CN110493195A - 一种网络准入控制方法及系统 - Google Patents

Abstract

本发明提供一种网络准入控制方法及系统，涉及网络安全技术领域，包括检测网络中的实时在线终端；根据基础数据库对实时在线终端进行安全审核：若通过安全审核，则准许实时在线终端接入网络；若未通过安全审核，根据基础数据库对实时在线终端进行安全认证：若通过安全认证，则准许实时在线终端接入网络，并设置第一访问权限；若未通过安全认证，根据基础数据库对实时在线终端进行安全评估：若通过安全评估，则准许实时在线终端接入网络，并设置第二访问权限；若未通过安全评估，则拒绝实时在线终端进入网络。本发明对用户身份的真实性以及终端风险进行多重验证，实现网络准入控制及获得访问权限，提升网络安全。

Description

一种网络准入控制方法及系统

技术领域

本发明涉及网络安全技术领域，尤其涉及一种网络准入控制方法及系统。

背景技术

随着计算机技术和网络通信技术的发展、融合，终端安全管理对每个企业来说都是越来越重要，良好的终端安全控制技术能够保证企业的安全策略真正得到实施，有效的控制各种非法安全事件，最大程度的遏制网络中屡禁不绝的恶意攻击和破坏。目前，在企业网络中，用户的终端计算机不及时升级系统补丁和病毒库、私设代理服务器、私自访问外部网络、滥用企业禁用软件的行为比比皆是，脆弱的用户终端一旦接入网络，就等于给潜在的安全威胁敞开了大门，使安全威胁在更大范围内快速扩散，进而导致网络使用行为的“失控”。保证用户终端的安全、阻止威胁入侵网络，对用户的网络访问行为进行有效的控制，是保证企业网络安全运行的前提，也是目前企业急需解决的问题。

现有技术中，网络准入控制技术包括基于IP-MAC绑定的准入技术、802.1X准入控制技术、DHCP准入控制技术、网关型准入控制技术、MVG准入控制技术及ARP型准入控制技术等。基于IP-MAC绑定的准入技术是指通过在终端计算机接入网络的设备上设置访问控制列表或静态ARP表，只允许绑定了IP和MAC的计算机上网。网关型准入控制技术是在网络出口假设网关设备，由准入控制服务器控制网关设备对终端计算机访问外网进行控制。但由于目前的数据采集方式比较单一，导致采集得到的数据量少却不够全面，进而导致对于网络准入控制存在漏洞，无法有效保证网络安全。传统额外安装代理进行数据采集的方式虽然增加采集得到的数据量，但操作比较复杂，设备的增加同时增加了相应的安全风险。

发明内容

针对现有技术中存在的问题，本发明提供一种网络准入控制方法，于网络中预先配置一网络准入服务器，所述网络准入服务器根据预先生成的基础数据库对实时在线终端进行网络准入控制；

网络中还配置有核心交换机以及接入交换机，所述核心交换机和所述接入交换机分别连接所述网络准入服务器，

则所述基础数据库的生成过程具体包括：

步骤A1，所述网络准入服务器通过所述核心交换机与所述接入交换机分别对所述网络中接入的所有终端设备进行实时发现，并根据发现的实时在线终端建立MAC信息库；

所述MAC信息库中包括若干所述实时在线终端对应的MAC地址；

步骤A2，所述网络准入服务器对所述网络中的安全产品信息进行数据采集，并根据所述MAC地址将数据采集结果与所述MAC信息库进行数据关联，以得到所述基础数据库；

所述基础数据库中包括若干所述MAC地址以及与所述MAC地址对应的所述实时在线终端的完整在线状态及所述安全产品信息；

所述网络准入控制方法具体包括：

步骤S1，所述网络准入服务器实时检测网络中的所述实时在线终端；

步骤S2，所述网络准入服务器根据所述基础数据库对所述实时在线终端进行安全审核：

若所述实时在线终端通过所述安全审核，则准许所述实时在线终端接入网络，随后退出；

若所述实时在线终端未通过所述安全审核，则转向步骤S3；

步骤S3，所述网络准入服务器根据所述基础数据库对所述实时在线终端进行安全认证：

若所述实时在线终端通过所述安全认证，则准许所述实时在线终端接入网络，并设置所述实时在线终端具有的第一访问权限，随后退出；

若所述实时在线终端未通过所述安全认证，则转向步骤S4；

步骤S4，所述网络准入服务器根据所述基础数据库对所述实时在线终端进行安全评估：

若所述实时在线终端通过所述安全评估，则准许所述实时在线终端接入网络，并设置所述实时在线终端具有的第二访问权限，随后退出；

若所述实时在线终端未通过所述安全评估，则拒绝所述实时在线终端接入网络，并生成相应的工单以供人工进行处理；

所述第一访问权限大于所述第二访问权限。

优选的，所述步骤A2中，对所述安全产品信息进行数据采集具体包括：

WMI信息采集，和/或交换机端口信息采集，和/或主机名采集，和/或McAfee防病毒信息采集，和/或漏洞信息采集，和/或无线AP信息采集，和/或宁盾安全系统信息采集，和/或部门及楼宇信息采集，和/或用户信息采集，和/或安全事件采集。

