中国电信股份有限公司上海研究院是中国电信集团公司产品开发和业务研究的主要科研机构,是中国电信集团研发和创新体系的重要组成部分,是中国电信股份有限公司上海公司的主要科研基地。
研究院拥有雄厚的科研基础设施,强大的科研开发团队和高水平的研发成果,院内目前拥有产品开发、业务研究、技术支撑等各类专业人员300余名。研究院一直致力于中国电信产品创新,不断为公司开发出可赢利的产品,成为“创新能力强、价值贡献大”的行业一流研发机构。
在07到08年两年时间内,电信上海研究院考察、测试了多家厂商的桌面安全系统,并最终选择H3C作为终端准入控制解决方案的供应商,并成功应用于全院网络。
网络现状
研究院终端分为有线接入网络和无线接入网络两种,其中,不同的终端分布于不同的部门,因此对于不同终端的访问权限,需要进行严格的控制。
网络中还存在一些HUB设备,研究院希望在保留HUB应用的同时,可以对HUB下的终端也同样可以实施管理策略。
由于来研究院交流的外来用户很多,导致网络中会存在大量的病毒,而终端上部署的Norton杀毒软件往往不能及时更新病毒库,因此给研究院内网正常运转带来很大的困扰,随病毒泛滥的还有ARP攻击报文。
研究院尽管在先前部署了微软的WSUS补丁服务器,但仍然存在大量终端未及时更新补丁导致系统崩溃的问题。
上述问题的存在,给研究院终端管理带来了很大工作量,研究院考察和测试了多家厂商的解决方案,经过充分的交流和论证,最终选择了H3C的EAD终端准入控制解决方案。
EAD解决方案实施
H3C针对研究院网络部署的特点,提出了综合的解决措施,其网络拓扑示意图所示:
研究院网络接入分成三个部分,包括通过思科设备有线接入、华为设备有线接入以及宽迅设备无线接入。对于支持标准802.1X认证的思科设备和华为设备,EAD直接与其配合进行终端准入控制;对于宽讯设备,EAD通过在线部署EAD网关S5500-28C-EI的方式对无线接入用户进行终端准入控制。同时,EAD可以与Norton病毒服务器和WSUS补丁服务器进行了配合联动。
EAD应用效果
- 依赖于标准协议的设备配合
在整个实施方案中,EAD系统使用标准802.1X协议以及Portal协议与设备交互,能够与设备无缝配合来控制用户终端,且不会造成设备的性能问题。EAD系统支持终端用户通过有线或无线联入网络,两种接入方式对于管理员和使用者而言都没有操作上的区别,屏蔽了操作差异化的同时还支持对HUB下挂接入用户的支持,保证了系统的安全。
- 统一直观的终端管理
EAD系统可以对全网设备和接入用户终端进行统一管理,对于设备状态、端口状态、用户上线/下线状态、终端安全状态、终端资产状态一目了然,十分方便于管理员进行报表生成、汇总等。
- 灵活而人性化的准入控制
EAD系统支持对“非法”接入用户进行多种处理模式,除了传统的下线、隔离“硬处理“模式外,还支持提醒、记录等”软处理“模式(而不影响用户正常上网),这样灵活的处理方式十分适合于管理员初次部署EAD系统,也十分适合于一些高层领导以及一些对IT操作不是十分熟练的老专家使用。
同时,系统支持将不同部门终端用户进行网络层面的区分,保证用户可访问网络权限的安全性。
- 功能丰富的终端控制功能
EAD系统支持客户端快速部署、远程软件分发等功能,管理员不需要赶赴最终用户现场就可以帮助最终用户解决从安装到调试的多种问题。同时,EAD系统支持补丁的及时快速下发,并能够为最终用户进行病毒库的升级,保证用户终端是一个安全的系统。
- 严格的用户行为审计
EAD系统可以严格配合网络/设备来对用户进行控制,同时可以监视终端用户的上网行为以及U盘使用情况,十分符合企业内部安全法规和条例,满足SOX法案对中国电信这样上市公司的强制要求。
