国网甘肃省电力公司
责任编辑:盈高科技 时间:2016-01-12 浏览次数:11057
项目简介
国网甘肃省电力公司(简称“甘肃电力”):甘肃省电力公司是国家电网公司的全资子公司,主要经营、管理、建设甘肃电网。作为西北地区电网的中心,甘肃电力在信息化发展中取得了巨大成绩,已建立了完善的企业信息化办公网络及各类应用平台。但是由于终端众多,无有效手段对终端行为进行规范,各种问题频发,给运维带来了很大的压力。
需求分析
甘肃电力一直很注重信息化建设,网络建设非常完善,但随着网络应用的增加,网络安全管理的难度增大,面临的主要问题有,外来终端轻松接入内网无法识别接入网络的用户名及设备身份、网络边界无法确定、IP地址私配乱用、非法外联等。在网络管理中的具体需求为:
内网:
1. 实名制入网;
2. 入网审核;
3.在准入控制的同时不改变网络拓扑;
4.保证接入网络的每一台终端都是符合内部安全规范的,对不合规的机器智能化修复;
5.落实终端对杀毒软件的安装;
6.对入网终端进行访问权限控制;
7、非法外联管控;
8、弱口令检查;
9、密码策略检查。
外网:
1.实名制入网;
2.入网审核;
3.在准入控制的同时不改变网络拓扑;
4.保证接入网络的每一台终端都是符合内部安全规范的,对不合规的机器智能化修复;
5.落实终端对杀毒软件的安装;
6.对入网终端进行访问权限控制;
7、弱口令检查;
8、密码策略检查。
应用规模
终端规模为近50000点。
解决方案(内网)
全网采用策略路由技术、MVG技术接入在核心交换,分别管理各地市接入终端,省公司通过统一管理平台对下属的准入设备进行全局查看,管控。具体方案包括:
1、实名制入网:入网终端需填写个人注册信息;
2、网络隔离区:对于安全状态评估不合格的用户,可以限制其访问权限,被隔离到金盾网络隔离区,待危险终端到达安全级别后方可入网;
3、入网审核:新入网终端需经过管理员批准;
4、安全检查:对于外来计算机由于业务需要接入内网或者访问Internet时,针对对方IP、MAC等端口做授信暂时放行;入网终端需进行安全检查评估,合格后才可接入网络;
5、内网安全域:对入网终端进行访问权限控制;
6、密码策略:未开启密码策略禁止入网;
7、弱口令:存在弱口令终端禁止入网;
8、非法外联:对非法外联的终端进行断网及处罚。
解决方案(外网)
外网采用策略路由技术、MVG技术接入在核心交换,分别管理各地市接入终端,省公司通过统一管理平台对下属的准入设备进行全局查看,管控。具体方案包括:
实名制入网:入网终端需填写个人注册信息;
1、网络隔离区:对于安全状态评估不合格的用户,可以限制其访问权限,被隔离到金盾网络隔离区,待危险终端到达安全级别后方可入网;
2、入网审核:新入网终端需经过管理员批准;
3、安全检查:对于外来计算机由于业务需要接入内网或者访问Internet时,针对对方IP、MAC等端口做授信暂时放行;入网终端需进行安全检查评估,合格后才可接入网络;
4、内网安全域:对入网终端进行访问权限控制;
5、密码策略:未开启密码策略禁止入网;
6、弱口令:存在弱口令终端禁止入网。
价值收益
通过部署以上解决方案,单位实际工作获得如下成效:
1、对入网终端进行有效的管理,防止其接入单位网络访问重要的服务器,窃取单位的重要资料等;
2、提高运维工作效率、日常维护工作的方便工具,减轻维护压力;
3、规范入网终端,掌控终端动态,并进行全面而细致的审计和分析,为信息安全管理提供决策依据;
4、提高终端设备的安全性和稳定性,减少漏洞攻击事件的发生,避免系统漏洞补丁引发的安全事件;
5、规范和简化了维护人员日常的工作;
6、为全网建立了统一的安全基线,不符合基线的终端无法入网,入网后终端违规进行管控。