优选的，执行所述步骤A2之后，还包括根据所述基础数据库进行数据综合分析，所述数据综合分析具体包括：

网络中终端资产总数分析，和/或终端移动位置分析，和/或终端新入网数，和/或终端离线时间分布，和/或终端防病毒部署率分析，和/或终端防病毒升级率分析，和/或终端在线及离线数分析，，和/或终端合规分析，和/或终端部门楼宇资产数分析，和/或部门楼宇病毒爆发数分析，和/或部门楼宇防病毒部署率分析，和/或交换机是否私接hub分析，和/或交换机端口使用数分析，和/或交换机端口使用流量分析。

优选的，执行所述步骤A2之后，还包括根据所述基础数据库对所述实时在线终端进行终端追溯，所述终端追溯具体包括：

位置追溯，和/或接入方式追溯，和/或事件追溯，和/或接入IP追溯，和/或合规处理追溯。

优选的，执行所述步骤A2之后，还包括根据所述基础数据库对所述实时在线终端进行终端查询，所述终端查询具体包括：

终端位置查询，和/或终端用途查询，和/或终端无线接入查询，和/或终端所在区域查询，和/或终端关联风险查询，和/或终端历史数据查询，和/或终端类型查询。

优选的，所述步骤S2中，所述安全审核的审核内容具体包括：

防病毒部署，和/或漏洞信息，和/或补丁信息，和/或防病毒事件，和/或TDA事件，和/或终端类型，和/或操作系统，和/或所在区域类型，和/或态势感知信息，和/或交换机信息，和/或终端信息，和/或终端在线时间，和/或流量信息，和/或主机名，和/或是否在资产登记库中。

优选的，所述步骤S3中，所述安全认证的认证内容具体包括：

资产认证，和/或入域认证，和/或终端在线，和/或交换机信息。

优选的，所述步骤S4中，所述安全评估的评估内容具体包括：

防病毒事件评估，和/或TDA事件评估，和/或态势事件评估，和/或多类型终端评估，和/或操作系统评估，和/或终端历史信息评估，和/或流量信息评估。

一种网络准入控制系统，应用以上任意一项所述的网络准入控制方法，所述网络准入控制系统具体包括：网络准入服务器以及与网络准入服务器连接的核心交换机和接入交换机网络；

所述网络准入服务器具体包括：

数据获取模块，用于获取所述核心交换机与所述接入交换机检测得到的实时在线终端，并根据所述实时在线终端建立MAC信息库；

所述MAC信息库中包括若干所述实时在线终端对应的MAC地址；

数据采集模块，连接所述数据获取模块，用于对所述网络中的安全产品信息进行数据采集，并根据所述MAC地址将数据采集结果与所述MAC信息库进行数据关联，以得到所述基础数据库；

所述基础数据库中包括若干所述MAC地址以及与所述MAC地址对应的所述实时在线终端的完整在线状态及所述安全产品信息；

终端检测模块，用于实时检测网络中的所述实时在线终端；

第一数据处理模块，分别连接所述数据采集模块和所述终端检测模块，用于根据所述基础数据库对所述实时在线终端进行安全审核，并在所述实时在线终端通过所述安全审核时准许所述实时在线终端接入网络，以及

在所述实时在线终端未通过所述安全审核时输出所述实时在线终端；

第二数据处理模块，分别连接所述数据采集模块和和所述第一数据处理模块，用于根据所述基础数据库对所述实时在线终端进行安全认证，并在所述实时在线终端通过所述安全认证时准许所述实时在线终端接入网络，并设置所述实时在线终端具有的第一访问权限；以及

在所述实时在线终端未通过所述安全认证时输出所述实时在线终端；

第三数据处理模块，分别连接所述数据采集模块和和所述第二数据处理模块，用于根据所述基础数据库对所述实时在线终端进行安全评估，并在所述实时在线终端通过所述安全评估，则准许所述实时在线终端接入网络，并设置所述实时在线终端具有的第二访问权限；以及

