终端安全体系

一、 简答题

1．Agile Controller 产品由哪几部分组成？

MC:管理中心
SM:业务管理器
SC:业务控制器
客户端
NAD:网络接入设备

2．802.1X认证方式有哪两种？二者区别是什么？

分为EAP终结 和EAP透传
区别
EAP透传：由网络接入设备终结用户的EAP报文，解析出用户名和密码，并对密码进行加密，再发送到AAA服务器进行认证。
EAP终结：也叫EAP中继认证，由网络接入设备直接把802.1X用户的认证信息以及EAP报文直接封装到RADIUS报文的属性字段中，发送给RADIUS服务器，而无须将EAP报文转换成标准的RADIUS报文后再发给RADIUS服务器来完成认证

3．描述SACG认证流程？

（1 ）请求同步认证前域，隔离域和认证后域的规则
（2 ）下发规则
（3 ）请求身份认证
（4 ）返回身份认证结果
（5 ）请求安全认证，并上报安全检查结果
（6 ）通知SACG将用户IP地址切换到对应域
（7 ）返回执行结果
（8 ）响应安全认证
（9 ）用户访问网络

4．描述访客管理流程？

（1）访客进行页面定制：注册页面定制，认证页面定制，模板定制。
（2）注册：手工创建，自助申请。
（3）审批：自动审批，管理员审批，接待人审批。
（4）分发：手机SMS，Emall，web
（5）认证：用户名/密码认证，passcode认证，vlan/acl权限隔离，L3层GRE
（6）审计及注销：用户上下线审计，上网行为审计，到期后自动注销，定时清理账号

5．Portal认证方式有哪几种？各自特点是什么？

分为两种：二层认证和三层认证
（1）二层认证：客户端与接入设备直连（或之间只有二层设备存在），设备能够学习到用户的MAC地址并可以利用IP和MAC地址来识别用户，此时可配置Portal认证为二层认证方式。
特点：二层认证流程简单，安全性高，但由于限制了用户只能与接入设备处于同一网段，降低了组网的灵活性。
（2）三层认证：当设备部署在汇聚层或核心层时，在认证客户端和设备之间存在三层转发设备，此时设备不一定能获取到认证客户端的MAC地址，所以将以IP地址唯一标识用户，此时需要将Portal认证配置为三层认证方式。
特点：
三层认证跟二层认证的认证流程完全一致。三层认证组网灵活，容易实现远程控制，但由于只有IP可以用来标识一个用户，所以安全性不高。

6．业务随行准入控制包含哪几个平面？

 业务管理平面：管理员，认证服务器，策略服务器
 网络设备平面：认证点，策略执行点
 用户平面：用户终端，静态资源

7．终端管理功能当中，桌面管理包含哪些功能？

 补丁管理：免日常维护，实现补丁自动修复（一站式补丁下载安装、WSUS强联合、补丁统计报表）
 资产管理：集中化资产信息管理（资产注册、资产信息采集、资产变更管理）
 软件分发：简化终端信息化维护工作，提升效率（子网快速分发，一次下载全子网共用、支持静默部署、分发状态报告）
 公告管理：支持按用户组、账号IP地址范围发布公告，减轻管理员工作
 远程协助：远程实时帮助终端用户处理问题，简化系统维护。

8．终端安全管理当中，使用系统自有的补丁下载和分发功能是如何进行补丁管理的？

业务管理器首先将Windows操作系统补丁下载到本地文件传输服务器，然后通过本地文件传输服务器再向终端分发补丁。

方式一：从管理中心MC下载补丁
微软补丁服务器，通过周期下载或者立即下载到MC（文件传输器Server）后SM主动下载到主文件传输器Server，SC周期同步SM数据到镜像文件传输器Server，然后AnyOffice主动下载。
方式二：从微软的补丁服务器补丁
微软补丁服务器，通过周期下载或者立即下载到SM（主文件传输器Server），SC周期同步SM数据，然后AnyOffice主动下载。

9．终端安全管理当中，资产管理注册方式有哪几种？区别是什么？

分为自动注册和手动注册

区别：
（1）自动注册资产：指由业务管理器自动为终端主机分配一个唯一的资产编号。启用资产自动注册模式。资产注册过程无需终端用户参与，认证通过后大约1个小时内AnyOffice将自动注册资产。
（2）手动注册资产：指由管理员通过手工方式在业务管理器创建一条资产记录，并将资产编号分配给终端用户，终端用户在AnyOffice输入资产编号完成资产注册过程。

10．列举EMM核心技术有哪些？

（1）MDM–》移动设备管理
清点设备、系统配置管理、提供或者回收设备、远程检查控制
（2）MAM–》移动应用管理和策略控制、分析能力
（3）MI–》移动身份认证
加强管理IAM（身份识别与访问管理）
（4）MCM–》移动内容管理–》内容访问规则