央视国际(央视网、CCTV.COM)是中国中央电视台网站,是一个集新闻、信息、娱乐、服务为一体的具有视听、互动特色的综合性网络媒体。目前已实现CCTV节目网上同步视频直播,并对CCTV重点栏目、特别报道、大赛晚会制作网上视频点播节目。此外央视国际是北京2008奥运会官方互联网/移动平台唯一授权转播机构,也是奥运历史上首次采用除电视外的网络新媒体转播。
央视国际内网是一个上千人的办公网,网络安全管理十分重要,为了确保各业务系统正常运行,以满足用户的最佳体验,央视国际不再满足于局部安全,希望通过网管中心对所有接入网络的人员和设备进行控制。由于央视国际业务的特殊性,其接入人员、地理位置都比较复杂,接入方式涵盖了局域网、广域网、VPN、无线等各种情况,对于网络安全管理是一个难题,并且通常的用户管理及接入控制软件往往缺乏与网络资源管理、业务管理的融合,导致管理手段单一、管理力度不足、管理操作复杂。因此,央视国际迫切需要一种管理方案,使得用户、网络、业务统一管理、互相协同,提升管理效率,以满足多种接入场景所需。
EAD服务于央视国际
根据央视国际的目前需求和未来发展规划,并考虑其统一方案要求,H3C采用将网络接入控制和用户终端安全策略控制相结合的解决方案。以用户终端对企业安全策略的符合度为条件,控制用户访问网络的接入权限,以降低非法访问、病毒等安全威胁对企业网络带来的危害。为此,H3C提出了包括检查、隔离、修复、监控的整体思路:
1.检查:
检查网络接入用户的身份(包括IP、MAC、端口等);
检查网络接入用户的访问权限;
检查网络接入用户终端的安全状态;
2.隔离:
隔离非法用户终端和越权访问;
隔离存在重大安全问题或安全隐患的用户终端;
3.修复:
帮助存在安全问题或安全隐患的用户终端进行安全修复,以便能够正常使用网络;
4.监控:
实时监控在线用户的终端安全状态,及时获取终端安全信息;
对非法用户、越权访问和存在安全问题的网络终端进行定位统计,为网络安全管理提供依据;
通过制定新的安全策略,持续保障网络的安全。
方案特点
H3C EAD终端准入控制(EAD,End user Admission Domination)解决方案从控制用户终端接入网络的角度入手,整合网络接入控制与终端管理产品,通过iNode智能客户端、EAD策略服务器、iMC平台、网络设备以及第三方软件的配合和联动,对接入网络的用户终端强制实施企业策略,严格控制终端用户的网络使用行为;同时,在管理上,又能做到用户管理与网络设备管理、网络拓扑管理的融合,并与iMC网管中心的联动,使得H3C终端准入控制解决方案在有效地加强用户终端的主动防御能力的基础上,为企业网络管理人员更提供了有效、易用、强大的管理工具和手段。
对于要接入网络的用户,EAD解决方案首先要对其进行身份认证,通过身份认证的用户进行终端的认证,根据网络管理员定制的策略进行包括病毒库更新情况、系统补丁安装情况、软件的黑白名单等内容的检查,根据检查的结果,EAD对用户网络准入进行授权和控制。通过认证后,用户可以正常使用网络,与此同时,EAD可以对用户终端运行情况和网络使用情况进行审计和监控。
EAD采用基于用户名和密码的身份认证外,EAD还实现用户身份与接入终端的MAC地址、IP地址、所在VLAN、接入设备IP、接入设备端口号等信息进行绑定,严格控制了非法接入,并且EAD部署了基于终端用户的角色,向联动设备下发事先配置的接入控制策略,按照用户角色权限规范用户的网络使用行为,终端用户的所属VLAN、ACL访问策略、是否禁止使用代理、是否禁止使用双网卡等措施均可由管理员统一配置实施。
应用效果
H3C协助央视国际提供内网控制解决方案,实现加强控制和简化管理的完美结合。首先通过EAD进行事前预防,确保接入用户的合法性、健康性;安全联动进行事中控制,对威胁进行追根溯源,变被动防御为主动预防;安全管理中心对安全事件进行实时分析和事后审计,找出当前网络的薄弱环节,作为下一步策略完善和安全建设的依据。央视国际通过EAD系统的实施部署后,严格保障了网络安全性,并且大幅提高了管理的效率,为央视国际网络的可靠运行提供了有效支撑。
