準(zhǔn)入控制解決方案參考分享

終端準(zhǔn)入控制解決方案（ EAD）目前，在企業(yè)網(wǎng)絡(luò)中，用戶的終端計(jì)算機(jī)不及時(shí)升級系統(tǒng)補(bǔ)丁和病毒庫、私設(shè)代理服務(wù)器、私自訪問外部網(wǎng)絡(luò)、濫用企業(yè)禁用軟件的行為比比皆是，脆弱的用戶終端一旦接入網(wǎng)絡(luò)，就等于給潛在的安全威脅敞開了大門，使安全威脅在更大范圍內(nèi)快速擴(kuò)散，進(jìn)而導(dǎo)致網(wǎng)絡(luò)使用行為的“失控”。保證用戶終端的安全、阻止威脅入侵網(wǎng)絡(luò)，對用戶的網(wǎng)絡(luò)訪問行為進(jìn)行有效的控制，是保證企業(yè)網(wǎng)絡(luò)安全運(yùn)行的前提，也是目前企業(yè)急需解決的問題。網(wǎng)絡(luò)安全從本質(zhì)上講是管理問題。 H3C終端準(zhǔn)入控制（ EAD，EnduserAdmissionDomination）解決方案從控制用戶終端安全接入網(wǎng)絡(luò)的角度入手，整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，通過智能客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及第三方軟件的聯(lián)動(dòng)，對接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實(shí)施企業(yè)安全策略，嚴(yán)格控制終端用戶的網(wǎng)絡(luò)使用行為，有效地加強(qiáng)了用戶終端的主動(dòng)防御能力，為企業(yè)網(wǎng)絡(luò)管理人員提供了有效、易用的管理工具和手段。1．方案概述對于要接入安全網(wǎng)絡(luò)的用戶， EAD解決方案首先要對其進(jìn)行身份認(rèn)證， 通過身份認(rèn)證的用戶進(jìn)行終端的安全認(rèn)證，根據(jù)網(wǎng)絡(luò)管理員定制的安全策略進(jìn)行包括病毒庫更新情況、 系統(tǒng)補(bǔ)丁安裝情況、軟件的黑白名單、 U盤外設(shè)使用情況、軟硬件資產(chǎn)信息等內(nèi)容的安全檢查，根據(jù)檢查的結(jié)果， EAD對用戶網(wǎng)絡(luò)準(zhǔn)入進(jìn)行授權(quán)和控制。通過安全認(rèn)證后，用戶可以正常使用網(wǎng)絡(luò)，與此同時(shí)， EAD可以對用戶終端運(yùn)行情況和網(wǎng)絡(luò)使用情況進(jìn)行審計(jì)和監(jiān)控。 EAD解決方案對用戶網(wǎng)絡(luò)準(zhǔn)入的整體認(rèn)證過程如下圖所示：2．組網(wǎng)模型如下圖所示，EAD組網(wǎng)模型圖中包括智能客戶端、聯(lián)動(dòng)設(shè)備、 EAD安全策略服務(wù)器和第三方服務(wù)器。智能客戶端：是指安裝了 H3CiNode智能客戶端的用戶接入終端，負(fù)責(zé)身份認(rèn)證的發(fā)起和安全策略的檢查。聯(lián)動(dòng)設(shè)備：是指用戶網(wǎng)絡(luò)中的交換機(jī)、路由器、 VPN網(wǎng)關(guān)等設(shè)備。