- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
谈管理:福建邮政
一、 导读
Ø 通过部署H3C EAD终端准入控制解决方案(简称:EAD),管理福建邮政管理网和生产网1万余台计算机终端,采用802.1X和Portal混合的部署方式与现有网络相契合,保护既有网络设施投资;
Ø EAD系统的多项功能:严格的网络接入认证、动态的用户权限控制策略、与AD域帐号按需同步、灵活的部署策略、强大的软件黑白名单管理等,符合福建邮政实际的终端管理要求,保证安全、可信的计算机终端接入网络,消除终端的不安全因素或将其减少到最小;
Ø 与上网审计系统的融合:EAD系统能够与iMC UBA用户行为审计组件配合,实现基于用户名的上网审计,精确定位到具体人员。
二、 项目背景及用户需求
为了加强信息安全管理,福建省邮政实施了一系列的网络改造和安全建设工程,通过部署防火墙设备、入侵检测系统、安全代理服务器、防病毒系统等以及下发了防火墙、远程接入、主干路由、主机、操作系统、数据库、网络、应用等方面的管理规定和技术规范,建立了以边界防护为主要模式的安全防护体系,信息网安全状况大大改善。但安全事件仍时有发生,计算机终端安全问题是主要原因之一。
计算机终端是各类信息产生的起点和销毁的终点,各种操作的实施点,同时也是信息全过程安全的控制点。计算机终端安全影响着整个信息系统安全,忽视计算机终端安全可能导致福建邮政通过部署防火墙、入侵检测等系统构筑的安全防护“千里之堤”毁于一旦。因此福建邮政迫切需要部署一套终端准入管理系统来解决以下难题:
(1) 接入管理混乱。外来终端可随意接入福建邮政信息网、无需认证,IP、MAC地址随意更改、盗用,极易造成非授权访问。
(2) 接入终端安全管控不力。无法及时发现补丁漏洞未及时升级安装、防病毒软件未安装、病毒库未及时更新的接入终端,病毒、木马事件时有发生;无法根据终端的安全级别进行分类和控制,造成重要信息随意存取、散播和泄漏;无法对终端的接入端口、外设进行管理和审计,造成信息的泄漏。
(3) 接入终端桌面管控不力。终端随意安装与工作无关的软件;终端维护只能现场手工处理,维护工作效率低下。
(4) 接入终端身份有效性无法验证,难以追踪安全事件的责任主体。
(5) 对接入终端的网络资源使用情况缺乏管理手段,无法有效阻止个别终端P2P下载软件或病毒、木马造成的网络带宽堵塞。
三、 H3C解决之道
EAD系统的部署,在解决用户基本需求的基础上,在组网环境适应能力、高可靠性设计、与AD域无缝融合等方面的表现出色。
(一)组网灵活
EAD系统支持使用802.1X、Portal以及VPN准入控制协议进行组网。根据福建邮政的网络现状,采用了 802.1X和Portal两种方式相结合进行部署,要求各地市中心原则上选择安全级别最高的接入层802.1X组网方式,其次选择汇聚层Portal组网方式。
(二)方案可靠
由于安全策略服务器是福建邮政全省Windows 终端准入控制系统的核心指挥部件,该服务器的可靠运行关系到全网的正常运行,因此必须提高终端准入控制系统的可靠性。
省中心采用两台服务器和存储阵列构建双机热备的安全策略服务器集群,当主服务器失效时,可自动切换到备用服务器。同时,考虑极端情况下的应急方案,在各地市中再部署一台机器作为逃生服务器。由于EAD逃生软件对服务资源开销需求很小,因此可利旧性能较低的服务器或者使用PC机作为逃生服务器。
(三)用户信息与现有系统无缝融合
由于全省的用户数较多,为了管理方便,引入了Windows AD(Active Directory,活动目录)域系统。终端准入控制系统使用Windows AD域系统的用户信息,与Windows AD域进行融合认证,用户只需执行正常的域登录操作,即可同时完成802.1x/Portal接入认证和Windows域登录认证,达到了统一认证和单点登录的目的。
四、 为什么选择H3C
为了选择一个合适的终端准入控制产品,福建邮政组织了一个严格的测试选型工作。H3C EAD终端准入控制系统脱颖而出。EAD系统在测试中体现出来的主要优势如下:
(1) EAD可利用现网的H3C路由器、交换机、防火墙等设备作为策略执行器,节省设备投入;
(2) EAD能够与现有的H3C iMC智能管理中心融合,可实现统一的管理;
(3) EAD能够与H3C UBA用户行为审计组件配合,实现基于用户名的上网审计,管理上一步到位;
(4) EAD能够与现有的报表系统融合,EAD系统的信息均可整合到报表系统中,让管理更简单。
基于以上突出表现,福建省邮政最终选择了EAD系统。
五、 实际效用 & 用户感言
部署了EAD系统之后,针对终端管理和控制问题就有了主动防范办法,有了“查、控、管”的手段;同时结合福建邮政制定和完善相关管理制度,福建邮政之前的终端接入混乱,终端安全和终端桌面管控不力的局面得到了很大的改善。
“通过部署终端准入控制系统并制定和完善相关管理制度,我省终端接入混乱,终端安全和终端桌面管控不力的局面得到了很大的改善。但随着技术的发展,各种终端接入方式、终端外设接口类型以及针对终端的攻击技术日新月异,使得内部网络的计算机终端情况仍然错综复杂。计算机终端安全管理是一项任重而道远的工作。“
--福建省邮政信息技术局洪波
产品与解决方案
售前咨询
售后咨询
人工在线咨询
