網絡准入控制概論（簡體書）

《網絡准入控制概論》系統研究了網絡准入控制技術（NAC）的基本原理、主要技術手段、體系架構和解決方案，探討了下一代網絡准入控制技術的發展方向，提出了建設NAC項目的實施方法和關鍵要素，給出了頗具代表性的實際應用案例。《網絡准入控制概論》適合信息網絡安全技術研發和應用人員使用，亦可供信息網絡安全管理和維護人員學習參考，並可作為大學相關專業教材。．

《網絡準入控制概論》適合信息網絡安全技術研發和應用人員使用，亦可供信息網絡安全管理和維護人員學習參考，并可作為大學相關專業教材。

前言第1章 網絡准入控制技術基礎1.1 網絡准入控制技術背景1.2 網絡准入控制技術發展1.3 網絡准入控制行業發展第2章 網絡准入控制基本原理2.1 網絡准入控制技術特點2.2 網絡准入控制運行機制2.3 網絡准入控制工作流程2.4 網絡准入控制實施準則第3章 網絡准入控制技術架構3.1 網絡准人控制基本技術手段3.2 基於端點的網絡准入控制架構3.3 基於基礎網絡設備的網絡准入控制架構3.4 基於應用設備的網絡准入控制架構第4章 網絡准入控制技術解決方案4.1 C-NAC技術解決方案4.2 NAP技術解決方案4.3 TNC技術解決方案4.4 EAD技術解決方案4.5 ASM技術解決方案4.6 網絡准入控制解決方案對比分析第5章 下一代網絡准入控制技術5.1 雲計算及其發展趨勢5.2 雲計算的網絡准入控制技術分析5.3 基於雲計算的網絡准入控制技術第6章 NAC項目建設應用實施方法6.1 NAC項目建設前期關鍵要素6.2 NAC項目建設中期關鍵要素6.3 NAC項目建設後期關鍵要素第7章 網絡准入控制案例研究7.1 某銀行網絡准入控制案例7.2 衛生行業網絡准入控制案例7.3 財政行業網絡准入控制案例7.4 某部隊網絡准入控制案例7.5 某運營商網絡准入控制案例7.6 某大型企業網絡准入控制案例7.7 某省工商行政管理局准入控制案例7.8 某電力行業網絡准入控制案例附錄A 網絡准入控制法令法規簡析A.1 國家等級保護方法中對NAC的要求A.2 《ISO27001信息安全管理體系》對NAC的要求A.3 《薩班斯SOX法案》IT內控體系摘要附錄B PDCA安全模型B.1 P2DR模型簡介B.2 P2DR模型主要組成B.3 P2DR模型基本原理B.4 安全規劃原則參考文獻．

PORTAL認證是一種Web方式的認證。Web認證同802.1x認證相比，具有應用簡單的優勢。但是，在EAD解決方案中，需要使用客戶端進行終端的安全狀態檢測和控制，因此在Web認證的基礎上，擴展了PORTAL協議，使之不僅能夠處理Http協議，還可以控制其他協議的數據流，使EAD解決方案也支持PORTAL認證方式下的端點準入控制。這種方式和NAC系統的NAC Appliance基本類似。
4.4.2 EAD的工作流程
如上所述，EAD準入控制系統，通過安全客戶端、安全策略服務器、網絡設備以及第三方安全系統的協同，對接入網絡的用戶終端實施安全策略管理。以下為實現終端安全準入的流程。
Step1：用戶終端試圖接入網絡時，終端計算機首先通過安全客戶端上傳用戶信息至安全策略服務器進行身份認證，非法用戶將被拒絕接入網絡。
Step2：合法用戶將被要求進行安全狀態認證，由安全策略服務器驗證用戶終端安全狀態是否符合基于用戶賬號預定義的安全策略，包括補丁版本、病毒庫版本是否合格，軟件安裝允許是否合格、是否使用代理服務器等信息，不合格用戶將被智能聯動設備隔離到隔離區。
Step3：進入嗝離區的用戶可以根據安全策略，通過第三方服務器進行安裝系統補丁、升級病毒庫、檢查終端系統信息、卸載非法程序、取消代理設置等操作，直到接入終端符合安全策略。
Step4：安全狀態合格的用戶將實施由安全策略服務器根據不同用戶的角色下發不同的安全設置，并由安全聯動設備提供基于身份的網絡服務。
從EAD的主要工作流程和基本原理可以看出，EAD將終端防病毒、補丁修復等終端安全措施與網絡接入控制、訪問權限控制等網絡安全措施整合為一個聯動的安全體系，通過對網絡接人終端的檢查、隔離、修復、管理和監控，使整個網絡變被動防御為主動防御；變單點防御為全面防御；變分散管理為集中策略管理，提升了網絡對病毒、蠕蟲等新興安全威脅的整體防御能力。
4.4.3 EAD的主要特點
以下闡述EAD系統的主要特點。
1.嚴格的身份認證
除基于用戶名和密碼的身份認證外，EAD還支持身份與接人終端的MAC地址、IP地址、所在VLAN、接人設備IP、接人設備端口號等信息進行綁定，支持智能卡、數字證書認證，增強身份認證的安全性。
2.完備的安全狀態評估
根據管理員配置的安全策略，用戶可以進行的安全認證檢查包括終端病毒庫版本檢查、終端補丁檢查、終端安裝的應用軟件檢查、是否有代理、撥號配置等；為了更好地滿足客戶的需求，EAD客戶端支持和微軟SMS、LANDesk、BigFix等業界桌面安全產品的配合使用，支持和瑞星、江民、金山、Symantec、Maeafee、Trend Micro、Ahn等國內外主流病毒廠商聯動。例如EAD可充分利用微軟成熟的桌面管理工具，由SMS實現各種Windows環境下用戶的桌面管理需求：資產管理、補丁管理、軟件分發和安裝等。