当前位置:文档之家 › 准入控制厂商技术比较

准入控制厂商技术比较

  • 格式:doc
  • 大小:51.50 KB
  • 文档页数:11

下载文档原格式

  / 11

合集下载

国内外药品生产准入制度比较

国内外药品生产准入制度比较

国内外药品生产准入制度比较药品生产是一项十分重要的产业,它直接关系到人们的生命和健康。

因此,各国都实行了相关的药品生产准入制度,以确保该行业的安全、质量和效益。

那么,本文将就国内外药品生产准入制度进行比较,探讨它们的优缺点及其对我国药品产业的发展所产生的影响。

国内的药品生产准入制度在我国,药品生产准入的法律法规主要有《药品管理法》、《药品注册管理办法》等规定。

按照这些规定,首先需要进行的就是药品注册、批准和备案等程序。

其中,药品注册是指生产企业依法提交申请文件后,药品监管部门依据法律法规、药品标准及技术要求、工艺、设备、质量控制、GMP认证等方面进行审评,最终授权企业合法生产的过程。

而药品批准则是指评价药品生产许可申请中药品技术、药品通用名称、药品规格、适应证、使用说明书及药物本质等内容后,授权企业合法生产的过程。

药品备案则是对具有一定风险、适用临床或流通的药品进行公告登记的过程。

这些程序确保了药品生产的安全质量,但设备、工艺和检测方法等具体标准还缺乏明确、统一、完善。

这导致了一些企业在药品生产上存在一定程度的违规。

同时,在政府的授权下,有些省市的食品药品监管能力欠缺,从而导致了本应严格管制的药品市场长期处于混乱之中。

这种现象的存在对我国药品产业和人民健康的保护产生了很大的影响。

国外的药品生产准入制度相比之下,国外的药品生产准入制度显然更加严格规范。

例如,美国FDA(美国食品药品监督管理局)在审核药品注册申请时必须经过多个部门,包括化学、药理学、药片、体外诊断等字段的专业审评。

此外,FDA还实行GMP(药品生产质量保证规范)认证和药品IRB(人体研究伦理委员会)审查制度等,确保药品从研发到市场的全过程都能保证质量和安全性。

欧盟早在1993年便制定了药品注册管理条例(Regulation (EEC) No 2309/93)。

该制度要求生产企业必须向欧盟的药品审评机构提交详尽的申请文件,其中包括药品形态、制造过程、质量控制、试验方法、药品特异性、成分、功效安全性等内容。

网络准入控制

网络准入控制
网络准入控制
由思科发起、多家厂商参加的计划
01 需求与挑战
03 部署方案 05 展望
目录
02 技术介绍 04 常见方法
网络准入控制 (NAC)是一项由思科发起、多家厂商参加的计划,其宗旨是防止病毒和蠕虫等新兴黑客技术对 企业安全造成危害。借助NAC,客户可以只允许合法的、值得信任的终端设备(例如PC、服务器、PDA)接入网络, 而不允许其它设备接入。
a.控制范围大——它能够检测主机用于与网络连接的所有接入方法,包括园区网交换、无线接入、路由器 WAN链路、IPSec远程接入和拨号接入;
b.利用网络和防病毒投资——NAC将网络基础设施中的现有投资与防病毒技术结合在一起,对终端准入进行 主机健康检查。
c.控制力度强——通常采用在网络层面上的隔离、修复区方法。在终端接入网络访问业务数据之前就可以进 行相应的控制。
NAC的作用是检查设备的“状态”。终端NAC代理(CTA)可以从多个安全软件客户端――例如防病毒客户端 ――搜集安全状态信息,并将这些信息发送到相连的、制定访问控制决策的思科网络。应用和操作系统的状态 ――例如防病毒和操作系统补丁等级或者身份证明――可以被用于制定相应的网络准入决策。
NAC的主要优点包括:
瞬间病毒和蠕虫侵入将继续干扰企业业务的正常运作,造成停机,业务中断和不断地打补丁。利用网络准入 控制,企业能够减少病毒和蠕虫对企业运作的干扰,因为它能够防止易损主机接入正常网络。在主机接入正常网 络之前,NAC能够检查它是否符合企业最新制定的防病毒和操作系统补丁策略。可疑主机或有问题的主机将被隔 离或限制网络接入范围,直到它经过修补或采取了相应的安全措施为止,这样不但可以防止这些主机成为蠕虫和 病毒攻击的目标,还可以防止这些主机成为传播病毒的源头。

