靠的安全加固手段。

主要優點如下：

· 基于終端完整性測量、終端完整性評估以及網絡控制于一體的三元體系結構，形成從身份認證、終端安全認證為準入基礎的控制體系。

· 部署模式靈活，支持串接和旁路部署，可以適應不同的網絡環境，即插即用。

· 對終端采取桌面安全軟件強制認證，對未安裝桌面安全軟件的客戶端進行阻斷，終端探測基于主動掃描和被動接收兩種模式，根據用戶的不同網絡環境可以靈活設置。

· 針對終端探測不受NAT環境影響，可以充分保證終端桌面安全軟件的安裝率。

· 對于終端需要安裝的補丁可以有選擇的推送，避免過多不必要的補丁安裝在終端影響終端的處理速度。

結語：

在部署了北信源網絡接入控制系統后，經過內網安全管理系統后臺統計，終端的安裝率從65%上升到了100%,覆蓋內網控制區域的每臺終端，徹底清除了內網的不安全因素，保證了計算機信息安全保護條例制度在北京市出入境檢驗檢疫局的順利實施。