主机安全检测功能介绍

主机安全检测功能是指SCVPN实例对运行SCVPN客户端主机的安全状况进行检测，通过检查客户端主机的操作系统、IE版本以及特定软件的安装情况等因素来评估客户端主机的安全级别，并根据不同安全级别为客户端分配不同的资源访问权限，保证SCVPN接入的安全性。

主机安全检测内容

安全网关主机安全检测功能对客户端主机的详细检查内容，请参阅下表：

检查项目	详细描述
操作系统配置	操作系统版本（如Windows 2000、Windows 2003、Windows XP、Windows Vista等）操作系统补丁包版本（如Service Pack 1等） Windows特定补丁包是否安装（如KB958215等）
	Windows安全中心和自动升级是否打开防病毒软件是否必须安装，实时监控和病毒库在线升级是否打开防间谍软件是否必须安装，实时监控和特征库在线升级是否打开个人防火墙是否必须安装和实时保护是否打开
	IE版本和安全级别是否达到指定标准
其他配置	指定进程是否正在运行
	指定服务是否已经安装
	指定服务是否正在运行
	指定注册表条目是否存在
	指定文件是否存在于操作系统中

基于角色的访问控制和主机安全检测流程

基于角色的访问控制是指用户的权限不是由用户名而是由用户在系统中的角色决定的，一个登录于某系统的用户，可以通过它所对应角色的权限来决定其可以访问的系统资源。在权限管理中，角色作为中间桥梁把用户和权限联系起来。

安全网关SCVPN在主机安全检测流程中实现了基于角色的访问控制，在安全检测策略规则中引入初级角色和次级角色的概念。初级角色主要用于用户从设备端获取对应的安全检测Profile（包含主机安全检测的内容以及安全级别）；次级角色决定检测失败用户的实际访问权限。

另外，安全网关主机安全检测功能还支持动态的访问权限控制。一方面，当设备端的安全状况发生变化时，设备端会主动下发Profile给客户端，并要求客户端重新进行安全检测；另一方面，客户端可以周期性地进行安全检查，比如可以定时地检查客户端主机的防病毒软件是否开启，如果用户在使用过程中关闭了防病毒软件，系统可能会因此在用户的访问过程中改变该用户所属的角色，重新为该用户分配相应的权限。