企业内部网络接入控制技术应用浅析

企业内部网络接入控制技术应用浅析

企业内部网络接入控制技术应用浅析摘要:企业信息化应用程度越来越广,越来越深入,信息安全的要求也随之而来,其中网络接入控制是信息安全的一个非常重要的方案,本文通过对目前比较流行的网络接入控制的技术进行分析,得出适合各种不同类型企业的优缺点。

关键词:信息安全网络接入控制1 网络接入控制技术概述网络接入控制,也称网络准入控制(network admission control,简称nac)概念最早是由cisco提出来的,最初目的是利用网络基础设施来防止病毒和蠕虫危害网络。

cisco nac方案是cisco自防御网络计划的第一阶段。

企业目前的大多数信息资料都可以通过连入到内部信息网络中获取,所以控制内部网络的接入成了整个信息安全很重要的一环,为此希望通过实施网络接入控制加强信息安全的管理手段。

网络准入控制实现终端注册、安全检查、安全隔离、安全通知和安全修复,保证接入到网络的终端设备的身份是可信的、是满足强制安全策略要求的。

对于外来终端设备可以限制其只能访问一些公开的资源;对于不符合强制安全策略要求的终端设备可以对其进行安全隔离,只有修复后才能正常访问网络资源;只有符合强制安全策略要求并且是内部用户的终端设备才能正常访问网络资源。

图1是网络准入控制通用架构。

接入网络的终端设备通过代理程序向接入控制服务器提供自己的安全特性信息,接入控制服务器向策略服务器验证安全特性信息是否符合强制策略要求、终端设备的身份,接入控制器根据验证结果控制接入控制点,告诉接入控制点终端设备可以访问的网络资源。

2 主流网络接入控制技术分析网络准入控制实现上要解决的一个关键问题是如何能够适应用户的各种网络环境。

目前有四种常见技术来实现网络准入控制:cisco nac、微软nap(network access protection)、网关(防火墙、代理服务器)、arp技术。

这些技术采用的接入控制点设备不同,所以代理与接入控制点之间、接入控制点与接入控制服务器之间的协议也不相同,能够起到的效果也不尽同。

艾科网信准入控制技术交流

艾科网信准入控制技术交流
入控制系统,如赛门铁克、联软等
802.1x接入控制技术示意
无线接入:1. 无法端 口IP绑定 2. 非802.1x
无线AP无法认证
路由器 防火墙
IPSec VPN
认证服务器
不适用于新老设 备混合部署的复 杂网络环境
OA服务器
各厂家交换机兼容 性差,华为客户端 不支持Cisoc交换机
无线AP
Cisco 802.1x 交换机
不支持
Linux WinXP
下挂Hub后:
1. 同一端口,办公VLAN和隔离VLAN不能共存
2. 同一端口,一台终端认证后,其他终端都可入网
准入控制技术
接入控制技术简介
➢ 网关控制技术:
在线部署在网关处,控制用户终端通过网关的所有数据 包。从而实现接入的控制。
不依赖于802.1x交换机,兼容老旧设备 问题:对内网的控制几乎没有,同时容易形成瓶颈; 产品:思科NAC(网关产品)、JUNIPER等
核心 交换机
华为 802.1x 交换机
Email服务器
华为 非802.1x
交换机
Hub
无法支持2层交 换机和Hub
Win2000 老iMac WinXP 客户端软件
即使是3层交换机,无 802.1x功能的交换机,无
法实现接入控制
必须安装客户端,
问题:1. 实施成本高;2. 老的 Windows不支持;3. Linux系统
用DHCP协议,建立IP层网络隔离区(隔离IP), WebPortal认证通过后分配正常的IP,实现接入控制
不依赖于802.1x交换机,兼容老旧设备 实现IP的中心下发,统一管理 按人分配IP地址,实现安全域划分
问题:对设备、VLAN控制较弱 产品:艾科网信的ACK

