端點準入防御(EAD，Endpoint Admission Defense)解決方案從網絡接入端點的安全控制入手，通過安全客戶端、安全策略服務器、網絡設備以及第三方軟件的聯動，對接入網絡的用戶終端強制實施企業安全策略，加強網絡用戶終端的主動防御能力，并嚴格控制終端用戶的網絡使用行為，保護網絡安全。

炫億時代

概述 炫億，炫億時代

在互聯網技術的發展應用過程中，伴隨著網絡應用軟硬件技術的快速發展，網絡信息安全問題日益嚴重，新的安全威脅不斷涌現，特別是金融行業、其數據的特殊性和重要性、更成為黑客們攻擊的重要對象，針對目前金融系統計算機犯罪頻率越來越高，手段越來越復雜，銀行損失金額越來越大。

炫億時代

目前金融系統網絡安全威脅主要有：

xetimes.com

1.通過攻擊接口進行非法入侵 ：根據各級局域網、廣域網、及服務器接口的情況，可以通過下面幾種方式進行攻擊：業務系統拒絕服務;通過猜測獲得內部主機其他服務的訪問權限;內部網絡拓撲信息外泄;局域網中數據的截獲。

炫億，炫億時代

2.針對系統自身存在缺陷進行攻擊：利用系統(包括操作系統、支撐軟件及應用系統)固有的或系統配置及管理過程中的安全漏洞，穿透或繞過安全設施的防護策略，達到非法訪問直至控制系統的目的，并以此為跳板，繼續攻擊其他系統。此類攻擊手段包括隱通道攻擊、特洛伊木馬、口令猜測、緩沖區溢出等。 炫億時代

網絡安全問題的解決，三分靠技術，七分靠管理，嚴格管理是金融機構及用戶免受網絡安全問題威脅的重要措施。根據調查表明，網絡安全的威脅60%來自網絡內部，網絡用戶不及時升級系統補丁、升級病毒庫的現象普遍存在;私設代理服務器、私自訪問外部網絡、使用網絡管理員禁止使用的軟件等行為在金融系統內部網絡中也比比皆是。如果只是通過防火墻和在網絡設備上配置一系列訪問控制策略是無法完全避免各種安全威脅的，而必須從用戶接入終端-網絡設備-中心服務器提供一系列端到端的安全解決方案。所以首先要從網絡接入端點的安全控制入手，對接入網絡的用戶終端強制實施企業安全策略，加強網絡用戶終端的主動防御能力。 炫億時代

針對接入層用戶的安全威脅，特別是來自應用層面的安全隱患，防止黑客對核心層設備及服務器的攻擊，我們必須在接入層設置強大的安全屏障，華為3Com公司推出了端點準入防御(EAD)解決方案，該方案從網絡用戶終端準入控制入手，整合網絡接入控制與終端安全產品，通過安全客戶端、安全策略服務器、網絡設備以及第三方軟件的聯動，對接入網絡的用戶終端強制實施企業安全策略，嚴格控制終端用戶的網絡使用行為，加強網絡用戶終端的主動防御能力，保護網絡安全。 炫億時代

EAD簡介 炫億，炫億時代

原理

EAD解決方案提供企業網絡安全管理的平臺，通過整合孤立的單點防御系統，加強對用戶的集中管理，統一實施企業網絡安全策略，提高網絡終端的主動抵抗能力。其基本原理圖如下： 炫億時代

炫億時代

EAD系統由四部分組成，具體包括安全策略服務器、安全客戶端平臺、安全聯動設備和第三方服務器。

炫億時代

安全策略服務器是EAD方案中的管理與控制中心，是EAD解決方案的核心組成部分，實現用戶管理、安全策略管理、安全狀態評估、安全聯動控制以及安全事件審計等功能。目前華為3Com公司的CAMS產品實現了安全策略服務器的功能，該系統在全面管理網絡用戶信息的基礎上，支持多種網絡認證方式，支持針對用戶的安全策略設置，以標準協議與網絡設備聯動，實現對用戶接入行為的控制，同時，該系統可詳細記錄用戶上網信息和安全事件信息，審計用戶上網行為和安全事件。

安全客戶端平臺是安裝在用戶終端系統上的軟件，該平臺可集成各種安全廠商的安全產品插件，對用戶終端進行身份認證、安全狀態評估以及實施網絡安全策略。 炫億時代

安全聯動設備是企業網絡中安全策略的實施點，起到強制用戶準入認證、隔離不合格終端、為合法用戶提供網絡服務的作用。CAMS綜合接入管理平臺作為安全策略服務器，提供標準的協議接口，支持同交換機、路由器等各類網絡設備的安全聯動。

