藍(lán)代斯克網(wǎng)絡(luò)安全準(zhǔn)入解決方案

精選優(yōu)質(zhì)文檔-----傾情為你奉上精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)專心---專注---專業(yè)精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)XXXXX網(wǎng)絡(luò)安全準(zhǔn)入解決方案藍(lán)代斯克（北京）信息技術(shù)有限公司2012年9月目錄TOC\o"1-4"\h\z\u一、企業(yè)安全現(xiàn)狀隨著IT技術(shù)的快速發(fā)展，如今，企業(yè)網(wǎng)絡(luò)包含著多種多樣的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)終端，內(nèi)部服務(wù)器和PC搭載著許多重要的應(yīng)用平臺和數(shù)據(jù)，網(wǎng)絡(luò)安全的防范和運維管理尤其重要。雖然出口處有防火墻、IPS、防病毒服務(wù)器等網(wǎng)關(guān)安全設(shè)備，網(wǎng)絡(luò)邊界的安全風(fēng)險越來越小，但是企業(yè)網(wǎng)絡(luò)內(nèi)部的風(fēng)險防范還是比較薄弱，如：外來計算機、無線手持設(shè)備、AP、非法HUB等等可以隨便接入企業(yè)網(wǎng)絡(luò)，內(nèi)部網(wǎng)絡(luò)處于透明狀態(tài)，外來人員如果帶有惡意行為進(jìn)入網(wǎng)絡(luò)的話，那樣后果將是非?？膳碌模贿€有現(xiàn)在無線設(shè)備不斷增多，如何很好的去管理和控制也給企業(yè)提出了新的難題，這些行為如果不進(jìn)行有效的控制會給企業(yè)帶來很大的安全隱患，如：黑客攻擊、惡意破壞、數(shù)據(jù)泄露、病毒木馬、網(wǎng)速減慢等等，泛濫的網(wǎng)絡(luò)訪問也給運維部門造成了很大的困難；企業(yè)員工可以隨意使用無線設(shè)備、內(nèi)部計算機的安全狀況不能有效的進(jìn)行自動檢查、隔離和更新等，這些安全狀況如不及時解決都會給企業(yè)帶來安全隱患，管理員反復(fù)的維護(hù)也弄的自己筋疲力盡，工作效率得不到提高。二、項目總體背景XXXXX辦公自動化已經(jīng)逐步成為企業(yè)生產(chǎn)運營通訊和信息管理的主要平臺，通過PC及支撐的網(wǎng)絡(luò)，電腦的重要性越來越顯現(xiàn)，工作人員不僅用來計算、輸入和輸出各種數(shù)據(jù)，并且通過網(wǎng)絡(luò)或移動存儲設(shè)備等途徑，信息可以快速地傳遞到任何網(wǎng)絡(luò)的節(jié)點，正常的信息流動當(dāng)然對其事業(yè)的運營有著極大的促進(jìn)作用，而外來設(shè)備如果可以隨意接入企業(yè)網(wǎng)絡(luò)會給企業(yè)帶來巨大的網(wǎng)絡(luò)風(fēng)險，一但重要數(shù)據(jù)流失，后果非常嚴(yán)重，最終導(dǎo)致企業(yè)蒙受巨大的損失。所以有必要對企業(yè)部署網(wǎng)絡(luò)安全準(zhǔn)入系統(tǒng)來防范此類威脅的發(fā)生，目的是使管理者能夠采取必要手段加強內(nèi)部網(wǎng)絡(luò)和信息的安全。