1、现状与需求

随着企业信息化程度的提高，数量众多的桌面PC管理成为XX医院系统管理员越来越重要的工作，XX医院目前拥有上千台PC机及终端。系统管理员在日常维护过程中主要面临以下问题，而这些问题，既给系统管理员带来沉重的工作负担，也会严重影响企业的业务运作。

数量众多

在信息系统中桌面系统(PC)的数量往往是最多的，这些桌面系统往往很分散，分布于不同的楼层，甚至分布于不同的大楼，加上使用这些桌面系统的用户技能水准差异很大，使得管理维护工作很困难;

病毒和安全攻击

频繁的病毒和安全攻击使得桌面系统的维护工作量剧增。据IDG对2004年上半年病毒统计报告显示，1月到6月共新出现了4496种针对Windows操作系统的病毒，是03年同期的4倍。由于未及时打操作系统补丁、未及时升级防病毒软件、绕过网络安全设施随意上Internet网、外来机器的接入、外来程序的拷贝等原因，组织内部的PC机很容易被攻击和被病毒感染。

软件升级与补丁安装

为解决安全问题，管理员经常需要在多台机器上安装同一个软件或补丁，如操作系统补丁包，传统的手工安装要花费系统管理员大量时间。

PC机配置管理

IP地址冲突是经常发生的事情，如果没有一个及时、详细的设备配置清单，系统管理员很难马上知道发生冲突的设备在哪、设备的用户是谁。另外，对PC机做硬件升级、软件安装也需要了解当前PC机的配置情况。由于PC机软硬件配置是不断变化的，因此如何及时获得组织内所有PC机的准确软硬件配置信息是系统管理员面临的一个难题。

依据IP或MAC地址定位

由于病毒攻击、安全攻击、IP地址冲突等问题，往往要求用户依据IP或MAC地址对PC快速定位，目前系统管理员普遍缺乏快速有效的定位手段。

远程监控与维护

为提高效率，系统管理员经常需要做远程支持，帮助用户快速及时解决PC机问题。系统管理员与PC机用户仅依靠电话很难远程解决问题。

终端接入控制

目前大部分终端在接入网络的时候，都没有经过严格的身份认证，对终端也没有有效的验证手段。无法对终端接入网络之前，进行有效的合法性，安全性的检查。受病毒感染的终端，未打补丁的终端如果随意接入网络，势必给整个网络的安全带来重大的隐患。为了解决以上安全以及管理问题，使得整合系统内的终端高效的运行，同时也为了帮助管理的工作，减轻管理员的负担，考虑建设桌面安全和终端准入控制系统。系统应该至少实现如下功能：

资产管理。提供对终端资产收集和汇总统计。包括资产跟用户的关联。

终端安全性检查。包括Windows补丁检查，防病毒软件版本、病毒特征库版本检查，违规软件安装检查;共享目录检查;分区表检查;屏幕保护密码检查，不同用户组的不同安全策略;

网络强制身份认证。支持用户名、密码;Windows域认证;MAC地址认证等认证方式，支持RADIUS认证、用户名和MAC绑定、硬盘ID绑定以及三者结合。

根据安全策略，对不满足安全策略的终端不予以网络接入，并推送强制Portal页面或有明显标志提示用户安装有关补丁、杀毒软件、配置操作系统有关安全设置等。

系统管理功能。支持分节点、分级管理功能。可以对不同部门，不同应用等的终端进行分组管理。不同的组具有不同的管理员。

支持终端行为监控和防泄密检查。对USB存储设备、PPPoE拨号监视。

对现有防病毒软件的支持。(目前防病毒软件使用的有CA Antivirus和卡巴斯基防病毒软件、Macfee、AVG、Norton、趋势以及金山毒霸、瑞星等国产杀毒软件)。

2、联创终端安全管理与网络准入控制方案

对于电信运营商、银行、电力等企业的内部业务支撑网络而言，存在着大量的办公终端和业务终端，为了保障内网应用系统的安全和相应的终端访问权限控制和审计，必须对这些数量众多的终端实现安全、有效的准入控制和访问控制。