EAD提供了靈活多樣的組網(wǎng)方案，聯(lián)動(dòng)設(shè)備可以根據(jù)需要靈活部署在各層比如網(wǎng)絡(luò)接入層和匯聚層。EAD安全策略服務(wù)器 ：它要求和聯(lián)動(dòng)設(shè)備路由可達(dá)。負(fù)責(zé)給客戶端下發(fā)安全策略、接收客戶端安全策略檢查結(jié)果并進(jìn)行審核，向聯(lián)動(dòng)設(shè)備發(fā)送網(wǎng)絡(luò)訪問的授權(quán)指令。第三方服務(wù)器 ：是指補(bǔ)丁服務(wù)器、病毒服務(wù)器和安全代理服務(wù)器等，被部署在隔離區(qū)中。當(dāng)用戶通過身份認(rèn)證但安全認(rèn)證失敗時(shí)，將被隔離到隔離區(qū)，此時(shí)用戶能且僅能訪問隔離區(qū)中的服務(wù)器，通過第三方服務(wù)器進(jìn)行自身安全修復(fù)，直到滿足安全策略要求。3．功能特點(diǎn)全方位準(zhǔn)入控制EAD解決方案提供完善的接入控制，可以支持局域網(wǎng)、廣域網(wǎng)、 VPN、無線各種接入方式，支持包括HUB在內(nèi)的各種復(fù)雜網(wǎng)絡(luò)、思科等異構(gòu)網(wǎng)絡(luò)環(huán)境下的部署，保證從任何地點(diǎn)、任何方式下的接入安全。嚴(yán)格的身份認(rèn)證除基于用戶名和密碼的身份認(rèn)證外，EAD還支持支持智能卡、數(shù)字證書認(rèn)證，增強(qiáng)身份認(rèn)證的安全性。同時(shí)，EAD支持多元素綁定，如帳號、MAC地址、IP地址、所在VLAN、接入設(shè)備IP、接入設(shè)備端口、無線SSID、QinQ等。完備的安全狀態(tài)評估根據(jù)管理員配置的安全策略，用戶可以進(jìn)行的安全認(rèn)證檢查包括終端病毒庫版本檢查、終端補(bǔ)丁檢查、終端安裝的應(yīng)用軟件檢查、代理及撥號配置、多網(wǎng)卡檢查、注冊表管理、操作系統(tǒng)密碼管理等；EAD客戶端支持和瑞星、江民、金山、 Symantec、MacAfee、TrendMicro、安博士、卡巴斯基等國內(nèi)外主流病毒廠商聯(lián)動(dòng)， 同時(shí)為了更好的滿足客戶的需求， 也支持與微軟 SMS、LANDesk、BigFix 等業(yè)界高端的桌面安全產(chǎn)品的配合使用。例如已經(jīng)購買微軟的桌面管理工具 SMS的用戶，EAD可以與SMS配合，由 EAD實(shí)現(xiàn)終端用戶的準(zhǔn)入控制，由 SMS實(shí)現(xiàn)各種 Windows環(huán)境下用戶的桌面管理需求：資產(chǎn)管理、補(bǔ)丁管理、軟件分發(fā)和安裝等?；谟脩舻臏?zhǔn)入控制在用戶終端通過病毒、 補(bǔ)丁等安全信息檢查后， EAD可基于用戶的角色， 向聯(lián)動(dòng)設(shè)備下發(fā)事先配置的接入控制策略，按照用戶角色權(quán)限規(guī)范用戶的網(wǎng)絡(luò)使用行為。終端用戶的所屬 VLAN、ACL訪問策略等安全措施均可由管理員統(tǒng)一配置實(shí)施， 即使是在HUB環(huán)境，也可區(qū)分不同的用戶并執(zhí)行不同的控制。靈活方便的執(zhí)行模式EAD按照網(wǎng)絡(luò)管理員配置的安全策略區(qū)別對待不同身份的用戶， 定制不同的安全檢查和處理模式，包括監(jiān)控模式、提醒模式、隔離模式和下線模式。 