三、建設(shè)目標(biāo)我們針對XXXXX企業(yè)內(nèi)部網(wǎng)絡(luò)接入安全的薄弱點，根據(jù)XXXXX提出的具體需求進(jìn)行分析并且與用戶進(jìn)行了多次的溝通和研究,最終我們確定了部署方案，以三位一體的網(wǎng)絡(luò)安全防范措施來解決企業(yè)現(xiàn)在面臨的各種安全問題，終端設(shè)備是否可以接入企業(yè)網(wǎng)絡(luò)需要進(jìn)行身份認(rèn)證，非法終端設(shè)備或未授權(quán)終端設(shè)備不能接入企業(yè)網(wǎng)絡(luò)；通過終端安全狀況的檢查和隔離杜絕安全狀況不達(dá)標(biāo)的計算機接入企業(yè)工作網(wǎng)絡(luò)，如需進(jìn)入企業(yè)工作網(wǎng)絡(luò)必須滿足管理員規(guī)定的安全規(guī)則，如不符合進(jìn)行隔離修復(fù)，修復(fù)成功以后才能進(jìn)入。通過立體的防范措施來解決XXXXX的網(wǎng)絡(luò)安全問題，確保企業(yè)內(nèi)部業(yè)務(wù)和數(shù)據(jù)的安全穩(wěn)定運行，以便更好地為廣大用戶提供優(yōu)質(zhì)的服務(wù)。四、部署的總體思路4.1、應(yīng)用目標(biāo)“堡壘的攻破，往往來源于內(nèi)部”而發(fā)生安全事件的一個主要原因，則是非法電腦的隨意接入，隨之帶來的問題，則是信息泄密、病毒感染、泛濫的網(wǎng)絡(luò)訪問等重大問題。而且內(nèi)部主機如果安全狀況薄弱，則可能把一個局部安全問題，擴大成一個全局性的災(zāi)難。針對接入層用戶的安全威脅，特別是來自應(yīng)用層面的安全隱患，防止黑客對核心層設(shè)備和服務(wù)器的攻擊，防止外來設(shè)備的隨意接入，對接入設(shè)備進(jìn)行接入日志的跟蹤，以及保護(hù)內(nèi)網(wǎng)數(shù)據(jù)和網(wǎng)絡(luò)的安全，必須在接入層引入接入認(rèn)證和安全檢查機制。4.2、用戶需求目前XXXXX內(nèi)部的客戶端大約1000臺左右，客戶端存在兩種情況，加域客戶端和未加域的客戶端，需要都能進(jìn)行內(nèi)部網(wǎng)絡(luò)準(zhǔn)入的控制。即部分客戶端訪問策略和訪問用戶名和密碼通過AD實現(xiàn)，未加入域的部分則通過LANDesk自帶的身份認(rèn)證系統(tǒng)實現(xiàn)。核心和出口交換機如圖中BH6808交換機，需要在加入LANDesk設(shè)備后能做成旁路模式，盡量不影響整體的網(wǎng)絡(luò)架構(gòu)。用戶需要做準(zhǔn)入控制，健康檢查之類的可能后期逐步推廣，同時需要有終端何時以何種身份接入網(wǎng)絡(luò)的日志記錄。4.3、企業(yè)網(wǎng)絡(luò)拓?fù)?.4、需求分析針對XXXXX提出的需求結(jié)合貴單位的具體情況和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，我們在研究了多個方案后，采用我們新一代的網(wǎng)絡(luò)安全準(zhǔn)入產(chǎn)品進(jìn)行部署，來解決用戶面臨的問題，可以滿足用戶的網(wǎng)絡(luò)準(zhǔn)入需求，為提升企業(yè)網(wǎng)絡(luò)安全和用戶共同做出努力。滿足需求指標(biāo)：LANDesk通過標(biāo)準(zhǔn)的接入認(rèn)證服務(wù)802.1X協(xié)議，接入層的控制方式使準(zhǔn)入控制更加安全可靠，穩(wěn)定性方面也大大加強。所有終端通過實名認(rèn)證接入網(wǎng)絡(luò)，對非法接入終端進(jìn)行有效阻擋。LANDesk可以完美和AD域無縫結(jié)合，使認(rèn)證更加的方便快捷，對于加入域的計算機可以用域用戶做認(rèn)證，無需自建用戶列表。LANDesk提供自建認(rèn)證用戶列表和批量導(dǎo)入用戶等多種機制，對于沒有加入域的計算機也可以使用自建用戶或?qū)胗脩魜磉M(jìn)行準(zhǔn)入認(rèn)證。802.1X、PORTAL、強制認(rèn)證多種認(rèn)證方式相結(jié)合，可切換使用，滿足用戶認(rèn)證的靈活性和多樣性。