EAD端點(diǎn)準(zhǔn)入防御解決策劃方案介紹

某鋼鐵端點(diǎn)準(zhǔn)入防備方案技術(shù)建議書

目錄1 概述 42 EAD端點(diǎn)準(zhǔn)入防備解決方案介紹 52.1 方案思路 52.2 方案組成部分 52.2.1 EAD安全策略服務(wù)器 62.2.2 修復(fù)服務(wù)器 72.2.3 安全聯(lián)動(dòng)設(shè)備 72.2.4 安全客戶端 73 EAD解決方案組網(wǎng)部署 83.1 多廠商設(shè)備混合組網(wǎng)部署（Portal方式） 9方案組網(wǎng) 10組網(wǎng)設(shè)備 10方案講明 10流程講明 11實(shí)施效果 113.2 接入層準(zhǔn)入操縱組網(wǎng)部署（802.1x） 11方案組網(wǎng) 11組網(wǎng)設(shè)備 12方案講明 12流程講明 13實(shí)施效果 133.3 EAD應(yīng)用模式 143.3.1 隔離模式 143.3.2 Guest模式 143.3.3 VIP模式 153.3.4 下線模式 154 EAD解決方案應(yīng)用模型及功能特點(diǎn) 164.1 端點(diǎn)準(zhǔn)入防備應(yīng)用模型 164.1.1 端點(diǎn)準(zhǔn)入防備應(yīng)用模型 164.1.2 端點(diǎn)準(zhǔn)入防備工作流程 164.2 端點(diǎn)準(zhǔn)入防備功能特點(diǎn) 174.2.1 安全狀態(tài)評(píng)估 174.2.2 用戶權(quán)限治理 184.2.3 用戶行為監(jiān)控 184.3 桌面資產(chǎn)治理應(yīng)用模型 194.3.1 桌面資產(chǎn)治理應(yīng)用模型 194.4 桌面資產(chǎn)治理功能特點(diǎn) 204.4.1 終端資產(chǎn)治理 204.4.2 軟件分發(fā) 215 系統(tǒng)參數(shù)及環(huán)境要求 215.1 EAD系統(tǒng)技術(shù)參數(shù) 215.2 EAD系統(tǒng)環(huán)境要求 216 附1：部署講明 227 附2：EAD功能列表 23概述某鋼鐵（集團(tuán)）有限責(zé)任公司（以下簡稱酒鋼）網(wǎng)絡(luò)信息化建設(shè)目前處于同行業(yè)領(lǐng)先水平，自動(dòng)化應(yīng)用程度高，信息平臺(tái)承載著ERP、OA、MES等眾多系統(tǒng)，因此信息平臺(tái)成為企業(yè)正常經(jīng)營生產(chǎn)的基礎(chǔ)平臺(tái)之一。多年的系統(tǒng)運(yùn)維與建設(shè)，酒鋼信息化平臺(tái)已搭建得比較完善，但同時(shí)對(duì)安全治理方面提出了較高要求。網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施的建設(shè)以及對(duì)原有網(wǎng)絡(luò)進(jìn)行終端安全準(zhǔn)入的改造差不多成為酒鋼網(wǎng)絡(luò)建設(shè)的重中之重。目前酒鋼網(wǎng)絡(luò)中存在的典型問題歸納總結(jié)為以下幾大類：（1）終端時(shí)刻受到病毒和蠕蟲的威脅，存在安全隱患，更為嚴(yán)峻的是由此觸發(fā)一系列問題擴(kuò)散全網(wǎng)，導(dǎo)致全網(wǎng)癱瘓、核心數(shù)據(jù)時(shí)刻受到安全威脅，一旦被攻擊，將為企業(yè)造成無法挽回的損失；（2）防護(hù)策略趕不上攻擊方式的更新，被動(dòng)式防備已不適應(yīng)企業(yè)的進(jìn)展，主動(dòng)式愛護(hù)的安全戰(zhàn)略勢在必行；（3）隨意接入網(wǎng)絡(luò)、私設(shè)代理服務(wù)器，有意或無意的盜用IP地址情況嚴(yán)峻；（4）網(wǎng)絡(luò)采納分散治理模式，終端難以保證其安全狀態(tài)符合企業(yè)安全策略，例如新的補(bǔ)丁公布了卻無人理會(huì)、新的病毒出現(xiàn)了卻不及時(shí)升級(jí)病毒庫的現(xiàn)象普遍存在，無法有效地從網(wǎng)絡(luò)接入點(diǎn)進(jìn)行安全防范。導(dǎo)致網(wǎng)絡(luò)接入層面治理失控。為了解決現(xiàn)有網(wǎng)絡(luò)安全治理中存在的不足，應(yīng)對(duì)網(wǎng)絡(luò)安全威脅，甘肅藍(lán)潮世訊通信科技有限責(zé)任公司提供了端點(diǎn)準(zhǔn)入防備（EAD，EndpointAdmissionDefense）解決方案。該方案從用戶終端準(zhǔn)入操縱入手，整合網(wǎng)絡(luò)接入操縱與終端安全產(chǎn)品，通過安全客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及防病毒軟件產(chǎn)品、系統(tǒng)補(bǔ)丁治理產(chǎn)品、資產(chǎn)治理產(chǎn)品、桌面治理產(chǎn)品的聯(lián)動(dòng)，對(duì)接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實(shí)施企業(yè)安全策略，嚴(yán)格操縱終端用戶的網(wǎng)絡(luò)使用行為，能夠加強(qiáng)用戶終端的主動(dòng)防備能力，大幅度提高網(wǎng)絡(luò)安全。EAD在用戶接入網(wǎng)絡(luò)前，通過統(tǒng)一治理的安全策略強(qiáng)制檢查用戶終端的安全狀態(tài)，并依照對(duì)用戶終端安全狀態(tài)的檢查結(jié)果實(shí)施接入操縱策略，對(duì)不符合企業(yè)安全標(biāo)準(zhǔn)的用戶進(jìn)行“隔離”并強(qiáng)制用戶進(jìn)行病毒庫升級(jí)、系統(tǒng)補(bǔ)丁升級(jí)等操作；在保證用戶終端具備自防備能力并安全接入的前提下，能夠通過動(dòng)態(tài)分配ACL、VLAN等合理操縱用戶的網(wǎng)絡(luò)權(quán)限，從而提升網(wǎng)絡(luò)的整體安全防備能力。EAD同時(shí)具有資產(chǎn)治理、外設(shè)監(jiān)控、軟件分發(fā)等功能，提供了企業(yè)內(nèi)網(wǎng)PC集中治理運(yùn)維的方案，以高效率的治理手段和措施，協(xié)助企業(yè)IT部門及時(shí)盤點(diǎn)內(nèi)網(wǎng)資產(chǎn)、掌控內(nèi)網(wǎng)資產(chǎn)變更情況。