无客户端NAC准入的先行者——宁波工商
<DIV>在国家对政府机构信息化建设日益重视的今天,信息安全工作也成为了各政府机构日常考核的重点。对于各政府机构而言,内网安全则成为了信息安全工作的重中之重,尤其是各类地市级机构,一般下设众多极为分散的区县办事处,在这种情况下如何快速有效地进行网络安全准入控制,并实现一定的终端安全管理目标就成为了目前许多政府机构管理者的迫切需要。<P style="TEXT-INDENT: 2em">宁波市工商行政管理局是比较典型的地级政府机关,下属余姚、慈溪、鄞州、奉化、海曙、江东、江北等16个区县的工商分局,负责进行全市产品质量监督、消费者权益保护、企业年检、企业登记等各项的执法工作,目前已经建立起了完善的电子政务系统,系统中汇集了近400个机关单位, 2500余台电脑,包括各品牌台式机、移动设备、打印机,其中还包括一定数量的无盘工作站。局相关专家领导极其重视内网中的信息安全工作,为了适应《等保》等法律法规对于内网安全的相关要求,保护网络的安全和整体规范性,提出建设内网安全准入控制系统的目标。
<P style="TEXT-INDENT: 2em">但由于宁波工商目前所辖区县众多,区县下又管理了所属的各大小机关,总数众多,且遍布宁波全市各个角落,在如此大规模的分散网络中,如何高效便捷的实施内网准入系统将成为影响项目成败的关键:
<P style="TEXT-INDENT: 2em">·如果对全电子政务网内分散各地的2500多台计算机安装桌面客户端,将产生极其巨大的工作量;
<P style="TEXT-INDENT: 2em">·如果依靠桌面客户端实现准入控制,整个平台的大量维护工作也将严重影响本次安全工程的长期运行效果;
<P style="TEXT-INDENT: 2em">·如果客户端因为意外情况出现异常,则用户将无法入网,影响日常工作,产生不良的系统适用性;
<P style="TEXT-INDENT: 2em">为此,工商局相关专家领导提出在不需要安装客户端的情况下对计算机进行认证、安全评估、安全修复和授权的项目选型原则。
<P style="TEXT-INDENT: 2em"><B>盈高科技Agentless-NAC解决方案</B>
<P style="TEXT-INDENT: 2em">盈高科技在国内率先推出的Agentless-NAC产品ASM(入网规范管理系统)最终得到了宁波市工商局的专家认可,整个平台基于国际最前沿的第三代准入技术(Appliance-based NAC)架构,一举实现了终端接入无需安装客户端,仅通过web页面即可实现全套准入流程的安全控制效果。 </P>
<DIV align=center><IMG src="http://blogimg.chinaunix.net/blog/upfile2/110419112959.jpg" onload="javascript:if(this.width>500)this.width=500;" border=0></DIV></DIV>
<DIV align=center> </DIV>
<DIV align=center>盈高科技ASM 部署示意图</DESCRIPT></DIV>
<P style="TEXT-INDENT: 2em">通过ASM的Agentless-NAC准入控制管理,成功帮助了宁波工商迅速搭建起全网2500多个接入节点上的准入控制平台,入网用户通过友好的web页面引导就可以实现包括Ukey认证、自动安全评估、自动安全修复、自动获取下发权限的整体NAC准入控制流程,完全不需要依赖安装在终端上的常驻客户端程序,充分满足了相关专家领导的项目预期。
<P style="TEXT-INDENT: 2em">整个平台部署后,实现了
<P style="TEXT-INDENT: 2em">·通过技术手段确保了规章制度顺利有效的执行,真正做到100%的执行率;
<P style="TEXT-INDENT: 2em">·通过用户名/ 密码、USB-Key认证、手机短信等多重认证方式相结合,实现全面、统一、灵活的强身份认证机制;
<P style="TEXT-INDENT: 2em">·实现市、区/县、乡镇多层次的分级分权限有序管理;
<P style="TEXT-INDENT: 2em">·人性化智能接入终端引导,对不同的接入用户采用不同管理模式,用户身份认证、终端安全性检查得到智能的流程化实现。
<P style="TEXT-INDENT: 2em"><B>无客户端准入下的Ukey身份认证</B>
<P style="TEXT-INDENT: 2em">在宁波工商本次准入项目建设中,采用Ukey方式实现了用户的入网认证,这也是目前比较典型可靠的准入身份认证类型,整个Ukey认证的流程为:
<P style="TEXT-INDENT: 2em">1.入网前检测设备是否插入UKEY,无UKEY则拒绝入网,支持用户通过短信进行认证;
<P style="TEXT-INDENT: 2em">2.入网后,一旦UKEY被拔掉,10分钟(时间可设置)之后断网;一旦桌面客户端被卸载,立即断网;
<P style="TEXT-INDENT: 2em">3.电脑在自带UKEY的情况下,每次开机后能够自动进行身份认证和安全扫描,不需要用户手动进行入网配置。
<P style="TEXT-INDENT: 2em"><B>用户评价:</B>
<P style="TEXT-INDENT: 2em">通过本次项目实施,对整个网络重新进行了安全规划和加固:一是优化了原有网络接入方式,保证了网络的安全性和可靠性;二是对全网2500多个信息点的接入做了控制,必须达到安全规范才能接入业务网,确保每个接入网络的终端都安装了最新的防病毒软件,重要补丁都得到安装等;三是对每个终端的流量作了采样,统计终端的流量排行,并且对异常流量行为的终端采取措施。从网络与终端等方面立体化地加固了网络的安全性。</P>
页:
[1]