北京煙草市局（公司）計算機廣域網(wǎng)是一個局域計算機網(wǎng)絡（LAN）與廣域網(wǎng)絡（WAN）相結(jié)合的網(wǎng)絡系統(tǒng)，是以市局（公司）為北京煙草的星型網(wǎng)絡結(jié)構(gòu)。向上通過SDH專線與國家局連接；中間通過DDN專線與多家銀行連接，同時具有10M容量的互聯(lián)網(wǎng)出口；向下與煙廠、物流中心、辦公樓、18個區(qū)縣公司通過SDH專線連接，采用ISDN線路作專線的備份。各個區(qū)縣公司建立了撥號接入系統(tǒng)，可以支持下屬單位（零售部）的電話撥入訪問區(qū)縣公司網(wǎng)絡。

　　應用背景

　　北京煙草廣域網(wǎng)包括卷煙訪銷配送系統(tǒng)、市局業(yè)務平臺、集中式電話訂貨系統(tǒng)、IC卡結(jié)算、專賣管理系統(tǒng)、國家局“一號工程”和北京煙草視頻會議等廣域網(wǎng)系統(tǒng)。隨著北京煙草信息化建設不斷發(fā)展，北京煙草行業(yè)數(shù)字化時代已全面來臨，行業(yè)網(wǎng)絡規(guī)模將不斷擴大，應用系統(tǒng)的不斷深入和擴大，涉及的部門和信息也越來越多，網(wǎng)絡管理的難度將不斷加大。目前業(yè)界多數(shù)企業(yè)、機構(gòu)都缺乏有效的制度和手段管理網(wǎng)絡，如終端用戶不及時升級系統(tǒng)補丁、升級病毒庫的現(xiàn)象普遍存在；隨意接入網(wǎng)絡、私設代理服務器、私自訪問保密資源、非法盜用他人地址帳號、利用非法軟件獲取利益等行為在企業(yè)中也比比皆是，綜合管理效率和效果受到了很大影響。北京煙草也存在此類問題，管理的欠缺不僅會直接影響用戶網(wǎng)絡的正常運行，還可能使企業(yè)自身蒙受巨大的商業(yè)損失，必須有一套完善的網(wǎng)絡管理解決方案來加強網(wǎng)絡資源管理、全網(wǎng)終端安全控制等問題，并滿足國家信息安全等級保護工作的要求。

　　為了有效實現(xiàn)用戶終端安全準入控制，需要實現(xiàn)終端安全信息采集點、終端安全信息決策點和終端安全信息執(zhí)行點的分離，同時還需要提供有效的技術手段，對用戶終端存在的安全問題進行修復，使之符合企業(yè)終端安全策略，順利接入網(wǎng)絡進行工作。

　　系統(tǒng)方案部署評估北京煙草現(xiàn)網(wǎng)情況，經(jīng)過仔細分析考慮，采用增加H3C EAD安全準入網(wǎng)關的方式靈活擴展部署，并通過核心交換機旁掛的方式保證網(wǎng)絡系統(tǒng)的可靠性，選擇Portal+協(xié)議進行終端身份認證的系統(tǒng)方案。在這種組網(wǎng)環(huán)境下由安全準入網(wǎng)關采用Portal+認證協(xié)議對接入用戶進行準入控制，網(wǎng)絡中心部署H3C iMC管理中心服務器與安全準入網(wǎng)關通過RADIUS協(xié)議進行通信，由H3C EAD終端準入控制產(chǎn)品完成對用戶身份的認證、安全狀態(tài)的檢測實現(xiàn)安全準入策略的控制。Portal+方式的安全準入方案管理和組網(wǎng)相對簡單，在不改動現(xiàn)有網(wǎng)絡基礎設施的前提下可以很好的完成對用戶的終端準入控制，尤其適合網(wǎng)絡設備品牌不一的網(wǎng)絡環(huán)境中。

