網絡的發展促進了電力工業信息化的深入，但網絡安全問題如洪水猛獸難以控制，傳統的單點技術防護手段制標難以制本。H3C基于多年電力行業的理解，提出系統化的策略安全防護解決方案。首先將原有內部辦公業務和訪問internet業務分開，確保內部業務的安全，在網絡出口部署安全防護設備，同時重點加強對終端用戶的管理，保證用戶終端的安全、阻止威脅入侵網絡，對用戶的網絡訪問行為進行有效的控制，采用統一的安全事件分析與聯動機制實現整個安全管控。

         1 H3C電力信息網絡安全加固解決方案介紹

         基于多年參與電力行業信息化的經驗，H3C公司推出電力信息網絡安全加固解決方案，該解決方案主要由對終端安全防護和安全管理中心等關鍵部件組成。終端安全防護通過H3C公司的EAD系統實現對用戶身份合法性檢測、客戶端安全狀態評估、合法用戶的授權訪問、用戶行為審計，對接入網絡的用戶終端強制實施企業安全策略，嚴格控制終端用戶的網絡使用行為，有效地加強了用戶終端的主動防御能力，同時為網絡管理人員提供了有效、易用的管理工具和手段。安全管理中心通過H3C公司的事件管理中心(Seccenter)和響應管理控制中心(iMC SCC)配合并聯動，事件管理中心主要完成對全網安全事件的采集、分析、關聯、匯聚、報表報告展示，響應控制中心實現了安全事件與網管系統(iMC 平臺)、用戶管理系統(EAD/UAM)的結合，對需要響應的重要事件可靈活進行短信通知、Email通知、交換機端口控制、用戶阻斷、加入黑名單、在線提醒等響應操作。

        通過部署EAD對終端用戶進行嚴格的安全防護，同時通過Seccenter與Imc SCC進行聯動，將不同領域的網絡安全部件融合成一個無縫的安全體系，使網絡的安全防護水平大大提升。介紹如何實現對用戶身份合法性檢測，確保安全的用戶才能接入網絡、以及客戶端安全狀態評估、合法用戶的授權訪問、用戶行為審計、安全管理中心。

         2 用戶層安全防護

         2.1 用戶身份合法性檢測――身份認證

         一般對用戶身份認證最常見的方式是采用“用戶名+密碼”進行認證，這種身份認證方式安全保障系數低，存在重大的安全漏洞，由于“用戶名+密碼”的方式的安全防護強度非常，對于黑客和非法入侵者來說只要盜取了相關用戶身份憑證，同時由于用戶經常采用弱口令，這樣黑客和非法入侵者就能以任何一臺設備進入網絡，從而產生安全問題甚至安全事故;另外，內部員工還可以憑借本人或其他人的用戶名及密碼利用任一臺未經過安全狀態檢查的設備進行入網絡，這臺設備就會對整個網絡系統的安全產生威脅，因為被利用的設備沒有經過安全狀態的檢查，設備自身存在的病毒、間諜軟件、木馬程序等惡意程序就可能在網絡爆發和泛濫，嚴重威脅網絡系統的安全。

        首先在企業網內部，接入終端一般是通過交換機接入企業網絡。這些接入終端的安全狀態將直接影響整個網絡的運行安全。為了確保只有符合企業安全標準的用戶接入網絡，EAD可以通過交換機的配合，強制用戶在接入網絡前通過802.1x方式進行身份認證和安全狀態評估，幫助管理員實施企業安全策略業內最廣泛的接入方式支持。同時EAD端點準入解決方案支持最廣泛的接入方式，包括：802.1x、Portal、VPN、無線等多種認證接入方式，是業界目前支持接入方式種類最全的，可以滿足用戶在各種組網環境下實現用戶接入認證

EAD iNode客戶端支持無線接入

EAD iNode客戶端支持802.1x、VPN、Portal接入

        除基于用戶名和密碼的身份認證外，EAD還支持身份與接入終端的MAC地址、IP地址、所在VLAN、接入設備IP、接入設備端口號等信息進行綁定，支持智能卡、數字證書認證，增強身份認證的安全性，從而徹底杜絕了帳號盜用和非法接入等情況的出現。下圖為EAD安全策略服務器側的配置界面截圖：

        另外EAD安全策略服務器具備綁定信息自學習功能，自動學習綁定信息，可以減少管理員手工錄入的工作量;支持一個用戶綁定多對IP和MAC地址，有效解決單用戶多終端問題。

