EAD端点准入防御解决方案介绍.docx

某钢铁端点准入防御方案 技术建议书 目 录 1 概述 4 2 EAD端点准入防御解决方案介绍 5 2.1 方案思路 5 2.2 方案组成部分 5 2.2.1 EAD安全策略服务器 6 2.2.2 修复服务器 7 2.2.3 安全联动设备 7 2.2.4 安全客户端 7 3 EAD解决方案组网部署 8 3.1 多厂商设备混合组网部署（Portal方式） 9 方案组网 10 组网设备 10 方案说明 10 流程说明 11 实施效果 11 3.2 接入层准入控制组网部署（802.1x） 11 方案组网 11 组网设备 12 方案说明 12 流程说明 13 实施效果 13 3.3 EAD应用模式 14 3.3.1 隔离模式 14 3.3.2 Guest模式 14 3.3.3 VIP模式 15 3.3.4 下线模式 15 4 EAD解决方案应用模型及功能特点 16 4.1 端点准入防御应用模型 16 4.1.1 端点准入防御应用模型 16 4.1.2 端点准入防御工作流程 16 4.2 端点准入防御功能特点 17 4.2.1 安全状态评估 17 4.2.2 用户权限管理 18 4.2.3 用户行为监控 18 4.3 桌面资产管理应用模型 19 4.3.1 桌面资产管理应用模型 19 4.4 桌面资产管理功能特点 20 4.4.1 终端资产管理 20 4.4.2 软件分发 21 5 系统参数及环境要求 21 5.1 EAD系统技术参数 21 5.2 EAD系统环境要求 21 6 附1：部署说明 22 7 附2：EAD功能列表 23 1 概述 某钢铁（集团）有限责任公司（以下简称酒钢）网络信息化建设目前处于同行业领先水平，自动化应用程度高，信息平台承载着ERP、OA、MES等众多系统，因此信息平台成为企业正常经营生产的基础平台之一。多年的系统运维与建设，酒钢信息化平台已搭建得比较完善，但同时对安全管理方面提出了较高要求。网络安全基础设施的建设以及对原有网络进行终端安全准入的改造已经成为酒钢网络建设的重中之重。 目前酒钢网络中存在的典型问题归纳总结为以下几大类：（1）终端时刻受到病毒和蠕虫的威胁，存在安全隐患，更为严重的是由此触发一系列问题扩散全网，导致全网瘫痪、核心数据时刻受到安全威胁，一旦被攻击，将为企业造成无法挽回的损失；（2）防护策略赶不上攻击方式的更新，被动式防御已不适应企业的发展，主动式保护的安全战略势在必行；（3）随意接入网络、私设代理服务器，有意或无意的盗用IP地址情况严重；（4）网络采用分散管理模式，终端难以保证其安全状态符合企业安全策略，例如新的补丁发布了却无人理会、新的病毒出现了却不及时升级病毒库的现象普遍存在，无法有效地从网络接入点进行安全防范。导致网络接入层面管理失控。 为了解决现有网络安全管理中存在的不足，应对网络安全威胁，甘肃蓝潮世讯通信科技有限责任公司提供了端点准入防御（EAD，Endpoint Admission Defense）解决方案。该方案从用户终端准入控制入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及防病毒软件产品、系统补丁管理产品、资产管理产品、桌面管理产品的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，可以加强用户终端的主动防御能力，大幅度提高网络安全。 EAD在用户接入网络前，通过统一管理的安全策略强制检查用户终端的安全状态，并根据对用户终端安全状态的检查结果实施接入控制策略，对不符合企业安全标准的用户进行“隔离”并强制用户进行病毒库升级、系统补丁升级等操作；在保证用户终端具备自防御能力并安全接入的前提下，可以通过动态分配ACL、VLAN等合理控制用户的网络权限，从而提升网络的整体安全防御能力。 EAD同时具有资产管理、外设监控、软件分发等功能，提供了企业内网PC集中管理运维的方案，以高效率的管理手段和措施，协助企业IT部门及时盘点内网资产、掌控内网资产变更情况。 2 EAD端点准入防御解决方案介绍 EAD端点准入防御方案包括两个重要功能：安全防护和安全监控。安全防护主要是对终端接入网络进行认证，保证只有安全的终端才能接入网络，对达不到安全要求的终端可以进行修复，保障终端和网络的安全；安全监控是指在上网过程中，系统实时监控用户终端的安全状态，并针对用户终端的安全事件采取相应的应对措施，实时保障网络安全。 