>>>>>信息安全工程师培训视频

      全国计算机技术与软件专业技术资格（水平）考试，这门新开的信息安全工程师分属该考试“信息系统”专业，位处中级资格。教材《信息安全工程师教程》及考试大纲于7月1日出版，希赛小编整理了信息安全工程师教程学习笔记之身份认证技术，供大家参考学习。

      准入控制技术

      企事业机构网络系统，在安装防火墙、漏洞扫描系统、入侵检测系统和病毒检测软件等安全设施后，仍可能遭受恶意攻击。其主要原因是一些用户不能及时安装系统漏洞补丁和升级病毒库等，为网络系统带来安全隐患。

      思科（Cisco）公司在2003年11月，为了应对网络安全中出现的这种情况，率先提出了网络准入控制（Network Admission Control，NAC）和自防御网络（SDN）的概念，并联合Network Associates、Symantec、Trend Micro及IBM等厂商共同开发和推广NAC。微软公司也迅速做出反应，提供了具有同样功能的网络准许接入保护方案（Network Access Protection，NAP）。思科公司的NAC和微软的NAP其原理和本质是一致的，不仅对用户身份进行认证，还对用户的接入设备进行安全状态评估（包括防病毒软件、系统补丁等），使每个接入点都具有较高的可信度和健壮性，从而保护网络基础设施。

      随后，国内外厂商在准入控制技术产品开发方面进行一场激烈的竞争。思科公司于2004年推出准入控制产品解决方案之后，华为公司也紧随其后，于2005年上半年推出了端点准入防御（Endpoint Admission Defense，EAD）产品，SYGATE也于2005年6月公布了SNAC通用解决方案。

      准入控制技术方案比较

      思科公司的NAC或微软公司的NAP，还是华为公司的EAD，都是专用的准入控制系统。不同厂商的准入控制方案虽然在原理上基本类似，但是，具体实现方式各不相同。主要区别体现在以下4个方面。

      1）选取协议

      思科公司及华为公司选择的是EAP协议、RADIUS协议和802.1x协议实现准入控制。微软则选择DHCP和RADIUS协议来实现。

      2）身份认证管理方式

      思科公司、华为公司和微软公司在后台都选择使用RADIUS服务器作为认证管理平台；华为公司主要以用户名和密码方式进行身份认证，思科公司选择了采用证书方式管理用户身份方式；微软暂时还没有推出具体的产品。

      3）策略管理

      各厂家都选择了集中式控制管理方式。策略控制和应用策略服务器（通常是RADIUS服务器）和第三方的软件产品（病毒库管理及系统补丁等）协作进行；用户资料和准入策略由统一的管理平台负责。

      4）准入控制

      思科和华为的准入控制原理大同小异，利用本公司特定的网络设备来实现；微软由于没有控制网络基础设施的产品，选择了通过DHCP服务器来控制准入流程。

      准入控制技术中的身份认证

      身份认证技术的发展过程，从软件到软硬件结合，从单一因子认证到双因素认证，从静态认证到动态认证。目前常用的身份认证方式包括：用户名/密码方式、公钥证书方式、动态口令方式等。无论单独采用哪种方式，都有其优劣。如采用用户名/密码方式，用户名及弱密码容易被窃取或攻击；而采用公钥证书，又涉及到证书生成、发放、撤销等复杂的管理问题；私钥的安全性也取决于个人对私钥的保管。

      身份认证技术的安全性，关键在于组织采取的安全策略。身份认证技术必须满足组织机构的对网络安全的具体实际需求，并能够认真完整地执行安全管理策略。

      身份认证是网络准入控制的基础。在各种准入控制方案中，都采用了身份认证技术。目前，身份认证管理技术和准入控制进一步融合，向综合管理和集中控制方向发展。

      准入控制技术的现状与发展

      准入控制技术发展很快，并出现各种方案整合的趋势。各主要厂商在突出发展本身准入控制方案的同时也加大了厂商之间的合作力度。思科和微软都承诺支持对方的准入控制计划，并开放自己的API。准入控制标准化工作也在加快进行。在2004年5月，可信计算组织（Trusted Computing Group，TCG）成立了可信网络连接（Trusted Network Connect，TNC）分组，TNC计划为端点准入强制策略开发一个对所有开发商开放的架构规范，从而保证各个开发商端点准入产品的可互操作性。这些规范将利用现存的工业标准，并在需要的时候开发新的标准和协议。

      TNC的成立促进了标准化的快速发展，许多重要的网络和安全公司如Foundry、Sygate、Juniper、Trend Micro、Symantec和Zone Labs等都加入了TNC组织。TNC希望通过构建框架和规范保证互操作性，这些规范将包括端点的安全构建之间、端点主机和网络设备之间，以及网络设备之间的软件接口和通信协议。现在，准入控制正在向标准化、软硬件相结合的方向发展。

    返回目录：信息安全工程师教程学习笔记之信息系统安全工程

    希赛软考网，拥有十四年软考培训经验，希赛网一直坚持自主研发，将丰富的软考培训经验有效融入教程研发过程，自成体系的软考在线题库（软考历年真题）、软考培训教材和软考视频教程，多样的培训方式包括在线辅导、面授、和，使考生的学习更具系统性，辅导更具针对性。采用全程督学机制，，软考平均通过率在全国。