央視國(guó)際（央視網(wǎng)、CCTV.COM）是中國(guó)中央電視臺(tái)網(wǎng)站，是一個(gè)集新聞、信息、娛樂(lè)、服務(wù)為一體的具有視聽(tīng)、互動(dòng)特色的綜合性網(wǎng)絡(luò)媒體。目前已實(shí)現(xiàn)CCTV節(jié)目網(wǎng)上同步視頻直播，并對(duì)CCTV重點(diǎn)欄目、特別報(bào)道、大賽晚會(huì)制作網(wǎng)上視頻點(diǎn)播節(jié)目。此外央視國(guó)際是北京2008奧運(yùn)會(huì)官方互聯(lián)網(wǎng)/移動(dòng)平臺(tái)唯一授權(quán)轉(zhuǎn)播機(jī)構(gòu)，也是奧運(yùn)歷史上首次采用除電視外的網(wǎng)絡(luò)新媒體轉(zhuǎn)播。

　　央視國(guó)際內(nèi)網(wǎng)是一個(gè)上千人的辦公網(wǎng)，網(wǎng)絡(luò)安全管理十分重要，為了確保各業(yè)務(wù)系統(tǒng)正常運(yùn)行，以滿足用戶的最佳體驗(yàn)，央視國(guó)際不再滿足于局部安全，希望通過(guò)網(wǎng)管中心對(duì)所有接入網(wǎng)絡(luò)的人員和設(shè)備進(jìn)行控制。由于央視國(guó)際業(yè)務(wù)的特殊性，其接入人員、地理位置都比較復(fù)雜，接入方式涵蓋了局域網(wǎng)、廣域網(wǎng)、VPN、無(wú)線等各種情況，對(duì)于網(wǎng)絡(luò)安全管理是一個(gè)難題，并且通常的用戶管理及接入控制軟件往往缺乏與網(wǎng)絡(luò)資源管理、業(yè)務(wù)管理的融合，導(dǎo)致管理手段單一、管理力度不足、管理操作復(fù)雜。因此，央視國(guó)際迫切需要一種管理方案，使得用戶、網(wǎng)絡(luò)、業(yè)務(wù)統(tǒng)一管理、互相協(xié)同，提升管理效率，以滿足多種接入場(chǎng)景所需。

　　EAD服務(wù)于央視國(guó)際

　　根據(jù)央視國(guó)際的目前需求和未來(lái)發(fā)展規(guī)劃，并考慮其統(tǒng)一方案要求，H3C采用將網(wǎng)絡(luò)接入控制和用戶終端安全策略控制相結(jié)合的解決方案。以用戶終端對(duì)企業(yè)安全策略的符合度為條件，控制用戶訪問(wèn)網(wǎng)絡(luò)的接入權(quán)限，以降低非法訪問(wèn)、病毒等安全威脅對(duì)企業(yè)網(wǎng)絡(luò)帶來(lái)的危害。為此，H3C提出了包括檢查、隔離、修復(fù)、監(jiān)控的整體思路：

　　1．檢查：

　　檢查網(wǎng)絡(luò)接入用戶的身份（包括IP、MAC、端口等）；
　　檢查網(wǎng)絡(luò)接入用戶的訪問(wèn)權(quán)限；
　　檢查網(wǎng)絡(luò)接入用戶終端的安全狀態(tài)；

　　2．隔離：

　　隔離非法用戶終端和越權(quán)訪問(wèn)；
　　隔離存在重大安全問(wèn)題或安全隱患的用戶終端；

　　3．修復(fù)：

　　幫助存在安全問(wèn)題或安全隱患的用戶終端進(jìn)行安全修復(fù)，以便能夠正常使用網(wǎng)絡(luò)；

　　4．監(jiān)控：

　　實(shí)時(shí)監(jiān)控在線用戶的終端安全狀態(tài)，及時(shí)獲取終端安全信息；
　　對(duì)非法用戶、越權(quán)訪問(wèn)和存在安全問(wèn)題的網(wǎng)絡(luò)終端進(jìn)行定位統(tǒng)計(jì)，為網(wǎng)絡(luò)安全管理提供依據(jù)；
　　通過(guò)制定新的安全策略，持續(xù)保障網(wǎng)絡(luò)的安全。

