|
对于国内众多的制造业客户而言,管理者需要维护的网络主要有地域分布广,整体规模大,设备繁多,数据流量大等特点,且对数据的安全性,网络的稳定性和终端设备的可管理性要求较高,因此对网络投入也较大,各种网络设备如防火墙、IPS、IDS、VPN等各种用途的网络设备陈列在网络机房之中,还有数量较多的服务器,如OA系统,ERP系统、考勤系统等等,每个组成都在网络中充当了重要角色。
作为玻璃纤维行业的专业制造商巨石集团目前是亚洲玻纤的领军企业,多年来一直在规模、技术、市场、效益等方面处于领先地位。伴随着自身产业快速发展的同时,数据及信息量也与日俱增,集团公司也更加重视自身整体的信息化建设,对安全管理也提出了新的建设需要:要求在实现对外部网络防护的同时,也需要保证内部网络的安全性,防止来自内部的攻击威胁,确保集团数据信息的保密性、安全性和可靠性,实现整个网络内外网同治的体系。
对于目前巨石集团的公司内网而言,由于地域分布广,终端分散,且公司员工计算机水平层次不齐,不安装杀毒软件、不及时更新补丁,随意使用代理软件上网等现象屡屡发生,严重违背了公司对网络规范化使用的要求,在投入了大量的人力、物力和财力后效果仍不甚理想,总体来看,主要存在以下三大难点:
1.面对网内的安全隐患,如何才能确保每台终端设备及时做好安全防护措施?
2.面对计算机水平层次不齐的现状,如何为员工提供更为便捷的修复方式?
3.面对数量众多,相对分散的终端设备,如何才能统计每台终端设备的安全状况,提供详尽的报表信息?
做为致力于提供安全准入一体化服务的的行业领导厂商杭州盈高科技有限公司,此次特别针对巨石集团的安全建设需求提供了ASM做为整个网络规范化管理的安全平台,采用旁路方式部署的ASM安全准入平台对于本次巨石集团的信息安全建设目标十分契合,主要体现在:
首先,盈高ASM准入安全产品的功能点全面满足了巨石集团对内网安全建设的需求,同时对巨石集团提出的一些特殊功能要求,也由盈高科技专业的研发团队进行了定制开发,尽最大程度提供好本次安全服务;
其次,盈高ASM准入安全产品性能上足以支撑起巨石集团庞大的网络规模,巨石集团终端数量达2000点,且后期的集团规模扩展计划,将会把终端数量升至更高的层级,旁路部署的盈高ASM不仅在硬件性能上能够给予保证,同时在技术上也可保证网络的正常运行,旁路+宕机逃生机制的组合确保了网络的万无一失;
最后,盈高ASM准入安全产品基于无客户端模式,提供了身份认证、安全检查和“一键式”的修复机制,可实现对于不用用户角色赋予不同的权限,同时在国内率先提出了对内网的边界管理,如对私接路由器NAT环境及HUB集线器的检测,有效的防止非授权组网的行为,确保网络边界清晰与规范,对于巨石集团的整个网络规范化帮助很大。
巨石集团的ASM准入平台部署拓扑图如下所示:
图:巨石集团策略路由准入技术拓扑图
杭州盈高科技在本次项目中采用策略路由方式实现安全准入功能,同时在网内单独部署一台Linux CentOS系统的DHCP服务器实现IP-Mac绑定和IP地址自动分配的功能需求,两者的结合在整体上满足了巨石集团最初在准入控制和IP地址分配上的需求。同时,策略路由准入技术采用了独特的一进一出模式,有效避免了数据流量在单条链路上来回传输时所可能带来的瓶颈问题,且策略路由准入技术是对网络改动最小化,准入控制范围最大化的准入技术,只需在核心交换机上进行配置,便可实现同时管控外省VPN接入和总部LAN接入的全网控制目标。旁路模式和宕机逃生机制的应用可确保网络运行万无一失,不影响巨石集团整体网络的正常运行。
盈高科技本次和巨石集团的成功合作,是制造业领域应用NAC的又一次典型诠释,也充分展现了盈高科技准入控制平台对制造业领域信息安全的巨大价值。ASM极强的网络适应性、便捷的准入过程和完备的控制力度将为广大的制造业用户充分提供一体化的网络安全管理服务,巨石集团准入安全项目也将成为业内一次经典的案例参考。