在所述实时在线终端未通过所述安全评估时拒绝所述实时在线终端接入网络，并生成相应的工单以供人工进行处理；

所述第一访问权限大于所述第二访问权限。

上述技术方案具有如下优点或有益效果：本发明基于对用户身份的真实性以及终端风险进行多重验证，实现网络准入控制以及获得访问权限，实现双重可信，提升网络安全。

附图说明

图1为本发明的较佳的实施例中，基础数据库的生成过程的流程示意图；

图2为本发明的较佳的实施例中，一种网络准入控制方法的流程示意图；

图3为本发明的较佳的实施例中，一种网络准入控制系统的结构示意图。

具体实施方式

下面结合附图和具体实施例对本发明进行详细说明。本发明并不限定于该实施方式，只要符合本发明的主旨，则其他实施方式也可以属于本发明的范畴。

本发明的较佳的实施例中，基于现有技术中存在的上述问题，现提供一种网络准入控制方法，于网络中预先配置一网络准入服务器，网络准入服务器根据预先生成的基础数据库对实时在线终端进行网络准入控制；

网络中还配置有核心交换机以及接入交换机，核心交换机和接入交换机分别连接网络准入服务器，

如图1所示，则基础数据库的生成过程具体包括：

步骤A1，网络准入服务器通过核心交换机与接入交换机分别对网络中接入的所有终端设备进行实时发现，并根据发现的实时在线终端建立MAC信息库；

MAC信息库中包括若干实时在线终端对应的MAC地址；

步骤A2，网络准入服务器对网络中的安全产品信息进行数据采集，并根据MAC地址将数据采集结果与MAC信息库进行数据关联，以得到基础数据库；

基础数据库中包括若干MAC地址以及与MAC地址对应的实时在线终端的完整在线状态及安全产品信息；

如图2所示，网络准入控制方法具体包括：

步骤S1，网络准入服务器实时检测网络中的实时在线终端；

步骤S2，网络准入服务器根据基础数据库对实时在线终端进行安全审核：

若实时在线终端通过安全审核，则准许实时在线终端接入网络，随后退出；

若实时在线终端未通过安全审核，则转向步骤S3；

步骤S3，网络准入服务器根据基础数据库对实时在线终端进行安全认证：

若实时在线终端通过安全认证，则准许实时在线终端接入网络，并设置实时在线终端具有的第一访问权限，随后退出；

若实时在线终端未通过安全认证，则转向步骤S4；

步骤S4，网络准入服务器根据基础数据库对实时在线终端进行安全评估：

若实时在线终端通过安全评估，则准许实时在线终端接入网络，并设置实时在线终端具有的第二访问权限，随后退出；

若实时在线终端未通过安全评估，则拒绝实时在线终端接入网络，并生成相应的工单以供人工进行处理；

所述第一访问权限大于所述第二访问权限。

具体地，本实施例中，网络准入服务器进行网络准入控制的基础数据来源基础数据库，依据网络实时在线终端的全数据进行合规标准判断，对终端入网状态进行审批。上述全数据包括实时在线终端的在线状态、在线时间以及实时在线终端关联的安全产品信息等数据。对于实时在线终端依次进行安全审核、安全认证、安全评估，拒绝通过安全审核和安全认证，但未能通过安全评估的实时在线终端入网；安全审核合规的终端允许入网，安全审核不合规但通过安全评估，安全认证的终端进入隔离模式，进行安全整改，允许临时入网，上述隔离模式即对于该部分实时在线终端进行访问权限的限制，其中通过安全认证的实时在线终端的访问权限大于未通过安全认证但通过安全评估的实时在线终端。

本发明可以从多维度综合分析发现接入企业网络的网络终端，将众多产品的数据采集来源关联交换机发现的实时在线终端的MAC地址并整合到一起，深度对实时在线终端相关联属性分析，为终端资产、访客、员工通过笔记本、无线设备接入网络时做身份认证、终端合规检测以及准入控制，实现有线无线网络、员工、移动设备、身份安全认证、终端准入合规控制等特性。基于对用户身份的真实性以及终端风险进行多重验证，判断是否允许准入网络以及获得访问权限，实现双重可信，提升网络安全。

