EAD案例Word下载.docx
《EAD案例Word下载.docx》由会员分享,可在线阅读,更多相关《EAD案例Word下载.docx(24页珍藏版)》请在冰豆网上搜索。
对于已经接入网络的用户,需要规范用户的网络行为,不同岗位的员工,其网络访问权限必须明确区分,严格控制。
管理员便于管理和定位问题终端
需要提供终端访问网络的详细上网日志信息和强大的管理查询功能,便于管理员定位问题。
系统需要提供方便管理员身份权限控制、用户帐号维护、安全策略定制的管理功能。
国家统计局的办公网络模型图如下:
国家统计局EAD解决方案实施:
针对国家统计局对于终端的安全防护和实际组网规划需求,H3C采用EAD解决方案,提出如下解决措施:
⏹用户身份管理及安全控制策略
为了严格控制用户的网络接入,接入层设备启用802.1x认证,并且采用用户名/密码/多MAC地址绑定/网络接入设备端口的身份验证策略,有效限制了用户访问网络的区域,并坚决杜绝了外来和未授权用户非法使用网络。
用户终端通过DHCP动态获取IP地址上网,并且设置接入安全策略由H3CiNode智能客户端(以下简称iNode客户端)限制禁止终端用户私自修改MAC地址和网卡的IP地址必须使用DHCP动态获取方式,有效地防止了MAC仿冒盗用帐号和私设IP导致IP地址冲突的情况发生。
同时采用H3C成熟的802.1x与Windows域统一认证技术,实现网络接入和Windows域的单点统一登录。
⏹终端安全管理
统计局使用的防病毒软件是北信源的VRV网络杀毒客户端,由其自身系统中心服务器负责防病毒客户端的版本升级和病毒库定义的定期更新,以及终端操作系统安全漏洞的实时监控和检查。
H3CiNode智能客户端在用户每次登录时,都需要检查杀毒客户端是否正常启动、运行并且强制检查防病毒软件的版本和病毒库版本,确保所有终端版本必须满足安全策略的规定。
针对终端安装的特定软件,管理员可以设置可控软件名单,认证时检查此类软件的安装运行情况,如果有违规即刻被限制访问隔离区甚至直接断开终端网络连接;
对已经通过安全检查的终端用户,EAD解决方案仍然对终端的安全状态进行实时监控,如果病毒客户端被禁用或者运行了禁止运行的软件等均会根据安全策略将终端用户隔离甚至实施切断网络连接。
⏹员工终端访问权限控制
员工认证通过后,根据用户身份和所属部门,EAD方案将用户划分为不同的策略组,将其划分入不同的VLAN,并且授予用户相应的ACL访问权限,有效防止越权访问资源的发生。
通过基于身份的ACL访问规则控制,可以保证只有具有权限的员工允许访问关键服务器,禁止非法访问和部门间互访。
EAD安全策略服务器与智能客户端配合可以对各种外联或代理进行禁止。
无论用户采用何种方式,包括IE代理、双网卡以及内网用户通过Modem上网等都可以进行控制,同时这些安全策略均可以进行灵活选择和设置,满足不同组网需要。
⏹灵活的客户端分发部署
国家统计局内网全部部署了的北信源系统提供软件分发功能,H3C的iNode客户端采用静默安装方式直接下发到员工终端,安装过程不需要用户干预,减轻了管理员的部署工作量。
针对新增接入的终端,iNode客户端及VRV杀毒客户端的安装方法采用了在接入网络中划分GuestVLAN,未安装客户端的终端不需认证即可访问存放有上述软件的文件服务器,下载安装好客户端后即可访问网络了。
⏹管理员权限管理和丰富的问题终端定位手段
利用EAD解决方案安全策略管理服务器提供的功能强大的管理操作员角色身份、权限控制和访问控制列表管理功能,国家统计局对能够操作使用控制系统的管理员定义了严格的控制策略,保证了系统安全性;
