中文字幕无码久久精品,13—14同岁无码A片,99热门精品一区二区三区无码,菠萝菠萝蜜在线观看视频高清1

 首頁 > 新聞 > 國內(nèi) >

華三網(wǎng)絡終端安全準入系統(tǒng)助北京煙草安全管理IT化

2015-06-03 09:40:14   作者:   來源:CTI論壇   評論:0  點擊:


  北京煙草市局(公司)計算機廣域網(wǎng)是一個局域計算機網(wǎng)絡(LAN)與廣域網(wǎng)絡(WAN)相結(jié)合的網(wǎng)絡系統(tǒng),是以市局(公司)為北京煙草的星型網(wǎng)絡結(jié)構(gòu)。向上通過SDH專線與國家局連接;中間通過DDN專線與多家銀行連接,同時具有10M容量的互聯(lián)網(wǎng)出口;向下與煙廠、物流中心、辦公樓、18個區(qū)縣公司通過SDH專線連接,采用ISDN線路作專線的備份。各個區(qū)縣公司建立了撥號接入系統(tǒng),可以支持下屬單位(零售部)的電話撥入訪問區(qū)縣公司網(wǎng)絡。

  應用背景

  北京煙草廣域網(wǎng)包括卷煙訪銷配送系統(tǒng)、市局業(yè)務平臺、集中式電話訂貨系統(tǒng)、IC卡結(jié)算、專賣管理系統(tǒng)、國家局“一號工程”和北京煙草視頻會議等廣域網(wǎng)系統(tǒng)。隨著北京煙草信息化建設不斷發(fā)展,北京煙草行業(yè)數(shù)字化時代已全面來臨,行業(yè)網(wǎng)絡規(guī)模將不斷擴大,應用系統(tǒng)的不斷深入和擴大,涉及的部門和信息也越來越多,網(wǎng)絡管理的難度將不斷加大。目前業(yè)界多數(shù)企業(yè)、機構(gòu)都缺乏有效的制度和手段管理網(wǎng)絡,如終端用戶不及時升級系統(tǒng)補丁、升級病毒庫的現(xiàn)象普遍存在;隨意接入網(wǎng)絡、私設代理服務器、私自訪問保密資源、非法盜用他人地址帳號、利用非法軟件獲取利益等行為在企業(yè)中也比比皆是,綜合管理效率和效果受到了很大影響。北京煙草也存在此類問題,管理的欠缺不僅會直接影響用戶網(wǎng)絡的正常運行,還可能使企業(yè)自身蒙受巨大的商業(yè)損失,必須有一套完善的網(wǎng)絡管理解決方案來加強網(wǎng)絡資源管理、全網(wǎng)終端安全控制等問題,并滿足國家信息安全等級保護工作的要求。

  為了有效實現(xiàn)用戶終端安全準入控制,需要實現(xiàn)終端安全信息采集點、終端安全信息決策點和終端安全信息執(zhí)行點的分離,同時還需要提供有效的技術手段,對用戶終端存在的安全問題進行修復,使之符合企業(yè)終端安全策略,順利接入網(wǎng)絡進行工作。

  系統(tǒng)方案部署評估北京煙草現(xiàn)網(wǎng)情況,經(jīng)過仔細分析考慮,采用增加H3C EAD安全準入網(wǎng)關的方式靈活擴展部署,并通過核心交換機旁掛的方式保證網(wǎng)絡系統(tǒng)的可靠性,選擇Portal+協(xié)議進行終端身份認證的系統(tǒng)方案。在這種組網(wǎng)環(huán)境下由安全準入網(wǎng)關采用Portal+認證協(xié)議對接入用戶進行準入控制,網(wǎng)絡中心部署H3C iMC管理中心服務器與安全準入網(wǎng)關通過RADIUS協(xié)議進行通信,由H3C EAD終端準入控制產(chǎn)品完成對用戶身份的認證、安全狀態(tài)的檢測實現(xiàn)安全準入策略的控制。Portal+方式的安全準入方案管理和組網(wǎng)相對簡單,在不改動現(xiàn)有網(wǎng)絡基礎設施的前提下可以很好的完成對用戶的終端準入控制,尤其適合網(wǎng)絡設備品牌不一的網(wǎng)絡環(huán)境中。

