新一代网络安全接入技术对比分析

1

当传统的终端安全技术(Antivirus、Desktop Firewall等)努力保护被攻击的终端时，它们对于保障企业网络的可使用性却无能为力，更不要说能确保企业的d性与损害恢复能力。

针对于此，目前出现了几种安全接入技术，这些技术的主要思路是从终端着手，通过管理员指定的安全策略，对接入私有网络的主机进行安全性检测，自动拒绝不安全的主机接入保护网络直到这些主机符合网络内的安全策略为止。目前具有代表性的技术包括:思科的网络接入控制NAC技术，微软的网络接入保护技术NAP以及TCG组织的可信网络连接TNC技术等。

综上所述，NAC和NAP的优势在于其背后拥有思科、微软这样的网络与 *** 作系统的巨头，这些技术将随着其下一代产品同时绑定发布。NAC目前已经随思科的新一代网络设备一起，在2004年开始推向市场，而NAP则计划于2006年年底，随微软的Windows Vista *** 作系统一起，推向市场。而TNC的优势在于其开放性，目前TNC规范已经发展到11版本，TCG组织的成员都可以对其提出自己的意见，并且由于技术的开放，所以国内厂商也可以自主研发相关产品，例如之前的TPM一样，可以拥有自主知识产权。

NAC技术

网络接入控制(Network Access Control，简称NAC)是由思科(Cisco)主导的产业级协同研究成果，NAC可以协助保证每一个终端在进入网络前均符合网络安全策略。

NAC技术可以提供保证端点设备在接入网络前完全遵循本地网络内需要的安全策略，并可保证不符合安全策略的设备无法接入该网络、并设置可补救的隔离区供端点修正网络策略，或者限制其可访问的资源。

NAP技术

网络访问保护NAP技术(Network Access Protection)是为微软下一代 *** 作系统Windows Vista和Windows Server Longhorn设计的新的一套 *** 作系统组件，它可以在访问私有网络时提供系统平台健康校验。NAP平台提供了一套完整性校验的方法来判断接入网络的客户端的健康状态，对不符合健康策略需求的客户端限制其网络访问权限。

为了校验访问网络的主机的健康，网络架构需要提供如下功能性领域:

健康策略验证:判断计算机是否适应健康策略需求。

网络访问限制:限制不适应策略的计算机访问。

自动补救:为不适应策略的计算机提供必要的升级，使其适应健康策略。

动态适应:自动升级适应策略的计算机以使其可以跟上健康策略的更新。

2

TNC技术

可信网络连接技术TNC(Trusted Network Connection)是建立在基于主机的可信计算技术之上的，其主要目的在于通过使用可信主机提供的终端技术，实现网络访问控制的协同工作。又因为完整性校验被终端作为安全状态的证明技术，所以用TNC的权限控制策略可以估算目标网络的终端适应度。TNC网络构架会结合已存在的网络访问控制策略(例如8021x、IKE、Radius协议)来实现访问控制功能。

TNC构架的主要目的是通过提供一个由多种协议规范组成的框架来实现一套多元的网络标准，它提供如下功能:

平台认证:用于验证网络访问请求者身份，以及平台的完整性状态。

终端策略授权:为终端的状态建立一个可信级别，例如:确认应用程序的存在性、状态、升级情况，升级防病毒软件和IDS的规则库的版本，终端 *** 作系统和应用程序的补丁级别等。从而使终端被给予一个可以登录网络的权限策略从而获得在一定权限控制下的网络访问权。

访问策略:确认终端机器以及其用户的权限，并在其连接网络以前建立可信级别，平衡已存在的标准、产品及技术。

评估、隔离及补救:确认不符合可信策略需求的终端机能被隔离在可信网络之外，如果可能执行适合的补救措施。

3

对比分析

以上可以看出，NAC、NAP和TNC技术的目标和实现技术具有很大相似性。

首先，其目标都是保证主机的安全接入，即当PC或笔记本接入本地网络时，通过特殊的协议对其进行校验，除了验证用户名密码、用户证书等用户身份信息外，还验证终端是否符合管理员制定好的安全策略，如: *** 作系统补丁、病毒库版本等信息。并各自制定了自己的隔离策略，通过接入设备(防火墙、交换机、路由器等)，强制将不符合要求的终端设备隔离在一个指定区域，只允许其访问补丁服务器进行下载更新。在验证终端主机没有安全问题后，再允许其接入被保护的网络。

