电力信息网络安全加固解决方案

         EAD系统首先在用户的身份认证获得通过，再对用户的接入设备进行安全状态评估(包括防病毒软件，系统补丁等)，根据安全状态的检查结果实施接入控制策略，使健康的用户进入网络，不健康的用户放在隔离区强制进行病毒库或补丁的升级，从而使入网的用户和设备有较高的健康度和可信度。EAD通过对终端安全状态的检查，使得只有符合企业安全标准的终端才能正常访问网络，同时，配合不同方式的身份验证技术(802.1x、Portal等)，可以确保接入终端的合法与安全。

         EAD系统可以灵活配置安全策略，协助评估客户端安全状态。管理员可以进行的安全认证检查包括终端病毒库版本检查、终端补丁检查、终端安装的应用软件检查、是否有代理、拨号配置等;为了更好的满足客户的需求，EAD客户端支持和微软SMS(WSUS)、LANDesk、BigFix等业界桌面安全产品的配合使用，支持和瑞星、江民、金山、Symantec、MacAfee、Trend Micro、安博士、卡巴斯基等国内外主流病毒厂商联动。例如EAD可充分利用微软成熟的桌面管理工具，由SMS(WSUS)实现各种Windows环境下用户的桌面管理需求：资产管理、补丁管理、软件分发和安装等。

         EAD系统同时可以根据实际情况来制定补丁安装的策略，可以做到只安装重要的补丁，另外可以根据日常网络维护的经验将一些安装后容易引起系统问题的补丁不要求安装。下图为EAD系统补丁安装策略操作界面。

          2.4 客户端安全状态评估――Windows弱口令检测

        很多情况用户对于Windows登陆口令秘密设置的很简单甚至不设置，这样电脑很容易就被入侵，从而使电脑里面的重要资料外泄，针对这点EAD系统可以对用户的Windows登陆口令密码强度进行检测，对于那种简单的密码和不设置密码的用户同样不能接入到网络之中，必须修改密码在符合要求的强度之后才能接入到网络。

         2.5 客户端安全状态评估――应用软件安装状态

        有的时候用户安装了一些软件也给网络带来安全隐患，EAD系统提供黑白软件统一管理功能。管理员可根据企业的IT政令，在安全策略服务器定义员工终端黑白软件列表，通过安全客户端实时检测、网络设备联动控制，完成对用户终端的软件安装运行状态的统一监控和管理。

        管理员根据软件运行的进程名称，在安全策略服务器定义黑白软件列表;同时对每一种受控软件规则定义相应的安全模式，即当用户终端接入网络时，安全客户端发现该规则被违反时，系统采取的策略。其次，管理员在安全策略中添加黑白软件控制规则。

        在安全策略服务器完成对黑白软件列表和安全策略中软件控制部分的定义之后，用户终端的软件安装状态便可以通过EAD解决方案来完成统一监控和管理。

         2.6 客户端安全状态评估――多种处理方式

         对于EAD的应用，经常会有用户担心部署了EAD系统会带来带来很多麻烦，EAD解决方案除了基本的下线模式外还有多种应用模式，在实际部署之中可以根据不同的用户制定不同应用模式，使部署更加灵活方便。

         EAD解决方案对于每一种安全状态的检测，按照处理模式可分为隔离模式、警告模式、监控模式。

         三种模式对于实现的终端安全状态监控功能各有不同，对安全设备的要求也不相同。可以根据自己的安全管理政策决定采用哪一种模式。例如对于重要的网络用户，比如领导，管理员对其网络访问的管理也可应用监控模式，只了解用户的安全状态，不做任何处理，待用户方便的时候再进行处理。

         2.7 合法用户动态授权――实现内部安全策略控制

        身份认证是网络端点准入控制的基础。从网络接入端点的安全控制入手，结合认证服务器、安全策略服务器、网络设备、802.1x协议以及第三方软件系统(病毒和系统补丁服务器，如LANDESK)，杜绝企业员工对不良网站和危险资源的访问，防止间谍软件、恶意代码等软件对企业内网带来的安全风险。

