端點準入防御(EAD，Endpoint Admission Defense)解決方案從網絡接入端點的安全控制入手，通過安全客戶端、安全策略服務器、網絡設備以及第三方軟件的聯動，對接入網絡的用戶終端強制實施企業安全策略，加強網絡用戶終端的主動防御能力，并嚴格控制終端用戶的網絡使用行為，保護網絡安全。

  概述

    在互聯網技術的發展應用過程中，伴隨著網絡應用軟硬件技術的快速發展，網絡信息安全問題日益嚴重，新的安全威脅不斷涌現，特別是金融行業、其數據的特殊性和重要性、更成為黑客們攻擊的重要對象，針對目前金融系統計算機犯罪頻率越來越高，手段越來越復雜，銀行損失金額越來越大。

  目前金融系統網絡安全威脅主要有：

    1.通過攻擊接口進行非法入侵 ：根據各級局域網、廣域網、及服務器接口的情況，可以通過下面幾種方式進行攻擊：業務系統拒絕服務；通過猜測獲得內部主機其他服務的訪問權限；內部網絡拓撲信息外泄；局域網中數據的截獲。

    2.針對系統自身存在缺陷進行攻擊：利用系統(包括操作系統、支撐軟件及應用系統)固有的或系統配置及管理過程中的安全漏洞，穿透或繞過安全設施的防護策略，達到非法訪問直至控制系統的目的，并以此為跳板，繼續攻擊其他系統。此類攻擊手段包括隱通道攻擊、特洛伊木馬、口令猜測、緩沖區溢出等。

    網絡安全問題的解決，三分靠技術，七分靠管理，嚴格管理是金融機構及用戶免受網絡安全問題威脅的重要措施。根據調查表明，網絡安全的威脅60%來自網絡內部，網絡用戶不及時升級系統補丁、升級病毒庫的現象普遍存在；私設代理服務器、私自訪問外部網絡、使用網絡管理員禁止使用的軟件等行為在金融系統內部網絡中也比比皆是。如果只是通過防火墻和在網絡設備上配置一系列訪問控制策略是無法完全避免各種安全威脅的，而必須從用戶接入終端-網絡設備-中心服務器提供一系列端到端的安全解決方案。所以首先要從網絡接入端點的安全控制入手，對接入網絡的用戶終端強制實施企業安全策略，加強網絡用戶終端的主動防御能力。

    針對接入層用戶的安全威脅，特別是來自應用層面的安全隱患，防止黑客對核心層設備及服務器的攻擊，我們必須在接入層設置強大的安全屏障，華為3Com公司推出了端點準入防御(EAD)解決方案，該方案從網絡用戶終端準入控制入手，整合網絡接入控制與終端安全產品，通過安全客戶端、安全策略服務器、網絡設備以及第三方軟件的聯動，對接入網絡的用戶終端強制實施企業安全策略，嚴格控制終端用戶的網絡使用行為，加強網絡用戶終端的主動防御能力，保護網絡安全。

  EAD簡介

    原理

    EAD解決方案提供企業網絡安全管理的平臺，通過整合孤立的單點防御系統，加強對用戶的集中管理，統一實施企業網絡安全策略，提高網絡終端的主動抵抗能力。其基本原理圖如下：

    EAD系統由四部分組成，具體包括安全策略服務器、安全客戶端平臺、安全聯動設備和第三方服務器。

    安全策略服務器是EAD方案中的管理與控制中心，是EAD解決方案的核心組成部分，實現用戶管理、安全策略管理、安全狀態評估、安全聯動控制以及安全事件審計等功能。目前華為3Com公司的CAMS產品實現了安全策略服務器的功能，該系統在全面管理網絡用戶信息的基礎上，支持多種網絡認證方式，支持針對用戶的安全策略設置，以標準協議與網絡設備聯動，實現對用戶接入行為的控制，同時，該系統可詳細記錄用戶上網信息和安全事件信息，審計用戶上網行為和安全事件。

    安全客戶端平臺是安裝在用戶終端系統上的軟件，該平臺可集成各種安全廠商的安全產品插件，對用戶終端進行身份認證、安全狀態評估以及實施網絡安全策略。

    安全聯動設備是企業網絡中安全策略的實施點，起到強制用戶準入認證、隔離不合格終端、為合法用戶提供網絡服務的作用。CAMS綜合接入管理平臺作為安全策略服務器，提供標準的協議接口，支持同交換機、路由器等各類網絡設備的安全聯動。

    第三方服務器為病毒服務器、補丁服務器等第三方網絡安全產品，通過安全策略的設置實施，第三方安全產品的功能集成至EAD解決方案種，實現安全產品功能的整合。

    EAD原理應用EAD系統實現終端安全準入的流程：

    1. 用戶終端試圖接入網絡時，首先通過安全客戶端上傳用戶信息至安全策略服務器進行用戶身份認證，非法用戶將被拒絕接入網絡；

    2. 合法用戶將被要求進行安全狀態認證，由安全策略服務器驗證補丁版本、病毒庫版本等信息是否合格，不合格用戶將被安全聯動設備隔離到隔離區；

    3. 進入隔離區的用戶可以根據企業網絡安全策略，通過第三方服務器進行安裝系統補丁、升級病毒庫、檢查終端系統信息等操作，直到接入終端符合企業網絡安全策略；

    4. 安全狀態合格的用戶將實施由安全策略服務器下發的安全設置，并由安全聯動設備提供基于身份的網絡服務。