具体地，多维度发现网络终端，从核心交换机、接入交换机分别进行采集获取。多维度发现网络终端，增加终端采集覆盖面，解决单一的采集方式数据量少的问题，也避免了需额外安装代理问题。终端MAC地址作为唯一真实性标示，并以MAC为主键建立终端信息库。其中，从核心交换机ARP发现终端，比传统网络扫描IP更准确、更靠谱、更完整。因为网络IP会存在变动不能保证IP的唯一，同时比传统网络扫描更有效率，网络扫描花费时间长且容易被防火墙阻挡导致扫描失败。从接入交换机MAC发现终端，以终端MAC地址为唯一真实性标示。比网络扫描覆盖更广，只要终端接入网络就能被发现。交换机ARP采集：从交换机ARP获取MAC地址与IP地址，获取方式ssh，所需权限为登录权限。以终端MAC为唯一标识，每天建立一份MAC信息库。终端身份真实性关联以MAC地址作为唯一，MAC地址为网卡地址，它是一个用来确认企业终端的唯一标识。

根据实时在线终端对应的MAC地址，对采集结果进行整理分析得到基础数据库。具体为核心交换机ARP和接入交换机MAC的实时采集，完整地采集了全部实时在线终端，通过WMI信息、交换机端口、DHCP事件、宁盾系统、漏洞扫描、防病毒系统、防病毒安全事件、无线交换机的采集、以终端MAC为核心，汇聚了实时在线终端终端的完整在线状态和安全产品信息，该信息库也是终端活动和分析，安全认证和评估的基础信息库。将采集的多来源数据根据关联规则将零散的终端数据整合到一起，将多个平台数据在一个平台展现，减少多平台查询时间，提高效率，解决数据单一不全问题。

本发明的较佳的实施例中，步骤S2中，第一预设规则包括防病毒部署，和/或漏洞信息，和/或补丁信息，和/或防病毒事件，和/或TDA事件，和/或终端类型，和/或操作系统，和/或所在区域类型，和/或态势感知信息，和/或交换机信息，和/或终端信息，和/或终端在线时间，和/或流量信息，和/或主机名，和/或是否在资产登记库中。

具体地，本实施例中，安全审核过程可以通过多标准来对终端入网进行准许。具体包括：

防病毒部署：指定防病毒、防病毒版本、病毒库版本、代理版本、通信时间；

漏洞信息：包含指定漏洞号、终端漏洞风险值、高危漏洞号；

补丁信息：指定安装补丁号；

防病毒事件：单位时间内木马事件数、指定的病毒类型、感染传播目的的终端数、历史感染数、感染频率爆发数、感染文件路径；

TDA事件：单位时间内威胁事件数、指定的风险类型、高危或者指定的风险来源、历史威胁触发数、请求类型感染、是否威胁源与目的；

终端类型：根据接入的终端类型判断，PC，Mobile，MAC，Router，Switch，AP等；

操作系统：根据操作系统判断，XP,Win7,Linux,Win10等；

所在区域类型：根据终端所在区域类型判断，办公区，无线区，外部接入区，服务器区，管理区等；

态势感知信息：根据态势感知提供的风险信息；

交换机信息：根据是否有无交换机接入信息、交换机类型为AP还是核心或接入、交换机厂商为思科或者华为等；

终端来源：是否是新入网机器、是否是病毒处理机器、是否为历史任务处理终端；

终端在线时间：是否长期在线；

流量信息：接入交换机端口是否有大量流量下载；

主机名：主机名是否标准命名；

是否在资产登记库中：MAC,SN是否在资产登记库。

本发明的较佳的实施例中，步骤A2中，对安全产品信息进行数据采集具体包括：

WMI信息采集，和/或交换机端口信息采集，和/或主机名采集，和/或McAfee防病毒信息采集，和/或漏洞信息采集，和/或无线AP信息采集，和/或宁盾安全系统信息采集，和/或部门及楼宇信息采集，和/或用户信息采集，和/或安全事件采集。

具体地，本实施例中，WMI信息采集具体包括：运用WMI方式通过IP地址采集CPU、内存、主板序列号、安装程序信息、安装补丁信息，运行的进程信息、安装的服务软件信息、磁盘信息、网卡信息、账户信息等，需要域管理员权限。通过网卡MAC地址实现与MAC信息库进行数据关联。

交换机端口信息采集具体包括：运用SSH方式采集交换机端口、端口流量、端口描述、端口状态、VLAN信息、交换机名、交换机IP、交换机在线时间、端口终端MAC地址，需要交换机账户登录权限。通过端口终端MAC地址与MAC信息库进行数据关联。

主机名采集具体包括：采集syslog的DHCP事件获取MAC地址、IP地址、主机名信息，通过MAC地址与MAC信息库进行数据关联。。

McAfee防病毒信息采集具体包括：通过McAfee防病毒管理中心EPO采集防病毒产品版本，病毒库版本，引擎版本，主机名，主机操作系统，登录用户，域名，MAC地址等，通过MAC地址与MAC信息库进行数据关联。