EAD端點(diǎn)準(zhǔn)入防備解決方案介紹EAD端點(diǎn)準(zhǔn)入防備方案包括兩個(gè)重要功能：安全防護(hù)和安全監(jiān)控。安全防護(hù)要緊是對(duì)終端接入網(wǎng)絡(luò)進(jìn)行認(rèn)證，保證只有安全的終端才能接入網(wǎng)絡(luò)，對(duì)達(dá)不到安全要求的終端能夠進(jìn)行修復(fù)，保障終端和網(wǎng)絡(luò)的安全；安全監(jiān)控是指在上網(wǎng)過程中，系統(tǒng)實(shí)時(shí)監(jiān)控用戶終端的安全狀態(tài)，并針對(duì)用戶終端的安全事件采取相應(yīng)的應(yīng)對(duì)措施，實(shí)時(shí)保障網(wǎng)絡(luò)安全。方案思路EAD解決方案的實(shí)現(xiàn)思路，是通過將網(wǎng)絡(luò)接入操縱和用戶終端安全策略操縱相結(jié)合，以用戶終端對(duì)企業(yè)安全策略的符合度為條件，操縱用戶訪問網(wǎng)絡(luò)的接入權(quán)限，從而降低病毒、非法訪問等安全威脅對(duì)企業(yè)網(wǎng)絡(luò)帶來的危害。為達(dá)到以上目的，甘肅藍(lán)潮提出了包括檢查、隔離、修復(fù)、監(jiān)控的整體解決思路。檢查：檢查網(wǎng)絡(luò)接入用戶的身份；檢查網(wǎng)絡(luò)接入用戶的訪問權(quán)限；檢查網(wǎng)絡(luò)接入用戶終端的安全狀態(tài)；隔離：隔離非法用戶終端和越權(quán)訪問；隔離存在重大安全問題或安全隱患的用戶終端；修復(fù)：關(guān)心存在安全問題或安全隱患的用戶終端進(jìn)行安全修復(fù)，以便能夠正常使用網(wǎng)絡(luò)；監(jiān)控：實(shí)時(shí)監(jiān)控在線用戶的終端安全狀態(tài)，及時(shí)獵取終端安全信息；對(duì)非法用戶、越權(quán)訪問和存在安全問題的網(wǎng)絡(luò)終端進(jìn)行定位統(tǒng)計(jì)，為網(wǎng)絡(luò)安全治理提供依據(jù)；通過制定新的安全策略，持續(xù)保障網(wǎng)絡(luò)的安全。方案組成部分為了有效實(shí)現(xiàn)用戶終端安全準(zhǔn)入操縱，需要實(shí)現(xiàn)終端安全信息采集點(diǎn)、終端安全信息決策點(diǎn)和終端安全信息執(zhí)行點(diǎn)的分離，同時(shí)還需要提供有效的技術(shù)手段，對(duì)用戶終端存在的安全問題進(jìn)行修復(fù)，使之符合企業(yè)終端安全策略，順利接入網(wǎng)絡(luò)進(jìn)行工作。EAD解決方案的組成部分見下圖：EAD解決方案組成部分如圖1所示，EAD解決方案的差不多部件包括EAD安全策略服務(wù)器（EAD服務(wù)器）、防病毒服務(wù)器、補(bǔ)丁服務(wù)器等修復(fù)服務(wù)器、安全聯(lián)動(dòng)設(shè)備和H3C安全客戶端，各部件各司其職，由安全策略中心協(xié)調(diào)，共同完成對(duì)網(wǎng)絡(luò)接入終端的安全準(zhǔn)入操縱。EAD安全策略服務(wù)器EAD方案的核心是整合與聯(lián)動(dòng)，而EAD安全策略服務(wù)器（iMCEAD服務(wù)器）是EAD方案中的治理與操縱中心，兼具用戶治理、安全策略治理、安全狀態(tài)評(píng)估、安全聯(lián)動(dòng)操縱以及安全事件審計(jì)等功能。安全策略治理。安全策略服務(wù)器定義了對(duì)用戶終端進(jìn)行準(zhǔn)入操縱的一系列策略，包括用戶終端安全狀態(tài)評(píng)估配置、補(bǔ)丁檢查項(xiàng)配置、安全策略配置、終端修復(fù)配置以及對(duì)終端用戶的隔離方式配置等。用戶治理。企業(yè)網(wǎng)中，不同的用戶、不同類型的接入終端可能要求不同級(jí)不的安全檢查和操縱。安全策略服務(wù)器能夠?yàn)椴煌脩籼峁┗谏矸莸膫€(gè)性化安全配置和網(wǎng)絡(luò)服務(wù)等級(jí)，方便治理員對(duì)網(wǎng)絡(luò)用戶制定差異化的安全策略。安全聯(lián)動(dòng)操縱。安全策略服務(wù)器負(fù)責(zé)評(píng)估安全客戶端上報(bào)的安全狀態(tài)，操縱安全聯(lián)動(dòng)設(shè)備對(duì)用戶的隔離與開放，下發(fā)用戶終端的修復(fù)方式與安全策略。通過安全策略服務(wù)器的操縱，安全客戶端、安全聯(lián)動(dòng)設(shè)備與修復(fù)服務(wù)器才能夠協(xié)同工作，配合完成端到端的安全準(zhǔn)入操縱。修復(fù)服務(wù)器在EAD方案中，修復(fù)服務(wù)器能夠是第三方廠商提供的防病毒服務(wù)器、補(bǔ)丁服務(wù)器或用戶自行架設(shè)的文件服務(wù)器。此類服務(wù)器通常放置于網(wǎng)絡(luò)隔離區(qū)中，用于終端進(jìn)行自我修復(fù)操作。網(wǎng)絡(luò)版的防病毒服務(wù)器提供病毒庫升級(jí)服務(wù)，同意防病毒客戶端進(jìn)行在線升級(jí)；補(bǔ)丁服務(wù)器則提供系統(tǒng)補(bǔ)丁升級(jí)服務(wù)，在用戶終端的系統(tǒng)補(bǔ)丁不能滿足安全要求時(shí)，用戶終端可連接至補(bǔ)丁服務(wù)器進(jìn)行補(bǔ)丁下載和升級(jí)。安全聯(lián)動(dòng)設(shè)備安全聯(lián)動(dòng)設(shè)備是企業(yè)網(wǎng)絡(luò)中安全策略的實(shí)施點(diǎn)，起到強(qiáng)制用戶準(zhǔn)入認(rèn)證、隔離不合格終端、為合法用戶提供網(wǎng)絡(luò)服務(wù)的作用。依照顧用場合的不同，安全聯(lián)動(dòng)設(shè)備能夠是交換機(jī)或BAS設(shè)備，分不實(shí)現(xiàn)不同認(rèn)證方式（如802.1x或Portal）的端點(diǎn)準(zhǔn)入操縱。不論是哪種接入設(shè)備或采納哪種認(rèn)證方式，安全聯(lián)動(dòng)設(shè)備均具有以下功能：強(qiáng)制網(wǎng)絡(luò)接入終端進(jìn)行身份認(rèn)證和安全狀態(tài)評(píng)估。