客户名称:温岭市疾控预防控制中心
所属行业:事业单位
客户简介:温岭市疾病预防控制中心是政府举办的实施疾病预防控制与公共卫生技术管理和服务的公益性事业单位。于2001年6月29日在原温岭市卫生防疫站的基础上组建成立,是全市疾病预防与控制,监测检验与评价、健康教育与促进,应用研究与指导、技术管理为一体的疾病预防控制体系。
应用背景:
在多年信息化建设中,温岭疾控预防控制中心内部已建立起了完善的内部信息安全网,信息交换、信息共享的模式日趋成形。但是在实际使用过程中存在许多潜在威胁,终端PC补丁不全,员工安全防护意识差等等,这给疾控中心的管理者带来不小的问题,内网安全风险点主要表现在:
u 非法接入
在中心内外网隔离的情况下,内网由于欠缺安全防护手段,在医生或患者的笔记本电脑随意接入时存在极大的安全风险和管理隐患,甚至有可能成为非法“统方”行为的工具。
u 终端未打齐补丁
内部员工整体安全意识不足,接入设备不及时升级系统补丁的现象普遍存,无法对这些安全规范进行统一强制管理,这种情况下安全性低下的单台终端极易成为影响全网的威胁来源和跳板(如ARP病毒攻击,中木马后对网络进行安全威胁等),造成重大安全事件的发生,带来巨大的安全风险。
另外员工计算机水平参差不齐,许多人面对计算机问题无法进行及时修复,由于点数多,范围分散,出现问题后管理员需要频繁奔赴现场进行维护,工作效率极低。
客户需求:防止外来电脑终端非法接入网络;限制不符合安全管理规定的内部电脑终端直接访问网络资源;对内部的电脑终端进行安全管理,防止其未安装杀毒软件、重要补丁未安装等;人机对应,可以快速定位全网中任意一台终端设备。
应用规模:中心人员编制65人, 设办公室、质量管理科理化检验科等10个科(所)3个下属机构(市性病艾滋病防治监测中心、市牙病防治中心和犬伤门诊部),终端点数在100左右。
盈高科技的内网安全准入解决方案
本方案采用杭州盈高科技的内网安全准入解决方案,在中心机房核心交换机旁路ASM设备,采用MVG技术实现准入控制功能。合法设备经过客户端身份验证后入网进行正常操作,外来设备只有经过管理员审核批准后才能够接入中心网络,整个网络边界明确,入网流程清晰。
![](http://www.infogo.com.cn/userfiles/image/%E6%B8%A9%E5%B2%AD%E5%B8%82%E7%96%BE%E6%8E%A7%E4%B8%AD%E5%BF%83.jpg)
实现功能:
准入部分——接入计算机安全控制(补丁分发等)、自动安装桌面客户端;
桌面部分——远程控制、黑白名单、禁止私自更改IP、禁用本地连接属性、软件分发。
方案特点:
u 控制到接入层的MVG准入技术
利用MVG准入技术,需要进入内网的机器都将先接受认证,通过合法身份认证以及安全检查后菜被允许接入网络。
u 开启和关闭准入控制方便快捷
MVG技术通过对交换机端口的控制来实现准入认证,在设备后台添加交换机后可以查看交换机端口的一些常规信息。如需控制交换机某一端口下的PC终端,只需在后台将该交换机开启管理即可。
用户收益:
u 安全检测与修复
正式员工的终端设备在入网时必须经过规定的网络规范检查,包括检测计算机的杀毒软件安装和运行情况,检测计算机的操作系统补丁更新情况,检测计算机的共享情况,将检查结果自动上报,方便管理员统计审计;
对不符合要求的终端设备能够进行智能自动修复,自动帮助计算机安装杀毒软件和升级病毒库,自动帮助计算机安装桌面客户端,自动帮助计算机更新补丁(补丁与360合作,具有分级机制,严格的多项测试确保补丁均能安装运行),自动关闭非法共享。
通过ASM强大的安全检测与修复机制,确保温岭疾病防御控制中心的入网计算机均具备符合管理要求的安全运行环境,避免了网络安全事故的发生。
u 入网控制
根据入网计算机的身份和安全性,可以控制允许入网的计算机或人员,非法人员或不安全设备被直接隔离,拒绝其入网,无法获得任何重要业务资源,从而避免了核心数据泄漏;
入网的员工将根据身份的角色(如归属部门、岗位等)被划分予相应的访问权限,从而接受网内的访问管理,避免越权访问和涉密资源的非法操作。
u 验证身份
本单位员工选择已有身份进行登录,从而设备与使用设备的入网人员进行人机对应的负责制;来宾访客选择来宾身份入网,可以访问来宾区域(一些可以供外来人员使用的资源)。