在網(wǎng)絡準入控制系統(tǒng)中，我們可以把不同的人員，各種接入方式，多樣的終端，應用服務器以及業(yè)務數(shù)據(jù)納入到我們的管控當中，實現(xiàn)終端安全一體化防護。就像我們前篇文《網(wǎng)絡準入：正在變，即將變？》中指出的網(wǎng)絡準入不只是一個安全工具，也是解決安全管理問題的基礎設施，為大型機構(gòu)的網(wǎng)絡安全提供直接支撐。

在建設網(wǎng)絡準入控制系統(tǒng)中，面對啞終端應用場景的不斷延伸，終端本體防護措施部署情況參差不齊、AD域控以及技術(shù)部署復雜等方面的問題時，有沒有更輕量智能、簡單安全的方法來全面實現(xiàn)網(wǎng)絡準入控制成了不少企業(yè)的需求。聯(lián)軟UniNID作為下一代網(wǎng)絡準入控制系統(tǒng)，與傳統(tǒng)準入系統(tǒng)相比功能大大增強，通過啞終端的管控和PC無代理準入功能滿足企業(yè)智能準入的安全需求。

啞終端管控

隨著現(xiàn)階段企業(yè)網(wǎng)絡中非傳統(tǒng)IP設備，即啞終端的數(shù)量和種類在不斷地增加，例如打印機、IP電話等，這些設備一般安放在企業(yè)的多個位置，與企業(yè)辦公PC混在一起，沒有做嚴格的管控；傳統(tǒng)啞終端僅MAC地址認證就能接入企業(yè)內(nèi)網(wǎng)，非法攻擊者使用筆記本偽造啞終端IP/MAC地址后進入企業(yè)內(nèi)網(wǎng)；同時缺乏有效的入網(wǎng)控制技術(shù)措施及安全行為監(jiān)控手段，啞終端可能存在潛在的漏洞，易被攻擊者利用進而對公司信息網(wǎng)絡進行攻擊，產(chǎn)生各類入侵威脅。

聯(lián)軟UniNID啞終端安全管控方案將接入企業(yè)網(wǎng)絡的啞終端設備均納入管控范圍，采用有效的準入手段來對邊界的安全風險和安全事件進行實時的監(jiān)視和在線的管理：

1.集成了多項設備發(fā)現(xiàn)檢測技術(shù)，全網(wǎng)啞終端發(fā)現(xiàn)無死角；
2.自動按照啞終端設備的類型、安全狀態(tài)、指紋特征、使用者身份等信息，自動下發(fā)ACL實現(xiàn)最小授權(quán)；
3.對啞終端網(wǎng)絡訪問行為、網(wǎng)絡接入行為、設備及流量特征、設備仿冒檢查、異常訪問檢查、異常接入位置等威脅行為進行持續(xù)檢測，發(fā)現(xiàn)未知威脅及失陷啞終端。

作為下一代網(wǎng)絡準入控制系統(tǒng)，聯(lián)軟UniNID能夠全方位自動發(fā)現(xiàn)企業(yè)網(wǎng)絡中的啞終端設備，形成資產(chǎn)圖譜；無需維護大量白名單，可以大大降低網(wǎng)絡管理員的運維工作量；通過精準的權(quán)限控制和基于設備行為的分析，將啞終端設備風險和威脅控制到最低。

PC無代理準入

在一般的網(wǎng)絡準入控制系統(tǒng)中，當Agent安裝完成后，才會進行網(wǎng)絡準入控制流程。首先進行用戶身份認證，然后進行終端合規(guī)檢查，最后會對用戶的接入終端進行安全合規(guī)檢查（安全檢查不合規(guī)的會安置到隔離區(qū)內(nèi)強制修復，直至修復合規(guī)后才能繼續(xù)接入）；最后，在用戶身份合法和終端檢查合規(guī)后，才允許員工接入到網(wǎng)絡里面，這時我們會根據(jù)用戶角色下發(fā)基于角色的動態(tài)訪問控制授權(quán)，同時我們也可以通過Agent下發(fā)終端安全、外設管理、數(shù)據(jù)保護等策略。

隨著企業(yè)管控面擴大，準入系統(tǒng)中部署的Agent逐漸增多，尤其是有AD域控的企業(yè)，面臨著推廣新Agent的兼容性及阻力大等問題，這一點在制造業(yè)和小金融企業(yè)中現(xiàn)象較多，針對這種現(xiàn)象，聯(lián)軟新一代網(wǎng)絡準入控制系統(tǒng)開發(fā)了適應多場景的安全合規(guī)檢查，企業(yè)終端設備無需任何Agent，就可實現(xiàn)電腦終端的安全檢查和準入，威脅檢測。企業(yè)網(wǎng)中的服務器、網(wǎng)絡設備、移動終端、啞終端（打印機、攝像頭等）等設備可以采用“指紋”認證的準入方式。

在無代理智能準入環(huán)境下，測試入網(wǎng)安全檢查功能，可以針對加域/防病毒軟件/安全軟件/補丁/服務進行檢查。

聯(lián)軟UniNID作為下一代網(wǎng)絡準入控制系統(tǒng)，在終端安全管控的基礎上，還可利用主動+被動等多種技術(shù)協(xié)助用戶摸清內(nèi)網(wǎng)資產(chǎn)，可利用POC掃描、補丁修復等技術(shù)管控資產(chǎn)高危風險，可通過機器學習建模、威脅情報、智能幻影等技術(shù)發(fā)現(xiàn)內(nèi)網(wǎng)存在的已知（如繞過堡壘機操作服務器的行為、仿冒接入行為）和新型攻擊行為（如智能幻影主動捕捉橫向掃描探測行為），幫助企業(yè)全面識別內(nèi)網(wǎng)安全風險，控制風險擴散。