【文章內(nèi)容簡(jiǎn)介】 要求時(shí)準(zhǔn)許接入內(nèi)部網(wǎng)絡(luò)；? 終端電腦只有在安裝必要的 OS 補(bǔ)丁或者應(yīng)用程序補(bǔ)丁的前提下才能被允許接入內(nèi)部網(wǎng)絡(luò)；否則會(huì)強(qiáng)制終端電腦跳轉(zhuǎn)到指定安全修復(fù)區(qū)進(jìn)行補(bǔ)丁軟件安裝和升級(jí)等修復(fù)動(dòng)作，修復(fù)完成后且符合既定安全策略要求時(shí)準(zhǔn)許接入內(nèi)部網(wǎng)絡(luò)。1. 接入控制管理 接入控制管理可提供細(xì)粒度的接入管理和控制功能，它的部署使用要求網(wǎng)絡(luò)中的交換機(jī)支持 協(xié)議，要求網(wǎng)絡(luò)管理人員會(huì)進(jìn)行簡(jiǎn)單的交換機(jī)配置，從而保障終端殺毒軟件以及補(bǔ)丁擁有最新的時(shí)效性，使網(wǎng)絡(luò)安全得到有效提升。終端安全管理體系解決方案14終端 認(rèn)證 安檢 工作區(qū)非法用戶(hù)進(jìn)入 g u e s t 區(qū)修復(fù)區(qū)安檢合格不合格修復(fù)完成認(rèn)證未通過(guò)認(rèn)證通過(guò)網(wǎng)絡(luò)接入控制管理系統(tǒng)流程圖1) 接入認(rèn)證管理； 接入認(rèn)證管理具有對(duì)接入策略和安檢策略整體的配置和管理功能。接入是通過(guò)用戶(hù)名密碼的認(rèn)證方式，對(duì)終端接入網(wǎng)絡(luò)進(jìn)行限制。對(duì)認(rèn)證成功的終端進(jìn)行安全健康檢測(cè)。2) 未注冊(cè)終端接入訪(fǎng)問(wèn)區(qū)域限制（vlan 限制） ；未注冊(cè)終端會(huì)因認(rèn)證不成功進(jìn)入 guest Vlan，在 guest Vlan 中終端只可以與服務(wù)器通信只有在終端注冊(cè)成功后方可以通過(guò)認(rèn)證。3) 未安裝殺毒軟件等必備軟件自動(dòng)安裝下載管理；針對(duì)終端用戶(hù)安裝及運(yùn)行殺毒軟件情況，管理員可以設(shè)置安全策略檢查終端用戶(hù)是否正常啟動(dòng)、運(yùn)行防病毒軟件，并且強(qiáng)制檢查防病毒軟件的版本和病毒庫(kù)版本，確保所有終端版本必須滿(mǎn)足安檢的規(guī)定方可接入內(nèi)部網(wǎng)絡(luò)。如有違規(guī)即刻終端用戶(hù)跳轉(zhuǎn)到修復(fù)區(qū)或者直接斷開(kāi)終端網(wǎng)絡(luò)連接；針對(duì)終端用戶(hù)安裝的必備軟件情況，管理員可以設(shè)置可控軟件名單，檢查必備軟件的安裝運(yùn)行情況，如有違規(guī)即刻終端用戶(hù)跳轉(zhuǎn)到修復(fù)區(qū)或者直接斷開(kāi)終端網(wǎng)絡(luò)連接；在網(wǎng)絡(luò)中專(zhuān)門(mén)劃分出修復(fù)區(qū)域，防病毒軟件服務(wù)器放置在網(wǎng)絡(luò)修復(fù)區(qū)中。終端用戶(hù)根據(jù)安全策略要求安裝及升級(jí)殺毒軟件。