在没有实施网络接入控制的网络环境中，存在很多的问题，包括：

用户终端能够随意接入网络，通过物理的接入就能够实现对业务承载网络的接入;

IP地址用户可以自行分配和修改，不能实现有效的管理;

接入的计算机没有经过合法性判断，终端用户接入没有经过身份鉴别和权限控制，任何终端只要接入到网络中就能够访问业务系统或其他终端;

用户接入的终端没有经过安全检查和相应的安全信息验证，终端可能存在安全隐患，如系统漏洞、病毒等，接入到网络后对承载网络以及应用系统造成极大的影响;

用户权限控制不灵活，只能基于终端的IP地址以及应用系统中的口令来限制，不能根据用户身份信息以及终端安全信息灵活的定义。

3、系统介绍

联创终端安全管理与网络准入控制方案从网络接入端点的安全控制入手，通过安全客户端、安全策略服务器、网络设备，对接入网络的用户终端强制实施安全准入策略，加强网络用户终端的主动防御能力，并严格控制终端用户的网络使用行为，保护网络安全。

网络接入控制的目的是检查用户的身份及终端信息，根据预先的设定控制终端用户的访问权限，有效阻止不符合身份认证或安全条件的设备接入及访问网络，并将其置于某个隔离区域之外，或者仅获得对计算资源的有限访问权限。通过网络接入控制，在网络中提供一个安全接入控制节点，用户必须满足身份认证的要求，并且用户的终端设备必须达到一定的安全和策略条件才可以通过这个安全接入网关设备接入并获得一定的网络访问权限。这样一方面验证了用户的身份，避免了非法用户接入到网络中，限定了用户的访问权限;另一方面也避免了存在安全隐患的终端系统的接入，可以大大消除蠕虫和病毒对网络系统以及承载的业务越来越严重的威胁和影响，从而帮助客户发现、预防和消除安全威胁。

通过采用联创科技创新的T-GATE安全接入网关，结合联创网络准入策略管理系统和桌面安全管理系统，能够实现灵活、高效的，基于用户身份和终端安全信息的网络准入控制系统，实现真正意义上的“可信”网络。

通过在受保护网络内部部署T-GATE安全接入网关设备以及统一的终端接入控制系统，配合在终端系统上安装的安全代理客户端，能够实现完善的网络接入控制和访问行为控制以及终端设备的完整性保护功能。通过统一的桌面安全管理系统，能够实现持续有效的终端管理控制功能。

联创终端安全管理与网络准入控制方案包括三个部分组成：

T-GATE安全接入网关，具有强大的硬件转发能力和灵活的协议处理能力，主要负责验证用户身份、分配IP、路由和访问控制等功能。安全代理：是由安装在PC桌面终端的可信Agent程序组成，主要负责用户认证接入、终端安全检查、客户端修复，并且可以接受桌面安全管理中心的集中管理和监控。

安全策略中心，是由统一准入控制策略管理系统、桌面安全管理中心和补丁管理系统组成。

准入控制策略管理系统：提供了集强身份认证、安全信息鉴别、统一授权、集中审计为一体的安全解决方案，可以为终端的网络准入等应用提供集中的身份认证、安全验证、权限控制和应用审计等功能。

桌面安全管理中心：是对大量PC的安全配置和安全运行状态进行监视、统计和分析，评估PC面临的安全风险;当出现新的安全隐患和漏洞时，能自动对PC的软件进行漏洞修补和安全加固，并向管理人员提供集中的查询和监控界面，浏览、查询、统计PC的安全状态，对系统的运行进行及时的监视和控制。

补丁管理系统：提供网络统一的补丁管理功能和补丁下载的应用。补丁管理服务器，可以考虑使用XX电信现有的补丁管理服务器。

目前用户网络一般都已经建设完成，应该避免进行大规模的改造和割接，减少对使用的影响。因此，在增加安全接入网关设备时，应该充分考虑这一点，在不改动整体网络结构的基础上，实现相应的安全功能。

针对用户网络，T-GATE安全接入控制网关有两种应用方式：针对办公环境的内网准入控制方式以及针对远程接入的边界准入控制方式。