景观灯厂家
免费服务热线

Free service

hotline

010-00000000
景观灯厂家
热门搜索:
技术资讯
当前位置:首页 > 技术资讯

华三网络终端安全准入系统助北京烟草安全管理IT化

发布时间:2020-06-30 21:09:02 阅读: 来源:景观灯厂家

北京烟草市局(公司)计算机广域网是一个局域计算机网络(LAN)与广域网络(WAN)相结合的网络系统,是以市局(公司)为北京烟草的星型网络结构。向上通过SDH专线与国家局连接;中间通过DDN专线与多家银行连接,同时具有10M容量的互联网出口;向下与烟厂、物流中心、办公楼、18个区县公司通过SDH专线连接,采用ISDN线路作专线的备份。各个区县公司建立了拨号接入系统,可以支持下属单位(零售部)的电话拨入访问区县公司网络。

应用背景

北京烟草广域网包括卷烟访销配送系统、市局业务平台、集中式电话订货系统、IC卡结算、专卖管理系统、国家局“一号工程”和北京烟草视频会议等广域网系统。随着北京烟草信息化建设不断发展,北京烟草行业数字化时代已全面来临,行业网络规模将不断扩大,应用系统的不断深入和扩大,涉及的部门和信息也越来越多,网络管理的难度将不断加大。目前业界多数企业、机构都缺乏有效的制度和手段管理网络,如终端用户不及时升级系统补丁、升级病毒库的现象普遍存在;随意接入网络、私设代理服务器、私自访问保密资源、非法盗用他人地址帐号、利用非法软件获取利益等行为在企业中也比比皆是,综合管理效率和效果受到了很大影响。北京烟草也存在此类问题,管理的欠缺不仅会直接影响用户网络的正常运行,还可能使企业自身蒙受巨大的商业损失,必须有一套完善的网络管理解决方案来加强网络资源管理、全网终端安全控制等问题,并满足国家信息安全等级保护工作的要求。

为了有效实现用户终端安全准入控制,需要实现终端安全信息采集点、终端安全信息决策点和终端安全信息执行点的分离,同时还需要提供有效的技术手段,对用户终端存在的安全问题进行修复,使之符合企业终端安全策略,顺利接入网络进行工作。

系统方案部署评估北京烟草现网情况,经过仔细分析考虑,采用增加H3C EAD安全准入网关的方式灵活扩展部署,并通过核心交换机旁挂的方式保证网络系统的可靠性,选择Portal+协议进行终端身份认证的系统方案。在这种组网环境下由安全准入网关采用Portal+认证协议对接入用户进行准入控制,网络中心部署H3C iMC管理中心服务器与安全准入网关通过RADIUS协议进行通信,由H3C EAD终端准入控制产品完成对用户身份的认证、安全状态的检测实现安全准入策略的控制。Portal+方式的安全准入方案管理和组网相对简单,在不改动现有网络基础设施的前提下可以很好的完成对用户的终端准入控制,尤其适合网络设备品牌不一的网络环境中。

在核心层交换机旁挂安全准入网关做三层Portal+认证时,核心交换机连接到安全准入网关的双向链路都为三层链路,且都运行路由协议。同时,在核心交换机上需要配置策略路由,将源地址为认证网段的报文重定向到安全准入网关上进行Portal+认证。客户端访问认证网段的数据流被重定向到安全准入网关上,通过认证后去往认证网段。返回的数据流不经过旁挂的安全准入网关设备,直接返回到客户端。对于去往非认证网段的数据流则可以直接到达目的地。

系统特点

在北京烟草网络终端安全准入系统项目中,我们根据北京市烟草专卖局当前的需求和未来的发展,考虑全局,坚持长远发展规划,建设成一个起点高、安全可靠、易于扩充和升级、便于管理和使用的系统。北京烟草终端安全准入系统具有如下特点:

严格的身份认证。除可采用用户名和密码的身份认证外,安全准入还支持身份与接入终端的MAC地址、IP地址等信息进行绑定,支持智能卡、数字证书认证,增强身份认证的安全性。

完备的安全状态评估。根据管理员配置的安全策略,安全准入客户端能够对终端进行包括病毒库版本、补丁、安装的应用软件、代理、拨号配置等安全认证检查;同时,此终端准入系统还支持和微软SMS/WSUS系统的配合使用,支持和瑞星、江民、金山、Symantec、McAfee、Trend Micro、卡巴斯基等国内外主流防病毒厂商联动。

基于角色的网络授权。安全准入可基于终端用户的角色,向安全联动设备下发事先配置的接入控制策略,按照用户角色权限规范用户的网络使用行为。

用户与网络融合管理。终端准入方案将用户管理和网络管理进行了智能融合,通过网络拓扑不仅能够了解到网络设备信息和状态,还可以实现对接入用户的直观管理,实现查看用户信息、强制用户下线、执行安全检查等操作。

灵活的安全策略模式。针对不同身份的用户,定制不同的安全检查和处理模式,包括VIP模式、Guest模式、隔离模式和下线模式。

桌面资产管理。通过终端准入客户端提供了对网络终端资产全方位的监控和管理的功能,可以对网络终端软硬件使用情况、变更情况进行监控,同时还支持网络终端资产的配置管理和软件的统一分发,实现对资产的有效管理。

应用效果

北京烟草网络终端安全准入系统部署后,实现了网络用户在接入网络前,通过统一管理的安全策略强制对用户身份进行认证,检查用户的IP、MAC地址是否合法及终端安全状态,并根据对用户终端安全状态的检查结果实施接入控制策略,对不符合安全标准的用户进行病毒库升级、系统补丁升级等操作;在保证用户终端具备自防御能力并安全接入的前提下,可以动态合理控制用户的网络权限,从而提升网络的整体安全防御能力。并融合丰富的业务管理系统,实现设备、用户、业务的统一管理手段,大大提升了网络的使用效率及管理效率,为北京烟草IT信息化建设迈上了新的台阶,达到了全新的安全等级及高效的管理手段。

日照制做工服

济宁订制职业装

济南工服制做

相关阅读