【正文】 ........................................................................... 19 6 附： EAD解決方案應(yīng)用模型及功能特點(diǎn) ............................................................ 19 應(yīng)用模型 ............................................................................................... 19 安全準(zhǔn)入應(yīng)用模型 ......................................................................... 19 安全準(zhǔn)入工作流程 ......................................................................... 20 功能特點(diǎn) ............................................................................................... 21 安全狀態(tài)評(píng)估 ................................................................................ 21 用戶(hù)權(quán)限管理 ................................................................................ 22 用戶(hù)行為監(jiān)控 ................................................................................ 23杭州華三通信 技術(shù)有限公司 202073 內(nèi)部資料，請(qǐng)勿擴(kuò)散 第 4 頁(yè) , 共 20 頁(yè) 端點(diǎn)準(zhǔn)入防御 (EAD)方案 技術(shù) 建議書(shū) 1 概述 網(wǎng)絡(luò)安全問(wèn)題的解決，三分靠技術(shù)，七分靠管理，嚴(yán)格管理是企業(yè)、機(jī)構(gòu)及用戶(hù)免受網(wǎng)絡(luò)安全問(wèn)題威脅的重要措施。 為了解決現(xiàn)有網(wǎng)絡(luò)安全管理中存在的不足，應(yīng)對(duì)網(wǎng)絡(luò)安全威脅 ， H3C推出了 端點(diǎn)準(zhǔn)入防御（ EAD， Endpoint Admission Defense）解決方案 。 安全防護(hù)主要是對(duì)終端接入網(wǎng)絡(luò)進(jìn)行認(rèn)證，保證只有安全的終端才能接入網(wǎng)絡(luò)，對(duì)達(dá)不到安全要求的終端可以進(jìn)行修復(fù)，保障終端和網(wǎng)絡(luò)的安全；安全監(jiān)控是指在上網(wǎng)過(guò)程中，系統(tǒng)實(shí)時(shí)監(jiān)控用戶(hù)終端的安全 狀態(tài)，并針對(duì)用戶(hù)終端的安全事件采取相應(yīng)的應(yīng)對(duì)措施，實(shí)時(shí)保障網(wǎng)絡(luò)安全。 方案組成部分 為了有效實(shí)現(xiàn)用戶(hù)終端安全準(zhǔn)入控制，需要實(shí)現(xiàn)終端安全信息采集點(diǎn)、終端安全信息決策點(diǎn)和終端安全信息執(zhí)行點(diǎn)的分離，同時(shí)還需要提供有效的技術(shù)手段，對(duì)用戶(hù)終端存在的安全問(wèn)題進(jìn)行修復(fù)，使之符合企業(yè)終端安全策略，順利接入 網(wǎng)絡(luò)進(jìn)行工作。安全策略服務(wù)器定義了對(duì)用戶(hù)終端進(jìn)行準(zhǔn)入控制的一系列策略，包括用戶(hù)終端安全狀態(tài)評(píng)估配置、補(bǔ)丁檢查項(xiàng)配置、安全策略配置、終端修復(fù)配置以及對(duì)終端用戶(hù)的隔離方式配置等。 ? 安全聯(lián)動(dòng)控制。 此類(lèi)服務(wù)器通常放置于網(wǎng)絡(luò) 隔離區(qū)中，用于終端進(jìn)行自我修復(fù) 操作 。 