1、某鋼鐵端點準入防御方案技術建議書目錄1概述.52EAD端點準入防御解決方案介紹.62.1方案思路.62.2方案組成部分.72.2.1EAD安全策略服務器.82.2.2修復服務器.92.2.3安全聯動設備.92.2.4安全客戶端.103EAD解決方案組網部署.113.1多廠商設備混合組網部署（Portal方式）.12方案組網.13組網設備.13方案說明.13流程說明.14實施效果.143.2接入層準入控制組網部署（802.1x）.15方案組網.15組網設備.15方案說明.16流程說明.17實施效果.183.3EAD應用模式.183.3.1隔離模式.193.3.2Guest模式.193.3.3VI

2、P模式.193.3.4下線模式.204EAD解決方案應用模型及功能特點.214.1端點準入防御應用模型.214.1.1端點準入防御應用模型.214.1.2端點準入防御工作流程.214.2端點準入防御功能特點.224.2.1安全狀態評估.224.2.2用戶權限管理.234.2.3用戶行為監控.244.3桌面資產管理應用模型.254.3.1桌面資產管理應用模型.254.4桌面資產管理功能特點.274.4.1終端資產管理.274.4.2軟件分發.285系統參數及環境要求.295.1EAD系統技術參數.295.2EAD系統環境要求.296附1：部署說明.317附2：EAD功能列表.321 概述某鋼鐵（

3、集團）有限責任公司（以下簡稱酒鋼）網絡信息化建設目前處于同行業領先水平，自動化應用程度高，信息平臺承載著ERP、OA、MES等眾多系統，因此信息平臺成為企業正常經營生產的基礎平臺之一。多年的系統運維與建設，酒鋼信息化平臺已搭建得比較完善，但同時對安全管理方面提出了較高要求。網絡安全基礎設施的建設以及對原有網絡進行終端安全準入的改造已經成為酒鋼網絡建設的重中之重。目前酒鋼網絡中存在的典型問題歸納總結為以下幾大類：（1）終端時刻受到病毒和蠕蟲的威脅，存在安全隱患，更為嚴重的是由此觸發一系列問題擴散全網，導致全網癱瘓、核心數據時刻受到安全威脅，一旦被攻擊，將為企業造成無法挽回的損失；（2）防護策略趕

4、不上攻擊方式的更新，被動式防御已不適應企業的發展，主動式保護的安全戰略勢在必行；（3）隨意接入網絡、私設代理服務器，有意或無意的盜用IP地址情況嚴重；（4）網絡采用分散管理模式，終端難以保證其安全狀態符合企業安全策略，例如新的補丁發布了卻無人理會、新的病毒出現了卻不及時升級病毒庫的現象普遍存在，無法有效地從網絡接入點進行安全防范。導致網絡接入層面管理失控。為了解決現有網絡安全管理中存在的不足，應對網絡安全威脅，甘肅藍潮世訊通信科技有限責任公司提供了端點準入防御（EAD，EndpointAdmissionDefense）解決方案。該方案從用戶終端準入控制入手，整合網絡接入控制與終端安全產品，通過

5、安全客戶端、安全策略服務器、網絡設備以及防病毒軟件產品、系統補丁管理產品、資產管理產品、桌面管理產品的聯動，對接入網絡的用戶終端強制實施企業安全策略，嚴格控制終端用戶的網絡使用行為，可以加強用戶終端的主動防御能力，大幅度提高網絡安全。EAD在用戶接入網絡前，通過統一管理的安全策略強制檢查用戶終端的安全狀態，并根據對用戶終端安全狀態的檢查結果實施接入控制策略，對不符合企業安全標準的用戶進行“隔離”并強制用戶進行病毒庫升級、系統補丁升級等操作；在保證用戶終端具備自防御能力并安全接入的前提下，可以通過動態分配ACL、VLAN等合理控制用戶的網絡權限，從而提升網絡的整體安全防御能力。EAD同時具有資產

6、管理、外設監控、軟件分發等功能，提供了企業內網PC集中管理運維的方案，以高效率的管理手段和措施，協助企業IT部門及時盤點內網資產、掌控內網資產變更情況。2 EAD端點準入防御解決方案介紹EAD端點準入防御方案包括兩個重要功能：安全防護和安全監控。安全防護主要是對終端接入網絡進行認證，保證只有安全的終端才能接入網絡，對達不到安全要求的終端可以進行修復，保障終端和網絡的安全；安全監控是指在上網過程中，系統實時監控用戶終端的安全狀態，并針對用戶終端的安全事件采取相應的應對措施，實時保障網絡安全。2.1 方案思路EAD解決方案的實現思路，是通過將網絡接入控制和用戶終端安全策略控制相結合，以用戶終端對企

