終端準(zhǔn)入控制解決方案在檢驗(yàn)檢疫信息安全工作中的應(yīng)用研究

季佳華+李月+吳穗玲+張偉

【摘要】 終端準(zhǔn)入控制EAD（End user Admission Domination，以下簡(jiǎn)稱EAD）解決方案，整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，通過(guò)智能客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及第三方軟件的聯(lián)動(dòng)，對(duì)接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實(shí)施安全策略，嚴(yán)格控制終端用戶的網(wǎng)絡(luò)使用行為，可以加強(qiáng)用戶終端的主動(dòng)防御能力，大幅度提高網(wǎng)絡(luò)安全。本文重點(diǎn)闡述EAD解決方案的原理和EAD解決方案在上海出入境檢驗(yàn)檢疫局的成功上線過(guò)程，并且對(duì)解決方案上線后的容災(zāi)備份方案進(jìn)行了詳細(xì)論述。通過(guò)EAD方案部署，解決檢驗(yàn)檢疫信息化推進(jìn)過(guò)程中網(wǎng)絡(luò)安全等問(wèn)題，加強(qiáng)檢驗(yàn)檢疫內(nèi)網(wǎng)安全防御能力，提升內(nèi)網(wǎng)的整體安全。

關(guān)鍵詞 EAD解決方案；準(zhǔn)入控制；終端安全；BYOD；移動(dòng)辦公

一、前言

2016年上海出入境檢驗(yàn)檢疫局完成了上海國(guó)檢移動(dòng)辦公應(yīng)用的系統(tǒng)化建設(shè)工作，并于7月1日正式在上海局上線運(yùn)行，也就此開(kāi)啟了上海局移動(dòng)辦公的新“時(shí)代之門”。與此同時(shí)上海局移動(dòng)辦公應(yīng)用信息化建設(shè)，引入了“BYOD（自帶設(shè)備）”辦公的概念。用戶可以攜帶自己的平板電腦、智能手機(jī)等移動(dòng)終端設(shè)備到辦公場(chǎng)所，并可以用這些設(shè)備訪問(wèn)上海局OA，郵件等業(yè)務(wù)辦公系統(tǒng)。BYOD的出現(xiàn)無(wú)疑提高了上海局移動(dòng)辦公的新風(fēng)尚，突破了傳統(tǒng)辦公模式下的局限性，提高了上海局移動(dòng)辦公的自由度。可以使更多用戶有效利用間隙時(shí)間查看郵件充分體現(xiàn)了BYOD…On…the…GO理念。無(wú)間隙的業(yè)務(wù)連接利用移動(dòng)終端設(shè)備接入上海局內(nèi)網(wǎng)保持與業(yè)務(wù)網(wǎng)絡(luò)的連通性，提升決策與工作效率保持業(yè)務(wù)連續(xù)性。

與此同時(shí)，隨著國(guó)內(nèi)檢驗(yàn)檢疫網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大以及業(yè)務(wù)的不斷擴(kuò)展，網(wǎng)絡(luò)安全問(wèn)題變得越來(lái)越重要。在針對(duì)不同安全區(qū)域邊界部署IPS、防火墻等設(shè)備進(jìn)行防護(hù)的同時(shí)，我們認(rèn)識(shí)到實(shí)際使用中更多的網(wǎng)絡(luò)安全事件都是由脆弱的用戶終端和“失控”的局域網(wǎng)使用行為引起。在局域網(wǎng)中，用戶終端不及時(shí)升級(jí)系統(tǒng)補(bǔ)丁和病毒庫(kù)的現(xiàn)象普遍存在；私設(shè)代理服務(wù)器、私自訪問(wèn)外部網(wǎng)絡(luò)、濫用禁用軟件等行為也比比皆是。“失控”的用戶終端一旦接入網(wǎng)絡(luò)，就相當(dāng)于安全威脅繞過(guò)了IPS、防火墻這些“馬其諾防線”，直接面對(duì)網(wǎng)絡(luò)核心業(yè)務(wù)。因此保證用戶終端的安全，對(duì)用戶的局域網(wǎng)訪問(wèn)行為進(jìn)行有效的控制，是保證網(wǎng)絡(luò)安全運(yùn)行的前提，也是目前上海局局域網(wǎng)安全管理急需解決的問(wèn)題。