并且借助丰富详细的管理员操作日志,可以追踪到所有的操作员的管理行为。
针对用户终端的上网行为,EAD提供的详细上网明细(包括用户帐号信息,用户的IP/MAC地址,接入区域的设备IP/端口号/VLANID,上下线时间,上下行流量等)、安全日志(违规安全事件详细内容/发生时间及相应处理结果等)和系统日志为国家统计局的IT管理员提供了丰富的定位问题终端、解决终端网络接入问题以及系统维护的手段和方法。
新华社
作为中国最大的新闻信息采集和发布中心,新华社网络接入的权限必须严格控制。
为满足新华社大楼的智能化使用需求,同时满足信息系统的高安全要求,其计算机网络系统将分为内网局域网和外网局域网两部分,两个网络在物理上完全隔离。
内网局域网与现有办公楼内网系统连通,用于处理内部的办公信息系统;
采用星型二级结构,包括核心层和接入层。
主干采用光纤,三层交换到桌面。
各接入层交换机通过光纤与两台核心交换机互连。
局域网重要服务器通过千兆光纤直接与核心交换机互联。
外网局域网用于工作人员的新闻浏览、资料查询和下载、信息发布等应用。
网络结构采用星型二级结构,主干采用光纤以太网主干交换方式,水平非屏蔽交换到桌面,各接入交换机通过千兆光纤链路与核心交换机高速互联。
互联网服务器组通过千兆光纤、快速以太网连接至核心交换机。
新华社EAD解决方案实施
新华社根据业务发展的需要,在新闻大厦信息化系统的改造过程中,本着高性能、高可靠的原则,按照国家电子政务内网的技术标准,通过全面的分析论证,选择H3CEAD解决方案实现对接入用户安全的统一管理。
方案实施时,采用接入层设备(S7506R、S5600)作为安全准入控制点,对用户终端强制安装iNode智能客户端,对试图接入网络的用户终端进行安全检查。
通过实施EAD解决方案,不仅有效防止了非法用户和不符合安全策略的终端接入,而且有效地保证了新华社各项网络安全策略(防病毒软件更新、桌面补丁更新、软件安装管理)的执行。
新华社EAD方案部署示意图1
新华社EAD方案部署示意图2
⏹防止未授权用户使用网络和基于用户的权限控制
通过EAD解决方案,在对用户进行用户名、密码认证的同时,还可以通过灵活的MAC、IP、VLAN、Port任意组合绑定,很好的杜绝了外来和未授权用户非法使用网络;
同时,对于已经安全接入的用户,联动设备可以根据安全策略服务器下发的策略,为用户提供个性化的网络服务,如提供不同的ACL、VLAN等。
⏹系统补丁、防病毒软件的统一控制
新华社大楼实施EAD解决方案后,可以对接入终端的防病毒软件、系统补丁、黑白软件进行统一管理,既保证了系统补丁、病毒库的及时更新和自动升级,也有效地减轻了管理员的工作量。
中国国际广播电台
中国国际广播电台(CRI,以下简称国际台)创办于1941年12月3日,是中国面向全世界受众的国家媒体单位。
在国际台日常的工作中,IT系统应用发挥出越来越大的作用,逐渐成为每个编辑、记者无法离开的基本工作手段。
随着网络架构的搭建和网络环境的完善,国际台的工作效率得到提高,但网络管理人员的维护负担却在无形中增加;
在黑客技术和病毒技术不断发展的今天,如何保证信息安全、播出安全也成为国际台用户关注的主要问题。
新闻工作的特殊性决定了国际台网络结构分散、用户数庞大的特点,同时新闻工作的严谨和高效又要求网络安全的高度保障,因而国际台用户在智能高效的网络管理架构之上迫切需要一个稳定可靠的终端安全防御体系。
经过对业内主流网络管理产品的全面分析论证,国际台选择H3C公司iMC开放智能管理中枢、EAD终端准入控制解决方案,打造了一体化的终端准入控制平台,提供了网络资源、用户、终端安全的融合管理解决方案,从根本上解决了网络终端安全管理的复杂性问题。