7、業安全策略的符合度為條件，控制用戶訪問網絡的接入權限，從而降低病毒、非法訪問等安全威脅對企業網絡帶來的危害。為達到以上目的，甘肅藍潮提出了包括檢查、隔離、修復、監控的整體解決思路。1. 檢查：檢查網絡接入用戶的身份；檢查網絡接入用戶的訪問權限；檢查網絡接入用戶終端的安全狀態；2. 隔離：隔離非法用戶終端和越權訪問；隔離存在重大安全問題或安全隱患的用戶終端；3. 修復：幫助存在安全問題或安全隱患的用戶終端進行安全修復，以便能夠正常使用網絡；4. 監控：實時監控在線用戶的終端安全狀態，及時獲取終端安全信息；對非法用戶、越權訪問和存在安全問題的網絡終端進行定位統計，為網絡安全管理提供依據；通過制定新

8、的安全策略，持續保障網絡的安全。2.2 方案組成部分為了有效實現用戶終端安全準入控制，需要實現終端安全信息采集點、終端安全信息決策點和終端安全信息執行點的分離，同時還需要提供有效的技術手段，對用戶終端存在的安全問題進行修復，使之符合企業終端安全策略，順利接入網絡進行工作。EAD解決方案的組成部分見下圖：圖1EAD解決方案組成部分如圖1所示，EAD解決方案的基本部件包括EAD安全策略服務器（EAD服務器）、防病毒服務器、補丁服務器等修復服務器、安全聯動設備和H3C安全客戶端，各部件各司其職，由安全策略中心協調，共同完成對網絡接入終端的安全準入控制。2.2.1 EAD安全策略服務器EAD方案的核心

9、是整合與聯動，而EAD安全策略服務器（iMCEAD服務器）是EAD方案中的管理與控制中心，兼具用戶管理、安全策略管理、安全狀態評估、安全聯動控制以及安全事件審計等功能。安全策略管理。安全策略服務器定義了對用戶終端進行準入控制的一系列策略，包括用戶終端安全狀態評估配置、補丁檢查項配置、安全策略配置、終端修復配置以及對終端用戶的隔離方式配置等。用戶管理。企業網中，不同的用戶、不同類型的接入終端可能要求不同級別的安全檢查和控制。安全策略服務器可以為不同用戶提供基于身份的個性化安全配置和網絡服務等級，方便管理員對網絡用戶制定差異化的安全策略。安全聯動控制。安全策略服務器負責評估安全客戶端上報的安全狀態

10、，控制安全聯動設備對用戶的隔離與開放，下發用戶終端的修復方式與安全策略。通過安全策略服務器的控制，安全客戶端、安全聯動設備與修復服務器才可以協同工作，配合完成端到端的安全準入控制。2.2.2 修復服務器在EAD方案中，修復服務器可以是第三方廠商提供的防病毒服務器、補丁服務器或用戶自行架設的文件服務器。此類服務器通常放置于網絡隔離區中，用于終端進行自我修復操作。網絡版的防病毒服務器提供病毒庫升級服務，允許防病毒客戶端進行在線升級；補丁服務器則提供系統補丁升級服務，在用戶終端的系統補丁不能滿足安全要求時，用戶終端可連接至補丁服務器進行補丁下載和升級。2.2.3 安全聯動設備安全聯動設備是企業網絡中

11、安全策略的實施點，起到強制用戶準入認證、隔離不合格終端、為合法用戶提供網絡服務的作用。根據應用場合的不同，安全聯動設備可以是交換機或BAS設備，分別實現不同認證方式（如802.1x或Portal）的端點準入控制。不論是哪種接入設備或采用哪種認證方式，安全聯動設備均具有以下功能：強制網絡接入終端進行身份認證和安全狀態評估。隔離不符合安全策略的用戶終端。聯動設備接收到安全策略服務器下發的隔離指令后，目前可以通過動態ACL方式限制用戶的訪問權限；同樣，收到解除用戶隔離的指令后也可以在線解除對用戶終端的隔離。提供基于身份的網絡服務。安全聯動設備可以根據安全策略服務器下發的策略，為用戶提供個性化的網絡服