安全聯(lián)動(dòng)設(shè)備 安全聯(lián)動(dòng)設(shè)備是企業(yè)網(wǎng)絡(luò)中安全策略的實(shí)施點(diǎn)，起到強(qiáng)制用戶(hù)準(zhǔn)入認(rèn)證、隔離不合格終端、為合法用戶(hù)提供網(wǎng)絡(luò)服務(wù)的作用。聯(lián)動(dòng)設(shè)備接收到安全策略服務(wù)器下發(fā)的隔離指令后， 目前 可以通過(guò) 動(dòng)態(tài) ACL方式限制用戶(hù)的訪問(wèn)權(quán)限；同樣，收到解除用戶(hù)隔離的指令后也可以在線解除對(duì)用戶(hù)終端的隔離。 ? 檢查用戶(hù)終端的安全狀態(tài)，包括操作系統(tǒng)版本、系統(tǒng)補(bǔ)丁、共享目錄、已安裝的軟件、已啟動(dòng)的服務(wù)等用戶(hù)終端信息；同時(shí)提供與防病毒客戶(hù)端聯(lián)動(dòng)的接口，實(shí)現(xiàn)與第三方防病毒 軟件產(chǎn)品 客戶(hù)端的聯(lián)動(dòng)，檢查用戶(hù)終端的防病毒軟件版本、病毒庫(kù)版本、以及病毒查殺信息。 ? 實(shí)時(shí)監(jiān)控系統(tǒng)安全狀態(tài)，包括是否更改安全設(shè)置、是否發(fā)現(xiàn)新病毒等，并將安全事件定時(shí)上報(bào)到安全策略服務(wù)器，用于事后進(jìn)行安全審計(jì)。 SMS 20xx提供了 詳細(xì)的報(bào)告，使應(yīng)用程序配置過(guò)程變得輕松。 ? 提高權(quán)限的 Windows安裝服務(wù) ： 鑒于 SMS 20xx支持 Windows安裝服務(wù) (.msi)，在一個(gè)組件安裝過(guò)程中，可以在關(guān)聯(lián)的帳戶(hù)間切換，允許在 “向下鎖定 ”的系統(tǒng)上安裝自我復(fù)原的應(yīng)用程序。 ? 詳細(xì)的 軟件、 硬件資產(chǎn)目錄 ： Windows管理工具（ WMI）增強(qiáng)功能，實(shí)現(xiàn)在資產(chǎn)目錄掃描過(guò)程中客戶(hù)端的性能提升，并提供一套更豐富的資產(chǎn)目錄數(shù)據(jù)。 Windows 管理服務(wù)集成 ? 活動(dòng)目錄探索 ： SMS 20xx可以自動(dòng)探索用戶(hù)和系統(tǒng)的活動(dòng)目錄屬性，包括組織單元容器和組級(jí)成員。 ? 改進(jìn)的狀態(tài)工具 ： 狀態(tài)數(shù)據(jù)提供了有關(guān) SMS 20xx在服務(wù)器和客戶(hù)端兩方面處理當(dāng)前狀況的實(shí)時(shí)信息 4 EAD 解決方案組網(wǎng) 部署 通過(guò)與不同網(wǎng)絡(luò)接入設(shè)備的聯(lián)動(dòng)， EAD解決方案可在多種 應(yīng)用場(chǎng)景中實(shí)現(xiàn)用戶(hù)終端安全準(zhǔn)入控制，滿足不同網(wǎng)絡(luò)環(huán)境下，端點(diǎn)安全準(zhǔn)入控制的需要。 ? 在 接入 交換機(jī)（ S30/35/36系列 交換機(jī)）中 要 部署 ，強(qiáng)制進(jìn)行基于用戶(hù)的 和動(dòng)態(tài) ACL、 VLAN控制 。 ? 防病毒服務(wù)器（可選）必須部署于隔離區(qū)，可以與補(bǔ)丁服務(wù)器、 EAD安全代理共用一臺(tái)主機(jī)，可以選擇 Norton防病毒、趨勢(shì)防病毒、 McAFee防病毒、安博士防病毒、 CA Kill安全甲胄 、 瑞星殺毒軟件、金山毒霸以及江民 KV防病毒軟件 。 3. CAMS通知接入設(shè)備 （ S30/35/36系列或其他 支持 EAD解決方案 的交換機(jī)） ，將該用戶(hù)的訪問(wèn)權(quán)限限制到隔離區(qū)內(nèi)。如果 合格 則 解除隔離，進(jìn)入步驟 7。 2. 合法用戶(hù)接入網(wǎng)絡(luò)后，其訪問(wèn)權(quán)限受 S30/35/39/50系列 交換機(jī)中的 ACL控制。 4. 用戶(hù)正常接入網(wǎng)絡(luò)前，必須通過(guò)安全客戶(hù)端的安全檢查，確保沒(méi)有感染病毒且病毒庫(kù)版本和補(bǔ)丁得到及時(shí)升級(jí)。尤其是在對(duì)用戶(hù)原有企業(yè)網(wǎng)絡(luò)進(jìn)行改造，實(shí)施 EAD解決方案時(shí)，可以將原有匯聚層設(shè)備替換為支持 EAD解決方案的 H3C匯聚層設(shè)備，實(shí)現(xiàn) EAD解決方案的應(yīng)用。 