          2.2 用戶身份合法性檢測――內網外聯管理

         為了提高網絡安全防護能力，會將原有內部辦公業務和訪問internet業務分開，確保內部業務的安全。這樣就會形成一個用戶有兩臺電腦來連接不同的網絡，會存在用戶可能有意或無意將屬于不同網絡的電腦混用，造成泄密。由于用“用戶名+密碼”的方式是不能識別設備特征的，為了避免泄密情況的出現，對于用戶的身份認證還需要與電腦的硬件信息綁定起來，這樣才能避免不同網絡的電腦混用的情況。另外還需要可以檢測用戶私自通過設置代理，雙網卡的方式、Modem等方式進行違反安全防護要求的網絡訪問。

        前面介紹里面提到了EAD除基于用戶名和密碼的身份認證外，EAD還支持身份與接入終端的MAC地址、IP地址、所在VLAN、接入設備IP、接入設備端口號等信息進行綁定，這樣針對每個網絡就可以設置不同的信息來與用戶名和密碼進行綁定，將對用戶認證的安全級別和強度大大提高了，這樣不同網絡的電腦就無法混用了。另外安全策略服務器與安全客戶端配合可以對各種外聯或代理進行禁止。無論用戶采用何種方式，包括IE代理、雙網卡以及內網用戶通過Modem上網等都可以進行控制，以上的禁止方式，可以進行靈活選擇，滿足不同組網需要。

         這樣通過以上兩種策略部署就可以徹底杜絕不同網絡的電腦進行混用的情況出現。

        上一期介紹了信息網絡安全加固解決方案中的EAD系統如何對日常用戶身份合法性進行檢測，通過檢測接入網絡中用戶的身份合法性，使非法用戶無法接入網絡，同時避免出現用戶將屬于不同網絡的電腦混用帶來的安全隱患，確保整個網絡的安全。

         解決了用戶身份合法性的問題，還需要考慮對用戶接入網絡時的安全狀態進行檢測，對于不符合安全狀態的用戶即使通過身份合法性檢測，也不能接入到網絡，將這些安全狀態不符合要求的用戶與網絡隔離開，待用戶將問題修復合才能接入到網絡;同時還需要用戶的安全狀態進行實時的監控，從而確保一旦用戶在線出現問題，可以根據事先制定的策略，將不符合安全狀態的用戶與網絡隔離開，確保網絡中的其他用戶不受到影響，從而使整個網絡永遠出一個安全的狀態。

         通過EAD系統對客戶端的系統補丁、防病毒軟件及病毒庫、Windows登陸口令、應用軟件安裝等情況進行檢測和監控，通過對客戶端安全狀態進行全面的評估確保用戶安全的接入網絡。同時在客戶端安全狀態評估后也提供了不同處理方式，使網絡安全檢查工作部署的更便捷、更人性化。

         2.3 客戶端安全狀態評估――系統補丁、防病毒軟件及病毒庫檢測

        目前，網絡基礎設施成為黑客主要的攻擊目標。網絡安全形勢日漸嚴峻，病毒、網絡蠕蟲、惡意軟件、特洛伊木馬、間諜軟件、網絡釣魚陷阱、互聯網郵件病毒以及拒絕服務(DOS)攻擊等各種安全威脅事件成指數級增長。系統漏洞、IE瀏覽器漏洞、郵件漏洞也給病毒的傳播和攻擊的泛濫造成可乘之機。在眾多的網絡安全事件背后，普遍存在的事實是多數用戶終端的安全狀態存在安全隱患，用戶終端的系統補丁、病毒庫版本不及時更新的終端，容易遭受外部攻擊，另外已感染病毒的終端，會對網絡中的其他設施發起攻擊。為了使用戶和網絡都更加安全，需要對于用戶客戶端的安全狀態進行評估，確保符合網絡安全規定的用戶才可以接入到網絡。

EAD系統首先在用戶的身份認證獲得通過，再對用戶的接入設備進行安全狀態評估(包括防病毒軟件，系統補丁等)，根據安全狀態的檢查結果實施接入控制策略，使健康的用戶進入網絡，不健康的用戶放在隔離區強制進行病毒庫或補丁的升級，從而使入網的用戶和設備有較高的健康度和可信度。EAD通過對終端安全狀態的檢查，使得只有符合企業安全標準的終端才能正常訪問網絡，同時，配合不同方式的身份驗證技術(802.1x、Portal等)，可以確保