2.1 方案思路 EAD解决方案的实现思路，是通过将网络接入控制和用户终端安全策略控制相结合，以用户终端对企业安全策略的符合度为条件，控制用户访问网络的接入权限，从而降低病毒、非法访问等安全威胁对企业网络带来的危害。为达到以上目的，甘肃蓝潮提出了包括检查、隔离、修复、监控的整体解决思路。 1. 检查： l 检查网络接入用户的身份； l 检查网络接入用户的访问权限； l 检查网络接入用户终端的安全状态； 2. 隔离： l 隔离非法用户终端和越权访问； l 隔离存在重大安全问题或安全隐患的用户终端； 3. 修复： l 帮助存在安全问题或安全隐患的用户终端进行安全修复，以便能够正常使用网络； 4. 监控： l 实时监控在线用户的终端安全状态，及时获取终端安全信息； l 对非法用户、越权访问和存在安全问题的网络终端进行定位统计，为网络安全管理提供依据； l 通过制定新的安全策略，持续保障网络的安全。 2.2 方案组成部分 为了有效实现用户终端安全准入控制，需要实现终端安全信息采集点、终端安全信息决策点和终端安全信息执行点的分离，同时还需要提供有效的技术手段，对用户终端存在的安全问题进行修复，使之符合企业终端安全策略，顺利接入网络进行工作。EAD解决方案的组成部分见下图： 图1 EAD解决方案组成部分 如图1所示，EAD解决方案的基本部件包括EAD安全策略服务器（EAD服务器）、防病毒服务器、补丁服务器等修复服务器、安全联动设备和H3C安全客户端，各部件各司其职，由安全策略中心协调，共同完成对网络接入终端的安全准入控制。 2.2.1 EAD安全策略服务器 EAD方案的核心是整合与联动，而EAD安全策略服务器（iMC EAD服务器）是EAD方案中的管理与控制中心，兼具用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。 l 安全策略管理。安全策略服务器定义了对用户终端进行准入控制的一系列策略，包括用户终端安全状态评估配置、补丁检查项配置、安全策略配置、终端修复配置以及对终端用户的隔离方式配置等。 l 用户管理。企业网中，不同的用户、不同类型的接入终端可能要求不同级别的安全检查和控制。安全策略服务器可以为不同用户提供基于身份的个性化安全配置和网络服务等级，方便管理员对网络用户制定差异化的安全策略。 l 安全联动控制。安全策略服务器负责评估安全客户端上报的安全状态，控制安全联动设备对用户的隔离与开放，下发用户终端的修复方式与安全策略。通过安全策略服务器的控制，安全客户端、安全联动设备与修复服务器才可以协同工作，配合完成端到端的安全准入控制。 2.2.2 修复服务器 在EAD方案中，修复服务器可以是第三方厂商提供的防病毒服务器、补丁服务器或用户自行架设的文件服务器。此类服务器通常放置于网络隔离区中，用于终端进行自我修复操作。网络版的防病毒服务器提供病毒库升级服务，允许防病毒客户端进行在线升级；补丁服务器则提供系统补丁升级服务，在用户终端的系统补丁不能满足安全要求时，用户终端可连接至补丁服务器进行补丁下载和升级。 2.2.3 安全联动设备 安全联动设备是企业网络中安全策略的实施点，起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。根据应用场合的不同，安全联动设备可以是交换机或BAS设备，分别实现不同认证方式（如802.1x或Portal）的端点准入控制。不论是哪种接入设备或采用哪种认证方式，安全联动设备均具有以下功能： l 强制网络接入终端进行身份认证和安全状态评估。 l 隔离不符合安全策略的用户终端。联动设备接收到安全策略服务器下发的隔离指令后，目前可以通过动态ACL方式限制用户的访问权限；同样，收到解除用户隔离的指令后也可以在线解除对用户终端的隔离。 l 提供基于身份的网络服务。安全联动设备可以根据安全策略服务器下发的策略，为用户提供个性化的网络服务，如提供不同的ACL、VLAN等。 2.2.4 安全客户端 H3C客户端是安装在用户终端系统上的软件，是对用户终端进行身份认证、安全状态评估以及安全策略实施的主体，其主要功能包括： l 提供802.1x、Portal、VPN、无线等多种认证方式，可以与交换机、BAS网关等设备配合实现接入层、汇聚层的端点准入控制。 