終端防護系統對終端的安全狀態和安全行為進行全面監管，檢測并保障桌面系統的安全，統一制定、下發并執行安全策略，從而實現對終端的全方位保護、管理和維護，有效保障終端系統及有關敏感信息的安全。在終端防護系統的眾多功能中，本方案充分利用以下功能。

　　安全挑戰

　　計算機終端是用戶辦公和處理業務最重要的工具，對計算機終端的準入管理，可以有效地提高辦公效率、減少信息安全隱患、提升網絡安全，從而為用戶創造更多的業務價值。但目前，大部分終端處于松散化的管理，主要存在以下問題：

　　接入終端的身份認證，是否為合法用戶接入

　　工作計算機終端的狀態問題如下：

　　操作系統漏洞導致安全事件的發生

　　補丁沒有及時更新

　　工作終端外設隨意接入，如U盤、藍牙接口等

　　外來人員或第三方公司開發人員使用移動筆記本電腦未經容許接入到業務專網或辦公網系統

　　工作終端的安全策略不統一，嚴重影響全局安全策略

　　解決方案

　　天融信針對上述安全挑戰，提出了網絡安全準入解決方案，采用ＣＡ數字證書系統、天融信終端安全管理系統TopDesk，結合802.1X技術等，實現完善、可信的網絡準入，如下圖所示。

天融信網絡安全準入解決方案圖

　　終端接安全準入過程如下：

　　1）網絡準入控制組件通過802.1X協議，將當前終端用戶身份證書信息發送到交換機。

　　2）交換機將用戶身份證書信息通過RADIUS協議，發送給RADIUS認證組件。

　　3）RADIUS組件通過CA認證中心對用戶身份證書進行有效性判定，并把認證結果返回給交換機，交換機將認證結果傳給網絡準入控制組件。

　　4）用戶身份認證通過后，終端系統檢測組件將根據準入策略管理組件制定的安全準入策略，對終端安全狀態進行檢測。

　　5）終端的安全狀態符合安全策略的要求，則允許準入流控中心系統網絡。

　　6）如終端身份認證失敗，網絡準入控制組件通知交換機關閉端口；

　　7）如終端安全狀態不符合安全策略要求，終端系統檢測組件將隔離終端到非工作VLAN。

　　8）在非工作VLAN的終端，終端系統檢測組件會自動進行終端安全狀態的修復，在修復完成以后，系統自動將終端重新接入正常工作Vlan。

文章作者：通信世界網