　　在核心層交換機旁掛安全準入網(wǎng)關做三層Portal+認證時，核心交換機連接到安全準入網(wǎng)關的雙向鏈路都為三層鏈路，且都運行路由協(xié)議。同時，在核心交換機上需要配置策略路由，將源地址為認證網(wǎng)段的報文重定向到安全準入網(wǎng)關上進行Portal+認證�？蛻舳嗽L問認證網(wǎng)段的數(shù)據(jù)流被重定向到安全準入網(wǎng)關上，通過認證后去往認證網(wǎng)段。返回的數(shù)據(jù)流不經(jīng)過旁掛的安全準入網(wǎng)關設備，直接返回到客戶端。對于去往非認證網(wǎng)段的數(shù)據(jù)流則可以直接到達目的地。

　　系統(tǒng)特點

　　在北京煙草網(wǎng)絡終端安全準入系統(tǒng)項目中，我們根據(jù)北京市煙草專賣局當前的需求和未來的發(fā)展，考慮全局，堅持長遠發(fā)展規(guī)劃，建設成一個起點高、安全可靠、易于擴充和升級、便于管理和使用的系統(tǒng)。北京煙草終端安全準入系統(tǒng)具有如下特點：

　　嚴格的身份認證。除可采用用戶名和密碼的身份認證外，安全準入還支持身份與接入終端的MAC地址、IP地址等信息進行綁定，支持智能卡、數(shù)字證書認證，增強身份認證的安全性。

　　完備的安全狀態(tài)評估。根據(jù)管理員配置的安全策略，安全準入客戶端能夠?qū)�終端進行包括病毒庫版本、補丁、安裝的應用軟件、代理、撥號配置等安全認證檢查；同時，此終端準入系統(tǒng)還支持和微軟SMS/WSUS系統(tǒng)的配合使用，支持和瑞星、江民、金山、Symantec、McAfee、Trend Micro、卡巴斯基等國內(nèi)外主流防病毒廠商聯(lián)動。

　　基于角色的網(wǎng)絡授權。安全準入可基于終端用戶的角色，向安全聯(lián)動設備下發(fā)事先配置的接入控制策略，按照用戶角色權限規(guī)范用戶的網(wǎng)絡使用行為。

　　用戶與網(wǎng)絡融合管理。終端準入方案將用戶管理和網(wǎng)絡管理進行了智能融合，通過網(wǎng)絡拓撲不僅能夠了解到網(wǎng)絡設備信息和狀態(tài)，還可以實現(xiàn)對接入用戶的直觀管理，實現(xiàn)查看用戶信息、強制用戶下線、執(zhí)行安全檢查等操作。

　　靈活的安全策略模式。針對不同身份的用戶，定制不同的安全檢查和處理模式，包括VIP模式、Guest模式、隔離模式和下線模式。

　　桌面資產(chǎn)管理。通過終端準入客戶端提供了對網(wǎng)絡終端資產(chǎn)全方位的監(jiān)控和管理的功能，可以對網(wǎng)絡終端軟硬件使用情況、變更情況進行監(jiān)控，同時還支持網(wǎng)絡終端資產(chǎn)的配置管理和軟件的統(tǒng)一分發(fā)，實現(xiàn)對資產(chǎn)的有效管理。

　　應用效果

　　北京煙草網(wǎng)絡終端安全準入系統(tǒng)部署后，實現(xiàn)了網(wǎng)絡用戶在接入網(wǎng)絡前，通過統(tǒng)一管理的安全策略強制對用戶身份進行認證，檢查用戶的IP、MAC地址是否合法及終端安全狀態(tài)，并根據(jù)對用戶終端安全狀態(tài)的檢查結(jié)果實施接入控制策略，對不符合安全標準的用戶進行病毒庫升級、系統(tǒng)補丁升級等操作；在保證用戶終端具備自防御能力并安全接入的前提下，可以動態(tài)合理控制用戶的網(wǎng)絡權限，從而提升網(wǎng)絡的整體安全防御能力。并融合豐富的業(yè)務管理系統(tǒng)，實現(xiàn)設備、用戶、業(yè)務的統(tǒng)一管理手段，大大提升了網(wǎng)絡的使用效率及管理效率，為北京煙草IT信息化建設邁上了新的臺階，達到了全新的安全等級及高效的管理手段。