用戶可以根據(jù)自己的實(shí)際需要， 為VIP客戶、內(nèi)部員工、外來訪客等不同人群，定義不同的安全策略執(zhí)行方式。全面的ARP攻擊防御EAD解決方案通過 ARP網(wǎng)關(guān)地址自動(dòng)下發(fā)、自動(dòng)綁定的功能， 使終端用戶免受 ARP欺騙攻擊的影響，同時(shí)提供了 ARP攻擊報(bào)文過濾、ARP異常流量檢測等控制措施，杜絕惡意用戶的 ARP攻擊行為。桌面資產(chǎn)管理EAD解決方案實(shí)現(xiàn)了對終端資產(chǎn)全方位的監(jiān)控和管理， 可以對終端軟硬件使用情況、 變更情況進(jìn)行監(jiān)控，同時(shí)還支持終端資產(chǎn)的配置管理和軟件的統(tǒng)一分發(fā)、遠(yuǎn)程協(xié)助、桌面防火墻管理，幫助客戶更有效地管理企業(yè)的桌面資產(chǎn)。U盤審計(jì)及外設(shè)管理EAD解決方案可以對 U盤和外設(shè)的訪問過程進(jìn)行監(jiān)控， 可以查看重要文件通過 U盤拷貝時(shí)，有無存在不當(dāng)使用行為。EAD還提供了對U盤和其他外設(shè)的管理功能，可以對終端用戶的各種外設(shè)進(jìn)行控制，有效防止重要信息的泄密，而且在離線狀態(tài)下依然生效。易于部署的無客戶端EAD解決方案提供了免安裝的易用部署方式， 用戶事先不需要安裝客戶端， 上網(wǎng)時(shí)EAD系統(tǒng)會自動(dòng)載入客戶端，對用戶身份和終端安全狀態(tài)進(jìn)行檢查，用戶不需要改變上網(wǎng)習(xí)慣的同時(shí)，可以享受EAD帶來的安全保障。多種層次的高可用性EAD解決方案提供了雙機(jī)冷備和雙機(jī)熱備功能，可以避免單臺 EAD服務(wù)器當(dāng)機(jī)引起的認(rèn)證中斷，同時(shí)還支持單機(jī)故障的逃生方案，臨時(shí)允許客戶端不用認(rèn)證就可以使用網(wǎng)絡(luò)，保證了經(jīng)濟(jì)敏感用戶的利益。擴(kuò)展開放的解決方案EAD解決方案為客戶提供了一個(gè)擴(kuò)展、開放的結(jié)構(gòu)框架，最大限度的保護(hù)了用戶已有的投資。EAD廣泛、深入的和國內(nèi)外防病毒、操作系統(tǒng)、桌面安全等廠商展開合作，融合各家所長； EAD與第三方認(rèn)證服務(wù)器、聯(lián)動(dòng)設(shè)備等之間的交互基于標(biāo)準(zhǔn)、開放的協(xié)議架構(gòu)和規(guī)范，易于互聯(lián)互通。4．典型組網(wǎng)應(yīng)用局域網(wǎng)安全準(zhǔn)入防護(hù)在企業(yè)網(wǎng)內(nèi)部，接入終端一般是通過交換機(jī)接入企業(yè)網(wǎng)絡(luò)， EAD通過與交換機(jī)的聯(lián)動(dòng)， 強(qiáng)制檢查用戶終端的病毒庫和系統(tǒng)補(bǔ)丁信息， 降低病毒和蠕蟲蔓延的風(fēng)險(xiǎn)， 同時(shí)強(qiáng)制實(shí)施網(wǎng)絡(luò)接入用戶的安全策略，阻止來自企業(yè)內(nèi)部的安全威脅。廣域網(wǎng)安全準(zhǔn)入防護(hù)大型企業(yè)往往擁有分支機(jī)構(gòu)或合作伙伴，其分支機(jī)構(gòu)、合作伙伴也可以通過專線或 WAN連接企業(yè)總部。