眼下，煤矿智能化建设正如火如荼地进行。智能化建设使得煤炭企业对信息化的依赖程度越来越高，企业信息化资产数量不断增加，呈现出类型多、分布分散、管控难等特点。资产接入网络的形式复杂多样，接入设备的种类繁多，加之企业网络运维人员数量和水平均有限，导致大多数煤炭企业对资产接入网络情况不清晰，同时缺乏强有力的技术手段对设备入网进行管控，给网络安全管理工作带来不小的挑战。

煤炭行业作为国家重点监管的行业之一，需要满足国家关于安全生产、网络安全等方面的法律法规和标准要求。国家能源局、国家矿山安监局印发的《煤矿智能化建设指南（2021年版）》强调：智能化煤矿应开展网络、信息和系统等安全建设，而《网络安全等级保护基本要求》中明确要求需实现用户入网身份认证、对接入设备进行安全检查，确保设备符合安全要求。《工业控制系统网络安全防护指南》里要求：设备接入工业控制网络时应进行身份认证，也明确强调设备入网的安全。

煤炭企业信息化建设由于历史原因，普遍存在很多无人认领的老旧资产，加之煤炭企业自身业务发展需要，企业地理位置往往分散在各地，致使其信息化资产也十分分散，鞭长莫及，这都导致企业网络管理人员很难统计形成终端台账，比如网络中有多少终端、终端类型是什么（笔记本/台式机/服务器/摄像头/工业设备）、终端操作系统是什么（Windows/Linux/Android/iOS）等，这项工作如果采取人工作业，不仅十分繁琐而且还极容易出错。

当前煤炭企业网络的访问人员主要分为两种：一是企业内部人员，二是与企业有合作的第三方人员（比如系统开发人员、网络运维人员等），网络访问十分复杂。

为保障企业网络访问安全，第三方人员访问企业网络时应当被严格限制网络权限，只能访问特定设备，有时还会有临时访客需要接入企业网络，他们应当被禁止访问内部核心业务，但可以利用企业网络访问互联网查看邮件、浏览网页等。这对网络管理人员来说无疑是一项极为复杂的工作，在很多煤炭企业实际工作中，往往权限全开，这导致设备入网后的资产访问行为不可知，极大地增加了企业网络安全风险。

当网络出现故障或异常等问题时，首要任务就是定位问题源头，源头即故障所在的终端。煤炭企业由于资产管理不到位，且员工缺乏专业的网络故障排查技术能力，当网络出现问题时，网络管理员往往无法快速定位终端的物理位置，通常需登录交换机输命令行方式一层层往下查找，或配合网络拓扑图、设备布线图、Excel登记表等文件一步步定位终端的物理位置，问题排查效率极低，不利于问题的处置，直接影响企业业务稳定运行，严重的还将影响企业生产。

现有煤炭企业一般都划分了内网（或生产网）和外网（或互联网），且内外网严格分离。在方案设计时内网是严格禁止访问外网的，同样外网也是无法访问内网的。但在煤炭企业中很多员工为了方便在内外网之间切换工作，通过在内网终端上插无线网卡或私接无线路由器等方式绕过上网限制这类行为屡见不鲜，非法外联现象十分普遍。企业网络管理人员缺乏技术手段对其进行管控，仅靠喊口号、下通知等方法很难杜绝此类隐患，使得企业内外网隔离形同虚设。

为保障煤炭企业网络安全准入，威努特提供一套完善的准入解决方案：通过在企业核心交换部署威努特网络准入控制系统，解决煤炭企业终端计算机信息安全管理难题，保障网络整体安全接入。

威努特网络准入控制系统通过“主动+被动”结合的方式实现对煤炭企业信息化资产的发现、识别，系统可以精确识别计算机、移动终端、摄像头、数通设备、网络设备和哑终端等类型设备，可以采集设备的详细信息，如操作系统、主机名、IP地址、MAC地址、通信端口、接入位置、交换机端口和VLAN等。10000台设备扫描时间不超过15分钟，可以极大提高企业资产管理效率。

图 威努特准入系统资产管理界面

威努特网络准入控制系统支持旁路、网桥、网关、软件安装服务端等多种部署方式，可以兼容多网段、有线\无线AP、跨NAT等复杂网络环境，部署过程中不改变煤炭企业原有网络结构。

图 网络准入系统准入控制

系统支持独立或并行使用多种准入控制手段，实现网络边界级、端口级、应用级阻断控制效果。支持实时验证各种类型的准入终端身份合法性、主机合规性，只有符合入网策略的终端才可入网，构建入网规范化、自动化、流程化，实现“入网必可信、入网必合规”的安全态势。系统主要采取如下技术手段实现风险终端禁止接入：

支持无客户端部署模式下的计算机防伪冒技术，秒级鉴别非法计算机伪冒其它合法联网设备，并进行网络阻断控制。

自动对全网资产进行分类并持续监测，自动生成网络拓扑，当出现安全风险时能够及时报警，第一时间感知并实施阻断。

提供杀软、漏洞、服务、端口、进程、程序等多种计算机安全技术检测及自动修复。

实时监控关键设备资产联网状态，提供关键设备资产风险态势实时监测，非法设备攻击关键设备资产拦截、报警及溯源分析功能。

威努特网络准入控制系统可以通过多种友好的可视化管理窗口帮助煤炭企业建立终端与网络设备端口的对应关系，从而建立安全事件快速定位平台，实现对各种进出网产生的安全事件的快速定位、可视定位。

系统以图形化方式展现交换机信息，交换机面板显示各交换机端口详细信息，包含交换机品牌、型号、端口信息、VLAN信息、IP地址表、转发表、路由表和ARP表等细粒度管理。图形化管理全网IP地址资源，支持在线、离线、未使用、安全风险、安全阻断分类化显示，支持IP地址增加备注信息。

作为网络准入控制系统，除了可以对联网的办公计算机进行准入客户端的安装，基于客户端实现违规外联检查，从主机层封堵违规外联行为；还可以针对无法安装准入客户端的其他“特权”设备、哑终端设备提供无客户端模式的违规外联检查手段，同时提供取证服务，规避外联后的抵赖行为。

系统可以做到端口级、应用级阻断，可以在准入位置第一时间进行阻断，与策略路由、透明网桥、端口镜像等网关型准入技术相比，安全性更高。

采用特有的多级阻断技术，对违反安全要求的终端在链路层、网络层、应用层分别进行阻断，并可针对不同安全事件配置不同阻断技术组合，相比单一阻断技术而言管控更加精细化。

系统可以在不同网络环境和需求下灵活选择部署方式，采用基于混合准入技术的解决方案，无论是交换网还是路由网、交换机是否可网管都能够很好的兼容。

不依赖客户端软件，兼容各类泛终端类型，采用独特的网络指纹识别技术，通过对泛终端多维指纹特征进行采集，自动生成指纹快照，快速指纹比对算法等技术，实时监测网络中存在的大量泛终端。

系统附加值功能丰富，除核心的准入控制功能，还提供资产自动发现管理、IP地址池、全网端口可视化管理功能，为煤炭企业网络管理人员构建真正可用的准入控制系统。

煤矿智能化建设在为煤炭企业带来诸多便利的同时，也为企业网络管理尤其是资产管理、网络准入、事件定位等带来了诸多挑战。威努特网络准入控制系统通过可信入网设计理念，从网络边界源头入手，为煤矿企业搭建网络边界级、端口级、应用级网络阻断控制应用平台，可以帮助企业落实网络边界管理和终端安全管理，确保人员与终端的接入合规，避免因违规操作导致的法律风险。