隔離不符合安全策略的用戶終端。聯(lián)動(dòng)設(shè)備接收到安全策略服務(wù)器下發(fā)的隔離指令后，目前能夠通過動(dòng)態(tài)ACL方式限制用戶的訪問權(quán)限；同樣，收到解除用戶隔離的指令后也能夠在線解除對(duì)用戶終端的隔離。提供基于身份的網(wǎng)絡(luò)服務(wù)。安全聯(lián)動(dòng)設(shè)備能夠依照安全策略服務(wù)器下發(fā)的策略，為用戶提供個(gè)性化的網(wǎng)絡(luò)服務(wù)，如提供不同的ACL、VLAN等。安全客戶端H3C客戶端是安裝在用戶終端系統(tǒng)上的軟件，是對(duì)用戶終端進(jìn)行身份認(rèn)證、安全狀態(tài)評(píng)估以及安全策略實(shí)施的主體，其要緊功能包括：提供802.1x、Portal、VPN、無線等多種認(rèn)證方式，能夠與交換機(jī)、BAS網(wǎng)關(guān)等設(shè)備配合實(shí)現(xiàn)接入層、匯聚層的端點(diǎn)準(zhǔn)入操縱。檢查用戶終端的安全狀態(tài)，包括操作系統(tǒng)版本、系統(tǒng)補(bǔ)丁、共享目錄、已安裝的軟件、已啟動(dòng)的服務(wù)等用戶終端信息；同時(shí)提供與防病毒客戶端聯(lián)動(dòng)的接口，實(shí)現(xiàn)與第三方防病毒軟件產(chǎn)品客戶端的聯(lián)動(dòng)，檢查用戶終端的防病毒軟件版本、病毒庫版本、以及病毒查殺信息。這些信息將被傳遞到EAD安全策略服務(wù)器，執(zhí)行端點(diǎn)準(zhǔn)入的推斷與操縱。安全策略實(shí)施，接收安全策略服務(wù)器下發(fā)的安全策略并強(qiáng)制用戶終端執(zhí)行，包括設(shè)置安全策略（是否監(jiān)控郵件、注冊表）、系統(tǒng)修復(fù)通知與實(shí)施（自動(dòng)或手工升級(jí)補(bǔ)丁和病毒庫）等功能。不按要求實(shí)施安全策略的用戶終端將被限制在隔離區(qū)。實(shí)時(shí)監(jiān)控系統(tǒng)安全狀態(tài)，包括是否更改安全設(shè)置、是否發(fā)覺新病毒等，并將安全事件定時(shí)上報(bào)到安全策略服務(wù)器，用于事后進(jìn)行安全審計(jì)。監(jiān)控終端資產(chǎn)組成和變更情況，監(jiān)控的信息包括：邏輯磁盤、OS登錄名、計(jì)算機(jī)名、IP地址、操作系統(tǒng)、屏保、分區(qū)信息、共享信息；CPU、內(nèi)存、主板、磁盤、網(wǎng)卡、光驅(qū)、BIOS；安裝/卸載軟件，包括程序名稱、程序版本、安裝日期；進(jìn)程列表、服務(wù)列表、磁盤可用空間、CPU使用頻率/時(shí)鐘頻率、內(nèi)存剩余空間、IP獵取方式等等，并按照分類以報(bào)表的形式展示，假如有軟硬件發(fā)生變化也將實(shí)時(shí)記錄。EAD解決方案組網(wǎng)部署目前某鋼鐵的網(wǎng)絡(luò)，要緊劃分為燒結(jié)區(qū)、煉鋼區(qū)、宏昌區(qū)、動(dòng)力區(qū)、交易區(qū)、辦公樓和生產(chǎn)指揮中心共七大區(qū)域，總共4500左右個(gè)接入點(diǎn)，大部分采納思科交換機(jī)，少量采納H3C交換機(jī)。其中燒結(jié)區(qū)、煉鋼區(qū)、宏昌區(qū)、動(dòng)力區(qū)、交易區(qū)均為思科接入設(shè)備匯聚到C6506，辦公區(qū)為H3C的接入交換機(jī)3026/3050C匯聚到思科45上，生產(chǎn)指揮中心為6臺(tái)3550接入到6509上。為了便于部署實(shí)施，且達(dá)到準(zhǔn)入操縱的要求，通過論證在燒結(jié)區(qū)等五個(gè)區(qū)域在匯聚的6506上旁掛EAD網(wǎng)關(guān)，采取Portal認(rèn)證的方式。由于翼鋼和榆鋼分不在蘭州和山西，為了解決這兩地的內(nèi)部準(zhǔn)入問題分不在他們的網(wǎng)絡(luò)旁掛EAD網(wǎng)關(guān)（要求兩地的網(wǎng)絡(luò)設(shè)備支持策略路由）。關(guān)于生產(chǎn)指揮中心的六臺(tái)3550，在核心的一臺(tái)6509上旁掛一臺(tái)EAD網(wǎng)關(guān)實(shí)現(xiàn)Portal認(rèn)證，操縱該區(qū)域的網(wǎng)絡(luò)準(zhǔn)入問題。在辦公大樓區(qū)域采取802.1x的認(rèn)證方式，解決網(wǎng)絡(luò)準(zhǔn)入操縱。某鋼鐵網(wǎng)絡(luò)拓?fù)鋱D多廠商設(shè)備混合組網(wǎng)部署（Portal方式）通常企業(yè)在建設(shè)自身的辦公網(wǎng)，滿足互聯(lián)互通的要求后，會(huì)逐漸意識(shí)在內(nèi)部網(wǎng)絡(luò)安全操縱的必要性，尤其是內(nèi)網(wǎng)終端的安全問題，這時(shí)關(guān)于終端的安全準(zhǔn)入操縱就顯得尤為重要。而這時(shí)的企業(yè)網(wǎng)絡(luò)通常為多廠商設(shè)備共存，專門難單獨(dú)使用一家廠商的設(shè)備實(shí)施網(wǎng)絡(luò)的準(zhǔn)入操縱，這種情況下，視網(wǎng)絡(luò)規(guī)模大小，我們推舉使用一臺(tái)或多臺(tái)網(wǎng)關(guān)設(shè)備作為強(qiáng)制認(rèn)證操縱器，使用基于Portal的認(rèn)證協(xié)議，與iNode客戶端、安全策略服務(wù)器配合完成EAD端點(diǎn)準(zhǔn)入防備。Portal認(rèn)證是一種Web方式的認(rèn)證，Portal認(rèn)證同802.1x認(rèn)證相比，具有應(yīng)用簡單的優(yōu)勢。但在EAD解決方案中，需要使用iNode客戶端來進(jìn)行終端的安全狀態(tài)檢測和操縱，因此在Web認(rèn)證的基礎(chǔ)上，擴(kuò)展了Portal協(xié)議，使之不僅能夠處理Http協(xié)議，還能夠操縱其他協(xié)議的數(shù)據(jù)流，使EAD解決方案也支持Portal認(rèn)證方式下的端點(diǎn)準(zhǔn)入操縱。