網(wǎng)絡(luò)接入控制在福建省審計廳的應(yīng)用

伴隨著國內(nèi)信息化建設(shè)的高度發(fā)展，審計機構(gòu)也迎來了信息化高
速發(fā)展的良好機遇，借助IT技術(shù)的審計工作已受到政府部門的高
度重視，但同時也承受著巨大的保障IT系統(tǒng)安全的風(fēng)險。
如何確保審計機構(gòu)的IT系統(tǒng)安全運行已經(jīng)成為審計機構(gòu)面臨的嚴(yán)
峻課題，特別是在當(dāng)前進(jìn)入使用IT系統(tǒng)進(jìn)行審計工作的時代顯得
尤為重要。福建省審計廳在有限的資金投入下主要通過狠抓IT系
統(tǒng)的安全管理工作，著力構(gòu)筑IT系統(tǒng)的穩(wěn)定運行和安全保障的平
臺，不斷提高IT管理水平，努力確保審計工作高效和順利的進(jìn)
行。
本文以福建省審計廳網(wǎng)絡(luò)接入控制管理系統(tǒng)的建設(shè)為例，為審計
機構(gòu)進(jìn)行網(wǎng)絡(luò)接入控制管理系統(tǒng)的建設(shè)提供借鑒。
前言
在國內(nèi)信息化高度發(fā)達(dá)的今天，任何IT技術(shù)都是把“雙刃劍”，IT技術(shù)在給審計工作帶來巨大便利的同
時，也往往會因為IT系統(tǒng)的安全管理失控，導(dǎo)致巨大損失。如何確保IT系統(tǒng)有足夠安全的保障，進(jìn)而確保
審計工作安全和順利地進(jìn)行，這是亟待解決的問題。
福建省審計廳安全管理現(xiàn)狀
福建省審計廳是福建省人民政府的職能部門，其主要職責(zé)包括制定本省審計工作的政策和規(guī)劃，確定審計
工作重點;負(fù)責(zé)本級審計機關(guān)審計范圍的審計事項。對市縣審計機關(guān)審計工作進(jìn)行領(lǐng)導(dǎo);對全省內(nèi)部審計工
作進(jìn)行指導(dǎo)、監(jiān)督;對全省社會審計組織的審計質(zhì)量進(jìn)行監(jiān)督;完成審計署和福建省政府交辦的其他事項。
現(xiàn)有財政、金融、固定資產(chǎn)投資、行政事業(yè)、企業(yè)、外資運用等審計對象 2700多個單位。
近幾年來，福建省審計廳IT系統(tǒng)的建設(shè)取得了長足的進(jìn)步，從IT技術(shù)的應(yīng)用中感受到“種種好處”。隨著
借助IT系統(tǒng)的審計模式的出現(xiàn)，使福建省審計廳形成了一個能夠觸及全省的審計網(wǎng)絡(luò)。全面且高效的從事
基于IT系統(tǒng)的審計工作，不僅大大擴展了審計的范圍，而且有效地縮短了審計時間，降低了審計成本。 IT
系統(tǒng)在提高審計工作的質(zhì)量和效率方面，發(fā)揮著不可替代的作用。
然而， IT系統(tǒng)建設(shè)為審計廳帶來巨大價值的同時，也暴露出了IT系統(tǒng)的安全隱患。具體表現(xiàn)在以下三方
面：
1、終端私自更換IP地址的情況時有發(fā)生
福建省審計廳在進(jìn)行IT系統(tǒng)建設(shè)時，為了防止外部攻擊以及本地網(wǎng)絡(luò)安全邊界問題，采用了訪問控制、入
侵檢測、網(wǎng)絡(luò)隔離和病毒防范等方法來解決IT系統(tǒng)的安全問題。通過部署很多的安全設(shè)備后，來自于外部
的問題得到了一定解決。但內(nèi)部IP地址的非法盜用時有發(fā)生，導(dǎo)致正常的審計工作受到了嚴(yán)重影響。
2、部門間私換座位的情況經(jīng)常發(fā)生
福建省審計廳內(nèi)部設(shè)有多個職能部門，根據(jù)每個部門人員的職責(zé)范圍和日常工作內(nèi)容，進(jìn)行了制度上的訪
問權(quán)限劃分。但由于部門間互換座位的情況時有發(fā)生，導(dǎo)致審級廳的信息安全和保密工作受到了一定影
響。
3、對外來設(shè)備的私自接入無法有效管控
經(jīng)過幾年的實際統(tǒng)計發(fā)現(xiàn)，福建省審計廳的網(wǎng)絡(luò)安全事件大多數(shù)是由于網(wǎng)絡(luò)內(nèi)部的終端接入無法控制所引
