CN102724208A - 用于控制对网络资源的访问的系统和方法 - Google Patents

Abstract

本发明公开了用于控制对计算机网络的访问的系统、方法和计算机程序产品。示范性的网络访问控制器经配置以拦截发往或来自计算机的数据传输并识别与所述计算机相关联的网络访问策略。如果不存在与所述计算机相关联的网络访问策略，则控制器在所述计算机上部署监管代理端，所述监管代理端经配置以收集来自所述计算机的配置信息以及有关所述网络的拓扑结构的信息。控制器基于所收集到的信息确定用于所述计算机的网络访问策略。控制器还激活所述计算机上的反病毒软件，以检测所述计算机上的任何恶意活动。如果检测到恶意活动，则控制器限制发往或来自所述计算机的数据传输，直至恶意活动被反病毒软件所消除，以阻止恶意活动传播到网络中的其它计算机。

Description

用于控制对网络资源的访问的系统和方法

技术领域

本发明总体上涉及网络安全领域，具体而言涉及用于控制对公司网络资源的访问的系统、方法和计算机程序产品。

背景技术

个人计算机（PC）已经成为任何一家商务企业的基本组成部分。一个现代化的办公室，无论其规模大小，其中没有一台或者多台PC是不可想象的。公司PC通常都连接于网络中，网络使得PC用户之间的安全通信和文件交换以及对诸如因特网的外部网络的安全访问成为可能。然而，大型公司网络拥有成百甚至常常是上千台PC及其它联网设备，例如打印机、扫描仪、传真机、移动通信设备，由于多种原因，对这种网络的监管（administration）成为复杂的任务。

首先，公司网络极易受到安全漏洞以及恶意软件的传播的影响。举例来说，网络中的一台PC受到恶意软件的感染，则将足以使该恶意软件轻易地传播到该网络中的其它PC。这些安全事件可能导致多台PC的暂时故障或永久损坏，这将导致员工生产力（productivity）的降低、机密信息的丢失以及有关修复受感染的PC的费用。

其次，网络管理员通常无法做到对公司网络中的所有PC保持跟踪。当包括本地和远程用户、临时用户、访客用户等在内的网络用户的数量稳步增长时，网络管理员面临着控制用户对公司网络资源的访问的问题。在授权用户对网络资源的访问之前，管理员需要确定用户是否被允许访问该资源。在大型公司网络中，此问题的解决需要相当长的时间。

因此，需要自动操作公司网络的监管过程以及控制各种网络用户对网络资源的访问。

发明内容

本发明公开了用于控制对网络资源的访问的系统、方法和计算机程序产品。在一个示范性实施例中，所述方法包括通过网络访问控制器拦截发往或来自计算机的数据传输；通过部署在所述网络访问控制器上的监管代理端识别与所述计算机相关联的网络访问策略；如果存在与所述计算机相关联的网络访问策略，则基于所述相关联的网络访问策略允许发往或来自所述计算机的所述数据传输；如果不存在与所述计算机相关联的网络访问策略，则在所述计算机上部署监管代理端，所述监管代理端经配置以收集来自所述计算机的配置信息以及有关所述网络拓扑结构的信息，并发送所述收集到的信息至所述网络访问控制器；基于所述收集到的信息通过所述网络访问控制器的监管代理端确定用于所述计算机的网络访问策略；基于所述网络访问策略重定向所述拦截到的数据传输；经由所述计算机的监管代理端激活所述计算机上的反病毒软件，所述反病毒软件经配置以执行对所述计算机的反病毒分析，以及，如果在所述计算机上检测到恶意活动，则向所述网络访问控制器报告所述活动；以及通过所述网络访问控制器限制发往或来自所述计算机的数据传输，直至所述恶意活动被所述反病毒软件所消除，以阻止所述恶意活动传播到所述网络中的其它计算机。

以上本发明示范性实施例的概要用于提供对于本发明的基本理解。本发明内容并非本发明所有设想方面的广泛概述，且并非意图确认所有实施例的重要或关键因素，也并非描述任何或者所有实施例的范围。其唯一目的是以简化的形式提出一个或多个实施例作为随后对本发明更加详尽的描述的前序。为了达到前述目的，该一个或多个实施例包括了所描述的且权利要求中具体指出的特征。

附图说明

本发明的附图并入并作为本说明书的一部分，示例性说明本发明的一个或多个示范性实施例，该附图结合下面的详细描述，用来解释本发明实施例的原理及实施方式。

附图中：

图1A示出了根据一个示范性实施例的系统的示意图，该系统用于控制PC用户对中型公司网络的资源的访问；

图1B示出了根据一个示范性实施例的系统的示意图，该系统用于经由本地监管服务器控制PC用户对大型公司网络的资源的访问；

图1C示出了根据一个示范性实施例的系统的示意图，该系统用于经由远程监管服务器控制PC用户对大型公司网络的资源的访问；

图2A示出了根据一个示范性实施例，在监管服务器和公司网络中所有联网的PC之间交互的示意图；

图2B示出了根据一个示范性实施例，在监管服务器和有助于对网络资源的访问控制的联网NAC-PC之间交互的示意图；

图2C示出了根据一个示范性实施例，在监管服务器、新的PC和有助于对网络资源的访问控制的NAC-PC之间交互的示意图；

图3示出了根据一个示范性实施例的示范性算法，该算法用于基于清晰逻辑确定公司网络中PC的性能评级以便识别出最适合担当NAC-PC角色的PC；

图4示出了根据一个示范性实施例的示范性算法，该算法用于基于模糊逻辑确定公司网络中PC的性能评级以便识别出最适合担当NAC-PC角色的PC；

图5示出了根据一个示范性实施例的监管服务器的数据库、访问控制模块和监管模块进行交互的示意图，目的是基于清点的结果和来自公司网络的每个PC的拓扑结构识别出访问规则；

图6示出了根据一个示范性实施例的来自公司网络的两台PC使用ARP请求进行交互的示意图；

图7示出了根据一个示范性实施例的NAC-PC对公司网络中任何PC和新的PC之间使用ARP请求的交互进行干预的示意图，目的是确立新的PC遵守访问规则；

图8示出了根据一个示范性实施例的NAC-PC对公司网络中任何PC和新的PC之间使用ARP请求的交互进行干预的一个示例，目的是确立新的PC遵守访问规则；

图9示出了根据一个示范性实施例的用于控制对于公司网络资源的访问的方法的示范性算法；

图10示出了根据一个示范性实施例的计算机系统的示意图。

具体实施方式

本文将围绕用于控制对网络资源的访问的系统、方法和计算机程序产品来描述本发明的示范性实施例。本领域的普通技术人员将会意识到下面的描述仅仅是例示性的且并非意图作任何形式的限定。受益于本发明的本领域的技术人员将易于获得其他实施例的启示。现在将详尽地描述如附图中所示的本发明的示范性实施例的实施方式。贯穿附图及下面的描述，相同的附图标记将尽可能用于表示相同或相似的对象。

图1A示出了根据一个示范性实施例的系统的示意图，该系统用于控制PC用户对中型公司网络的资源的访问。如图所示，可以是例如公司网络的网络101可以包括多台PC 103。监管服务器102可以通过网络101中的PC 103至监管服务器102的直接连接来解决任一联网的PC 103的远程监管任务。因此，监管服务器102也位于网络101中。每个PC 103都安装有监管代理端（administrative agent），监管服务器102根据需求发送控制信号至监管代理端，同时监管代理端根据需要与监管服务器102进行通信。远程监管任务包含由监管服务器102提供给PC 103的范围广泛的活动，其包括：

·更新PC 103中的反病毒数据库和软件模块；

·管理任何PC 103的策略和组任务；

·在任何PC 103中远程安装应用程序和补丁；

·在任何PC 103中搜寻漏洞；

·任何PC 103的软件和硬件清点；以及

·在监管服务器102中存储任意信息。

上述任务的列表仅仅是示范性的，并非限定监管服务器102的性能。

配置在监管服务器102中的监管代理端也可操作以在公司网络101或其子网络之一中搜寻新的PC 103a。监管代理端还控制包括新的PC 103a在内的PC103根据一定的规则和策略对公司网络101的资源的访问。由监管服务器102的监管代理端处理的与管理PC 103对公司网络的访问有关的主要监管任务包括但并非限定于：

·拦截广播数据包（例如ARP和网络基本输入输出系统Netbios），目的在于检测连接到公司网络101或其单个网段（individual segment）的已有的以及新的PC；

·为新的PC和访客PC以及对公司网络101或其单个网段具有受限访问权的其它设备拦截并重定向通信量；

·从连接到公司网络或其网段之一的新的PC 103a收集信息；

·为新的PC 103a确定网络访问规则或策略；以及

·限制对公司网络资源的访问。

一旦监管代理端检测到新的PC 103a出现于公司网络101或其单个网段中，来自新的PC 103a的通信量就可以被拦截并被重定向至监管服务器102，用于进一步分析根据一定的网络访问规则或策略授权新的PC 103a访问公司网络101的资源的可能性。

图1B示出了访问控制系统的一个示范性实施例的示意图，该访问控制系统针对大型分布式公司网络101控制PC 103对公司网络101的资源的访问，其中监管服务器102属于公司网络101。

当公司网络101或其单个网段包含多个PC 103时，使用另一个方法以搜寻连接到网络101的新的PC 103a并且根据一定的网络访问规则或策略控制包括新的PC 103a在内的所有PC 103对公司网络101的资源的访问。

在此情况下，监管服务器102从多个其上安装有监管代理端的PC 103中选择一个网络访问控制PC 104（以下称为NAC-PC或网络访问控制器）。接着，该NAC-PC 104作为控制对公司网络资源的访问的计算机，搜寻公司网络101或其单个网段中的新的PC 103a，以及根据一定的规则或策略授权包括新的PC 103a在内的所有PC 103对公司网络101的资源的访问。在最简单的情况下，安装有监管代理端的NAC-PC 104用于执行与监管服务器102相同的任务，也就是：

·拦截广播数据包（例如ARP和Netbios）以获得有关连接到公司网络101或其单个网段的已有的以及新的设备的信息；

·为新的PC和访客PC以及对公司网络101或其单个网段具有受限访问权的设备重定向通信量；

·从连接到公司网络或其单个网段的新的PC 103a收集信息；

·为新的PC 103a定义对公司网络资源的访问规则；以及

·限定对公司网络资源的访问。

任何安装有监管代理端的PC 103均可以使用该监管代理端来与监管服务器102建立连接关系。NAC-PC 104也可以收集有关公司网络101或其单个网段中的所有设备的信息。注意，公司网络101的每个网段均可以有其自己的NAC-PC 104。

图1C示出了访问控制系统的示范性实施例的示意图，该访问控制系统控制大型分布式公司网络101中的PC103对公司网络101的资源的访问，其中监管服务器102属于不同于公司网络101的网络106。在此情况下，来自公司网络101或其单个网段的安装有监管代理端的PC 103与位于另一个计算机网络106中的监管服务器102之间通过因特网105通信。为了控制对公司网络101的资源的访问、搜寻公司网络101或其单个网段中的新的PC 103a、以及根据一定的网络访问规则或策略授权包括新的PC 103a在内的所有PC 103对公司网络101的资源的访问，在另一个计算机网络106中的监管服务器102从公司网络101或其单个网段中的多个PC 103中选择一个安装有监管代理端的NAC-PC 104来进行通信。通过安装在NAC-PC 104中的监管代理端来与监管服务器102通信。任何具有因特网访问权的PC 103都可以使用安装在该PC103中的监管代理端与监管服务器102连接。如果来自不同于监管服务器102所在的计算机网络106或其单个网段的公司网络101的PC 103未连接到因特网，则该PC 103可以通过NAC-PC 104同监管服务器102建立连接。NAC-PC104与来自不同于监管服务器102所在的计算机网络106或其单个网段的公司网络101的任何PC 103之间的连接建立于NAC-PC 104和PC 103的监管代理端之间。安装在NAC-PC 104和任何PC 103中的监管代理端彼此是不同的。

