下载后可任意编辑H3C EAD 解决方案建设实践2024 年 04 月 15 日文/管蓓 长期以来,对于公司信息安全管理,我们通常认为安全威胁主要源于外界,于是大家都希望在互联网接入处,把病毒和攻击挡在门外,就可安全无忧。殊不知,有许多重大的网络安全问题正是由内部人员引起。例如,内部人员在浏览某些网站时,一些间谍软件、木马程序等恶意软件就会不知不觉地被下载到电脑中,并且在企业内网传播,不仅产生安全隐患,还会影响到网络的使用率。 据美国 CSI/FBI 对 484 家公司进行网络安全专项调查的结果显示:安全威胁造成的损失超过 80%来自公司内部,其中有 16%来自内部未授权的存取,有 14%来自专利信息被窃取。挑战对于当今绝大多数企业来说,公司的关键数据和信息是否安全往往能决定一个企业的存亡。H3C 作为一家高新科技公司,更是在其诞生之初就继承了非常严格的信息安全管理制度。而随着公司规模的不断扩张,不仅员工及终端数剧增,网络复杂度也呈几何级增长。新的补丁发布了,却总有人不理会,系统漏洞时时存在;新的病毒出现了,却总有人不及时升级病毒库,为病毒入侵大开方便之门;管理员查找、隔离、修复这些不符合安全策略的终端更是一项费时费劲的工作。总之,早期的信息安全管理因为技术的限制,在完善的制度与实际的终端安全实施之间存在巨大的差距。因此,如何确保“正确的人”在“正确状态”下做“正确的事”,成为 H3C IT 部门以及研发体系密切关注的问题。直到 2024 年,H3C 推出了针对“内网控制”的第一套解决方案——EAD 终端准入控制(End user Admission Domination)。解决方案图 1 EAD 解决方案功能示意图如图 1,用户终端接入内网时,要根据 EAD 服务器配置的安全策略对其进行检查,如不符合安全策略,则通过网络设备(往往是接入交换机、路由器或 VPN 网关设备)的联动配合,从物理或网络层面上将之限制在隔离区中,该“危险”终端可以访问隔离区中的补丁服务器、防病毒软件服务器进行系统修复,完成后再通过安全认证才可访问企业网络。简单来说,EAD 终端准入控制解决方案从控制用户终端安全接入网络的角度入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,并提供了事后审查工具,有效加强了用户终端的主动防备能力,为企业网络管理人员提供了有...
