YD_T 2172-2010IP网络端点准入控制框架技术要求.pdf

1CS 33.040.40L 78中华人民共和国通信行业标准YD/T 2172-2010IP网络端点准入控制框架技术要求Framework technical specification forIP network on endpoint admission control2010-12-29 发布2011-01-01实施中华人民共和国工业和信息化部发布 YD/T 2172-2010目次范围·1 2术语、定义和缩略语·2.1术语和定义2.2缩略语·3体系结构··3.1概述·3.2典型组网·3.3体系结构··4功能组成4.1功能流程4.2认证功能·4.3 安全状态评估功能·4.4隔离功能4.5修复功能·4.6监控与管理功能· 功能要求?55.1认证·5.2 安全策略实施·5.3安全策略管理·5.4用户管理·5.5安全联动控制5.6实时监控6　接口要求·6.1安全状态感知接口要求·6.2　安全状态控制接口要求6.3　安全状态实施接口要求·附录A（资料性附录）安全状态感知客户端防病毒联动插件接口的实现· YD/T 2172-20105）用户安全日志审计。6接口要求6.1安全状态感知接口要求安全状态感知接口是安全状态感知客户端与安全联动软件之间的接口。安全状态感知客户端允许通过接口调用获取安全联动软件的状态信息，执行安全策略决策点下发的安全操作。安全状态感知接口包括安全插件注册接口、安全状态查询接口和安全任务执行接口三个子功能接口。1）安全插件注册接口：实现对安全软件的注册。安全状态感知客户端可以从注册数据库查询已安装的安全联动软件。比如防病毒软件、防火墙软件或补丁联动软件。2）安全状态查询接口：实现对各种安全信息的查询，如防火墙软件提供防火墙规则的查询接口。安全状态感知客户端可以通过该接口获取防火墙规则并上报安全策略决策点。3）安全任务执行接口：负责执行安全状态感知客户端发起的安全任务，如全盘扫描病毒。6.2安全状态控制接口要求安全状态控制接口是安全状态感知客户端与安全策略决策点之间的接口。安全状态感知客户端需要向安全策略决策点提供端点的安全状态，同时，安全策略决策点也要向安全状态感知点下发安全控制指令。安全状态感知点和安全策略决策点之间的信息交互宜使用安全状态控制协议实现。安全状态控制协议要求待定。6.3安全状态实施接口要求安全状态实施接口是安全策略执行点与安全策略决策点之间的接口。安全策略决策点的网络接入的阻断、隔离等信息，需通过安全状态实施接口下发给安全策略执行点。IP网络端点准入控制的体系架构，是基于用户的身份认证而实现的。安全策略执行点与安全策略决策点之间的信息交互建议使用扩展RADIUS协议，实现IP端点准入的控制。8 YD/T 2172-2010附录A（资料性附录）安全状态感知客户端防病毒联动插件接口的实现A.1安全状态感知接口安全状态感知客户端与防病毒联动插件之间的接口为安全状态感知接口。安全状态感知客户端防病毒联动插件可由第三方厂商提供，该插件仅由安全状态感知客户端使用，为单向接口，第三方客户端软件无法通过该插件获取安全状态感知客产端的状态，或问安全状态感知客户端提交任务执行请求。安全状态感知客户端防病毒联动插件分为两部分：动态链接库文件（如av-plugin.dll）和插件配置文件（如av-plugin.inf）。动态链接库文件用于提供接口调用，配置文件用于指明插件的相关信息。查询（PostureQuery）及提交任务执行请求（Task Invoke Request）。A.1.1 状态查询安全状态感知客户端通过调用安全状态感知客户端联动插件，可查询第三方客户端的执行状态信息。A.1.2任务执行请求安全状态感知客户端通过任务请求，向第三方客户端软件分配任务。若需要执行结果，通过异步方式等待执行结果。A.2安全状态感知客户端防病毒联动插件的安装、升级和装载A.2.1联动插件安装、升级和装载涉及的相关目录安全状态感知客户端防病毒联动插件安装、升级和装载涉及的目录有：插件安装目录，例如：%CommonProgramFiles%\CompanyNamelSecureClientIPluginslSOMEPLUGINInstall;插件装载目录，例如 ：%CommonProgramFiles%\CompanyNamelISecure ClientIPluginsSOMEPLUGIN;插件隔离区，例 如：%CommonProgramFiles%\ICompanyNamelSecure ClientIPluginslSOMEPLUGINIQuarantine.安装逻辑分区下的“iProgram FileslCommon Files”子目录。当Windows安装在C:，则该环境变量的值为C:Program FilesICom