12、務，如提供不同的ACL、VLAN等。2.2.4 安全客戶端H3C客戶端是安裝在用戶終端系統上的軟件，是對用戶終端進行身份認證、安全狀態評估以及安全策略實施的主體，其主要功能包括：提供802.1x、Portal、VPN、無線等多種認證方式，可以與交換機、BAS網關等設備配合實現接入層、匯聚層的端點準入控制。檢查用戶終端的安全狀態，包括操作系統版本、系統補丁、共享目錄、已安裝的軟件、已啟動的服務等用戶終端信息；同時提供與防病毒客戶端聯動的接口，實現與第三方防病毒軟件產品客戶端的聯動，檢查用戶終端的防病毒軟件版本、病毒庫版本、以及病毒查殺信息。這些信息將被傳遞到EAD安全策略服務器，執行端點準入的判

13、斷與控制。安全策略實施，接收安全策略服務器下發的安全策略并強制用戶終端執行，包括設置安全策略（是否監控郵件、注冊表）、系統修復通知與實施（自動或手工升級補丁和病毒庫）等功能。不按要求實施安全策略的用戶終端將被限制在隔離區。實時監控系統安全狀態，包括是否更改安全設置、是否發現新病毒等，并將安全事件定時上報到安全策略服務器，用于事后進行安全審計。監控終端資產組成和變更情況，監控的信息包括：邏輯磁盤、OS登錄名、計算機名、IP地址、操作系統、屏保、分區信息、共享信息；CPU、內存、主板、磁盤、網卡、光驅、BIOS；安裝/卸載軟件，包括程序名稱、程序版本、安裝日期；進程列表、服務列表、磁盤可用空間、C

14、PU使用頻率/時鐘頻率、內存剩余空間、IP獲取方式等等，并按照分類以報表的形式展示，如果有軟硬件發生變化也將實時記錄。3 EAD解決方案組網部署目前某鋼鐵的網絡，主要劃分為燒結區、煉鋼區、宏昌區、動力區、交易區、辦公樓和生產指揮中心共七大區域，總共4500左右個接入點，大部分采用思科交換機，少量采用H3C交換機。其中燒結區、煉鋼區、宏昌區、動力區、交易區均為思科接入設備匯聚到C6506，辦公區為H3C的接入交換機3026/3050C匯聚到思科45上，生產指揮中心為6臺3550接入到6509上。為了便于部署實施，且達到準入控制的要求，經過論證在燒結區等五個區域在匯聚的6506上旁掛EAD網關，采

15、取Portal認證的方式。由于翼鋼和榆鋼分別在蘭州和山西，為了解決這兩地的內部準入問題分別在他們的網絡旁掛EAD網關（要求兩地的網絡設備支持策略路由）。對于生產指揮中心的六臺3550，在核心的一臺6509上旁掛一臺EAD網關實現Portal認證，控制該區域的網絡準入問題。在辦公大樓區域采取802.1x的認證方式，解決網絡準入控制。圖2某鋼鐵網絡拓撲圖3.1 多廠商設備混合組網部署（Portal方式）通常企業在建設自身的辦公網，滿足互聯互通的要求后，會逐漸意識在內部網絡安全控制的必要性，尤其是內網終端的安全問題，這時對于終端的安全準入控制就顯得尤為重要。而這時的企業網絡通常為多廠商設備共存，很難

16、單獨使用一家廠商的設備實施網絡的準入控制，這種情況下，視網絡規模大小，我們推薦使用一臺或多臺網關設備作為強制認證控制器，使用基于Portal的認證協議，與iNode客戶端、安全策略服務器配合完成EAD端點準入防御。Portal認證是一種Web方式的認證，Portal認證同802.1x認證相比，具有應用簡單的優勢。但在EAD解決方案中，需要使用iNode客戶端來進行終端的安全狀態檢測和控制，因此在Web認證的基礎上，擴展了Portal協議，使之不僅能夠處理Http協議，還可以控制其他協議的數據流，使EAD解決方案也支持Portal認證方式下的端點準入控制。方案組網圖3網關型EAD解決方案組網應用

17、組網設備在舊網改造中，可以使用MSR、AR28、AR46、S7502E、S5500EI、IAG作為企業的安全網關，支持Portal認證，并實施EAD方案。方案說明使用AR46/28、MSR、S7502E、S5500EI、IAG設備配合組網，設備通常放置在網絡出口，并在設備上開啟Portal認證功能。在用戶希望對原有網絡改動最小的情況下，可以將S7502E旁掛在網絡出口或核心設備上，提供用戶接入控制功能。EAD服務器需要安裝Portal認證組件，在Portal認證頁面上，提供安全客戶端的下載鏈接。用戶可下載并安裝iNode客戶端后，發起認證請求。隔離區的設置、第三方服務器的設置、EAD自助服務器