图2A示出了监管服务器102与公司网络101或其单个网段中的所有PC103之间的具体交互。在此情况下的监管服务器102也位于公司网络101中。来自公司网络101或其单个网段的每个PC 103都可以是不同的；每个PC 103有其自己的软件和硬件配置。PC 103可以是不用于高强度计算的上网本或者具有高生产力的个人计算机。包括资源密集型在内的大量应用程序可以安装于公司网络101或其单个网段中的特定PC 103中。由于这些软件和硬件配置的不同，每个PC 103的总生产力都是不同的。每个PC 103取决于其在公司网络101或其单个网段中的位置而具有不同的参数，所述参数诸如信道带宽和响应时间。控制对公司网络101的资源的访问、搜寻公司网络101或其单个网段中的新的PC 103a、以及根据一定的规则或策略授权包括新的PC 103a在内的所有PC 103对公司网络101的资源的访问，都影响执行这些任务的NAC-PC 104的生产力。为了在公司网络101或其单个网段中最高效地完成这些任务，NAC-PC 104必须因而具有极高的生产力、维持恒定的可用性，并且其必须位于公司网络101或其单个网段中的最佳位置、具有最小的响应时间和最大的信道带宽。如前所述，用于控制对公司网络101的资源的访问、搜寻公司网络101或其单个网段中的新的PC 103a、根据一定的规则或策略授权包括新的PC 103a在内的所有PC 103对公司网络101的资源的访问、以及在特殊情况下与位于公司网络101或其单个网段中的远程PC 103进行通信的监管服务器102从多个PC 103中选择一个，其将为NAC-PC 104并将用于执行上文列举的任务。下文是对用于从公司网络101或其单个网段中的多个PC 103中识别出NAC-PC的机制的描述。

在一个示范性实施例中，监管服务器102包含一系列监管工具204、服务器数据库205、分析数据库203、分析和比较工具202、以及管理工具201。在一个示范性实施例中，对于远程监管以及控制公司网络101或其单个网段中的已有的PC 103和新近连接到公司网络101或其单个网段的新的PC 103a对公司网络101的资源的访问而言，来自所述系列监管工具204的监管工具是必要的。这些监管工具可能是以下工具：建立公司网络101或其单个网段的拓扑结构、分布更新和补丁给PC 103、搜寻并删除PC 103中的漏洞、或者清点来自公司网络101或其单个网段的每个PC 103的软件和硬件配置的数据。所述系列监管工具204还包括控制对公司网络101的资源的访问的工具208。来自所述系列监管工具204的监管工具的列表并非限定于这些示例，并且可以有任意数量的监管服务器102的监管工具，这些监管工具对于执行各种远程监管任务而言是必要的。

在一个示范性实施例中，服务器数据库205可以由来自监管服务器102上所述系列监管工具204中的监管工具所使用。服务器数据库205可以基于诸如IBM DB2、MS SQL服务器、Sybase、PostgreSQL及其它的产品而实施。服务器数据库205可以包含各种应用程序的更新、关于公司网络101或其单个网段的拓扑结构的信息、补丁、已知漏洞的列表、有关来自公司网络101或其单个网段的每个PC 103的硬件和软件配置的信息、控制对公司网络101的资源的访问的标准及规则或策略等。公司网络101或其单个网段中的每个PC 103均可以具有监管代理端207，其用于执行远程监管任务、控制对公司网络的资源的访问、以及用于公司网络101或其单个网段中的PC 103与监管服务器102之间的通信。来自公司网络101或其单个网段的每个PC 103还具有自身唯一的网络地址。

在一个示范性实施例中，管理工具201初始用于通过监管服务器102来指引与来自公司网络101或其单个网段的所有PC 103的通信。在来自公司网络101或其单个网段的最适合担当NAC-PC 104角色的PC 103被识别出之后，管理工具201还将用于指引与NAC-PC 104的通信以执行关于控制对公司网络101的资源的访问的任务。NAC-PC 104将会与来自公司网络101或其单个网段的所有PC 103进行通信，收集信息，并应用规则或策略，由此授权或者限定对公司网络101的资源的访问。有关来自所述系列监管工具204的监管工具的信息也经由管理工具201来传送。

在一个示范性实施例中，监管服务器102是能够提供计算机安全和监管服务的计算机。这些功能可以使用公司产品来实施，所述公司产品诸如用于Microsoft Exchange Server（微软交换服务器）的KasperskySecurity（安全工具）、用于Windows Servers（服务器）的KasperskyAnti-Virus（反病毒工具）、用于Windows

Workstations（工作站）的Kaspersky

Anti-Virus、以及可以通过使用管理工具201来进行管理的其他产品，所述监管工具201例如是Kaspersky

Administration Kit（监管工具箱）。

在初始阶段，监管服务器102，也就是管理工具201，直接与来自公司网络101或其单个网段的所有PC 103进行通信以获得来自每个PC 103的信息，所述信息对于识别出最适合担当NAC-PC 104角色的PC 103而言是必要的。在特殊情况下，如果需要，来自公司网络101或其单个网段的所有PC 103的监管代理端207均有能力直接连接到服务器102，也就是直接连接到管理工具201。监管服务器102中的所述系列监管工具204包括用于清点来自公司网络101或其单个网段的任何PC 103的信息（也就是收集关于软件-硬件配置的信息）的工具206。该工具对于与任何PC 103的监管代理端207进行交互以远程启动清点任务而言是必要的。在初始阶段，来自所述系列监管工具204的工具206将用于生成任务以清点来自公司网络101或其单个网段的PC 103。在已经从来自所述系列监管工具204的工具206接收到已经为所有PC 103生成任务的信息之后，管理工具201将建立与来自公司网络101或其单个网段的所有PC 103中的监管代理端207之间的连接并将传送任务数据。接着，公司网络101或其单个网段的每个PC 103中的监管代理端207收集有关安装其的PC 103的信息。

接下来，根据一个示范性实施例，可以确定公司网络101或其单个网段的拓扑结构。监管服务器102包括一系列监管工具204，其中的工具209可以经配置以确定公司网络101或其单个网段的拓扑结构。该工具209获得有关公司网络101或其单个网段中的所有网络设备的数据以及有关每个PC103的信道带宽和响应时间的信息。拓扑结构确定工具209与公司网络101或其单个网段中的PC 103及其它网络设备中的监管代理端207进行交互以获得对于确定网络拓扑结构而言所必要的信息。网络设备可以包括诸如网络集线器、交换机以及路由器这样的设备。在初始阶段，工具209生成确定公司网络101或其单个网段的拓扑结构的任务。在已经从工具209获得所述任务已经生成的信息之后，管理工具201将与来自公司网络101或其单个网段的所有PC 103中的监管代理端207建立连接以及与所有网络设备建立连接，并将传送任务数据。然后，收集定义公司网络101或其单个网段的拓扑结构所必要的信息。可以使用管理工具201或者使用来自公司网络101或其单个网段的每个PC 103中的监管代理端207来收集信息。该信息可以包括但并非限定于：

·公司网络101或其单个网段中的网络设备的名称和类型；

·每个PC 103的信道带宽和响应时间；

·网络交互的方向，以及，例如连接到任何网络设备的公司网络101或其单个网段中的PC 103的数量。

接着，将该信息从管理工具201传送至用于确定公司网络101或其单个网段的拓扑结构的工具209，其将该信息存储在服务器数据库205中并处理该信息。所收集的数据中的一些，例如每个PC 103的信道带宽和响应时间，被用于识别最适合担当NAC-PC 104角色的PC103。

相应地，在清点公司网络101或其单个网段中每个PC 103以及确定公司网络101或其单个网段的拓扑结构的过程中所收集的信息包括但并非限定于：

·关于PC 103的硬件性能的类型及基本参数的信息，诸如CPU的类型及时钟速度、存储器的大小等；

·关于软件配置的信息，也就是：哪种软件、安装在PC 103中的是哪一个版本、启动时安装的是哪一个软件、哪些程序的代理端在PC 103中持续运行；

·PC 103的网络地址，也就是媒体访问控制地址和IP地址；

·PC 103的可用性；

·关于通电之后的短时间内PC 103利用率水平的信息；

·每个PC 103的信道带宽和响应时间。

这一数据集（Data）仅是示范性的，且并非限定安装在来自公司网络101或其单个网段的所有PC 103中的监管代理端207的性能。为来自公司网络101或其单个网段的每个PC 103所收集的数据集均具有标识符，通过所述标识符可以区分这些数据集。举例来说，该标识符可以是特定于每个PC 103的网络地址。在来自公司网络101或其单个网段的每个PC 103的监管代理端207收集这些数据集之后，每个特定的PC 103中的监管代理端207传送这些数据集至管理工具201，管理工具201转而又将这些数据传送至分析和比较工具202。分析和比较工具202用于从来自公司网络101或其单个网段的多个PC 103中识别一个PC 103，该PC 103最适合担当NAC-PC 104的角色。为了实现该功能，分析和比较工具202将这些数据集同来自分析数据库203的信息进行比较。分析数据库203可以基于诸如IBM DB2、MSSQLServer、Sybase、PostgreSQL及其它产品。分析数据库203包含用于对来自公司网络101或其单个网段的每个PC 103的生产力进行评级的规则。这些规则可以基于各种变量，诸如：

·中央处理器类型；

·中央处理器时钟速度；

·视频存储器的大小；

·视频卡的类型；

·操作存储器的大小；

·可用性；

·通电之后短时间内的PC 103的利用率；

·每个PC 103的信道带宽；

·每个PC 103的响应时间。

这一变量集仅是示范性的，且并非限定系统的性能。每个规则均为某个变量确定生产力评级（rating）。这些规则对于为来自公司网络101或其单个网段的每个PC 103生成总的生产力评级而言是必要的。

例如，设想有限数量的变量，所述变量可以用作对生产力进行评级的规则的基础。举一个简单的例子，使公司网络101或其单个网段包含三个PC 103。所有三个PC 103具有不同的硬件和软件配置。例如，第一PC 103是Asus EeePC 1005P上网本。该上网本的硬件配置所包括的元件诸如Intel Atom 1660MHz中央处理器、2028Mb操作存储器、具有64Mb视频存储器以及具有根据自身需要而使用操作存储器资源的能力的Intel GMA 3150视频卡。第二PC103的硬件配置所包括的元件诸如Intel Core 2 i3-530 2930MHz中央处理器、4096Mb操作存储器、以及具有1024Mb视频存储器的AsusENGTX285/2DI/1GD3视频卡。第三PC 103是笔记本且具有以下硬件配置：Intel Celeron Dual Core（双核）1200MHz中央处理器、2028Mb操作存储器、以及具有512Mb视频存储器的nVidia GeForce G 207M视频卡。

如前所述，监管服务器102，也就是管理工具201，将与PC 103中的监管代理端207建立连接并发送任务以执行清点。接着，每个PC 103的监管代理端207将收集所述数据集。这些数据集包括以上列举的有关基本硬件组件的信息。所述数据集还可以包括关于PC 103的可用性的信息。每个PC 103具有不同的可用时间，例如，第一PC 103提供15小时不间断的操作；第二PC 103是30小时；第三PC 103是20小时。接着，来自公司网络101或其单个网段的所述三个PC 103中监管代理端207的数据集通过管理工具201被传送至分析和比较工具202。为每个PC 103所收集的数据集均具有使区分所述数据集属于哪个PC 103成为可能的标识符。例如，标识符可以是对每个PC 103而言唯一的网络地址。分析和比较工具202将所述数据集同来自分析数据库203的信息进行比较并选择适用于每个变量的规则。在关于此方面的示例中，用于定义有助于确定最终生产力评级的规则的基本变量有处理器时钟速度、操作存储器的大小、视频存储器的大小和可用性。用于所有变量的规则可以基于清晰和模糊逻辑。在特殊的情况下，当公司网络101或其单个网段不属于监管服务器102所在的网络时，因特网连接的存在也将是用以定义所述规则的变量之一。在此情况下，如果任何PC 103未连接到因特网，则该PC 103不能被连接到监管服务器102，也不能向其发送数据，反之亦然。因此，分析数据库203可以具有一规则，根据该规则，如果公司网络101或其单个网段不属于监管服务器102所在的网络，则不具备因特网连接的PC 103不能成为NAC-PC 104。