l 检查用户终端的安全状态，包括操作系统版本、系统补丁、共享目录、已安装的软件、已启动的服务等用户终端信息；同时提供与防病毒客户端联动的接口，实现与第三方防病毒软件产品客户端的联动，检查用户终端的防病毒软件版本、病毒库版本、以及病毒查杀信息。这些信息将被传递到EAD安全策略服务器，执行端点准入的判断与控制。 l 安全策略实施，接收安全策略服务器下发的安全策略并强制用户终端执行，包括设置安全策略（是否监控邮件、注册表）、系统修复通知与实施（自动或手工升级补丁和病毒库）等功能。不按要求实施安全策略的用户终端将被限制在隔离区。 l 实时监控系统安全状态，包括是否更改安全设置、是否发现新病毒等，并将安全事件定时上报到安全策略服务器，用于事后进行安全审计。 l 监控终端资产组成和变更情况，监控的信息包括：逻辑磁盘、OS登录名、计算机名、IP地址、操作系统、屏保、分区信息、共享信息；CPU、内存、主板、磁盘、网卡、光驱、BIOS；安装/卸载软件，包括程序名称、程序版本、安装日期；进程列表、服务列表、磁盘可用空间、CPU使用频率/时钟频率、内存剩余空间、IP获取方式等等，并按照分类以报表的形式展示，如果有软硬件发生变化也将实时记录。 3 EAD解决方案组网部署 目前某钢铁的网络，主要划分为烧结区、炼钢区、宏昌区、动力区、交易区、办公楼和生产指挥中心共七大区域，总共4500左右个接入点，大部分采用思科交换机，少量采用H3C交换机。其中烧结区、炼钢区、宏昌区、动力区、交易区均为思科接入设备汇聚到C6506，办公区为H3C的接入交换机3026/3050C汇聚到思科45上，生产指挥中心为6台3550接入到6509上。 为了便于部署实施，且达到准入控制的要求，经过论证在烧结区等五个区域在汇聚的6506上旁挂EAD网关，采取Portal认证的方式。由于翼钢和榆钢分别在兰州和山西，为了解决这两地的内部准入问题分别在他们的网络旁挂EAD网关（要求两地的网络设备支持策略路由）。对于生产指挥中心的六台3550，在核心的一台6509上旁挂一台EAD网关实现Portal认证，控制该区域的网络准入问题。在办公大楼区域采取802.1x的认证方式，解决网络准入控制。 图2 某钢铁网络拓扑图 3.1 多厂商设备混合组网部署（Portal方式） 通常企业在建设自身的办公网，满足互联互通的要求后，会逐渐意识在内部网络安全控制的必要性，尤其是内网终端的安全问题，这时对于终端的安全准入控制就显得尤为重要。而这时的企业网络通常为多厂商设备共存，很难单独使用一家厂商的设备实施网络的准入控制，这种情况下，视网络规模大小，我们推荐使用一台或多台网关设备作为强制认证控制器，使用基于Portal的认证协议，与iNode客户端、安全策略服务器配合完成EAD端点准入防御。 Portal认证是一种Web方式的认证，Portal认证同802.1x认证相比，具有应用简单的优势。但在EAD解决方案中，需要使用iNode客户端来进行终端的安全状态检测和控制，因此在Web认证的基础上，扩展了Portal协议，使之不仅能够处理Http协议，还可以控制其他协议的数据流，使EAD解决方案也支持Portal认证方式下的端点准入控制。 方案组网 图3 网关型EAD解决方案组网应用 组网设备 l 在旧网改造中，可以使用MSR、AR28、AR46、S7502E、S5500EI、IAG作为企业的安全网关，支持Portal认证，并实施EAD方案。 方案说明 n 使用AR46/28、MSR、S7502E、S5500EI、IAG设备配合组网，设备通常放置在网络出口，并在设备上开启Portal认证功能。在用户希望对原有网络改动最小的情况下，可以将S7502E旁挂在网络出口或核心设备上，提供用户接入控制功能。 n EAD服务器需要安装Portal认证组件，在Portal认证页面上，提供安全客户端的下载链接。用户可下载并安装iNode客户端后，发起认证请求。 n 隔离区的设置、第三方服务器的设置、EAD自助服务器和EAD安全代理服务器的设置等信息同接入层准入控制。 流程说明 在Web认证方式下，用户的身份认证、访问控制和安全认证流程同接入层准入控制基本相同。区别在于： 1. 用户进行网络登录认证之前，可以访问Portal服务器等URL。 