這種組網(wǎng)方式在開放型的商業(yè)企業(yè)中比較普遍，受到的安全威脅也更嚴(yán)重。為了確保接入企業(yè)內(nèi)部網(wǎng)的用戶具有合法身份且符合企業(yè)安全標(biāo)準(zhǔn)， 可以在分支機(jī)構(gòu)路由器、 總部路由器或網(wǎng)關(guān)中實(shí)施 EAD準(zhǔn)入控制，保證接入網(wǎng)絡(luò)的用戶終端不會對內(nèi)部網(wǎng)絡(luò)造成安全威脅。VPN安全準(zhǔn)入防護(hù)一些企業(yè)和機(jī)構(gòu)允許移動(dòng)辦公員工或外部合作人員通過 VPN方式接入企業(yè)內(nèi)部網(wǎng)絡(luò)。 EAD方案可以通過 VPN網(wǎng)關(guān)確保遠(yuǎn)程接入用戶在進(jìn)入企業(yè)內(nèi)部網(wǎng)之前， 檢查用戶終端的安全狀態(tài)， 并在用戶認(rèn)證通過后實(shí)施企業(yè)安全策略。 對于沒有安裝智能客戶端的遠(yuǎn)程用戶， 管理員可以選擇拒絕其訪問內(nèi)部網(wǎng)絡(luò)或限制其訪問權(quán)限。WLAN無線安全準(zhǔn)入防護(hù)對于外來訪客和企業(yè)內(nèi)部的移動(dòng)用戶，使用 WLAN無線網(wǎng)卡接入企業(yè)網(wǎng)絡(luò)的情況越來越多，這帶來了許多安全問題，EAD通過與FATAP、AC無線控制器等無線設(shè)備的聯(lián)動(dòng)，強(qiáng)制用戶在使用無線網(wǎng)絡(luò)之前，必須先進(jìn)行身份認(rèn)證、安全狀態(tài)檢查，在享受便捷的無線網(wǎng)絡(luò)同時(shí)，大大減少了來自空中的安全威脅。網(wǎng)關(guān)安全準(zhǔn)入防護(hù)通常企業(yè)在滿足互聯(lián)互通的要求后，會逐漸意識在內(nèi)部網(wǎng)絡(luò)安全控制的必要性，尤其是終端用戶的安全問題，這時(shí)終端的安全準(zhǔn)入控制就顯得尤為重要。而企業(yè)網(wǎng)絡(luò)通常為多廠商設(shè)備共存，很難單獨(dú)使用一家廠商的設(shè)備實(shí)施網(wǎng)絡(luò)的準(zhǔn)入控制。這種情況下，視網(wǎng)絡(luò)規(guī)模大小，我們推薦使用一臺或多臺網(wǎng)關(guān)設(shè)備作為強(qiáng)制認(rèn)證控制器，使用基于 Portal 的認(rèn)證協(xié)議，部署在核心層、數(shù)據(jù)中心、網(wǎng)絡(luò)出口等位置，與 iNode客戶端、安全策略服務(wù)器配合完成 EAD終端準(zhǔn)入控制。iMCEAD成功應(yīng)用于酒泉鋼鐵用戶背景酒泉鋼鐵（集團(tuán)）有限責(zé)任公司（以下簡稱酒鋼）位于萬里長城西端、古絲綢之路中段的甘肅省嘉峪關(guān)市。酒鋼始建于 1958年，是國家“一五”期間重點(diǎn)建設(shè)項(xiàng)目之一。目前有嘉峪關(guān)本部、蘭州榆中和山西翼城三大鋼鐵生產(chǎn)基地，集團(tuán)公司鐵、鋼、材綜合產(chǎn)能達(dá)到 800萬噸水平，技術(shù)裝備水平進(jìn)入國內(nèi)同行業(yè)先進(jìn)行列，資產(chǎn)總額 400余億元，員工總數(shù) 3.8萬人，是西北地區(qū)具有較大影響力的鋼鐵聯(lián)合企業(yè)之一。 