　　方案特點(diǎn)

　　H3C EAD終端準(zhǔn)入控制（EAD，End user Admission Domination）解決方案從控制用戶終端接入網(wǎng)絡(luò)的角度入手，整合網(wǎng)絡(luò)接入控制與終端管理產(chǎn)品，通過(guò)iNode智能客戶端、EAD策略服務(wù)器、iMC平臺(tái)、網(wǎng)絡(luò)設(shè)備以及第三方軟件的配合和聯(lián)動(dòng)，對(duì)接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實(shí)施企業(yè)策略，嚴(yán)格控制終端用戶的網(wǎng)絡(luò)使用行為；同時(shí)，在管理上，又能做到用戶管理與網(wǎng)絡(luò)設(shè)備管理、網(wǎng)絡(luò)拓?fù)涔芾淼娜诤�，并與iMC網(wǎng)管中心的聯(lián)動(dòng)，使得H3C終端準(zhǔn)入控制解決方案在有效地加強(qiáng)用戶終端的主動(dòng)防御能力的基礎(chǔ)上，為企業(yè)網(wǎng)絡(luò)管理人員更提供了有效、易用、強(qiáng)大的管理工具和手段。

　　對(duì)于要接入網(wǎng)絡(luò)的用戶，EAD解決方案首先要對(duì)其進(jìn)行身份認(rèn)證，通過(guò)身份認(rèn)證的用戶進(jìn)行終端的認(rèn)證，根據(jù)網(wǎng)絡(luò)管理員定制的策略進(jìn)行包括病毒庫(kù)更新情況、系統(tǒng)補(bǔ)丁安裝情況、軟件的黑白名單等內(nèi)容的檢查，根據(jù)檢查的結(jié)果，EAD對(duì)用戶網(wǎng)絡(luò)準(zhǔn)入進(jìn)行授權(quán)和控制。通過(guò)認(rèn)證后，用戶可以正常使用網(wǎng)絡(luò)，與此同時(shí)，EAD可以對(duì)用戶終端運(yùn)行情況和網(wǎng)絡(luò)使用情況進(jìn)行審計(jì)和監(jiān)控。

　　EAD采用基于用戶名和密碼的身份認(rèn)證外，EAD還實(shí)現(xiàn)用戶身份與接入終端的MAC地址、IP地址、所在VLAN、接入設(shè)備IP、接入設(shè)備端口號(hào)等信息進(jìn)行綁定，嚴(yán)格控制了非法接入，并且EAD部署了基于終端用戶的角色，向聯(lián)動(dòng)設(shè)備下發(fā)事先配置的接入控制策略，按照用戶角色權(quán)限規(guī)范用戶的網(wǎng)絡(luò)使用行為，終端用戶的所屬VLAN、ACL訪問(wèn)策略、是否禁止使用代理、是否禁止使用雙網(wǎng)卡等措施均可由管理員統(tǒng)一配置實(shí)施。

　　應(yīng)用效果

　　H3C協(xié)助央視國(guó)際提供內(nèi)網(wǎng)控制解決方案，實(shí)現(xiàn)加強(qiáng)控制和簡(jiǎn)化管理的完美結(jié)合。首先通過(guò)EAD進(jìn)行事前預(yù)防，確保接入用戶的合法性、健康性；安全聯(lián)動(dòng)進(jìn)行事中控制，對(duì)威脅進(jìn)行追根溯源，變被動(dòng)防御為主動(dòng)預(yù)防；安全管理中心對(duì)安全事件進(jìn)行實(shí)時(shí)分析和事后審計(jì)，找出當(dāng)前網(wǎng)絡(luò)的薄弱環(huán)節(jié)，作為下一步策略完善和安全建設(shè)的依據(jù)。央視國(guó)際通過(guò)EAD系統(tǒng)的實(shí)施部署后，嚴(yán)格保障了網(wǎng)絡(luò)安全性，并且大幅提高了管理的效率，為央視國(guó)際網(wǎng)絡(luò)的可靠運(yùn)行提供了有效支撐。