漏洞信息采集具体包括：通过漏洞扫描产品对终端IP地址进行漏洞扫描，采集该IP的漏洞信息，MAC地址信息，操作系统信息等，通过MAC地址与MAC信息库进行数据关联。

无线AP信息采集具体包括：采集无线交换机获取AP信息，MAC地址，通过MAC地址关联AP信息，AP位置，AP管理地址。

宁盾安全系统信息采集具体包括：采集宁盾安全系统的信息：工号，MAC地址，手机号，通过MAC地址与MAC信息库进行数据关联。

部门及楼宇信息采集具体包括：通过获取的MAC地址关联IP地址，并通过IP地址关联所在的区域，部门，楼宇信息。

用户信息采集具体包括：通过获取的MAC地址获取对应的终端使用人的工号，并通过工号关联用户信息。

安全事件采集具体包括：采集McAfee防病毒事件、TDA防病毒事件、Symantec防病毒事件并通过事件中的MAC地址关联的IP地址与MAC信息库进行数据关联。

本发明的较佳的实施例中，执行步骤A2之后，还包括根据基础数据库进行数据综合分析，数据综合分析具体包括：

网络中终端资产总数分析，和/或终端移动位置分析，和/或终端新入网数，和/或终端离线时间分布，和/或终端防病毒部署率分析，和/或终端防病毒升级率分析，和/或终端在线及离线数分析，，和/或终端合规分析，和/或终端部门楼宇资产数分析，和/或部门楼宇病毒爆发数分析，和/或部门楼宇防病毒部署率分析，和/或交换机是否私接hub分析，和/或交换机端口使用数分析，和/或交换机端口使用流量分析。

本发明的较佳的实施例中，执行步骤A2之后，还包括根据基础数据库对实时在线终端进行终端追溯，终端追溯具体包括：

位置追溯，和/或接入方式追溯，和/或事件追溯，和/或接入IP追溯，和/或合规处理追溯。

具体地，本实施例中，位置追溯具体为：通过接入交换机位置进行位置追溯。

接入方式追溯具体为：通过接入无线接入点，交换机接口追溯接入网络形式。

事件追溯具体为：通过历史事件对终端进行历史风险事件追溯。

接入IP追溯具体为：通过历史终端信息追溯历史使用IP。

合规处理追溯具体为：通过历史任务处理追溯终端历史处理信息。

本发明的较佳的实施例中，执行步骤A2之后，还包括根据基础数据库对实时在线终端进行终端查询，终端查询具体包括：

终端位置查询，和/或终端用途查询，和/或终端无线接入查询，和/或终端所在区域查询，和/或终端关联风险查询，和/或终端历史数据查询，和/或终端类型查询。

具体地，本实施例中，终端位置查询具体为：通过终端接入的交换机接口知道终端所在位置。

终端用途查询具体为：通过终端接入的交换机接口描述知道终端所接入的用途，或者根据人工补全的终端描述了解终端用途。

终端无线接入查询具体为：通过无线控制器或宁盾知道终端接入的无线ssid接入点，登陆的用户，手机号，工号等，AP位置信息。

终端所在区域查询具体为：通过终端IP知道终端逻辑区域，办公区，服务器区，外部接入区，无线区等。

终端关联风险查询具体为：通过终端所关联的各平台风险事件，知道终端存在风险，比如防病毒事件，漏洞信息，补丁信息，TDA威胁信息。

终端历史数据查询具体为：通过历史数据查询，终端接入点是否固定，是否有移动位置。

终端类型查询具体为：通过终端类型知道终端属于PC，移动，操作系统等。

本发明的较佳的实施例中，步骤S2中，安全审核的审核内容具体包括：

防病毒部署，和/或漏洞信息，和/或补丁信息，和/或防病毒事件，和/或TDA事件，和/或终端类型，和/或操作系统，和/或所在区域类型，和/或态势感知信息，和/或交换机信息，和/或终端信息，和/或终端在线时间，和/或流量信息，和/或主机名，和/或是否在资产登记库中。

本发明的较佳的实施例中，步骤S3中，安全认证的认证内容具体包括：

资产认证，和/或入域认证，和/或终端在线，和/或交换机信息。

具体地，本实施例中，资产认证是指MAC是否在企业资产库中；判断MAC是否在企业资产库中,SN是否在企业资产库中；判断SN是否在企业资产库中。入域认证是指判断终端是否在域里。终端在线是指判断是否长期在线机器。交换机信息是指判断是否有频繁移动位置，交换机信息有改变，是否是固定机器。