2008年收入排中國企業(yè) 500強(qiáng)第172位，中國制造業(yè) 500強(qiáng)第88位。08年初，酒鋼決定啟動(dòng)桌面安全系統(tǒng)項(xiàng)目，經(jīng)過多次交流考察最終選擇 H3C作為解決方案的供應(yīng)商。部署規(guī)模共5000個(gè)信息點(diǎn)網(wǎng)絡(luò)現(xiàn)狀n 終端時(shí)刻受到病毒和蠕蟲的威脅，存在安全隱患，更為嚴(yán)重的是由此觸發(fā)一系列問題擴(kuò)散全網(wǎng)，導(dǎo)致全網(wǎng)癱瘓、核心數(shù)據(jù)時(shí)刻受到安全威脅，一旦被攻擊，將為企業(yè)造成無法挽回的損失；n 防護(hù)策略趕不上攻擊方式的更新，被動(dòng)式防御已不適應(yīng)企業(yè)的發(fā)展，主動(dòng)式保護(hù)的安全戰(zhàn)略勢在必行；n 隨意接入網(wǎng)絡(luò)、私設(shè)代理服務(wù)器，有意或無意的盜用 IP地址情況嚴(yán)重；n 網(wǎng)絡(luò)采用分散管理模式，終端難以保證其安全狀態(tài)符合企業(yè)安全策略，例如新的補(bǔ)丁發(fā)布了卻無人理會、新的病毒出現(xiàn)了卻不及時(shí)升級病毒庫的現(xiàn)象普遍存在，無法有效地從網(wǎng)絡(luò)接入點(diǎn)進(jìn)行安全防范；n 終端資產(chǎn)流失嚴(yán)重，信息中心經(jīng)常難以確認(rèn)終端 PC機(jī)的桌面資產(chǎn)狀況，各個(gè)單位的員工私自購換電腦，難以及時(shí)了解員工的終端環(huán)境，造成桌面資產(chǎn)不斷流失。EAD解決方案實(shí)施針對酒泉鋼鐵的終端管理現(xiàn)狀， H3C采用EAD終端準(zhǔn)入控制解決方案， 提出了解決措施， 其網(wǎng)絡(luò)拓?fù)涫疽鈭D所示：酒鋼現(xiàn)網(wǎng)網(wǎng)絡(luò)環(huán)境較為復(fù)雜，各中心、生產(chǎn)區(qū)和翼鋼、榆鋼多廠商設(shè)備共存，且存在大量 HUB，因此選擇Portal 的接入認(rèn)證方式，即在核心設(shè)備上側(cè)掛網(wǎng)關(guān)來實(shí)現(xiàn)終端準(zhǔn)入控制，并且根據(jù)接入用戶數(shù)選擇不同型號的網(wǎng)關(guān)設(shè)備。在辦公區(qū)采用 802.1x 的認(rèn)證方式，直接在接入層和 EAD解決方案進(jìn)行配合。EAD應(yīng)用效果在復(fù)雜的組網(wǎng)環(huán)境下實(shí)現(xiàn)準(zhǔn)入控制經(jīng)過多年的系統(tǒng)運(yùn)維與建設(shè)，酒鋼信息化平臺已搭建得比較完善，但組網(wǎng)較復(fù)雜，多廠商設(shè)備共存，還包括遠(yuǎn)在山西和蘭州的翼鋼和榆鋼兩個(gè)分廠。系統(tǒng)上線后， EAD解決方案很好的達(dá)到了用戶的預(yù)期目標(biāo)，實(shí)踐證明，通過網(wǎng)關(guān)、接入層設(shè)備、策略服務(wù)器和客戶端配合， EAD完全能保證復(fù)雜組網(wǎng)環(huán)境下終端準(zhǔn)入控制，提升網(wǎng)絡(luò)的安全和管理水平。