炫億時代

第三方服務器為病毒服務器、補丁服務器等第三方網絡安全產品，通過安全策略的設置實施，第三方安全產品的功能集成至EAD解決方案種，實現安全產品功能的整合。

炫億時代

EAD原理圖示意了應用EAD系統實現終端安全準入的流程：

炫億時代

1. 用戶終端試圖接入網絡時，首先通過安全客戶端上傳用戶信息至安全策略服務器進行用戶身份認證，非法用戶將被拒絕接入網絡; 炫億時代

2. 合法用戶將被要求進行安全狀態認證，由安全策略服務器驗證補丁版本、病毒庫版本等信息是否合格，不合格用戶將被安全聯動設備隔離到隔離區; 炫億時代

3. 進入隔離區的用戶可以根據企業網絡安全策略，通過第三方服務器進行安裝系統補丁、升級病毒庫、檢查終端系統信息等操作，直到接入終端符合企業網絡安全策略;

炫億，炫億時代

4. 安全狀態合格的用戶將實施由安全策略服務器下發的安全設置，并由安全聯動設備提供基于身份的網絡服務。 炫億，炫億時代

功能特點 炫億，炫億時代

完備的安全狀態評估 炫億時代

用戶終端的安全狀態是指操作系統補丁、第三方軟件版本、病毒庫版本、是否感染病毒等反映終端防御能力的狀態信息。EAD通過對終端安全狀態進行評估，使得只有符合企業安全標準的終端才能正常訪問網絡。

炫億時代

實時的“危險”用戶隔離

系統補丁、病毒庫版本不及時更新或已感染病毒的用戶終端，如果不符合管理員設定的企業安全策略，將被限制訪問權限，只能訪問病毒服務器、補丁服務器等用于系統修復的網絡資源。 xetimes.com

基于角色的網絡服務

在用戶終端在通過病毒、補丁等安全信息檢查后，EAD可基于終端用戶的角色，向安全客戶端下發系統配置的安全策略，按照用戶角色權限規范用戶的網絡使用行為。終端用戶的ACL訪問策略、QoS策略、是否禁止使用代理、是否禁止使用雙網卡等安全措施設置均可由管理員統一管理，并實時應用實施。 炫億時代

可擴展的、開放的安全解決方案

EAD是一個可擴展的安全解決方案，對現有網絡設備和組網方式改造較小。在現有企業網中，只需對網絡設備和第三方軟件進行簡單升級，即可實現接入控制和防病毒的聯動，達到端點準入控制的目的，有效保護用戶的網絡投資。 炫億，炫億時代

EAD也是一個開放的解決方案。EAD系統中，安全策略服務器同設備的交互、同第三方服務器的交互都基于開放的、標準的協議實現。在防病毒方面，目前EAD系統已金山、瑞星、江民等多家主流防病毒廠商的產品實現聯動。

炫億時代

靈活、方便的部署與維護 xetimes.com

EAD方案部署靈活，維護方便，可以按照網絡管理員的要求區別對待不同身份的用戶，定制不同的安全檢查和隔離級別。EAD可以部署為監控模式(只記錄不合格的用戶終端，不進行修復提醒)、提醒模式(只做修復提醒，不進行網絡隔離)和隔離模式，以適應用戶對安全準入控制的不同要求。 炫億時代

安全客戶端平臺是安裝在用戶終端系統上的軟件，該平臺可集成各種安全廠商的安全產品插件，對用戶終端進行身份認證、安全狀態評估以及實施網絡安全策略。

安全聯動設備是企業網絡中安全策略的實施點，起到強制用戶準入認證、隔離不合格終端、為合法用戶提供網絡服務的作用。CAMS綜合接入管理平臺作為安全策略服務器，提供標準的協議接口，支持同交換機、路由器等各類網絡設備的安全聯動。 炫億，炫億時代

第三方服務器為病毒服務器、補丁服務器等第三方網絡安全產品，通過安全策略的設置實施，第三方安全產品的功能集成至EAD解決方案種，實現安全產品功能的整合。

EAD原理圖示意了應用EAD系統實現終端安全準入的流程： 炫億時代

1. 用戶終端試圖接入網絡時，首先通過安全客戶端上傳用戶信息至安全策略服務器進行用戶身份認證，非法用戶將被拒絕接入網絡; 炫億時代

2. 合法用戶將被要求進行安全狀態認證，由安全策略服務器驗證補丁版本、病毒庫版本等信息是否合格，不合格用戶將被安全聯動設備隔離到隔離區; xetimes.com

3. 進入隔離區的用戶可以根據企業網絡安全策略，通過第三方服務器進行安裝系統補丁、升級病毒庫、檢查終端系統信息等操作，直到接入終端符合企業網絡安全策略;