图3示出了用于基于清晰逻辑确定来自公司网络101或其单个网段的每个PC 103的生产力评级以便识别出最适合担当NAC-PC 104角色的PC 103的算法的实施方式的示例。在步骤301，PC 103中的监管代理端207在清点并确定公司网络101或其单个网段的拓扑结构时收集数据集。接着，来自公司网络101或其单个网段的所有PC 103的监管代理端207的数据集通过管理工具201被传送至分析和比较工具202并与来自分析数据库203的信息进行比较。接下来的步骤描述基于来自分析数据库203的规则的决策逻辑，所述规则针对所收集的数据集而被识别出来。在步骤302，将从分析数据库203中为每个变量选择适用的规则。因此，就本示例而言，在该步骤，将为所有三个PC 103选择用于中央处理器的规则。用于中央处理器的每个规则为中央处理器确定生产力评级。第二PC 103的Intel Core 2 i3-530 2930MHz中央处理器比第三PC 103的Intel Celeron Dual Core 1200MHz中央处理器和第一PC103的Intel Atom 1660MHz中央处理器更强大。例如，用于第一PC 103的示例的规则可以是下述“如果中央处理器是Intel Atom 1660MHz，则其评级为1500”。用于第二PC 103的规则可以是下述“如果中央处理器是Intel Core 2i3-530 2930MHz，则其评级为3000”。用于第三PC 103的规则可以是下述如果中央处理器是Intel Celeron Dual Core 1200MHz，则其评级为1000。此外，还将为所有三个PC 103选择用于操作存储器的规则。通过与中央处理器的情况相同的方式，将根据适用的规则来为操作存储器确定生产力评级。用于操作存储器的规则可以为第一和第三PC 103确定2028操作存储器的生产力评级为2000，而对于第二PC 103的4096操作存储器，其生产力评级将为4000。接着，将为所有三个PC 103选择用于视频卡的规则。第二PC 103的视频卡比第三和第一PC 103的视频卡更强大且具有更大的视频存储器。用于视频卡的规则可以确定第一PC 103中的具有64Mb视频存储器的Intel GMA 3150视频卡的生产力评级为100，第二PC 103的具有1024Mb视频存储器的AsusENGTX285/2DI/1GD3视频卡的生产力评级为1000，第三PC 103的具有512Mb视频存储器的nVidia GeForce G 207M视频卡的生产力评级为500。在该步骤，还将为所有三个PC 103定义用于可用性（也就是连续操作）的规则。用于可用性的规则可以定义连续运行15小时的第一PC 103的生产力评级为1500，连续运行30小时的第二PC 103的生产力评级为3000，连续运行20小时的第三PC 103的生产力评级为2000。在该步骤中描述的用于定义特定规则的措施的数量仅是示例性的，可以存在任何数量的变量以及与这些变量相对应的规则。在步骤303，在基于来自分析数据库203的规则获得有关全部生产力评级的数据之后，分析和比较工具202将合计属于所述三个PC 103中的每个PC的生产力评级。以此方式，第一PC 103的总生产力评级等于5100，第二PC 103的总生产力评级等于10100，第三PC 103的总生产力评级等于5500。分析和比较工具202比较上述总生产力评级并选择具有最高总生产力评级的PC 103。相比第一和第三PC 103，第二PC 103具有更高的总生产力评级，因此，分析和比较工具202将在管理工具201中记录第二PC 103的网络地址作为NAC-PC 104的地址。用于控制对公司网络101的资源的访问以及特殊情况下用于执行任何远程监管任务并将信息从监管服务器102传送至任何PC103或回传的管理工具201将与第二PC 103中的监管代理端207建立连接，由此，第二PC 103成为NAC-PC 104。将向第二PC 103中的监管代理端207发送通知该监管代理端207该NAC-PC 104的身份的信息。NAC-PC 104还将执行任务以搜寻公司网络101或其单个网段中的新的PC 103a并根据一定的规则或策略控制包括新的PC 103a在内的所有PC 103对公司网络101的资源的访问。

注意，这些示例并非限定所讨论的系统的性能。有关来自公司网络101或其单个网段的所有PC 103的总生产力评级的信息以及基于所述总生产力评级的每个PC 103的编号也存储在分析数据库203中。分析数据库203定期更新且包含当前信息。有关所有PC 103的信息将按其总生产力评级的升序排列。将使用上文所描述的方法为公司网络101的每个单个网段指定其自身的NAC-PC 104。在特殊情况下，分析和比较工具202还通过管理工具201向每个PC 103中的监管代理端207传送有关来自公司网络101或其单个网段的每个PC 103的总生产力评级和其根据总生产力评级的等级的信息。

图4示出了算法的实施方式的示例，所述算法用于基于模糊逻辑来确定公司网络101或其单个网段中的每个PC 103的总生产力评级以便识别出最适合担当NAC-PC 104的角色的PC 103。

在步骤401，知晓所有网络地址的监管服务器102即管理工具201，与来自公司网络101或其单个网段的所有PC 103的监管代理端207建立连接。此连接的建立发生在来自所述系列监管工具204的用于清点PC 103的工具206生成清点任务之后，并且管理工具201在已经从来自所述系列监管工具204的工具206获得表明该任务已经生成的信息时，将与来自公司网络101或其单个网段的所有PC 103建立连接并传送任务数据。如果公司网络101或其单个网段不属于监管服务器102所在的计算机网络，则所有PC 103中的监管代理端207可以直接与监管服务器102即管理工具201建立连接。来自所述系列监管工具204的用于确定公司网络101或其单个网段的拓扑结构的工具209生成任务以确定公司网络101或其单个网段的拓扑结构。管理工具201在已经从工具209获得表明该任务已经生成的信息时，将与来自公司网络101或其单个网段的所有PC 103的监管代理端207以及与所有网络设备建立连接并将会传送任务数据。所有PC 103中的监管代理端207在与监管服务器102即管理工具201建立连接、获得清点及拓扑结构确定的任务之后收集数据集。在每个PC 103中的监管代理端207已经收集到所述数据集之后，所述数据集由来自公司网络101或其单个网段的每个PC 103的监管代理端207传送至管理工具201。管理工具201转而又将这些数据集传送至分析和比较工具202。所述数据集通过标识符绑定至来自公司网络101或其单个网段的每个PC 103，所述标识符例如是使区分一个PC 103与另一个PC 103的数据集成为可能的网络地址。所收集的数据集包含有关多个变量的信息，所述变量诸如操作存储器大小。大多数所收集的变量包含具有清晰形式的信息，例如操作存储器大小4096Mb。

接下来，在步骤402，执行模糊化过程--从清晰输入变量到模糊变量的切换。在模糊化之后，在步骤403，将来自分析数据库203的模糊规则与模糊变量进行比较。由此，在比较之后，在步骤404，将找出适用于特定模糊变量的规则。该规则将仍以模糊变量的形式来描述问题的解决方案，在正在讨论的例子中为确定特定PC 103的生产力评级。在步骤405，执行去模糊化过程--从模糊变量切换回清晰变量。为了进行模糊化和去模糊化，除了模糊规则，分析数据库203还包含所有有意义的语言变量，该语言变量具有若干分配给其的具有指定的确切物理值的规定。接着，在步骤406，确定每个变量的生产力评级并确定每个PC 103的总生产力评级。

可以利用对操作存储器大小的分析作为示例，来对上述算法进行更详尽的阐述。在步骤401，设定被包含在由任何PC 103的监管代理端207所收集的数据集中的变量之一为4096Mb操作存储器。由PC 103的监管代理端207将来自该PC 103的数据集经由管理工具201发送至分析和比较工具202。分析数据库203具有一系列语言变量和对语言变量的定义，包括语言变量“操作存储器大小”，对该变量例如有三个定义，诸如“低”、“中”和“高”。还指定了与语言变量“操作存储器大小”的特定定义相对应的值的范围。这些也可以在分析数据库203中找到。例如，0.1至2Gb的操作存储器大小将对应于所述定义“低”；2Gb至5Gb的操作存储器大小将对应于所述定义“中”；5Gb或更高的存储器大小将对应于所述定义“高”。在步骤402，执行从清晰变量“操作存储器大小”4096Mb到模糊变量“中”的切换，该步骤被称为模糊化。接着，在步骤403，执行对与正在讨论的操作存储器大小相对应的定义与分析数据库203中的规则的比较。在本情况中，所述规则可以是：“如果操作存储器大小为‘中’，则操作存储器的生产力评级为‘中’。”在步骤404，确定所有类似规则，所述类似规则为来自所述数据集的每个变量定义了生产力评级。

这样，输出的将是模糊值，并且对于“操作存储器生产评级力”而言，切换回清晰值将是必要的。在步骤405，将进行回到清晰物理变量值的切换，其被称为去模糊化。在该步骤，确定来自分析数据库203的与属于所产生的语言变量的定义相对应的值的范围。例如，将确定范围2000-4000中的值对应于语言变量“操作存储器生产力评级”的定义“中”。在步骤406，将从位于一定范围内的值中选择将有助于为每个PC 103定义总生产力评级的值。例如，对于正在讨论的变量“操作存储器生产力评级”，值3000将被选择。对于来自所收集的数据集的所有变量，将采取类似的措施。接着，分析和比较工具202归总每个变量的所有生产力评级，并且由此获得每个PC 103的总生产力评级。接着，比较每个PC 103的总评级，并选择具有最高总生产力评级的PC103作为NAC-PC 104。管理工具201记录该PC 103的网络地址。有关来自公司网络101或其单个网段的所有PC 103的总评级以及根据该生产力评级的每个PC 103的编号的信息也存储于分析数据库203中。关于所有PC 103的信息将按照其总生产力评级的升序排列。在特殊情况下，分析和比较工具202还将经由管理工具201发送有关来自公司网络101或其单个网段的特定PC103的总生产力评级以及其根据该生产力评级的编号的信息至每个PC 103中的监管代理端207。

还存在不需要从清晰形式转换到模糊形式的变量。例如，安装在任何PC103中的软件的名称，关于所述软件，已知许多计算机资源都要求运行该软件。所述软件可以是例如图形数据处理软件，诸如Adobe

Photoshop。相对于大多数安装在任何PC 103中的应用程序，所述软件使用更大的操作存储器。由此，必须考虑到类似应用来计算PC 103的生产力评级。例如，分析数据库203中的用于安装在任何PC 103中的AdobePhotoshop软件的规则可以如下：“如果安装了AdobePhotoshop

，则操作存储器的生产力评级轻微降低。”接下来，将指定在范围200-400中的值将与语言变量“操作存储器的生产力评级降低”的定义“轻微”相对应。可以从指定范围内的值中选择有助于操作存储器生产力评级的值。例如，对于此情况，将选择值300。以此方式，具有4096Mb操作存储器且安装有Adobe

Photoshop

的PC 103将具有3700的操作存储器生产力评级。

由此，根据一个示范性实施例，基于总生产力评级从来自公司网络101或其单个网段的多个PC 103中自动选择NAC-PC 104，并且其将随后被用于控制对公司网络101的资源的访问、搜寻公司网络101或其单个网段中的新的PC 103a以及根据一定的网络访问规则或策略来授权包括新的PC 103a在内的所有PC 103对公司网络101的资源的访问。

在已经确定来自公司网络101或其单个网段的所有PC 103的总生产力评级之后，识别出NAC-PC 104。在一个示范性实施例中，安装于来自公司网络101或其单个网段的每个PC 103中的监管代理端207可以收集有关Windows操作系统的生产力指数的信息，同时可以基于该信息选取最适宜担当NAC-PC104角色的PC 103。该方法可以加快对NAC-PC 104的选择进程，因为其所要分析的信息较少。Windows生产力指数衡量PC 103的硬件和软件配置的性能并且提出被称为基础生产力指数的编号方式的衡量结果。较高的基础生产力指数意味着该PC 103相对于具有较低基础生产力指数的PC 103将执行地更好更快，特别是在执行更加复杂且资源密集型的任务时。该指数是以五个基本组件的评级为基础的，这五个基本组件诸如处理器、操作存储器、图形卡、游戏图形卡和主要的硬盘驱动器，对于这五个组件中的每个组件而言，分别计算其评级。安装于来自公司网络101或其单个网段的每个PC 103中的监管代理端207可以启动用于对Windows基础生产力指数进行综合评估的应用程序，然后收集有关来自公司网络101或其单个网段的所有PC 103的基础生产力指数的值的信息。基础生产力指数的值存储在与该值相对应的PC 103中。接着，将以相同的方式发送该信息至分析和比较工具202，分析和比较工具202将该信息与来自分析数据库203的规则进行比较。接着，将为每个PC 103确定的总生产力评级。

在另一个示范性实施例中，分析和比较工具202可以不基于来自分析数据库203的规则而是基于Windows基础生产力指数值，从来自公司网络101或其单个网段的多个PC 103中选择NAC-PC 104。分析和比较工具202可以比较从来自公司网络101的所有PC 103中收集的Windows基础生产力指数值、选取最大值、并且向管理工具201传送有关来自公司网络101或其单个网段的具有最大Windows基础生产力指数的PC 103应当成为NAC-PC 104的信息。在一个示范性实施例中，分析和比较工具202还可以经由管理工具201向每个PC 103的监管代理端207传送有关基于Windows基础生产力指数的编号的信息。