网络准入控制背景

网络准入控制背景


北京艾科网信科技有限公司
创新更安全
艾科网信
各厂商市场分布率 项 目 规 模

华为
H3C
北京艾科
CISCO
深圳联软
杭州盈高
小 少
画方
客户数量和行业分布


北京艾科网信科技有限公司
创新更安全
优缺点 技术综合 性能优越 终端安全功能强 终端安全功能强 与交换机兼容好 无线控制功能强 网关型设备要求高 影响网速 802.1x支持较好 要求交换机支持802.1x 新厂商、案例少
创新更安全

艾科网信
ACK支持多种准入技术同时 使用,有效的避免单一准入 技术的盲区,是业界兼容性 最好、整合实用功能最多的 准入产品。
艾科网信
网络准入控制背景

北京艾科网信科技有限公司
创新更安全
艾科网信
思考: 什么是网络准入控制?

北京艾科网信科技有限公司
创新更安全
艾科网信
网络安全现状
被动防御 功能单一
• 防火墙、防毒墙、IPS、垃圾邮件 • 杀毒、防毒等
创新更安全
艾科网信
网络准入控制的诞生
网络准入控制是实名制ID网络准入控制 (NAC)的简称。是指对网络的边界进行 保护,对接入网络的终端和终端的使用 人进行合规性检查。
2004年,思 科的NAC进 入市场;许 多厂商跟进, 如NAP, A10等等
2002年,思 科提出NAC 的概念
北京艾科网信科技有限公司
防火墙、IPS、防毒墙 反垃圾邮件、网络行为审计 负载均衡、带宽流量管理 UTM、VPN 围堵策略,头痛医头,脚痛医脚
根据CSI/FBI等权威机构公布的数据,超过 80%的安全事件都发生在内网环境中; 蠕虫、木马、ARP病毒、DoS攻击层出不 尽;

公安部携手盈高科技编订准入控制行业标准

公安部携手盈高科技编订准入控制行业标准

公安部携手盈高科技制定准入控制行业标准,将于10月24日重磅发布!公安部与盈高科技等准入控制行业领军企业联合编订的《GA/T 1105-2013 信息安全技术终端接入控制产品安全技术要求》已经通过审批,将于10月24日正式发布!即将发布的终端接入控制产品安全技术要求是准入控制行业的行业标准,将对整个终端接入控制行业进行一次彻底的梳理。

合规产品将获得国家层面的认可,并能迅速获得市场的信任。

而不合规产品若不及时改进产品达到国家安全规范,将面临被淘汰出局的险境。

此次标准的发布无疑将给准入控制行业带来巨大的震动!这个重量级的行业标准从编订到发布到底经历了哪些故事呢?本文提前剧透一下,让您一睹为快!揭秘谁能成为行业标准制定者?该标准由国家公安部组织编订并发布,共有五个厂家参与标准编订,分别是盈高科技有限公司,思科系统网络技术有限公司、杭州华三通信技术有限公司、迈克菲软件有限公司、赛门铁克软件有限公司。

其中,盈高科技有限公司为五个厂家中唯一一个国内厂家,也是行业内第一个筹划相关标准制定的厂家。

盈高科技自诞生以来就是一家承担着使命的企业,在诞生至今的八年时间里以惊人的速度成长,早已成为国内准入控制行业的领导企业,是国内为数不多的能接轨国际网络安全水准的厂家之一。

在此次标准的制定过程中,盈高科技更成为国内准入控制产品生产厂家的唯一代表,贡献了在这个行业沉淀多年的技术力量和发展智慧,帮助整个行业形成统一的安全规范,以促进各安全厂商规范,健康,可持续发展。

盈高科技网络准入控制产品(ASM6000入网规范管理系统)在网络准入控制领域掀起了一场技术革新,改变了业界传统的将准入控制系统作为一个单独功能产品的做法,率先提出准入平台的概念并成功实现了平台的搭建,产品具有“不改变网络、灵活客户端、终端安全集成化”的特性,是网络准入控制产品当中的典范。

