2021年EAD端点准入防御解决专业方案介绍.doc

某钢铁端点准入防御方案
技术提议书

目 录
1 概述 4
2 EAD端点准入防御处理方案介绍 5
方案思绪 5
方案组成部分 5
EAD安全策略服务器 6
修复服务器 7
安全联动设备 7
安全用户端 7
3 EAD处理方案组网布署 8
多厂商设备混合组网布署（Portal方法） 9
方案组网 10
组网设备 10
方案说明 10
步骤说明 11
实施效果 11
接入层准入控制组网布署（） 11
方案组网 11
组网设备 12
方案说明 12
步骤说明 13
实施效果 13
EAD应用模式 14
隔离模式 14
Guest模式 14
VIP模式 15
下线模式 15
4 EAD处理方案应用模型及功效特点 16
端点准入防御应用模型 16
端点准入防御应用模型 16
端点准入防御工作步骤 16
端点准入防御功效特点 17
安全状态评定 17
用户权限管理 18
用户行为监控 18
桌面资产管理应用模型 19
桌面资产管理应用模型 19
桌面资产管理功效特点 20
终端资产管理 20
软件分发 21
5 系统参数及环境要求 21
EAD系统技术参数 21
EAD系统环境要求 21
6 附1：布署说明 22
7 附2：EAD功效列表 23
概述
某钢铁（集团）有限责任企业（以下简称酒钢）网络信息化建设现在处于同行业领先水平，自动化应用程度高，信息平台承载着ERP、OA、MES等众多系统，所以信息平台成为企业正常经营生产基础平台之一。多年系统运维和建设，酒钢信息化平台已搭建得比较完善，但同时对安全管理方面提出了较高要求。网络安全基础设施建设和对原有网络进行终端安全准入改造已经成为酒钢网络建设重中之重。
现在酒钢网络中存在经典问题归纳总结为以下几大类：（1）终端时刻受到病毒和蠕虫威胁，存在安全隐患，更为严重是由此触发一系列问题扩散全网，造成全网瘫痪、关键数据时刻受到安全威胁，一旦被攻击，将为企业造成无法挽回损失；（2）防护策略赶不上攻击方法更新，被动式防御已不适应企业发展，主动式保护安全战略势在必行；（3）随意接入网络、私设***，有意或无意盗用IP地址情况严重；（4）网络采取分散管理模式，终端难以确保其安全状态符合企业安全策略，比如新补丁公布了却无人理会、新病毒出现了却不立即升级病毒库现象普遍存在，无法有效地从网络接入点进行安全防范。造成网络接入层面管理失控。
为了处理现有网络安全管理中存在不足，应对网络安全威胁，甘肃蓝潮世讯通信科技有限责任企业提供了端点准入防御（EAD，Endpoint Admission Defense）处理方案。该方案从用户终端准入控制入手，整合网络接入控制和终端安全产品，经过安全用户端、安全策略服务器、网络设备和防病毒软件产品、系统补丁管理产品、资产管理产品、桌面管理产品联动，对接入网络用户终端强制实施企业安全策略，严格控制终端用户网络使用行为，能够加强用户终端主动防御能力，大幅度提升网络安全。
EAD在用户接入网络前，经过统一管理安全策略强制检验用户终端安全状态，并依据对用户终端安全状态检验结果实施接入控制策略，对不符合企业安全标准用户进行“隔离”并强制用户进行病毒库升级、系统补丁升级等操作；在确保用户终端含有自防御能力并安全接入前提下，能够经过动态分配ACL、VLAN等合理控制用户网络权限，从而提升网络整体安全防御能力。
EAD同时含有资产管理、外设监控、软件分发等功效，提供了企业内网PC集中管理运维方案，以高效率管理手段和方法，帮助企业IT部门立即盘点内网资产、掌控内网资产变更情况。
EAD端点准入防御处理方案介绍
EAD端点准入防御方案包含两个关键功效：安全防护和安全监控。安全防护关键是对终端接入网络进行认证，确保只有安全终端才能接入网络，对达不到安全要求终端能够进行修复，保障终端和网络安全；安全监控是指在上网过程中，系统实时监控用户终端安全状态，并针对用户终端安全事件采取对应应对方法，实时保障网络安全。
方案思绪
EAD处理方案实现思绪，是经过将网络接入控制和用户终端安全策略控制相结合，以用户终端对企业安全策略符合度为条件，控制用户访问网络接入权限，从而降低病毒、非法访问等安全威胁对企业网络带来危害。为达成以上目标，