无论是已经长期进行安全维护的电脑终端还是处于安全维护摸索状态的IoT终端，面向肆意泛滥的互联网攻击，主动防御才是有效手段。与传统内网网边界防御相比，宁盾终端准入引擎不信任任何未经检测便访问企业业务的终端，以确保只有合规终端才允许访问企业业务。

宁盾终端准入（NAC）发现并识别接入网络中的一切IP终端资产，通过自动化“检测-控制-隔离”非合规终端，提升企业对终端的合规性信任，实现终端认证、权限及准入控制的一体化安全管理。经过不断的开发与迭代，宁盾终端准入V3增强版又有哪些更新呢？接下来我们一一揭晓：

一、    可视化网络拓扑

1、    网络拓扑的重要性

传统网络拓扑与终端是分离的，运维人员无法知道访问业务的终端有哪些，更无法知道这些终端位于什么位置。所以经常是采用定期排查的方式，将不同终端的安全状态记录于随时携带的“小本本”上，并附有维修记录，某某检测人等等。这种人力运维方式耗费时间长，运维成本高，更关键的是无法直观的查看终端安全及终端位置追踪。宁盾终端准入引擎帮助企业可视化访问企业业务的一切终端，并将终端可视化于网络拓扑。

2、    如何使用可视化网络拓扑

通过可视化识别网络设备自动完成拓扑结构画像，左侧直观展示网络上下游拓扑结构，通过定位，我们可清晰的看到终端位于哪个交换机的AC，哪个端口或VLAN上。右侧展示终端基础信息，如终端类型、用户身份、IP、MAC地址、数据、流量使用情况等等，另外还可查看终端更多安全信息。

3、    可视化网络拓扑的价值

•    可视化网络环境：统计一个交换机上连接了多少AC和AP，每个AP上连接了多少IoT，并将其直观的展示出来，帮助企业合理户布局；

•    直观展示终端上下游结构及终端位置：对于不能执行自动化隔离操作的终端，帮助运维人员在海量终端中快速定位终端位置。

•    终端位置追踪：对于某些不允许随意移动的终端，帮助企业追踪并定位终端新的位置，落实终端安全管理规范。

二、    客户端安全检测（User Connector）

1、    版本优势

宁盾User Connector支持windows32/64位、Linux32/64位、Mac OS版客户端，检测所有电脑的安全性。传统企业以windows终端为主，但随着生产技术的进步，企业研发以Linux系统为主，Mac电脑的占有率越来越高。为满足企业所有电脑端的安全管控，宁盾客户端对Windows、Linux、MacOS系统全兼容开发。

2、    合规性检测项

•    检测电脑端基础信息：是否为域用户、CPU占用率、剩余内存，总内存；

•    检测是否加入域身份（仅限windows电脑）：域账号、手机号、邮箱、域角色；

•    检测补丁版本；

•    检测杀毒软件：是否安装杀毒软件、杀毒软件是否允许、病毒库是否过期；

•    终端安全状态：是否安装杀毒软件、病毒库是否更新、补丁版本是否更新、是否安装了非合规应用、运行了哪些应用、是否开启虚拟网卡…

但因操作系统不同，企业可在终端合规性上分类执行。

检测Windows电脑是否安装杀毒软件：

检测Mac OS电脑有未更新的补丁：

检测Linux系统安装的应用：

3、    后台运行，用户无感知，不影响员工正常办公

为提升用户体验，User Center运行于终端后台，正常情况下，用户处于无感知状态，不影响员工正常办公。

另外，客户端版本由企业运维人员统一推送，用户根据电脑操作系统进行安装，这种去中心化运维方式让运维人员从繁复冗余的应用安装、迭代中摆脱出来，让IT运维人员有更多时间做更有价值的事情。

三、    桌面管控功能完善

1、    U盘管控

众多周知U盘主要用于文件的传输与拷贝，一旦企业重要资源被非法拷贝，将造成巨大损失。因此，宁盾终端准入从U盘自身出发，识别U盘是否为企业合规终端，并限制U盘的读写权限，实现对U盘访问的安全管控。

•    主动检测U盘序列号（识别码）防止非授权U盘接入企业终端；

•    控制U盘的读写状态：禁止读写、只读不可写入、可读写操作。

2、软件推送

与传统“上门安装”相比，宁盾终端准入通过软件推送的方式将应用程序推送至员工终端，由员工自行下载并安装。这种去中心化的方式不仅帮助企业提高终端维护效率，还可让IT运维人员从繁复冗余的事件中抽离出来，做更有价值的事情。

与传统内外网边界防御相比，宁盾终端准入（NAC）基于“零”信任安全架构，不信任任何未经检测便访问企业业务的终端，以确保只有检测合规的终端才允许访问企业应用，从而提升企业信息资产安全性。