起的，僅僅關(guān)注來自外部威脅的防火墻、入侵檢測系統(tǒng)等傳統(tǒng)安全措施，而無法對來自內(nèi)部的終端接入進(jìn)
行有效管理，導(dǎo)致內(nèi)網(wǎng)安全事件頻頻發(fā)生。
針對現(xiàn)狀，尋找行之有效的解決方法——北塔BTNM網(wǎng)絡(luò)接入控制
當(dāng)前福建省審計廳的審計工作，不僅需要重視質(zhì)量和效率，更要確保數(shù)據(jù)以及生成這些數(shù)據(jù)的信息系統(tǒng)的
穩(wěn)定和安全，這就需要有專門的準(zhǔn)入控制管理措施提供保障。
因此，福建省審計廳需要建立一套確保IT系統(tǒng)安全的網(wǎng)絡(luò)接入控制管理系統(tǒng)，為審計工作開展搭建穩(wěn)定的
環(huán)境和安全的保障體系，同時將給審計工作的發(fā)展注入新的理念與活力，對于推動審計工作的發(fā)展具有重
要的里程碑作用。
根據(jù)現(xiàn)狀，福建省審計廳選擇了以北塔BTNM為核心的網(wǎng)絡(luò)接入控制管理解決方案，來全面解決對全廳網(wǎng)絡(luò)
接入的有效控制問題
針對福建審計廳的需求，北塔軟件設(shè)計了網(wǎng)絡(luò)接入控制管理的解決方案，具體如下：
1、有效杜絕IP地址私自更改的情況發(fā)生
通過北塔BTNM的布署，首先將所有福建審計廳全網(wǎng)合法終端的IP和MAC地址自動進(jìn)行收集，并將對應(yīng)關(guān)系實
時登記在案，以此為合法依據(jù)，對全網(wǎng) IP地址進(jìn)行實時監(jiān)控。任何擅自修改IP地址的設(shè)備，都將被視為IP
地址盜用，北塔BTNM系統(tǒng)將把它物理隔離。
2、堅決制止部門間私換座位的情況發(fā)生
通過對福建審計廳全網(wǎng)合法終端的MAC和端口信息匯總，并將兩者對應(yīng)關(guān)系實時登記在案，并以此為合法依
據(jù)，對部門間私換座位的情況進(jìn)行實時監(jiān)控。任何擅自變換座位的終端，都將被視為非法移動，BTNM系統(tǒng)
將把它物理隔離。
3、對外來設(shè)備的接入控制實現(xiàn)有效管理
通過福建審計廳全網(wǎng)合法終端的IP、MAC和端口的信息實時登記在案，并將三者的對應(yīng)關(guān)系實施登記在案，
然后BTNM系統(tǒng)以這個登記表為合法依據(jù)，建立一個“警戒隔離帶”。任何想要通過這個隔離帶的非法設(shè)備
(即合法登記表中不存在的設(shè)備)，都將被視為非法接入即“外部入侵”，被物理隔離在警戒隔離帶之外。
如下圖所示：
圖1
如上圖所示，在隔離帶里面的設(shè)備都是合法設(shè)備，在隔離帶外面屬于非法設(shè)備。合法設(shè)備和非法設(shè)備的運
行環(huán)境被“警戒隔離帶”一分為二，非法設(shè)備被隔離帶阻斷，無法連入合法設(shè)備運行的網(wǎng)絡(luò)，從而達(dá)到安
全防范的目的。
北塔BTNM網(wǎng)絡(luò)接入控制管理助力福建審計廳安全審計
通過北塔BTNM網(wǎng)絡(luò)接入控制管理的部署，不僅很好的解決了福建審計廳對IP地址的有效管理，而且將內(nèi)網(wǎng)
終端的接入進(jìn)行了嚴(yán)格控制。在充分保障審計工作順利進(jìn)行的同時，大幅提高福建審計廳的內(nèi)網(wǎng)安全的水
平，真正實現(xiàn)了福建審計廳安全審計的目標(biāo)。
網(wǎng)絡(luò)接入控制管理系統(tǒng)建設(shè)的成果
通過福建省審計廳網(wǎng)絡(luò)接入控制管理系統(tǒng)的建設(shè)，滿足了福建省審計廳對IT系統(tǒng)有效的接入控制管理的需
求，實現(xiàn)了福建省審計廳的管理目標(biāo)，在保障IT 系統(tǒng)安全的前提下，充分保證了福建省審計廳審計工作的
高效和安全的進(jìn)行