中國電信股份有限公司上海研究院是中國電信集團公司產(chǎn)品開(kāi)發(fā)和業(yè)務(wù)研究的主要科研機構,是中國電信集團研發(fā)和創(chuàng )新體系的重要組成部分,是中國電信股份有限公司上海公司的主要科研基地。
研究院擁有雄厚的科研基礎設施,強大的科研開(kāi)發(fā)團隊和高水平的研發(fā)成果,院內目前擁有產(chǎn)品開(kāi)發(fā)、業(yè)務(wù)研究、技術(shù)支撐等各類(lèi)專(zhuān)業(yè)人員300余名。研究院一直致力于中國電信產(chǎn)品創(chuàng )新,不斷為公司開(kāi)發(fā)出可贏(yíng)利的產(chǎn)品,成為“創(chuàng )新能力強、價(jià)值貢獻大”的行業(yè)一流研發(fā)機構。
在07到08年兩年時(shí)間內,電信上海研究院考察、測試了多家廠(chǎng)商的桌面安全系統,并最終選擇H3C作為終端準入控制解決方案的供應商,并成功應用于全院網(wǎng)絡(luò )。
網(wǎng)絡(luò )現狀
研究院終端分為有線(xiàn)接入網(wǎng)絡(luò )和無(wú)線(xiàn)接入網(wǎng)絡(luò )兩種,其中,不同的終端分布于不同的部門(mén),因此對于不同終端的訪(fǎng)問(wèn)權限,需要進(jìn)行嚴格的控制。
網(wǎng)絡(luò )中還存在一些HUB設備,研究院希望在保留HUB應用的同時(shí),可以對HUB下的終端也同樣可以實(shí)施管理策略。
由于來(lái)研究院交流的外來(lái)用戶(hù)很多,導致網(wǎng)絡(luò )中會(huì )存在大量的病毒,而終端上部署的Norton殺毒軟件往往不能及時(shí)更新病毒庫,因此給研究院內網(wǎng)正常運轉帶來(lái)很大的困擾,隨病毒泛濫的還有ARP攻擊報文。
研究院盡管在先前部署了微軟的WSUS補丁服務(wù)器,但仍然存在大量終端未及時(shí)更新補丁導致系統崩潰的問(wèn)題。
上述問(wèn)題的存在,給研究院終端管理帶來(lái)了很大工作量,研究院考察和測試了多家廠(chǎng)商的解決方案,經(jīng)過(guò)充分的交流和論證,最終選擇了H3C的EAD終端準入控制解決方案。
EAD解決方案實(shí)施
H3C針對研究院網(wǎng)絡(luò )部署的特點(diǎn),提出了綜合的解決措施,其網(wǎng)絡(luò )拓撲示意圖所示:
研究院網(wǎng)絡(luò )接入分成三個(gè)部分,包括通過(guò)思科設備有線(xiàn)接入、華為設備有線(xiàn)接入以及寬迅設備無(wú)線(xiàn)接入。對于支持標準802.1X認證的思科設備和華為設備,EAD直接與其配合進(jìn)行終端準入控制;對于寬訊設備,EAD通過(guò)在線(xiàn)部署EAD網(wǎng)關(guān)S5500-28C-EI的方式對無(wú)線(xiàn)接入用戶(hù)進(jìn)行終端準入控制。同時(shí),EAD可以與Norton病毒服務(wù)器和WSUS補丁服務(wù)器進(jìn)行了配合聯(lián)動(dòng)。
EAD應用效果
- 依賴(lài)于標準協(xié)議的設備配合
在整個(gè)實(shí)施方案中,EAD系統使用標準802.1X協(xié)議以及Portal協(xié)議與設備交互,能夠與設備無(wú)縫配合來(lái)控制用戶(hù)終端,且不會(huì )造成設備的性能問(wèn)題。EAD系統支持終端用戶(hù)通過(guò)有線(xiàn)或無(wú)線(xiàn)聯(lián)入網(wǎng)絡(luò ),兩種接入方式對于管理員和使用者而言都沒(méi)有操作上的區別,屏蔽了操作差異化的同時(shí)還支持對HUB下掛接入用戶(hù)的支持,保證了系統的安全。
- 統一直觀(guān)的終端管理
EAD系統可以對全網(wǎng)設備和接入用戶(hù)終端進(jìn)行統一管理,對于設備狀態(tài)、端口狀態(tài)、用戶(hù)上線(xiàn)/下線(xiàn)狀態(tài)、終端安全狀態(tài)、終端資產(chǎn)狀態(tài)一目了然,十分方便于管理員進(jìn)行報表生成、匯總等。
- 靈活而人性化的準入控制
EAD系統支持對“非法”接入用戶(hù)進(jìn)行多種處理模式,除了傳統的下線(xiàn)、隔離“硬處理“模式外,還支持提醒、記錄等”軟處理“模式(而不影響用戶(hù)正常上網(wǎng)),這樣靈活的處理方式十分適合于管理員初次部署EAD系統,也十分適合于一些高層領(lǐng)導以及一些對IT操作不是十分熟練的老專(zhuān)家使用。
同時(shí),系統支持將不同部門(mén)終端用戶(hù)進(jìn)行網(wǎng)絡(luò )層面的區分,保證用戶(hù)可訪(fǎng)問(wèn)網(wǎng)絡(luò )權限的安全性。
- 功能豐富的終端控制功能
EAD系統支持客戶(hù)端快速部署、遠程軟件分發(fā)等功能,管理員不需要趕赴最終用戶(hù)現場(chǎng)就可以幫助最終用戶(hù)解決從安裝到調試的多種問(wèn)題。同時(shí),EAD系統支持補丁的及時(shí)快速下發(fā),并能夠為最終用戶(hù)進(jìn)行病毒庫的升級,保證用戶(hù)終端是一個(gè)安全的系統。
- 嚴格的用戶(hù)行為審計
EAD系統可以嚴格配合網(wǎng)絡(luò )/設備來(lái)對用戶(hù)進(jìn)行控制,同時(shí)可以監視終端用戶(hù)的上網(wǎng)行為以及U盤(pán)使用情況,十分符合企業(yè)內部安全法規和條例,滿(mǎn)足SOX法案對中國電信這樣上市公司的強制要求。
