【文章內(nèi)容簡介】 絡(luò)接入控制能夠完成對未知終端、授權(quán)終端的安全準(zhǔn)入管理與控制。該系統(tǒng)能夠完成基于 協(xié)議的準(zhǔn)入控制技術(shù)的安全準(zhǔn)入管理控制，為內(nèi)網(wǎng)終端的安全接入控制提供了一道綠色的保護(hù)屏障。. 網(wǎng)絡(luò)接入管理方案及思路系統(tǒng)能夠確保終端電腦只有在通過認(rèn)證，即安裝終端安全管理組件，并符合必要的安全策略的前提下才能被允許接入內(nèi)部網(wǎng)絡(luò)，否則會(huì)強(qiáng)制終端電腦跳轉(zhuǎn)到訪客隔離區(qū)(guest 區(qū) )，完成認(rèn)證后還需要完成安檢，即終端管理軟件的下載和安裝，且符合既定安全策略要求時(shí)才可準(zhǔn)許接入內(nèi)部網(wǎng)絡(luò)。具體接入流程如下：11 / 39終端 認(rèn)證 安檢 工作區(qū)非法用戶進(jìn)入 g u e s t 區(qū)修復(fù)區(qū)安檢合格不合格修復(fù)完成認(rèn)證未通過認(rèn)證通過網(wǎng)絡(luò)接入控制管理系統(tǒng)流程圖以上過程完全滿足網(wǎng)絡(luò)準(zhǔn)入控制的目的和意義：能確保合法的、健康的終端接入內(nèi)部網(wǎng)絡(luò)訪問被授權(quán)的資源。通過網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)，確保接入網(wǎng)絡(luò)的電腦終端符合預(yù)定義要求，必要的安全策略功能包括： 接入認(rèn)證管理 接入認(rèn)證管理具有對接入策略和安檢策略整體的配置和管理功能。接入是通過用戶名密碼的認(rèn)證方式，對終端接入網(wǎng)絡(luò)進(jìn)行限制。對認(rèn)證成功的終端進(jìn)行安全健康檢測。12 / 39 接入認(rèn)證未注冊終端接入訪問區(qū)域限制（vlan 限制）未注冊終端會(huì)因認(rèn)證不成功進(jìn)入 guest Vlan，在 guest Vlan 中終端只可以與服務(wù)器通信只有在終端注冊成功后方可以通過認(rèn)證。未安裝殺毒軟件等必備軟件自動(dòng)安裝下載管理針對終端計(jì)算機(jī)安裝及運(yùn)行殺毒軟件情況，管理員可以設(shè)置安全策略檢查終端用戶是否正常啟動(dòng)、運(yùn)行防病毒軟件，并且強(qiáng)制檢查防病毒軟件的版本和病毒庫版本，確保所有終端版本必須滿足安檢的規(guī)定方可接入內(nèi)部網(wǎng)絡(luò)。如有違規(guī)，即刻跳轉(zhuǎn)到修復(fù)區(qū)或者直接斷開終端網(wǎng)絡(luò)連接；針對終端計(jì)算機(jī)安裝的必備軟件情況，管理員可以設(shè)置可控軟件名單，檢查必備軟件的安裝運(yùn)行情況，如有違規(guī)，即刻跳轉(zhuǎn)到修復(fù)區(qū)或者直接斷開終端網(wǎng)絡(luò)連接；在網(wǎng)絡(luò)中專門劃分出修復(fù)區(qū)域，防病毒軟件服務(wù)器放置在網(wǎng)絡(luò)修復(fù)區(qū)中。終端計(jì)算機(jī)根據(jù)安全策略要求安裝及升級殺毒軟件。殺毒軟件檢測未打補(bǔ)丁終端接入限制13 / 39通過北信源補(bǔ)丁索引檢測終端用戶是否安裝系統(tǒng)補(bǔ)丁，檢測注冊終端未打或漏打補(bǔ)丁時(shí)，將會(huì)提示終端計(jì)算機(jī)有哪些需要安裝的補(bǔ)丁并且會(huì)自動(dòng)彈出下載的補(bǔ)丁的 WEB 頁面，如若不滿足補(bǔ)丁預(yù)定義策略，即刻跳轉(zhuǎn)到修復(fù)區(qū)或者直接斷開終端網(wǎng)絡(luò)連接。