方案組網(wǎng)網(wǎng)關(guān)型EAD解決方案組網(wǎng)應(yīng)用組網(wǎng)設(shè)備在舊網(wǎng)改造中，能夠使用MSR、AR28、AR46、S7502E、S5500EI、IAG作為企業(yè)的安全網(wǎng)關(guān)，支持Portal認(rèn)證，并實(shí)施EAD方案。方案講明使用AR46/28、MSR、S7502E、S5500EI、IAG設(shè)備配合組網(wǎng)，設(shè)備通常放置在網(wǎng)絡(luò)出口，并在設(shè)備上開啟Portal認(rèn)證功能。在用戶希望對(duì)原有網(wǎng)絡(luò)改動(dòng)最小的情況下，能夠?qū)7502E旁掛在網(wǎng)絡(luò)出口或核心設(shè)備上，提供用戶接入操縱功能。EAD服務(wù)器需要安裝Portal認(rèn)證組件，在Portal認(rèn)證頁面上，提供安全客戶端的下載鏈接。用戶可下載并安裝iNode客戶端后，發(fā)起認(rèn)證請求。隔離區(qū)的設(shè)置、第三方服務(wù)器的設(shè)置、EAD自助服務(wù)器和EAD安全代理服務(wù)器的設(shè)置等信息同接入層準(zhǔn)入操縱。流程講明在Web認(rèn)證方式下，用戶的身份認(rèn)證、訪問操縱和安全認(rèn)證流程同接入層準(zhǔn)入操縱差不多相同。區(qū)不在于：用戶進(jìn)行網(wǎng)絡(luò)登錄認(rèn)證之前，能夠訪問Portal服務(wù)器等URL。iNode安全認(rèn)證客戶端能夠在認(rèn)證前從Portal認(rèn)證頁面下載并安裝。簡化了客戶端分發(fā)工作。實(shí)施效果由于在網(wǎng)絡(luò)出口設(shè)備上部署了Portal認(rèn)證，所有非授權(quán)用戶將不能隨意訪問網(wǎng)絡(luò)。合法用戶通過身份認(rèn)證、安全認(rèn)證后，其訪問權(quán)限受認(rèn)證設(shè)備的ACL操縱。用戶的外部訪問權(quán)限受控。通過安全認(rèn)證網(wǎng)關(guān)和策略服務(wù)器、客戶端配合，解決了網(wǎng)絡(luò)上多廠商設(shè)備共存的問題；其余同接入層準(zhǔn)入操縱接入層準(zhǔn)入操縱組網(wǎng)部署（802.1x）將接入層設(shè)備作為安全準(zhǔn)入操縱點(diǎn)，對(duì)試圖接入網(wǎng)絡(luò)的用戶終端進(jìn)行安全檢查，強(qiáng)制用戶終端進(jìn)行防病毒、操作系統(tǒng)補(bǔ)丁等企業(yè)定義的安全策略檢查，防止非法用戶和不符合企業(yè)安全策略的終端接入網(wǎng)絡(luò)，降低病毒、蠕蟲等安全威脅在企業(yè)擴(kuò)散的風(fēng)險(xiǎn)。方案組網(wǎng)接入層EAD解決方案組網(wǎng)應(yīng)用組網(wǎng)設(shè)備支持H3CS3000以上系列接入層交換機(jī)，要緊型號(hào)包括：S3050C，S3026E/C/G/T；3100EI，5100EI，S3528P/G，S3526E，S3552G/P/F；S3600系列（原對(duì)應(yīng)型號(hào)為S3900），S3610；S5500SI方案講明用戶終端必須安裝iNode客戶端，在上網(wǎng)前首先要進(jìn)行802.1x和安全認(rèn)證，否則將不能接入網(wǎng)絡(luò)或者只能訪問隔離區(qū)的資源。其中，隔離區(qū)是指在S3600系列交換機(jī)中配置的一組ACL，一般包括EAD安全代理服務(wù)器、補(bǔ)丁服務(wù)器、防病毒服務(wù)器、DNS、DHCP等服務(wù)器的IP地址。在接入交換機(jī)（S36系列交換機(jī)）中要部署802.1x認(rèn)證和安全認(rèn)證，強(qiáng)制進(jìn)行基于用戶的802.1x認(rèn)證和動(dòng)態(tài)ACL、VLAN操縱。EAD服務(wù)器中配置用戶的服務(wù)策略、接入策略、安全策略，用戶進(jìn)行802.1x認(rèn)證時(shí)，由EAD服務(wù)器驗(yàn)證用戶身份的合法性，并基于用戶角色（服務(wù)）向安全客戶端下發(fā)安全評(píng)估策略（如檢查病毒庫版本、補(bǔ)丁安裝情況等），完成身份和安全評(píng)估后，由EAD服務(wù)器確定用戶的ACL、VLAN以及病毒監(jiān)控策略等。EAD安全代理服務(wù)器必須部署于隔離區(qū)，能夠與EAD自助服務(wù)器共用一臺(tái)主機(jī)。補(bǔ)丁服務(wù)器（可選）必須部署于隔離區(qū)，能夠與EAD安全代理共用一臺(tái)主機(jī)。防病毒服務(wù)器（可選）必須部署于隔離區(qū)，能夠與補(bǔ)丁服務(wù)器、EAD安全代理共用一臺(tái)主機(jī)，能夠選擇McAFee防病毒、Norton防病毒、趨勢防病毒、安博士防病毒、CAKill安全甲胄、瑞星殺毒軟件、金山毒霸以及江民KV防病毒軟件。流程講明EAD方案能夠依據(jù)角色對(duì)網(wǎng)絡(luò)接入用戶實(shí)施不同的安全檢查策略并授予不同的網(wǎng)絡(luò)訪問權(quán)限。其原理性的流程如下：用戶上網(wǎng)前必須首先進(jìn)行身份認(rèn)證，確認(rèn)是合法用戶后，安全客戶端還要檢測病毒軟件和補(bǔ)丁安裝情況，上報(bào)EAD。EAD檢測補(bǔ)丁安裝、病毒庫版本等是否合格，假如合格進(jìn)入步驟7，假如不合格，進(jìn)入步驟3。EAD通知接入設(shè)備（S36系列或其他支持EAD解決方案的交換機(jī)），將該用戶的訪問權(quán)限限制到隔離區(qū)內(nèi)?，F(xiàn)在，用戶只能訪問補(bǔ)丁服務(wù)器、防病毒服務(wù)器等安全資源，因此可不能受到外部病毒和攻擊的威脅。安全客戶端通知用戶進(jìn)行補(bǔ)丁和病毒庫的升級(jí)操作。用戶升級(jí)完成后，可重新進(jìn)行安全認(rèn)證。假如合格則解除隔離，進(jìn)入步驟7。假如用戶補(bǔ)丁升級(jí)不成功，用戶仍然無法訪問其他網(wǎng)絡(luò)資源，回到步驟4用戶能夠正常訪問其他授權(quán)（ACL、VLAN）的網(wǎng)絡(luò)資源。實(shí)施效果由于接入層交換機(jī)對(duì)端口部署了802.1x認(rèn)證，所有非法用戶將不能訪問企業(yè)內(nèi)部網(wǎng)絡(luò)。同時(shí)認(rèn)證通過前，用戶終端之間無法實(shí)現(xiàn)互訪。合法用戶接入網(wǎng)絡(luò)后，其訪問權(quán)限受S36系列交換機(jī)中的ACL操縱。