论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2011-12-21 08:43 |只看该作者 |倒序浏览

客户名称：浙江新界泵业有限公司

所属行业：企业

客户简介：浙江新界泵业有限公司具有自营进出口权，并取得ISO9001质量管理体系认证、ISO14001环境管理体系认证、CCC认证、GS认证和CE认证等；公司技术力量雄厚，测试设备先进，大、中专以上学历人员占员工总数的30%，在同行中具有明显的人才优势。公司是中国农业机械学会排灌机械学会副理事长单位，温岭市重中之重工业企业和行业龙头企业、浙江省重点民营企业、中国潜水泵行业的龙头企业。公司连续6届被台州市消费者协会评为“消费者信得过单位”；被省工商行政管理局评为“AAA”级“重信用、守合同”单位；连续12年被中国银行浙江省分行评为“AAA”级资信企业。公司被省经贸委、财政厅、国税局等九家单位联合认定为“浙江省诚信示范企业”，“新界牌”商标被认定为“中国驰名商标”，“新界”产品被评为“国家免检产品”和“浙江名牌产品”。公司营销网络遍及全球，产品远销东欧、西欧、中东、东南亚、美州、非洲各国，国际客户120多个，国内一级销售处700多个，二级销售商2500多家。

客户需求：防止外来电脑终端非法接入网络；限制不符合安全管理规定的内部电脑终端直接访问网络资源；对内部的电脑终端进行安全管理，防止其未安装杀毒软件、重要补丁未安装等；

应用规模：公司有2个厂区，需要管理的终端数目众多，设备放在老厂机房。

实现功能：应用系统补丁分发、IP/MAC绑定、黑白名单、终端不能改IP禁用本地连接属性、软件分发。

应用背景：

在多年信息化建设中，新界泵业内部已建立起了较为完善的内部信息安全网，信息交换、信息共享的模式日趋成形。但是在从信息系统获取便捷的同时，各种应用系统被破坏后带来的危害和损失也提高到一个十分重要的层次，如何保证生产和办公信息系统的7×24小时不间断运行，保证内网设备的安全使用，为公司的信息中心管理者带来了新的问题。

网络现状

ü 公司网络结构较为清晰，网络基础架构较为规范；

ü 全网设备较为单一，核心交换机为H3C5800，新厂接汇聚交换机H3C5120，老厂接汇聚交换机H3C3600，接入层多为HUB集群；

内网安全风险

u 非法接入

外来终端随意接入网络，给内网的安全带来重大隐患。不安全的终端会给内网带来大量病毒，破坏网络的正常运行；不安全的终端还可能非法侵入内网系统，从而造成内部重要数据的泄漏。

u 终端未打齐补丁

内部员工整体安全意识不足，接入设备不及时升级系统补丁的现象普遍存，无法对这些安全规范进行统一强制管理，这种情况下安全性低下的单台终端极易成为影响全网的威胁来源和跳板（如ARP病毒攻击，中木马后对网络进行安全威胁等），造成重大安全事件的发生，带来巨大的安全风险。

另外员工计算机水平参差不齐，许多人面对计算机问题无法进行及时修复，由于点数多，范围分散，出现问题后管理员需要频繁奔赴现场进行维护，工作效率极低。

盈高科技的企业内网安全解决方案

本方案采用杭州盈高科技的准入安全管理平台，在老厂机房核心交换机旁部署1台ASM准入控制设备，新厂通过内部网络与设备通信，整个方案采用策略路由准入技术，合法设备经过客户端身份验证后入网进行正常操作，外来设备只有经过管理员审核批准后才能够接入公司网络，整个网络边界明确，入网流程清晰。

新界泵业方案特点

u 采用PBR策略路由技术

利用策略路由准入技术，需要进入内网的机器都将先接受认证，通过安装客户端实现身份认证并进入网络。

u 能够按区域、部门等角色定义人员和访问权限

在用户认证及设备通过病毒、补丁等安全信息检查后，ASM可基于终端用户的角色，向安全联动设备下发事先配置的接入控制策略，按照用户角色权限规范用户的网络使用行为。可以事先做好安全管理规划，根据需要划分多个安全域，然后管理员可以通过ASM设备根据角色的不同配置可访问的安全域。这样很好地解决在内网中做好区域访问布控的问题。

用户收益：

u 安全检测与修复

 正式员工的终端设备在入网时必须经过规定的网络规范检查，包括检测计算机的杀毒软件安装和运行情况，检测计算机的桌面管理客户端安装和运行情况，检测计算机的操作系统补丁更新情况，检测计算机的共享情况，将检查结果自动上报，方便管理员统计审计；

 对不符合要求的终端设备能够进行智能自动修复，自动帮助计算机安装杀毒软件和升级病毒库，自动帮助计算机安装桌面客户端，自动帮助计算机更新补丁（补丁与360合作，具有分级机制，严格的多项测试确保补丁均能安装运行），自动关闭非法共享。

通过ASM强大的安全检测与修复机制，确保新界泵业的入网计算机均具备符合管理要求的安全运行环境，避免了网络安全事故的发生。

u 入网控制

根据入网计算机的身份和安全性，可以控制允许入网的计算机或人员，非法人员或不安全设备被直接隔离，拒绝其入网，无法获得任何重要业务资源，从而避免了核心数据泄漏；

入网的员工将根据身份的角色（如归属部门、岗位等）被划分予相应的访问权限，从而接受网内的访问管理，避免越权访问和涉密资源的非法操作。

u 验证身份

 本单位员工选择已有域身份进行登录，从而设备与使用设备的入网人员进行人机对应的负责制；

 来宾访客选择来宾身份入网，可以访问来宾区域（一些可以供外来人员使用的资源）。

用户评价：