本发明的较佳的实施例中，步骤S4中，安全评估的评估内容具体包括：

防病毒事件评估，和/或TDA事件评估，和/或态势事件评估，和/或多类型终端评估，和/或操作系统评估，和/或终端历史信息评估，和/或流量信息评估。

具体地，本实施例中，防病毒事件评估：可给予防病毒事件类别进行评分，是否作为攻击源，是否为严重的勒索病毒，木马或者病毒，历史触发情况，爆发数量，目的类型文件；

TDA事件评估：可给予TDA事件风险进行评分，是否高危攻击，攻击方式，攻击源是否是TOP 10等；

态势事件评估：根据态势感知提供的风险信息进行评估

多类型终端评估：可根据接入的终端类型判断，PC，Mobile，MAC，Router，Switch，AP等。

操作系统评估：可根据操作系统判断，XP，Win7，Linux，Win10等，依次分险值变低；

终端历史信息评估：根据终端历史处理情况进行评估,是否是新入网机器,是否是病毒处理机器,是否为历史任务处理终端

流量信息评估：判断该IP下载流量是否超出设定标准。

一种网络准入控制系统，应用以上任意一项的网络准入控制方法，如图3所示，具体包括：网络准入服务器1以及与网络准入服务器1连接的核心交换机2和接入交换机3；

网络准入服务器1具体包括：

数据获取模块11，用于获取核心交换机2与接入交换机3检测得到的实时在线终端，并根据实时在线终端建立MAC信息库；

MAC信息库中包括若干实时在线终端对应的MAC地址；

数据采集模块12，连接数据获取模块11，用于对网络中的安全产品信息进行数据采集，并根据MAC地址将数据采集结果与MAC信息库进行数据关联，以得到基础数据库；

基础数据库中包括若干MAC地址以及与MAC地址对应的实时在线终端的完整在线状态及安全产品信息；

终端检测模块13，用于实时检测网络中的实时在线终端；

第一数据处理模块14，分别连接数据采集模块12和终端检测模块13，用于根据基础数据库对实时在线终端进行安全审核，并在实时在线终端通过安全审核时准许实时在线终端接入网络，以及

在实时在线终端未通过安全审核时输出实时在线终端；

第二数据处理模块15，分别连接数据采集模块12和和第一数据处理模块14，用于根据基础数据库对实时在线终端进行安全认证，并在实时在线终端通过安全认证时准许实时在线终端接入网络，并设置实时在线终端具有的第一访问权限；以及

在实时在线终端未通过安全认证时输出实时在线终端；

第三数据处理模块16，分别连接数据采集模块12和和第二数据处理模块15，用于根据基础数据库对实时在线终端进行安全评估，并在实时在线终端通过安全评估，则准许实时在线终端接入网络，并设置实时在线终端具有的第二访问权限；以及

在实时在线终端未通过安全评估时拒绝实时在线终端接入网络，并生成相应的工单以供人工进行处理；

所述第一访问权限大于所述第二访问权限。

具体地，本实施例中，对实时在线终端的网络准入控制包括设置多种控制模式，具体包括：

监控模式：针对所有区域的实时在线终端终端，多维度分析合格标准判断入网，即实时在线终端始终处于监控状态，一旦发现不符合入网标准，实时调整其访问权限，甚至对其进行断网处理，以保障网络安全；

隔离模式：针对部分重要网络资源限制访问，即对通过安全认证的实时在线终端通过限制其具有第一访问权限，以对该实时在线终端进行隔离，以保障重要网络资源的安全；

严格模式：针对办公区域的终端，出现任意审核项目不合规，或者安全评分低，拒绝入网整改，即对于通过安全评估的实时在线终端通过限制其具有第二访问权限，其中第二访问权限小于第一访问权限；

工单模式：针对重要区域终端比如服务器区域，保证业务正常，仅进行记录下发工单，人工处理，即对于未通过安全评估的实时在线终端，网络准入服务器在拒绝其入网的同时，下发工单至相应的维护人员，以对该实时在线终端进行维护整改。