EAD在国际台的应用
通过iMC国际台实现了网络中路由器、交换机、无线、安全、语音、存储等设备资源的统一集中化管理,并为网络用户、安全等业务的融合统一管理提供平台。
通过部署EAD解决方案,以接入层交换机为EAD控制点,实现了对终端用户的安全认证及准入控制,有效保障了内网安全性。
国际台使用效果如何
有效的安全终端防御体系
EAD解决方案通过身份/安全认证、网络访问授权等方式,保证了国际台网络终端接入的安全性:
通过在接入层设备启用802.1x认证,对接入用户进行身份认证,同时通过灵活的MAC、IP、VLAN、Port任意组合绑定,杜绝了外来和未授权用户非法使用网络;
员工认证通过后,根据用户身份和所属部门,EAD方案将用户划分为不同的策略组,将其划分入不同的业务VLAN,授予相应的ACL访问权限,有效防止了越权访问资源的发生。
高性能的网络管理方案
通过使用iMC开放智能管理中枢,国际台实现了全网设备的统一管理,通过灵活的拓扑发现管理、实时的性能监控、智能的故障告警分析等功能帮助管理员方便的实现网络资源配置管理、性能监控、准确定位故障并快速解决,大大减轻网络运维人员的工作压力,提高IT工作效率。
网络与安全融合管理
iMC的各个组件都是一个有机融合的整体,通过创新性的用户终端拓扑,将全网接入用户和网络拓扑有机整合,所有用户的安全状态、接入设备等信息都可在网络拓扑中一览无遗。
同时以拓扑为入口,提供了所有常用用户操作如用户下线、发送在线消息等,为国际台用户网络管理提供便利的同时,也为全网用户状态监控、非法异常用户准确定位提供了方便。
海南省电子政务网
电子政务建设是国家信息化的龙头工程。
2002年国家信息化领导小组第一次会议决定,把电子政务建设作为今后一个时期我国信息化工作的重点,出台了《我国电子政务建设的指导意见》,要求政府先行,带动国民经济和社会发展信息化。
为了实现这一战略,海南省委、省政府高度重视信息化建设,1997年起就将电子政务作为主要建设内容,不断安排财政资金进行系统建设,全省逐渐形成电子政务建设的良好势头。
但由于缺乏统一规划,系统建设水平较低,信息共享难、资源利用率不高,政府对电子政务建设的投入有限,全省的电子政务建设在全国处于中下水平。
如何整合现有资源、从海南实际出发加快电子政务建设已成当务之急。
用户需求
海南电子政务外网网络建设的目的是:
建成全省统一的党政IP网,实现省、市县和乡镇三级党政机关网络的互连互通。
政务内网覆盖政府各单位和各厅局;
政务外网覆盖省、市县和乡镇各级政府机关并能与有关社会机构逻辑隔离信息互通。
同时建成资源高度集中和共享的政府数据中心,为全省的所有省属政府部门提供安全可靠的应用系统运行环境;
通过统一的政务信息资源目录体系与交换体系,依法应该共享的政府部门政务业务数据通过共享平台实现共享。
在确保各业务单位共享网络基础设施的同时,各单位拥有各自独立的办公网络,保证信息安全。
EAD服务于海南电子政务网
海南电子政务网根据实际情况实际情况,采用了H3CEAD解决方案,打造了基于身份的虚拟访问、服务器安全、一体化准入、终端全面防护、智能联动的一体化安全访问管理制度,为海南电子政务网客户最关心的问题提供了完美的答案。
1、基于用户身份的网络访问权限管理:
用户要求客户端不能同时访问政务网与Internet,但又能够在两张网中自由切换。
实施方案中采用了虚拟园区网解决方案,通过EAD认证动态下发VLAN和ACL,将用户划分到不同的逻辑网络中。