終端用戶準(zhǔn)入控制系統(tǒng)（End…user…Admission…Domination，以下簡(jiǎn)稱EAD）解決方案，整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，通過(guò)智能客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及第三方軟件的聯(lián)動(dòng)，對(duì)接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實(shí)施安全策略，嚴(yán)格控制終端用戶的網(wǎng)絡(luò)使用行為，可以加強(qiáng)用戶終端的主動(dòng)防御能力，大幅度提高網(wǎng)絡(luò)安全。

二、需求分析及選型

為了加強(qiáng)對(duì)終端安全的管理，我們建議在業(yè)務(wù)內(nèi)網(wǎng)部署終端計(jì)算機(jī)準(zhǔn)入防御系統(tǒng)，該系統(tǒng)應(yīng)滿足以下功能需求：

（1）…對(duì)接入業(yè)務(wù)內(nèi)網(wǎng)的終端實(shí)現(xiàn)用戶身份認(rèn)證。對(duì)于認(rèn)證失敗的用戶，斷開(kāi)其網(wǎng)絡(luò)連接；認(rèn)證成功但安全性檢查不通過(guò)的終端，放入隔離區(qū)自動(dòng)引導(dǎo)其完成主機(jī)完整性修復(fù)；對(duì)于認(rèn)證和安全性檢查全部通過(guò)的主機(jī)，按照策略設(shè)定完成相應(yīng)網(wǎng)絡(luò)設(shè)置和終端安全客戶端設(shè)置，滿足終端相應(yīng)權(quán)限的訪問(wèn)；

（2）…能檢測(cè)終端的代理功能設(shè)置。對(duì)私設(shè)代理服務(wù)器、IE代理設(shè)置的終端，必須能限制其訪問(wèn)；

（3）…能對(duì)接入的終端進(jìn)行安全狀態(tài)檢查，包括：防病毒軟件安全檢查、補(bǔ)丁狀態(tài)安全檢查、安裝軟件應(yīng)用檢查等；

（4）…能具備防ARP攻擊的特性；

（5）…該系統(tǒng)能支持冗余配置，具備高可靠性；

（6）…該系統(tǒng)能有效的識(shí)別移動(dòng)設(shè)備是否被感染惡意軟件，并通過(guò)有效的策略保證移動(dòng)設(shè)備的數(shù)據(jù)安全；

（7）…該系統(tǒng)能在移動(dòng)業(yè)務(wù)辦公的環(huán)境下，保證其傳輸鏈路的可靠性；

目前各主流網(wǎng)絡(luò)廠商都提供終端準(zhǔn)入控制的產(chǎn)品和解決方案，通過(guò)對(duì)解決方案功能的詳細(xì)了解和反復(fù)測(cè)試，我們確定了終端準(zhǔn)入控制EAD（End…user…Admission…Domination，以下簡(jiǎn)稱EAD）解決方案，最為符合當(dāng)前國(guó)內(nèi)環(huán)境下檢驗(yàn)檢疫業(yè)務(wù)內(nèi)網(wǎng)的安全接入。

三、EAD終端準(zhǔn)入控制設(shè)計(jì)原理

3.1 終端準(zhǔn)入控制的實(shí)現(xiàn)過(guò)程

EAD終端準(zhǔn)入控制，將終端安全狀態(tài)與網(wǎng)絡(luò)接入控制相融合，加強(qiáng)了對(duì)用戶終端的集中管理，提高了終端的主動(dòng)防御能力。通過(guò)智能客戶端、安全策略服務(wù)器、接入設(shè)備以及第三方服務(wù)器的聯(lián)動(dòng)，可以將不符合安全要求的終端限制在“隔離區(qū)”內(nèi)，防止“危險(xiǎn)”終端對(duì)局域網(wǎng)安全的損害，避免“易感”終端受病毒、蠕蟲的攻擊，從而大幅度提升了局域網(wǎng)抵御安全威脅的能力。

EAD解決方案對(duì)終端用戶的整體控制過(guò)程如下圖1所示。

3.2 終端準(zhǔn)入控制的原理

EAD的基本原理是通過(guò)智能客戶端（iNode客戶端）、安全聯(lián)動(dòng)設(shè)備（如交換機(jī)、VPN網(wǎng)關(guān)、路由器）、安全策略服務(wù)器以及防病毒服務(wù)器、補(bǔ)丁服務(wù)器的聯(lián)動(dòng)實(shí)現(xiàn)的，其基本原理如下圖所示：

