能源电力
您当前位置:首页 > 典型案例 > 能源电力

国网甘肃省电力公司

责任编辑:盈高科技    时间:2016-01-12    浏览次数:11057

项目简介

国网甘肃省电力公司(简称“甘肃电力”):甘肃省电力公司是国家电网公司的全资子公司,主要经营、管理、建设甘肃电网。作为西北地区电网的中心,甘肃电力在信息化发展中取得了巨大成绩,已建立了完善的企业信息化办公网络及各类应用平台。但是由于终端众多,无有效手段对终端行为进行规范,各种问题频发,给运维带来了很大的压力。


需求分析

甘肃电力一直很注重信息化建设,网络建设非常完善,但随着网络应用的增加,网络安全管理的难度增大,面临的主要问题有,外来终端轻松接入内网无法识别接入网络的用户名及设备身份、网络边界无法确定、IP地址私配乱用、非法外联等。在网络管理中的具体需求为:

内网:

1. 实名制入网;

2. 入网审核;

3.在准入控制的同时不改变网络拓扑;

4.保证接入网络的每一台终端都是符合内部安全规范的,对不合规的机器智能化修复;

5.落实终端对杀毒软件的安装;

6.对入网终端进行访问权限控制;

7、非法外联管控;

8、弱口令检查;

9、密码策略检查。

 

外网:

1.实名制入网;

2.入网审核;

3.在准入控制的同时不改变网络拓扑;

4.保证接入网络的每一台终端都是符合内部安全规范的,对不合规的机器智能化修复;

5.落实终端对杀毒软件的安装;

6.对入网终端进行访问权限控制;

7、弱口令检查;

8、密码策略检查。


应用规模

终端规模为近50000点。


解决方案(内网)

全网采用策略路由技术、MVG技术接入在核心交换,分别管理各地市接入终端,省公司通过统一管理平台对下属的准入设备进行全局查看,管控。具体方案包括:

1、实名制入网:入网终端需填写个人注册信息;

2、网络隔离区:对于安全状态评估不合格的用户,可以限制其访问权限,被隔离到金盾网络隔离区,待危险终端到达安全级别后方可入网;
3、入网审核:新入网终端需经过管理员批准;
4、安全检查:对于外来计算机由于业务需要接入内网或者访问Internet时,针对对方IPMAC等端口做授信暂时放行;入网终端需进行安全检查评估,合格后才可接入网络;
5、内网安全域:对入网终端进行访问权限控制;

6、密码策略:未开启密码策略禁止入网;

7、弱口令:存在弱口令终端禁止入网;

8、非法外联:对非法外联的终端进行断网及处罚。


解决方案(外网)

外网采用策略路由技术、MVG技术接入在核心交换,分别管理各地市接入终端,省公司通过统一管理平台对下属的准入设备进行全局查看,管控。具体方案包括:

实名制入网:入网终端需填写个人注册信息;

1、网络隔离区:对于安全状态评估不合格的用户,可以限制其访问权限,被隔离到金盾网络隔离区,待危险终端到达安全级别后方可入网;
2、入网审核:新入网终端需经过管理员批准;
3、安全检查:对于外来计算机由于业务需要接入内网或者访问Internet时,针对对方IPMAC等端口做授信暂时放行;入网终端需进行安全检查评估,合格后才可接入网络;
4、内网安全域:对入网终端进行访问权限控制;

5、密码策略:未开启密码策略禁止入网;

6弱口令:存在弱口令终端禁止入网。


价值收益

通过部署以上解决方案,单位实际工作获得如下成效:
1对入网终端进行有效的管理,防止其接入单位网络访问重要的服务器,窃取单位的重要资料等;
2、提高运维工作效率、日常维护工作的方便工具,减轻维护压力;
3规范入网终端,掌控终端动态,并进行全面而细致的审计和分析,为信息安全管理提供决策依据;
4、提高终端设备的安全性和稳定性,减少漏洞攻击事件的发生,避免系统漏洞补丁引发的安全事件;
5、规范和简化了维护人员日常的工作;
6、为全网建立了统一的安全基线,不符合基线的终端无法入网,入网后终端违规进行管控。