其次，三种技术的实现思路也比较相似。都分为客户端、策略服务以及接入控制三个主要层次。NAC分为:Hosts Attempting Network Access、Network Access Device、Police Decision Points三层;NAP分为:NAP客户端、NAP服务器端、NAP接入组件(DHCP、***、IPsec、8021x);TNC分为AR、PEP、PDP三层。

同时，由于三种技术的发布者自身的背景，三种技术又存在不同的偏重性。NAC由于是CISCO发布的，所以其构架中接入设备的位置占了很大的比例，或者说NAC自身就是围绕着思科的设备而设计的;NAP则偏重在终端agent以及接入服务(***、DHCP、8021x、IPsec组件)，这与微软自身的技术背景也有很大的关联;而TNC技术则重点放在与TPM绑定的主机身份认证与主机完整性验证，或者说TNC的目的是给TCG发布的TPM提供一种应用支持。

从发展上来说，目前NAC与NAP已经结为同盟，即网络接入设备上采用思科的NAC技术，而主机客户端上则采用微软的NAP技术，从而达到了两者互补的局面，有利于其进一步发展。而TNC则是由TCG组织成员Intel、HP、DELL、Funk等企业提出的，目标是解决可信接入问题，其特点是只制定详细规范，技术细节公开，各个厂家都可以自行设计开发兼容TNC的产品，并可以兼容安全芯片TPM技术。

一个案例，请参考

TPM推进过程，一共经历四个阶段：

一、TPM准备阶段201021—201041。市场调研、聘请咨询、计划拟定。

二、TPM导入阶段201041—20101230。

1、TPM启动。2010年4月1日，华友《TPM-全员生产维护管理》启动大会仪式在科技楼5楼会议厅胜利召开，生产副总为TPM导入推进小组组长，设备部、精益管理部部门负责人为小组副组长，各制造部门部门负责人为小组成员。

2、TPM培训教育。外聘咨询师对华友TPM前期开展进行培训教育，包括TPM小组活动开展、现场改善、OPL教育、设备 *** 作规程及清洁标准等。

3、TPM示范点。由外聘咨询师对各制造部门进行现场检查后，选取四个TPM示范点进行宣讲，以此开展各制造部门TPM现场改善工作。

4、TPM示范点标准看板。设备基础知识介绍、作业指导书、设备清洁标准、点检标准、润滑标准，使TPM示范点更加全面。

5、OPL教育（十分钟教育）。快速、有效、方便地使员工掌握本岗位设备的结构原理及 *** 作技巧等。

6、现场改善。各制造部门在TPM导入推进小组带领下

三、TPM“榜样在前”阶段201111—2011330。

1、修订完善TPM管理制度，修订优胜单位和优胜小组评比规则。

2、TPM工作常规化，每月4次TPM现场检查，及时发布检查情况并跟踪整改，设立难点申报和计划解决；月底优胜单位和小组评比并召开TPM总结会。

3、建立完善车间推行机构并成立TPM活动小组，开展维护、改善活动。

4、初步制定了自主维护合理化建议管理规定，设计活动小组管理看板，开展活动小组看板管理。

5、在制造部门先后成立27个TPM小组，小组区域覆盖了所有的A类设备，其他BC类设备大部分也得到保养，后期还将继续扩大保养范围，基本覆盖车间所有设备。

6、注重可视化管理，组织制做现场维护基准看板、制定保养标准，设计TPM活动小组管理看板。

7、积极与外部老师交流，查找自己的不足，吸取外部经验和资源，强化公司TPM自主管理。

四、TPM全面推广阶段201141—现在。

1、修订《TPM检查管理办法》，2012年1-3月；根据开展实际情况，修改了原有制度不合理地方，补充完善不足。

2、注重可视化管理，完善现场标识，组织制作现场维护基准看板、制定保养标准，设计TPM 活动小组管理看板，现场看板起到了教育宣传鼓励效果。

3、运用奖励机制鼓励先进，每月进行TPM活动评比总结，对优秀小组集体进行奖励，设立多种奖项，鼓励职工提出好的合理化建议。制定了自主维护合理化建议管理规定，启发更多的人员参与合理化改善提案和进行现场改善。

4、开展教育培训，每月至少一次对车间TPM专员及小组长开展TPM知识及技能培训，开展TPM知识普及教育， 对参与TPM小组人员每月每人5题应知应会活动，每月考试问答。