（1）…用戶終端試圖接入網(wǎng)絡(luò)時(shí)，首先通過(guò)智能客戶端進(jìn)行用戶身份認(rèn)證，非法用戶將被拒絕接入網(wǎng)絡(luò)；

（2）…合法用戶將被要求進(jìn)行安全狀態(tài)認(rèn)證，由安全策略服務(wù)器驗(yàn)證用戶終端安全狀態(tài)是否符合基于用戶帳號(hào)預(yù)定義的安全策略，包括補(bǔ)丁版本、病毒庫(kù)版本是否合格，軟件安裝允許是否合格、是否使用代理服務(wù)器等信息，不合格用戶將被安全聯(lián)動(dòng)設(shè)備隔離到隔離區(qū)；

（3）…進(jìn)入隔離區(qū)的用戶可以進(jìn)行補(bǔ)丁、病毒庫(kù)的升級(jí)、卸載非法程序、取消代理設(shè)置等操作，直到安全狀態(tài)合格；endprint

（4）…安全狀態(tài)合格的用戶將實(shí)施由安全策略服務(wù)器下發(fā)的安全設(shè)置，并由安全聯(lián)動(dòng)設(shè)備提供基于身份的網(wǎng)絡(luò)服務(wù)。

3.3 終端準(zhǔn)入控制的優(yōu)點(diǎn)

從EAD的控制過(guò)程和基本原理可以看出，EAD將終端病毒防護(hù)、補(bǔ)丁修復(fù)等終端安全措施與網(wǎng)絡(luò)接入控制、訪問(wèn)權(quán)限控制等網(wǎng)絡(luò)安全措施整合為一個(gè)聯(lián)動(dòng)的安全體系，通過(guò)對(duì)網(wǎng)絡(luò)接入終端的檢查、隔離、修復(fù)、管理和監(jiān)控，使整個(gè)網(wǎng)絡(luò)變被動(dòng)防御為主動(dòng)防御；變單點(diǎn)防御為全面防御；變分散管理為集中策略管理，提升了網(wǎng)絡(luò)對(duì)病毒、蠕蟲等新興安全威脅的整體防御能力。…

四、終端準(zhǔn)入控制在上海出入境檢驗(yàn)檢疫局的應(yīng)用

4.1 選型測(cè)試過(guò)程

為了確保上海出入境檢驗(yàn)檢疫局的終端準(zhǔn)入控制應(yīng)用實(shí)踐的成功，自2009年開(kāi)始進(jìn)行產(chǎn)品選型工作，2010年3月份正式開(kāi)始EAD解決方案的測(cè)試，測(cè)試中包括了EAD解決方案中的多個(gè)產(chǎn)品：智能管理平臺(tái)（Intelligent…Management… Center，iMC）、iMC…EAD安全策略組件（End…user…Admission…Domination）、iMC…UAM（User…Access…Manager）用戶接入管理組件、iNode…PC客戶端、iNode…DC可溶解客戶端，同時(shí)測(cè)試了iMC雙機(jī)熱備功能。

EAD解決方案的選型測(cè)試和局部部署，歷時(shí)18個(gè)月，主要包括五個(gè)階段。

第一階段：2010年3月-2010年5月，在上海出入境檢驗(yàn)檢疫局信息中心網(wǎng)絡(luò)科內(nèi)部初步測(cè)試，測(cè)試內(nèi)容為iNode…DC客戶端+Portal…EAD功能測(cè)試；

第二階段：2010年6月-2010年10月，在上海出入境檢驗(yàn)檢疫局信息中心全部門進(jìn)行測(cè)試，測(cè)試內(nèi)容為iNode…DC客戶端+Portal…EAD功能和iNode…PC客戶端+Portal…EAD功能測(cè)試；…

第三階段：2010年11月-2011年2月，在上海出入境檢驗(yàn)檢疫局信息中心全部門進(jìn)行測(cè)試，測(cè)試內(nèi)容為iNode…PC客戶端+Cisco…802.1x…EAD功能測(cè)試；…

第四階段：2011年3月-2011年4月，在崇明出入境檢驗(yàn)檢疫局進(jìn)行測(cè)試，測(cè)試內(nèi)容為iNode…PC客戶端EAD功能在分支區(qū)縣局的實(shí)際應(yīng)用情況；

