鞍山钢铁集团是我国国防用钢生产龙头企业,被誉为“新中国钢铁工业的摇篮”“共和国钢铁工业的长子”,是“鞍钢宪法”诞生的地方。长期以来,鞍山钢铁集团将网络安全建设作为重点工作之一,不断完善集团和各分厂的网络安全建设。
近期,为了满足等保2.0的安全合规要求,解决全集团终端设备接入安全需求,鞍山钢铁集团加大网络安全建设力度,与盈高合作,采用ASM入网规范管理系统对集团内终端设备接入进行管控。
鞍山钢铁集团项目主要需求
满足等保2.0的安全区域边界-边界防护要求:
应能够对非授权设备私自联到内部网络的行为进行限制或检查;
应能够对内部用户非授权联到外部网络的行为进行限制或检查;
应限制无线网络的使用,确保无线网络通过受控的边界防护设备接入内部网络。
在鞍山钢铁集团众多分厂的终端安全管理中,最典型的是鲅鱼圈分厂,其终端设备数目较多,运维管理工作难度大,需要对终端接入控制进行统一管理,并需要以技术手段落实一套合适的入网管理规范对全网安全情况做整体评估和实时跟踪。
鞍山钢铁集团鲅鱼圈分厂安全需求
01终端接入和端口安全管控
办公室规模化的网络接口和无线覆盖方便了员工接入网络,同时也方便了外来计算机或终端设备接入网络,管理人员对此类情况较难判定并加以管控。如何保障这些终端及时将本地高危端口第一时间进行封闭是管理员们面临的挑战之一。
02及时更新系统补丁
鞍山钢铁集团鲅鱼圈分厂为大型的单位机构,部分终端存在电脑未安装防病毒软件、未及时更新系统补丁等问题。
03防止非法终端仿冒
常规的安全认证系统或审计系统,都是通过IP或MAC做为监控对象,如果一旦非法终端仿冒合法终端的IP/MAC信息,非法终端将自由出入内网,可能会造成无法正常审计的问题,给内网安全带来威胁。
04终端快速定位
现有网络中的接入终端设备较多,如何能够快速定位问题终端的接入节点,并快速查询出问题终端设备使用人员的相关信息,从而实现对问题终端的快速反应。
05防止私接网络设备
内网边界一般为PC类终端,但当前小路由器、小HUB设备较为普及,可能员工把原来接PC的网络,接到小路由器上形成了一个网中网,一方面,这可能会给统计全网终端资源统计及内网网络资源的消耗带来不良影响,另一方面,NAT环境下终端行为无法审计。
06防止终端安装非法软件
一般情况下,网络管理员非常重视终端的安全,但往往忽视了员工有意或无意的私自安装非法软件,这些非法软件可能存在携带病毒等安全隐患,造成敏感数据泄密、传播病毒等后果。
07综合管理统一防护需求
网络中安装了防病毒软件、安装最新操作系统补丁等系统来防止外界威胁。然而,这些安全措施并没有对企业内网,尤其是没有对各个计算机终端进行有效监控,可能会出现内部IT资源滥用、内部网络信息泄露、内部员工的故意攻击等问题,从而不能对各种因内部因素产生的网络安全问题进行有效的预防、监控和审计。
根据以上需求,盈高提出了一套具有针对性的有效解决方案。
盈高的解决方案
以盈高ASM入网规范管理系统为技术支撑,借助该系统“入网设备识别——用户身份认证——终端系统安全检查——用户网络权限控制”等流程化企业内网终端安全管理模式,并结合网内已有的安全系统,相互配合、联动形成统一的终端安全管理平台方案。根据鞍山钢铁集团鲅鱼圈分厂网络结构及准入控制需求的实际情况,采用ASM旁路部署方案,提供端口级、提供更友好的WEB重定向界面以及用户体验。
方案价值
帮助集团满足等保2.0的安全合规相关要求,建立了完善的终端接入系统,实现系统内部的网络架构规范化、可靠化以及高效化,保证了整个集团的网络安全。
建立真实有效的高安全网络,对存在系统漏洞、高危端口和未安装杀毒软件的终端设备进行及时修复,降低风险网络的安全威胁。
实现网络边界管理,有线网络以及无线网络均存在边界,达到“违规不入网,入网必合规”的建设效果;
通过技术手段落实管理规范,对员工有意或者无意的违规行为,通过技术手段进行阻止,必须违规事件带来的网络安全风险;
建设可信网络,防止仿冒入侵绕过安全策略,或者恶意入侵带来的泄密事故,让内网终端都是可信、可控的终端设备。
通过部署盈高ASM入网规范管理系统,顺利实现了鞍山钢铁集团的终端安全管理需求,全方位保障集团及各分厂的网络系统安全有序的运行。目前,已有30余家500强企业选择盈高准入。未来盈高将始终坚持“构建安全、健康、和谐的网络世界”的使命,为用户提供更专业有效的安全解决方案,为国家网络安全贡献力量。
企业集团荣誉客户(部分)
中国石油化工集团公司
中国航空工业集团
中国船舶工业集团公司
中国电子科技集团公司
中国中铁股份有限公司
中国交通建设股份有限公司
中国第一汽车集团有限公司
中国华电集团公司
中国国电集团公司
中国大唐集团公司
中国华能集团公司
中国南方电网有限责任公司
中国兵器工业集团公司
……