2. iNode安全认证客户端可以在认证前从Portal认证页面下载并安装。简化了客户端分发工作。 实施效果 1. 由于在网络出口设备上部署了Portal认证，所有非授权用户将不能随意访问网络。 2. 合法用户通过身份认证、安全认证后，其访问权限受认证设备的ACL控制。用户的外部访问权限受控。 3. 通过安全认证网关和策略服务器、客户端配合，解决了网络上多厂商设备共存的问题； 其余同接入层准入控制 3.2 接入层准入控制组网部署（802.1x） 将接入层设备作为安全准入控制点，对试图接入网络的用户终端进行安全检查，强制用户终端进行防病毒、操作系统补丁等企业定义的安全策略检查，防止非法用户和不符合企业安全策略的终端接入网络，降低病毒、蠕虫等安全威胁在企业扩散的风险。 方案组网 图4 接入层EAD解决方案组网应用 组网设备 支持H3C S3000以上系列接入层交换机，主要型号包括： l S3050C，S3026E/C/G/T； l 3100EI，5100EI， l S3528P/G，S3526E，S3552G/P/F； l S3600系列（原对应型号为S3900），S3610； l S5500SI 方案说明 n 用户终端必须安装iNode客户端，在上网前首先要进行802.1x和安全认证，否则将不能接入网络或者只能访问隔离区的资源。其中，隔离区是指在S3600系列交换机中配置的一组ACL，一般包括EAD安全代理服务器、补丁服务器、防病毒服务器、DNS、DHCP等服务器的IP地址。 n 在接入交换机（S36系列交换机）中要部署802.1x认证和安全认证，强制进行基于用户的802.1x认证和动态ACL、VLAN控制。 n EAD服务器中配置用户的服务策略、接入策略、安全策略，用户进行802.1x认证时，由EAD服务器验证用户身份的合法性，并基于用户角色（服务）向安全客户端下发安全评估策略（如检查病毒库版本、补丁安装情况等），完成身份和安全评估后，由EAD服务器确定用户的ACL、VLAN以及病毒监控策略等。 n EAD安全代理服务器必须部署于隔离区，可以与EAD自助服务器共用一台主机。 n 补丁服务器（可选）必须部署于隔离区，可以与EAD安全代理共用一台主机。 n 防病毒服务器（可选）必须部署于隔离区，可以与补丁服务器、EAD安全代理共用一台主机，可以选择McAFee防病毒、Norton防病毒、趋势防病毒、安博士防病毒、CA Kill安全甲胄、瑞星杀毒软件、金山毒霸以及江民KV防病毒软件。 流程说明 EAD方案可以依据角色对网络接入用户实施不同的安全检查策略并授予不同的网络访问权限。其原理性的流程如下： 1. 用户上网前必须首先进行身份认证，确认是合法用户后，安全客户端还要检测病毒软件和补丁安装情况，上报EAD。 2. EAD检测补丁安装、病毒库版本等是否合格，如果合格进入步骤7，如果不合格，进入步骤3。 3. EAD通知接入设备（S36系列或其他支持EAD解决方案的交换机），将该用户的访问权限限制到隔离区内。此时，用户只能访问补丁服务器、防病毒服务器等安全资源，因此不会受到外部病毒和攻击的威胁。 4. 安全客户端通知用户进行补丁和病毒库的升级操作。 5. 用户升级完成后，可重新进行安全认证。如果合格则解除隔离，进入步骤7。 6. 如果用户补丁升级不成功，用户仍然无法访问其他网络资源，回到步骤4 7. 用户可以正常访问其他授权（ACL、VLAN）的网络资源。 实施效果 1. 由于接入层交换机对端口部署了802.1x认证，所有非法用户将不能访问企业内部网络。并且认证通过前，用户终端之间无法实现互访。 2. 合法用户接入网络后，其访问权限受S36系列交换机中的ACL控制。特定的服务器只能由被授权的用户访问。 3. 合法用户接入网络后，其互访权限受S36系列交换机中的VLAN控制。不同角色的用户分属不同的VLAN，跨VLAN的用户不能互访（受组网方式限制）。 4. 用户正常接入网络前，必须通过安全客户端的安全检查，确保没有感染病毒且病毒库版本和补丁得到及时升级。降低了病毒和远程攻击对企业网带来的安全风险。 5. 通过使用iNode客户端，可对用户的终端使用行为进行严格管理，比如禁止设置代理服务器、禁用双网卡、禁止拨号等。 3.3 EAD应用模式 EAD解决方案对于每一种安全状态的检测，按照处理模式可分为隔离模式、VIP模式、Guest模式、下线模式。