在網(wǎng)絡(luò)中專門劃分出修復(fù)區(qū)域，系統(tǒng)補(bǔ)丁文件服務(wù)器放置在網(wǎng)絡(luò)隔離區(qū)中。根據(jù)北信源補(bǔ)丁索引要求升級操作系統(tǒng)軟件補(bǔ)丁。補(bǔ)丁檢測運(yùn)行不可信進(jìn)程、服務(wù)、注冊表終端接入限制不可信進(jìn)程、服務(wù)、注冊表是針對可信進(jìn)程、服務(wù)、注冊表進(jìn)行判斷的，通過自定義設(shè)置可信進(jìn)程、服務(wù)、注冊表來判斷終端是否允許接入到工作區(qū)。對于終端計(jì)算機(jī)沒有運(yùn)行可信進(jìn)程、服務(wù)、注冊表的視為不可信終端，即運(yùn)行了不可信進(jìn)程、服務(wù)、注冊表，并對終端接入進(jìn)行限制。14 / 39進(jìn)程、服務(wù)、注冊表檢測自定義終端安全接入必須的桌面運(yùn)行安全環(huán)境可以結(jié)合需求自定義終端安全策略，也可以按照現(xiàn)實(shí)環(huán)境的需要個(gè)性化搭配各個(gè)安全檢查策略組合，已達(dá)到最佳的桌面安全管理效果。. 補(bǔ)丁及軟件自動(dòng)分發(fā)管理設(shè)計(jì)實(shí)現(xiàn). 補(bǔ)丁及軟件自動(dòng)分發(fā)管理概述補(bǔ)丁及軟件自動(dòng)分發(fā)管理能夠自動(dòng)識(shí)別終端計(jì)算機(jī)操作系統(tǒng)類型，并根據(jù)需求自動(dòng)下載所需補(bǔ)丁，自動(dòng)安裝并提示。系統(tǒng)向指定終端計(jì)算機(jī)（用戶組）分發(fā)文件或安裝軟件，分發(fā)時(shí)可提供軟件的運(yùn)行參數(shù)和必要的運(yùn)行控制。該管理體系可減輕網(wǎng)絡(luò)管理人員的工作負(fù)擔(dān)，軟件分發(fā)時(shí)可報(bào)告軟件安裝的狀態(tài)，無論軟件正確安裝與否，管理員均可及時(shí)了解情況。. 補(bǔ)丁及軟件自動(dòng)分發(fā)管理方案及思路15 / 39補(bǔ)丁及軟件自動(dòng)分發(fā)管理支持推、拉兩種方式自動(dòng)下載補(bǔ)丁。整個(gè)補(bǔ)丁管理運(yùn)行平臺(tái)構(gòu)架是：通過北信源外網(wǎng)補(bǔ)丁下載服務(wù)器及時(shí)從補(bǔ)丁廠商網(wǎng)站獲取最新補(bǔ)丁；補(bǔ)丁安全測試后，通過補(bǔ)丁分發(fā)管理中心服務(wù)器對網(wǎng)絡(luò)用戶進(jìn)行分發(fā)安裝；補(bǔ)丁安裝支持自動(dòng)和手動(dòng)兩種方式。 北 信源 補(bǔ)丁 中心(一 級 )補(bǔ) 丁 庫 分 類北 信源 補(bǔ)丁 管理 中心(二 級 ) 補(bǔ) 丁 增 量 導(dǎo) 入補(bǔ) 丁 測 試策 略 控 制推 拉 分 發(fā) 控 制流 量 控 制多 級 級 聯(lián) 控 制補(bǔ) 丁 分 發(fā) 檢 索 補(bǔ) 丁 自 動(dòng) 識(shí) 別客 戶 端 策 略客 戶 補(bǔ) 丁 查 詢動(dòng) 態(tài) 下 載轉(zhuǎn) 發(fā) 代 理報(bào) 表 中 心北 信源 補(bǔ)丁 管理 中心(二 級 ).. 客 戶 端自 動(dòng) 測 試 組(真 實(shí) 環(huán) 境 )級 聯(lián)同 步級 聯(lián)同 步補(bǔ)丁分發(fā)管理體系網(wǎng)絡(luò)應(yīng)用對象： 連通互聯(lián)網(wǎng)的網(wǎng)絡(luò)：直接通過補(bǔ)丁下載服務(wù)器將補(bǔ)丁下○ 1載至補(bǔ)丁分發(fā)服務(wù)器； 物理隔離網(wǎng)絡(luò)：在互聯(lián)網(wǎng)連通網(wǎng)絡(luò)上安裝補(bǔ)丁下載服○ 2務(wù)器模塊，通過補(bǔ)丁下載增量分離工具，區(qū)分內(nèi)網(wǎng)已導(dǎo)入和未導(dǎo)入的補(bǔ)丁，將最新補(bǔ)丁導(dǎo)入到內(nèi)網(wǎng)補(bǔ)丁分發(fā)服務(wù)器。