中國電信XX省分公司選擇盈高進行內(nèi)網(wǎng)終端安全管理平臺建設(shè)

中國電信XX省分公司選擇盈高進行內(nèi)網(wǎng)終端安全管理平臺建設(shè)客戶名稱：中國電信股份有限公司XX省分公司所屬行業(yè)：運營商客戶簡介：中國電信XX公司是XX省最大的基礎(chǔ)網(wǎng)絡(luò)運營商和綜合信息服務(wù)提供商，是省內(nèi)唯一擁有完整的固定網(wǎng)、移動網(wǎng)、基礎(chǔ)網(wǎng)、數(shù)字網(wǎng)和數(shù)據(jù)網(wǎng)的通信運營企業(yè)，可以向客戶提供豐富多彩、優(yōu)質(zhì)高效的信息通信服務(wù)，能夠滿足客戶的各種通信及信息服務(wù)需求。業(yè)務(wù)目標：省中心管理人員可利用該平臺，通過技術(shù)手段對內(nèi)部的計算機接入網(wǎng)絡(luò)進行安全管理，并進行安全評估、桌面管理、內(nèi)網(wǎng)終端相應(yīng)的資產(chǎn)管理及快速補丁分發(fā)和安裝，從而保障單位內(nèi)部的信息安全，防止重要商業(yè)信息以及國家敏感信息的泄漏。同時有效保護中國電信XX分公司所屬的計算機不受病毒侵襲。應(yīng)用范圍：省公司下屬2個一級部門共約500臺終端，主要涉及辦公臺式機、筆記本電腦及外來集成公司人員終端。應(yīng)用背景：目前XX省電信網(wǎng)絡(luò)連接了眾多部門的PC終端，地域分布較廣，由于沒有一套切實有效的入網(wǎng)安全管理規(guī)范，在日常運行過程中暴露出許多安全性隱患，如：外來機器可以隨意接入電信公司有大量的合作伙伴，經(jīng)常需要接入到單位網(wǎng)絡(luò)，如果非授權(quán)人員隨意將外來筆記本電腦接入內(nèi)網(wǎng)的某個網(wǎng)絡(luò)端口，很容易偽造成內(nèi)網(wǎng)中的合法機器入網(wǎng)，從而引發(fā)重大安全事故；內(nèi)部機器安全性無法保證信息部人員在管理過程中，對如下問題一直缺乏有效的解決手段：如何保證內(nèi)部PC機的操作系統(tǒng)沒有漏洞，補丁得到有效更新？如何保證所有機器的殺毒軟件版本統(tǒng)一及病毒庫都符合要求？如何保證終端操作系統(tǒng)必須具有一定強度的賬號密碼？內(nèi)部人員將內(nèi)網(wǎng)機器違規(guī)帶出外網(wǎng)如果工作人員把電腦帶回家或者出差連接了互聯(lián)網(wǎng)，進行了違規(guī)的外聯(lián)操作，那么在再次接回到電信單位內(nèi)網(wǎng)的時候就很容易帶入木馬及病毒，這將給網(wǎng)絡(luò)內(nèi)部的破壞攻擊提供風險源頭；如何有效對內(nèi)網(wǎng)機器進行安全修復如何保證接入內(nèi)網(wǎng)中的終端處于健康安全狀態(tài)？對于存在安全隱患的終端，有什么樣的機制或者平臺來對其進行快速、有效、智能的安全修復？解決方案：本方案采用杭州盈高科技的一體化準入終端安全管理平臺，在省公司所屬2幢辦公大樓機房分別部署一臺ASM準入控制設(shè)備并安裝一套DSM桌面管理系統(tǒng)，整個方案基于策略路由（PBR）和CiscoEOU準入強制技術(shù)。合法設(shè)備經(jīng)過安全檢查合格后方可入網(wǎng)進行正常訪問，外來設(shè)備只有經(jīng)過管理員審核批準后才能夠接入網(wǎng)絡(luò)。同時利用DSM桌面管理系統(tǒng)對終端入網(wǎng)后的使用行為進行安全管理，整個網(wǎng)絡(luò)邊界明確，入網(wǎng)流程清晰，終端使用規(guī)范安全。實現(xiàn)功能：根據(jù)內(nèi)網(wǎng)終端安全管理的需求，本方案通過入網(wǎng)規(guī)范管理平臺與網(wǎng)絡(luò)設(shè)備聯(lián)動，有效地規(guī)避了安全風險。在平臺建設(shè)后實現(xiàn)了以下效果：解決了終端非法接入問題：終端入網(wǎng)必須遵循一整套規(guī)范的安全流程，沒有得到管理員許可，任何非法終端將無法接入網(wǎng)絡(luò)；內(nèi)網(wǎng)終端的安全性檢查與過濾：通過各項安全策略，對入網(wǎng)終端自身的安全性（健康性）進行檢查，如果發(fā)現(xiàn)存在安全問題，管理平臺將自動阻斷終端對網(wǎng)絡(luò)的訪問，終端必須完成了相應(yīng)的加固修復后，方可依據(jù)策略訪問相應(yīng)的授權(quán)區(qū)域；對訪問網(wǎng)絡(luò)的合理切換：對于業(yè)務(wù)上有訪問外網(wǎng)需要的設(shè)備，通過策略限制確保了