如防病毒软件的安装和版本检查可以采用隔离模式，补丁软件依照重要性的不同可以采取不同的模式，一些非法软件的安装可以通过Guest模式进行提醒。 四种模式对于实现的终端安全状态监控功能各有不同，对安全设备的要求也不相同。 3.3.1 隔离模式 对于一些关系比较重大的安全漏洞或补丁，如Windows服务器的致命安全补丁，需要进行比较严厉的控制。具体来说，就是一旦用户终端安全状态不合格，就限制其网络访问区域为隔离区，在进行修复操作，满足企业终端安全策略要求后，才能重新发起认证，正常接入网络。 隔离模式要求安全联动设备必须支持动态ACL特性，能够实时应用EAD安全策略服务器下发的ACL规格，并应用于用户连接。 3.3.2 Guest模式 某些应用环境下，不需要根据用户终端的安全状态严格控制用户终端的访问权限，比如访客，可以采用Guest模式来处理不合格的安全状态，如对于安全等级略低一些的补丁可以采取这种方式。在Guest模式下，安全客户端检查用户终端的安全状态信息，并将不合格项以弹出窗口的形式提供给终端用户，同时提供修复指导和相关链接。用户的网络访问权限不因终端安全状态不合格而被更改。 3.3.3 VIP模式 对于一些高级别的领导或网络管理者，可以采取级别最低的VIP模式。VIP模式同Guest模式的实现流程基本相同，区别在于VIP模式下，安全客户端不通过弹出窗口向用户提示终端的不合格项。网络管理员可在EAD安全策略服务器的管理界面中实时对用户终端安全状态进行监控，了解用户终端的安全信息。一些相对普通的安全问题，如提示性的补丁安装，可以在不影响终端用户工作的情况下，由管理员进行定期检查并通告。 Guest模式和VIP模式下，安全联动设备可以不需要支持动态ACL下发控制功能。 3.3.4 下线模式 下线模式实现流程与隔离模式相同，唯一的区别是对不安全的用户采取直接下线的处理方式。主要与Portal认证相配合，实现网络出口或是关键数据区域的认证保护。也可以作为兼容第三方厂商设备的部署模式，配合接入交换机Guest VLAN功能实现对不安全用户的隔离功能。下线模式也是目前友商相似方案的主要实现模式，EAD支持下线模式可以增强方案对设备的兼容性。 与Cisco接入设备配合部署802.1x认证方式下的EAD解决方案，推荐使用下线模式。 除上上述几种策略处理方式以外，EAD解决方案还支持细致到处一个策略的综合控制方式，也就是通过以上几种方式组合出符合您企业的策略： 4 EAD解决方案应用模型及功能特点 4.1 端点准入防御应用模型 4.1.1 端点准入防御应用模型 EAD解决方案在准入上主要是通过身份认证和安全策略检查的方式，对未通过身份认证或不符合安全策略的用户终端进行网络隔离，并帮助终端进行安全修复，以达到防范不安全网络用户终端给安全网络带来安全威胁的目的。 图5 EAD解决方案安全准入应用模型图 4.1.2 端点准入防御工作流程 l 身份验证：用户终端接入网络时，首先进行用户身份认证，非法用户将被拒绝接入网络。目前EAD解决方案支持802.1x、Portal、VPN和无线认证。 l 安全检查：身份认证通过后进行终端安全检查，由EAD安全策略服务器验证用户终端的安全状态（包括补丁版本、病毒库版本、软件安装等）是否合格。 l 安全隔离：不合格的终端将被安全联动设备通过ACL策略限制在隔离区进行安全修复。 l 安全修复：进入隔离区的用户可以进行补丁、病毒库的升级、卸载非法软件和停止非法服务等操作，直到安全状态合格。 l 动态授权：如果用户身份验证、安全检查都通过，则EAD安全策略服务器将预先配置的该用户的权限信息（包括网络访问权限等）下发给安全联动设备，由安全联动设备实现按用户身份的权限控制。 l 实时监控：在用户网络使用过程中，安全客户端根据安全策略服务器下发的监控策略，实时监控用户终端的安全状态，一旦发现用户终端安全状态不符合企业安全策略，则向EAD安全策略服务器上报安全事件，由EAD安全策略服务器按照预定义的安全策略，采取相应的控制措施，比如通知安全联动设备隔离用户。 4.2 端点准入防御功能特点 4.2.1 安全状态评估 l 终端补丁检测：评估客户端的补丁安装是否合格，可以检测的补丁包括：操作系统(Windows 2000/XP/2003等，不包括Windows 98)等符合微软补丁规范的热补丁。 