終端準入控制技術首次在國際頂級賽事成功應用

　　(聯(lián)合電訊社/北京)--2010年11月27日，廣州亞運會圓滿閉幕，成為繼奧運會、世博會之后的又一次盛大國際活動。這是一場堪稱完美的運動會——從開、閉幕式到比賽組織，以及到安全保障、后勤支持、志愿服務等每一個環(huán)節(jié)都井然有序、精彩紛呈，充分顯示出了中國對大型活動的強大組織和管理能力。

　　作為信息網(wǎng)絡時代的一場盛會，廣州亞運會的成功同樣也離不開信息系統(tǒng)的支撐和保障。而在龐大的信息系統(tǒng)中，首次采用的終端準入控制技術與產(chǎn)品，為此次盛會信息系統(tǒng)的網(wǎng)絡安全提供了強大的技術保障。

　　準入控制準確匹配亞運會網(wǎng)絡的安全威脅

　　眾所周知，面對日益紛繁的信息網(wǎng)絡安全威脅，上至國家、下至百姓，幾乎全民都在為“今天你的網(wǎng)絡安全了嗎”而焦慮，何況作為支撐重要國際盛會穩(wěn)定運行的信息系統(tǒng)?!

　　像亞運會或奧運會這樣的大型國際賽事，比賽場館及工作服務場所眾多且分散，賽事用的電腦終端數(shù)量龐大且位置分散，進入網(wǎng)絡的人員眾多且復雜……所有這些客觀情況都意味著，如果操作人員將自身的筆記本電腦隨意接入賽事網(wǎng)絡，或者無意將攜帶病毒或木馬的移動存儲設備接入電腦終端，都會對賽事網(wǎng)絡及亞運會的順利進行產(chǎn)生巨大的安全威脅。

　　準入控制技術，就是確保只有合法的用戶用合法的終端才能接入網(wǎng)絡，并且終端必須滿足安全基線要求才能訪問網(wǎng)絡，從而使單位或組織在對內(nèi)防御方面擁有強大的安全技術手段。

　　此次在亞運會中引入準入控制技術，主要出于2點考慮：首先，準入控制技術使所有接入內(nèi)網(wǎng)的終端都能接受管理;其次，準入控制技術使其他的終端管理手段依托該技術得到部署和發(fā)揮作用，從而構筑成終端安全防護的堅固堡壘。

　　啟明星辰天珣產(chǎn)品最終在亞運會中實現(xiàn)了準入控制技術的首次應用

　　準入控制技術本身并不是新生事物，但用在大型國際賽事的信息網(wǎng)絡中，卻是一個新鮮事。但其在被最終運用到本次亞運會的過程中，還是經(jīng)歷了一番波折的。

　　此次廣州亞運會的關鍵信息系統(tǒng)的開發(fā)、運行和安全保障依然是由作為奧運會全球IT合作伙伴的源訊(Atos Origin)公司全面負責。對源訊公司來說，承擔奧運會或亞運會的IT項目，挑戰(zhàn)其實并不來自技術。“奧運會是運動員的競技場，不是展示高新技術的場合，我們所用的技術都是成熟技術。”一直參與奧運項目的Philipps說，“在比賽期間，創(chuàng)新是不被允許的，這一切都是為了確保系統(tǒng)的安全穩(wěn)定和可靠。”

　　因此，當廣州亞運會組委會決定采用啟明星辰(全稱為北京啟明星辰信息安全技術有限公司)的天珣終端管理產(chǎn)品用作終端準入控制時，源訊公司堅決反對，因為源訊公司還從來沒有在類似于奧運會或亞運會的重大賽事中使用過類似的產(chǎn)品。

　　在2008年北京奧運會上，源訊公司采用的是在網(wǎng)絡交換機上做MAC-IP綁定的方式，實現(xiàn)終端接入管理。當然，這種方式在一定程度上能夠避免終端的隨意接入問題。但存在2個問題：一是這種方案存在漏洞;二是這種實現(xiàn)方式對管理人員來說非常不直觀和不友好，對系統(tǒng)的運維挑戰(zhàn)很大，而且后續(xù)的移動存儲管理和終端訪問控制等都沒有相關的技術手段。

　　考慮到傳統(tǒng)方式的不便和新興準入控制技術的便捷，經(jīng)過反復的溝通、測試，以及制定了非常完備的風險管理預案后，源訊公司和廣州亞組委最終同意在亞運會賽事網(wǎng)和亞運會組委會網(wǎng)中同時啟用啟明星辰的天珣網(wǎng)絡準入控制產(chǎn)品。

　　天珣終端準入控制在亞運會中的應用效果

　　隨著此次亞運會賽事網(wǎng)的投入使用，亞組委和源訊公司漸漸體會到了啟明星辰天珣準入控制給終端管理帶來的超出預期的方便。

　　首先，天珣準入控制徹底杜絕了終端隨意接入網(wǎng)絡的問題。

　　如果終端未安裝天珣客戶端，會被直接拒絕接入網(wǎng)絡;安裝了天珣客戶端的終端在接入網(wǎng)絡時，系統(tǒng)會自動對其進行認證;如果認證失敗，系統(tǒng)在提示用戶的同時，在管理控制臺上也會出現(xiàn)剛才被拒絕接入的終端的信息，提示管理員是否允許該終端接入，在這種情況下，終端用戶將發(fā)起申請接入網(wǎng)絡的流程，由相關人員進行審批，審批通過后，管理人員一鍵就可放行接入。

　　在此次亞運會中，管理員們第一次有了終端接入的規(guī)范審批流程，并有強大的技術手段作為支撐。在管理過程中，他們不僅對全過程清晰可見，而且對于最終用戶、流程審批人等也都是非常方便和實用的。

　　其次，天珣系統(tǒng)的穩(wěn)定性和可靠性，完全達到了最高等級的賽事要求。

　　第三，在終端接受準入控制管理以后，移動存儲管理、終端安全基線管理、終端網(wǎng)絡訪問控制等問題都迎刃而解。

　　通過天珣系統(tǒng)客戶端，亞運會賽事網(wǎng)禁止未認證的移動存儲設備在終端上使用，杜絕了病毒或木馬通過移動存儲設備這個路徑感染終端和網(wǎng)絡;通過天珣系統(tǒng)的安全基線管理，確保了賽事網(wǎng)終端的補丁都更新到最新狀態(tài)，防病毒軟件病毒碼也更新到了要求的日期;通過天珣系統(tǒng)的終端網(wǎng)絡訪問控制，規(guī)范了終端的網(wǎng)絡訪問行為，并可以預防萬一終端感染了病毒或木馬，也能通過網(wǎng)絡訪問控制切斷其傳播路徑，這對減輕病毒危害，進一步徹底清除病毒提供了充分的條件。

　　隨著廣州亞運會的順利閉幕，在源訊公司服務的國際重大賽事中首次采用的“創(chuàng)新”技術——天珣終端準入控制，也圓滿完成了其使命。作為本次亞運會網(wǎng)絡安全產(chǎn)品提供商和服務商之一的啟明星辰，也會將此次在亞運會中的項目經(jīng)驗繼續(xù)引入到未來更多更廣闊的項目和產(chǎn)品實踐中。