专访盈高科技元老级准入人苏伟华:标准编订参与者亲谈标准制定编辑:标准编订到发布经历了多长时间?苏伟华:从组织编订到最终发布历时4年有余,先后修改5次。

Symantc VS Microsoft 厂商产品对比


产品推出历史较长,功 能相对单一,但价格较 低,适合低预算的中小 用户。预计将在2010年 初退市。
SAVCE 10.2 ●
SEP 11.0 ● ● ● ● ● ● ●
SEP 12.0 SBE(中小 企业版) ● ● ● ●
● ● ● ● ●
适用于高安全需求的中 大型企业客户。该产品 提供了完善终端安全防 护机制,内容丰富的策 略配置。并且具备安全 准入解决方案的扩展能 力。 适用于规模在250点以下的中 小企业客户。产品在SEP11的 基础上做了简化,但是其具备 人性化的安装部署配置向导, 操作界面和步骤非常简单,特 别适合安全水平欠缺或厌倦繁 琐操作的客户。
产品技术及服务支持
1、SEP在专业的防病毒测试成绩大幅领先 在国外专业权威的防病毒能力测试中VB100中,我们累计通过44 次,位居前列。而趋势科技因为连续几次未能通过测试,已经于2008年以测试不够公正退出测试VB100测试,历史成绩停留在16 次。 2、SEP具有良好的方案扩展性 SEP和终 端安全准入系统SNAC无缝对接,只使用同一个客户端,同一个管理服务器。用户采购SEP后,如需要拓展至终端安全准入需求, 只需新购license及酌情追加SNAC硬件方案即可。趋势OSCE不具备扩展能力,如需实现准入需求,除了需要购买NVWE硬件设备 后,还需在客户端额外安装代理程序,两套系统完全独立运行。 3、国内标杆客户易帜 趋势在国内的标杆客户是工商银行,但工商银行因为多年对趋势OSCE防病毒效果不 满,而采购赛门铁克SEP巩固和完善全行的终端安全体系。另一个趋势科技的重要用户浙江移动也以类似原因,将趋势OSCE换成 了SEP解决方案。
Symantec终端安全防护产品家族
防护技术 防病毒、防间谍软件 桌面级防火墙 入侵防护系统 防堆栈溢出(漏洞利用攻击) 外设及应用控制 网络准入控制 Antivirus for Linux® 用户体验 简单的用户配置界面 内嵌用户使用向导 基于处所的用户策略配置 多服务器的应用环境 客户化的配置及策略控制 适用客户类型

3.终端准入控制功能及方案解析.pptx

3.终端准入控制功能及方案解析
EAD解决方案概述
—维护网络正常秩序,助力企业核心价值
H3C终端准入限制解决方案(EAD,EndUserAdmissionDomination)是全球首个推向市场的终端管理解决方案,也 是国内应用最广、用户数最多的终端管理系列产品。EAD方案为网络管理者、网络运营者和企业IT人员供应了一套 系统、有效、易用的管理工具,帮助爱护、管理和监控网络终端,使网络能够为企业的核心目标和核心业务服务, 削减了日益困难的网络问题和非法运用对网络用户的牵绊。5EAD终端准入限制解决方案
□支持识别用户设备的归属。该设备是属于公司全部还是属于员工个人,干脆影响企业
对设备的管理。对于个人设备,企业必需遵守相关法律法规,不去触碰设备上的员工私人信息。
•广泛的防病毒厂商协作实力
□可协作病毒厂商:瑞星、江民、金山、卡巴斯基、Symantec.Nod32、McAfee.TrendMicro.安博士、KI1.1.、 趋势、趋势企业无忧平安版css5.0.Vrv、Forfront.Sophos、Avast、odoAntiVirusBeta.CAAnti-Virus›F-SecureInternetSecurity.FortiCIient,FPR。TAntivirusforWindows.VirusChaser.No
在无线局域网中的部署方案
无线局域网(W1.AN)以其安装便捷、运用敏捷、经济节约、易于扩展等有线网络无法比拟的优点,得到越来 越广泛的应用,但敏捷便利的网络接入方式同时也为局域网带来了巨大的平安威逼。
无线局域网的平安问题主要体现在访问限制层面,非授权或者非平安的客户一旦接入网络后,将会干脆面对核 心服务器,威逼核心业务,因此能对无线接入用户进行身份识别、平安检查和网络授权的访问限制系统必不行少。 在无线网络中,结合运用EAD解决方案,可以有效的满意园区网的无线平安准入的需求。

网络准入控制方式与普通网络对比1

终端安全之准入控制保障“内网合规”随着网络应用的日趋复杂,计算机终端已不再是传统意义上我们所理解的“终端”,它不仅是内网中网线所连接的PC机,更是网络中大部分事物的起点和源头——是用户登录并访问网络的起点、是用户透过内网访问Internet的起点、是应用系统访问和数据产生的起点;更是病毒攻击的源头、从内部发起的恶意攻击的源头和内部保密数据盗用或失窃的源头。