18、和EAD安全代理服務器的設置等信息同接入層準入控制。流程說明在Web認證方式下，用戶的身份認證、訪問控制和安全認證流程同接入層準入控制基本相同。區別在于：1. 用戶進行網絡登錄認證之前，可以訪問Portal服務器等URL。2. iNode安全認證客戶端可以在認證前從Portal認證頁面下載并安裝。簡化了客戶端分發工作。實施效果1. 由于在網絡出口設備上部署了Portal認證，所有非授權用戶將不能隨意訪問網絡。2. 合法用戶通過身份認證、安全認證后，其訪問權限受認證設備的ACL控制。用戶的外部訪問權限受控。3. 通過安全認證網關和策略服務器、客戶端配合，解決了網絡上多廠商設備共存的問題；其余同接

19、入層準入控制3.2 接入層準入控制組網部署（802.1x）將接入層設備作為安全準入控制點，對試圖接入網絡的用戶終端進行安全檢查，強制用戶終端進行防病毒、操作系統補丁等企業定義的安全策略檢查，防止非法用戶和不符合企業安全策略的終端接入網絡，降低病毒、蠕蟲等安全威脅在企業擴散的風險。方案組網圖4接入層EAD解決方案組網應用組網設備支持H3CS3000以上系列接入層交換機，主要型號包括：S3050C，S3026E/C/G/T；3100EI，5100EI，S3528P/G，S3526E，S3552G/P/F；S3600系列（原對應型號為S3900），S3610；S5500SI方案說明用戶終端必須安裝i

20、Node客戶端，在上網前首先要進行802.1x和安全認證，否則將不能接入網絡或者只能訪問隔離區的資源。其中，隔離區是指在S3600系列交換機中配置的一組ACL，一般包括EAD安全代理服務器、補丁服務器、防病毒服務器、DNS、DHCP等服務器的IP地址。在接入交換機（S36系列交換機）中要部署802.1x認證和安全認證，強制進行基于用戶的802.1x認證和動態ACL、VLAN控制。EAD服務器中配置用戶的服務策略、接入策略、安全策略，用戶進行802.1x認證時，由EAD服務器驗證用戶身份的合法性，并基于用戶角色（服務）向安全客戶端下發安全評估策略（如檢查病毒庫版本、補丁安裝情況等），完成身份和安

21、全評估后，由EAD服務器確定用戶的ACL、VLAN以及病毒監控策略等。EAD安全代理服務器必須部署于隔離區，可以與EAD自助服務器共用一臺主機。補丁服務器（可選）必須部署于隔離區，可以與EAD安全代理共用一臺主機。防病毒服務器（可選）必須部署于隔離區，可以與補丁服務器、EAD安全代理共用一臺主機，可以選擇McAFee防病毒、Norton防病毒、趨勢防病毒、安博士防病毒、CAKill安全甲胄、瑞星殺毒軟件、金山毒霸以及江民KV防病毒軟件。流程說明EAD方案可以依據角色對網絡接入用戶實施不同的安全檢查策略并授予不同的網絡訪問權限。其原理性的流程如下：1. 用戶上網前必須首先進行身份認證，確認是合法

22、用戶后，安全客戶端還要檢測病毒軟件和補丁安裝情況，上報EAD。2. EAD檢測補丁安裝、病毒庫版本等是否合格，如果合格進入步驟7，如果不合格，進入步驟3。3. EAD通知接入設備（S36系列或其他支持EAD解決方案的交換機），將該用戶的訪問權限限制到隔離區內。此時，用戶只能訪問補丁服務器、防病毒服務器等安全資源，因此不會受到外部病毒和攻擊的威脅。4. 安全客戶端通知用戶進行補丁和病毒庫的升級操作。5. 用戶升級完成后，可重新進行安全認證。如果合格則解除隔離，進入步驟7。6. 如果用戶補丁升級不成功，用戶仍然無法訪問其他網絡資源，回到步驟47. 用戶可以正常訪問其他授權（ACL、VLAN）的網絡

23、資源。實施效果1. 由于接入層交換機對端口部署了802.1x認證，所有非法用戶將不能訪問企業內部網絡。并且認證通過前，用戶終端之間無法實現互訪。2. 合法用戶接入網絡后，其訪問權限受S36系列交換機中的ACL控制。特定的服務器只能由被授權的用戶訪問。3. 合法用戶接入網絡后，其互訪權限受S36系列交換機中的VLAN控制。不同角色的用戶分屬不同的VLAN，跨VLAN的用戶不能互訪（受組網方式限制）。4. 用戶正常接入網絡前，必須通過安全客戶端的安全檢查，確保沒有感染病毒且病毒庫版本和補丁得到及時升級。降低了病毒和遠程攻擊對企業網帶來的安全風險。5. 通過使用iNode客戶端，可對用戶的終端使用行