LANDesk可采用旁路部署和網(wǎng)關(guān)部署等多種部署方式，采用旁路部署不改變企業(yè)現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，避免造成單點故障，實施簡單，認(rèn)證效率高，對復(fù)雜網(wǎng)絡(luò)環(huán)境支持力度高。借助于創(chuàng)多B/S構(gòu)架技術(shù)，整個系統(tǒng)的管理和設(shè)置全部基于Web方式，只要有瀏覽器的地方就可以直接管理，監(jiān)控整個網(wǎng)絡(luò)的接入行為和安全評估報告，真正現(xiàn)實走到那里管到那里。LANDesk提供50幾項的安全檢查服務(wù)，并采用策略化的部署方式，可根據(jù)企業(yè)對網(wǎng)絡(luò)安全的要求靈活部署。多網(wǎng)絡(luò)隔離認(rèn)證，互不影響，保證兩網(wǎng)的安全性，提高認(rèn)證效率。提供強大的接入日志和報表，接入用戶日志、接入終端日志、接入時間日志、接入地點日志、接入方式日志等等，對接入用戶進(jìn)行全程跟蹤，使管理員對網(wǎng)絡(luò)接入情況一目了然，及時規(guī)避安全隱患。LANDesk可提供基于交換機動態(tài)訪問權(quán)限控制和基于客戶端自身策略化的訪問權(quán)限控制等多種方式，滿足不同網(wǎng)絡(luò)情況下的訪問權(quán)限控制需求。LANDesk特有的PSP公共平臺共享配置技術(shù)可通過擴充模塊的方式加載我們其他產(chǎn)品功能，如終端運維、安全審計等產(chǎn)品，給用戶提供更多的安全管理功能和增值服務(wù)。4.5、部署配置根據(jù)XXXXX客戶端數(shù)量和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)來看，需要選用我們的L5100型產(chǎn)品進(jìn)行部署并做熱備，LANDesk產(chǎn)品采用旁路方式部署，不改變企業(yè)現(xiàn)有網(wǎng)絡(luò)環(huán)境，避免造成單點故障，實施簡單，對于像XXXXX那些對網(wǎng)絡(luò)連續(xù)性要求極高的企業(yè)，其優(yōu)點是它對客戶網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)性能無任何影響，不會引入新的故障點；采用LANDesk的802.1X認(rèn)證入網(wǎng)技術(shù)，實現(xiàn)統(tǒng)一準(zhǔn)入控制管理，其認(rèn)證技術(shù)優(yōu)點是接入層的控制方式使準(zhǔn)入控制更加安全可靠，穩(wěn)定性方面也大大加強，并可以和AD域完美結(jié)合，使準(zhǔn)入認(rèn)證更加方便快捷；基于LANDesk認(rèn)證客戶端自身策略化的訪問權(quán)限控制技術(shù)，也使企業(yè)訪問控制更加靈活，配置方便快捷。典型部署配置圖4.6、深度部署分析4.6.1、功能構(gòu)架A、接入層分區(qū)工作區(qū)：正常的工作網(wǎng)路，用戶通過身份認(rèn)證和安全檢查后進(jìn)入的網(wǎng)絡(luò)。訪客區(qū)：供來賓和未通過身份檢查的終端進(jìn)入的網(wǎng)絡(luò)，該網(wǎng)絡(luò)與工作區(qū)網(wǎng)絡(luò)是隔離的。隔離區(qū)：通過身份認(rèn)證但是沒有通過安全檢查的計算機進(jìn)入的網(wǎng)絡(luò)，在這個網(wǎng)絡(luò)內(nèi)計算機可以完成安檢修復(fù)。B、接入認(rèn)證過程接入網(wǎng)路前用戶必須提供身份憑據(jù)，如果認(rèn)證通過網(wǎng)絡(luò)可以正常使用，否則網(wǎng)絡(luò)是不通的。