当前位置:首页 > 经典案例
解决方案
某省工商行政管理局全网打造安全可靠的准入管理平台
发布员:管理员   发布时间:2016-05-16   浏览次数:8405

客户名称XX省工商行政管理局
所属行业:政府机构
客户简介
XX
省工商行政管理局是主管XX省市场监督管理和行政执法工作的省级政府直属机构,包括省局、9个地市市局和50多个县局,各级通过实行垂直管理,形成覆盖全省的工商管理系统。主要职能是:主管全省工商企业登记注册工作,依法确认各类经营者的主体资格,监督管理或参与监督管理各类市场,依法规范市场交易行为,保护公平竞争,查处经济违法行为,取缔非法经营,保护正常的市场经济秩序。
应用背景:
近年来,随着XX省工商局信息化建设的不断发展,门户信息网等业务系统逐渐上线运行,工商局内各部门的日常办公也越来越离不开网络。与此同时,用户非受控接入带来的安全隐患也随之产生,给内部网络办公管理带来了不小的麻烦。为了更好的开展电子政务和网上交易的监督管理机制,保证工商局内部网络的安全、高效运作,XX省工商网络部门决定采用终端用户准入控制的方案,针对接入内网的终端进行安全认证。
内网安全风险:

o    外来终端随意接入

由于工作需要,外来的人员携带的笔记本电脑经常需要接入网络中,若接入的设备对内网进行嗅探、抓包等攻击可以很容易的获取网络中明文传输的信息,加上外来设备如果携带病毒,很可能通过内网传染给其他终端,造成网络大面积感染,后果不堪设想。

o    补丁问题安全隐患

   大部分员工对打补丁以提高安全防护的认识不足。 据现场调研,终端补丁未打或未打全现象在局内员工电脑中十分普遍,加上终端处于内部网络环境之中,无法通过WSUS等服务器在网上打补丁,使补丁安全规范一直无法落到实处。这样不仅容易给不法分子留下后门,一旦遭遇病毒或木马攻击,终端设备将成为威胁来源和风险的跳板,对内部网络形成巨大的安全隐患。

o    移动介质滥用

   内部网络虽然从物理上隔绝与Internet的联系,防止遭到外部网络上病毒和黑客的攻击。但是还是能够从一些移动介质(如U盘、移动硬盘等)中感染病毒。特别是一些别有用心的人,将很轻易地把重要文件、机密数据等通过移动介质拷到网络外部造成泄密,从而给企业、和政府部门造成重大损失。

o    终端行为无法审计、告警

终端的一些行为常常会无意识的对网络安全造成影响。而管理员往往缺乏及时有效的手段,准确快捷的掌握每个终端的运行状况,如终端对一些文档的读写、U盘对文件的复制、修改,邮件的发送和接受等均缺乏一个方便直观的审计平台。除此之外一些威胁行为也无法得到快速的定位。
建设需求
准入控制:用户接入时自动启动登录界面对入网设备和人员进行认证,只有通过了帐号密码认证并且安装了多维终端安全管理平台客户端的设备才允许接入网络;准入控制技术采用802.1x,平台必须具备逃生功能,在宕机后可以紧急放开;
桌面管理:对网络中的IP进行统一管理,包括使用者、所属部门、地址绑定、是否通过验证以及添加可信等;软硬件资产管理,保障资产的安全;软件分发,对工商业务系统的软件进行统一升级;移动介质U盘管理,所有内网中使用的U盘必须经过注册才能使用,且带出内网后无法使用;黑白程序策略,对特定的软件如暴风影音和其他游戏软件等在上班时间予以禁止使用。
 
应用规模
  终端用户达到12000多点,运用规模庞大。包括全省范围省市县三级各工商局的内部办公网中的台式机、移动接入设备和打印机,涉及的运用包括办公网络、OA系统和各工商业务系统。
网络环境:
网络中的交换机品牌众多,包括华三、锐捷等,型号也不尽相同。此外接入层中还有D-link等非网管的傻瓜交换机,需要根据不同环境和设备做一定的配置调整和升级,这给全网的规范化管理带来了不小的困难。
解决方案:
为保证最高安全性和对网络环境的兼容性,盈高科技为本次项目提供的方案采用了AMC做为radius服务器,在接入层配置802.1x的部署方案,与H3C S5120RG S2126等系列交换机配合,提供准入控制,有效防病毒、补丁自动升级等,保证高安全,并且能够兼容网内极其复杂的交换机环境。同时,部署一套DSM桌面管理平台,与AMC进行联动,对入网设备的行为进行统一管理,对非法用户的上网行为进行审计,对异常流量进行实时的流量分析。

©2001-2018   深圳市欧克信息技术有限公司   版权所有   | 粤ICP备07005905号    www.okrj.com.cn 
友情链接:www.sangfor.com.cn www.51cto.com https://www.microsoftstore.com.cn www.cisco.com