4) 未打補(bǔ)丁終端接入限制；通過(guò)某補(bǔ)丁索引檢測(cè)終端用戶(hù)是否安裝系統(tǒng)補(bǔ)丁，檢測(cè)注冊(cè)終端未打或漏打補(bǔ)丁時(shí)，將會(huì)提示終端用戶(hù)有哪些需要安裝的補(bǔ)丁并且會(huì)自動(dòng)彈出下載的補(bǔ)丁的 WEB 頁(yè)面，即刻終端用戶(hù)跳轉(zhuǎn)到修復(fù)區(qū)或者直接斷開(kāi)終端網(wǎng)絡(luò)連接；終端安全管理體系解決方案15在網(wǎng)絡(luò)中專(zhuān)門(mén)劃分出修復(fù)區(qū)域，系統(tǒng)補(bǔ)丁文件服務(wù)器放置在網(wǎng)絡(luò)隔離區(qū)中。根據(jù)某補(bǔ)丁索引要求升級(jí)操作系統(tǒng)軟件補(bǔ)丁。5) 運(yùn)行不可信進(jìn)程、服務(wù)、注冊(cè)表終端接入限制；不可信進(jìn)程、服務(wù)、注冊(cè)表是針對(duì)可信進(jìn)程、服務(wù)、注冊(cè)表進(jìn)行判斷的，通過(guò)用戶(hù)自定義設(shè)置可信進(jìn)程、服務(wù)、注冊(cè)表來(lái)判斷終端是否允許接入到工作區(qū)。對(duì)于終端用戶(hù)沒(méi)有運(yùn)行可信進(jìn)程、服務(wù)、注冊(cè)表的視為不可信終端，即運(yùn)行了不可信進(jìn)程、服務(wù)、注冊(cè)表，并對(duì)終端接入進(jìn)行限制。6) 未達(dá)到預(yù)定義安全級(jí)別的終端接入訪(fǎng)問(wèn)區(qū)域限制；預(yù)定義安全級(jí)別指的是 VRVEDP 服務(wù)器制定的安全等級(jí)，其中包括補(bǔ)丁、殺毒軟件的檢測(cè)，進(jìn)程、服務(wù)、注冊(cè)表、文件存在，IP、MAC 綁定的制定等安全級(jí)別，通過(guò)對(duì)終端的安全等級(jí)的檢測(cè)，判斷終端是否滿(mǎn)足安全級(jí)別，若不滿(mǎn)足終端將會(huì)進(jìn)去限制區(qū)域，限制區(qū)域內(nèi)終端可以對(duì)自身進(jìn)行安全修復(fù)，當(dāng)滿(mǎn)足預(yù)定義的安全級(jí)別后，終端將會(huì)正常接入工作區(qū)。7) 自定義終端安全接入必須的桌面運(yùn)行安全環(huán)境；用戶(hù)可以結(jié)合自身的需求自定義終端安全策略，也可以按照用戶(hù)現(xiàn)實(shí)環(huán)境的需要個(gè)性化搭配各個(gè)安全檢查策略組合，已達(dá)到最佳的桌面安全管理效果，為保障基本的桌面安全環(huán)境，殺毒軟件和補(bǔ)丁是必須要求管理的，對(duì)沒(méi)有安裝殺毒軟件或未打補(bǔ)丁的終端要對(duì)其加以限制。2. 虛擬隔離強(qiáng)制注冊(cè)技術(shù)1) 虛擬隔離強(qiáng)制注冊(cè)技術(shù)：虛擬隔離強(qiáng)制注冊(cè)技術(shù)基于最基本的網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)，具有廣泛的適用性，對(duì)接入單位內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)進(jìn)行安全認(rèn)證，用于保護(hù)單位整個(gè)內(nèi)部網(wǎng)絡(luò)，包括可管理的（單位臺(tái)式機(jī)、手提電腦、服務(wù)器）以及不可管理的（外部訪(fǎng)客、合作伙伴、客戶(hù)）終端。能夠強(qiáng)制提升單位網(wǎng)絡(luò)終端的安全，使網(wǎng)絡(luò)安全得到更有效提升。