防御从端点准入开始

数据表明网络安全的威胁60％来自网络内部，因此如果需要最快、最有效的从根本上来防范、抑制问题的发生，就必须使被动抵御变为主动防御，从网络接入端点的安全控制入手，加强网络用户终端的主动防御能力。基于此，华为3 C o m 公司推出了端点准入防御（EAD）解决方案，从网络用户终端准入控制入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施安全策略，严格控制终端用户的网络使用行为，加强网络用户终端的主动防御能力，保护网络安全。

据了解，EAD 解决方案主要是通过整合孤立的单点防御系统，加强对用户的集中管理，统一实施网络安全策略，提高网络终端的主动抵抗能力。该系统由安全策略服务器、安全客户端平台、安全联动设备和第三方服务器等四部分组成。其中安全策略服务器是EAD方案中的管理与控制中心，可实现用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。目前华为3Com 公司的CAMS 产品已实现了安全策略服务器的功能，该系统在全面管理网络用户信息的基础上，支持多种网络认证方式，支持针对用户的安全策略设置，以标准协议与网络设备联动，实现对用户接入行为的控制，同时，该系统可详细记录用户上网信息和安全事件信息，审计用户上网行为和安全事件。

据介绍安全客户端平台是安装在用户终端系统上的软件，该平台可集成各种安全厂商的安全产品插件，对用户终端进行身份认证、安全状态评估以及实施网络安全策略。安全联动设备是企业网络中安全策略的实施点，起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。CAMS 综合接入管理平台作为安全策略服务器，提供标准的协议接口，支持同交换机、路由器等各类网络设备的安全联动。而第三方服务器为病毒服务器、补丁服务器等第三方网络安全产品，通过安全策略的设置实施，第三方安全产品的功能可集成至EAD 解决方案中，实现安全产品功能的整合。

完备的安全状态评估 用户终端的安全状态是指操作系统补丁、第三方软件版本、病毒库版本、是否感染病毒等反映终端防御能力的状态信息。EAD 通过对终端安全状态进行评估，使得只有符合企业安全标准的终端才能正常访问网络。

实时的“危险”用户隔离 系统补丁、病毒库版本不及时更新或已感染病毒的用户终端，如果不符合管理员设定的企业安全策略，将被限制访问权限，只能访问病毒服务器、补丁服务器等用于系统修复的网络资源。

基于角色的网络服务 用户终端在通过病毒、补丁等安全信息检查后，EAD 可基于终端用户的角色，向安全客户端下发系统配置的安全策略，按照用户角色权限规范用户的网络使用行为。终端用户的ACL 访问策略、QoS 策略、是否禁止使用代理、是否禁止使用双网卡等安全措施设置均可由管理员统一管理，并实时应用实施。

可扩展的、开放的安全解决方案 EAD 是一个可扩展的安全解决方案，对现有网络设备和组网方式改造较小。在现有企业网中，只需对网络设备和第三方软件进行简单升级，即可实现接入控制和防病毒的联动，达到端点准入控制的目的，有效保护用户的网络投资。

灵活、方便的部署与维护 EAD 方案 部署灵活，维护方便，可以按照网络管理员的要求区别对待不同身份的用户，定制不同的安全检查和隔离级别。EAD可以部署为监控模式（只记录不合格的用户终端，不进行修复提醒）、提醒模式（只做修复提醒，不进行网络隔离）和隔离模式，以适应用户对安全准入控制的不同要求。

此外，作为一个全新的安全防御体系和网络安全管理的平台，EAD 加强了对用户终端的集中管理，提高了网络终端的主动抵抗能力。通过对网络接入终端的检查、隔离、修复、管理和监控，有效管理网络安全，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，从而构建一个端到端的安全网络。

(责任编辑:张竺)