[发明专利]一种网络准入控制方法及系统

说明书

本发明提供一种网络准入控制方法及系统，涉及网络安全技术领域，包括检测网络中的实时在线终端；根据基础数据库对实时在线终端进行安全审核：若通过安全审核，则准许实时在线终端接入网络；若未通过安全审核，根据基础数据库对实时在线终端进行安全认证：若通过安全认证，则准许实时在线终端接入网络，并设置第一访问权限；若未通过安全认证，根据基础数据库对实时在线终端进行安全评估：若通过安全评估，则准许实时在线终端接入网络，并设置第二访问权限；若未通过安全评估，则拒绝实时在线终端进入网络。本发明对用户身份的真实性以及终端风险进行多重验证，实现网络准入控制及获得访问权限，提升网络安全。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种网络准入控制方法及系统。

背景技术

随着计算机技术和网络通信技术的发展、融合，终端安全管理对每个企业来说都是越来越重要，良好的终端安全控制技术能够保证企业的安全策略真正得到实施，有效的控制各种非法安全事件，最大程度的遏制网络中屡禁不绝的恶意攻击和破坏。目前，在企业网络中，用户的终端计算机不及时升级系统补丁和病毒库、私设代理服务器、私自访问外部网络、滥用企业禁用软件的行为比比皆是，脆弱的用户终端一旦接入网络，就等于给潜在的安全威胁敞开了大门，使安全威胁在更大范围内快速扩散，进而导致网络使用行为的“失控”。保证用户终端的安全、阻止威胁入侵网络，对用户的网络访问行为进行有效的控制，是保证企业网络安全运行的前提，也是目前企业急需解决的问题。

现有技术中，网络准入控制技术包括基于IP-MAC绑定的准入技术、802.1X准入控制技术、DHCP准入控制技术、网关型准入控制技术、MVG准入控制技术及ARP型准入控制技术等。基于IP-MAC绑定的准入技术是指通过在终端计算机接入网络的设备上设置访问控制列表或静态ARP表，只允许绑定了IP和MAC的计算机上网。网关型准入控制技术是在网络出口假设网关设备，由准入控制服务器控制网关设备对终端计算机访问外网进行控制。但由于目前的数据采集方式比较单一，导致采集得到的数据量少却不够全面，进而导致对于网络准入控制存在漏洞，无法有效保证网络安全。传统额外安装代理进行数据采集的方式虽然增加采集得到的数据量，但操作比较复杂，设备的增加同时增加了相应的安全风险。

发明内容

针对现有技术中存在的问题，本发明提供一种网络准入控制方法，于网络中预先配置一网络准入服务器，所述网络准入服务器根据预先生成的基础数据库对实时在线终端进行网络准入控制；

网络中还配置有核心交换机以及接入交换机，所述核心交换机和所述接入交换机分别连接所述网络准入服务器，

则所述基础数据库的生成过程具体包括：

步骤A1，所述网络准入服务器通过所述核心交换机与所述接入交换机分别对所述网络中接入的所有终端设备进行实时发现，并根据发现的实时在线终端建立MAC信息库；

所述MAC信息库中包括若干所述实时在线终端对应的MAC地址；

步骤A2，所述网络准入服务器对所述网络中的安全产品信息进行数据采集，并根据所述MAC地址将数据采集结果与所述MAC信息库进行数据关联，以得到所述基础数据库；

所述基础数据库中包括若干所述MAC地址以及与所述MAC地址对应的所述实时在线终端的完整在线状态及所述安全产品信息；

所述网络准入控制方法具体包括：

步骤S1，所述网络准入服务器实时检测网络中的所述实时在线终端；

步骤S2，所述网络准入服务器根据所述基础数据库对所述实时在线终端进行安全审核：

若所述实时在线终端通过所述安全审核，则准许所述实时在线终端接入网络，随后退出；

若所述实时在线终端未通过所述安全审核，则转向步骤S3；