特定的服務(wù)器只能由被授權(quán)的用戶訪問。合法用戶接入網(wǎng)絡(luò)后，其互訪權(quán)限受S36系列交換機(jī)中的VLAN操縱。不同角色的用戶分屬不同的VLAN，跨VLAN的用戶不能互訪（受組網(wǎng)方式限制）。用戶正常接入網(wǎng)絡(luò)前，必須通過安全客戶端的安全檢查，確保沒有感染病毒且病毒庫版本和補(bǔ)丁得到及時(shí)升級(jí)。降低了病毒和遠(yuǎn)程攻擊對(duì)企業(yè)網(wǎng)帶來的安全風(fēng)險(xiǎn)。通過使用iNode客戶端，可對(duì)用戶的終端使用行為進(jìn)行嚴(yán)格治理，比如禁止設(shè)置代理服務(wù)器、禁用雙網(wǎng)卡、禁止撥號(hào)等。EAD應(yīng)用模式EAD解決方案關(guān)于每一種安全狀態(tài)的檢測，按照處理模式可分為隔離模式、VIP模式、Guest模式、下線模式。如防病毒軟件的安裝和版本檢查能夠采納隔離模式，補(bǔ)丁軟件依照重要性的不同能夠采取不同的模式，一些非法軟件的安裝能夠通過Guest模式進(jìn)行提醒。四種模式關(guān)于實(shí)現(xiàn)的終端安全狀態(tài)監(jiān)控功能各有不同，對(duì)安全設(shè)備的要求也不相同。隔離模式關(guān)于一些關(guān)系比較重大的安全漏洞或補(bǔ)丁，如Windows服務(wù)器的致命安全補(bǔ)丁，需要進(jìn)行比較嚴(yán)厲的操縱。具體來講，確實(shí)是一旦用戶終端安全狀態(tài)不合格，就限制其網(wǎng)絡(luò)訪問區(qū)域?yàn)楦綦x區(qū)，在進(jìn)行修復(fù)操作，滿足企業(yè)終端安全策略要求后，才能重新發(fā)起認(rèn)證，正常接入網(wǎng)絡(luò)。隔離模式要求安全聯(lián)動(dòng)設(shè)備必須支持動(dòng)態(tài)ACL特性，能夠?qū)崟r(shí)應(yīng)用EAD安全策略服務(wù)器下發(fā)的ACL規(guī)格，并應(yīng)用于用戶連接。Guest模式某些應(yīng)用環(huán)境下，不需要依照用戶終端的安全狀態(tài)嚴(yán)格操縱用戶終端的訪問權(quán)限，比如訪客，能夠采納Guest模式來處理不合格的安全狀態(tài)，如關(guān)于安全等級(jí)略低一些的補(bǔ)丁能夠采取這種方式。在Guest模式下，安全客戶端檢查用戶終端的安全狀態(tài)信息，并將不合格項(xiàng)以彈出窗口的形式提供給終端用戶，同時(shí)提供修復(fù)指導(dǎo)和相關(guān)鏈接。用戶的網(wǎng)絡(luò)訪問權(quán)限不因終端安全狀態(tài)不合格而被更改。VIP模式關(guān)于一些高級(jí)不的領(lǐng)導(dǎo)或網(wǎng)絡(luò)治理者，能夠采取級(jí)不最低的VIP模式。VIP模式同Guest模式的實(shí)現(xiàn)流程差不多相同，區(qū)不在于VIP模式下，安全客戶端不通過彈出窗口向用戶提示終端的不合格項(xiàng)。網(wǎng)絡(luò)治理員可在EAD安全策略服務(wù)器的治理界面中實(shí)時(shí)對(duì)用戶終端安全狀態(tài)進(jìn)行監(jiān)控，了解用戶終端的安全信息。一些相對(duì)一般的安全問題，如提示性的補(bǔ)丁安裝，能夠在不阻礙終端用戶工作的情況下，由治理員進(jìn)行定期檢查并通告。Guest模式和VIP模式下，安全聯(lián)動(dòng)設(shè)備能夠不需要支持動(dòng)態(tài)ACL下發(fā)操縱功能。下線模式下線模式實(shí)現(xiàn)流程與隔離模式相同，唯一的區(qū)不是對(duì)不安全的用戶采取直接下線的處理方式。要緊與Portal認(rèn)證相配合，實(shí)現(xiàn)網(wǎng)絡(luò)出口或是關(guān)鍵數(shù)據(jù)區(qū)域的認(rèn)證愛護(hù)。也能夠作為兼容第三方廠商設(shè)備的部署模式，配合接入交換機(jī)GuestVLAN功能實(shí)現(xiàn)對(duì)不安全用戶的隔離功能。下線模式也是目前友商相似方案的要緊實(shí)現(xiàn)模式，EAD支持下線模式能夠增強(qiáng)方案對(duì)設(shè)備的兼容性。與Cisco接入設(shè)備配合部署802.1x認(rèn)證方式下的EAD解決方案，推舉使用下線模式。除上上述幾種策略處理方式以外，EAD解決方案還支持細(xì)致到處一個(gè)策略的綜合操縱方式，也確實(shí)是通過以上幾種方式組合出符合您企業(yè)的策略：EAD解決方案應(yīng)用模型及功能特點(diǎn)端點(diǎn)準(zhǔn)入防備應(yīng)用模型端點(diǎn)準(zhǔn)入防備應(yīng)用模型EAD解決方案在準(zhǔn)入上要緊是通過身份認(rèn)證和安全策略檢查的方式，對(duì)未通過身份認(rèn)證或不符合安全策略的用戶終端進(jìn)行網(wǎng)絡(luò)隔離，并關(guān)心終端進(jìn)行安全修復(fù)，以達(dá)到防范不安全網(wǎng)絡(luò)用戶終端給安全網(wǎng)絡(luò)帶來安全威脅的目的。EAD解決方案安全準(zhǔn)入應(yīng)用模型圖端點(diǎn)準(zhǔn)入防備工作流程身份驗(yàn)證：用戶終端接入網(wǎng)絡(luò)時(shí)，首先進(jìn)行用戶身份認(rèn)證，非法用戶將被拒絕接入網(wǎng)絡(luò)。目前EAD解決方案支持802.1x、Portal、VPN和無線認(rèn)證。安全檢查：身份認(rèn)證通過后進(jìn)行終端安全檢查，由EAD安全策略服務(wù)器驗(yàn)證用戶終端的安全狀態(tài)（包括補(bǔ)丁版本、病毒庫版本、軟件安裝等）是否合格。安全隔離：不合格的終端將被安全聯(lián)動(dòng)設(shè)備通過ACL策略限制在隔離區(qū)進(jìn)行安全修復(fù)。安全修復(fù)：進(jìn)入隔離區(qū)的用戶能夠進(jìn)行補(bǔ)丁、病毒庫的升級(jí)、卸載非法軟件和停止非法服務(wù)等操作，直到安全狀態(tài)合格。動(dòng)態(tài)授權(quán)：假如用戶身份驗(yàn)證、安全檢查都通過，則EAD安全策略服務(wù)器將預(yù)先配置的該用戶的權(quán)限信息（包括網(wǎng)絡(luò)訪問權(quán)限等）下發(fā)給安全聯(lián)動(dòng)設(shè)備，由安全聯(lián)動(dòng)設(shè)備實(shí)現(xiàn)按用戶身份的權(quán)限操縱。