行业现状和挑战
行业现状
大型制造业内部网络部署多种应用系统,如门户站点、邮件系统、ERP系统、财务系统、办公系统,在生产过程中,随着对IT系统的依赖程度的不断加大,需要保证上述系统稳定、可靠运行。在全国甚至范围内设有分支结构,为了保证各分支机构都能够快速访问总部的应用系统,在总部需要接入不同运营商的多条链路。对于合作伙伴、供应商,或者公司移动办公员工,需要安全的远程拨入到公司内网,使用各种应用系统。企业内部有大量用户需要访问Internet,导致关键应用如邮件系统、ERP系统、视频会议等系统的带宽无法得到保障。内部员工的Internet访问不受限制,经常由于访问非法网站,导致感染病毒,影响整个内部局域网。
面临的挑战
1 对于存在安全隐患的终端不能及时的发现和隔离。 | 2 网络管理仍基于传统的网络层IPMAC管理,不仅存在先天性的缺陷,而且不能快速管理定位到具体的人员和设备。 |
3 计算机网络规模庞大,园区多、终端多,缺乏有效的网络统一管理手段,导致终端的受控状态难于强制、非法的终端难以定位、非法的网络行为难以控制。如何动态评估和提高终端设备自身的安全性。 | 4 缺乏对现有计算机资产的统一管理,无法实时掌握全网所有终端系统的硬件配置和软件信息,人员构成太复杂,不知道谁在操作电脑,电脑配置是否更改,机密的资料是否带走; |
5 园区太大,需要的电脑运维人员增多,效率缓慢。 |
解决方案
LeagView UniAccess系统采用分级部署即部署“一套一级管理中心+多套二级管理中心"的方式。
一级服务器主要用于对所有二级服务器同步组织架构、安全策略、权限控制等信息;二级服务器主要用于执行安全策略、收集终端设备信息与策略审计信息、网络准入身份认证。各二级要将信息上传的一级服务器,以便于统一生成报表。总部部署2台LeagView管理服务器(一主一备),作为一级管理服务器。主要用于对所有终端进行统一的策略设置,和准入审计信息的集中收集和存放。主要用于对所有终端进行统一的策略设置,和准入审计信息的集中收集和存放。而针对终端数量超过500的比较大型的园区,对系统可用性要求较高,自主管理和维护能力也较强。部署2台LeagView管理服务器(一主一备),作为二级管理服务器,用于对本园区的终端进行准入控制的放行和审计。针对终端数量小于500的园区,由于其对系统可用性,及系统自主管理和维护能力较弱。建议只部署1台LeagView服务器,来作为二级管理服务器,用于对本园区的终端进行准入控制的放行和审计。而直接将一级服务器上的radius服务器,作为园区终端的备radius服务器。
网络准入控制采用NACC准入控制硬件网关实现,采用通过在核心交换机旁挂NACC准入控制硬件网关,通过策略路由的方式将客户端数据库指向NACC,由NACC实现准入控制。麓谷园区总部放置2台NACC实现主备管理,当一台NACC出现故障时,另一台NACC会自动接管准入认证过程。
数据防模块,结合DLP业务防泄漏技术、桌面安全管理技术与加密U盘技术三种技术达到了业务防泄露的效果。其中DLP业务数据防泄露实现,主要控制OA、CRM、SAP、营销系统等业务系统加圈,强制让受保护的业务系统数据保存到O盘(虚拟业务计算机环境),O盘的数据不能随意导出、复制、打印与截屏,如要离开O盘业务环境需要通过审批,确保业务系统数据的安全;桌面安全管理技术实现,通过个人防火墙、打印审计、文件操作审计、非外联策略,来实现公司管理上的要求;加密U盘实现,企业内部数据使用加密U盘传输,保证企业内部数据的安全。
客户价值
实现内网终端网络准入身份实名制认证:对内网终端,包括固定终端和移动终端,都必须进行身份识别(与AD、系统新增内置账户进行配合)和可信验证,确认是内部可信终端才能允许接入网络,否则会被网络准入阻止接入,并通过HTTP重定向提醒终端用户。
实现外部终端采用访客方式接入:针对外来临时访客,实现支持基于周期、基于时限、基于权限给外来人员生成访客放行码。 针对网络中特殊设备,采用白名单方式在网络准入系统中做例外,并通过ACL权限来控制终端网络安全。
实现业务数据防泄露:保护了OA、CRM、SAP、营销系统等业务系统数据,无法被非法窃取和泄露。
落实公司基本的终端安全制度:如禁止非法外联;涉密终端实施打印审计;软件黑名单管控;U盘不能运行可执行程序等。
成功案例
格力集团、海尔集团、中联重科、广汽研究院、奇瑞汽车、南车时代、玉柴重工、立白集团、梦洁家纺、红塔集团、欧普照明等等。