图2B示出了在公司网络101或其单个网段内，监管服务器102、所有PC103和NAC-PC 104之间的交互的一个示例，以控制对公司网络资源的访问。

如前所述，由来自公司网络101或其单个网段的每个PC 103的监管代理端207收集作为识别出NAC-PC 104的基础的数据集，并且每个PC 103的监管代理端207传送该数据集至管理工具201。管理工具201转而又传送该数据集至分析和比较工具202以选取最适合担当NAC-PC 104角色的PC 103。使用监管代理端207进行的数据集收集是由来自所述系列监管工具204的用于清点并确定拓扑结构的工具启动的。在本系统中，管理工具201不仅传送该数据集至分析和比较工具202，还传送该数据集至来自所述系列监管工具204中的工具206和工具209，所述工具206和工具209发送该数据集至服务器数据库205。接着，这些数据集可以被来自所述系列监管工具204的其它监管工具所使用。在特殊情况下，NAC-PC 104可以用于中继（即，再传送）信息。该数据集可被用于控制公司网络101或其单个网段中的包括新的PC 103a在内的任何PC 103对公司网络101的资源的访问。

在控制对公司网络101的资源的访问中存在两个基本步骤。第一步骤由监管服务器102来执行。来自所述系列监管工具204的工具被用于执行这些任务。该工具启动对在清点和拓扑结构确定期间所收集的、存储于服务器数据库205中的数据集与定义访问规则的标准集合之间的比较。访问标准和基于那些标准的规则也存储于数据库205。标准可以包括以下属性：

·域中的成员身份；

·网络地址的集合；

·设备类型和标识符；

·PC 103中的代理端的存在；

·PC 103的反病毒保护的水平；

·操作系统和所安装补丁集合的类型及版本；

·PC 103中的某些应用程序的存在或缺省；以及

·PC 103是否为感染源。

该标准集合是示例性的且并非限定所讨论的系统的性能。每个标准或者标准组均可以定义访问规则或策略。

一旦为来自公司网络101或其单个网段中的特定PC 103定义了访问规则或策略，则该访问规则或策略将被传送至NAC-PC 104的监管代理端207a，NAC-PC 104的监管代理端207a将该访问规则或策略应用于其所要应用的特定PC 103。在这些任务正在进行中时，监管服务器102即管理工具201，将有机会与来自公司网络101或其单个网段的任何PC 103的监管代理端207连接，以传送任何远程监管任务。

图5示出了服务器数据库205、来自所述系列监管工具204的用于控制访问的工具208以及用于基于清点和拓扑结构的确定对来自公司网络101或其单个网段的每个PC 103定义访问规则的管理工具201之间的交互的示例。在该示例中，公司网络101或其单个网段包含三个PC 103，其中之一是安装有监管代理端207a的NAC-PC 104。如前所述，在清点及拓扑结构确定期间从每个PC 103收集的数据集存储于服务器数据库205中，基于该数据集确定总生产力评级并随后确定NAC-PC 104。接着，来自所述系列监管工具204的用于控制访问的工具208启动对在清点和拓扑结构确定期间所收集的、存储于服务器数据库205的数据集与定义访问规则的标准集合之间的比较。这些标准可以包括与在清点和拓扑结构确定期间所收集的数据集相对应的各种属性。标准以及基于那些标准的访问规则也存储于服务器数据库205中。服务器数据库205中的每个PC 103的数据集构成从来自公司网络101或其单个网段的每个PC 103所收集的各种变量的集合。例如，对于第一PC 103，服务器数据库205具有的变量诸如：监管代理端的存在、反病毒保护的水平、软件配置和硬件参数、以及操作系统类型和版本。指定给这些附属于为每个PC 103所收集的数据集的变量的值是预定义特定标准的属性。对于来自公司网络101或其单个网段的三个PC 103中的第一PC 103，对应于附属于为第一PC 103所收集的数据集的变量的属性可以包括：所安装的监管代理端、反病毒保护的水平低、所安装的有漏洞的程序、所安装的Windows XP服务补丁包3、所定义的硬件参数。属性“反病毒保护的水平低”可以意味着来自公司网络101的第一PC 103不具有反病毒应用程序或者反病毒数据库已经过期。在本示例中，将假定该属性对应于第一PC 103具有已过期的反病毒数据库的情形。属性“所安装的有漏洞的程序”意味着第一PC 103具有某一软件，已知该软件包含可被恶意软件所利用的漏洞。安装在第一PC 103中的软件的列表与同样位于服务器数据库205中的具有漏洞的软件的列表进行比较以确定有漏洞的软件是否已经安装在PC 103中。属性“硬件参数”可以包含诸如MAC地址及其它硬件标识符这一类数据的集合。所有这些属性构成例如第二标准，所述第二标准转而定义第二规则。在示例中，该规则可以限定来自公司网络101或其单个网段的第一PC 103对诸如因特网的内部和外部资源的访问，并阻断其余PC 103对第一PC 103的访问。在更新反病毒数据库、执行对PC 103的彻底病毒扫描以及消除漏洞之前，可以采取这些措施。接着，访问控制工具208将该规则发送至管理工具201，管理工具201又将该规则转发至NAC-PC104中的监管代理端207a。基于该规则，NAC-PC 104中的监管代理端207a限制第一PC 103对诸如因特网的内部和外部资源的访问，并阻断其余PC 103对第一PC103的访问。

可以以不同方式更新反病毒数据库。例如，基于访问规则，可以授权第一PC 103对反病毒应用程序提供商的更新服务器的访问，并且NAC-PC 104的监管代理端207a可以向安装于第一PC 103中的监管代理端207传送对于以下操作所必要的信息：初始化反病毒应用程序以下载新的反病毒数据库，以及如果对于正确安装新的数据库而言必要的话，重新退回到反病毒数据库的先前版本。可以使用NAC-PC 104的监管代理端207a采取这些措施，监管代理端207a可以将下载的反病毒数据库传送至第一PC 103，第一PC 103的监管代理端207转而启动反病毒应用程序以更新反病毒数据库。接着，对来自公司网络101或其单个网段的除NAC-PC 104之外的所有其余PC 103采取这些关于定义访问规则的措施。在一个示范性实施例中，可以直接发送访问规则至PC 103的监管代理端207以便根据该访问规则配置该PC 103。

几个不同标准可以对应于任一访问规则。标准转而又可以构成至少一个属性。相同属性的集合可以对应于几个标准，所述标准可以对应于一个或多个访问规则。

通过以下方式进行针对漏洞的搜寻和修复。在所述系列监管工具204中存在针对监管服务器102的工具，所述工具负责漏洞搜寻和修复任务。该工具将来自服务器数据库205的在清点和拓扑结构确定期间针对每个PC 103所收集的数据集与关于已知漏洞的信息进行比较，该数据集即有关程序配置的信息，包括操作系统类型和版本所安装的补丁集合。关于已知漏洞的信息也可以在服务器数据库205中被找到并且持续得到更新。如果包含漏洞的软件安装于来自公司网络101或其单个网段的任何PC 103中，并且关于该版本软件中的漏洞的信息是已知的，则来自所述系列监管工具204的负责漏洞搜寻和修复的工具将采取措施以修复该漏洞。这些措施可以用补丁覆盖已知的软件漏洞。来自所述系列监管工具204的负责漏洞搜寻和修复的工具可以向外部资源调用有关用于漏洞的补丁的信息。接着，由来自所述系列监管工具204的负责漏洞搜寻和修复的工具从提供该信息的资源中下载用于已知漏洞的补丁至服务器数据库205。现在，所下载的补丁与同样位于服务器数据库205中的关于已知漏洞的信息相关联。接着，来自所述系列监管工具204的该工具产生任务以安装补丁来修复来自公司网络101或其单个网段的任何PC 103的漏洞。管理工具201在已经从来自所述系列监管工具204的负责漏洞搜寻和修复的工具获得表明所述任务已经生成并且所述补丁已准备好被发送的信息时，连接到来自公司网络101或其单个网段的PC 103的监管代理端207，用于为针对在该PC 103中发现的漏洞安装补丁。接着，来自所述系列监管工具204的负责漏洞搜寻和修复的工具将经由管理工具201发送补丁至来自公司网络101或其单个网段的安装有包含漏洞的软件的PC 103。该PC 103的监管代理端207启动针对该已知漏洞的补丁安装。来自所述系列监管工具204的负责漏洞搜寻和修复的工具还更新服务器数据库205中的信息，该信息表明为PC 103中的该版本软件安装了补丁。在将来，当要求搜寻和修复漏洞时，来自所述系列监管工具204的负责漏洞搜寻和修复的工具将关于已知漏洞的信息与有关安装于任何PC 103中的软件的信息进行比较，将得知服务器数据库205是否具有对于修复漏洞而言所必要的补丁，这是因为在从某一资源下载补丁之后，该补丁将与同样位于服务器数据库205中的关于已知漏洞的信息相关联。如果服务器数据库205不具有这种用于特定漏洞的补丁，且有关该特定漏洞的信息位于服务器数据库205中，则来自所述系列监管工具204的负责漏洞搜寻和修复的工具将调用外部资源以下载补丁。

监管服务器102的运作的另一个示例，也就是来自所述系列监管工具204的监管工具的运作的另一个示例，是远程软件更新。来自所述系列监管工具204的负责软件更新任务的工具可以向外部资源调用有关新软件版本的信息并将该信息与来自服务器数据库205的关于安装在来自公司网络101或其单个网段的某一PC 103中的某一软件版本的信息进行比较。该信息是在清点来自公司网络101或其单个网段的每个PC 103及拓扑结构确定期间所收集的数据集的一部分。如果来自公司网络101或其单个网段的某一PC 103中某一软件的版本是较早的版本，则将使用来自所述系列监管工具204的负责的工具下载该软件的新版本并且将其置于服务器数据库205中。接着，来自所述系列监管工具204的该工具将生成任务以为来自公司网络101或其单个网段的某一PC 103更新软件。管理工具201在已经从来自所述系列监管工具204的负责软件更新的工具获得表明这些任务已经生成的信息后，连接到其软件必须进行更新的PC 103的监管代理端207。在此之后，负责软件更新的工具将经由管理工具201将来自服务器数据库205的必要更新发送至其软件必须进行更新的PC 103。该PC 103的监管代理端207启动该软件的安装。来自监管工具204的负责软件更新的工具将更新服务器数据库205中的关于该PC 103所安装的软件版本的信息。

必须注意的是来自公司网络101或其单个网段的NAC-PC 104的监管代理端207a不能总是对通过监管服务器102与其进行连接的尝试作出响应。NAC-PC 104的监管代理端207a也不能总是控制对公司网络101的资源的访问、搜寻公司网络101或其单个网段中的新的PC 103a以及根据一定的规则或策略授权包括新的PC 103a在内的所有PC 103对公司网络101的资源的访问。对此存在各种原因，例如，NAC-PC 104可能会断电、过载、中断同因特网的连接等。在此情况下，根据一个示范性实施例，系统提供用于指派来自公司网络101或其单个网段的另一个PC 103担当NAC-PC 104的角色的机制。为了核实NAC-PC 104是否处于活动状态，监管服务器102即管理工具201，在某一时间间隔之后发送查询至NAC-PC 104中的监管代理端207a。如果NAC-PC 104的监管代理端207a对来自管理工具201的查询进行响应，则这意味着NAC-PC 104处于活动状态。如果不存在对查询的响应，则意味着NAC-PC 104处于非活动状态，必须指定新的NAC-PC 104。可以使用任何已知的网络协议来执行查询和响应，例如，用户数据报协议（UDP）或者任何其它网络协议。

如果没有从NAC-PC 104的监管代理端207a接收到对由管理工具201传输的查询的响应，则将指派新的NAC-PC 104，该新的NAC-PC 104从来自公司网络101或其单个网段的其余PC 103中选择。管理工具201启动分析和比较工具202以公司网络101或其单个网段中选择根据生产力评级的第二PC103。分析和比较工具202将从分析数据库203在每个PC 103的总生产力评级中选择对应于总生产力评级的第二最高值的值，并将关于该第二最高总生产力评级所属的PC 103的信息传送至管理工具201。该信息可以是标识符，诸如给定PC 103的网络地址。给定PC 103的网络地址被提供给管理工具201。监管服务器102，也就是管理工具201，连接到该PC 103中的监管代理端207并通知该监管代理端207有关NAC-PC 104的身份。接着，将使用新的NAC-PC104的监管代理端207a执行对公司网络101的资源的访问的控制、对公司网络101或其单个网段中新的PC103a的搜寻以及根据一定的网络访问规则或策略授权包括新的PC 103a在内的所有PC 103对公司网络101的资源的访问。根据一个示范性实施例，当之前为NAC-PC 104的PC103的监管代理端207开始对监管服务器102的查询作出响应时，NAC-PC 104的功能可以切换回该PC 103。