補(bǔ)丁及軟件自動(dòng)分發(fā)管理包括：補(bǔ)丁下載、補(bǔ)丁分析、補(bǔ)丁策略制訂、補(bǔ)丁文件分發(fā)、終端計(jì)算機(jī)補(bǔ)丁漏洞檢測、補(bǔ)丁安全性測試、補(bǔ)丁分發(fā)控制、普通文件自動(dòng)分發(fā)等，包括功能如下：1． 終端計(jì)算機(jī)漏洞自動(dòng)偵測終端計(jì)算機(jī)補(bǔ)丁自檢測，在內(nèi)網(wǎng)中建立補(bǔ)丁檢測網(wǎng)站，終端計(jì)算機(jī)用戶訪問網(wǎng)站后，Web 網(wǎng)頁自動(dòng)檢測顯示客戶段補(bǔ)丁安裝信息，用戶可進(jìn)行補(bǔ)丁下載安裝；管理員還可以在管理控制臺(tái)上遠(yuǎn)程檢測終端計(jì)算機(jī)補(bǔ)丁安裝狀況。16 / 39補(bǔ)丁自動(dòng)檢測2． 補(bǔ)丁下載增量式補(bǔ)丁自動(dòng)分離技術(shù)在外網(wǎng)分離出已安裝、未安裝補(bǔ)丁，分類導(dǎo)入系統(tǒng)補(bǔ)丁庫，僅對內(nèi)網(wǎng)的補(bǔ)丁進(jìn)行“增量式”升級，以減少拷貝工作量；互聯(lián)網(wǎng)補(bǔ)丁自動(dòng)實(shí)時(shí)探測，支持補(bǔ)丁導(dǎo)出前病毒過濾。3． 補(bǔ)丁分析自動(dòng)建立補(bǔ)丁庫，支持補(bǔ)丁庫信息查詢。針對下載的補(bǔ)丁進(jìn)行歸類存放，按照不同操作系統(tǒng)、補(bǔ)丁編號(hào)、補(bǔ)丁發(fā)布時(shí)間、補(bǔ)丁風(fēng)險(xiǎn)等級、補(bǔ)丁公告等進(jìn)行歸類，幫助管理人員快速識(shí)別補(bǔ)丁。4． 補(bǔ)丁策略制訂（分發(fā)）支持用戶自定義補(bǔ)丁策略并自由配置分發(fā)，基于終端計(jì)算機(jī)網(wǎng)絡(luò) IP 范圍、操作系統(tǒng)種類、補(bǔ)丁類別（系統(tǒng)補(bǔ)丁、IE 補(bǔ)丁、應(yīng)用程序補(bǔ)丁以及網(wǎng)管自定義補(bǔ)丁類等）等制訂策略，發(fā)送至終端計(jì)算機(jī)后統(tǒng)一按策略執(zhí)行應(yīng)用。17 / 39補(bǔ)丁分發(fā)策略5． 補(bǔ)丁自動(dòng)修復(fù)在指定時(shí)間、指定網(wǎng)絡(luò)范圍內(nèi)以不同方式（如推、拉）分發(fā)補(bǔ)丁，或者根據(jù)腳本策略統(tǒng)一控制終端計(jì)算機(jī)下載補(bǔ)丁，當(dāng)監(jiān)測到有終端計(jì)算機(jī)未打補(bǔ)丁時(shí)，可對漏打補(bǔ)丁終端計(jì)算機(jī)進(jìn)行推送補(bǔ)丁。補(bǔ)丁分發(fā)支持流量和連接數(shù)控制，以免占用太大帶寬，影響網(wǎng)絡(luò)正常工作。6． 補(bǔ)丁下載轉(zhuǎn)發(fā)代理提供補(bǔ)丁自動(dòng)代理轉(zhuǎn)發(fā)功能，提高補(bǔ)丁下發(fā)效率，減少網(wǎng)絡(luò)帶寬的占用率，節(jié)省網(wǎng)絡(luò)資源。7． 補(bǔ)丁安全性測試補(bǔ)丁分發(fā)前閉環(huán)自動(dòng)測試，對下載的補(bǔ)丁進(jìn)行自動(dòng)測試（建立測試網(wǎng)絡(luò)組） ，測試完成后將其存入補(bǔ)丁庫，以提高打補(bǔ)丁的成功性、安全性、可靠性。8． 普通文件分發(fā)及文件自動(dòng)執(zhí)行可以提供分發(fā)普通文件也可以分發(fā)可執(zhí)行文件及 MSI 等形式的壓縮文件