第五階段：2011年5月-2011年9月，在上海局和金山、奉賢、南匯等多個(gè)區(qū)縣局實(shí)施測(cè)試；為了保證iMC服務(wù)器的穩(wěn)定性，在上海出入境檢驗(yàn)檢疫局信息中心機(jī)房實(shí)施并測(cè)試了iMC…雙機(jī)熱備功能。

第六階段：2013年4月-2016年12月，在洋山局進(jìn)行即查即放無(wú)線智能終端接入測(cè)試，測(cè)試內(nèi)容為iNode…PC客戶端EAD功能在分支區(qū)縣局的無(wú)線安全接入的實(shí)際應(yīng)用情況；

第七階段：2017年2月至今，在上海局全局進(jìn)行無(wú)線安全接入部署；

4.2 選型過(guò)程中遇到的問(wèn)題和解決方案

EAD解決方案在實(shí)踐過(guò)程中，存在如下問(wèn)題：

（1）……EAD系統(tǒng)支持802.1x認(rèn)證和Portal認(rèn)證等；客戶端采用iNode…PC客戶端、iNode…DC可溶解客戶端不同方式，何種方式最符合上海出入境檢驗(yàn)檢疫局的功能需求和現(xiàn)網(wǎng)環(huán)境？

（2）……iNode…PC智能客戶端與支持標(biāo)準(zhǔn)802.1x協(xié)議的交換機(jī)能配合使用，但部分區(qū)縣局點(diǎn)存在思科公司的C2950、C3550等老款接入交換機(jī)，這些交換機(jī)的802.1x的部分功能支持不完善，如只支持single-host模式，同一接入端口不允許下掛有多臺(tái)PC終端，而由于布線系統(tǒng)限制，網(wǎng)絡(luò)中恰恰有這種需求，如何解決？

（3）…對(duì)于部分PC終端，同時(shí)安裝了360安全衛(wèi)士軟件與趨勢(shì)殺毒軟件。在安裝iNode…PC智能客戶端時(shí)，趨勢(shì)殺毒軟件能夠正常識(shí)別軟件行為，認(rèn)可iNode…PC智能客戶端；但是360安全衛(wèi)士軟件誤報(bào)EAD客戶端不安全，客戶端能否正確運(yùn)行？

（4）……對(duì)于網(wǎng)絡(luò)打印機(jī)等不支持802.1x認(rèn)證的設(shè)備，如何實(shí)現(xiàn)網(wǎng)絡(luò)接入并保證接入交換機(jī)端口的安全性？

針對(duì)以上問(wèn)題，需要分別從技術(shù)和管理體制流程兩個(gè)層面進(jìn)行規(guī)范和解決：

（1）……通過(guò)測(cè)試，我們發(fā)現(xiàn)網(wǎng)絡(luò)中的原思科公司交換機(jī)產(chǎn)品不能配合EAD系統(tǒng)實(shí)現(xiàn)Portal認(rèn)證。而如果在網(wǎng)絡(luò)匯聚層或核心層增加配置Portal網(wǎng)關(guān)設(shè)備，則對(duì)接入終端的控制點(diǎn)位置太高，不利于進(jìn)行嚴(yán)格控制。同時(shí)iNode…DC可溶解客戶端由于技術(shù)限制，功能不如iNode…PC客戶端豐富，因此我們最終決定采用iNode…PC客戶端配合接入交換機(jī)802.1x認(rèn)證的認(rèn)證方式。

（2）……對(duì)于部分老款接入交換機(jī)網(wǎng)絡(luò)設(shè)備802.1x技術(shù)支持不完善的問(wèn)題，通過(guò)將部分同一接入端口下確實(shí)需要連接多臺(tái)終端的接入交換機(jī)網(wǎng)絡(luò)設(shè)備進(jìn)行更換，來(lái)確保EAD解決方案的成功實(shí)施。

（3）……對(duì)于360安全衛(wèi)士軟件誤報(bào)EAD客戶端不安全的問(wèn)題；從技術(shù)上，在iNode…PC客戶端的安裝包中，添加了暫時(shí)關(guān)閉360安全衛(wèi)士軟件的相關(guān)提示，待軟件安裝完全后，360安全衛(wèi)士軟件可以與iNode…PC客戶端正常共存；從管理上，信息中心將要求上海局內(nèi)終端計(jì)算機(jī)全部安裝趨勢(shì)殺毒軟件，作為終端計(jì)算機(jī)入網(wǎng)的要求形成文件下發(fā)。

