● 摘要
伴随着社会信息化步伐的不断提速,开放的网络正全方位地改变着我们工作、生活以及娱乐的方式。然而这种便利及开放的网络环境却存在着很大安全风险,新的安全威胁不断涌现,病毒和蠕虫日益肆虐,他们自我繁殖及主动传播的本性使其对开放网络的破坏程度和范围持续扩大,经常引起系统崩溃、网络瘫痪,使企业蒙受严重损失。在企业网络中,任何一台终端的安全状态(如终端的防病毒能力、补丁级别和系统安全设置),都将直接影响到整个网络的安全。不符合企业安全策略的终端(如过期的签名,补丁未升级)容易遭受攻击、感染病毒,如果某台终端感染了病毒,它将不断在网络中试图寻找下一个受害者,并使其感染,在一个没有安全防护的网络中,最终导致全网瘫痪,所有终端都无法正常工作。即便是通过了严格身份验证后接入网络的最值得信赖的用户也有可能在无意间通过受感染的设备或未得到适当保护的设备,将网络中所有用户暴露在巨大风险之中。本论文对目前终端安全管理及网络接入方案的主要问题及风险进行研究分析,针对相应的问题及缺陷提出对策,设计出一套易于实施及健壮的网络安全准入控制解决方案。网络安全准入控制解决方案的目标是允许安全的终端访问网络,阻止或限制不安全的终端访问网络并强制其进行修复。网络安全准入控制是一种主动保护其它端点免受安全威胁或攻击的一种网络安全解决方案。整合孤立的单点防御系统,加强对用户的集中管理,统一实施企业安全策略,提高网络终端的主动抵抗能力。方案通过安全客户端、策略服务器、网络接入设备、防病毒软件及系统补丁服务器的联动,将不符合安全要求的终端限制在“隔离区”内,防止“危险”终端对网络安全的损害,避免“易感”终端受病毒、蠕虫的攻击。提升网络的整体防御能力。