  在核心層交換機旁掛安全準入網(wǎng)關做三層Portal+認證時,核心交換機連接到安全準入網(wǎng)關的雙向鏈路都為三層鏈路,且都運行路由協(xié)議。同時,在核心交換機上需要配置策略路由,將源地址為認證網(wǎng)段的報文重定向到安全準入網(wǎng)關上進行Portal+認證?蛻舳嗽L問認證網(wǎng)段的數(shù)據(jù)流被重定向到安全準入網(wǎng)關上,通過認證后去往認證網(wǎng)段。返回的數(shù)據(jù)流不經(jīng)過旁掛的安全準入網(wǎng)關設備,直接返回到客戶端。對于去往非認證網(wǎng)段的數(shù)據(jù)流則可以直接到達目的地。

  系統(tǒng)特點

  在北京煙草網(wǎng)絡終端安全準入系統(tǒng)項目中,我們根據(jù)北京市煙草專賣局當前的需求和未來的發(fā)展,考慮全局,堅持長遠發(fā)展規(guī)劃,建設成一個起點高、安全可靠、易于擴充和升級、便于管理和使用的系統(tǒng)。北京煙草終端安全準入系統(tǒng)具有如下特點:

  嚴格的身份認證。除可采用用戶名和密碼的身份認證外,安全準入還支持身份與接入終端的MAC地址、IP地址等信息進行綁定,支持智能卡、數(shù)字證書認證,增強身份認證的安全性。

  完備的安全狀態(tài)評估。根據(jù)管理員配置的安全策略,安全準入客戶端能夠?qū)K端進行包括病毒庫版本、補丁、安裝的應用軟件、代理、撥號配置等安全認證檢查;同時,此終端準入系統(tǒng)還支持和微軟SMS/WSUS系統(tǒng)的配合使用,支持和瑞星、江民、金山、Symantec、McAfee、Trend Micro、卡巴斯基等國內(nèi)外主流防病毒廠商聯(lián)動。

  基于角色的網(wǎng)絡授權。安全準入可基于終端用戶的角色,向安全聯(lián)動設備下發(fā)事先配置的接入控制策略,按照用戶角色權限規(guī)范用戶的網(wǎng)絡使用行為。

  用戶與網(wǎng)絡融合管理。終端準入方案將用戶管理和網(wǎng)絡管理進行了智能融合,通過網(wǎng)絡拓撲不僅能夠了解到網(wǎng)絡設備信息和狀態(tài),還可以實現(xiàn)對接入用戶的直觀管理,實現(xiàn)查看用戶信息、強制用戶下線、執(zhí)行安全檢查等操作。

  靈活的安全策略模式。針對不同身份的用戶,定制不同的安全檢查和處理模式,包括VIP模式、Guest模式、隔離模式和下線模式。

  桌面資產(chǎn)管理。通過終端準入客戶端提供了對網(wǎng)絡終端資產(chǎn)全方位的監(jiān)控和管理的功能,可以對網(wǎng)絡終端軟硬件使用情況、變更情況進行監(jiān)控,同時還支持網(wǎng)絡終端資產(chǎn)的配置管理和軟件的統(tǒng)一分發(fā),實現(xiàn)對資產(chǎn)的有效管理。

  應用效果

  北京煙草網(wǎng)絡終端安全準入系統(tǒng)部署后,實現(xiàn)了網(wǎng)絡用戶在接入網(wǎng)絡前,通過統(tǒng)一管理的安全策略強制對用戶身份進行認證,檢查用戶的IP、MAC地址是否合法及終端安全狀態(tài),并根據(jù)對用戶終端安全狀態(tài)的檢查結(jié)果實施接入控制策略,對不符合安全標準的用戶進行病毒庫升級、系統(tǒng)補丁升級等操作;在保證用戶終端具備自防御能力并安全接入的前提下,可以動態(tài)合理控制用戶的網(wǎng)絡權限,從而提升網(wǎng)絡的整體安全防御能力。并融合豐富的業(yè)務管理系統(tǒng),實現(xiàn)設備、用戶、業(yè)務的統(tǒng)一管理手段,大大提升了網(wǎng)絡的使用效率及管理效率,為北京煙草IT信息化建設邁上了新的臺階,達到了全新的安全等級及高效的管理手段。

分享到: 收藏

專題