（4）……為了接入網(wǎng)絡(luò)打印機(jī)等不支持802.1x認(rèn)證的設(shè)備，可以關(guān)閉接入交換機(jī)上連接該類設(shè)備的端口的802.1x認(rèn)證功能，但這會(huì)造成安全漏洞。在該端口上配置MAC地址綁定或MAC認(rèn)證功能，可以避免非法設(shè)備通過(guò)該交換機(jī)端口接入網(wǎng)絡(luò)。

4.3 容災(zāi)備份方案

通過(guò)1年多的測(cè)試，EAD解決方案能滿足上海出入境檢驗(yàn)檢疫局對(duì)終端準(zhǔn)入控制的功能需求，而且也提供部分桌面管理和資產(chǎn)管理功能。

通過(guò)交換機(jī)的配合，強(qiáng)制用戶在接入網(wǎng)絡(luò)前通過(guò)802.1X等方式進(jìn)行身份認(rèn)證和安全狀態(tài)評(píng)估，確保只有符合安全標(biāo)準(zhǔn)的用戶接入網(wǎng)絡(luò)，實(shí)現(xiàn)了：endprint

（1）……沒(méi)有在EAD終端準(zhǔn)入控制系統(tǒng)內(nèi)注冊(cè)的PC終端，即使正確配置了IP地址，也無(wú)法連入上海出入境檢驗(yàn)檢疫局內(nèi)網(wǎng)；

（2）…對(duì)于連入內(nèi)網(wǎng)的PC終端進(jìn)行合法性、安全性檢查；合法性主要檢查IP和用戶對(duì)應(yīng)關(guān)系；安全性檢查例如：檢查防病毒軟件安裝、操作系統(tǒng)補(bǔ)丁的安裝等。

（3）…杜絕了內(nèi)網(wǎng)中私設(shè)代理服務(wù)器的現(xiàn)象

在實(shí)踐了EAD解決方案之后，如上圖3所示，EAD服務(wù)器的備份就顯得尤其重要了，如果沒(méi)有EAD服務(wù)器的備份方案，那就存在一個(gè)可能會(huì)導(dǎo)致全網(wǎng)中斷的單點(diǎn)故障。

在充分的衡量了各種容災(zāi)備份方案的基礎(chǔ)上，上海局最終采用了最為穩(wěn)妥的Windows群集雙機(jī)熱備加離線逃生工具的備份方案。

如下圖4，EAD雙機(jī)熱備是采用兩臺(tái)服務(wù)器利用群集軟件實(shí)現(xiàn)服務(wù)器備份冗余的方案。iMC雙機(jī)熱備組網(wǎng)中，SQL…Server數(shù)據(jù)庫(kù)和EAD策略服務(wù)器軟件都安裝在存儲(chǔ)設(shè)備上，同一時(shí)間只會(huì)有一臺(tái)服務(wù)器使用共享磁盤陣列上的資源；兩臺(tái)服務(wù)器作為一個(gè)整體，對(duì)外提供一個(gè)虛IP作為服務(wù)器的IP地址；通過(guò)Windows的群集管理器軟件保持兩臺(tái)服務(wù)器之間的心跳，實(shí)時(shí)檢測(cè)EAD相關(guān)的進(jìn)程運(yùn)行是否正常，當(dāng)發(fā)生故障時(shí)自動(dòng)將業(yè)務(wù)切換到另一臺(tái)服務(wù)器上。

雙機(jī)熱備組網(wǎng)的優(yōu)點(diǎn)是能夠解決服務(wù)器本身的硬件故障。但是由于只有一套程序文件及數(shù)據(jù)存在，所以不能解決程序文件本身以及數(shù)據(jù)庫(kù)本身的軟件故障。為了解決這個(gè)問(wèn)題，在部署EAD解決方案的同時(shí)，我們還部署了用戶接入逃生工具。

用戶接入逃生工具（以下簡(jiǎn)稱為“逃生工具”）是iMC…EAD解決方案中UAM（User…Access…Manager）組件的后臺(tái)的替身。當(dāng)iMC…UAM出現(xiàn)諸如進(jìn)程宕機(jī)、數(shù)據(jù)庫(kù)異常、性能下降等故障無(wú)法處理認(rèn)證請(qǐng)求時(shí)，逃生工具暫時(shí)替代iMC…UAM處理請(qǐng)求報(bào)文以保障用戶的業(yè)務(wù)不中斷。逃生工具不驗(yàn)證用戶信息與用戶口令，不做綁定、授權(quán)處理，也不啟用安全認(rèn)證，對(duì)于請(qǐng)求報(bào)文都直接回應(yīng)成功。如圖5。

