中國電信股份有限公司上海研究院是中國電信集團(tuán)公司產(chǎn)品開發(fā)和業(yè)務(wù)研究的主要科研機(jī)構(gòu)，是中國電信集團(tuán)研發(fā)和創(chuàng)新體系的重要組成部分，是中國電信股份有限公司上海公司的主要科研基地。

　　研究院擁有雄厚的科研基礎(chǔ)設(shè)施，強(qiáng)大的科研開發(fā)團(tuán)隊(duì)和高水平的研發(fā)成果，院內(nèi)目前擁有產(chǎn)品開發(fā)、業(yè)務(wù)研究、技術(shù)支撐等各類專業(yè)人員300余名。研究院一直致力于中國電信產(chǎn)品創(chuàng)新，不斷為公司開發(fā)出可贏利的產(chǎn)品，成為“創(chuàng)新能力強(qiáng)、價值貢獻(xiàn)大”的行業(yè)一流研發(fā)機(jī)構(gòu)。

　　在07到08年兩年時間內(nèi)，電信上海研究院考察、測試了多家廠商的桌面安全系統(tǒng)，并最終選擇H3C作為終端準(zhǔn)入控制解決方案的供應(yīng)商，并成功應(yīng)用于全院網(wǎng)絡(luò)。

　　網(wǎng)絡(luò)現(xiàn)狀

　　研究院終端分為有線接入網(wǎng)絡(luò)和無線接入網(wǎng)絡(luò)兩種，其中，不同的終端分布于不同的部門，因此對于不同終端的訪問權(quán)限，需要進(jìn)行嚴(yán)格的控制。

　　網(wǎng)絡(luò)中還存在一些HUB設(shè)備，研究院希望在保留HUB應(yīng)用的同時，可以對HUB下的終端也同樣可以實(shí)施管理策略。

　　由于來研究院交流的外來用戶很多，導(dǎo)致網(wǎng)絡(luò)中會存在大量的病毒，而終端上部署的Norton殺毒軟件往往不能及時更新病毒庫，因此給研究院內(nèi)網(wǎng)正常運(yùn)轉(zhuǎn)帶來很大的困擾，隨病毒泛濫的還有ARP攻擊報(bào)文。

　　研究院盡管在先前部署了微軟的WSUS補(bǔ)丁服務(wù)器，但仍然存在大量終端未及時更新補(bǔ)丁導(dǎo)致系統(tǒng)崩潰的問題。

　　上述問題的存在，給研究院終端管理帶來了很大工作量，研究院考察和測試了多家廠商的解決方案，經(jīng)過充分的交流和論證，最終選擇了H3C的EAD終端準(zhǔn)入控制解決方案。

　　EAD解決方案實(shí)施

　　H3C針對研究院網(wǎng)絡(luò)部署的特點(diǎn)，提出了綜合的解決措施，其網(wǎng)絡(luò)拓?fù)涫疽鈭D所示：
 

　　研究院網(wǎng)絡(luò)接入分成三個部分，包括通過思科設(shè)備有線接入、華為設(shè)備有線接入以及寬迅設(shè)備無線接入。對于支持標(biāo)準(zhǔn)802.1X認(rèn)證的思科設(shè)備和華為設(shè)備，EAD直接與其配合進(jìn)行終端準(zhǔn)入控制；對于寬訊設(shè)備，EAD通過在線部署EAD網(wǎng)關(guān)S5500-28C-EI的方式對無線接入用戶進(jìn)行終端準(zhǔn)入控制。同時，EAD可以與Norton病毒服務(wù)器和WSUS補(bǔ)丁服務(wù)器進(jìn)行了配合聯(lián)動。

　　EAD應(yīng)用效果

• 依賴于標(biāo)準(zhǔn)協(xié)議的設(shè)備配合

　　在整個實(shí)施方案中，EAD系統(tǒng)使用標(biāo)準(zhǔn)802.1X協(xié)議以及Portal協(xié)議與設(shè)備交互，能夠與設(shè)備無縫配合來控制用戶終端，且不會造成設(shè)備的性能問題。EAD系統(tǒng)支持終端用戶通過有線或無線聯(lián)入網(wǎng)絡(luò)，兩種接入方式對于管理員和使用者而言都沒有操作上的區(qū)別，屏蔽了操作差異化的同時還支持對HUB下掛接入用戶的支持，保證了系統(tǒng)的安全。

• 統(tǒng)一直觀的終端管理

　　EAD系統(tǒng)可以對全網(wǎng)設(shè)備和接入用戶終端進(jìn)行統(tǒng)一管理，對于設(shè)備狀態(tài)、端口狀態(tài)、用戶上線/下線狀態(tài)、終端安全狀態(tài)、終端資產(chǎn)狀態(tài)一目了然，十分方便于管理員進(jìn)行報(bào)表生成、匯總等。

• 靈活而人性化的準(zhǔn)入控制

　　EAD系統(tǒng)支持對“非法”接入用戶進(jìn)行多種處理模式，除了傳統(tǒng)的下線、隔離“硬處理“模式外，還支持提醒、記錄等”軟處理“模式（而不影響用戶正常上網(wǎng)），這樣靈活的處理方式十分適合于管理員初次部署EAD系統(tǒng)，也十分適合于一些高層領(lǐng)導(dǎo)以及一些對IT操作不是十分熟練的老專家使用。

　　同時，系統(tǒng)支持將不同部門終端用戶進(jìn)行網(wǎng)絡(luò)層面的區(qū)分，保證用戶可訪問網(wǎng)絡(luò)權(quán)限的安全性。

• 功能豐富的終端控制功能

　　EAD系統(tǒng)支持客戶端快速部署、遠(yuǎn)程軟件分發(fā)等功能，管理員不需要趕赴最終用戶現(xiàn)場就可以幫助最終用戶解決從安裝到調(diào)試的多種問題。同時，EAD系統(tǒng)支持補(bǔ)丁的及時快速下發(fā)，并能夠?yàn)樽罱K用戶進(jìn)行病毒庫的升級，保證用戶終端是一個安全的系統(tǒng)。

• 嚴(yán)格的用戶行為審計(jì)

　　EAD系統(tǒng)可以嚴(yán)格配合網(wǎng)絡(luò)/設(shè)備來對用戶進(jìn)行控制，同時可以監(jiān)視終端用戶的上網(wǎng)行為以及U盤使用情況，十分符合企業(yè)內(nèi)部安全法規(guī)和條例，滿足SOX法案對中國電信這樣上市公司的強(qiáng)制要求。