實(shí)時(shí)監(jiān)控：在用戶網(wǎng)絡(luò)使用過程中，安全客戶端依照安全策略服務(wù)器下發(fā)的監(jiān)控策略，實(shí)時(shí)監(jiān)控用戶終端的安全狀態(tài)，一旦發(fā)覺用戶終端安全狀態(tài)不符合企業(yè)安全策略，則向EAD安全策略服務(wù)器上報(bào)安全事件，由EAD安全策略服務(wù)器按照預(yù)定義的安全策略，采取相應(yīng)的操縱措施，比如通知安全聯(lián)動(dòng)設(shè)備隔離用戶。端點(diǎn)準(zhǔn)入防備功能特點(diǎn)安全狀態(tài)評(píng)估終端補(bǔ)丁檢測：評(píng)估客戶端的補(bǔ)丁安裝是否合格，能夠檢測的補(bǔ)丁包括：操作系統(tǒng)(Windows2000/XP/2003等，不包括Windows98)等符合微軟補(bǔ)丁規(guī)范的熱補(bǔ)丁。安全客戶端版本檢測：能夠檢測安全客戶端iNodeClient的版本，防止使用不具備安全檢測能力的客戶端接入網(wǎng)絡(luò)，同時(shí)支持客戶端自動(dòng)升級(jí)。安全狀態(tài)定時(shí)評(píng)估：安全客戶端能夠定時(shí)檢測用戶安全狀態(tài)，防止用戶上網(wǎng)過程中因安全狀態(tài)發(fā)生變化而造成的與安全策略的不一致。自動(dòng)補(bǔ)丁治理：提供與微軟WSUS/SMS（全稱：WindowsServerUpdateServices/SystemManagementServer）協(xié)同的自動(dòng)補(bǔ)丁治理，當(dāng)用戶補(bǔ)丁不合格時(shí)，自動(dòng)安裝補(bǔ)丁。終端運(yùn)行狀態(tài)實(shí)時(shí)檢測：能夠?qū)ι暇€用戶終端的系統(tǒng)信息進(jìn)行實(shí)時(shí)檢測，包括已安裝程序列表、已安裝補(bǔ)丁列表、已運(yùn)行進(jìn)程列表、共享目錄信息、分區(qū)表、屏保設(shè)置和已啟動(dòng)服務(wù)列表等。防病毒聯(lián)動(dòng)：要緊包含兩個(gè)方面，一是端點(diǎn)用戶接入網(wǎng)絡(luò)時(shí)，檢查其計(jì)算機(jī)上防病毒軟件的安裝運(yùn)行情況以及病毒庫和掃描引擎版本是否符合安全要求等，不符合安全要求能夠依照策略阻止用戶接入網(wǎng)絡(luò)或?qū)⑵湓L問限制在隔離區(qū)；二是端點(diǎn)用戶接入網(wǎng)絡(luò)后，EAD定期檢查防病毒軟件的運(yùn)行狀態(tài)，假如發(fā)覺不符合安全要求能夠依照策略強(qiáng)制讓用戶下線或?qū)⑵湓L問限制在隔離區(qū)。當(dāng)前支持的防病毒聯(lián)動(dòng)軟件有：瑞星、金山、江民、諾頓、趨勢、McAfee、安博士、CA安全甲胄及VRV等。用戶權(quán)限治理強(qiáng)身份認(rèn)證：在用戶身份認(rèn)證時(shí)，可綁定用戶接入IP、MAC（對(duì)用Portal的方式不支持MAC綁定）、接入設(shè)備IP、端口、VLAN和電子證書等信息，進(jìn)行強(qiáng)身份認(rèn)證，防止帳號(hào)盜用、限定帳號(hào)所使用的終端，確保接入用戶的身份安全?！拔ｋU(xiǎn)”用戶隔離：關(guān)于安全狀態(tài)評(píng)估不合格的用戶，能夠限制其訪問權(quán)限（通過ACL隔離），使其只能訪問防病毒服務(wù)器、補(bǔ)丁服務(wù)器等用于系統(tǒng)修復(fù)的網(wǎng)絡(luò)資源?！拔ｋU(xiǎn)”用戶在線隔離：用戶上網(wǎng)過程中安全狀態(tài)發(fā)生變化造成與安全策略不一致時(shí)（如感染不能殺除的病毒），EAD能夠在線隔離并通知用戶。軟件安裝和運(yùn)行檢測：檢測終端軟件的安裝和運(yùn)行狀態(tài)。能夠限制接入網(wǎng)絡(luò)的用戶必須安裝、運(yùn)行或禁止安裝、運(yùn)行其中某些軟件。關(guān)于不符合安全策略的用戶能夠記錄日志、提醒或隔離。支持匿名認(rèn)證：iNode客戶端與EAD服務(wù)器配合提供用戶匿名認(rèn)證功能，用戶不需要輸入用戶名、密碼即可完成身份認(rèn)證和安全認(rèn)證。接入時(shí)刻、區(qū)域操縱：能夠限制用戶只能在同意的時(shí)刻和地點(diǎn)（接入設(shè)備和端口）上網(wǎng)。限制終端用戶使用多網(wǎng)卡和撥號(hào)網(wǎng)絡(luò)：防止用戶終端成為內(nèi)外網(wǎng)互訪的橋梁，幸免因此可能造成的信息安全問題。代理限制：能夠限制用戶使用和設(shè)置代理服務(wù)器。用戶行為監(jiān)控終端強(qiáng)制或提醒修復(fù)：強(qiáng)制或提醒不符合安全策略的終端用戶主機(jī)進(jìn)行防病毒軟件升級(jí)，病毒庫升級(jí)，補(bǔ)丁安裝；目前只支持手工方式（金山的客戶端能夠與系統(tǒng)中心做自動(dòng)升級(jí)）。安全狀態(tài)監(jiān)控：定時(shí)監(jiān)控終端用戶的安全狀態(tài)，發(fā)覺感染病毒后依照安全策略可將其限制到隔離區(qū)。安全日志審計(jì)：定時(shí)收集客戶端的實(shí)時(shí)安全狀態(tài)并記錄日志；查詢用戶的安全狀態(tài)日志、安全事件日志以及在線用戶的安全狀態(tài)。強(qiáng)制用戶下線：治理員能夠強(qiáng)制行為“可疑”的用戶下線。桌面資產(chǎn)治理應(yīng)用模型桌面資產(chǎn)治理應(yīng)用模型（注：Radius服務(wù)器、安全策略服務(wù)器、DAM服務(wù)器均由EAD完成）身份驗(yàn)證及安全認(rèn)證：身份認(rèn)證和安全認(rèn)證不在資產(chǎn)治理流程中。