破解“可信接入”难题

　　目前出现了几种安全接入技术，这些技术的主要思路是从终端着手，通过管理员指定的安全策略，对接入私有网络的主机进行安全性检测，自动拒绝不安全的主机接入保护网络直到这些主机符合网络内的安全策略为止。
　　
　　能供实现上述功能的技术有：思科的网络接入控制NAC（Network Access Control）技术，微软的网络访问保护技术NAP（Network Access Protection）以及TCG组织的可信网络连接TNC（Trusted Network Connect）。这三种安全接入技术都是通过对网络中各种设备（包括路由设备、安全设备等）、安全机制、安全信息的综合管理与分析，对现有安全资源进行有效管理和整合。前段时间，NAC与NAP结为连理枝，两种技术方案的融合可以实现：网络接入设备上采用思科的NAC技术，而主机客户端上则采用微软的NAP技术，从而实现互补的功效。
　　
　　具体说，提高端点安全，采用可信接入后，用户最直接的获益包括：
　　
1. 认证与授权方式的改变
　　仅仅做到通过用户名和密码进行身份认证是不够的，必须能够对接入端的行为进行识别，对用户的网络访问行为进行管理，让“行为识别”取代简单的“口令”认证。
　　
2. 安全策略的强制执行
　　这种强制策略是不以“人的特权”而出现例外的策略。主要是指不把一切不符合网络安全规范的设备，在试图到接入到网络时候就对其进行检查，在没有通过检查、授权的情况下对其所有行为进行屏蔽。例如：一台计算机一接入网里面的时候，马山对其进行检查，补丁是否打到最新，病毒库是否更新，是否携带病毒。强制策略的核心就是“隔离”，与病毒隔离相反，是前期隔离的方法。
　　
3. 行为监控与自动隔离
　　用户行为的监控包括两个方面：首先是针对用户定制成的专门用于监控内部敏感文件访问、操作情况的管理系统；其次是实现被控对象的Internet上网行为（如：网页、邮件），访问网上邻居、关键服务器、敏感文件）和计算机用户的操作行为（如：非法应用程序、OA客户端，黑客工具）的实时监控和管理。与之配套是自动隔离技术，在出现病毒、非授权访问、攻击等安全问题后，对事件源主机实时、快速、精确定位，远程阻断隔离。
　　
4. 保障接入设备具有自愈性
　　自愈功能与隔离同时使用，又是“强制策略”的补充，不然我们的客户端就会永远消失在网管软件的屏幕上了。有的时候终端用户并不是有意识触犯网络安全的策略，比如说出差很久了，没有升级病毒库版本，我们就需要提供了自动修复的功能，一旦发现这个终端不符合安全的要求，要为用户提供自动恢复的机制，使它可以达到预先制定的安全等级规定，按照它原来的权限访问网络上的资源。