LANDesk網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)持續(xù)監(jiān)視網(wǎng)絡(luò)狀態(tài)，能快速發(fā)現(xiàn)網(wǎng)絡(luò)接入設(shè)備和計算機終端，并利用其獨特的隔離管控技術(shù)立即將這個設(shè)備與網(wǎng)絡(luò)上的其它設(shè)備隔離起來，同時依照安全策略條件進(jìn)行認(rèn)證授權(quán)和安全檢查管理。C、接入認(rèn)證流程圖D、802.1認(rèn)證原理802.1X首先是一個認(rèn)證協(xié)議它的最終目的就是確定一個端口是否可用。對于一個端口，如果認(rèn)證成功那么就“打開”這個端口，允許所有的報文通過；如果認(rèn)證不成功就使這個端口保持“關(guān)閉”，此時只允許802.1X的認(rèn)證報文EAPOL（ExtensibleAuthenticationProtocoloverLAN）通過。E、多層防護(hù)LANDesk提供支持多種認(rèn)證方式，多層防護(hù)體系，提供802.1X、portal、DHCP、網(wǎng)關(guān)、AD結(jié)合、強制認(rèn)證、多網(wǎng)絡(luò)隔離認(rèn)證等；支持鏈路層防護(hù)（802.1X協(xié)議）、支持協(xié)議層防護(hù)（ARP、HTTP、DHCP）、支持應(yīng)用層防護(hù)（DNS域名解析服務(wù)、網(wǎng)關(guān)重定向服務(wù)），可根據(jù)企業(yè)網(wǎng)絡(luò)情況靈活應(yīng)用，不改變網(wǎng)絡(luò)架構(gòu)，部署簡單，支持無客戶端的認(rèn)證方式，對復(fù)雜網(wǎng)絡(luò)環(huán)境支持度高。F、安全檢查策略強制認(rèn)證利用技術(shù)手段強制接入的終端進(jìn)行安全檢查，建立安全檢查與網(wǎng)絡(luò)接入的互動機制，對不符合規(guī)則的終端進(jìn)行隔離，并且提示和要求其進(jìn)行安檢修復(fù)。G、終端接入和安檢告警接入告警根據(jù)接入用戶、接入主機、接入點定義消息轉(zhuǎn)發(fā)規(guī)則，發(fā)送形式支持控制臺、Email、手機短消息。支持系統(tǒng)外用戶告警消息的接收，支持優(yōu)先級和關(guān)注度兩維分類屬性。安檢告警根據(jù)接入主機、安全事件類型定義消息轉(zhuǎn)發(fā)規(guī)則，發(fā)送形式支持控制臺、Email、手機短消息。支持系統(tǒng)外用戶告警消息的接收，支持優(yōu)先級H、客戶端交互管理員可以通過控制臺對終端發(fā)送消息，支持群發(fā)，并且可以通過強制下線功能對終端進(jìn)行斷線控制。4.6.2、優(yōu)勢特色穩(wěn)定性網(wǎng)絡(luò)基礎(chǔ)架構(gòu)是IT基礎(chǔ)架構(gòu)中負(fù)責(zé)信息傳輸最核心的環(huán)節(jié)，因此為了保證服務(wù)的持續(xù)性和穩(wěn)定性，對認(rèn)證系統(tǒng)的穩(wěn)定性提出了很高的要求，系統(tǒng)在如下幾個環(huán)節(jié)作了充分的考慮。便利性采用旁路部署，不需要改變用戶網(wǎng)絡(luò)環(huán)境，不需要對網(wǎng)絡(luò)做特殊改造，不影響用戶現(xiàn)有業(yè)務(wù)系統(tǒng)的使用。雙機熱備4.7、效果分析基于上述觀點，XXXXX安裝網(wǎng)絡(luò)準(zhǔn)入與安全控制系統(tǒng)是非常有必要的。