1.1 金融終端"多樣化"

目前，在金融網(wǎng)絡(luò )中，用戶(hù)的終端計算機不及時(shí)升級系統補丁和病毒庫、私設代理服務(wù)器、私自訪(fǎng)問(wèn)外部網(wǎng)絡(luò )、濫用企業(yè)禁用軟件的行為比比皆是，脆弱的用戶(hù)終端一旦接入網(wǎng)絡(luò )，就等于給潛在的安全威脅敞開(kāi)了大門(mén)，使安全威脅在更大范圍內快速擴散，進(jìn)而導致網(wǎng)絡(luò )使用行為的"失控"。

保證用戶(hù)終端的安全、阻止威脅入侵網(wǎng)絡(luò )，對用戶(hù)的網(wǎng)絡(luò )訪(fǎng)問(wèn)行為進(jìn)行有效的控制，是保證金融網(wǎng)絡(luò )安全運行的前提，也是目前金融行業(yè)用戶(hù)急需解決的問(wèn)題。

另外金融用戶(hù)目前使用的終端多種多樣，如:PC、移動(dòng)終端（pad、手機等）、網(wǎng)絡(luò )打印機、網(wǎng)絡(luò )驗鈔機、IP電話(huà)、ATM機等，網(wǎng)絡(luò )的接入類(lèi)型也多種多樣，如：有線(xiàn)、WLAN、3G\4G等，如果在不同的網(wǎng)絡(luò )接入環(huán)境下實(shí)現對不同類(lèi)型終端的安全管理，是金融行業(yè)面臨的安全需求。

1.2 傳統PC類(lèi)終端準入控制

傳統PC類(lèi)終端，是指采用常見(jiàn)操作系統（如：windows、linux等）的PC類(lèi)終端（如：臺式機、筆記本等），通過(guò)與不同網(wǎng)絡(luò )接入，EAD解決方案可在多種應用場(chǎng)景中實(shí)現用戶(hù)終端安全準入控制，滿(mǎn)足不同網(wǎng)絡(luò )環(huán)境下，終端安全準入控制的需要。

1.2.1 有線(xiàn)終端準入控制

有線(xiàn)終端準入以常見(jiàn)的802.1x認證為例（也可以采用Portal認證），將接入層設備（或匯聚層設備）作為安全準入控制點(diǎn)，對試圖接入網(wǎng)絡(luò )的用戶(hù)終端進(jìn)行安全檢查，強制用戶(hù)終端進(jìn)行防病毒、操作系統補丁等企業(yè)定義的安全策略檢查，防止非法用戶(hù)和不符合企業(yè)安全策略的終端接入網(wǎng)絡(luò )，降低病毒、蠕蟲(chóng)等安全威脅在企業(yè)擴散的風(fēng)險。

EAD可以與支持802.1x的交換機（二層、三層均可）實(shí)現完美配合。用戶(hù)的ACL可以在認證通過(guò)后由IMC EAD下發(fā)給接入設備，由設備動(dòng)態(tài)控制用戶(hù)的訪(fǎng)問(wèn)權限；也可以在用戶(hù)認證通過(guò)后由IMC EAD將所屬的VLAN可以在下發(fā)給接入設備，由接入設備動(dòng)態(tài)設置用戶(hù)所屬的VLAN。通過(guò)與網(wǎng)絡(luò )設備的配合可以實(shí)現基于用戶(hù)的訪(fǎng)問(wèn)權限動(dòng)態(tài)控制，限制用戶(hù)對內部敏感服務(wù)器和外部非法網(wǎng)站的訪(fǎng)問(wèn)。

1.2.2 無(wú)線(xiàn)終端準入控制

無(wú)線(xiàn)終端準入控制以常見(jiàn)的portla認證為例（也可以采用802.1x認證），推薦使用一臺或多臺網(wǎng)關(guān)設備作為強制認證控制器，使用基于Portal的認證協(xié)議，與iNode客戶(hù)端、安全策略服務(wù)器配合完成EAD終端準入控制。

Portal認證是一種Web方式的認證，Web認證同802.1x認證相比，具有應用簡(jiǎn)單的優(yōu)勢。但在EAD解決方案中，需要使用iNode客戶(hù)端來(lái)進(jìn)行終端的安全狀態(tài)檢測和控制，因此在Web認證的基礎上，擴展了Portal協(xié)議，使之不僅能夠處理HTTP協(xié)議，還可以控制其他協(xié)議的數據流，使EAD解決方案也支持Portal認證方式下的終端準入控制。

無(wú)線(xiàn)局域網(wǎng)的安全問(wèn)題主要體現在訪(fǎng)問(wèn)控制和數據傳輸兩個(gè)層面。在訪(fǎng)問(wèn)控制層面上，非授權或者非安全的客戶(hù)一旦接入網(wǎng)絡(luò )后，將會(huì )直接面對企業(yè)的核心服務(wù)器，威脅企業(yè)的核心業(yè)務(wù)，因此能對無(wú)線(xiàn)接入用戶(hù)進(jìn)行身份識別、安全檢查和網(wǎng)絡(luò )授權的訪(fǎng)問(wèn)控制系統必不可少。 在無(wú)線(xiàn)網(wǎng)絡(luò )中，結合使用EAD解決方案，可以有效的滿(mǎn)足園區網(wǎng)的無(wú)線(xiàn)安全準入的需求。

1.3 移動(dòng)終端準入控制

移動(dòng)終端是指采用蘋(píng)果IOS、安卓等移動(dòng)操作系統的平板電腦或手機，隨著(zhù)移動(dòng)終端及無(wú)線(xiàn)WLAN、3G、\4G技術(shù)的不斷發(fā)展，金融行業(yè)也開(kāi)始使用移動(dòng)終端進(jìn)行業(yè)務(wù)辦理，如：金融移動(dòng)業(yè)務(wù)拓展、營(yíng)業(yè)網(wǎng)點(diǎn)"廳堂"智能營(yíng)銷(xiāo)、員工移動(dòng)辦公應用等

移動(dòng)終端如果采用內網(wǎng)WIFI接入方式，建議采用802.1x認證或Portal認證方式；如采用內網(wǎng)3G\4G (如：VPDN)接入方式，建議采用PPP CHAP認證；如外網(wǎng)WIFI、3G\4G方式接入，為保證數據及身份安全建議采用SSL VPN認證。