炫億時代

4. 安全狀態合格的用戶將實施由安全策略服務器下發的安全設置，并由安全聯動設備提供基于身份的網絡服務。 炫億時代

功能特點

炫億時代

完備的安全狀態評估

用戶終端的安全狀態是指操作系統補丁、第三方軟件版本、病毒庫版本、是否感染病毒等反映終端防御能力的狀態信息。EAD通過對終端安全狀態進行評估，使得只有符合企業安全標準的終端才能正常訪問網絡。

實時的“危險”用戶隔離

炫億時代

系統補丁、病毒庫版本不及時更新或已感染病毒的用戶終端，如果不符合管理員設定的企業安全策略，將被限制訪問權限，只能訪問病毒服務器、補丁服務器等用于系統修復的網絡資源。

基于角色的網絡服務 炫億時代

在用戶終端在通過病毒、補丁等安全信息檢查后，EAD可基于終端用戶的角色，向安全客戶端下發系統配置的安全策略，按照用戶角色權限規范用戶的網絡使用行為。終端用戶的ACL訪問策略、QoS策略、是否禁止使用代理、是否禁止使用雙網卡等安全措施設置均可由管理員統一管理，并實時應用實施。 炫億，炫億時代

可擴展的、開放的安全解決方案

炫億，炫億時代

EAD是一個可擴展的安全解決方案，對現有網絡設備和組網方式改造較小。在現有企業網中，只需對網絡設備和第三方軟件進行簡單升級，即可實現接入控制和防病毒的聯動，達到端點準入控制的目的，有效保護用戶的網絡投資。

炫億時代

EAD也是一個開放的解決方案。EAD系統中，安全策略服務器同設備的交互、同第三方服務器的交互都基于開放的、標準的協議實現。在防病毒方面，目前EAD系統已金山、瑞星、江民等多家主流防病毒廠商的產品實現聯動。 炫億時代

靈活、方便的部署與維護 炫億時代

EAD方案部署靈活，維護方便，可以按照網絡管理員的要求區別對待不同身份的用戶，定制不同的安全檢查和隔離級別。EAD可以部署為監控模式(只記錄不合格的用戶終端，不進行修復提醒)、提醒模式(只做修復提醒，不進行網絡隔離)和隔離模式，以適應用戶對安全準入控制的不同要求。 炫億時代

EAD在金融行業的應用

炫億時代

EAD是一種通用接入安全解決方案，具有很強的靈活性和適應性，可以配合金融廣域網及局域網的交換機、路由器、VPN網關等網絡設備，實現對局域網接入、無線接入、VPN接入、關鍵區域訪問等多種組網方式的安全防護。

具體包括：

炫億時代

局域網安全防護

炫億時代

在金融機構內部局域網中，EAD通過與交換機的聯動，強制檢查用戶終端的病毒庫和系統補丁信息，降低病毒和蠕蟲蔓延的風險，同時強制實施網絡接入用戶的安全策略，阻止來自網絡內部的安全威脅。 炫億時代

無線接入網絡的安全防護

WLAN接入的用戶終端具有漫游性，經常脫離企業網絡管理員的監控，容易感染病毒和木馬或出現長期不更新系統補丁的現象，給網絡帶來安全隱患。與局域網接入防護類似，對于這種無線接入的用戶，EAD也可以在交換機配合下，通過實現用戶接入終端的安全控制，實現用戶網絡的安全保護。

數據中心關鍵數據保護

金融系統中不同部門的用戶，網絡管理員將對其賦予不同的訪問權限和安全規則，通過EAD下發的安全策略，可以控制內部用戶對數據中心不同服務器的訪問權限，同時由于可訪問該數據服務器的用戶均通過EAD的安全狀態檢查，避免數據遭受非法訪問和攻擊。

網絡入口安全防護 炫億，炫億時代

對于金融機構新業務的開展，包括各種中間業務和大額支付、代收代付業務等，都存在與第三方合作機構的網絡對接，這種組網方式受到的安全威脅也更嚴重。為了確保接入金融機構網絡的用戶具有合法身份且符合金融行業安全標準，可以在外聯路由器上實施EAD準入認證。 xetimes.com

結論

EAD為金融網絡提供了一個全新的安全防御體系，該系統作為網絡安全管理的平臺，將防病毒功能、自動升級系統補丁等第三方軟件提供的網絡安全功能、網絡設備接入控制功能、用戶接入行為管理功能相融合，加強了對用戶終端的集中管理，提高了網絡終端的主動抵抗能力。通過對網絡接入終端的檢查、隔離、修復、管理和監控，有效管理網絡安全，使整個網絡變被動防御為主動防御、變單點防御為全面防御、變分散管理為集中策略管理，讓網絡擁有“自動免疫”的安全機能。結合金融網絡中的系列防火墻、IDS、IPS、VPN網關、以及網絡設備、主機服務器，為金融系統提供端到端的安全解決方案。