通过GuestVLAN特性,所有的接入端口默认属于初始VLAN,并与Internet连通,使用户在没有经过认证的情况下也能访问Internet;
初始VLAN与政务网VLAN逻辑隔离,用户访问Internet时不能访问政务网络资源;
每台交换机可配置不同的初始VLAN,不同交换机下的用户在访问Internet时也相互隔离,不能互访;
用户需要访问政务网时,启用EAD认证,服务器根据用户的身份向接入交换机下发动态VLAN,将端口划入对应的政务网VLAN中,同时与Internet隔离;
在用户接入网络时动态指定该用户所属的VLAN,实现基于用户身份的灵活办公,保证某一部门的员工不论从哪个交换机端口接入网络,均属于同一个VLAN,用户可以在局域网中漫游的同时保证访问权限的一致性。
2、服务器区安全访问:
考虑到服务器的安全性,配置S5500-EI产品提供Portal认证,通过认证后的用户才能通过该交换机访问服务器区的资源。
同时可以灵活设置需要认证的IP地址段和免认证的IP地址段,本部门的员工访问服务器时无须认证,其他部门的员工访问服务器则需要通过认证。
3、全面灵活的接入方式:
包括有线和无线一体化接入和一体化安全、一体化网管,尤其是统一的EAD控制功能;
交换机通过POE供电,大大简化无线的部署。
实现有线无线接入和管理的一体化。
4、全面的安全防护:
采用EAD进行严格的安全控制,核心交换机内置防火墙模块进行数据中心的服务器区域灵活安全防护。
5、智能网络管理中心:
联动、严格内控,是本次建设的亮点之一。
iMC实现了用户和设备的联动,融合资源和用户的管理,可以满足政府严格内控的流程化需求。
用户评价
“建成之后的海南电子政务外网在一个统一的网络平台上为各种业务系统提供数据通道,以及方便地实现流程整合。
虚拟化的网络平台解决了政务外网要求与Internet逻辑隔离的问题,为用户提供一个可控、可靠、灵活、安全的信息平台。
”
成都市政府数据中心
成都市政府行政中心数据中心局域网是成都市政府网络的重要组成部分,将作为成都市党委、人大、政府、政协等80多个部门生产和办公中心投入运行,行政中心园区共由7栋楼组成,这些部门分散在7栋楼中办公。
数据中心的建成将为提高成都市政府的管理决策水平和工作效率打下坚实的基础,并支持提升成都市各级部门整体的工作效率和信息化服务质量。
数据中心作为党政等多部门的办公平台和业务核心,在网络规划初期就考虑到其网络应用的安全性。
而在原来政务网使用过程中,缺乏有效的强制性管理手段,用户的终端计算机不及时升级系统补丁和病毒库、私设代理服务器等行为比比皆是,脆弱的用户终端一旦接入网络,就等于给潜在的安全威胁敞开了大门,使安全威胁在更大范围内快速扩散,进而导致网络使用行为的“失控”。
保证用户终端的安全、阻止威胁入侵网络,对用户的网络访问行为进行有效的控制,是保证政务网络安全运行的前提,也是目前政务网络维护急需解决的问题。
成都市政府数据中心EAD解决方案实施
成都市行政中心为几十个部门提供集合办公环境,需要对这些不同部门/群组用户的资源访问权限进行控制、不同业务间的网络传输也需要安全隔离,这种隔离指的是访问、传输、应用端到端的隔离。
将EAD和MPLSVPN配合使用,能很好的实现根据业务和应用划分访问权限和业务流向、安全隔离,同时,也能根据需要提供灵活的互访控制。
◆完备的安全状态评估
根据管理员配置的安全策略,用户可以进行的安全认证检查包括终端病毒库版本检查、终端补丁检查、终端安装的应用软件检查、是否有代理、拨号配置等。
EAD的部署实施使得用户在信息化后的高效工作中不再担心病毒、黑客对系统漏洞的攻击。
◆终端接入灵活安全