有了雙機(jī)熱備容災(zāi)備份方案和逃生工具容災(zāi)備份方案的雙保險(xiǎn)，EAD終端準(zhǔn)入控制解決方案在上海出入境檢驗(yàn)檢疫局的運(yùn)行更加穩(wěn)定，可以應(yīng)對(duì)單臺(tái)服務(wù)器故障、存儲(chǔ)系統(tǒng)故障、iMC程序本身的故障以及數(shù)據(jù)庫(kù)程序的故障，可以最大程度地保證系統(tǒng)運(yùn)行過(guò)程中的穩(wěn)定性，確保上海出入境檢驗(yàn)檢疫局業(yè)務(wù)工作正常開(kāi)展。

五、結(jié)語(yǔ)

全新的BYOD辦公模式，讓上海局辦公人員擺脫了時(shí)間和空間的束縛。業(yè)務(wù)信息可以隨時(shí)隨地通暢地進(jìn)行交互流動(dòng)，工作更加輕松有效，整體運(yùn)作更加協(xié)調(diào)。有效提高了上海局業(yè)務(wù)辦公效率。在信息化飛速發(fā)展的時(shí)代，上海局將秉著持續(xù)探索、勇于創(chuàng)新的原則，不斷完善單位的信息化建設(shè)。信息技術(shù)已經(jīng)成為支持檢驗(yàn)檢疫業(yè)務(wù)的主要技術(shù)手段，在推進(jìn)檢驗(yàn)檢疫信息化建設(shè)的過(guò)程中，如何不斷應(yīng)對(duì)層出不窮的各類威脅、有效地管理和控制信息安全風(fēng)險(xiǎn)是檢驗(yàn)檢疫在信息安全管理上的重中之重，在構(gòu)成信息系統(tǒng)的網(wǎng)絡(luò)、服務(wù)器和終端這三大要素中，針對(duì)和利用終端計(jì)算機(jī)實(shí)施的攻擊急劇增多，終端安全問(wèn)題日益凸顯，EAD解決方案從終端計(jì)算機(jī)這一源頭加強(qiáng)管理，提高終端計(jì)算機(jī)、智能無(wú)線設(shè)備的規(guī)避安全風(fēng)險(xiǎn)的能力，幫助掌握全網(wǎng)終端智能設(shè)備的安全狀況，為檢驗(yàn)檢疫業(yè)務(wù)信息化建設(shè)過(guò)程中的安全性管控進(jìn)一步加固了基石。利用EAD的安全管理功能模塊，實(shí)現(xiàn)對(duì)安裝軟件、網(wǎng)絡(luò)流量、外設(shè)USB接口應(yīng)用等進(jìn)行全面安全管理進(jìn)而實(shí)現(xiàn)對(duì)終端的安全管控，在網(wǎng)絡(luò)層面進(jìn)行訪問(wèn)控制風(fēng)險(xiǎn)識(shí)別和分析，并通過(guò)信息安全管理和技術(shù)這兩個(gè)領(lǐng)域進(jìn)行全面的風(fēng)險(xiǎn)控制，提高終端計(jì)算機(jī)規(guī)避安全風(fēng)險(xiǎn)的能力，幫助掌握全網(wǎng)終端計(jì)算機(jī)的安全狀況，確保入網(wǎng)終端處于可管、可控、可靠、安全的狀態(tài)。EAD解決方案在上海局的成功應(yīng)用開(kāi)創(chuàng)了國(guó)內(nèi)檢驗(yàn)檢疫信息化安全接入控制管理的先河，對(duì)行政效率和公共服務(wù)水平的提升提供有力的保障。

參 考 文 獻(xiàn)

[1]…RFC…2865：Remote…Authentication…Dial…In…User…Service…（RADIUS）

[2]…GB/T…20984-2007，…信息安全技術(shù)…信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范

[3]…Kadrich，…M.S.…終端安全，電子工業(yè)出版社，2009-5-1

[4]…王宇杰，，王鋒，…楊文賓，計(jì)算機(jī)網(wǎng)絡(luò)訪問(wèn)控制技術(shù)研究，…現(xiàn)代計(jì)算機(jī)（專業(yè)版）2010年7期

[5]…杭州華三通信技術(shù)有限公司：EAD技術(shù)白皮書endprint