行業現狀和挑戰

行業現狀

隨著信息化的飛速發展，業務和應用完全依賴于計算機網絡和計算機終端，企業日益迫切的需要為用戶提供一套輕松的網絡接入環境。 支持用戶安全接入網絡并且訪問網絡資源，始終需要在接入價值與安全風險之間尋找一個平衡點。 在當前的網絡應用環境中，僅靠網絡邊緣的外圍設備已經無法保證其安全性。網絡邊緣的安全防護無法保護企業的內部網絡安全。病毒、木馬、 DDOS 攻擊和其他惡意行為頻 繁利用最終用戶的終端計算機滲入企業網絡內部。而目前大部分終端在接入網絡之前都未經過嚴格的身份認證，未進行有效的合法性、安全性檢 查，因此被病毒感染的終端、未更新系統漏洞補丁的終端隨意接入網絡，勢必給整個網絡帶來極大的安全隱患。

面臨的挑戰

解決方案

準入控制系統可以將接入企業內部網絡的終端分為三類：

第一類：外來終端。 沒有內部的用戶名口令或者終端未在內部登記注冊過。外來終端接入網絡，依據管理員的設置，可以實現：

1.拒絕其接入，外來終端所發的任何數據包都不會進入內部網絡，不會影響網絡內任何其它服務器和終端的運行；

2.對其進行提醒，其接入網絡時打開瀏覽器訪問時，將其訪問重新定向到一個指定的提醒頁面，提醒其若需訪問 Internet可以與管理員聯系；

3.依據管理員預先的設置，限制其訪問，例如：只允許其進入訪客區，只能訪問互聯網。

第二類：不符合安全管理規定的內部終端管理規定”包括：是否安裝了指定的系統補丁，是否安裝了防病毒軟件，是否設置登錄口令，是否有可寫共享等。 內部不符合管理規定的終端接入網絡，可以實現：

1.限制其只能訪問修復區內的服務器，例如：文件服務器、防病毒服務器、補丁服務器；

2.提醒其哪些項目不符合管理規定，且給出修復指引。

第三類：符合管理規定的內部終端。符合管理規定的內部終端接入網絡，準入控制系統可以依據用戶名或者用戶所屬的部門，決定該終端可以訪問哪些網絡資源。