微软网络访问保护解决方案(1)

网络安全建设在企业的信息化建设中的重要性日益提高。在网络安全建设中，终端安全一直是建设的重点和难点，终端管理表现出数量多、情况复杂、变化频繁等特点，因为终端安全隐患而带给整个企业网络安全威胁的情况屡见不鲜:一台终端因使用不慎感染病毒，从而成为一个病毒源，快速感染其他终端和服务器，并且阻塞办公网络。

网络安全包括以下网络:

•企业办公网络

•业务系统网络，例如财务部门网络环境

•企业VPN网络

微软顾问咨询服务提供的网络接入保护系统是针对企业终端接入网络而实施的保护系统。它一方面禁止非企业终端连接并且使用局域网络，另一方面对于企业终端实施接入时安全检查，当终端检查结果符合企业安全策略时，允许终端接入到企业网络，否则终端一直处于与企业网络隔离的控制区域，接受修补。

企业安全策略是根据企业安全需求而设定的，包括终端补丁安装情况，终端防病毒软件安装以及版本更新情况，病毒代码库的更新情况，个人防火墙的配置情况，屏幕保护的配置情况，特定服务的运行状况，计算机或者用户所属的组，以及接入时间控制等等。这些安全策略由企业信息化建设的安全部门进行制定，系统支持在线更新策略，终端接入检查开始之前刷新安全策略的机制。

通过实施网络接入保护系统，企业信息化建设可以提高网络整体安全水平:

•保护企业网络资源。杜绝外来终端企业网络，保护企业服务器不被外来终端，一方面杜绝外来终端可能的病毒隐患对于网络安全的威胁，另一方面杜绝外来终端获取企业数据的可能性。

•保护企业网络安全。检查企业终端的安全性是在终端接入企业网络之前，在发现企业终端具有安全隐患之后，企业终端被隔离在控制区域。这样的过程，可以杜绝企业终端可能的安全隐患威胁企业网络。

•提高企业网络服务效率。当安全威胁的可能性将到最低后，企业网络服务的质量才能够提高:网络运行效率提升、网络支持成本下降，企业信息化应用才能更好的服务用户。

系统架构

在网络接入保护系统中，由控制服务器、健康认证服务器、策略服务器、修补服务器共同构成安全控制机制。

•控制服务器:控制网络设备，通过网络交换机的端口进行

•健康认证服务器:处理健康检查的过程，向控制服务器发送端口控制命令

•略服务器:提供策略的配置工具;处理与客户端和健康认证服务器之间的策略同步