美國CSI/FBI在《計(jì)算機(jī)犯罪與安全調(diào)查報(bào)告》中指出，因內(nèi)網(wǎng)安全漏洞造成的損失占所有計(jì)算機(jī)安全事故的一半以上；IDC的安全統(tǒng)計(jì)數(shù)據(jù)顯示，來自企業(yè)內(nèi)部終端的安全威脅占整個(gè)安全威脅的70％以上；中國國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心CNCERT/CC的《全國網(wǎng)絡(luò)安全狀況調(diào)查報(bào)告》指出，終端隱患已成為最大的安全威脅之一。內(nèi)網(wǎng)終端已經(jīng)成為企業(yè)網(wǎng)絡(luò)的阿喀琉斯之鍾，越來越多的企業(yè)都已經(jīng)深刻認(rèn)識(shí)到部署內(nèi)網(wǎng)安全產(chǎn)品的重要性。

一、 準(zhǔn)入控制——內(nèi)網(wǎng)安全體系的關(guān)鍵

內(nèi)網(wǎng)安全產(chǎn)品主要有三大標(biāo)準(zhǔn)架構(gòu)，分別是：網(wǎng)絡(luò)準(zhǔn)入控制（NAC）、網(wǎng)絡(luò)訪問保護(hù)（NAP）和可信網(wǎng)絡(luò)連接（TNC），這三大標(biāo)準(zhǔn)體系分別定義了各自的實(shí)現(xiàn)協(xié)議，但遵從類似的體系框架，主要架構(gòu)如下：

1A. 終端連接網(wǎng)絡(luò)，通知PDP

1B. PDP啟動(dòng)終端評(píng)估（包括用戶認(rèn)證）

2. 將終端評(píng)估數(shù)據(jù)發(fā)送到策略服務(wù)器

3. 策略服務(wù)器與后端系統(tǒng)交互，證實(shí)終端狀態(tài)，決策是否授予終端接入權(quán)限

4. 策略服務(wù)器將終端評(píng)估結(jié)果通知給網(wǎng)絡(luò)（4A）和終端 (4B)

5. 終端接入網(wǎng)絡(luò)，獲得部分或者全部訪問權(quán)限，或接入修復(fù)服務(wù)器

在內(nèi)網(wǎng)安全架構(gòu)中，準(zhǔn)入控制點(diǎn)是整個(gè)體系的關(guān)鍵，承擔(dān)著與后臺(tái)策略決策系統(tǒng)交互，控制終端對網(wǎng)絡(luò)的訪問，隔離非健康終端并協(xié)助其修復(fù)等多項(xiàng)功能。準(zhǔn)入控制方式的選擇（也稱為策略強(qiáng)制點(diǎn)的選擇）至關(guān)重要, 內(nèi)網(wǎng)安全產(chǎn)品能否成功部署，主要就在于能否結(jié)合企業(yè)網(wǎng)絡(luò)的具體情況，選擇到合適的準(zhǔn)入控制點(diǎn)。

二、 多種準(zhǔn)入控制技術(shù)的深入分析

業(yè)界的內(nèi)網(wǎng)安全產(chǎn)品，一般采用以下幾類準(zhǔn)入控制方式，比較如下：

以上是內(nèi)網(wǎng)安全產(chǎn)品主流使用的準(zhǔn)入控制方式，每種方式都有其特定的優(yōu)缺點(diǎn)，一般來說每個(gè)廠商的產(chǎn)品都會(huì)支持兩種以上的準(zhǔn)入控制方式。

【編輯推薦】

1. 為內(nèi)網(wǎng)安全提供四級(jí)認(rèn)證 立體布控才是出路
2. 安全公司為創(chuàng)維家電打造可信內(nèi)網(wǎng)安全
3. 終端審計(jì)如何更好地服務(wù)內(nèi)網(wǎng)安全