l 安全客户端版本检测：可以检测安全客户端iNode Client的版本，防止使用不具备安全检测能力的客户端接入网络，同时支持客户端自动升级。 l 安全状态定时评估：安全客户端可以定时检测用户安全状态，防止用户上网过程中因安全状态发生变化而造成的与安全策略的不一致。 l 自动补丁管理：提供与微软WSUS/SMS（全称：Windows Server Update Services/System Management Server）协同的自动补丁管理，当用户补丁不合格时，自动安装补丁。 l 终端运行状态实时检测：可以对上线用户终端的系统信息进行实时检测，包括已安装程序列表、已安装补丁列表、已运行进程列表、共享目录信息、分区表、屏保设置和已启动服务列表等。 l 防病毒联动：主要包含两个方面，一是端点用户接入网络时，检查其计算机上防病毒软件的安装运行情况以及病毒库和扫描引擎版本是否符合安全要求等，不符合安全要求可以根据策略阻止用户接入网络或将其访问限制在隔离区；二是端点用户接入网络后，EAD定期检查防病毒软件的运行状态，如果发现不符合安全要求可以根据策略强制让用户下线或将其访问限制在隔离区。当前支持的防病毒联动软件有：瑞星、金山、江民、诺顿、趋势、McAfee 、安博士、CA安全甲胄及VRV等。 4.2.2 用户权限管理 l 强身份认证：在用户身份认证时，可绑定用户接入IP、MAC（对用Portal的方式不支持MAC绑定）、接入设备IP、端口、VLAN和电子证书等信息，进行强身份认证，防止帐号盗用、限定帐号所使用的终端，确保接入用户的身份安全。 l “危险”用户隔离：对于安全状态评估不合格的用户，可以限制其访问权限（通过ACL隔离），使其只能访问防病毒服务器、补丁服务器等用于系统修复的网络资源。 l “危险”用户在线隔离：用户上网过程中安全状态发生变化造成与安全策略不一致时（如感染不能杀除的病毒），EAD可以在线隔离并通知用户。 l 软件安装和运行检测：检测终端软件的安装和运行状态。可以限制接入网络的用户必须安装、运行或禁止安装、运行其中某些软件。对于不符合安全策略的用户可以记录日志、提醒或隔离。 l 支持匿名认证：iNode客户端与EAD服务器配合提供用户匿名认证功能，用户不需要输入用户名、密码即可完成身份认证和安全认证。 l 接入时间、区域控制：可以限制用户只能在允许的时间和地点（接入设备和端口）上网。 l 限制终端用户使用多网卡和拨号网络：防止用户终端成为内外网互访的桥梁，避免因此可能造成的信息安全问题。 l 代理限制：可以限制用户使用和设置代理服务器。 4.2.3 用户行为监控 l 终端强制或提醒修复：强制或提醒不符合安全策略的终端用户主机进行防病毒软件升级，病毒库升级，补丁安装；目前只支持手工方式（金山的客户端可以与系统中心做自动升级）。 l 安全状态监控：定时监控终端用户的安全状态，发现感染病毒后根据安全策略可将其限制到隔离区。 l 安全日志审计：定时收集客户端的实时安全状态并记录日志；查询用户的安全状态日志、安全事件日志以及在线用户的安全状态。 l 强制用户下线：管理员可以强制行为“可疑”的用户下线。 4.3 桌面资产管理应用模型 4.3.1 桌面资产管理应用模型 （注：Radius服务器、安全策略服务器、DAM服务器均由EAD完成） l 身份验证及安全认证：身份认证和安全认证不在资产管理流程中。这里提到，主要是在安全认证成功之后，在EAD交互报文中给出了DAM（桌面资产管理，内含于EAD服务器）服务器的地址和端口；可选的，DAM服务器的地址和端口，也可以采用iNode客户端管理中心定制指定； l 资产上线：资产上线分成几种情况： 1、已管理资产的上线：服务器根据客户端上传的资产编号找到资产记录即回应确认信息，客户端之后请求资产策略，服务器回应资产策略给客户端； 2、客户端注册方式的新资产（该资产由管理员增加）上线：服务端要求客户端输入资产编号，客户端提交后，服务端根据资产编号找到资产信息，发给客户端确认，确认后服务端将该资产置为已管理状态，回应确认信息，客户端之后请求资产策略，服务器回应资产策略给客户端； 3、服务器自动生成新资产方式的上线：服务端根据客户端上传的资产指纹信息生成新资产编号；客户端弹出资产信息录入界面并由用户录入，之后上传给服务端，服务端回应确认信息，客户端之后请求资产策略，服务器回应资产策略给客户端； 