2、联创终端安全管理与网络准入控制方案

对于电信运营商、银行、电力等企业的内部业务支撑网络而言，存在着大量的办公终端和业务终端，为了保障内网应用系统的安全和相应的终端访问权限控制和审计，必须对这些数量众多的终端实现安全、有效的准入控制和访问控制。

在没有实施网络接入控制的网络环境中，存在很多的问题，包括：

用户终端能够随意接入网络，通过物理的接入就能够实现对业务承载网络的接入;

IP地址用户可以自行分配和修改，不能实现有效的管理;

接入的计算机没有经过合法性判断，终端用户接入没有经过身份鉴别和权限控制，任何终端只要接入到网络中就能够访问业务系统或其他终端;

用户接入的终端没有经过安全检查和相应的安全信息验证，终端可能存在安全隐患，如系统漏洞、病毒等，接入到网络后对承载网络以及应用系统造成极大的影响;

用户权限控制不灵活，只能基于终端的IP地址以及应用系统中的口令来限制，不能根据用户身份信息以及终端安全信息灵活的定义。

3、系统介绍

联创终端安全管理与网络准入控制方案从网络接入端点的安全控制入手，通过安全客户端、安全策略服务器、网络设备，对接入网络的用户终端强制实施安全准入策略，加强网络用户终端的主动防御能力，并严格控制终端用户的网络使用行为，保护网络安全。

网络接入控制的目的是检查用户的身份及终端信息，根据预先的设定控制终端用户的访问权限，有效阻止不符合身份认证或安全条件的设备接入及访问网络，并将其置于某个隔离区域之外，或者仅获得对计算资源的有限访问权限。通过网络接入控制，在网络中提供一个安全接入控制节点，用户必须满足身份认证的要求，并且用户的终端设备必须达到一定的安全和策略条件才可以通过这个安全接入网关设备接入并获得一定的网络访问权限。这样一方面验证了用户的身份，避免了非法用户接入到网络中，限定了用户的访问权限;另一方面也避免了存在安全隐患的终端系统的接入，可以大大消除蠕虫和病毒对网络系统以及承载的业务越来越严重的威胁和影响，从而帮助客户发现、预防和消除安全威胁。

通过采用联创科技创新的T-GATE安全接入网关，结合联创网络准入策略管理系统和桌面安全管理系统，能够实现灵活、高效的，基于用户身份和终端安全信息的网络准入控制系统，实现真正意义上的“可信”网络。

通过在受保护网络内部部署T-GATE安全接入网关设备以及统一的终端接入控制系统，配合在终端系统上安装的安全代理客户端，能够实现完善的网络接入控制和访问行为控制以及终端设备的完整性保护功能。通过统一的桌面安全管理系统，能够实现持续有效的终端管理控制功能。

联创终端安全管理与网络准入控制方案包括三个部分组成：

T-GATE安全接入网关，具有强大的硬件转发能力和灵活的协议处理能力，主要负责验证用户身份、分配IP、路由和访问控制等功能。安全代理：是由安装在PC桌面终端的可信Agent程序组成，主要负责用户认证接入、终端安全检查、客户端修复，并且可以接受桌面安全管理中心的集中管理和监控。

安全策略中心，是由统一准入控制策略管理系统、桌面安全管理中心和补丁管理系统组成。

准入控制策略管理系统：提供了集强身份认证、安全信息鉴别、统一授权、集中审计为一体的安全解决方案，可以为终端的网络准入等应用提供集中的身份认证、安全验证、权限控制和应用审计等功能。

桌面安全管理中心：是对大量PC的安全配置和安全运行状态进行监视、统计和分析，评估PC面临的安全风险;当出现新的安全隐患和漏洞时，能自动对PC的软件进行漏洞修补和安全加固，并向管理人员提供集中的查询和监控界面，浏览、查询、统计PC的安全状态，对系统的运行进行及时的监视和控制。

补丁管理系统：提供网络统一的补丁管理功能和补丁下载的应用。补丁管理服务器，可以考虑使用XX电信现有的补丁管理服务器。

目前用户网络一般都已经建设完成，应该避免进行大规模的改造和割接，减少对使用的影响。因此，在增加安全接入网关设备时，应该充分考虑这一点，在不改动整体网络结构的基础上，实现相应的安全功能。

针对用户网络，T-GATE安全接入控制网关有两种应用方式：针对办公环境的内网准入控制方式以及针对远程接入的边界准入控制方式。