控制对公司网络101或其单个网段中的资源的访问对于刚连接到公司网络101的新的PC 103a而言至关重要。为此目的，安装于NAC-PC 104中控制对公司网络101的资源的访问的监管代理端207a被配置为首先且首要检测新的PC 103a。为了实现此过程，根据一个示范性实施例，安装于NAC-PC 104中的监管代理端102a可以收听/拦截广播查询，例如ARP请求和通知。

图6示出了来自公司网络或其单个网段的两个PC 103（为方便起见，下文称之为103′和103″）之间使用ARP请求进行交互的机制。ARP（地址解析协议）是用在计算机网络中的低级别的协议，其用于基于已知的IP地址识别MAC地址。例如，当第一PC 103′试图与具有IP地址192.168.0.1的第二PC 103″进行通信并执行到该第二PC 103″的数据传输时，该第一PC 103′在传输该数据之前调用ARP表，该ARP表是IP地址和MAC地址的对应表。如果没有信息已经被发送至地址192.168.0.1，则ARP表将缺少与之相适应的条目。因此，必须确定哪个MAC地址对应于给定的IP地址。ARP请求就具体用于这些目的。

在步骤601，第一PC 103′试图与第二PC 103″进行通信并向其传送信息。第二PC 103″的IP地址是未知的。信息的传输可以由安装于第一PC 103′中的某一软件或者由安装于第一PC 103′中的操作系统来启动。接着在步骤602，调用ARP表以确定第二PC 103″的IP地址和MAC地址之间的匹配，该第二PC 103″是所述数据传输的接收方。如果在步骤602未找到所述匹配，也就是说，ARP表未包含第二PC 103″的与IP地址相对应的MAC地址，则在步骤603，第一PC 103′在公司网络101或其单个网段发送广播ARP请求。来自公司网络101或其单个网段的每个PC 103将接收该查询，所述查询中内嵌有所寻求的IP地址以及发送方第一PC 103′的IP地址和MAC地址。公司网络101或其单个网段中的所有PC 103将接收该查询，但是在步骤604，只有其IP与所请求的IP相匹配的PC 103将作出响应。在本案中，第二PC 103″对ARP请求作出响应。ARP响应包含第二PC 103″的MAC地址，并且由于第一PC 103′将是获知PC 103″的MAC地址，因此随后被寻址到第二PC 103″的IP地址的全部通信量准确到达第二PC 103″。在步骤605，更新作为ARP请求的发送方的第一PC 103′和作为ARP请求的接收方的第二PC 103″中的ARP表，并建立所述IP与MAC的对应关系。在步骤606，传送信息至第二PC 103″。

如前所述，NAC-PC 104的监管代理端207a收听并拦截广播查询，例如ARP请求和通知。连接到公司网络101或其单个网段的新的PC 103a在连接及获得IP地址之后，在网段发送广播ARP通告，特殊的ARP请求，以更新公司网络101或其单个网段中的其余PC 103的ARP表。NAC-PC 104的监管代理端207a从来自公司网络101或其单个网段中的新的PC 103a接收ARP通告并检查其自身的ARP表。如果查询中所指示的IP地址和MAC地址不在表中，则NAC-PC 104的监管代理端207a将这些地址写入ARP表中，注意，公司网络101或其单个网段中的给定的PC 103a是新的且未根据访问公司网络101资源的规则进行过配置。在下一次公司网络101或其单个网段中新的PC 103a需要使用任何应用程序或操作系统发送信息至来自公司网络101或其单个网段中的具有已知IP地址和未知MAC地址的PC 103时，该新的PC 103a将发送广播ARP请求至公司网络101或其单个网段以识别出作为任何信息的接收方的该PC 103的MAC地址。

图7示出了NAC-PC 104使用ARP请求对来自公司网络101或其单个网段的某一PC 103和新的PC 103a之间的交互进行干预，以确保公司网络101或其单个网段中的新的PC 103a遵守网络访问规则的机制的示范性实施例。在步骤701，新的PC 103a试图与PC 103进行通信并执行数据传输。该PC 103的IP地址是未知的。通信量的传送，也就是数据传输，可以由安装在新的PC103a中的某一软件或者由新的PC 103a的操作系统来启动。接着在步骤702，在新的PC 103a中调用ARP表以确定作为数据接收方的该PC 103的IP地址和MAC地址之间的匹配的存在。如果在步骤702没有找到所述匹配，则ARP表不具有该IP地址所对应的以及信息所所寻址的该PC 103的MAC地址，则随后在步骤703，新的PC 103a向公司网络101或其单个网段发送广播ARP请求。换言之，来自公司网络101或其单个网段的每个PC 103均将接收到内嵌有所寻求的PC 103的IP地址以及发送方即新的PC 103a的IP地址和MAC地址的查询。接着，收听公司网络101或其单个网段中的ARP请求的NAC-PC104的监管代理端207a也将接收到该ARP请求并了解新的PC 103a试图向特定的PC 103传输数据，在此之后，NAC-PC 104的监管代理端207a将准备把来自新的PC 103a通信量即数据传输重定向到其自身或者另一个目的地。在步骤704，具有在新的PC 103a的ARP请求中所指示的IP地址的PC 103也将接收到该ARP请求。PC 103将比较该ARP请求中的IP地址和其自身的IP地址，检测匹配，并发送针对ARP请求的ARP响应，所述ARP响应声明PC103的IP和MAC地址。接着在步骤705，将更新发送ARP请求的新的PC 103a和接收该ARP请求的PC 103的ARP表，并将获得IP地址和MAC地址之间的匹配。在步骤706，NAC-PC 104的监管代理端207a必须把来自新的PC 103a的通信量重定向到其自身或者到另一个目的地以确保公司网络101或其单个网段中的新的PC 103a遵守访问规则。有时，在NAC-PC 104的监管代理端207a接收到ARP请求并了解新的PC 103a试图传输数据至某一PC 103之后的某一时刻，NAC-PC 104的监管代理端207a将向发送该ARP请求的PC 103a发送新的ARP响应，该新的ARP响应指示初始ARP请求所意图的PC 103的IP地址以及NAC-PC 104或另一个目的地的MAC地址。NAC-PC 104的监管代理端207a还将发送ARP响应至PC 103，该ARP响应指示发送初始ARP请求的新的PC 103a的IP地址以及NAC-PC 104或另一个目的地的MAC地址。从时间尺度上讲，这些措施发生在发送ARP请求的新的PC 103a和接收该ARP请求的PC 103的ARP表的更新之后。通过这些措施，NAC-PC 104的监管代理端207a″破坏″了作为ARP请求的初始发送方的PC 103a和作为该ARP请求的初始接收方的PC 103的ARP表。在步骤707，将更新初始发送ARP请求的新的PC 103a和初始接收该ARP请求的PC 103的ARP表。以此方式，在步骤708，来自新的PC 103a的通信量将被发送至NAC-PC 104或另一个目的地，也就是，此后将总是把新的PC 103a的通信量重定向到NAC-PC104或另一个目的地，而不是所述IP地址所属的PC 103。为了传输数据至新的PC 103a，初始接收ARP请求的PC 103转而又根据ARP表将数据发送至NAC-PC 104或另一个目的地。所述其它目的地可以是，例如，用于确保公司网络101或其单个网段中的新的PC 103a遵守网络访问规则或策略的HTTP服务器。

图8示出了NAC-PC 104使用ARP请求对公司网络101或其单个网段中的某一PC 103和新的PC 103a之间的交互进行干预，以确保公司网络101或其单个网段中的新的PC 103a遵守访问规则的机制的一个示范性实施例。在步骤801，连接到公司网络101或其单个网段的新的PC 103a将向所有PC 103和NAC-PC 104发送广播ARP通告消息，在该广播ARP通告消息中，新的PC 103a通告其IP地址和MAC地址。每个PC 103将更新其ARP表，NAC-PC104的监管代理端207a在已经接收到来自PC 103a的ARP通知时在其表中记录该PC 103a的地址，注意，公司网络101或其单个网段中的新的PC 103a是新的且未根据访问公司网络101的资源的规则进行过配置。接着在步骤802，未接收到ARP请求的NAC-PC 104的监管代理端207a发送ARP响应至新的PC 103a，并且公司网络101或其单个网段中存在多少PC 103就将存在多少ARP响应。由NAC-PC 104的监管代理端207a发送的ARP响应将包含NAC-PC 104或另一个目的地的MAC地址以及属于公司网络101或其单个网段的PC 103之一的IP地址。以此方式，在N个ARP响应的帮助下，NAC-PC104的监管代理端207a生成针对新的PC 103a的完整ARP表，其中N为公司网络101或其单个网段中的PC 103的数量。所述ARP表将通过这样的方式生成，即无论新的PC 103a向何处传输数据，其都将发送该数据至NAC-PC 104或另一个目的地。在步骤803，未接收到ARP请求的NAC-PC 104的监管代理端207a向N个PC 103发送指示公司网络101或其单个网段中的新的PC103a的IP地址以及NAC-PC 104或另一个目的地的MAC地址的ARP响应，其中N为网段中的PC 103的数量。以此方式，如果某一PC 103将传输数据至新的PC 103a，则该通信量将前往NAC-PC 104或另一个目的地。换言之，来自公司网络101或其单个网段的某一PC 103与新的PC 103a之间的任何交互都将收到限制，直到公司网络101或其单个网段中的该新的PC 103a经检查遵守网络访问规则或策略为止。

来自新的PC 103a的通信量已经被重定向到NAC-PC 104或另一个目的地之后，检查公司网络101或其单个网段中的该新的PC 103a对网络访问规则或策略的遵守情况。

图2C示出了公司网络101或其单个网段中的监管服务器102、新的PC103a和NAC-PC 104之间具体的交互的流程图。

如前所述，NAC-PC 104中的监管代理端207a基于ARP通知来检测公司网络101或其单个网段中的新的PC 103a。接着，NAC-PC 104的监管代理端207a通过以上描述的方法之一把来自新的PC 103a的通信量重定向至NAC-PC 104，而不允许新的PC 103a传输数据到任何PC 103，同时，NAC-PC104的监管代理端207a不允许来自公司网络101或其单个网段的其余PC 103传输数据到新的PC 103a。在重定向来自新的PC 103a的通信量之后，来自公司网络101或其单个网段的新的PC 103a的用户仅可以进入由NAC-PC 104的监管代理端207a提供的因特网页面。一旦来自公司网络101或其单个网段的新的PC 103a的用户打开因特网浏览器，NAC-PC 104的监管代理端207a就将提供因特网页面并开始远程收集有关新的PC 103a的基本信息。在本系统运行的初始阶段，该信息是在所述清点期间由每个PC 103的监管代理端207来收集的。在新的PC 103a上未安装监管代理端207。在此情况下，NAC-PC 104的监管代理端207a经由因特网页面收集该基本信息，也就是使用ActiveX技术来收集该基本信息。举例来说，在打开来自公司网络101或其单个网段的新的PC 103a中的因特网浏览器并进入由NAC-PC 104的监管代理端207a（来自新的PC 103a的通信量被向其重定向）提供的因特网页面之后，该新的PC103a的用户自动下载将要收集关于新的PC 103a的数据集合的ActiveX组件。该数据集合可以类似于在清点期间由每个PC 103的监管代理端207所收集的数据集。接着，使用ActiveX组件收集的附属于新的PC 103a的该数据集合将被发送至NAC-PC 104的监管代理端207a并将从NAC-PC 104中的监管代理端207a发送至监管服务器102，也就是至管理工具201。由于所收集的数据集合附属于对新的PC 103a的清点内容，来自所述系列监管工具204的负责清点任务的工具206将把该数据置于服务器数据库205中。接着，来自所述系列监管工具204的访问控制工具208启动对收集自新的PC 103a并保存于服务器数据库205中的数据集合与定义网络访问规则的标准集合之间的比较。接着，将针对标准选取一个或多个访问规则，该标准是使用属性即收集自新的PC 103a的数据集合来定义的。来自所述系列监管工具204的访问控制工具208将该一个或多个规则发送至管理工具201，管理工具201转而又将该规则发送至NAC-PC 104的监管代理端207a，NAC-PC 104中的监管代理端207a将该规则应用于新的PC 103a。一旦该访问规则被应用于公司网络101或其单个网段中的新的PC 103a，NAC-PC 104的监管代理端207a将用正确的相匹配的IP地址和MAC地址来更新公司网络101或其单个网段中的新的PC 103a和其余PC 103的ARP表。在另一实施例中，在访问规则已经被应用于新的PC 103a之后，NAC-PC 104可以传输ARP响应消息至PC 103a。ARP响应消息的数量可以对应于网络中允许由所述计算机访问的计算机的数量。每个ARP响应消息可以包含允许由新的PC 103a访问的PC 103的IP地址和MAC地址。此外，NAC-PC 104可以发送ARP响应消息至允许由新的PC 103a访问的PC 103。这些ARP响应消息将包含新的PC 103a的IP地址和MAC地址。也可以使用来自所述系列监管工具204的用于这些措施的工具以及管理工具201将监管代理端207安装于新的PC 103a中。

