客户名称:中国电信股份有限公司湖南分公司
所属行业:运营商
客户简介:中国电信湖南公司是湖南省最大的基础网络运营商和综合信息服务提供商,是省内唯一拥有完整的固定网、移动网、基础网、数字网和数据网的通信运营企业,可以向客户提供丰富多彩、优质高效的信息通信服务,能够满足客户的各种通信及信息服务需求。
业务目标:省中心管理人员可利用该平台,通过技术手段对内部的计算机接入网络进行安全管理,并进行安全评估、桌面管理、内网终端相应的资产管理及快速补丁分发和安装,从而保障单位内部的信息安全,防止重要商业信息以及国家敏感信息的泄漏。同时有效保护中国电信湖南分公司所属的计算机不受病毒侵袭。
应用范围:省公司销售部、荷花园企事业信息化部等共约500台终端,主要涉及办公台式机、笔记本电脑及外来集成公司人员终端。
应用背景:
目前湖南省电信网络连接了众多部门的PC终端,地域分布较广,涉及到五一路大楼、荷花园大楼的多个楼层,由于没有一套切实有效的入网安全管理规范,在日常运行过程中暴露出许多安全性隐患,如:
外来机器可以随意接入
电信公司有大量的合作伙伴,经常需要接入到单位网络,如果非授权人员随意将外来笔记本电脑接入内网的某个网络端口,很容易伪造成内网中的合法机器入网,从而引发重大安全事故;
内部机器安全性无法保证
信息部人员在管理过程中,对如下问题一直缺乏有效的解决手段:如何保证内部PC机的操作系统没有漏洞,补丁得到有效更新?如何保证所有机器的杀毒软件版本统一及病毒库都符合要求?如何保证终端操作系统必须具有一定强度的账号密码?
内部人员将内网机器违规带出外网
如果工作人员把电脑带回家或者出差连接了互联网,进行了违规的外联操作,那么在再次接回到电信单位内网的时候就很容易带入木马及病毒,这将给网络内部的破坏攻击提供风险源头;
如何有效对内网机器进行安全修复
如何保证接入内网中的终端处于健康安全状态?对于存在安全隐患的终端,有什么样的机制或者平台来对其进行快速、有效、智能的安全修复?
解决方案:
本方案采用杭州盈高科技的一体化准入终端安全管理平台,在图中五一路大楼及荷花园大楼机房分别部署一台ASM准入控制设备并安装一套DSM桌面管理系统,整个方案基于策略路由(PBR)和Cisco EOU准入强制技术。合法设备经过安全检查合格后方可入网进行正常访问,外来设备只有经过管理员审核批准后才能够接入网络。同时利用DSM桌面管理系统对终端入网后的使用行为进行安全管理,整个网络边界明确,入网流程清晰,终端使用规范安全。
实现功能:
根据内网终端安全管理的需求,本方案通过入网规范管理平台与网络设备联动,有效地规避了安全风险。在平台建设后实现了以下效果:
解决了终端非法接入问题:终端入网必须遵循一整套规范的安全流程,没有得到管理员许可,任何非法终端将无法接入网络;
内网终端的安全性检查与过滤:通过各项安全策略,对入网终端自身的安全性(健康性)进行检查,如果发现存在安全问题,管理平台将自动阻断终端对网络的访问,终端必须完成了相应的加固修复后,方可依据策略访问相应的授权区域;
对访问网络的合理切换:对于业务上有访问外网需要的设备,通过策略限制确保了终端在一个时间点只能访问一个网络,比如只能访问互联网,或者只能访问内网,从而避免了终端同时访问两个网络时形成两个网络之间隐蔽通道的问题。