5. 實(shí)施效果 實(shí)施效果 同接入層準(zhǔn)入控制 相同 ，但是網(wǎng)絡(luò)改造費(fèi)用降低、系統(tǒng)部署簡(jiǎn)單。而這時(shí)的企業(yè)網(wǎng)絡(luò)通常為多廠商設(shè)備共存，很難單獨(dú)使用 一家廠商的設(shè)備實(shí)施網(wǎng)絡(luò)的準(zhǔn)入控制，這種情況下，視網(wǎng)絡(luò)規(guī)模大小，我們推薦使用一臺(tái)或多臺(tái)網(wǎng)關(guān)設(shè)備作為強(qiáng)制認(rèn)證控制器，使用基于 Portal的認(rèn)證協(xié)議， 與 iNode客戶(hù)端、安全策略服務(wù)器配合完成 EAD端點(diǎn)準(zhǔn)入防御 。 3. 方案說(shuō)明 ? 使用 AR46/2 MSR、 S7502E設(shè)備配合組網(wǎng)，設(shè)備通常放置在網(wǎng)絡(luò)出口，并在設(shè)備上開(kāi)啟 Portal認(rèn)證功能。 ? 隔離區(qū)的設(shè)置、第三方服務(wù)器的設(shè)置、 CAMS自助服務(wù)器 和 EAD安全代理服務(wù)器的 設(shè)置等信息同接入層準(zhǔn)入控制。 簡(jiǎn)化了客戶(hù)端分發(fā)工作。 3. 通過(guò)安全認(rèn)證網(wǎng)關(guān)和策略服務(wù)器、客戶(hù)端配合，解決了網(wǎng)絡(luò)上多廠商設(shè)備共存的問(wèn)題； 4. 其余同接入層準(zhǔn)入控制。 隔離模式 對(duì)于 一些關(guān)系比較重大的安全漏洞或補(bǔ)丁，如 Windows服務(wù)器的致命安全補(bǔ)丁，需要進(jìn)行比較嚴(yán)厲的控制 。在 提醒 模式下，安全客戶(hù)端檢查用戶(hù)終端的安全狀態(tài)信息，并將不合格項(xiàng)以彈出窗口的形式提供給終端用戶(hù)，同時(shí)提供修復(fù)指導(dǎo)和相關(guān)鏈接。 一些相對(duì)普通的安全問(wèn)題，如提示性的補(bǔ)丁安 裝，可以在不影響終端用戶(hù)工作的情況下，由管理員進(jìn)行定期檢查并通告。主要與 Portal認(rèn)證相配合 ，實(shí)現(xiàn)網(wǎng)絡(luò)出口或是關(guān)鍵數(shù)據(jù)區(qū)域的認(rèn)證保護(hù)。 5 系統(tǒng)參數(shù)及環(huán)境要求 EAD 系統(tǒng)技術(shù)參數(shù) ? 網(wǎng)絡(luò)帶寬占用：用戶(hù)終端安全狀態(tài)信息 1K； ? 并發(fā)連接數(shù)： CAMS應(yīng)用服務(wù)器可支持 5000個(gè)并發(fā)連接； ? 雙機(jī)備份：支持 24小時(shí)主備數(shù)據(jù)自動(dòng)同步方案； 杭州華三通信 技術(shù)有限公司 202073 內(nèi)部資料，請(qǐng)勿擴(kuò)散 第 19 頁(yè) , 共 20 頁(yè) EAD 系統(tǒng)環(huán)境要求 ? CAMS 安全策略服務(wù)器 軟件環(huán)境：操作系統(tǒng)和數(shù)據(jù)庫(kù)分別為 Windows 20xx Advanced Server中文版＋SP SQL Server 20xx＋ SP4 ? 硬件環(huán)境： 5000 用戶(hù)，推薦使用雙路 Xeon 的 PC 服務(wù)器以上、 1G 以上內(nèi)存。 圖表 1 EAD解決方案安全準(zhǔn)入應(yīng)用模型圖 杭州華三通信 技術(shù)有限公司 202073 內(nèi)部資料，請(qǐng)勿擴(kuò)散 第 20 頁(yè) , 共 20 頁(yè) 安全準(zhǔn)入工作流程 ? 身份驗(yàn)證： 用戶(hù)終端接入網(wǎng)絡(luò)時(shí)，首先進(jìn)行用戶(hù)身份認(rèn)證，非法用戶(hù)將被拒絕接入網(wǎng)絡(luò)。 ? 安全修復(fù)： 進(jìn)入隔離區(qū)的用戶(hù)可以進(jìn)行補(bǔ)丁、病毒庫(kù)的升級(jí)、卸載非法軟件和停止非法服務(wù)等操作，直到安全狀態(tài)合格。 安全狀態(tài)評(píng)估 ? 終端補(bǔ)丁檢測(cè)： 評(píng)估客戶(hù)端的補(bǔ)丁安裝是否合格，可以檢測(cè)的補(bǔ)丁包括：操作系統(tǒng)