24、為進行嚴格管理，比如禁止設置代理服務器、禁用雙網卡、禁止撥號等。3.3 EAD應用模式EAD解決方案對于每一種安全狀態的檢測，按照處理模式可分為隔離模式、VIP模式、Guest模式、下線模式。如防病毒軟件的安裝和版本檢查可以采用隔離模式，補丁軟件依照重要性的不同可以采取不同的模式，一些非法軟件的安裝可以通過Guest模式進行提醒。四種模式對于實現的終端安全狀態監控功能各有不同，對安全設備的要求也不相同。3.3.1 隔離模式對于一些關系比較重大的安全漏洞或補丁，如Windows服務器的致命安全補丁，需要進行比較嚴厲的控制。具體來說，就是一旦用戶終端安全狀態不合格，就限制其網絡訪問區域為隔離區，在

25、進行修復操作，滿足企業終端安全策略要求后，才能重新發起認證，正常接入網絡。隔離模式要求安全聯動設備必須支持動態ACL特性，能夠實時應用EAD安全策略服務器下發的ACL規格，并應用于用戶連接。3.3.2 Guest模式某些應用環境下，不需要根據用戶終端的安全狀態嚴格控制用戶終端的訪問權限，比如訪客，可以采用Guest模式來處理不合格的安全狀態，如對于安全等級略低一些的補丁可以采取這種方式。在Guest模式下，安全客戶端檢查用戶終端的安全狀態信息，并將不合格項以彈出窗口的形式提供給終端用戶，同時提供修復指導和相關鏈接。用戶的網絡訪問權限不因終端安全狀態不合格而被更改。3.3.3 VIP模式對于一些

26、高級別的領導或網絡管理者，可以采取級別最低的VIP模式。VIP模式同Guest模式的實現流程基本相同，區別在于VIP模式下，安全客戶端不通過彈出窗口向用戶提示終端的不合格項。網絡管理員可在EAD安全策略服務器的管理界面中實時對用戶終端安全狀態進行監控，了解用戶終端的安全信息。一些相對普通的安全問題，如提示性的補丁安裝，可以在不影響終端用戶工作的情況下，由管理員進行定期檢查并通告。Guest模式和VIP模式下，安全聯動設備可以不需要支持動態ACL下發控制功能。3.3.4 下線模式下線模式實現流程與隔離模式相同，唯一的區別是對不安全的用戶采取直接下線的處理方式。主要與Portal認證相配合，實現網

27、絡出口或是關鍵數據區域的認證保護。也可以作為兼容第三方廠商設備的部署模式，配合接入交換機GuestVLAN功能實現對不安全用戶的隔離功能。下線模式也是目前友商相似方案的主要實現模式，EAD支持下線模式可以增強方案對設備的兼容性。與Cisco接入設備配合部署802.1x認證方式下的EAD解決方案，推薦使用下線模式。除上上述幾種策略處理方式以外，EAD解決方案還支持細致到處一個策略的綜合控制方式，也就是通過以上幾種方式組合出符合您企業的策略：4 EAD解決方案應用模型及功能特點4.1 端點準入防御應用模型4.1.1 端點準入防御應用模型EAD解決方案在準入上主要是通過身份認證和安全策略檢查的方式，

28、對未通過身份認證或不符合安全策略的用戶終端進行網絡隔離，并幫助終端進行安全修復，以達到防范不安全網絡用戶終端給安全網絡帶來安全威脅的目的。圖5EAD解決方案安全準入應用模型圖4.1.2 端點準入防御工作流程身份驗證：用戶終端接入網絡時，首先進行用戶身份認證，非法用戶將被拒絕接入網絡。目前EAD解決方案支持802.1x、Portal、VPN和無線認證。安全檢查：身份認證通過后進行終端安全檢查，由EAD安全策略服務器驗證用戶終端的安全狀態（包括補丁版本、病毒庫版本、軟件安裝等）是否合格。安全隔離：不合格的終端將被安全聯動設備通過ACL策略限制在隔離區進行安全修復。安全修復：進入隔離區的用戶可以進行