本发明的一个较佳的实施例中，本发明的技术方案用于进行终端查询，具体为TDA中报某IP：172.16.245.13地址连接勒索病毒服务器，处理人员需要知道该终端的详细信息以便去现场处理，事实上一个IP地址不会告诉他知道终端的归属信息，比如主机名，使用人是谁，所属部门，楼层楼宇等信息，于是他通过此系统，输入IP查询，知道终端威胁事件发生时的MAC地址，再根据MAC地址关联发现，这个终端的主机名，操作系统，接入位置，接入方式，以及登陆账户，姓名，终端区域，防病毒信息，漏洞信息，补丁信息，防病毒事件等。处理人根据这些信息找到所属人电话姓名，通过电话沟通发现当前终端在12号办公楼18楼1821室，与关联出的部门楼宇信息一致，接着处理人查询发现该防病毒没有安装正常，需要重新安装，于是生成一个处理任务，对该终端进行断网处理，断网后处理人到达现场进行安装防病毒，安装正常后恢复入网，在恢复入网后又发现操作系统漏洞太多，需要安装补丁，再处理完毕后，系统不再提示有不合规项目，任务处理完成。

本发明的另一个较佳的实施例中，本发明的技术方案用于进行终端追溯，具体为安全部同事发邮件给运维部处理人提供一个风险IP，说三天前，这个IP有向其他内网终端发起网络攻击，希望处理人去现场看看该终端系统环境。于是处理人使用该系统关联查询该终端信息，发现通过IP查询不到终端信息，想到威胁事件是三天前，于是查询历史终端数据，找到这台终端，对比数据后发现，该终端是笔记本，三天前接入的是有线办公网，当前接入的是无线网访客ssid的无线接入点，这种访客ssid位置只会在一楼大厅才有，由于无线ssid分配的IP地址不一样，当前使用的IP刷新掉了三天前的IP地址，才导致查询不到。最后该处理人根据查询到的信息找到这台终端，并且跟所属人了解到三天前有下载安装了一款破解软件，该软件未报毒，但网络行为可疑。

以上所述仅为本发明较佳的实施例，并非因此限制本发明的实施方式及保护范围，对于本领域技术人员而言，应当能够意识到凡运用本说明书及图示内容所作出的等同替换和显而易见的变化所得到的方案，均应当包含在本发明的保护范围内。

Claims (9)

1.一种网络准入控制方法，其特征在于，于网络中预先配置一网络准入服务器，所述网络准入服务器根据预先生成的基础数据库对实时在线终端进行网络准入控制；

所述网络中还配置有核心交换机以及接入交换机，所述核心交换机和所述接入交换机分别连接所述网络准入服务器，

则所述基础数据库的生成过程具体包括：

步骤A1，所述网络准入服务器通过所述核心交换机与所述接入交换机分别对所述网络中接入的所有终端设备进行实时发现，并根据发现的实时在线终端建立MAC信息库；

所述MAC信息库中包括若干所述实时在线终端对应的MAC地址；

步骤A2，所述网络准入服务器对所述网络中的安全产品信息进行数据采集，并根据所述MAC地址将数据采集结果与所述MAC信息库进行数据关联，以得到所述基础数据库；

所述基础数据库中包括若干所述MAC地址以及与所述MAC地址对应的所述实时在线终端的完整在线状态及所述安全产品信息；

所述网络准入控制方法具体包括：

步骤S1，所述网络准入服务器实时检测网络中的所述实时在线终端；

步骤S2，所述网络准入服务器根据所述基础数据库对所述实时在线终端进行安全审核：

若所述实时在线终端通过所述安全审核，则准许所述实时在线终端接入网络，随后退出；

若所述实时在线终端未通过所述安全审核，则转向步骤S3；

步骤S3，所述网络准入服务器根据所述基础数据库对所述实时在线终端进行安全认证：

若所述实时在线终端通过所述安全认证，则准许所述实时在线终端接入网络，并设置所述实时在线终端具有的第一访问权限，随后退出；

若所述实时在线终端未通过所述安全认证，则转向步骤S4；

步骤S4，所述网络准入服务器根据所述基础数据库对所述实时在线终端进行安全评估：

若所述实时在线终端通过所述安全评估，则准许所述实时在线终端接入网络，并设置所述实时在线终端具有的第二访问权限，随后退出；

若所述实时在线终端未通过所述安全评估，则拒绝所述实时在线终端接入网络，并生成相应的工单以供人工进行处理；

所述第一访问权限大于所述第二访问权限。

2.根据权利要求1所述的网络准入控制方法，其特征在于，所述步骤A2中，对所述安全产品信息进行数据采集具体包括：

WMI信息采集，和/或交换机端口信息采集，和/或主机名采集，和/或McAfee防病毒信息采集，和/或漏洞信息采集，和/或无线AP信息采集，和/或宁盾安全系统信息采集，和/或部门及楼宇信息采集，和/或用户信息采集，和/或安全事件采集。