網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)成為了企業(yè)網(wǎng)絡(luò)信息安全管理的重點，它將被動的安全防御轉(zhuǎn)變?yōu)榉e極的主動安全防御思想，從而將企業(yè)內(nèi)部的網(wǎng)絡(luò)構(gòu)造成為一個堅固安全堡壘，守衛(wèi)企業(yè)網(wǎng)絡(luò)資源。積極主動診斷多種網(wǎng)絡(luò)訪問設(shè)備的健康性，采用隔離管控和有效引導(dǎo)的方法，有針對性和區(qū)別性管理各種網(wǎng)絡(luò)訪問設(shè)備。實現(xiàn)積極地自我防御，達(dá)到保證企業(yè)持續(xù)穩(wěn)定、高速的發(fā)展目的。五、功能概述5.1、安全準(zhǔn)入功能LANDesk網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)提出3不原則，即：不升級網(wǎng)絡(luò)、不改變網(wǎng)絡(luò)結(jié)構(gòu)、不影響業(yè)務(wù)系統(tǒng)。最大化的支持企業(yè)內(nèi)部網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，從而使內(nèi)部網(wǎng)絡(luò)管理變得安全、透明、可控，LANDesk準(zhǔn)入安全控制系統(tǒng)真正意義上為企業(yè)打造了“為規(guī)不入網(wǎng)，入網(wǎng)必合規(guī)”的網(wǎng)絡(luò)安全管理體系。LANDesk借助于802.1X和RADIUS協(xié)議，通過與網(wǎng)絡(luò)內(nèi)交換機和無線設(shè)備的聯(lián)動，達(dá)到對接入終端設(shè)備安全接入網(wǎng)絡(luò)管理的目的。同時配合內(nèi)置的HTTP、DHCP、DNS等服務(wù)，對不符合安全接入規(guī)則的終端，采取Web訪問重定向、強制隔離等安全隔離的措施。產(chǎn)品功能特性：支持被動式無客戶戶端方式認(rèn)證支持主動式客戶端端認(rèn)證多樣化的用戶認(rèn)證方式，完美支持與AD、LDAP整合，支持內(nèi)建用戶支持用戶身份訪問認(rèn)證方式支持主機身份的訪問認(rèn)證方式，按照主機或設(shè)備的硬件ID進(jìn)行認(rèn)證支持基于用戶身份接入點限制，管理者授權(quán)用戶或終端只能在某接入點進(jìn)行認(rèn)證支持基于主機接入時間限制，管理授權(quán)用戶接入使用時間支持802.1x、DHCP、VPN、HUB、無線等網(wǎng)絡(luò)接入訪問管理支持密碼、令牌多因素認(rèn)證動態(tài)檢測系統(tǒng)與IP和MAC欺騙保護(hù)，防止私自更改IP支持旁路部署和網(wǎng)關(guān)部署支持基于交換機的動態(tài)VLAN訪問控制技術(shù)支持基于認(rèn)證客戶端策略化訪問權(quán)限控制提供多種接入跟蹤日志報表………5.2、安全檢查功能LANDesk網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)持續(xù)監(jiān)視網(wǎng)絡(luò)狀態(tài)，能快速發(fā)現(xiàn)網(wǎng)絡(luò)接入設(shè)備和計算機終端，并利用其獨特的隔離管控技術(shù)立即將這個設(shè)備與網(wǎng)絡(luò)上的其它設(shè)備隔離起來，同時依照安全策略條件進(jìn)行認(rèn)證授權(quán)管理。對于已授權(quán)的計算機終端或用戶，如發(fā)現(xiàn)其已不符合安全策略，則LANDesk調(diào)用安全策略引擎立對該終端或網(wǎng)絡(luò)設(shè)備的安全狀態(tài)進(jìn)行二次檢查，期間禁止其訪問企業(yè)網(wǎng)絡(luò)，并引導(dǎo)修復(fù)安全漏洞，及時提供預(yù)警信息。