在特殊情况下，可以只使用NAC-PC 104及其监管代理端207a来采取将访问规则应用于公司网络或其单个网段中的新的PC 103a的措施。来自所述系列监管工具204的访问控制工具208可以将来自本地服务器数据库205的所有访问规则和标准发送至NAC-PC 104。接着，可以使用ActiveX组件将附属于新的PC 103a的数据集合发送至用于对必要访问规则进行本地定义并将该规则应用于新的PC 103a的NAC-PC 104。

在一个示范性实施例中，来自新的PC 103a的通信量可以被重定向至用于检查公司网络101或其单个网段中的新的PC 103a对访问规则的遵守情况的另一个目的地。举例来说，该另一个目的地可以是对于为新的PC 103a定义特定访问策略而言所必要的HTTP服务器。NAC-PC 104的监管代理端207a可以在ARP响应中指示其MAC地址以生成新的PC 103a的ARP表并重定向来自新的PC 103a的通信量。该其它目的地还可以通过因特网页面来收集关于新的PC 103a的基本信息，也就是，例如使用ActiveX技术来收集该基本信息，并传送该基本信息至监管服务器102，也就是管理工具201，以为新的PC103a定义访问规则。

在另一示范性实施例中，来自新的PC 103a的通信量可以被重定向至NAC-PC 104，并且，一旦来自公司网络101或其单个网段的新的PC 103a的用户打开因特网浏览器，NAC-PC 104的监管代理端207a将把来自该新的PC103a的通信量重定向到另一个目的地，诸如HTTP服务器。

必须注意的是，如果公司网络101或其单个网段通过添加新的PC 103a来进行扩展，则可以发生以下情况，其中添加到公司网络101或其单个网段的新的PC 103a相比NAC-PC 104具有更强大的配置。由此，用于控制个人计算机对公司网络资源的访问的系统配备有确定来自公司网络101或其单个网段中的新的PC 103a的总生产力评级的机制。如前所述，当新的PC 103a被找到时，将使用NAC-PC 104中的监管代理端207a将通信量重定向到NAC-PC104，然后，ActiveX组件将收集来自新的PC 103a的数据集合。接着，该数据集合将被发送至监管服务器102，也就是管理工具201，以为新的PC 103a进一步定义访问规则。一旦访问规则被定义并应用于公司网络101或其单个网段中的新的PC 103a，NAC-PC 104的监管代理端207a就采用正确的相匹配的IP地址和MAC地址来更新公司网络101或其单个网段中的新的PC 103a和其余PC 103的ARP表。还将使用来自所述系列监管工具204的用于这些措施的工具以及管理工具201将监管代理端207安装于新的PC 103a中。接着，将使用监管代理端207、清点工具206、以及拓扑结构确定工具209来收集对于确定来自公司网络101或其单个网段的新的PC 103a的总生产力评级而言所必要的数据集。该数据集将被管理工具201发送至分析和比较工具202。接着，将使用以上描述的方法之一来计算总生产力评级并根据该新的PC 103a的生产力评级来确定等级。有关新的PC 103a的总生产力评级和其根据该生产力评级的等级的信息将被添加到分析数据库203中，由此根据保存于分析数据库203中的来自公司网络101或其单个网段的所有PC 103的生产力评级来更新关于等级的信息。如果新的PC 103a具有比当前NAC-PC 104更高的总生产力评级，则该新的PC 103a将被指派为新的NAC-PC 104。将发送信息至旧的NAC-PC 104的监管代理端207a，该信息表明该旧的NAC-PC 104的监管代理端207a将不再使用来自所述系列监管工具204的用于其功能的工具以及管理工具201来执行其功能。与之相比，将发送信息至新的PC 103a的监管代理端207，该信息是关于使用来自所述系列监管工具204的用于新的功能的工具以及管理工具201来执行该新功能的信息。

在一个示范性实施例中，使用ActiveX组件收集的数据集合可以用于确定新的PC 103a的总生产力评级。

使用NAC-PC 104的监管代理端207a来控制对公司网络101或其单个网段的资源的访问，该访问包括与安装于公司网络101或其单个网段的每个PC103中的反病毒应用程序的交互。公司网络101或其单个网段中的PC 103可能会受恶意软件的感染。因此，感染有可能传播到公司网络101或其单个网段中的所有PC 103。基于此原因，用于控制个人计算机对公司网络资源的访问的系统配备这样一种机制，该机制切断任何可疑的PC 103与公司网络101中的资源的联系或者限制通过可疑PC 103对公司网络101的资源的访问。具有受限的网络访问权的PC 103可以有权访问诸如网络打印机或传真机之类的一些网络设备或服务器，但无权访问诸如文件服务器的其它资源。

在这方面，用于控制个人计算机对公司网络资源的访问的系统的操作的一个示例可以是断开来自公司网络101或其单个网段中的作为未知可执行程序代码的传播者的PC 103的连接。如前所述，监管代理端207安装于公司网络101或其单个网段中的每个PC 103中。除了在清点以及拓扑结构确定期间收集数据集之外，监管代理端207还可以跟踪给定PC 103的硬盘驱动器中具有可执行程序代码的文件的出现，其中已经给予该给定PC 103对公司网络101或其单个网段中的所有PC 103的公共访问权。当具有可执行程序代码的文件出现在该PC 103的硬盘驱动器中时，该PC 103中的监管代理端207传送关于此情况的信息至监管服务器102，也就是管理工具201。管理工具201将传送该信息至来自所述系列监管工具204的访问控制工具208。该信息可以包括具有可执行程序代码的文件的名称、该文件的大小、以及将该具有可执行程序代码的文件置于另一PC 103的硬盘驱动器中的该PC 103的网络地址。该参数集合是示例性的，并且所收集的有关该具有可执行程序代码的文件的信息也可以包含其它参数。来自所述系列监管工具204的访问控制工具208可以将该信息保存在服务器数据库205中。举例来说，如果后来发现相同的具有可执行程序代码的文件被复制到公司网络101或其单个网段中的N个以上的PC 103，则来自所述系列监管工具204的访问控制工具208可以经由管理工具201向NAC-PC 104的监管代理端207a发送命令，以将传播该具有可执行程序代码的文件的PC 103从公司网络101或其单个网段中断开连接。在一个示范性实施例中，监管代理端207可以激活反病毒应用程序以执行对PC 103中具有可执行程序代码的文件的反病毒扫描。举例来说，如果反病毒扫描显示具有可执行程序代码的文件是恶意的，则反病毒应用程序将删除该文件并向给定PC 103的监管代理端207报告该具有可执行程序代码的文件是恶意的，该给定PC 103的监管代理端207将转而将该信息传送至监管服务器102以采取进一步的措施，或者直接传送至NAC-PC 104的监管代理端207a以将作为该具有可执行程序代码的文件的传播者的PC 103从公司网络101或其单个网段中断开连接。反病毒应用程序还可以直接向NAC-PC 104的监管代理端207a报告该具有可执行程序代码的文件是恶意的。对从公司网络101或其单个网段中断开连接的作为该具有恶意可执行程序代码的文件的传播者的PC103进行彻底的扫描，并且如果必要的话，对其进行修复。如果反病毒扫描显示具有可执行程序代码的文件不是恶意的，则使用以上描述的方法，也就是信息收集。而且，如果具有可执行程序代码的文件被复制到来自公司网络101或其单个网段的N个以上的PC 103，则可以从公司网络101或其单个网段中断开作为该文件的传播者的PC 103的连接。

如果检测到网络攻击，可以使用相同的方法来应对。如果公司网络101或其单个网段中的PC 103中的反病毒应用程序检测到对另一个PC 103的网络攻击，则关于此情况的信息被传送至受到攻击的PC 103的监管代理端207，其转而将传送该信息至监管服务器102，也就是管理工具201。管理工具201将传送该信息至来自所述系列监管工具204的访问控制工具208。该信息可以包括具有攻击性的PC 103的网络地址和有关该攻击的任何信息。来自所述系列监管工具204的访问控制工具208可以将该信息保存在服务器数据库205中。举例来说，如果后来发现同一个PC 103执行针对N个PC 103的攻击，则来自所述系列监管工具204的访问控制工具208可以经由管理工具201向NAC-PC 104的监管代理端207a发送命令，以将攻击公司网络101或其单个网段中的其它PC 103的该PC 103断开连接。

安装于公司网络101或其单个网段中的每一个PC 103中的监管代理端207也可以跟踪当前正在运行的应用程序的状态，包括反病毒应用程序的状态。例如，监管代理端207可以跟踪反病毒应用程序是否被正确地关闭。监管代理端207还收集有关由反病毒应用程序所扫描的新近出现于PC 103中的新近的文件的信息，以及，例如，有关当前在PC 103中正被执行的文件的信息。如果反病毒保护被错误地关闭，则监管代理端207传送该信息至监管服务器102，也就是管理工具201。管理工具201将传送该信息至来自所述系列监管工具204的访问控制工具208。来自所述系列监管工具204的访问控制工具208可以将该信息保存在服务器数据库205中。当发生反病毒保护被错误地关闭这一情况的PC 103的数量达到某一阈值时，来自所述系列监管工具204的访问控制工具208将经由管理工具201向NAC-PC 104中的监管代理端207a发送命令，以将发生反病毒保护被错误地关闭这一情况的那些PC 103断开连接。来自所述系列监管工具204的访问控制工具208还分析从出现反病毒保护被错误地关闭这一情况的那些PC 103中的监管代理端207获得的信息。如果在收集自每个PC 103的信息中跟踪到一些共同的信息，例如，就在那些PC103上出现一些相同的文件或者执行相同的文件之后，反病毒应用程序被关闭，则那些文件将被视为是可疑的。通过管理工具201，来自所述系列监管工具204的访问控制工具208向来自公司网络101的所有PC 103的监管代理端207传送有关可疑文件的数据和如果在PC 103中发现那些文件就必须采取的措施。这些措施的示例可以是阻止特定文件的启动。

图9示出了算法的一个示范性实施例，该算法用于控制个人计算机对公司网络资源的访问的方法。

在步骤901，使用来自所述系列监管工具204的清点工具206来生成任务以清点来自公司网络101或其单个网段的所有PC 103。并且，使用来自所述系列监管工具204的拓扑结构确定工具209来生成任务以确定公司网络101或其单个网段的拓扑结构。管理工具201在已经从来自所述系列监管工具204的清点工具206和拓扑结构确定工具209获得表明已经为所有PC 103生成这些任务的信息时，将与来自公司网络101或其单个网段的所有PC 103的监管代理端207建立连接并将传送任务数据。接着，来自公司网络101或其单个网段的每个PC 103中的监管代理端207将收集其上关于安装有这些监管代理端207的PC 103的数据集。来自公司网络101的每个PC 103的监管代理端207均已经收集所述数据集之后，每个特定PC 103中的监管代理端207将所述数据集传送至管理工具201。管理工具201转而又传送所述数据集至分析和比较工具202以及来自所述系列监管工具204的清点工具206和拓扑结构确定工具209，其将发送所述数据集至服务器数据库205。

在步骤902，分析和比较工具202将所述数据集与来自分析数据库203的信息进行比较并选择对应于每个变量的规则。分析数据库203包含用于确定来自公司网络101或其单个网段的每个PC 103的生产力评级的规则。针对所有变量的规则可以基于清晰和模糊逻辑。分析和比较工具202在已经基于来自分析数据库203的规则获得有关所有评级的数据时，归总属于每个PC 103的评级以获得每个PC 103的总生产力评级。

