中国某运输集团公司是中国最大的交通运输企业之一,在旅客运输、货物运输、航空运输量等方面都排在全国同类型企业的前列。为适应激烈的市场竞争,提高公司的服务水平,运输公司建成了国内交通运输行业中首屈一指的信息网络,引进和自主开发了各种各样的业内领先的业务系统和办公系统。
由于运输公司涉及应用系统繁多,对信息安全工作开展挑战也大,所以,该运输公司将信息安全从网络安全、主机/客户机安全、数据安全等几个方面来入手。在终端内网安全方面,运输公司主要考虑这样一些核心需求:
1)能够有效防范非法主机接入企业内网
由于运输公司涉及客户端数量多,共有超过几千台PC,这些PC运行着不同的操作系统,不同的应用软件,而且分布在不同的区域,这些终端都需要通过各种不同的方式联入到公司的内部网,需要明确这些终端的合法性、真实性、可靠性。
2)能够有效实现内网中各终端的合规管理
运输公司内部已经颁布了多项管理规章制度,但要将这些制度在信息化条件下的执行,还需要通过技术手段来实现。比如在内网的终端上,运输公司就规定了禁止安装如QQ、MSN等聊天工具,但必须安装防病毒软件、防火墙软件等安全免疫工具,同时,还需要能够对移动存储设备进行有效的管理等方面的需求。通过这些技术手段,来推行管理制度的落地。
3)能够有效实现内网流量控制确保业务流畅
运输公司的业务主机较多,很多业务系统和办公系统走的流量必须得到保证。在保证了接入的终端的合法性和健康性问题后,能够进一步控制这些终端使用的流量,能有效防治了ARP病毒攻击,并有效防止因未知病毒带来的对网络的阻塞和破坏,保护网络稳定和业务的不间断运行。
在经过几番技术交流和沟通,运输公司很快就采购了启明星辰公司的天珣内网安全风险管理与审计产品。运输公司认为选择的理由主要包括三个层面:
第一,天珣产品领先的准入控制技术,有效防范非法主机接入运输公司的企业内网,天珣采用网络准入(包括对802.1X\EOU等准入技术)、应用准入(包括对Web、Mail、DNS、DHCP、ISA Proxy的支持)、客户端准入的三层手段的准入控制,还包罗了启明星辰天清汉马USG一体化安全网关进行整合,对运输公司的企业内网的数千台终端的合法性、真实性大大提高。这些准入控制手段的运用目的是检查用户的身份及终端信息,根据预先的设定控制终端用户的访问权限,有效阻止不符合身份认证或安全条件的设备接入及访问网络。通过在网络中部署相应的安全接入控制设备,提供网络准入控制功能,使得用户必须满足身份认证的要求,同时用户的终端设备必须达到一定的安全和策略条件,才可以通过网关设备接入到网络中并获得相应的访问权限。
第二,天珣不断丰富合规管理手段,确保管理制度落地。天珣产品大大丰富终端的合规技术手段,如:IP-MAC绑定、终端安全加固、终端访问控制、终端安全状态自动检测与强制修复、系统补丁、防病毒软件运行情况等手段外,还在进程管理上做足文章,除增加黑名单、白名单的限制手段之外,还丰富了红名单的选项,(详细解释可参见产品技术手册),强化了接入运输公司的终端的行政管理力度,终端的安全免疫能力也进一步加强。
第三,天珣采用“基于操作系统级别”的终端技术,对终端进行分布式带宽管理。该项技术可以精细管理到每个终端上的每个应用程序,每个端口的带宽,通过合理配置,能有效管理终端的异常流量,即使有蠕虫病毒爆发,也不会导致网络瘫痪,因此,天珣在P2P下载控制、在线视频控制、多网卡非法外联控制上独树一帜,也开创了国内相关应用技术的空白,另外,为防范传统内网安全管理产品停用或卸载客户端程序后终端系统自动丧失管理能力的缺陷,天珣采用了各种终端在线和离线策略的管理,有效杜绝了这类问题出现,同时,使用创新的“按需支援(Help On Demand)”技术,按需对终端操作系统运行的各个方面进行远程桌面支持。在信息中心集中管理方面,通过配置终端各类安全策略、审计策略,实现对全网部署的一体化安全网关的策略统一下发、实时监控和统一日志收集和分析等等。
最后
天珣的成功部署应用无疑成为了国内中大型企业的典范和榜样,它很好地解决了企业界不断因安全事件增多带来的直接经济损失,更能够通过促进企业IT信息一体化和安全规范化管理,为企业增强了核心竞争力。公司信息中心的主任说:“天珣对我运输集团公司继续在国内和国际市场上确保业务畅通、保持竞争优势,发挥了巨大的作用。