29、補丁、病毒庫的升級、卸載非法軟件和停止非法服務等操作，直到安全狀態合格。動態授權：如果用戶身份驗證、安全檢查都通過，則EAD安全策略服務器將預先配置的該用戶的權限信息（包括網絡訪問權限等）下發給安全聯動設備，由安全聯動設備實現按用戶身份的權限控制。實時監控：在用戶網絡使用過程中，安全客戶端根據安全策略服務器下發的監控策略，實時監控用戶終端的安全狀態，一旦發現用戶終端安全狀態不符合企業安全策略，則向EAD安全策略服務器上報安全事件，由EAD安全策略服務器按照預定義的安全策略，采取相應的控制措施，比如通知安全聯動設備隔離用戶。4.2 端點準入防御功能特點4.2.1 安全狀態評估終端補丁檢測：評估客

30、戶端的補丁安裝是否合格，可以檢測的補丁包括：操作系統(Windows2000/XP/2003等，不包括Windows98)等符合微軟補丁規范的熱補丁。安全客戶端版本檢測：可以檢測安全客戶端iNodeClient的版本，防止使用不具備安全檢測能力的客戶端接入網絡，同時支持客戶端自動升級。安全狀態定時評估：安全客戶端可以定時檢測用戶安全狀態，防止用戶上網過程中因安全狀態發生變化而造成的與安全策略的不一致。自動補丁管理：提供與微軟WSUS/SMS（全稱：WindowsServerUpdateServices/SystemManagementServer）協同的自動補丁管理，當用戶補丁不合格時，自動安

31、裝補丁。終端運行狀態實時檢測：可以對上線用戶終端的系統信息進行實時檢測，包括已安裝程序列表、已安裝補丁列表、已運行進程列表、共享目錄信息、分區表、屏保設置和已啟動服務列表等。防病毒聯動：主要包含兩個方面，一是端點用戶接入網絡時，檢查其計算機上防病毒軟件的安裝運行情況以及病毒庫和掃描引擎版本是否符合安全要求等，不符合安全要求可以根據策略阻止用戶接入網絡或將其訪問限制在隔離區；二是端點用戶接入網絡后，EAD定期檢查防病毒軟件的運行狀態，如果發現不符合安全要求可以根據策略強制讓用戶下線或將其訪問限制在隔離區。當前支持的防病毒聯動軟件有：瑞星、金山、江民、諾頓、趨勢、McAfee、安博士、CA安全甲胄

32、及VRV等。4.2.2 用戶權限管理強身份認證：在用戶身份認證時，可綁定用戶接入IP、MAC（對用Portal的方式不支持MAC綁定）、接入設備IP、端口、VLAN和電子證書等信息，進行強身份認證，防止帳號盜用、限定帳號所使用的終端，確保接入用戶的身份安全。“危險”用戶隔離：對于安全狀態評估不合格的用戶，可以限制其訪問權限（通過ACL隔離），使其只能訪問防病毒服務器、補丁服務器等用于系統修復的網絡資源。“危險”用戶在線隔離：用戶上網過程中安全狀態發生變化造成與安全策略不一致時（如感染不能殺除的病毒），EAD可以在線隔離并通知用戶。軟件安裝和運行檢測：檢測終端軟件的安裝和運行狀態。可以限制接入網

33、絡的用戶必須安裝、運行或禁止安裝、運行其中某些軟件。對于不符合安全策略的用戶可以記錄日志、提醒或隔離。支持匿名認證：iNode客戶端與EAD服務器配合提供用戶匿名認證功能，用戶不需要輸入用戶名、密碼即可完成身份認證和安全認證。接入時間、區域控制：可以限制用戶只能在允許的時間和地點（接入設備和端口）上網。限制終端用戶使用多網卡和撥號網絡：防止用戶終端成為內外網互訪的橋梁，避免因此可能造成的信息安全問題。代理限制：可以限制用戶使用和設置代理服務器。4.2.3 用戶行為監控終端強制或提醒修復：強制或提醒不符合安全策略的終端用戶主機進行防病毒軟件升級，病毒庫升級，補丁安裝；目前只支持手工方式（金山的客

34、戶端可以與系統中心做自動升級）。安全狀態監控：定時監控終端用戶的安全狀態，發現感染病毒后根據安全策略可將其限制到隔離區。安全日志審計：定時收集客戶端的實時安全狀態并記錄日志；查詢用戶的安全狀態日志、安全事件日志以及在線用戶的安全狀態。強制用戶下線：管理員可以強制行為“可疑”的用戶下線。4.3 桌面資產管理應用模型4.3.1桌面資產管理應用模型（注：Radius服務器、安全策略服務器、DAM服務器均由EAD完成）身份驗證及安全認證：身份認證和安全認證不在資產管理流程中。這里提到，主要是在安全認證成功之后，在EAD交互報文中給出了DAM（桌面資產管理，內含于EAD服務器）服務器的地址和端口；可選的

