图形终端管控技术调研报告范本.doc

【图形终端管控技术调研报告】 1、背景及挑战 随着黑客技术的快速发展，企业和个人在计算机信息系统中的安全性面临着严峻挑战。许多安全问题源自企业或机构内部的终端系统。为了应对网络安全风险，除了自顶向下构建网络安全体系，也需要自底向上确保每个终端和网络的安全性，构建一个可信的计算环境。这涉及终端接入前的身份认证和使用者认证，对终端进行安全检测和评估，以及确保接入信息系统的终端可信。当前，如何在不同的网络环境、应用环境和业务环境中构建信息系统的可信环境是信息安全专业人士关注的核心问题。 2、调研目的 在信息中心的开发测试网中，为外来开发人员提供的瘦客户机接入已采用MAC-PORT绑定方式，但仍存在伪造MAC地址接入的风险，这种仿冒行为可能对网络安全构成严重威胁。因此，寻找有效防止仿冒的解决方案成为本次调研的主要目标。 3、调研产品——画方NAM 画方NAM是一款基于纯硬件形态，搭载HFos操作系统的网络准入管理系统，集系统和客户端于一体。它利用全面准入技术，如DHCP、802.1X、SPAN、策略路由和AGENT等，实现多协议层的准入控制，从物理层到应用层全方位保障企业网络接入安全。系统具备可视化和智能化管理功能，简化网络运维，且能在不改变网络拓扑、秒级旁路部署的情况下，几乎不对企业网络造成影响，有效保护企业免受不可信终端接入的威胁。 在与浦发银行的合作中，画方科技承诺对银行的二次开发需求积极响应，并配合完成相应的开发工作。 4、解决方案——仿冒终端防护 画方NAM通过MAC地址识别终端，并结合其他手段（如主机名绑定、DHCP OPTION判别）判断是否存在仿冒。主要应用的技术包括： - DHCP阻断技术：NAM充当DHCP服务器，为合法终端分配办公网络IP，而非法或仿冒终端则分配隔离IP，使其无法与办公网络通信，从而阻止其接入。 - DHCP OPTION判别技术：根据RFC标准，不同操作系统在请求网络参数时会有特定的DHCP指纹，通过分析这些指纹可以区分不同类型的终端，有效预防瘦客户机的仿冒。 5、测试与验证 在二层环境中，将NAM旁路接入二层交换机，开启DHCP服务，然后让瘦客户机接入并进行仿冒测试。通过笔记本电脑模拟不同图形终端的MAC地址，收集并绑定OPTION值，制定入网策略，只允许特定类型的终端（如LINUX瘦客户机）接入，阻断其他非法设备。 通过以上步骤，画方NAM的解决方案在实际测试中展示了有效的仿冒终端识别和阻止能力，从而提高了网络边界的安全性。 总结，图形终端管控技术在当前网络安全形势下显得尤为重要，画方NAM提供的解决方案结合了多种技术手段，确保了终端接入的可信性和网络的安全性。对于企业来说，采用这样的系统可以显著提升网络安全管理水平，防止未经授权的终端接入，保障核心业务数据的安全。