央視國際(央視網、CCTV.COM)是中國中央電視臺網站,是一個集新聞、信息、娛樂、服務為一體的具有視聽、互動特色的綜合性網絡媒體。目前已實現(xiàn)CCTV節(jié)目網上同步視頻直播,并對CCTV重點欄目、特別報道、大賽晚會制作網上視頻點播節(jié)目。此外央視國際是北京2008奧運會官方互聯(lián)網/移動平臺唯一授權轉播機構,也是奧運歷史上首次采用除電視外的網絡新媒體轉播。
央視國際內網是一個上千人的辦公網,網絡安全管理十分重要,為了確保各業(yè)務系統(tǒng)正常運行,以滿足用戶的最佳體驗,央視國際不再滿足于局部安全,希望通過網管中心對所有接入網絡的人員和設備進行控制。由于央視國際業(yè)務的特殊性,其接入人員、地理位置都比較復雜,接入方式涵蓋了局域網、廣域網、VPN、無線等各種情況,對于網絡安全管理是一個難題,并且通常的用戶管理及接入控制軟件往往缺乏與網絡資源管理、業(yè)務管理的融合,導致管理手段單一、管理力度不足、管理操作復雜。因此,央視國際迫切需要一種管理方案,使得用戶、網絡、業(yè)務統(tǒng)一管理、互相協(xié)同,提升管理效率,以滿足多種接入場景所需。
EAD服務于央視國際
根據央視國際的目前需求和未來發(fā)展規(guī)劃,并考慮其統(tǒng)一方案要求,H3C采用將網絡接入控制和用戶終端安全策略控制相結合的解決方案。以用戶終端對企業(yè)安全策略的符合度為條件,控制用戶訪問網絡的接入權限,以降低非法訪問、病毒等安全威脅對企業(yè)網絡帶來的危害。為此,H3C提出了包括檢查、隔離、修復、監(jiān)控的整體思路:
1.檢查:
檢查網絡接入用戶的身份(包括IP、MAC、端口等);
檢查網絡接入用戶的訪問權限;
檢查網絡接入用戶終端的安全狀態(tài);
2.隔離:
隔離非法用戶終端和越權訪問;
隔離存在重大安全問題或安全隱患的用戶終端;
3.修復:
幫助存在安全問題或安全隱患的用戶終端進行安全修復,以便能夠正常使用網絡;
4.監(jiān)控:
實時監(jiān)控在線用戶的終端安全狀態(tài),及時獲取終端安全信息;
對非法用戶、越權訪問和存在安全問題的網絡終端進行定位統(tǒng)計,為網絡安全管理提供依據;
通過制定新的安全策略,持續(xù)保障網絡的安全。
方案特點
H3C EAD終端準入控制(EAD,End user Admission Domination)解決方案從控制用戶終端接入網絡的角度入手,整合網絡接入控制與終端管理產品,通過iNode智能客戶端、EAD策略服務器、iMC平臺、網絡設備以及第三方軟件的配合和聯(lián)動,對接入網絡的用戶終端強制實施企業(yè)策略,嚴格控制終端用戶的網絡使用行為;同時,在管理上,又能做到用戶管理與網絡設備管理、網絡拓撲管理的融合,并與iMC網管中心的聯(lián)動,使得H3C終端準入控制解決方案在有效地加強用戶終端的主動防御能力的基礎上,為企業(yè)網絡管理人員更提供了有效、易用、強大的管理工具和手段。
對于要接入網絡的用戶,EAD解決方案首先要對其進行身份認證,通過身份認證的用戶進行終端的認證,根據網絡管理員定制的策略進行包括病毒庫更新情況、系統(tǒng)補丁安裝情況、軟件的黑白名單等內容的檢查,根據檢查的結果,EAD對用戶網絡準入進行授權和控制。通過認證后,用戶可以正常使用網絡,與此同時,EAD可以對用戶終端運行情況和網絡使用情況進行審計和監(jiān)控。
EAD采用基于用戶名和密碼的身份認證外,EAD還實現(xiàn)用戶身份與接入終端的MAC地址、IP地址、所在VLAN、接入設備IP、接入設備端口號等信息進行綁定,嚴格控制了非法接入,并且EAD部署了基于終端用戶的角色,向聯(lián)動設備下發(fā)事先配置的接入控制策略,按照用戶角色權限規(guī)范用戶的網絡使用行為,終端用戶的所屬VLAN、ACL訪問策略、是否禁止使用代理、是否禁止使用雙網卡等措施均可由管理員統(tǒng)一配置實施。
應用效果
H3C協(xié)助央視國際提供內網控制解決方案,實現(xiàn)加強控制和簡化管理的完美結合。首先通過EAD進行事前預防,確保接入用戶的合法性、健康性;安全聯(lián)動進行事中控制,對威脅進行追根溯源,變被動防御為主動預防;安全管理中心對安全事件進行實時分析和事后審計,找出當前網絡的薄弱環(huán)節(jié),作為下一步策略完善和安全建設的依據。央視國際通過EAD系統(tǒng)的實施部署后,嚴格保障了網絡安全性,并且大幅提高了管理的效率,為央視國際網絡的可靠運行提供了有效支撐。
