引言：多年来，计算机在办公自动化、业务管理和信息支持服务方面得到了广泛应用。随着机构改革，业务范围和应用领域逐渐扩大，现代信息技术在出入境检验检疫中正在发挥着具大作用。出入境检验检疫局简称C.I.Q，是为国家进行出入境检验检疫工作的部门。职责是对出入境的货物、人员、交通工具、集装箱、行李邮包携带物等进行包括卫生检疫、动植物检疫、商品检验等的检查，以保障人员、动植物安全卫生和商品的质量。随着检验检疫业务的持续发展，对信息化系统的要求也越来越高，系统的处理能力、响应速度等都直接影响到检验检疫的工作效率，服务器的数量和处理能力，由此，在当前复杂的网络环境中，可以保障网络安全的信息化基础设施的升级换代的 “与时俱进”就显得尤为重要。

需求呼唤：专业终端安全防护产品

中华人民共和国北京出入境检验检疫局（以下简称“北京检验检疫局”）是国家质量监督检验检疫总局设在北京并授权依法管理北京地区出入境检验检疫工作的行政执法机关和涉外经济监督部门。

北京检验检疫局成立于1999年，自成立以来，北京检验检疫局本着“依法把关、监管有效、方便进出、管理科学”的原则，逐步形成了以出入境检验检疫行政执法为主体，以技术保障和技术服务为支持的检验检疫工作体系，截止目前，北京检验检疫局机关内设置了17个处室。随着信息化应用整体提升和业务系统融合，客户端和服务器的数量在近几年中也在大幅增长。

近年来，国家大力进行信息安全等级保护建设，北京市出入境检验检疫局作为信息安全等级保护建设单位，也在不断的根据信息安全等级保护的建设要求加强内部信息系统的等级保护建设，为此，在主机安全保护层面，北京市出入境检验检疫局经过多方论证，面对众多的安全厂商中，北京市出入境检验检疫局最终决定选用北信源内网安全管理系统来完成本单位的信息安全等级保护建设。

据北信源项目负责人介绍：“北京市出入境检验检疫局要从主机安全保护层面落实信息安全等级保护的基础，因此，需要在内网每台终端上都安装有内网安全管理系统软件，才能保证整个信息系统的安全建设能够达到等级保护的预期目标。但是实际上，由于缺乏相关的强制安装机制，内网终端并没有100%的安装上相关的软件，这将成为整个信息安全保护建设的漏洞所在。”基于以上问题，北京出入境检验检疫局提出了“四点”以终端安装校验为要求的准入控制机制。即要能实现主动识别和发现未安装内网安全管理系统软件的终端；要对未安装内网安全管理系统软件的终端，禁止访问某些重要的信息系统；同时对未安装内网安全管理系统软件的终端，要提供一定的手段进行安装提示；还需要支持访客模式管理，允许访客白名单设置。” 

“我们希望在部署了北信源内网安全管理系统软件后，要从主机安全加固、主机安全审计出发，加强内部信息系统的安全保护。” 北京市出入境检验检疫局相关负责人强调了此项目建设要达成的目标。

安全准入：北信源给出解决之道

根据北京市出入境检验检疫局的需求，北信源公司向用户推荐了北信源网络接入控制解决方案，该方案可以作为北信源内网安全管理软件解决方案的有力补充，通过主动探测或者被动接收的方式，识别发现未安装内网安全管理系统软件的终端，禁止未安装软件的终端访问重要的系统信息资源。北京市出入境检验检疫局，目前有17个处室，所有处室都通过专网连接到总部访问设置在总部的服务器资源，只要在总部服务器区域前端部署一台北信源网络接入控制系统，就可以保证所有处室的终端在访问服务器时必须要安装内网安全管理系统软件。

系统部署示意图

工欲其事，必先利器：北信源方案之“优势”特点

北信源网络接入控制系统区别于传统的NAC技术（即纯粹的用户认证准入），采用最新的TNC（可信网络连接）理念，将NAC技术和终端测量、终端评估技术进行结合，在身份认证的基础上增加了终端安全性校验等准入手段，将准入控制技术提高到了一个新的层面，为网络提供了更可靠的安全加固手段。

主要优点如下：

· 基于终端完整性测量、终端完整性评估以及网络控制于一体的三元体系结构，形成从身份认证、终端安全认证为准入基础的控制体系。

· 部署模式灵活，支持串接和旁路部署，可以适应不同的网络环境，即插即用。

· 对终端采取桌面安全软件强制认证，对未安装桌面安全软件的客户端进行阻断，终端探测基于主动扫描和被动接收两种模式，根据用户的不同网络环境可以灵活设置。

· 针对终端探测不受NAT环境影响，可以充分保证终端桌面安全软件的安装率。

· 对于终端需要安装的补丁可以有选择的推送，避免过多不必要的补丁安装在终端影响终端的处理速度。

结语：

在部署了北信源网络接入控制系统后，经过内网安全管理系统后台统计，终端的安装率从65%上升到了100%,覆盖内网控制区域的每台终端，彻底清除了内网的不安全因素，保证了计算机信息安全保护条例制度在北京市出入境检验检疫局的顺利实施。