4、重装操作系统之后的客户端上线：服务端根据客户端传递过来的指纹信息找到已有的资产记录，之后回应资产信息给客户端；客户端用户确认服务器返回的资产信息与自己的资产相匹配，之后，客户端发送确认报文给服务端；服务端确认后将正在上线的资产与自身已有记录关联起来；服务端回应确认信息，客户端之后请求资产策略，服务器回应资产策略给客户端； 5、安装了多操作系统的资产上线：用户启动一个操作系统并上线成功后，在另一个操作系统下又发起上线请求；服务端发现多操作系统情况，将只允许最后安装的操作系统的客户端可以上线；服务端回应确认信息，客户端之后请求资产策略，服务器回应资产策略给客户端； l 资产信息上报：客户端获取本地资产信息，保存到本地，并上报给服务端；客户端定期会扫描本地资产信息，如发现有变更，更新本地保存的资产文件，同时将资产变更信息上报给服务端； l USB使用信息上报：客户端实时监测USB插入情况，如果有USB插入、向USB中写入文件、或者拔出USB，都会写入文件；客户端定期上报USB使用信息给服务端； l 软件分发：服务端为资产创建分发任务；客户端向服务端请求资产策略，服务端回应同时，将分发任务下达给客户端；客户端连接到分发服务器进行软件下载；下载到本地之后可由用户自行安装，也可以自动安装； 4.4 桌面资产管理功能特点 4.4.1 终端资产管理 l 资产编号处理：针对新资产，支持服务端自动生成资产编号、也可管理员手工输入，方式灵活，并丰富了管理手段； l 支持资产信息的增删改：管理员可以增加、删除、修改资产信息； l 支持资产分组管理：可灵活的将资产对应到相应分组中，便于管理； l 终端资产信息自动上报：支持资产信息自动上报；支持资产变更信息自动上报；USB使用信息自动上报； l 资产信息审计：可对软硬件资产进行查询，支持按CPU、制造商、型号、操作系统等统计资产，便于管理员分类进行企业资产盘点； l 资产变更审计：可针对资产变更信息进行审计，审计内容包含资产名、编号、变更类型、变更内容、资产责任人、变更时间等；便于管理员及时掌握企业资产变动情况； l 支持USB使用审计：支持USB使用的审计，审计内容包括资产名、文件名、文件大小、操作时间等，帮助管理员追踪定位非法用户； l 支持禁用光驱、软驱、红外、蓝牙、Modem等外设：可以禁用USB存储设备，光驱、软驱、红外、蓝牙、Modem、并口、串口等外设，防止关键机密信息外泄。 4.4.2 软件分发 l 分发任务管理：支持软件分发任务的增加，修改，查询和删除以及关闭功能；可以按资产分组、选中单个或者多个资产进行资产批量分发；可以自定义分发操作的时间；支持http，ftp和文件共享三种方式的分发服务器的参数配置功能； l 软件分发查询：支持按照资产查询软件分发历史；支持按照分发任务查询每个资产的软件分发状态； l 软件分发：支持http、ftp和文件共享等三种协议的软件分发，软件分发给终端之后，安装的方式可以根据管理员指定好的策略进行静默安装或者普通安装。 5 系统参数及环境要求 5.1 EAD系统技术参数 l 网络带宽占用：用户终端安全状态信息 < 1K； l 并发连接数： EAD应用服务器可支持5000个并发连接； l 双机备份：支持24小时主备数据自动同步方案； 5.2 EAD系统环境要求 l iMC平台服务器（最大管理500台设备） 属性 参数 硬件平台 服务器端：PC服务器：Xeon 2.4 G（及以上）、内存2G（及以上）、硬盘80G（及以上）、48倍速光驱、100M网卡、显卡支持分辩率1024*768、声卡 操作系统 服务器：Windows 2000 Server/Server 2003（简体中文版） 客户端：Windows XP/2000/Vista（简体中文版） 浏览器：IE5.5及以上版本 、Firefox1.5及以上版本 数据库 SQL Server 2000 Standard简体中文版（SP4） SQL Server 2005 Workgroup简体中文版 l EAD安全策略服务器（最大管理5000用户） 属性 参数 硬件平台 服务器端：处理器类型：Intel Xeon EM64T或更好； 处理器主频：≥3.0GHz； 处理器二级高速缓存： ≥2MB； 处理器配置数目≥1； 内存 ≥2G； 