因此,也只有通过完善的终端安全管理才能够真正从源头上控制各种事件的源头、遏制由内网发起的攻击和破坏。

在内网安全管理中,准入控制是所有终端管理功能实现的基础所在,采用准入控制技术能够主动监控桌面电脑的安全状态和管理状态,将不安全的电脑隔离、进行修复。

准入控制技术与传统的网络安全技术如防火墙、防病毒技术结合,将被动防御变为主动防御,能够有效促进内网合规建设,减少网络事故。

目前的准入控制技术主要分为两大类:基于网络的准入控制和基于主机的准入控制。

基于网络的准入控制主要有EAPOL(Extensible Authentication Protocol Over LAN)技术、EAPOU(Extensible Authentication Protocol Over UDP)技术;基于主机的准入控制主要有应用准入控制、客户端准入控制。

1.基于网络的准入控制EAPOLEAP是Extensible Authentication Protocol的缩写,EAP最初作为PPP的扩展认证协议,使PPP的认证更具安全性。

无线局域网兴起后,人们在无线局域网接入领域引入了EAP 认证,同时设计了专门封装和传送EAP认证数据的IEEE 802.1x协议格式。

802.1x协议除了支持WLAN外,也支持传统的其他局域网类型,比如以太网、FDDI、Token Ring。

EAP 与802.1x的结合就是EAPOL(EAP Over LAN),或者称为EAP over 802.1x。

盈高科技:准入控制专家

盈高科技:准入控制专家作者:来源:《中国计算机报》2013年第18期盈高科技专注于NAC安全准入控制领域,是国家安全准入标准制定者之一。

提供涉及桌面管理、上网行为管理,防泄密管理等信息安全问题的整体解决方案,全面规范内网,帮助客户构建安全、健康的网络世界。

作为在国内信息安全领域迅速成长的厂商,盈高科技下设分支机构十余家,拥有覆盖全国的渠道和售后服务体系。

与国内外千余家大中型企业部门成功合作,持续居国内无客户端准入控制市场占有率第一。

盈高科技具备国内最齐全的准入控制产品资质,拥有多个准入控制专利技术,并建立了国内首家准入控制实验室,完成包括国家发改委产业化示范工程、国家科技支撑计划等国家级科研项目。

作为信息安全准入行业领军企业,盈高产品覆盖政府部门、企业集团、能源电力、医疗卫生、运营商、金融证券、军队军工、科研院所、教育等行业及多家世界500强企业。

在政府部门,盈高客户超过400余家;在能源行业,盈高涉足国内60%的客户市场。

公司产品主要包括NAC安全准入控制、桌面管理、上网行为管理、防泄密管理等。

作为盈高科技核心产品的NAC安全准入控制ASM(入网规范管理系统),诞生于国内最早的准入控制浪潮中,在业内率先提出并实现准入平台的硬件化,率先提出并采用了无客户端(Agentlesss)技术,从而改变了整个中国NAC行业的发展,在行业内掀起了“无客户端准入”的技术革命。

ASM6000入网规范管理系统,是盈高科技自主知识产权的新一代集成化终端安全管理平台,是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统,秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。

ASM6000具备清晰的边界划分,广泛的网络适应,安检策略丰富完善,安全定位灵活多样,安全功能持续扩展,弹性化客户端,支持分布式部署,高可靠的自身安全性,简单易用的用户操作,完全支持移动智能终端等产品优势。

采用盈高科技独创的“SOPE”向上滚动模型提醒,通过不断的循环让网络终端的安全性与灵活性实现完美平衡。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

随着安全思想不断深入,和安全形势的不断变化,内网安全成为市场讨论的热点,而作为能有效解决内网安全的桌面准入技术,自然成为安全厂商竞相投入大批人力物力的方向,因而现有桌面准入市场的产品层出不穷,如何挑选合适的桌面准入产品成为信息管理人员的一个难题,撰写本文的目的,就是以本人的角度,谈谈我对桌面准入产品的理解,希望对大家有所帮助,欢迎大家讨论。