那個(gè)地點(diǎn)提到，要緊是在安全認(rèn)證成功之后，在EAD交互報(bào)文中給出了DAM（桌面資產(chǎn)治理，內(nèi)含于EAD服務(wù)器）服務(wù)器的地址和端口；可選的，DAM服務(wù)器的地址和端口，也能夠采納iNode客戶端治理中心定制指定；資產(chǎn)上線：資產(chǎn)上線分成幾種情況：1、已治理資產(chǎn)的上線：服務(wù)器依照客戶端上傳的資產(chǎn)編號(hào)找到資產(chǎn)記錄即回應(yīng)確認(rèn)信息，客戶端之后請求資產(chǎn)策略，服務(wù)器回應(yīng)資產(chǎn)策略給客戶端；2、客戶端注冊方式的新資產(chǎn)（該資產(chǎn)由治理員增加）上線：服務(wù)端要求客戶端輸入資產(chǎn)編號(hào)，客戶端提交后，服務(wù)端依照資產(chǎn)編號(hào)找到資產(chǎn)信息，發(fā)給客戶端確認(rèn)，確認(rèn)后服務(wù)端將該資產(chǎn)置為已治理狀態(tài)，回應(yīng)確認(rèn)信息，客戶端之后請求資產(chǎn)策略，服務(wù)器回應(yīng)資產(chǎn)策略給客戶端；3、服務(wù)器自動(dòng)生成新資產(chǎn)方式的上線：服務(wù)端依照客戶端上傳的資產(chǎn)指紋信息生成新資產(chǎn)編號(hào)；客戶端彈出資產(chǎn)信息錄入界面并由用戶錄入，之后上傳給服務(wù)端，服務(wù)端回應(yīng)確認(rèn)信息，客戶端之后請求資產(chǎn)策略，服務(wù)器回應(yīng)資產(chǎn)策略給客戶端；4、重裝操作系統(tǒng)之后的客戶端上線：服務(wù)端依照客戶端傳遞過來的指紋信息找到已有的資產(chǎn)記錄，之后回應(yīng)資產(chǎn)信息給客戶端；客戶端用戶確認(rèn)服務(wù)器返回的資產(chǎn)信息與自己的資產(chǎn)相匹配，之后，客戶端發(fā)送確認(rèn)報(bào)文給服務(wù)端；服務(wù)端確認(rèn)后將正在上線的資產(chǎn)與自身已有記錄關(guān)聯(lián)起來；服務(wù)端回應(yīng)確認(rèn)信息，客戶端之后請求資產(chǎn)策略，服務(wù)器回應(yīng)資產(chǎn)策略給客戶端；5、安裝了多操作系統(tǒng)的資產(chǎn)上線：用戶啟動(dòng)一個(gè)操作系統(tǒng)并上線成功后，在另一個(gè)操作系統(tǒng)下又發(fā)起上線請求；服務(wù)端發(fā)覺多操作系統(tǒng)情況，將只同意最后安裝的操作系統(tǒng)的客戶端能夠上線；服務(wù)端回應(yīng)確認(rèn)信息，客戶端之后請求資產(chǎn)策略，服務(wù)器回應(yīng)資產(chǎn)策略給客戶端；資產(chǎn)信息上報(bào)：客戶端獵取本地資產(chǎn)信息，保存到本地，并上報(bào)給服務(wù)端；客戶端定期會(huì)掃描本地資產(chǎn)信息，如發(fā)覺有變更，更新本地保存的資產(chǎn)文件，同時(shí)將資產(chǎn)變更信息上報(bào)給服務(wù)端；USB使用信息上報(bào)：客戶端實(shí)時(shí)監(jiān)測USB插入情況，假如有USB插入、向USB中寫入文件、或者拔出USB，都會(huì)寫入文件；客戶端定期上報(bào)USB使用信息給服務(wù)端；軟件分發(fā)：服務(wù)端為資產(chǎn)創(chuàng)建分發(fā)任務(wù)；客戶端向服務(wù)端請求資產(chǎn)策略，服務(wù)端回應(yīng)同時(shí)，將分發(fā)任務(wù)下達(dá)給客戶端；客戶端連接到分發(fā)服務(wù)器進(jìn)行軟件下載；下載到本地之后可由用戶自行安裝，也能夠自動(dòng)安裝；桌面資產(chǎn)治理功能特點(diǎn)終端資產(chǎn)治理資產(chǎn)編號(hào)處理：針對(duì)新資產(chǎn)，支持服務(wù)端自動(dòng)生成資產(chǎn)編號(hào)、也可治理員手工輸入，方式靈活，并豐富了治理手段；支持資產(chǎn)信息的增刪改：治理員能夠增加、刪除、修改資產(chǎn)信息；支持資產(chǎn)分組治理：可靈活的將資產(chǎn)對(duì)應(yīng)到相應(yīng)分組中，便于治理；終端資產(chǎn)信息自動(dòng)上報(bào)：支持資產(chǎn)信息自動(dòng)上報(bào)；支持資產(chǎn)變更信息自動(dòng)上報(bào)；USB使用信息自動(dòng)上報(bào)；資產(chǎn)信息審計(jì)：可對(duì)軟硬件資產(chǎn)進(jìn)行查詢，支持按CPU、制造商、型號(hào)、操作系統(tǒng)等統(tǒng)計(jì)資產(chǎn)，便于治理員分類進(jìn)行企業(yè)資產(chǎn)盤點(diǎn)；資產(chǎn)變更審計(jì)：可針對(duì)資產(chǎn)變更信息進(jìn)行審計(jì)，審計(jì)內(nèi)容包含資產(chǎn)名、編號(hào)、變更類型、變更內(nèi)容、資產(chǎn)責(zé)任人、變更時(shí)刻等；便于治理員及時(shí)掌握企業(yè)資產(chǎn)變動(dòng)情況；支持USB使用審計(jì)：支持USB使用的審計(jì)，審計(jì)內(nèi)容包括資產(chǎn)名、文件名、文件大小、操作時(shí)刻等，關(guān)心治理員追蹤定位非法用戶；支持禁用光驅(qū)、軟驅(qū)、紅外、藍(lán)牙、Modem等外設(shè)：能夠禁用USB存儲(chǔ)設(shè)備，光驅(qū)、軟驅(qū)、紅外、藍(lán)牙、Modem、并口、串口等外設(shè)，防止關(guān)鍵機(jī)密信息外泄。軟件分發(fā)分發(fā)任務(wù)治理：支持軟件分發(fā)任務(wù)的增加，修改，查詢和刪除以及關(guān)閉功能；能夠按資產(chǎn)分組、選中單個(gè)或者多個(gè)資產(chǎn)進(jìn)行資產(chǎn)批量分發(fā)；能夠自定義分發(fā)操作的時(shí)刻；支持http，ftp和文件共享三種方式的分發(fā)服務(wù)器的參數(shù)配置功能；軟件分發(fā)查詢：支持按照資產(chǎn)查詢軟件分發(fā)歷史；支持按照分發(fā)任務(wù)查詢每個(gè)資產(chǎn)的軟件分發(fā)狀態(tài)；軟件分發(fā)：支持http、ftp和文件共享等三種協(xié)議的軟件分發(fā)，軟件分發(fā)給終端之后，安裝的方式能夠依照治理員指定好的策略進(jìn)行靜默安裝或者一般安裝。