立體安全管理在網(wǎng)絡(luò)中專門劃分出隔離區(qū)域， 趨勢防病毒軟件服務(wù)器、 操作系統(tǒng)補(bǔ)丁服務(wù)器、 EAD服務(wù)器均放置在網(wǎng)絡(luò)隔離區(qū)中。 員工在終端身份驗(yàn)證通過后即可訪問此區(qū)域的服務(wù)器， 并且根據(jù) EAD策略服務(wù)器的安全控制要求升級操作系統(tǒng)軟件補(bǔ)丁和病毒庫版本， 既保證了系統(tǒng)補(bǔ)丁、 病毒庫的及時(shí)更新和自動(dòng)升級，也有效地減輕了管理員的工作量。準(zhǔn)入控制和桌面資產(chǎn)管理相融合員工首次通過認(rèn)證后， 客戶端會自動(dòng)生成一個(gè)資產(chǎn)編號， 并將終端的桌面資產(chǎn)包括 CPU、內(nèi)存、硬盤、操作系統(tǒng)等軟硬件信息上報(bào)到 EAD服務(wù)器，實(shí)時(shí)記錄終端的資產(chǎn)變化，監(jiān)控 USB外設(shè)的使用情況。賬號和終端資產(chǎn)的聯(lián)動(dòng)機(jī)制能有效提高管理員的生產(chǎn)效率，減少其工作量，增強(qiáng)桌面安全，減少桌面資產(chǎn)流失。衛(wèi)生管理制度1 總則1.1 為了加強(qiáng)公司的環(huán)境衛(wèi)生管理，創(chuàng)造一個(gè)整潔、文明、溫馨的購物、辦公環(huán)境，根據(jù)《公共場所衛(wèi)生管理?xiàng)l例》的要求，特制定本制度。1.2 集團(tuán)公司的衛(wèi)生管理部門設(shè)在企管部，并負(fù)責(zé)將集團(tuán)公司的衛(wèi)生區(qū)域詳細(xì)劃分到各部室，各分公司所轄區(qū)域衛(wèi)生由分公司客服部負(fù)責(zé)劃分，確保無遺漏。2 衛(wèi)生標(biāo)準(zhǔn)2.1 室內(nèi)衛(wèi)生標(biāo)準(zhǔn)2.1.1 地面、墻面：無灰塵、無紙屑、無痰跡、無泡泡糖等粘合物、無積水，墻角無灰吊、無蜘蛛網(wǎng)。2.1.2 門、窗、玻璃、鏡子、柱子、電梯、樓梯、燈具等，做到明亮、無灰塵、無污跡、無粘合物，特別是玻璃，要求兩面明亮。2.1.3 柜臺、貨架：清潔干凈，貨架、柜臺底層及周圍無亂堆亂放現(xiàn)象、無灰塵、無粘合物，貨架頂部、背部和底部干凈，不存放雜物和私人物品。2.1.4 購物車（筐）、直接接觸食品的售貨工具（包括刀、叉等）：做到內(nèi)外潔凈，無污垢和粘合物等。購物車（筐）要求每天營業(yè)前簡單清理，周五全面清理消毒；售貨工具要求每天消毒，并做好記錄。2.1.5 商品及包裝：商品及外包裝清潔無灰塵（外包裝破損的或破舊的不得陳列）。2.1.6 收款臺、服務(wù)臺、辦公櫥、存包柜：保持清潔、無灰塵，臺面和側(cè)面無灰塵、無灰吊和蜘蛛網(wǎng)。桌面上不得亂貼、亂畫、亂堆放物品，用具擺放有序且干凈，除當(dāng)班的購物小票收款聯(lián)外，其它單據(jù)不得存放在桌面上。2.1.7 垃圾桶：桶內(nèi)外干凈，要求營業(yè)時(shí)間隨時(shí)清理，不得溢出，每天下班前徹底清理，不得留有垃圾過夜。2.1.8 窗簾：定期進(jìn)行清理，要求干凈、無污漬。2.1.9 吊飾：屋頂?shù)牡躏椧鬅o灰塵、無蜘蛛網(wǎng)，短期內(nèi)不適用的吊飾及時(shí)清理徹底。