解决方案  >  企业集团网络安全解决方案
  盈高科技安全准入系统能够有效地对违规设备进行入网控制,管理员能够及时了解新设备的入网情况,并依据其身份和安全性进行相应的权限审核,有效地搭建 了内网的整体安全防御平台,极大地提高了信息部门的人员工作效率,对网络中的许多安全风险都进行了预防和告警,对企业的网络正常运行提供了有效的安全支 撑。
  盈高科技网络准入控制解决方案本质就是动态的风险管理过程,通过对终端安全规范及网络准入策略遵从的控制,从内网的接入源头上解决信息安全所面临的各种问题,有效保障业务系统及应用的持续发展。

方案介绍

客户名称:中南勘测设计研究院
所属行业:国家甲级勘测设计企业
客户简介:中南勘测设计研究院(以下简称“中南院”)隶 属中国水电工程顾问集团公司的综合性大型国家甲级勘测设计企业。主要从事国内外水电水利工程和风电工程的勘察、设计和科研试验保护、水土保持工程设计、工 程咨询、工程监理、岩土工程治理和施工、工程总承包及相关技术服务中介等。拥有一批国内资深的工程建设专家,具有先进的管理和技术水平,优良的生产设备和 基础设施,是国内专业配套齐全、技术实力雄厚的勘测设计研究院。
 
 
应用背景:
做为国家重要企业,长期以来一直十分重视信息化建设,内部网络经过多年建设已经初步成型,目前中南院有终端数量约4500。在安全方面中南院已经部署了防火墙、VPN、负载均衡、数据备份系统等,但是随着网络应用的增加感觉到在终端的准入安全管理上需要进一步加强,因此开始部署微软的网络访问保护(NAP)。但是部署以来出现以下不便之处:客户端安装非常复杂,需要专业IT人员才能进行;采用802.1X进行准入控制,没有提示界面,交换机一个端口有机器认证通过,则整个该端口的机器全部通过。由此造成NAP部署的停止。
 
客户需求:
就目前人员数量众多,终端使用覆盖面广,外来人员出入频繁等情况,为确保各个终端的正常使用,应用系统问题运行,对入网终端及设备进行相应的安全规范管理。
 
安全目标:
目前在终端安全准入方面需要解决的问题是:
  1. 能自动提供引导界面。
  2. 不需要进行强力的桌面操作监督控制。
  3. 准入认证系统的认证与AD域进行结合,且不需要在准入控制时输入用户名和密码,从而实现通过原有AD域的统一身份认证。
  4. 在域中有账号,但是无法登陆域的机器(如:HOME版操作系统),也可以通过准入认证,且账号是使用AD域中的。
  5. 可以控制在AD域中没有账号的用户(如外来人员)可以访问互联网,但是不能访问内网及内网服务器。也可以控制不能访问内网和互联网。
 
解决方案:
通过中南院信息中心相关人员和盈高科技专业团队的详细交流和规划,最终决定采用盈高科技TMASM(入网规范管理系统)做为整个项目的准入平台,为所有的网络终端搭建起了一套标准的准入“门禁”,提升了系统的整体安全性,也为中南院不断拓展的业务提供了有力的保障。
 
 平台建设效果:

    1.提供引导界面并结合AD域进行身份确认
       使通过入网规范管理系统进行认证的用户名、密码与中南院原有的AD域进行结合,达到统一认证的目的。系统将对每一个新入网的终端在进行安全检查、身份确认时自动提供引导界面。

    2.根据要求对终端安全进行相关规范检查
       确定终端的入网身份之后进行安全检查,检查的频度可以进行设置(一天、一周、一月或自定义),检查项目根据中南院对于终端安全的具体需求进行设置。主要包括   对于公司内部所属设备分部门进行安全合规性的检测,主要包括杀毒软件检查、补丁检查、软件安装检查等。对于不符合安全要求的设备进行自动修复(如自动打补丁)或引导修复(如引导至杀毒软件服务器),修复合格后的设备允许正常入网。

    3.网络访问权限控制
       采用入网规范管理系统中“安全域”与“用户角色”的概念灵活的控制终端对于网络的访问。为不同的角色定义每一种角色可访问的安全域。如既是AD域中存在的用户,终端又是安全的用户可以访问全网。不是AD域中存在的用户(即来宾),或者终端的安全性没有通过检查,则只能访问限制的区域。
    4.相关报表信息
       在整个入网规范管理系统上能够对全网形成按日、周、月及年度的整体安全视图,包括入网设备数量、身份归属、安全性评估、修复状况评估、违规状况统计等。
 
用户收益:
接入可控:通过部署入网规范管理系统,确保了信息中心对全网终端进行接入控制,实现了终端入网安全规范的信息管理。
网络安全:通过部署准入控制系统,不仅解决了外来人员随意入网的问题,也再未发生过因个别不安全终端导致的内网大面积堵塞和瘫痪,原先层出不穷的内部人员违规网络行为也得到了有效的杜绝,为中南院核心业务的持续和稳定运行提供了可靠的支撑和保证。
数据安全:通过部署准入控制系统,杜绝非法终端进行非法访问,合规受控的终端才能够获得相应的访问权限,杜绝移动介质随意接入网络,保证了中南院的核心业务数据不外泄。
外联安全:通过部署准入控制系统,杜绝非法终端进行内网访问,杜绝了内网终端非法访问外网,也有效切断感染蠕虫病毒的非受控终端对合规终端的病毒感染和传播。
通过本次项目,整个网络的安全性和可靠性得到了加固;对全网终端的接入进行了控制,确保业务网的安全;对每个接入网络的终端进行了接入审核,确保终端安装了最新的防病毒软件,重要补丁都得到安装等。