在LANDesk安全策略配置中心，管理者可輕松定義安全策略，在設(shè)備與終端接入認(rèn)證授權(quán)前或是認(rèn)證授權(quán)后有效。LANDesk提供50幾項終端安檢規(guī)則，如當(dāng)前系統(tǒng)的版本屬性、補丁更新狀態(tài)、防病毒軟件的運行狀態(tài)、軟件進(jìn)程的運行狀態(tài)、關(guān)鍵文檔的完整性等多個檢查內(nèi)容，是網(wǎng)絡(luò)免受來自未知PC非法接入帶來的巨大安全隱患。LANDesk支持安全檢查項目：操作系統(tǒng)檢查，OS版本，SP版本補丁檢查，檢查補丁完整性防病毒檢查，檢查防病毒的更新情況自定義軟件，檢查用戶指定軟件的存在，可聯(lián)動防病毒軟件或防火墻關(guān)鍵位置文件檢查，檢查指定位置文件存在性外設(shè)使用安全檢查用戶密碼強度檢查，檢查認(rèn)證用戶的密碼合規(guī)性支持主機系統(tǒng)屏保檢查，幫組用戶開啟屏幕保護(hù)支持注冊表檢查，檢查注冊表關(guān)鍵值是否存在支持網(wǎng)絡(luò)配置檢查支持IE安全檢查支持網(wǎng)絡(luò)外聯(lián)檢查………5.3、網(wǎng)絡(luò)安全風(fēng)險評估主動安全風(fēng)險評估是LANDesk網(wǎng)絡(luò)訪問控制系統(tǒng)的另一特點，根據(jù)積極主動的安全防御建設(shè)思想，加強企業(yè)網(wǎng)絡(luò)安全進(jìn)行風(fēng)險評估就顯得尤為重要。LANDesk幫助管理者實現(xiàn)企業(yè)網(wǎng)絡(luò)總體安全風(fēng)險評估、部門安全風(fēng)險評估以及指定計算機終端安全風(fēng)險評估，從而促使企業(yè)不斷提高內(nèi)部網(wǎng)絡(luò)信息安全管理水平。5.4、安全管理與訪問控制利用LANDesk的動態(tài)檢測技術(shù)，針對接入內(nèi)部網(wǎng)絡(luò)的計算機終端實行多種安全策略的檢查。不符合安全策略的計算機終端進(jìn)行友好提示，提供向?qū)降陌踩迯?fù)指引。攔截可疑的計算機終端或設(shè)備、惡意嘗試認(rèn)證的用戶，支持強制隔離下線和鎖定功能。支持訪客管理，外來訪客僅能進(jìn)入規(guī)劃的安全訪客區(qū)，允許訪問Internet，但安全訪客區(qū)與內(nèi)網(wǎng)完全隔離。LANDesk可提供基于交換機動態(tài)訪問權(quán)限控制和基于客戶端自身策略化的訪問權(quán)限控制等多種方式，滿足不同網(wǎng)絡(luò)情況下的訪問權(quán)限控制需求。支持用戶、交換機、終端等多種綁定機制，支持認(rèn)證用戶限制、認(rèn)證終端限制、認(rèn)證時間限制、認(rèn)證地點限制、認(rèn)證范圍限制等多種訪問控制條件。5.5、預(yù)警信息LANDesk預(yù)警中心的快速檢測掃描技術(shù)，可迅速發(fā)現(xiàn)網(wǎng)絡(luò)中非法接入者以及不符合安全檢查條件的計算機終端用戶。實時的安全信息通報機制，幫助管理者快速查找和排除安全隱患。例如：認(rèn)證失敗、非法嘗試認(rèn)證、不符合安全規(guī)則等。5.6、產(chǎn)品特點直觀的用戶界面LANDesk是一套容易部署和使用的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，基于Web通過向?qū)降墓芾斫缑嬖试S管理員在任何地方對系統(tǒng)進(jìn)行配置和管理，管理員可以花費最少的時間和精力快速制定網(wǎng)絡(luò)訪問策略和系統(tǒng)部署。