包头铝业是我国十大铝冶炼企业之一和最大的铝合金生产基地,其网络对供应、监控、调度和办公等业务提供管理、支撑,保证信息的完整透明,并降低信息访问的成本。
存在问题
l 被动防御,缺乏主动抵抗能力,对网络管理员来说,目前的解决方式无法有效监控每一个终端安全状态,也没有隔离、修复不合格终端的手段;
l 单点防御,对病毒的重复、交叉感染缺乏控制;
l 分散管理,安全策略不统一,缺乏全局防御能力。
根据包头铝业具体情况,H3C 在800个信息点上部署了EAD终端准入解决方案。其接入层选用H3C S3600系列智能弹性交换机,能提供完善的安全策略支持能力。
l 检查用户终端的安全状态和防御能力
终端的安全状态是指操作系统补丁、防病毒软件版本、病毒库版本、是否感染病毒等状态信息,EAD通过对终端安全状态的检查,配合不同方式的身份验证技术(802.1x、Portal等),使得只有符合企业安全标准的终端才能正常访问网络。
l 隔离“危险”和“易感”终端
通过ACL或VLAN方式将不符合管理员设定的企业安全策略的用户隔离,限制其访问权限,使其只能访问病毒服务器、补丁服务器等用于系统修复的网络资源。
l 强制修复系统补丁、升级防病毒软件
不符合安全策略的用户终端被限制到“隔离区”以后,EAD自动提醒用户进行缺失补丁或最新病毒库的升级,配合防病毒或补丁服务器,帮助用户完成手工或自动升级操作,达到提升终端主动防御能力的目的。
l 集中、统一的管理与监控
EAD提供了集接入策略、安全策略、服务策略、安全事件监控于一体的用户管理平台,可以帮助网络管理员定制基于用户身份的、个性化的网络安全策略。