系統(tǒng)參數(shù)及環(huán)境要求EAD系統(tǒng)技術(shù)參數(shù)網(wǎng)絡(luò)帶寬占用：用戶終端安全狀態(tài)信息<1K；并發(fā)連接數(shù)：EAD應(yīng)用服務(wù)器可支持5000個(gè)并發(fā)連接；雙機(jī)備份：支持24小時(shí)主備數(shù)據(jù)自動(dòng)同步方案；EAD系統(tǒng)環(huán)境要求iMC平臺(tái)服務(wù)器（最大治理500臺(tái)設(shè)備）屬性參數(shù)硬件平臺(tái)服務(wù)器端：PC服務(wù)器：Xeon2.4G（及以上）、內(nèi)存2G（及以上）、硬盤80G（及以上）、48倍速光驅(qū)、100M網(wǎng)卡、顯卡支持分辯率1024*768、聲卡操作系統(tǒng)服務(wù)器：Windows2000Server/Server2003（簡體中文版）客戶端：WindowsXP/2000/Vista（簡體中文版）掃瞄器：IE5.5及以上版本、Firefox1.5及以上版本數(shù)據(jù)庫SQLServer2000Standard簡體中文版（SP4）SQLServer2005Workgroup簡體中文版EAD安全策略服務(wù)器（最大治理5000用戶）

屬性參數(shù)硬件平臺(tái)服務(wù)器端：處理器類型：IntelXeonEM64T或更好；處理器主頻：≥3.0GHz；處理器二級(jí)高速緩存：≥2MB；處理器配置數(shù)目≥1；內(nèi)存≥2G；硬盤容量144GB（RAID1）；陣列操縱器/Raid卡：配置雙通道Ultra320SCSI卡式陣列操縱器或更好，緩存≥128MB；支持RAID0、1、1+0、5；網(wǎng)卡≥1塊10/100/1000Mb自適應(yīng)以太網(wǎng)卡；操作系統(tǒng)服務(wù)器：Windows2000ServerSP4/Server2003SP1（簡體中文版）客戶端：WindowsXP/2000/Vista（簡體中文版）掃瞄器：IE5.5及以上版本、Firefox1.5及以上版本數(shù)據(jù)庫SQLServer2000Standard簡體中文版（SP4）SQLServer2005Workgroup簡體中文版iNode客戶端：軟件環(huán)境：Windows2000/XP/2003/Vista；硬件環(huán)境：CPU主頻800MHz以上、128M以上內(nèi)存。附1：部署講明Portal網(wǎng)關(guān)設(shè)備性能：設(shè)備型號(hào)認(rèn)證性能講明S5500EI28C/PWR/28FPortal512整機(jī)4000(一條規(guī)則占4條資源)52C/PWR-EI1024整機(jī)8000，每芯片4000，限制同上S7502EPortal1500SC單板每板4000(一條規(guī)則占4條資源)，每板1.5K，整機(jī)上限3000(需將用戶平分到單板)酒鋼廠區(qū)PC終端數(shù)量分布：區(qū)域PC數(shù)量建議設(shè)備富余量A辦公406802.1x實(shí)現(xiàn)B燒結(jié)329500C煉鋼351500D動(dòng)力274500E宏昌4921000F交易中心8441500G指揮中心200500榆鋼500翼鋼500由此，交易區(qū)旁掛一臺(tái)S7502E，在宏昌區(qū)旁掛一臺(tái)S5500-52C-EI，在燒結(jié)區(qū)、煉鋼區(qū)、動(dòng)力區(qū)、生產(chǎn)指揮中心、翼鋼、榆鋼各旁掛六臺(tái)S5500-28C附2：EAD功能列表網(wǎng)絡(luò)與安全統(tǒng)一治理拓?fù)浞绞街庇^顯示網(wǎng)絡(luò)設(shè)備及接入用戶，可通過拓?fù)湔莆杖W(wǎng)用戶安全狀態(tài)，直接對(duì)用戶進(jìn)行下線、在線檢查等操作終端補(bǔ)丁檢測能夠評(píng)估客戶端的補(bǔ)丁安裝是否合格，能夠檢測的補(bǔ)丁包括：操作系統(tǒng)(Windows2000、XP、Server2003等，不包括Windows98)等符合微軟補(bǔ)丁規(guī)范的熱補(bǔ)丁自動(dòng)補(bǔ)丁治理支持與微軟WSUS/SMS協(xié)同的自動(dòng)補(bǔ)丁治理，當(dāng)用戶安全認(rèn)證時(shí)，自動(dòng)檢查、下載、安裝補(bǔ)丁。與廠商防病毒聯(lián)動(dòng)支持與趨勢科技、瑞星、江民、金山、McAfee、Symentec、Ahn、北信源、CA、Kill等廠商的防病毒軟件聯(lián)動(dòng)，支持安裝運(yùn)行狀態(tài)等的檢測病毒庫版本檢測支持檢測終端安裝的防病毒軟件和病毒庫的版本是否合格終端病毒感染狀態(tài)檢測用戶上網(wǎng)前的殺毒記錄，能夠強(qiáng)制用戶在接入網(wǎng)絡(luò)前首先查殺病毒。ARP網(wǎng)關(guān)綁定支持通過提供用戶網(wǎng)關(guān)IP、MAC地址配置信息防止本地受到假冒網(wǎng)關(guān)方式的ARP欺騙客戶端ARP報(bào)文過濾客戶端可關(guān)于IP-MAC不對(duì)應(yīng)的ARP主動(dòng)進(jìn)行過濾，防止客戶端主機(jī)發(fā)起ARP攻擊異常流量監(jiān)控支持依照流量監(jiān)控策略進(jìn)行流量監(jiān)控?？舍槍?duì)告警級(jí)不的不同對(duì)應(yīng)不同的處理軟件黑白名單操縱支持檢測終端應(yīng)用程序、進(jìn)程的運(yùn)行狀態(tài)。能夠限制接入網(wǎng)絡(luò)的用戶必須安裝、運(yùn)行或禁止安裝、運(yùn)行其中某些軟件；必須運(yùn)行或禁止運(yùn)行其中某些進(jìn)程。終端強(qiáng)制或提醒修復(fù)支持強(qiáng)制或提醒不符合安全策略的終端用戶主機(jī)進(jìn)行防病毒軟件升級(jí)，病毒庫升級(jí)，補(bǔ)丁安裝；多種安全模式支持下線模式、Guest模式、VIP模式和隔離模式，以適應(yīng)不同客戶對(duì)安全準(zhǔn)入操縱的不同要求。安全模式設(shè)置支持基于單一安全檢查項(xiàng)（防病毒軟件、軟件補(bǔ)丁、應(yīng)用軟件、進(jìn)程等）設(shè)置不同的安全模式用戶黑名單功能1、黑名單用戶接入限制治理：列入黑名單的用戶禁止接入網(wǎng)絡(luò)。

2、支持手工加入和多次嘗試密碼失敗自動(dòng)劃入隔離區(qū)。

3、黑名單增強(qiáng)功能：關(guān)于多次嘗試密碼用戶，只限制嘗試密碼所使用終端不能登錄，不限制其它終端登錄?；?02.1x的身份認(rèn)證和安全認(rèn)證支持多種認(rèn)證方式，如PAP、CHAP、EAP-MD