通过EAD认证,能够杜绝非法终端接入网络,并且让合法终端在任意位置接入网络均获得相同的VPN归属和访问权限,甚至可以通过多次认证在不同时刻获得不同的VPN归属和访问权限,方便做到灵活办公和公用办公,真正实现网络虚拟化。
免去非授权用户随意使用网络的烦扰,有力保障了政务网的健康发展。
◆端到端的业务安全隔离
通过接入访问控制、MPLSVPN隔离、应用虚拟化技术为用户业务提供端到端的安全隔离,同时能够实现灵活的互访和网络扩展。
◆降低网络投资、减少重复建设
避免了业务、数据物理隔离需要重复建设、应用服务器、安全设备重复采购的缺点,提高了整体资源的利用率。
◆降低管理难度、提高管理效率
通过iMC专业管理平台对整网资源进行统一的管理和部署,将终端安全和网络管理融合起来,提高管理效率。
中国银行总行
2008年3月,H3C中标中国银行总行准入控制系统,实现了H3CEAD终端准入控制解决方案在中国银行总行这个高端用户的应用。
作为金融系统IT建设领域的领先者,中国银行对内部网络的安全非常重视。
经过长达近一年的技术评估和方案测试,H3CEAD以完善的功能特性、广泛的应用案例以及强大的持续开发能力最终获得了中国银行的青睐。
基于H3CiMC智能管理架构的EAD解决方案,可以对每个终端用户进行身份认证,并基于用户身份及安全状态为其灵活设置网络访问权限。
同时H3CEAD解决方案所采用的扩展、开放的结构框架,可以广泛、深入的和国内外防病毒、操作系统、桌面安全等厂商展开合作,全面满足中国银行对内部网络安全建设的要求。
中国银行总行准入控制系统项目是H3CEAD解决方案继中标中国建设银行、民生银行、华夏银行等之后在金融系统的又一次高端应用,联想到H3CEAD2007年喜获“金融行业优秀网络信息安全解决方案”的荣誉,实践证明了H3CEAD解决方案在金融领域始终处于领先水平。
中国建设银行厦门开发中心
企业内网安全已经成为证监会对上市企业和公司的关注重点,中国建设银行作为上市股份制银行对内网安全管理也非常重视,启动了网络准入控制系统建设。
EAD服务于建行厦门开发中心
在充分了解建设银行网络准入控制需求的基础上,H3C向建设银行推荐了EAD解决方案,可以对每一个入网用户进行身份认证,并基于用户身份及安全状态为其划分网络访问权限。
同时EAD解决方案统一了建行现有的有线、无线认证方式,兼容建设银行现有证书认证系统,全面满足建设银行对内网安全建设的要求。
中国建设银行厦门开发中心在办公网全面部署了H3CEAD终端准入控制解决方案。
通过EAD解决方案,建行开发中心成功实现了对办公网络1500个用户的准入管理,通过与接入层S3050系列交换机的配合,利用802.1x认证技术来实现用户入网身份认证。
通过用户名+IP地址+MAC地址三元素绑定认证,加强了用户身份识别粒度,并根据用户身份为其划分网络访问权限。
对接入用户进行系统补丁安全检查,对不符合安全要求的用户,按安全策略要求进行处理,包括提醒、修复、隔离等。
“此次网络准入控制项目建设可以帮助中国建设银行加强对内网络资源使用的监控和管理,并符合SOX法案等上市公司内部审计法案的要求。
通过H3CEAD解决方案能够实现中国建设银行内网安全的主动防御,提升整个网络的安全性,有效避免网络病毒等安全风险给建行带来的损失。
华夏银行
华夏银行成立于1992年10月,共有150余家分支机构,分布在20个国内大中城市,是一家4500余人的全国性股份制商业银行。
华夏银行在使用新技术方面步伐很快,比如在推行银行内部安全防护方面,就做得比较成熟。
管理需求
用户网络访问权限管理。
不同的员工拥有不同的网络资源访问权限。