35、，DAM服務器的地址和端口，也可以采用iNode客戶端管理中心定制指定；資產上線：資產上線分成幾種情況：1、已管理資產的上線：服務器根據客戶端上傳的資產編號找到資產記錄即回應確認信息，客戶端之后請求資產策略，服務器回應資產策略給客戶端；2、客戶端注冊方式的新資產（該資產由管理員增加）上線：服務端要求客戶端輸入資產編號，客戶端提交后，服務端根據資產編號找到資產信息，發給客戶端確認，確認后服務端將該資產置為已管理狀態，回應確認信息，客戶端之后請求資產策略，服務器回應資產策略給客戶端；3、服務器自動生成新資產方式的上線：服務端根據客戶端上傳的資產指紋信息生成新資產編號；客戶端彈出資產信息錄入界面并由

36、用戶錄入，之后上傳給服務端，服務端回應確認信息，客戶端之后請求資產策略，服務器回應資產策略給客戶端；4、重裝操作系統之后的客戶端上線：服務端根據客戶端傳遞過來的指紋信息找到已有的資產記錄，之后回應資產信息給客戶端；客戶端用戶確認服務器返回的資產信息與自己的資產相匹配，之后，客戶端發送確認報文給服務端；服務端確認后將正在上線的資產與自身已有記錄關聯起來；服務端回應確認信息，客戶端之后請求資產策略，服務器回應資產策略給客戶端；5、安裝了多操作系統的資產上線：用戶啟動一個操作系統并上線成功后，在另一個操作系統下又發起上線請求；服務端發現多操作系統情況，將只允許最后安裝的操作系統的客戶端可以上線；服務

37、端回應確認信息，客戶端之后請求資產策略，服務器回應資產策略給客戶端；資產信息上報：客戶端獲取本地資產信息，保存到本地，并上報給服務端；客戶端定期會掃描本地資產信息，如發現有變更，更新本地保存的資產文件，同時將資產變更信息上報給服務端；USB使用信息上報：客戶端實時監測USB插入情況，如果有USB插入、向USB中寫入文件、或者拔出USB，都會寫入文件；客戶端定期上報USB使用信息給服務端；軟件分發：服務端為資產創建分發任務；客戶端向服務端請求資產策略，服務端回應同時，將分發任務下達給客戶端；客戶端連接到分發服務器進行軟件下載；下載到本地之后可由用戶自行安裝，也可以自動安裝；4.4 桌面資產管理功

38、能特點4.4.1 終端資產管理資產編號處理：針對新資產，支持服務端自動生成資產編號、也可管理員手工輸入，方式靈活，并豐富了管理手段；支持資產信息的增刪改：管理員可以增加、刪除、修改資產信息；支持資產分組管理：可靈活的將資產對應到相應分組中，便于管理；終端資產信息自動上報：支持資產信息自動上報；支持資產變更信息自動上報；USB使用信息自動上報；資產信息審計：可對軟硬件資產進行查詢，支持按CPU、制造商、型號、操作系統等統計資產，便于管理員分類進行企業資產盤點；資產變更審計：可針對資產變更信息進行審計，審計內容包含資產名、編號、變更類型、變更內容、資產責任人、變更時間等；便于管理員及時掌握企業資產

39、變動情況；支持USB使用審計：支持USB使用的審計，審計內容包括資產名、文件名、文件大小、操作時間等，幫助管理員追蹤定位非法用戶；支持禁用光驅、軟驅、紅外、藍牙、Modem等外設：可以禁用USB存儲設備，光驅、軟驅、紅外、藍牙、Modem、并口、串口等外設，防止關鍵機密信息外泄。4.4.2 軟件分發分發任務管理：支持軟件分發任務的增加，修改，查詢和刪除以及關閉功能；可以按資產分組、選中單個或者多個資產進行資產批量分發；可以自定義分發操作的時間；支持http，ftp和文件共享三種方式的分發服務器的參數配置功能；軟件分發查詢：支持按照資產查詢軟件分發歷史；支持按照分發任務查詢每個資產的軟件分發狀態

40、；軟件分發：支持http、ftp和文件共享等三種協議的軟件分發，軟件分發給終端之后，安裝的方式可以根據管理員指定好的策略進行靜默安裝或者普通安裝。5 系統參數及環境要求5.1 EAD系統技術參數網絡帶寬占用：用戶終端安全狀態信息<1K；并發連接數：EAD應用服務器可支持5000個并發連接；雙機備份：支持24小時主備數據自動同步方案；5.2 EAD系統環境要求iMC平臺服務器（最大管理500臺設備）屬性參數服務器端：PC服務器：Xeon2.4G（及以上）、內存2G硬件平臺（及以上）、硬盤80G（及以上）、48倍速光驅、100M網卡、顯卡支持分辯率1024*768、聲卡服務器：Windows

