主机检测介绍

主机检测功能是指SCVPN设备端对运行SCVPN客户端主机的安全状况进行检测,通过检查客户端主机的操作系统、IE版本以及特定软件的安装情况等因素来评估客户端主机的安全级别,并根据不同安全级别为客户端分配不同的资源访问权限,保证SCVPN接入的安全性。

主机检测内容

主机检测功能对客户端主机的详细检查内容,请参阅下表:

检查项目 详细描述
操作系统配置
  • 操作系统版本(如Windows 2000、Windows 2003、Windows XP、Windows Vista等)
  • 操作系统补丁包版本(如Service Pack 1等)
  • Windows特定补丁包是否安装(如KB958215等)
  • Windows安全中心和自动升级是否打开
  • 防病毒软件是否必须安装,实时监控和病毒库在线升级是否打开
  • 防间谍软件是否必须安装,实时监控和特征库在线升级是否打开
  • 个人防火墙是否必须安装和实时保护是否打开
IE版本和安全级别是否达到指定标准
其他配置 指定进程是否正在运行
指定服务是否已经安装
指定服务是否正在运行
指定注册表键值是否存在
指定文件是否存在于操作系统中

基于角色的访问控制和主机检测流程

基于角色的访问控制是指用户的权限不是由用户名而是由用户在系统中的角色决定的,一个登录于某系统的用户,可以通过它所对应角色的权限来决定其可以访问的系统资源。在权限管理中,角色作为中间桥梁把用户和权限联系起来。

SCVPN在主机检测流程中实现了基于角色的访问控制,在主机检测策略规则中引入初级角色和次级角色的概念。初级角色主要用于用户从设备端获取对应的主机检测规则信息(包含主机检测的内容以及安全级别);次级角色决定检测失败用户的实际访问权限。

主机检测流程如下:

  1. 客户端发起连接请求并成功认证。
  2. 设备端下发主机检测规则到客户端。
  3. 客户端根据主机检测规则对主机系统进行相应的安全检测。如果检测失败,则弹出检测结果进行提示。
  4. 客户端将最终检测结果返回给设备端。
  5. 设备端根据配置的主机检测策略规则断开检测失败客户端的连接或者根据其相应的次级角色授予实际访问权限。

另外,主机检测功能还支持动态的访问权限控制。一方面,当设备端的安全状况发生变化时,设备端会主动下发主机检测规则给客户端,并要求客户端重新进行安全检测;另一方面,客户端可以周期性地进行安全检查,比如可以定时地检查客户端主机的防病毒软件是否开启,如果用户在使用过程中关闭了防病毒软件,系统可能会因此在用户的访问过程中改变该用户所属的角色,重新为该用户分配相应的权限。

相关链接

主机检测规则配置