        EAD解决方案在保证终端用户具备自防御能力并安全接入的前提下，通过动态分配ACL、VLAN等合理控制用户的网络权限，保障网络资源的合法使用和网络环境的安全，提升网络的整体安全防御能力。

         在用户终端通过病毒、补丁等安全信息检查后，EAD可基于终端用户的角色，向安全联动设备下发事先配置的接入控制策略，按照用户角色权限规范用户的网络使用行为。终端用户的所属VLAN、ACL访问策略、是否禁止使用代理、是否禁止使用双网卡等安全措施均可由管理员统一配置实施。

         2.8 用户行为审计

         EAD解决方案除支持用户名、密码与接入终端的MAC地址、IP地址、所在VLAN、接入设备IP、接入设备端口号等信息进行绑定之外，结合EAD强大的用户身份、权限的管理和UBAS详尽的用户网络行为日志，可以实现:

         精确到用户的网络行为审计：充分结合EAD完善的用户帐号、卡号管理和UBAS基于用户IP地址的日志审计，将网络行为审计精确定义到用户个体;

         完善的网络行为跟踪：充分利用UBAS各类日志信息，轻松掌握EAD管理的帐号用户、卡号用户的网络行为，如访问哪些网站，访问哪些网页(DIG组网环境)、发送哪些Email(DIG组网环境)、发送哪些文件(DIG组网环境)等。

         准确的非法网络行为用户定位：利用EAD的设备IP地址、接入端口、VLAN、用户IP地址和MAC地址等信息绑定功能，对进行非法网络行为的用户一经发现，即时准确定位。

         3 网络层安全设计

         3.1 虚拟防火墙解决方案

        以企业的具体业务模式为依据，企业中的不同业务总是可以根据其重要程度划分为不同的安全等级和安全区域。对于高等级的安全区域需要更加严格的访问控制和安全保护。本组网利用Secblade和基础网络的融合实现园区网整体安全防护。在汇聚层利用SecBlade和95产品的组合对企业网中的核心安全区域实现进一步的安全防护。

         这样的组网模式能够满足企业对不同安全区域的安全等级划分，并且可在不同区域间实现独立安全策略的制定，从而使整网拓扑大大简化，在保持高扩展性的基础上减轻了管理的复杂度。

         因此，对企业信息管理人员来说，如何灵活方便的实现企业各业务部门的安全区域划分，以及如何在安全区域之间有控制的互访成为其非常关注的问题。这也对安全区域隔离“利器”――防火墙提出了更高的要求。

        为此，H3C推出了虚拟安全解决方案，灵活运用虚拟防火墙技术，旨在解决复杂组网环境中大量VPN的独立安全策略需求所带来的网络拓扑复杂、网络结构扩展性差、管理复杂，用户安全拥有成本高等几大问题。通过在汇聚交换机上面配置的防火墙插卡解决不同区域内的安全防护。

         3.1.1 重点楼层重点客户安全防御方案

        在网络中，总有些客户对于自己部门或者自己的数据信息安全特别敏感，而且他们的信息也是极为重要的。为解决传统基于VLAN和ACL的内网访问控制解决方案的不足，H3C提出了以防火墙为核心的内网访问控制解决方案。其核心是可以插入交换机中的SecBlade防火墙模块，通过SecBlade防火墙模块对内网各个VLAN之间的访问进行精细化的控制。同时配合交换机的端口隔离特性，实现对同一VLAN内终端之间的访问限制。

        为了对这些用户提供保护，我们可以在汇聚交换机中配置H3C SecBlade防火墙插卡进行数据保护业务。其优点是：

         实现病毒防护和业务控制双重功能。

        在防火墙上配置安全访问策略，设置访问权限，保护内部网络的安全。

SecBlade防火墙插卡具有对业务的良好支持，作为NAT ALG或者ASPF过滤，都能够满足正常业务的运行。