在步骤903，分析和比较工具202比较所述总生产力评级，选择具有最高总生产力评级的PC 103并指定该PC 103作为NAC-PC 104。管理工具201将有关该PC 103的新身份的信息，也就是作为NAC-PC 104的身份的信息，传送至来自公司网络101或其单个网段的被选作NAC-PC 104的PC 103的监管代理端207。接着，管理工具201将连接到NAC-PC 104的监管代理端207a以执行任务来控制对公司网络资源的访问。

在步骤904，访问规则被确定并应用于来自公司网络101或其单个网段的所有PC 103。来自所述系列监管工具204的工具208用于执行这些任务。在清点和拓扑结构确定期间收集自每个PC 103的数据集存储于服务器数据库205中，基于该数据集确定总生产力评级并随后确定NAC-PC 104。接着，来自所述系列监管工具204的访问控制工具208启动对在清点和拓扑结构确定期间所收集的并存储于服务器数据库205中的数据集与定义访问规则的标准集合之间的比较。标准和基于那些标准的访问规则也存储于服务器数据库205中。标准可能包括对应于在清点和拓扑结构确定期间所收集的数据集的各种属性。服务器数据库205中针对每个PC 103的数据构成针对来自公司网络101或其单个网段的每个PC 103所收集的不同变量的集合。附属于针对每个PC103所收集的数据集的这些变量的值是预定义特定标准的属性。如前所述，标准定义访问规则。接着，访问控制工具208将发送该访问规则至管理工具201，该管理工具201转而又将该规则发送至NAC-PC 104的监管代理端207a。NAC-PC 104中的监管代理端207a将应用该访问规则于被定义的规则所针对的PC。将针对公司网络101或其单个网段的所有PC 103执行该过程。

在步骤905，NAC-PC 104的监管代理端207a基于例如所拦截的ARP通知来检测公司网络101或其单个网段中的新的PC 103a。NAC-PC 104的监管代理端207a还重定向来自新的PC 103a的通信量。此过程可以按以下描述进行。连接到公司网络101或其单个网段的新的PC 103a发送广播ARP通知至所有PC 103和NAC-PC 104，新的PC 103a在该广播ARP通知中通告其IP地址和MAC地址。由此，NAC-PC 104的监管代理端207a检测公司网络101或其单个网段中的新的PC 103a。接着，新的PC 103a试图与某一PC 103进行通信并传输数据。PC 103的IP地址是已知的。通信量的传送，也就是数据传输，可以由安装于新的PC 103a中的某一软件或者安装于新的PC 103a中的操作系统来启动。接着，在新的PC 103a中存在对ARP表的调用以确定作为信息接收方的PC 103的IP地址和MAC地址之间的存在匹配。如果未发现匹配，也就是ARP表不具有IP地址所对应的且信息被发送至的PC 103的MAC地址，则新的PC 103a发送广播ARP请求至公司网络101或其单个网段。换言之，来自公司网络101或其单个网段的每个PC 103将接收内嵌有所寻求的PC 103的IP地址以及发送方即新的PC 103a的IP地址和MAC地址的查询。接着，收听公司网络101或其单个网段中的ARP请求的NAC-PC 104的监管代理端207a也将接收该ARP请求并将了解新的PC 103a试图传输数据至某一PC 103，在此之后，NAC-PC 104的监管代理端207a将准备好把来自新的PC103a的通信量及数据传输重定向至NAC-PC 104或另一个目的地。具有在新的PC 103a的ARP请求中所指示的IP地址的PC 103也将接收该ARP请求，并且PC 103将比较该ARP请求中的IP地址和其自身的IP地址、检测地址的匹配并发送针对指示PC 103的IP地址和MAC地址的ARP请求的ARP响应。接着，将更新发送该ARP请求的新的PC 103a和接收该ARP请求的PC 103的ARP表，并将获得IP地址和MAC地址之间的匹配。NAC-PC 104中的监管代理端207a必须把来自新的PC 103a的通信量重定向到NAC-PC 104或另一个目的地以确保公司网络101或其单个网段中的新的PC 103a遵守访问规则。在NAC-PC 104的监管代理端207a接收到ARP请求并了解新的PC 103a试图传输数据至某一PC 103之后，NAC-PC 104的监管代理端207a将发送新的ARP响应至发送过该ARP请求的PC 103a和接收该ARP请求的PC 103，该新的ARP响应指示了初始ARP请求所意图的PC 103的IP地址以及NAC-PC 104或另一个目的地的MAC地址。NAC-PC 104中的监管代理端207a还将发送ARP响应至PC 103，该ARP响应指示了发送初始ARP请求的新的PC 103a的IP地址以及NAC-PC 104或另一个目的地的MAC地址。通过这些措施，NAC-PC 104的监管代理端207a″破坏″了初始发送ARP请求的新的PC103a和初始接收该ARP请求的PC 103的ARP表。初始发送ARP请求的新的PC 103a和初始接收该ARP请求的PC 103的ARP表将被更新。以此方式，来自新的PC 103a的通信量将被发送至NAC-PC 104或另一个目的地。来自新的PC 103a的通信量被重定向至NAC-PC 104或另一个目的地之后，将检查公司网络101或其单个网段中的新的PC 103a对访问规则的遵守情况。来自新的PC 103a的通信量被重定向之后，来自公司网络101或其单个网段的新的PC 103a的用户仅可以进入由NAC-PC 104的监管代理端207a所提供的因特网页面。一旦来自公司网络101或其单个网段的新的PC 103a的用户打开因特网浏览器，NAC-PC 104的监管代理端207a就远程收集有关新的PC 103a的基本信息。每个PC 103的监管代理端207在清点期间该系统操作的初始阶段收集该信息。监管代理端207未安装于新的PC 103a中。在此情况下，NAC-PC 104的监管代理端207a通过因特网页面，也就是使用ActiveX技术，来收集该基本信息。例如，在打开来自公司网络101或其单个网段的新的PC103a中的因特网浏览器并进入由来自新的PC 103a的通信量被重定向到的NAC-PC 104的监管代理端207a所提供的因特网页面之后，该新的PC 103a的用户自动下载ActiveX组件，该ActiveX组件将收集有关新的PC 103a的数据集合。该数据集合可以类似于在清点期间由每个PC 103的监管代理端207所收集的数据集。接着，使用ActiveX组件收集的附属于新的PC 103a的数据集合被发送至NAC-PC 104中的监管代理端207a并从NAC-PC 104中的监管代理端207a发送该数据集合至监管服务器102，也就是管理工具201。由于所收集的数据集合附属于对新的PC 103a的清点内容，来自所述系列监管工具204的清点工具206将把该数据置于服务器数据库205中。接着，来自所述系列监管工具204的访问控制工具208启动对所收集的来自新的PC 103a的存储于服务器数据库205中的数据集合与定义访问规则的标准集合之间的比较。接着，将针对标准选择一个或多个访问规则，该标准是使用属性即收集自新的PC 103a的数据集合来定义的。来自所述系列监管工具204的访问控制工具208将把所述一个或多个访问规则发送至管理工具201，管理工具201转而将会把该规则发送至NAC-PC 104的监管代理端207a，NAC-PC 104的监管代理端207a将该规则应用于新的PC 103a。一旦该访问规则被应用于公司网络101或其单个网段中的新的PC 103a，NAC-PC 104的监管代理端207a就用正确的相匹配的IP地址和MAC地址来更新公司网络101或其单个网段中的新的PC 103a和其余PC 103的ARP表。此外，将使用来自所述系列监管工具204的用于这些措施的工具和管理工具201来将监管代理端207安装于新的PC 103a中。

在步骤906，限制对公司网络101的资源的访问。使用NAC-PC 104的监管代理端207a控制对公司网络101或其单个网段的资源的访问，该访问包括与安装于公司网络101或其单个网段的每个PC 103中的反病毒应用程序交互的期间。用于控制个人计算机对公司网络资源的访问以约束对公司网络资源的访问的系统的操作的一个示例可以是，从公司网络101或其单个网段断开作为未知可执行程序代码的传播者的PC 103的连接。如果检测到网络攻击，可以采用相同的方法来应对。例如，监管代理端207还可以跟踪反病毒应用程序是否被正确地关闭。当发生反病毒保护被错误地关闭这一情况的PC 103的数量达到某一阈值时，来自所述系列监管工具204的访问控制工具208将经由管理工具201向NAC-PC 104中的监管代理端207a发送命令，以将发生反病毒保护被错误地关闭这一情况的PC 103断开连接。

图10示出了可被用于实现监管服务器102和/或PC 103的计算机系统5的一个示范性实施例。如图所示，计算机系统5可以包括通过系统总线10相连接的一个或多个处理器15、存储器20、一个或多个硬盘驱动器30、光驱35、串行端口40、图形卡45、声卡50和网卡55。系统总线10可以是几种类型总线结构中的任何一种，包括存储器总线或存储器控制器、外围总线和本地总线，上述总线使用各已知的总线架构的任意一种。处理器15可以包括一个或多个Intel

Core 2Quad 2.33GHz处理器或者其它类型的微处理器。

系统存储器20可以包括只读存储器（ROM）21和随机访问存储器（RAM）23。存储器20可以实施为DRAM(动态RAM)、EPROM、EEPROM、闪存或者其它类型的存储器架构，ROM 21存储有基本输入/输出系统22（BIOS），其包含有助于在计算机系统5的组件之间传送信息的基本例程，例如在启动期间。RAM 23存储有操作系统24（OS），例如WindowsXP Professional

或者其它类型的操作系统，其负责在计算机系统5中进行进程的管理与协调以及硬件资源的分配与共享。存储器20还存储应用程序和程序25，诸如系统监管工具204。存储器20还存储程序25使用的各种运行时（runtime）数据26。

计算机系统5可以进一步包括硬盘驱动器30，诸如SATA磁性硬盘驱动器（HDD），以及用于读取或写入可移动光盘的光盘驱动器35，诸如CD-ROM、DVD-ROM或者其它光学介质。驱动器30和35以及与之相关联的计算机可读介质提供对于计算机可读指令、数据结构、应用程序以及实施在此披露的算法和方法的程序模块/子例程的非易失性存储。尽管该示范性计算机系统5使用磁盘和光盘，但本领域的技术人员应当理解可存储可由计算机系统5所访问的数据的其它类型的计算机可读介质也可以应用于所述计算机系统的替代性实施例中，诸如盒式磁带、闪存卡、数字视频光碟、RAM、ROM、EPROM和其它类型的存储器。

计算机系统5进一步包括多个串行端口40，诸如通用串行总线（USB），其用于连接数据输入设备75，诸如键盘、鼠标、触摸板及其它。串行端口40还可用于连接数据输出设备80，诸如打印机、扫描仪及其它，以及用于连接其它外围设备85，诸如外部数据存储设备等。计算机系统5还可以包括图形卡45，诸如nVidiaGeForce

GT 240M或者其它视频卡，其用于与监视器60或者其它视频再现设备联接。计算机系统5还可以包括声卡50，其用于经由内置或外置的扬声器65再现声音。此外，系统5可以包括网卡55，诸如Ethernet、WiFi、GSM、蓝牙或者其它有线、无线或蜂窝网络接口，用于将计算机系统5连接到网络70，例如因特网（Internet）。

在各种实施例中，在此描述的算法和方法可以通过硬件、软件、固件或者其任意组合来实现。如果以软件实现，这些功能可以作为一条或多条指令或代码存储在非暂时性的计算机可读介质上。计算机可读介质包括计算机存储器和方便计算机程序从一处传送到另一处的通信介质。存储介质可以是可被计算机访问的任何可用介质。作为示例但并非限制，这种计算机可读介质包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储器、磁盘存储器或其它磁性存储器设备或者可用于以指令或数据结构的形式承载或存储所需的程序代码并且可被计算机访问的任何其它介质。此外，任何连接均可称为计算机可读介质。例如，如果从网站、服务器或其它远程资源传输软件是使用同轴电缆、光缆、双绞线、数字用户专用线（DSL）或者诸如红外线、无线电及微波之类的无线技术的方式，则该连接方式包括在介质的定义中。

为了清楚起见，在此并未对实施本发明的所有常规特征加以公开。应当理解，在本发明的任何实际的实施方式的开发过程中，必须做出大量特定的实施方式决策以实现开发者的特定目标，同时应当理解，这些特定目标将随实施方式的不同以及开发者的不同而改变。应当理解，这类开发工作可能是复杂且耗费时间的，但是对于受益于本文公开内容的本领域的普通技术人员而言，都将是常规的工程任务。

此外，可以理解的是在此使用的措辞或术语是为了描述而非限定的目的，以便本领域的技术人员根据在此提出的教导及指引并结合相关领域技术人员所掌握的知识来解读本说明书中的措辞或术语。而且，除非如此明确的予以阐述，否则本说明书或权利要求中的任何术语均并非意图归结为非常规或者特殊的含义。

