企业内网安全一体化准入控制案例分析.doc

企业内网安全一体化准入控制案例分析所属行业：电器行业客户需求：对内网的设备接入网络进行控制和管理，解决公司员工在工作时段对设备和网络的各类非法使用问题，进行内网的整体安全管理。应用规模：下属3个大型工厂及研发主楼，约50个公司部门，涵盖从台式机、笔记本、打印机、服务器及无线接入的各种设备环境。实现功能：EOU准入认证、设备安全性扫描及修复、ARP防护、ip-mac地址绑定、流量统计、异常进程监控等。应用背景：做为一家知名的上市企业，公司长期以来一直十分重视信息化建设，内部网络经过多年建设已经初步成型，主体网络架构采用cisco设备，大致拓扑如下所示网络拓扑图在多年的网络使用过程中，信息部门发现始终存在以下难以解决的问题：u 无法清楚了解每日有多少台设备进入了公司的网络；u 无法统计入网的员工数量和每日来访的宾客数量；u 缺乏有效手段对用户的操作行为（如随意安装娱乐程序、私自更改ip地址、不登录到域等）进行控制；u 员工计算机水平参差不齐，导致入网电脑的安全性难以保证，许多电脑不装杀毒软件或不打补丁就直接入网，内网经常有病毒感染或ARP攻击事件发生；另外，由于公司信息部门人数有限，对于分布广泛的内网接入在维护和管理上存在较大的难度，工作效率一直无法提高。为了解决长期困扰网络信息部门的上述问题，本着遵循等保中内网安全控制条款和满足上市公司内部信息安全控制和安全体系建设要求，在公司领导的重视下提出建设内网安全准入控制系统。该项目主要的安全目标在于控制来宾对于内网重要资源的访问，控制内网设备的安全性，规范用户的入网行为，并且对安全系数低的设备进行跟踪和修复。安全准入控制，首选盈高科技通过公司信息部门领导和盈高科技专业团队前期的详细交流和规划，在众多国内外知名厂商中选择了更为专业和稳定的INFOGO-ASM入网规范管理系统做为整个项目的准入平台，采用旁路方式联接研发大楼主核心交换，在各汇聚层cisco 3560上采用EOU准入控制技术作为整个平台的控制协议。ASM部署示意图由于采用旁路认证模式，ASM的准入效果在众多3000点以上的大型网络中均得到了很好的验证，因此在全厂区范围的部署中取得了优秀的准入控制能力，同时，采用双机热备方案也提高了项目整体的稳定性和防单点故障能力。ASM应用效果：部署ASM入网规范管理系统后，在公司内网安全体系中实现了如下准入控制效果：准入部署效果图u 入网身份验证所有接入内网的设备均需要验证其身份，未通过身份验证的设备拒绝其入网或引导至来宾区进行受限的访问，从而确保网络中设备的可知性。u 入网权限控制所有入网设备根据其身份进行权限的划分，不同权限的设备只能访问权限中指定的区域，从而确保入网设备的访问可控性。u 入网设备安全性检测 对于公司内部所属设备分部门进行安全合规性的检测，主要包括杀毒软件检查、补丁检查、弱口令检查等。对于不符合安全要求的设备进行自动修复（如自动打补丁）或引导修复（如引导至杀毒软件服务器），修复合格后的设备允许正常入网。u 入网设备行为管理 对于一个健康运行的网络来说，ip资源、网络带宽资源都是需要严格管理的，这也符合上市公司对于本单位内部资源配置的控制要求。针对内网某些用户私改ip及使用管理员禁止的p2p下载软件等情况，通过准入平台能够及时发现并通过断网隔离等手段进行违规处理，从而确保企业内部有效可控的资源分配。u 形成全网安全视图在整个ASM准入平台上能够对全网形成按日、周、月及年度的整体安全视图，包括入网设备数量、身份归属、安全性评估、修复状况评估、违规状况统计等。用户收益：通过部署ASM入网规范管理系统，内网中的安全违规事件明显减少：u 第一月统计出私自更改ip地址事件数十人次，第二月迅速下降为0人次，从而有效地控制了员工的上网行为；u 对检查出的几十台未装杀毒软件机器进行了及时的修复，全网机器及时更新病毒库版本。员工上报的病毒感染、ARP攻击事件明显下降；u 平台部署后，各部门反映员工上班时间几乎不再有违规网络行为（QQ聊天、迅雷下载、在线视频等）发生，从而大大提高了工作效率和网络资源分配率，网络速度明显提高（从部署前只有几k上升到部署后能够达到100200k）。另一方面，网络的可控及合规性大大增强：u 系统通过及时上报外出销售人员回单位入网及来访人员入网情况，有效地监督了网络的外来使用形式及使用属性；u 全部平台采用分级分权限管理，各部门均落实了本部门的网络合规性管理员，原信息部门网络管理员工作量大大减轻；u 网络管理员第一月试行按周上报内网日志给信息部领导，目前已经形成了一套规范的月度内网安全报告制度，规范了信息部门网络安全汇报审查的机制。用户评价：盈高科技安全准入系统能够有效地对违规设备进行入网控制，管理员能够及时了解新设备的入网情况，并