硬盘容量144GB（RAID 1）； 阵列控制器/Raid卡：配置双通道Ultra 320 SCSI卡式阵列控制器或更好，缓存≥128MB；支持RAID 0、1、1+0、5； 网卡≥1块10/100/1000Mb自适应以太网卡； 操作系统 服务器：Windows 2000 Server SP4/Server 2003 SP1（简体中文版） 客户端：Windows XP/2000/Vista（简体中文版） 浏览器：IE5.5及以上版本 、Firefox1.5及以上版本 数据库 SQL Server 2000 Standard简体中文版（SP4） SQL Server 2005 Workgroup简体中文版 l iNode客户端： 软件环境：Windows 2000/XP/2003/Vista； 硬件环境：CPU主频800MHz以上、128M以上内存。 6 附1：部署说明 Portal网关设备性能： 设备 型号 认证 性能 说明 S5500EI 28C/PWR/28F Portal 512 整机4000(一条规则占4条资源) 52C/PWR-EI 1024 整机8000，每芯片4000，限制同上 S7502E Portal 1500 SC单板每板4000(一条规则占4条资源)， 每板1.5K，整机上限3000(需将用户平分到单板) 酒钢厂区PC终端数量分布： 区域 PC数量 建议设备富余量 A办公 406 802.1x实现 B烧结 329 500 C炼钢 351 500 D动力 274 500 E宏昌 492 1000 F交易中心 844 1500 G指挥中心 200 500 榆钢 　 500 翼钢 　 500 由此，交易区旁挂一台S7502E，在宏昌区旁挂一台S5500-52C-EI，在烧结区、炼钢区、动力区、生产指挥中心、翼钢、榆钢各旁挂六台S5500-28C-EI。 7 附2：EAD功能列表 网络与安全统一管理 拓扑方式直观显示网络设备及接入用户，可通过拓扑掌握全网用户安全状态，直接对用户进行下线、在线检查等操作 终端补丁检测 能够评估客户端的补丁安装是否合格，可以检测的补丁包括：操作系统(Windows 2000、XP、Server2003等，不包括Windows 98)等符合微软补丁规范的热补丁 自动补丁管理 支持与微软WSUS/SMS协同的自动补丁管理，当用户安全认证时，自动检查、下载、安装补丁。 与厂商防病毒联动 支持与趋势科技、瑞星、江民、金山、McAfee、Symentec、Ahn、北信源、CA、Kill等厂商的防病毒软件联动，支持安装运行状态等的检测 病毒库版本检测 支持检测终端安装的防病毒软件和病毒库的版本是否合格 终端病毒感染状态检测 用户上网前的杀毒记录，可以强制用户在接入网络前首先查杀病毒。 ARP网关绑定 支持通过提供用户网关IP、MAC地址配置信息防止本地受到假冒网关方式的ARP欺骗 客户端ARP报文过滤 客户端可对于IP-MAC不对应的ARP主动进行过滤，防止客户端主机发起ARP攻击 异常流量监控 支持根据流量监控策略进行流量监控。可针对告警级别的不同对应不同的处理 软件黑白名单控制 支持检测终端应用程序、进程的运行状态。可以限制接入网络的用户必须安装、运行或禁止安装、运行其中某些软件；必须运行或禁止运行其中某些进程。 终端强制或提醒修复 支持强制或提醒不符合安全策略的终端用户主机进行防病毒软件升级，病毒库升级，补丁安装； 多种安全模式 支持下线模式、Guest模式、VIP模式和隔离模式，以适应不同客户对安全准入控制的不同要求。 安全模式设置 支持基于单一安全检查项（防病毒软件、软件补丁、应用软件、进程等）设置不同的安全模式 用户黑名单功能 1、黑名单用户接入限制管理：列入黑名单的用户禁止接入网络。 2、支持手工加入和多次尝试密码失败自动划入隔离区。 3、黑名单增强功能：对于多次尝试密码用户，只限制尝试密码所使用终端不能登录，不限制其它终端登录。 基于802.1x的身份认证和安全认证 支持多种认证方式，如PAP、CHAP、EAP-MD5、EAP-TLS和PEAP-CHAP V2认证 VPN远程登录、无线接入身份认证和安全认证 支持IPSec VPN接入用户、无线接入用户的身份认证和安全认证 Windows域统一认证 与支持802.1x、Portal和Windows域统一认