3.根据权利要求1所述的网络准入控制方法，其特征在于，执行所述步骤A2之后，还包括根据所述基础数据库进行数据综合分析，所述数据综合分析具体包括：

网络中终端资产总数分析，和/或终端移动位置分析，和/或终端新入网数，和/或终端离线时间分布，和/或终端防病毒部署率分析，和/或终端防病毒升级率分析，和/或终端在线及离线数分析，，和/或终端合规分析，和/或终端部门楼宇资产数分析，和/或部门楼宇病毒爆发数分析，和/或部门楼宇防病毒部署率分析，和/或交换机是否私接hub分析，和/或交换机端口使用数分析，和/或交换机端口使用流量分析。

4.根据权利要求1所述的网络准入控制方法，其特征在于，执行所述步骤A2之后，还包括根据所述基础数据库对所述实时在线终端进行终端追溯，所述终端追溯具体包括：

位置追溯，和/或接入方式追溯，和/或事件追溯，和/或接入IP追溯，和/或合规处理追溯。

5.根据权利要求1所述的网络准入控制方法，其特征在于，执行所述步骤A2之后，还包括根据所述基础数据库对所述实时在线终端进行终端查询，所述终端查询具体包括：

终端位置查询，和/或终端用途查询，和/或终端无线接入查询，和/或终端所在区域查询，和/或终端关联风险查询，和/或终端历史数据查询，和/或终端类型查询。

6.根据权利要求1所述的网络准入控制方法，其特征在于，所述步骤S2中，所述安全审核的审核内容具体包括：

防病毒部署，和/或漏洞信息，和/或补丁信息，和/或防病毒事件，和/或TDA事件，和/或终端类型，和/或操作系统，和/或所在区域类型，和/或态势感知信息，和/或交换机信息，和/或终端信息，和/或终端在线时间，和/或流量信息，和/或主机名，和/或是否在资产登记库中。

7.根据权利要求1所述的网络准入控制方法，其特征在于，所述步骤S3中，所述安全认证的认证内容具体包括：

资产认证，和/或入域认证，和/或终端在线，和/或交换机信息。

8.根据权利要求1所述的网络准入控制方法，其特征在于，所述步骤S4中，所述安全评估的评估内容具体包括：

防病毒事件评估，和/或TDA事件评估，和/或态势事件评估，和/或多类型终端评估，和/或操作系统评估，和/或终端历史信息评估，和/或流量信息评估。

9.一种网络准入控制系统，其特征在于，应用如权利要求1-8中任意一项所述的网络准入控制方法，所述网络准入控制系统具体包括：网络准入服务器以及与网络准入服务器连接的核心交换机和接入交换机网络；

所述网络准入服务器具体包括：

数据获取模块，用于获取所述核心交换机与所述接入交换机检测得到的实时在线终端，并根据所述实时在线终端建立MAC信息库；

所述MAC信息库中包括若干所述实时在线终端对应的MAC地址；

数据采集模块，连接所述数据获取模块，用于对所述网络中的安全产品信息进行数据采集，并根据所述MAC地址将数据采集结果与所述MAC信息库进行数据关联，以得到所述基础数据库；

所述基础数据库中包括若干所述MAC地址以及与所述MAC地址对应的所述实时在线终端的完整在线状态及所述安全产品信息；

终端检测模块，用于实时检测网络中的所述实时在线终端；

第一数据处理模块，分别连接所述数据采集模块和所述终端检测模块，用于根据所述基础数据库对所述实时在线终端进行安全审核，并在所述实时在线终端通过所述安全审核时准许所述实时在线终端接入网络，以及

在所述实时在线终端未通过所述安全审核时输出所述实时在线终端；

第二数据处理模块，分别连接所述数据采集模块和和所述第一数据处理模块，用于根据所述基础数据库对所述实时在线终端进行安全认证，并在所述实时在线终端通过所述安全认证时准许所述实时在线终端接入网络，并设置所述实时在线终端具有的第一访问权限；以及

在所述实时在线终端未通过所述安全认证时输出所述实时在线终端；

第三数据处理模块，分别连接所述数据采集模块和和所述第二数据处理模块，用于根据所述基础数据库对所述实时在线终端进行安全评估，并在所述实时在线终端通过所述安全评估，则准许所述实时在线终端接入网络，并设置所述实时在线终端具有的第二访问权限；以及

在所述实时在线终端未通过所述安全评估时拒绝所述实时在线终端接入网络，并生成相应的工单以供人工进行处理；

所述第一访问权限大于所述第二访问权限。