5、发动宣传、鼓动士气，将优秀集体、TPM小组在华友电视播放，鼓励车间积极报道TPM活动事迹。

6、开展交流学习，提高TPM管理水平。积极与外部老师交流，查找自己的不足，吸取外部经验和资源，强化公司TPM自主管理。

7、注重新生力量教育培训，每年公司招纳大量大学生和新员工，我们编制了新员工入岗TPM培训教材，并实施教育。

8、TPM细化工作。TPM推进过程分段进行，明确阶段目标，活动尽量多样化，如开展保持活动、和改善活动、合理化提案活动、看板管理活动等；TPM活动的每一阶段都按照PDCA法则进行，计划、实施、检查、改进；随着改进活动的不断开展，各个目标逐一实现，TPM管理水平便可逐步得以提升。

一、预防性维修特别重要设备管理的发展历程，一直以来都是伴随着企业生产管理和质量管理的要求而进步，也在不断地寻求自己的价值体现和定位。在这个持续进化的过程中，设备管理也在持续借鉴吸收生产管理和质量管理领域的一些精华，逐步形成自己的体系及运作机制。我们知道，从最基本的管理诉求来说，企业追求的是设备投入产出最大化，也就是追求设备利用和运营效率的最大化。从这个意义上来分析，我们就不难理解设备管理从"事后维修"发展到"预防维修"阶段的原动力。因为必须要解决好设备突发故障对生产计划的干扰和产品质量的负面影响，才有可能来谈论效率最大化的问题。所以说，如何有效"预防"突出故障的发生，就成为所有设备管理者首先要去思考和解决好的问题，做好"预防"，就成为搞好设备管理工作的第一个关键词。二、所有的设备都需要预防性维修鱼和熊掌如何兼得如何在既要马儿跑得快身体好的同时少吃草成为摆在设备管理者面前的绕不开的难题，我们必须为这种两难需求突破。因为我们要关注"突发设备停机导致的损失"与"为了预防这类损失而做的投入"之间的平衡关系，所以任何一种极端做法都是不可取的。既然并不是所有的设备都需要做预防性维修，既然企业应该需求一种综合费用最优的模式，这里面就牵涉一个维修策略的应用问题。也就是说，需要根据设备故障特征进行分类，辅以不同的维修策略，以达到综合费用最优。"维修策略"的有效运用，就成为搞好设备管理应该把握的第二个关键词。三、综合工程学和全寿命周期概念设备综合工程学是结合系统工程的理论与研究成果对设备管理的系统思考。也是一种从系统整体优化的角度考虑设备维修与管理问题的管理思想。也就是说，要用系统工程的思想来看待设备系统，从设备一生管理这个全局出发，对技术、经济、组织进行整体规划和优化，以达到花费少、效率高这个最佳效果。深入领会设备综合工程学的精髓，并在实践中建立设备全寿命周期管理的系统模式，就可以站在全局而不是某个阶段、某个领域来考虑设备管理与维修的得失问题。所以"设备全寿命周期管理"是做好设备管理工作的第三个关键词。四、全员参加设备管理非常重要从实际的实践效果看，全员参与设备维护是一种有效、低成本和直接的设备管理与维护理念，不仅有效将设备故障识别与消除在萌芽状态，更有效地将维修人员从大量的、频发、低水准、被动地应付现场故障的恶性循环中解脱出来，有时间有精力思考更深层面的设备管理和维修方面的问题，更好地思考设备故障深层次劣化的规律与掌控手段，也便于更好地开展有效的预防性维修。“华致赢企管”的管理咨询及培训领域涉及：现场改善、工业工程IE、5S/6S管理、QCC(品质控制圈)、TQM(全面质量管理)、VSM(价值流管理)、TPM(全面生产维护)、精益生产管理、精益供应链管理(精益采购、精益物流、精益供应链)、精益组织及精益领导力。

