钢铁端点准入防御方案技术建议书.docVIP

某钢铁端点准入防御方案技术建议书 目 录 1 概述 4 2 EAD端点准入防御解决方案介绍 5 2.1 方案思路 5 2.2 方案组成部分 5 2.2.1 EAD安全策略服务器 6 2.2.2 修复服务器 7 2.2.3 安全联动设备 7 2.2.4 安全客户端 7 3 EAD解决方案组网部署 8 3.1 多厂商设备混合组网部署（Portal方式） 9 方案组网 10 组网设备 10 方案说明 10 流程说明 11 实施效果 11 3.2 接入层准入控制组网部署（802.1x） 11 方案组网 11 组网设备 12 方案说明 12 流程说明 13 实施效果 13 3.3 EAD应用模式 14 3.3.1 隔离模式 14 3.3.2 Guest模式 14 3.3.3 VIP模式 15 3.3.4 下线模式 15 4 EAD解决方案应用模型及功能特点 16 4.1 端点准入防御应用模型 16 4.1.1 端点准入防御应用模型 16 4.1.2 端点准入防御工作流程 16 4.2 端点准入防御功能特点 17 4.2.1 安全状态评估 17 4.2.2 用户权限管理 18 4.2.3 用户行为监控 18 4.3 桌面资产管理应用模型 19 4.3.1 桌面资产管理应用模型 19 4.4 桌面资产管理功能特点 20 4.4.1 终端资产管理 20 4.4.2 软件分发 21 5 系统参数及环境要求 21 5.1 EAD系统技术参数 21 5.2 EAD系统环境要求 21 6 附1：部署说明 22 7 附2：EAD功能列表 23 概述 随意接入网络、私设代理服务器为了解决现有网络安全管理中存在的不足，应对网络安全威胁，端点准入防御（EAD，Endpoint Admission Defense）解决方案。该方案从用户终端准入控制入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备防病毒软件产品、补丁管理产品，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，可以加强用户终端的主动防御能力，大幅度提高网络安全。EAD端点准入防御解决方案介绍 EAD端点准入防御方案包括两个重要功能：安全防护和安全监控安全防护主要是对终端接入网络进行认证，保证只有安全的终端才能接入网络，对达不到安全要求的终端可以进行修复，保障终端和网络的安全；安全监控是指在上网过程中，系统实时监控用户终端的安全状态，并针对用户终端的安全事件采取相应的应对措施，实时保障网络安全。 方案思路 EAD解决方案的实现思路，是通过将网络接入控制和用户终端安全策略控制相结合，以用户终端对企业安全策略的符合度为条件，控制用户访问网络的接入权限，从而降低病毒、非法访问等安全威胁对企业网络带来的危害。为达到以上目的，提出了包括检查隔离修复监控的整体解决思路。 检查： 检查网络接入用户的身份； 检查网络接入用户的访问权限； 检查网络接入用户终端的安全状态； 隔离： 隔离非法用户终端和越权访问； 隔离存在重大安全问题或安全隐患的用户终端； 修复： 帮助存在安全问题或安全隐患的用户终端进行安全修复，以便能够正常使用网络； 监控： 实时监控在线用户的终端安全状态，及时获取终端安全信息 对非法用户、越权访问和存在安全问题的网络终端进行定位统计，为网络安全管理提供依据； 通过制定新的安全策略，持续保障网络的安全。 方案组成部分 为了有效实现用户终端安全准入控制，需要实现终端安全信息采集点、终端安全信息决策点和终端安全信息执行点的分离，同时还需要提供有效的技术手段，对用户终端存在的安全问题进行修复，使之符合企业终端安全策略，顺利接入网络进行工作。EAD解决方案的组成部分见下图： EAD解决方案组成部分 如图所示，EAD解决方案的基本部件包括安全策略服务器、防病毒服务器、补丁服务器等修复服务器、安全联动设备和H3C安全客户端，各部件各司其职，由安全策略中心协调，共同完成对网络接入终端的安全准入控制。 安全策略服务器 EAD方案的核心是整合与联动，而安全策略服务器是EAD方案中的管理与控制中心，兼具用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。 安全策略管理。安全策略服务器定义了对用户终端进行准入控制的一系列策略，包括用户终端安全状态评估配置、补丁检查项配置、安全策略配置、终端修复配置以及对终端用户的隔离方式配置等。 用户管理。企业网中，不同的用户、不同类型的接入终端可能要求不同级别的安全检查和控制。安全策略服务器可以为不同用户提供基于身份的个性化安全配置和网络服务等级，方便管理员对网络用户制定差异化的安全策略。 安全联动控制。安全策略服务器负责评估安全客户端上报的安全状态，控制安全联动设备对用户的隔离与开放，下发用