并且系統(tǒng)可以面向所有的網(wǎng)絡(luò)架構(gòu)工作，不必進(jìn)行復(fù)雜的網(wǎng)絡(luò)架構(gòu)改造。2) 虛擬隔離強(qiáng)制注冊(cè)的實(shí)現(xiàn)：某虛擬隔離強(qiáng)制注冊(cè)技術(shù)實(shí)現(xiàn)方式靈活，只需在服務(wù)器進(jìn)行簡(jiǎn)單配置即可，技術(shù)要求較低，不需要其他軟、硬件設(shè)備的支持，并且對(duì)服務(wù)器的部署位置無(wú)終端安全管理體系解決方案16特殊要求，實(shí)現(xiàn)簡(jiǎn)單。系統(tǒng)采用被動(dòng)發(fā)現(xiàn)模式，對(duì)網(wǎng)絡(luò)影響極小。3) 未注冊(cè)終端接入訪(fǎng)問(wèn)限制：沒(méi)有安裝安全管理客戶(hù)端的計(jì)算機(jī)在接入網(wǎng)絡(luò)時(shí)，可在極短時(shí)間被發(fā)現(xiàn)阻斷，限制未注冊(cè)終端進(jìn)入內(nèi)部網(wǎng)絡(luò)訪(fǎng)問(wèn)的權(quán)限，只有終端注冊(cè)成功后才可以通過(guò)檢測(cè)。4) 未注冊(cè)終端重定向；未注冊(cè)的終端只保留與安全管理服務(wù)器的通訊，在被阻斷之后，終端會(huì)及時(shí)彈出重定向網(wǎng)頁(yè)，提示使用者下載安裝安全管理客戶(hù)端。. 桌面安全管理通過(guò)桌面安全管理可以評(píng)估并檢驗(yàn)終端計(jì)算機(jī)的安全性，實(shí)行補(bǔ)丁下發(fā)和防病毒軟件的檢測(cè)等終端加固措施，提供軟硬件資源登記及終端設(shè)備變化報(bào)警、進(jìn)行遠(yuǎn)程維護(hù)、軟件進(jìn)程保護(hù)和終端流量監(jiān)控，以及非法外聯(lián)監(jiān)控等功能，防止通過(guò)其他途徑而造成的敏感信息的泄漏。主要實(shí)現(xiàn)如下：? 能夠?qū)K端電腦硬件資源、軟件資源，以及軟、硬件資源變更的信息統(tǒng)一與管理；? 能夠解決終端電腦外圍設(shè)備（軟驅(qū)、光驅(qū)、刻錄機(jī)、 U 盤(pán)、移動(dòng)硬盤(pán)、撥號(hào)連接、無(wú)線(xiàn)上網(wǎng)、紅外傳輸、藍(lán)牙、串并口、打印機(jī)等）的使用管理與控制；終端安全管理體系解決方案17? 能夠?qū)K端電腦軟件安裝、進(jìn)程運(yùn)行、服務(wù)加載的監(jiān)控與保護(hù)的安全問(wèn)題；能夠快速有效地定位網(wǎng)絡(luò)中病毒、蠕蟲(chóng)、黑客的引入點(diǎn)，及時(shí)、準(zhǔn)確地切斷安全事件發(fā)生點(diǎn)和網(wǎng)絡(luò)；? 能夠?qū)K端電腦登錄密碼、用戶(hù)權(quán)限、IP 訪(fǎng)問(wèn)控制、 IE 安全設(shè)置、注冊(cè)表監(jiān)控與保護(hù)的安全問(wèn)題；對(duì)終端電腦運(yùn)行資源、異常流量、異常進(jìn)程的監(jiān)控與管理；終端安全管理體系解決方案18? 能夠?qū)K端補(bǔ)丁安裝進(jìn)行管理，能夠統(tǒng)計(jì)每臺(tái)終端補(bǔ)丁安裝情況，能夠根據(jù)補(bǔ)丁策略選擇補(bǔ)丁自動(dòng)分發(fā)和人工選擇補(bǔ)丁分發(fā)，根據(jù)不同需要制定不同策略實(shí)現(xiàn)補(bǔ)丁的自動(dòng)分發(fā)。? 