安全准入的思想首先有cisco提出,而后得到全球范围内IT厂商的一致相应,进而各大厂商也竞相推出自己的安全准入产品,具体分类如下:1网络设备厂商:CISCO NAC H3C EAD HUAWEI SECOSPACE JUNIPER2信息提供商:microsoft NAP synamtic SEP3桌面管理提供商landesk北信源联软宝信盈高本文讨论的范畴亦在上述产品中。

其他产品不在本文讨论访问内下面先给出实现安全准入的常见手段:1 802.1x技术(内嵌agent)----在支持802.1x认证的网络设备上,使用EAP OVER LAN协议,对client的身份做验证,来确保进入授信网络的主机可信性。

此种实现方式,准入强度最高,但是对接入层设备要求有对802.1x支持能力,同时对不支持802.1x条件下的设备,用户控制力度较弱。

同时传统的802.1x技术,无法对终端做安全状况的检查。

只是实现对用户身份验证。

2 AGENT+802.1x技术-----在支持802.1x认证的网络设备上,使用EAP OVER LAN协议,传递数据到radius,对终端的身份做验证,用户身份得到验证同时,通过agent传送终端的安全状况的信息到posture终端安全管理中心,检查终端安全状况是否符合要求,只允许同时符合身份验证和安全可信的终端接入到授信网络中。

此种实现方式:准入强度最高,同时结合终端安全信息检查的功能,是现有技术最成熟的实现方式,3 cisco NAC技术--------cisco NAC技术准确的来说是技术集合,从现有的情况来看,包括传统的NAC技术---NAC framework和新兴的NAC技术----NAC applianceNAC framework技术----A 802.1x技术-----特指支持802.1x的cisco所有设备使用cisco CTA agent+802.1x可实现第2点的所用功能。

适用环境------所有环境B NAC-l2-ip ---特指支持cisco NAC技术的l2层设备,35-37-45-65平台。

使用支持NAC技术的l2设备,同时使用cisco CTA agent,采用动态ACL下发到l2设备,来达到类似802.1x端口管理的功能。

也可实现第2点的功能适用环境----campus园区等l2接入环境,C NAC-L3-IP---特指支持cisco NAC技术的l3设备,28-36-38-37等平台。

使用支持NAC技术的l2设备,同时使用cisco CTA agent,采用动态ACL下发到l3设备,来达到类似802.1x端口管理的功能。

亦可实现第2点的功能适用环境------远程VPN用户和l3接入用户管理NAC appliance----实现方式有L2和l3,同时将非cisco设备的网络设备,纳入cisco NAC管理范围。

配合cisco CCA agnet+ cisco CAM设备,亦可实现第2点的功能。

A NAC IB-----此时接入网络设备---为支持vlan管理trunk的可网管设备即可,并非一定是cisco网络设备此时要求所有网络流量从cisco CAM设备通过,此时AGENT传送终端的身份和安全状况给CAS设备,由CAS设备来检查是否符合要求,进而由CAM使用vlan跳转技术,保证授信终端进入授信vlan,进而达到安全准入的机制,即使通过验证,所有的网络依然从CAM设备通过。

B NAC OOB-----此时网络设备—为支持cisco SNMP trap管理的设备,对比NAC framework,设备只要为中低端的cisco设备即可。

使用cisco特有的协议,来验证和检查终端的身份和安全状况,此时所有的流量从CAM通过,此时AGENT传送终端的身份和安全状况给CAS设备,由CAS 设备来检查是否符合要求,进而由CAM使用vlan跳转技术,保证授信终端进入授信vlan,进而达到安全准入的机制,通过验证后,所有流量不再从cisco CAM 设备通过。

H3c Juniper HW 等网络设备,使用类似第2点的NAC framework技术,来实现安全准入公共,唯一不同的就是对应802.1x设备为各自厂商设备4桌面管理厂商实现方式现有桌面管理厂商对安全准入技术支持,有以下常见的方式:1类似第2点的AGENT+802.1x方式,与第2点所述一致2使用AGENT+非802.1x设备----此时,agent使用普通的IP协议,发送身份和安全状况信息给策略管理中心,由管理中心判定终端是否符合安全要求,此时控制准入,完全依赖于agent的软件底层控制能力,与网络设备无关。