在Windows *** 作系统中 任务栏的右边(托盘)会常驻几个图标 如输入法切换图标 音量控制图标等 此外我们还经常遇到具有托盘图标的软件 如金山词霸 实时监测功能的杀毒软件等 这些软件在后台运行 通常不占用太多的屏幕资源 只在通知栏上放一个小小的标志 必要时我们可以通过用鼠标点击图标对其进行选单 *** 作或激活其主窗口 有时我们自己编写的程序也希望有类似的效果 本文将详细地介绍用VC设计托盘图标程序的方法 一 NOTIFYICONDATA结构 NOTIFYICONDATA结构包含了系统用来处理托盘图标的信息 它包括选择的图标 回调消息 提示消息和图标对应的窗口等内容 其定义为 typedef struct—NOTIFYICONDATA { DWORD cbSize; //以字节为单位的这个结构的大小 HWND hWnd; //接收托盘图标通知消息的窗口句柄 UINT uID; //应用程序定义的该图标的ID号 UINT uFlags; //设置该图标的属性 UINT uCallbackMessage; //应用程序定义的消息ID号 此消息传递给hWnd HICON hIcon; //图标的句柄 char szTip[ ]; //鼠标停留在图标上显示的提示信息 } NOTIFYICONDATA PNOTIFYICONDATA; 该结构中 成员uFlags可以是下列的组合或其中之一 NIF_ICON 设置成员hIcon有效 NIF_MESSAGE 设置成员uCallbackMessage有效 NIF_TIP 设置成员szTip有效 二 Shell_NotifyIcon函数 全局函数Shell_NotifyIcon()用于在托盘上增加 删除或修改图标 其原型为 WINSHELLAPI BOOL WINAPI Shell_NotifyIcon( DWORD dwMessage PNOTIFYICONDATA pnid); Pnid是上面的NOTIFYICONDATA结构的指针 dwMessage是被传递的消息 可以是以下消息之一 NIM_ADD 增加图标 NIM_DELETE 删除图标 NIM_MODIFY 修改图标 三 托盘图标程序设计示例 首先我们用AppWizard创建一个不基于文档和视图结构的应用程序Tray 我们并不想在应用程序启动时显示主窗口 所以需要删除应用程序类CTrayApp中成员函数InitInstance()的以下两句代码 pFrame 〉ActivateFrame(); pFrame 〉ShowWindow(SW_SHOW); 在CMainFrame类中加入NOTIFYICONDATA结构的保护成员变量m_tnid 并在其OnCreate函数中return语句前加入生成托盘图标的代码 m_tnid cbSize=sizeof(NOTIFYICONDATA); m_tnid hWnd=this 〉m_hWnd; m_tnid uFlags=NIF_MESSAGE|NIF_ICON|NIF_TIP; m_tnid uCallbackMessage=MYWM_NOTIFYICON;

//用户定义的回调消息 CString szToolTip; szToolTip=_T( 托盘图标实例 ); _tcscpy(m_tnid szTip szToolTip); m_tnid uID=IDR_MAINFRAME; HICON hIcon; hIcon=AfxGetApp() 〉LoadIcon(IDR_MAINFRAME); m_tnid hIcon=hIcon; ::Shell_NotifyIcon(NIM_ADD &&m_tnid); if(hIcon)::DestroyIcon(hIcon); 返回消息的ID应在主框架类的头函数中定义 #define MYWM_NOTIFYICON WM_USER+ 为了处理图标返回消息 如鼠标左键双击 鼠标右键单击消息 我们重载WindowProc()函数 此外 我们还希望在主框架窗口最小化时图标不在任务栏的空白区出现 在此函数中同时作相应处理 LRESULT CMainFrame::WindowProc(UINT message WPARAM wParam LPARAM lParam) { switch(message){ case MYWM_NOTIFYICON: //如果是用户定义的消息 if(lParam==WM_LBUTTONDBLCLK){ //鼠标双击时主窗口出现 AfxGetApp() 〉m_pMainWnd 〉ShowWindow(SW_SHOW); } else if(lParam==WM_RBUTTONDOWN){ //鼠标右键单击d出选单 CMenu menu; menu LoadMenu(IDR_RIGHT_MENU); //载入事先定义的选单 CMenupMenu=menu GetSubMenu( ); CPoint pos; GetCursorPos(&&pos); pMenu 〉TrackPopupMenu(TPM_LEFTALIGN|TPM_RIGHTBUTTON pos x pos y AfxGetMainWnd()); } break; case WM_SYSMAND: //如果是系统消息 if(wParam= =SC_MINIMIZE){ //接收到最小化消息时主窗口隐藏 AfxGetApp() 〉m_pMainWnd 〉ShowWindow(SW_HIDE); return ; } break; } return CFrameWnd::WindowProc(message wParam lParam); } 为使应用程序退出时图标消失 映射WM_DESTROY消息 在OnDestroy()函数中加入 ::Shell_NotifyIcon(NIM_DELETE &&m_tnid); 至此 托盘图标程序的常规功能我们均已实现 我们还可以通过Shell_NotifyIcon()函数的调用实现不同状态下图标的改变 本程序在VC++ Windows / Professional下调试通过 lishixinzhi/Article/program/net/201311/11634

以上就是关于新一代网络安全接入技术对比分析全部的内容，包括:新一代网络安全接入技术对比分析、生产车间TPM/6S如何开展、如何做好TPM管理等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！