能夠?qū)K端安裝防病毒軟件進(jìn)行管理，監(jiān)控終端是否安裝殺毒軟件，安裝哪款殺毒軟件、殺毒軟件是否運(yùn)行等。? 通過(guò)策略配置快速的實(shí)現(xiàn) IP、MAC 綁定，綁定后，對(duì)私自修改 IP 計(jì)算機(jī)進(jìn)行地址恢復(fù)，或斷網(wǎng)，同時(shí)上報(bào)服務(wù)器保存。終端安全管理體系解決方案19? 能夠?qū)K端用戶(hù)的非法外聯(lián)進(jìn)行管理，如未經(jīng)允許私自連入單位內(nèi)非授權(quán)網(wǎng)絡(luò)或者外聯(lián)網(wǎng)的行為；并可以監(jiān)控受控終端離開(kāi)受控網(wǎng)絡(luò)后，是否有違規(guī)連入外聯(lián)網(wǎng)等行為。通過(guò)對(duì)終端使用控制管理與防護(hù)，最終實(shí)現(xiàn)對(duì)桌面終端的安全控制與合規(guī)性管理，實(shí)現(xiàn)桌面終端的可管理性、可控性，杜絕不安全的終端電腦在網(wǎng)絡(luò)中的運(yùn)行，防止各種不安全因素在網(wǎng)絡(luò)中運(yùn)行而造成的安全隱患。. 終端行為管控設(shè)計(jì)實(shí)現(xiàn)終端行為管控主要對(duì)終端用戶(hù)的網(wǎng)站瀏覽控制、網(wǎng)絡(luò)應(yīng)用使用控制、網(wǎng)絡(luò)下載控制、帶寬使用控制等各種網(wǎng)絡(luò)訪(fǎng)問(wèn)和使用行為進(jìn)行管理和控制。其主要用于解決終端用戶(hù)接入互聯(lián)網(wǎng)或外聯(lián)網(wǎng)可能引發(fā)的各種安全問(wèn)題，可實(shí)現(xiàn)網(wǎng)絡(luò)安全準(zhǔn)入控制、二次授權(quán)訪(fǎng)問(wèn)、敏感信息過(guò)濾、行為安全審計(jì)、網(wǎng)絡(luò)帶寬資源優(yōu)化以及對(duì) P2P 軟件、游戲軟件、股票軟件、即時(shí)通信等各種應(yīng)用軟件的管理和控制功能，同時(shí)實(shí)現(xiàn)對(duì)上述各種網(wǎng)絡(luò)行為的管理和審計(jì)。該組件主要功能實(shí)現(xiàn)如下：? 模塊化的功能應(yīng)用組合終端行為管控采用模塊化的應(yīng)用功能加載模式，真正實(shí)現(xiàn)了功能應(yīng)用模塊化。它將某些特性功能劃分為不同的應(yīng)用組件，可根據(jù)用戶(hù)自身的需求特點(diǎn)，選擇和啟用不同的功能組件實(shí)現(xiàn)任意組合與擴(kuò)展，保護(hù)安全投資，減輕系統(tǒng)負(fù)終端安全管理體系解決方案20載，提交系統(tǒng)運(yùn)行效率。? 網(wǎng)絡(luò)準(zhǔn)入控制加載安全準(zhǔn)入組件后，可以實(shí)現(xiàn)對(duì)計(jì)算機(jī)終端的網(wǎng)絡(luò)安全準(zhǔn)入控制。例如：對(duì)未注冊(cè)用戶(hù)的入網(wǎng)行為進(jìn)行管理（包含 URL 重定向功能） ，對(duì)已注冊(cè)的用戶(hù)不做任何的阻斷操作，記錄合法的注冊(cè)信息等功能，從而達(dá)到終端用戶(hù)的入網(wǎng)管理與控制，優(yōu)化網(wǎng)絡(luò)資源分配的目的。? 