41、2000Server/Server2003（簡體中文版）操作系統客戶端：WindowsXP/2000/Vista（簡體中文版）瀏覽器：IE5.5及以上版本、Firefox1.5及以上版本SQLServer2000Standard簡體中文版（SP4）數據庫SQLServer2005Workgroup簡體中文版EAD安全策略服務器（最大管理5000用戶）屬性參數服務器端：處理器類型：IntelXeonEM64T或更好；處理器主頻：3.0GHz；處理器二級高速緩存：2MB；處理器配置數目1；硬件平臺內存2G；硬盤容量144GB（RAID1）；陣列控制器/Raid卡：配置雙通道Ultra320SCSI

42、卡式陣列控制器或更好，緩存128MB；支持RAID0、1、1+0、5；網卡1塊10/100/1000Mb自適應以太網卡；服務器：Windows2000ServerSP4/Server2003SP1（簡體中文版）操作系統客戶端：WindowsXP/2000/Vista（簡體中文版）瀏覽器：IE5.5及以上版本、Firefox1.5及以上版本屬性參數數據庫SQLServer2000Standard簡體中文版（SP4）SQLServer2005Workgroup簡體中文版iNode客戶端：軟件環境：Windows2000/XP/2003/Vista；硬件環境：CPU主頻800MHz以上、128M以上

43、內存。6 附1：部署說明Portal網關設備性能：設備型號認證性能說明S5500EI28C/PWR/28FPortal512整機4000(一條規則占4條資源)52C/PWR-EI1024整機8000，每芯片4000，限制同上SC單板每板4000(一條規則占4條資S7502EPortal1500源)，每板1.5K，整機上限3000(需將用戶平分到單板)酒鋼廠區PC終端數量分布：區域PC數量建議設備富余量A辦公406802.1x實現B燒結329500C煉鋼351500D動力274500E宏昌4921000F交易中8441500心G指揮中200500心榆鋼500翼鋼500由此，交易區旁掛一臺S750

44、2E，在宏昌區旁掛一臺S5500-52C-EI，在燒結區、煉鋼區、動力區、生產指揮中心、翼鋼、榆鋼各旁掛六臺S5500-28C-EI。7 附2：EAD功能列表網絡與安全統一管理拓撲方式直觀顯示網絡設備及接入用戶，可通過拓撲掌握全網用戶安全狀態，直接對用戶進行下線、在線檢查等操作能夠評估客戶端的補丁安裝是否合格，可以檢測的補丁包終端補丁檢測括：操作系統(Windows2000、XP、Server2003等，不包括Windows98)等符合微軟補丁規范的熱補丁自動補丁管理支持與微軟WSUS/SMS協同的自動補丁管理，當用戶安全認證時，自動檢查、下載、安裝補丁。與廠商防病毒聯動支持與趨勢科技、瑞星、

45、江民、金山、McAfee、Symentec、Ahn、北信源、CA、Kill等廠商的防病毒軟件聯動，支持安裝運行狀態等的檢測病毒庫版本檢測支持檢測終端安裝的防病毒軟件和病毒庫的版本是否合格終端病毒感染狀態檢測用戶上網前的殺毒記錄，可以強制用戶在接入網絡前首先查殺病毒。ARP網關綁定支持通過提供用戶網關IP、MAC地址配置信息防止本地受到假冒網關方式的ARP欺騙客戶端ARP報文過濾客戶端可對于IP-MAC不對應的ARP主動進行過濾，防止客戶端主機發起ARP攻擊異常流量監控支持根據流量監控策略進行流量監控。可針對告警級別的不同對應不同的處理軟件黑白名單控制支持檢測終端應用程序、進程的運行狀態。可以限制接入網絡的用戶必須安裝、運行或禁止安裝、運行其中某些軟件；必須運行或禁止運行其中某些進程。終端強制或提醒修復支持強制或提醒不符合安全策略的終端用戶主機進行防病毒軟件升級，病毒庫升級，補丁安裝；多種安全模式支持下線模式、Guest模式、VIP模式和隔離模式，以適應不同客戶對安全準入控制的不同要求。安全模式設置支持基于單一安全檢查項（防病毒軟件、軟件補丁、應用軟件、進程等）設置不同的安全模式1、黑名單用戶接入限制