豐富的報表日志提供各種網(wǎng)絡(luò)安全狀況的年報、季報、月報、周報、日報，管理員通常對企業(yè)終端整體安全狀況了解不多，不能全方位的了解終端安全的薄弱點，LANDesk提供詳細(xì)終端接入、安全檢查、安全評估等日志并形成報表，管理員可以根據(jù)報表快速的定位網(wǎng)絡(luò)安全隱患，迅速解決問題。靈活管理方式與運維管理系統(tǒng)（DMS）配合，可以根據(jù)訪問目標(biāo)、設(shè)備類別、狀態(tài)、地點和時間段有效管理需要訪問的網(wǎng)絡(luò)資源，能夠針對不同的個別用戶、計算機、打印機、其他設(shè)備以及他們所在的部門屬性賦予不同的網(wǎng)絡(luò)資源訪問策略。超強的網(wǎng)絡(luò)環(huán)境適應(yīng)性早期的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)解決方案已被實踐證明是過于復(fù)雜，不夠靈活和難以部署。而LANDesk網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)具有很強的網(wǎng)絡(luò)環(huán)境適應(yīng)能力，不要求用戶升級網(wǎng)絡(luò)，兼容新老設(shè)備，支持旁路部署，不構(gòu)成單點故障。消滅網(wǎng)絡(luò)安全弱點LANDesk準(zhǔn)入強制的安全策略讓未通過授權(quán)的用戶和設(shè)備遠(yuǎn)離網(wǎng)絡(luò)，即在一個LANDesk網(wǎng)絡(luò)準(zhǔn)入環(huán)境內(nèi)，每一臺訪問網(wǎng)絡(luò)的設(shè)備及其用戶都必須通過嚴(yán)謹(jǐn)?shù)恼J(rèn)證、授權(quán)、健康度檢查。未授權(quán)用戶不得訪問網(wǎng)絡(luò)，而未通過健康檢查的計算機終端則可以根據(jù)發(fā)現(xiàn)的漏洞或安全弱點來引導(dǎo)其進(jìn)行修補，滿足管理員設(shè)定的安全條件后訪問合法的網(wǎng)絡(luò)資源。

5.7、運行環(huán)境硬件環(huán)境1U或2U專用管理服務(wù)器，Linux架構(gòu)嵌入式操作系統(tǒng)，4-8個千兆網(wǎng)口，一個Console口，2個USB、標(biāo)準(zhǔn)電源接口等認(rèn)證客戶端支持操作系統(tǒng)Windows2000Professional/Server/AdvanceServerWindowsXPProfessionalWindows2003ServerWindowsVistaWindows7……5.8、逃生方案LANDesk安全準(zhǔn)入設(shè)備可提供4種安全逃生機制供用戶選擇，分別是：雙機熱備、主副服務(wù)器認(rèn)證、逃生用戶本地認(rèn)證系統(tǒng)、免認(rèn)證功能，通過這4種安全逃生方案保證在設(shè)備出問題時，不影響客戶業(yè)務(wù)系統(tǒng)的正常使用，新一代的終端強制認(rèn)證技術(shù)即使是在設(shè)備當(dāng)機情況下也不會影響用戶網(wǎng)絡(luò)的正常使用。六、案列分析聯(lián)通公司作為新興的電信運營商，是在中國電信運營市場不斷開放的情況下成立的。公司以移動業(yè)務(wù)為基礎(chǔ)，逐漸拓展到市話、長途、IP、數(shù)據(jù)、尋呼等業(yè)務(wù)，成為目前國內(nèi)業(yè)務(wù)種類最為齊全的電信運營商。目前濟南聯(lián)通有員工3000余人，加上營業(yè)廳、10060、10010等各集中系統(tǒng)的終端設(shè)備1000余臺，終端總體數(shù)量約4500臺。目前終端的維護(hù)模式為信息化支撐中心承擔(dān)著除縣公司外的區(qū)公司、各中心、各職能部