網(wǎng)絡(luò)訪(fǎng)問(wèn)控制：內(nèi)置用戶(hù)訪(fǎng)問(wèn)控制規(guī)則，并通過(guò)二次授權(quán)認(rèn)證管理策略，對(duì)不符合外網(wǎng)訪(fǎng)終端安全管理體系解決方案21問(wèn)條件的用戶(hù)和主機(jī)禁止訪(fǎng)問(wèn)外網(wǎng)或者限制外網(wǎng)訪(fǎng)問(wèn)范圍。? 網(wǎng)絡(luò)應(yīng)用行為管理：采用深度業(yè)務(wù)識(shí)別 DSI（Deep Service Inspection）技術(shù)，通過(guò)自身內(nèi)置100 余種常見(jiàn)網(wǎng)絡(luò)應(yīng)用的業(yè)務(wù)特征，綜合運(yùn)用 HADL 繼承式應(yīng)用描述語(yǔ)言,允許網(wǎng)絡(luò)管理者針對(duì)不同的內(nèi)網(wǎng)用戶(hù)、不同時(shí)段，結(jié)合企業(yè)的實(shí)際需求制定適合本企業(yè)的網(wǎng)絡(luò)應(yīng)用行為管理規(guī)范。? 網(wǎng)頁(yè)過(guò)濾檢查：內(nèi)置 36 大類(lèi)超過(guò) 100 萬(wàn)條的中文網(wǎng)頁(yè)過(guò)濾分類(lèi)數(shù)據(jù)庫(kù)，能夠?qū)崿F(xiàn)基于 URL預(yù)分類(lèi)網(wǎng)站列表的訪(fǎng)問(wèn)控制、基于用戶(hù)和訪(fǎng)問(wèn)時(shí)間段的控制管理、基于 URL 關(guān)鍵字的 URL 過(guò)濾、支持 URL 訪(fǎng)問(wèn)記錄的查詢(xún)，以及可以對(duì)訪(fǎng)問(wèn)內(nèi)容、訪(fǎng)問(wèn)量和訪(fǎng)問(wèn)者的統(tǒng)計(jì)排名等功能。? 敏感信息及非法關(guān)鍵字過(guò)濾：采用業(yè)界獨(dú)創(chuàng)的技術(shù)，在不影響產(chǎn)品性能的情況下可以實(shí)時(shí)的針對(duì)網(wǎng)頁(yè)、郵件、搜索引擎關(guān)鍵字和論壇發(fā)帖內(nèi)容進(jìn)行過(guò)濾，大大的規(guī)避了企業(yè)的法律風(fēng)險(xiǎn)。? 帶寬流量管理：針對(duì)內(nèi)網(wǎng)的不同訪(fǎng)問(wèn)需求公平合理的分配網(wǎng)絡(luò)訪(fǎng)問(wèn)帶寬，防止某些用戶(hù)獨(dú)占過(guò)多帶寬帶來(lái)網(wǎng)絡(luò)擁塞。? 綜合內(nèi)容審計(jì)：終端安全管理體系解決方案22采用領(lǐng)先的知識(shí)發(fā)現(xiàn) KDT（Knowledge Discovery Technology）技術(shù)（該技術(shù)是數(shù)據(jù)挖掘與 DSI 深度業(yè)務(wù)識(shí)別檢測(cè)兩種技術(shù)的結(jié)晶，它可以根據(jù)不同的業(yè)務(wù)類(lèi)型進(jìn)行有針對(duì)性的內(nèi)容還原解碼） ，能夠?qū)︵]件內(nèi)容、聊天內(nèi)容、網(wǎng)絡(luò)發(fā)貼