華三通信EAD解決方案實現(xiàn)太原鋼鐵網(wǎng)絡安全

　　太原鋼鐵（集團）有限公司（簡稱太鋼）是中國特大型鋼鐵聯(lián)合企業(yè)和全球產(chǎn)能最大、工藝技術裝備最先進的不銹鋼企業(yè)。太鋼牌不銹鋼等重點產(chǎn)品進入石油、石化、鐵道、汽車、造船、集裝箱、造幣等重點行業(yè)，應用于秦山核電站、三峽大壩、“神舟”五號和六號飛船等重點工程。太鋼的戰(zhàn)略目標是建設成為全球最具競爭力的不銹鋼企業(yè)。“十一五”期間，太鋼繼續(xù)以科學發(fā)展觀為指導，進一步推進精細化、信息化和國際化，走“更精、更特、更省、更快、更新”的發(fā)展之路，加快實現(xiàn)戰(zhàn)略目標。

　　為什么太鋼需要EAD

　　太原鋼鐵集團網(wǎng)絡信息化建設目前處于同行業(yè)領先水平，自動化應用程度高，信息平臺承載著ERP、OA、MES等眾多系統(tǒng)，因此信息平臺成為企業(yè)正常經(jīng)營生產(chǎn)的基礎平臺之一。

　　1、存在問題

　　終端時刻受到病毒和蠕蟲的威脅，存在安全隱患，由此觸發(fā)一系列問題擴散到全網(wǎng)，導致全網(wǎng)癱瘓、核心數(shù)據(jù)受到安全威脅；
　　防護策略跟不上攻擊方式的更新，被動式防御已不適應企業(yè)的發(fā)展，主動式保護的安全戰(zhàn)略勢在必行；
　　網(wǎng)絡采用分散管理模式，終端安全狀態(tài)難以保證，導致網(wǎng)絡接入層管理失控。

　　2、管理需求

　　防止非法接入：限制非法筆記本電腦或非授權、外來用戶接入使用網(wǎng)絡；
　　企業(yè)安全策略統(tǒng)一：確保企業(yè)的安全策略能夠統(tǒng)一、集中的實施，減少內(nèi)網(wǎng)中的病毒和蠕蟲的威脅，消除企業(yè)中的安全隱患；
　　降低部署成本：太鋼現(xiàn)有網(wǎng)絡存在多個廠商的設備，新的終端準入控制方案需要盡可能的保護客戶現(xiàn)有網(wǎng)絡投資，不能對網(wǎng)絡結(jié)構進行大規(guī)模改動。

　　EAD如何部署在太鋼

　　針對上述終端接入控制需求，H3C公司為太鋼量身定制了特色化的實施策略，在6000個信息點上部署了擁有自主知識產(chǎn)權的EAD解決方案。

　　其網(wǎng)絡主要劃分為生產(chǎn)區(qū)域和辦公區(qū)域兩部分，其中一個區(qū)域大部分采用H3C的產(chǎn)品，通過接入層設備可以直接與EAD解決方案配合實現(xiàn)控制；針對另外一個區(qū)域多廠商設備共存的情況，采用增加網(wǎng)關設備的方式進行管理，即在核心設備上側(cè)掛網(wǎng)關來實現(xiàn)終端準入控制，最大程度上減少對已有網(wǎng)絡的調(diào)整，保護用戶投資。其網(wǎng)絡拓撲如圖所示：

　　使用效果

　　1、接入用戶身份管理

　　通過終端用戶帳號和接入權限的統(tǒng)一管理，嚴格控制用戶的網(wǎng)絡接入；可附加單位、部門、姓名、密碼等信息，由管理員審核后方可開通權限，外來用戶沒有經(jīng)過審批無法接入網(wǎng)絡。

　　2、安全控制策略統(tǒng)一

　　根據(jù)管理員配置的安全策略，EAD強制用戶終端進行系統(tǒng)補丁和病毒庫版本的升級。當不符合安全策略的用戶終端被限制到“隔離區(qū)”以后，EAD自動提醒用戶進行相應升級，配合防病毒服務器或補丁服務器，幫助用戶完成自動升級。達到安全策略的要求后，取消隔離，用戶可以正常訪問網(wǎng)絡。

　　3、保護客戶現(xiàn)有投資

　　網(wǎng)關方式實現(xiàn)的EAD解決方案對于環(huán)境復雜的局域網(wǎng)舊網(wǎng)改造和升級具有很大優(yōu)勢，客戶可以不用對現(xiàn)有網(wǎng)絡做改動，直接在匯聚層或核心層旁掛EAD網(wǎng)關，強制用戶進行Portal認證和安全狀態(tài)檢查，確保用戶訪問內(nèi)部網(wǎng)絡時具有符合企業(yè)標準的安全狀態(tài)。

　　用戶評價

　　項目實施后，太鋼自動化公司進行了項目的評估，并上報集團領導。按照實際達到的效果，評估中認為：按照太鋼的實際規(guī)模，本項目的實施將帶給太鋼每年超過千萬的經(jīng)濟效益；社會及管理效益體現(xiàn)明顯，主要表現(xiàn)在：

　�。�1）解決了網(wǎng)絡統(tǒng)一管理問題。系統(tǒng)將太鋼網(wǎng)絡成為一個真正的可統(tǒng)一管理的網(wǎng)絡，全方位的監(jiān)控終端使用的各個環(huán)節(jié)，保證了網(wǎng)絡終端的安全，從而確保了太鋼網(wǎng)絡各種應用系統(tǒng)的安全穩(wěn)定；
　�。�2）解決了客戶端管理問題。監(jiān)控終端對硬件資產(chǎn)、所安裝軟件、所執(zhí)行軟件，進行全網(wǎng)統(tǒng)一的軟件自動分發(fā)安裝，遠程終端維護和審計等，解決了終端管理的問題；
　�。�3）大幅度降低網(wǎng)管的成本，提高了人員管理的效率；
　　（4）能夠有效控制網(wǎng)絡終端信息泄密。