终端安全准入面面观

日期: 2010-02-25 来源:TechTarget中国

  随着计算机技术和网络通信技术的发展、融合,我们所理解的传统意义上的“终端”已经发生了变化,它不仅是网络中与网线连接的台式机和笔记本电脑,还包括手机、PDA”FONT-FAMILY: 宋体”>、PSP游戏机、电子阅读器等各类新式的移动设备。这些形形色色的终端给网络安全工作带来了巨大挑战:它们类型众多,以各种方式接入;并且,它们是网络中大部分事物的源头和起点——是用户登录并访问网络的起点,是用户访问应用系统并获取数据的起点,更是病毒传播、从内部发起的恶意攻击、内部保密数据盗用或失窃的起点。因此,终端安全管理对每个企业来说都是非常重要的,良好的终端安全控制技术能够保证企业的安全策略真正得到实施,有效控制各种非法安全事件,遏制网络中屡禁不绝的恶意攻击和破坏。

  终端安全控制技术的最佳选择

  在终端安全管理中,安全策略的控制与实施是实现所有终端管理功能的基础所在。采用安全策略控制技术能够对终端用户进行身份认证,对安全状态进行检查,将不合格的终端进行隔离、强制修复,从而有效促进内网的合规建设,减少网络事故。

  从安全策略的实施点看,目前业界采用的终端安全管理技术主要有以下四种:

  1. 出口准入控制

  出口准入控制是部署上最容易实现的终端安全管理技术。其思路是先进入再控制,允许用户使用网络,在出口处部署安全控制设备(如防火墙、行为控制网关等)。用户上网时,必须在出口的安全设备处进行身份认证和安全检查,通过之后才能上网。

  出口准入控制的优点是部署简单,不需要安装客户端,而且具备流量控制、上网内容审计等功能,因此应用较为广泛。其缺点是无法识别用户身份是否假冒(如IP、MAC、帐号等),无法控制病毒在内网的传播,而且无法控制外来用户偷偷接入内网的行为(比如U盘拷贝等),不能从源头上对终端安全进行控制,必须与其他终端安全控制技术结合,才能提供完整的终端安全管理解决方案。

  2. 客户端准入控制

  客户端准入控制是最常见的终端安全管理技术,往往与防病毒软件、个人防火墙等结合在一起。客户端准入控制的原理是认为来访用户都不可靠,因此必须在终端上安装客户端安全软件,时刻对其安全状态(如进程、注册表、引导区、网络连接状态、网页访问状态等)进行监控,一旦出现异常,就提示用户或者按预设策略进行处理。

  客户端准入控制的优点是控制能力强,能够检查操作系统、网络和应用层的安全问题。其缺点是经常需要用户自行判断,对用户的安全知识有较高要求,占用系统资源较多;同时无法保证客户端的运行情况,当端户贝等),因此在企业内部使用时,无法避免客户端被卸载或重装系统、不运行等情况发生。

  3. 服务器准入控制

  服务器准入控制技术的原理是在应用服务器上安装准入控制软件,一般安装在DHCP服务器、DNS服务器或代理服务器上。当电脑终端访问服务器时,准入控制软件会弹出页面要求用户登录,检查对方的安全状态,如果符合策略则允许访问,如果不符合将拒绝对方的访问,并给出相关提示。

  服务器准入控制的部署比较简单,对网络设备环境基本没有要求,但是容易受到安全攻击的影响(如DHCP攻击),而且对源头客户端的病毒传播难以控制,无法解决外来用户的私自接入问题。

  4. 网络准入控制

  网络准入控制技术的原理是从网络入口进行控制,通过网络设备在接入端口处强制实施安全策略。用户接入网络时,必须运行客户端软件,经过身份认证和安全检查,认证通过后才能使用网络。由于网络设备不可绕开,因此客户端一旦被卸载或者操作系统被重装,用户将无法接入。

  网络准入控制的优点是基于用户身份与网络设备紧密配合,安全策略可以得到强制实施。其缺点是实施成本较高,对网络环境和技术人员有一定要求,目前主要在大中型企业得到广泛应用。

  以上四种控制技术各有其优缺点,但从安全策略的实施方面来看,基于网络的准入控制技术由于网络设备难以绕开、控制力度可达交换机端口等特点,保证了安全策略得到强制实施,实现了终端安全管理的不可抵赖性和不可逃避性,同时解决了外来用户与内网外联的问题,并且能够与传统的安全技术和桌面管理技术融合,可以说,它是终端安全技术的最佳选择。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 华为敏捷园区助力企业应对移动化挑战

    华为敏捷园区解决方案基于SDN思想设计,围绕着移动化带来的“行”的问题出发,更专注于移动化带来安全控制和用户业务体验一致性的保障。

  • 如何保证物理安全?

    尽管有防火墙、入侵防御和加密技术,但这并不能阻止有人进入你的办公区,直接破坏网络设备。为了防范于未然,我们应该怎么做?

  • 别让恶意软件越过界

    终端用户无论多么具有安全意识,都是任何组织机构中的头号安全风险,为确保你的企业能够受益于Web 2.0技术,你必须确保安全3.3策略到位,那什么是安全3.3策略?

  • Web应用防火墙会使企业安全策略复杂化吗?

    一直以来,管理层都有一个误解,他们认为只要有防火墙,网络就会正常。实际上,和其他周边-中央安全设备一样,如果web应用防火墙没有合理地设置来保护所需的……