网络接入保护 企业网络安全的保障
来源:IT专家网 更新时间:2007-10-18

 网络安全建设在企业的信息化建设中的重要性日益提高。在网络安全建设中,终端安全一直是建设的重点和难点,终端管理表现出数量多、情况复杂、变化频繁等特点……
  网络安全建设在企业的信息化建设中的重要性日益提高。在网络安全建设中,终端安全一直是建设的重点和难点,终端管理表现出数量多、情况复杂、变化频繁等特点,因为终端安全隐患而带给整个企业网络安全威胁的情况屡见不鲜:一台终端因使用不慎感染病毒,从而成为一个病毒源,快速感染其他终端和服务器,并且阻塞办公网络。

  网络安全包括以下网络:

  •企业办公网络

  •业务系统网络,例如财务部门网络环境

  •企业VPN网络

  微软顾问咨询服务提供的网络接入保护系统是针对企业终端接入网络而实施的保护系统。它一方面禁止非企业终端连接并且使用局域网络,另一方面对于企业终端实施接入时安全检查,当终端检查结果符合企业安全策略时,允许终端接入到企业网络,否则终端一直处于与企业网络隔离的控制区域,接受修补。

  企业安全策略是根据企业安全需求而设定的,包括终端补丁安装情况,终端防病毒软件安装以及版本更新情况,病毒代码库的更新情况,个人防火墙的配置情况,屏幕保护的配置情况,特定服务的运行状况,计算机或者用户所属的组,以及接入时间控制等等。这些安全策略由企业信息化建设的安全部门进行制定,系统支持在线更新策略,终端接入检查开始之前刷新安全策略的机制。

  通过实施网络接入保护系统,企业信息化建设可以提高网络整体安全水平:

  •保护企业网络资源。杜绝外来终端访问企业网络,保护企业服务器不被外来终端访问,一方面杜绝外来终端可能的病毒隐患对于网络安全的威胁,另一方面杜绝外来终端获取企业数据的可能性。

  •保护企业网络安全。检查企业终端的安全性是在终端接入企业网络之前,在发现企业终端具有安全隐患之后,企业终端被隔离在控制区域。这样的过程,可以杜绝企业终端可能的安全隐患威胁企业网络。

  •提高企业网络服务效率。当安全威胁的可能性将到最低后,企业网络服务的质量才能够提高:网络运行效率提升、网络支持成本下降,企业信息化应用才能更好的服务用户。

  系统架构

在网络接入保护系统中,由控制服务器、健康认证服务器、策略服务器、修补服务器共同构成安全控制机制。

  •控制服务器:控制网络设备,通过网络交换机的端口进行

  •健康认证服务器:处理健康检查的过程,向控制服务器发送端口控制命令

  •策略服务器:提供策略的配置工具;处理与客户端和健康认证服务器之间的策略同步

  主要功能

  •策略管理服务

  •策略配置

  •策略分发和同步

  •终端检查服务

  •健康状态包括:

  1.补丁的安装情况

  2.防病毒软件的安装情况

  3.病毒代码库的更新情况

  4.防火墙的配置情况

  5.屏幕保护的配置情况

  6.特定服务的运行状况

  7.计算机或者用户所属的组

  8.时间

  •当健康状态得到认可后,企业终端可以访问企业网络资源

  •当健康状态没有得到认可,企业终端被局限在控制区域,接受修补

  •网络访问控制服务

  •接入企业网络的非企业资产的终端不可以访问企业网络资源

  •接入企业网络的企业终端在接入网络的同时,接受健康状态的检查

  •端口查询与控制

  •网络控制工具

  •支持VPN接入控制

  •支持企业内部网络之间的访问控制

  服务器运行环境

  操作系统:Windows 2003 server

  应用服务器: ISA Server 2004

  数据库服务器: SQL Server 2000

  运行时环境: .NET CLR

  终端运行环境

  操作系统:Windows 2000 Professional, Windows XP Professional 网络设备支持 支持可进行网络管理的交换机。

  交换机类型:思科、华为、北电、3COM