潍坊信息港
养生
当前位置:首页 > 养生

准入控制是终端安全管理的基石

发布时间:2019-05-15 03:53:42 编辑:笔名

近几年来,随着终端运用种类及数量的不断增多,终端管理得到企事业单位越来越多的重视,很多单位已购买和部署了各种各样的终端管理产品。有的使用国产品牌的产品,有的则购买了国外品牌的产品,但总体来讲使用效果并不是那么尽如人意。

首要的问题就是,终端管理产品客户端软件的部署率太低,使得终端难以实现被管理。而如果不能很好地解决这个问题,终端管理也就成了空谈。

终端为什么难管理

一般来说,终端分散在企事业单位的不同办公区域。但也有不同,比如分散在全国各地。

在这种情况下,如果想让终用户自行安装客户端软件,明显难度非常大。先不说用户的意愿,就是以用户良莠不齐的计算机水平而言,要用户自行安装客户端软件已经是非常有难度的事了。而如果让管理员逐台手工完成安装,这又是巨大的工作量,特别是对于有不计其数终端的机构来说,这简直就是不可能完成的任务。更有甚者,好不容易给终端安装了客户端软件,却又被用户给卸载了;或终端重装了操作系统,客户端软件又需要重新部署;或者新购了电脑,这些新终端又可能成为终端管理的漏之鱼

此外,还有很重要的一点,就是对于合作伙伴、客户以及供应商等外来人员带入的笔记本电脑,能让其随便接入吗?该如何管理这些电脑?

如上种种,正在成为困扰终端管理者的问题所在。由于只有部署成功了客户端,使终端接受了管理,后续的各种管理手段才能发挥作用。那末从技术和产品的角度是不是可以解决上述难题呢?

利用准入控制技术攻克终端管理难题

其实,现在非常热门的准入控制技术,就可以非常好地解决客户端部署的问题。

可以说,准入控制是终端管理的基础,只有打好了这个基础,终端管理产品才不至于花了钱成为摆设,终端产品也才能真正为单位内合规管理、桌面自动化运维、和保证络和终端的可用性发挥巨大的作用,进而在提高政府部门和企业的工作效率,保证业务始终可用,保护核心数据资产安全方面提供可靠的技术支撑。

那么准入控制是如何保障终端得以被管理的呢?

准入控制是在终端访问络的必经之处设置检查点,检查发起络访问的终端是否安装了客户端软件、其安全状态是否合格如果没有安装客户端软件,将引导用户进行安装;如果安全状态不合格,将引导用户进行修复。

根据准入控制点的不同,一般可分为3个层面的准入控制,即络层准入控制、应用层准入控制、终端层准入控制,每一层又可以选择多种准入控制技术或手段。图1是3层准入控制示意图。

络层准入控制

是利用终端和络设备的联动,由络设备检查终端是不是安装了客户端软件以及终端的安全状态是不是合格,从而达到准入控制的效果。在络的接入层,接入交换机采取标准的802.1X协议与终端进行联动。在络的汇聚层,汇聚层交换机可以使用思科的私有EoU协议与终端联动,不同的络厂商的交换机和路由器可以有自己的私有协议,利用这些私有协议与终端管理软件进行联动,达到准入控制的效果。在络的边界,边界关装备与终端进行联动,边界关装备一般包括防火墙、UTM、VPN等装备,而联动协议一般也是私有协议。802.1X准入因为是在接入层进行控制,离终端近,控制为严格,可以直接将终端隔离出络,但部署相对困难。会聚层及边界层设备离终端稍远,控制力度稍弱,但部署相对容易一些。对外来电脑,通过络层准入控制,要么强迫其安装客户端接受完整的管理,要末通过特殊的VLAN或ACL,限制其络访问。

应用层准入控制

其原理是在不同的运用服务器上安装准入控制软件,当终端访问这些运用服务器时,服务器上的准入控制软件检查终端是不是接受了管理,安全状态是否合格。一般可以在DNS服务器、代理服务器、Web服务器、ERP系统服务器,或者任意的运用服务器上安装准入控制软件。这些服务器是单位内部员工常访问的服务器,因此覆盖面较广。实际部署时,一般只需在一到两个服务器上部署控制点便可做到对全局的控制。因应用层离终端稍远,所以控制力度也稍弱。

终端层准入

一般是指客户端准入和ARP准入。客户端准入在终端访问络时检查本身是不是符合安全策略,如果不符合,则阻断自身应用程序的络访问;在终端接受访问时,必须确认对端是不是是接受管理的终端,否则拒方的访问,接受访问时也检查本身是否符合安全策略。ARP准入是有客户端的终端对未装客户端的终端进行ARP欺骗,阻扰其正常的络访问,直到该终端正确安装了客户端软件。ARP准入因有较大的络副作用,比如广播风暴,而且效果不理想,用户对它的使用也越来越少了。另外,客户端准入如果配合络层准入或应用层准入一起使用,可使准入控制更加灵活和强大。

通过上述的各种准入控制中的一种或多种手段,终端将被强制性地接受管理,终端管理将不再有盲点,终端管理产品将真正发挥作用,为政府部门和企业创造价值。

试想如果没有准入控制,终端管理将没有了确定性的手段,确保终端能够接受管理。即便某种终端管理软件的功能再强,如果不能部署在客户端上,也丝毫不能发挥作用。可以说准入控制是终端管理的基石,要部署终端管理产品,必须首先考虑准入控制。

月经过多中医辨证
月经过多中医治疗
经期延长怎样调理