在此披露的各种实施例包含现在及将来与在此通过示例的方式所提及的已知组件的已知等同物。而且，尽管已经示出及描述了实施例及其应用，但对于受益于本发明的本领域的技术人员而言显而易见的是，在不脱离本申请中所披露的发明构思的情况下，比以上提及的更多的修改是可能的。

Claims (18)

1.一种用于控制对计算机网络的访问的方法，所述方法包括：

通过网络访问控制器拦截发往或来自计算机的数据传输；

通过所述网络访问控制器识别与所述计算机相关联的网络访问策略；

如果存在与所述计算机相关联的网络访问策略，则基于所述相关联的网络访问策略允许发往或来自所述计算机的所述数据传输；

如果不存在与所述计算机相关联的网络访问策略，则在所述计算机上部署监管代理端，所述监管代理端经配置以收集来自所述计算机的配置信息以及有关所述网络的拓扑结构的信息，并发送所述收集到的信息至所述网络访问控制器；

基于所述收集到的信息通过所述网络访问控制器确定用于所述计算机的网络访问策略；

基于所述网络访问策略重定向所述拦截到的数据传输；

经由所述计算机的所述监管代理端激活所述计算机上的反病毒软件，所述反病毒软件经配置以执行对所述计算机的反病毒分析，以及，如果在所述计算机上检测到恶意活动，则向所述网络访问控制器报告所述活动；以及

通过所述网络访问控制器限制发往或来自所述计算机的数据传输，直至所述恶意活动被所述反病毒软件所消除，以阻止所述恶意活动传播到所述网络中的其它计算机。

2.如权利要求1所述的方法，进一步包括：

通过部署于所述网络中的多个计算机上的多个监管代理端收集所述多个计算机的每一者的配置信息和有关所述网络的拓扑结构的信息；

传输所述收集到的信息至监管服务器，用于从所述网络中的所述多个计算机中选择用于所述网络的所述网络访问控制器并确定用于所述多个计算机的每一者的网络访问策略；以及

通过所选择的网络访问控制器接收用于所述多个计算机的多个网络访问策略，其中所述网络访问控制器使用所述网络访问策略来调节对所述多个计算机的访问和来自所述多个计算机的对所述网络的访问。

3.如权利要求2所述的方法，其中所述网络访问控制器包括具有由所述监管服务器基于所述收集到的计算机配置信息和网络拓扑结构信息所确定的最高性能评级的计算机。

4.如权利要求1所述的方法，其中通过所述网络访问控制器拦截发往或来自计算机的数据传输进一步包括：

通过所述网络访问控制器接收来自所述计算机的广播消息，其中所述广播消息是寻址所述网络中另一台计算机的地址解析协议ARP请求消息；

通过所述网络访问控制器传输ARP响应消息至所述计算机，其中所述ARP响应消息包含所述ARP请求消息所寻址的所述计算机的IP地址和所述网络访问控制器的MAC地址；以及

通过所述网络访问控制器传输ARP响应消息至所述ARP请求消息所寻址的所述计算机，其中所述ARP响应消息包含所述计算机的IP地址和所述网络访问控制器的MAC地址。

5.如权利要求1所述的方法，其中通过所述网络访问控制器拦截发往或来自计算机的数据传输进一步包括：

通过所述网络访问控制器接收来自所述计算机的广播消息，其中所述广播消息是ARP通告消息；

通过所述网络访问控制器传输多个ARP响应消息至所述计算机，其中ARP响应消息的数量对应于所述网络中的计算机的数量，并且其中每个ARP响应消息均包含所述网络中的计算机的IP地址和所述网络访问控制器的MAC地址；以及

通过所述网络访问控制器传输ARP响应消息至所述网络中所述多个计算机的每一者，其中所述ARP响应消息包含所述计算机的IP地址和所述网络访问控制器的MAC地址。

6.如权利要求1所述的方法，其中基于所述网络访问策略重定向所述拦截到的数据传输进一步包括：

通过所述网络访问控制器传输多个ARP响应消息至所述计算机，其中ARP响应消息的数量对应于所述网络中允许由所述计算机访问的计算机的数量，并且其中每个ARP响应消息均包含所述网络中允许由所述计算机访问的计算机的IP地址和MAC地址；以及

通过所述网络访问控制器传输ARP响应消息至所述允许由所述计算机访问的多个计算机的每一者，所述ARP响应消息包含所述计算机的IP地址和MAC地址。

7.一种用于控制对计算机网络的访问的系统，所述系统包括：

网络访问控制器，其包括处理器和存储器；

其中所述存储器经配置以存储用于所述网络中多个计算机的多个网络访问策略；以及

其中所述处理器经配置以：

拦截发往或来自计算机的数据传输；

识别与所述计算机相关联的网络访问策略；

如果存在与所述计算机相关联的网络访问策略，则基于所述相关联的网络访问策略允许发往或来自所述计算机的所述数据传输；

如果不存在与所述计算机相关联的网络访问策略，则在所述计算机上部署监管代理端，所述监管代理端经配置以收集来自所述计算机的配置信息以及有关所述网络的拓扑结构的信息，并发送所述收集到的信息至所述网络访问控制器；

基于所述收集到的信息确定用于所述计算机的网络访问策略；

基于所述网络访问策略重定向所述拦截到的数据传输；

经由所述计算机的所述监管代理端激活所述计算机上的反病毒软件，所述反病毒软件经配置以执行对所述计算机的反病毒分析，以及，如果在所述计算机上检测到恶意活动，则向所述网络访问控制器报告所述活动；以及

限制发往或来自所述计算机的数据传输，直至所述恶意活动被所述反病毒软件所消除，以阻止所述恶意活动传播到所述网络中的其它计算机。

8.如权利要求7所述的系统，进一步包括监管服务器，其中所述监管服务器经配置以：

从部署于所述网络中的多个计算机上的多个监管代理端接收所述多个计算机的每一者的配置信息和有关所述网络的拓扑结构的信息；

从所述网络中的所述多个计算机中选择用于所述网络的所述网络访问控制器；

确定用于所述多个计算机的每一者的网络访问策略；以及

传输用于所述多个计算机的多个网络访问策略至所选择的网络访问控制器，由此，所述网络访问控制器使用所述网络访问策略来调节对所述多个计算机的访问和来自所述多个计算机的对所述网络的访问。

9.如权利要求8所述的系统，其中所述网络访问控制器包括具有由所述监管服务器基于所述收集到的计算机配置信息和网络拓扑结构信息所确定的最高性能评级的计算机。

10.如权利要求7所述的系统，其中为了拦截发往或来自计算机的数据传输，所述处理器进一步经配置以：

接收来自所述计算机的广播消息，其中所述广播消息是寻址所述网络中另一台计算机的ARP请求消息；

传输ARP响应消息至所述计算机，其中所述ARP响应消息包含所述ARP请求消息所寻址的所述计算机的IP地址和所述网络访问控制器的MAC地址；以及

传输ARP响应消息至所述ARP请求消息所寻址的所述计算机，其中所述ARP响应消息包含所述计算机的IP地址和所述网络访问控制器的MAC地址。

11.如权利要求7所述的系统，其中为了拦截发往或来自计算机的数据传输，所述处理器进一步经配置以：

接收来自所述计算机的广播消息，其中所述广播消息是ARP通告消息；

传输多个ARP响应消息至所述计算机，其中ARP响应消息的数量对应于所述网络中的计算机的数量，并且其中每个ARP响应消息均包含所述网络中的计算机的IP地址和所述网络访问控制器的MAC地址；以及

传输ARP响应消息至所述网络中所述多个计算机的每一者，其中所述ARP响应消息包含所述计算机的IP地址和所述网络访问控制器的MAC地址。

12.如权利要求7所述的系统，其中为了基于所述网络访问策略重定向所述拦截到的数据传输，所述处理器进一步经配置以：

传输多个ARP响应消息至所述计算机，其中ARP响应消息的数量对应于所述网络中允许由所述计算机访问的计算机的数量，并且其中每个ARP响应消息均包含所述网络中允许由所述计算机访问的计算机的IP地址和MAC地址；以及

传输ARP响应消息至所述允许由所述计算机访问的多个计算机的每一者，所述ARP响应消息包含所述计算机的IP地址和MAC地址。

13.一种内嵌于非暂时性计算机可读存储介质中的计算机程序产品，所述计算机可读存储介质包含用于控制对计算机网络的访问的计算机可执行指令，所述介质包括指令用于：

通过网络访问控制器拦截发往或来自计算机的数据传输；

通过所述网络访问控制器识别与所述计算机相关联的网络访问策略；

如果存在与所述计算机相关联的网络访问策略，则基于所述相关联的网络访问策略允许发往或来自所述计算机的所述数据传输；

如果不存在与所述计算机相关联的网络访问策略，则在所述计算机上部署监管代理端，所述监管代理端经配置以收集来自所述计算机的配置信息以及有关所述网络的拓扑结构的信息，并发送所述收集到的信息至所述网络访问控制器；

基于所述收集到的信息通过所述网络访问控制器确定用于所述计算机的网络访问策略；

基于所述网络访问策略重定向所述拦截到的数据传输；

经由所述计算机的所述监管代理端激活所述计算机上的反病毒软件，所述反病毒软件经配置以执行对所述计算机的反病毒分析，以及，如果在所述计算机上检测到恶意活动，则向所述网络访问控制器报告所述活动；以及

通过所述网络访问控制器限制发往或来自所述计算机的数据传输，直至所述恶意活动被所述反病毒软件所消除，以阻止所述恶意活动传播到所述网络中的其它计算机。

14.根据权利要求13所述的产品，其进一步包括指令用于：

通过部署于所述网络中的多个计算机上的多个监管代理端收集所述多个计算机的每一者的配置信息和有关所述网络的拓扑结构的信息；

传输所述收集到的信息至监管服务器，用于从所述网络中的所述多个计算机中选择用于所述网络的所述网络访问控制器并确定用于所述多个计算机的每一者的网络访问策略；以及

通过所选择的网络访问控制器接收用于所述多个计算机的多个网络访问策略，其中所述网络访问控制器使用所述网络访问策略来调节对所述多个计算机的访问和来自所述多个计算机的对所述网络的访问。

15.根据权利要求14所述的产品，其中所述网络访问控制器包括具有由所述监管服务器基于所述收集到的计算机配置信息和网络拓扑结构信息所确定的最高性能评级的计算机。

16.根据权利要求13所述的产品，其中用于通过所述网络访问控制器拦截发往或来自计算机的数据传输的指令进一步包括指令用于：

通过所述网络访问控制器接收来自所述计算机的广播消息，其中所述广播消息是寻址所述网络中另一台计算机的地址解析协议ARP请求消息；

通过所述网络访问控制器传输ARP响应消息至所述计算机，其中所述ARP响应消息包含所述ARP请求消息所寻址的所述计算机的IP地址和所述网络访问控制器的MAC地址；以及

通过所述网络访问控制器传输ARP响应消息至所述ARP请求消息所寻址的所述计算机，其中所述ARP响应消息包含所述计算机的IP地址和所述网络访问控制器的MAC地址。

17.根据权利要求13所述的产品，其中用于通过所述网络访问控制器拦截发往或来自计算机的数据传输的指令进一步包括指令用于：

通过所述网络访问控制器接收来自所述计算机的广播消息，其中所述广播消息是ARP通告消息；

通过所述网络访问控制器传输多个ARP响应消息至所述计算机，其中ARP响应消息的数量对应于所述网络中的计算机的数量，并且其中每个ARP响应消息均包含所述网络中的计算机的IP地址和所述网络访问控制器的MAC地址；以及

通过所述网络访问控制器传输ARP响应消息至所述网络中所述多个计算机的每一者，其中所述ARP响应消息包含所述计算机的IP地址和所述网络访问控制器的MAC地址。

18.根据权利要求13所述的产品，其中用于基于所述网络访问策略重定向所述拦截到的数据传输的指令进一步包括指令用于：

通过所述网络访问控制器传输多个ARP响应消息至所述计算机，其中ARP响应消息的数量对应于所述网络中允许由所述计算机访问的计算机的数量，并且其中每个ARP响应消息均包含所述网络中允许由所述计算机访问的计算机的IP地址和MAC地址；以及

通过所述网络访问控制器传输ARP响应消息至所述允许由所述计算机访问的多个计算机的每一者，所述ARP响应消息包含所述计算机的IP地址和MAC地址。

Images