员工不能跨部门访问数据资源服务器;
用户安全状态管理。
对上网的终端用户安全进行严格的安全检测,不符合安全规定的不允许上网。
解决方案实施
针对上述终端接入控制需求,H3C公司凭借其拥有自主知识产权的EAD终端准入控制解决方案为华夏银行量身定制了特色化的实施策略,一期深圳分行项目的网络拓扑示意图所示:
应用效果
⏹严格控制终端的访问权限
员工认证通过后,根据用户身份和所属部门,EAD方案将用户划分为不同的策略组,将其划分入不同的业务VLAN,并且针对用户身份授予相应的ACL访问权限,有效防止越权访问资源的发生。
在网络中专门划分出隔离区域,防病毒软件服务器、软件补丁文件服务器、DHCP服务器等均放置在网络隔离区中。
员工在终端身份验证通过后即可获得IP地址来访问此区域的服务器,并且根据安全控制要求升级操作系统软件补丁和病毒库版本。
网络是不断发展变化的,强制降低员工上网终端的“病毒易感性”已经迫在眉睫,EAD解决方案提供了完善的安全防护手段,通过iNode智能客户端在用户每次登录时,都强制检查防病毒客户端是否正常启动、运行并且强制检查防病毒软件的版本和病毒库版本,确保所有终端版本必须满足安全策略的规定方可接入业务网。
民生银行
构建高可靠性和高安全性的信息化网络系统是银行、证券等金融企业业务运营的前提保障。
民生银行作为首批上市的商业银行之一,为保证其金融、信贷等业务的保密性和安全性,迫切需要一个安全、高效、稳定运行的信息化办公系统,其中对客户终端认证做集中统一控制,应用一致的用户安全策略,保证用户终端的健壮性、阻止病毒等威胁入侵网络,是保证办公网络安全运行的前提。
案例规模
一期共4000点,二期共20000个信息点
防止非法接入。
限制非法笔记本电脑或非授权、外来用户接入随意使用网络。
防止非法外联。
禁止任何方式(包括使用拨号、双网卡等)使终端用户可同时访问办公、业务网和Internet;
身份唯一性。
强制用户使用系统分配的IP地址,不允许其随意修改IP地址配置,对登录内网的用户进行唯一性身份认证,杜绝帐户盗用、PC机盗用等;
上网日志审计。
提供终端访问网络的详细上网日志信息和强大的管理查询功能,便于管理员定位问题。
针对上述终端接入控制需求,H3C公司凭借其拥有自主知识产权的EAD解决方案为民生银行量身定制了特色化的实施策略,其网络拓扑如下图所示:
为了严格控制用户的网络接入,使用接入层设备启用802.1x认证,并且采用绑定用户名/密码/MAC/网络接入设备端口的身份验证策略,有效限制了用户访问网络的区域,并坚决杜绝了外来和未授权用户非法使用网络;
利用EAD的可自定义多种附加信息功能由用户输入单位、部门、姓名、密码等信息,由管理员审核后方可开通权限,外来用户没有经过审批无法接入网络。
用户终端通过DHCP动态获取IP地址上网,使用H3C安全认证客户端(H3CiNode智能客户端,以下简称iNode客户端)可以限制IP地址必须使用DHCP动态获取方式以及检查MAC地址是否修改,有效地防止了MAC仿冒盗用帐号和私设IP导致IP地址冲突的情况发生;
同时通过禁止接入终端使用多网卡来限制用户无法同时访问业务网及Internet。
iNode客户端和接入设备H3CS3600系列交换机还可以在终端用户正常接入后禁止用户擅自修改IP地址,从根本上杜绝了用户擅自修改IP的状况。
EAD安全策略服务器与iNode客户端配合可以对各种外联或代理进行禁止。
无论用户采用何种方式,包括IE代理、双网卡以及内网用户通过Modem上网等都可以进行控制,上述禁止方式和策略可以灵活组合来满足用户各方面的安全控
升级会员 