此种情况下:对agent的底层开发能力要求较高,实现准入强度,完全依赖于软件agent,同时由于网络设备端口,始终处于开放状态,有潜在的安全隐患。

无法实现未安装agent的终端管理功能。

3使用agent+非802.1x设备+无agent管理设备----此时类似4中第2点实现方式,只是各物理网段旁路部署无agent管理设备,此设备用于实现未安装agent的终端重定向功能和实现非授权终端禁止范围网络的功能。

完善4中第2点遇到的问题。

此类无agent设备旁路部署---多实现arp干扰技术,来实现管理。

此时准入强度和效果,完全依赖软件本身,而管理效果,则依赖与无agent管理设备。

4使用agent+非802.1x设备(SNMP trap管理)选+无agent管理设备在4中第3点遇到主要问题,还是在于ARP干扰技术,对现有网络环境有影响,某些特殊环境和复杂环境,不适合,也是采用类似于CISCO applicance技术OOB原来,使用SNMP技术,对接入网络设备的端口进行控制,达到安全准入的机制。

此时对软件厂商软件开发技术和网络设备兼容性要求较高,但是实现准入强度较高,可以与第2点媲美。

5 microsoft NAP技术Microsoft实现方式;有2种1传统的xp终端等+802.1x设备此种实现方式,类似于第2点2使用windows2008 + SCCM2007管理软件,实现安全准入管理使用方式依然是2种:A结合802.1x设备技术实现,此时也类似第2点B对于接入设备不支持802.1x设备,microsoft使用DHCP enhancement来实现无agent的管理。

DHCP enhancement实现原理为:无论终端是否是合法终端,通过dhcp分配到访客vlan,通过验证分配到对应的vlan,实现为未安装agent的终端的网络范围控制。

Dhcp enhancement技术实际为未安装agent的终端的管理,作用类似arp干扰技术。

对应已经安装agent的终端,通过GPO结合SCCM策略管理器,实现安全策略和身份验证。

7 landesk 桌面管理套件Landesk实现方式:1结合802.1x----类似第2点2 DHCPenhancenment -------类似微软实现方式3 ipsec enhancement-------类似微软ipsec管理通道,要求2个端点都开启landesk 的信任代理证书,来确保身份,来达到身份验证准入和状态检测的机制。

4与cisco NAC技术配合----具体说是nac framework技术配合。

要求cisco要求设备。

6 symantec的SEP技术Symantec的SEP技术,结合symantec的杀毒软件SEP agent和安全管理中心,实现方式1 Lan enforcement, symantec术语,其实就是与802.1x设备,结合,实现方式类似第2点功能2与dhcp enhancement,来实现未安装agent终端的管理,类似第6点中微软第2小点原理3 gateway enforcement---串行部署在要保护或者线路主干上面,使得要穿越的流量必须通过设备,从而达到安全准入的目的的。

4 self-enforcement-----symantec术语,其实就是只是通过agent来实现终端的安全准入机制,实现方式类似于第4点中的第2点。

5 web-enforcement (on-demand protection),其实就是针对web应用,特定划出的方式,实现方式类似检查安装active插件来实现webclient的安全性的检查。

至于具体实现,类似与microsoft的工作原理,上面主要介绍啦常见安全准入产品的工作原理:总结下:1配合802.1.x----没有问题,成熟方案-实现效果最好,网络准入控制依赖网络设备为安装agent的终端,无法接入网络,2无802.1x设备------安装agent,实现终端安装准入检查,此时网络准入控制安全依赖---软件自身,效果依赖于软件开发功力。

未安装agent的客户端,依然可接入网络,如何实现具体控制依赖厂商实现方式,而且是实现正式意义上的准入控制的功能,必须依赖加装部署无agentment管理设备旁路部署1 DHCPenhancement2 ARP干扰技术3 snmptrap设备管理能力Inline:部署那么自然能控制,不依赖方式,只用1 NAC applicance IB部署方式2 gateway enhancement -类似网关的部署方式,将设备inline部署于要保护的流向线路主干上,从而保证终端必须得到认证。

安全准入常见部署场景:1 LAN campus环境----多结合802.1x技术,arp enforcement,DHCP enforcemnet。

Cisco NAC-L2技术。

2远程拨入用户VPN-----可使用gateway forcement技术,或者使用cisco NAC-l3设备3无线接入环境------多结合802.1x技术。