内网安全乱世安邦之体验篇之四五

来源:畅享网  
2011/12/21 14:17:49
本文关键字: 内网安全 天珣策略网关

体验四:釜底抽薪 一统大业

受访者:电力公司IT技术主管

2010年,我们E电力公司根据内网安全管理的需要,选定天珣作为构建内网准入控制体系和终端合规管理的产品。但部署时却面对很大的困惑:由于业务模式关系和一些历史原因,我司内网非常复杂,网络结构跨越了傻瓜式的HUB和支持802.1x可网管的交换机两个时代,只有一部分区域能够支持该协议,想要基于802.1x进行网络准入控制的全覆盖根本不可能。怎么才能解决这个棘手问题呢?

这个问题没有难倒天珣,天珣厂商针对我司内网和终端进行深入的调研和分析后,发现我司虽然无法全面实施基于802.1x的网络准入,但是可以在我们内部启用包括网络准入、应用准入和客户端准入等多种准入控制,完全满足我司的内网安全管理需求。

天珣工程师详细解释了实现方法:对需要访问Internet和营销系统的终端,启用基于DNS的应用准入控制,对能够访问互联网的终端执行准入控制;针对只能访问电力营销系统的终端,在电力营销系统前面部署一台天清汉马USG,与天珣一起联动,对能够访问电力营销系统的终端执行准入控制。如此以来,原本无力管理的终端,包括远在海边的变电站、变电所,都完全纳入到准入控制的覆盖范围内。

值得一提的是,在企业天珣的应用准入和与USG联动准入之后,对于未安装客户端的终端,天珣应用准入能够为用户弹出优化提示,我们只需点击链接,即可完成客户端的安装,实现“客户端用户自助安装”。原来我们一直担心的难题,居然也就这样被化解了…

点评:网络之复杂如同人体机理之繁杂,如何协同各类制式的多种网络设备联动起来,并保证其运作过程安全通畅,不留安全死角和盲区?多重准入机制弹性部署,可以完美实现这一点。

体验五:反客为主 技高一筹

受访者:某国有银行某省分行信息主管

近期,由于终端存在安全隐患所造成的威胁事件屡屡发生,作为省分行的数据中心,安全是我们的重中之重。通过与业界几家大的安全厂商逐一作了交流,我们更加关注到终端安全的重要性,特别是在试用了天珣产品后,决定加大网络准入控制相关投入,并对接入交换机更新换代,因此引入另外一家交换机备份厂商T,同时要求他们必须能够支持基于天珣的网络准入。

一开始,这家设备商T觉得是小case,独自扛一台交换机到我行测试,却不知为何测不通网络准入,看着满头大汗的T技术人员,我们支招让他们请天珣厂商协助解答。

经过天珣的技术人员分析,发现了问题所在,原来T没有严格遵循802.1x协议标准存在bug,其中一项关键属性“Srvice type”的值不准确,导致无法进行网络准入认证。修复了这个bug,测试通过,T也入围我行,成为我们正式的接入交换机设备供应商。

无独有偶,听说类似的故事在另一家知名通讯公司F也发生过,交换机的bug在天珣厂商的帮助下解决后,F的员工对自己的交换机在802.1x支持的评价是“很垃圾”…

专业安全厂商,还真有两下子!难题还得找他们来解决。

点评:术业有专攻,安全厂商在专业领域还是有自己的一套,有实力就有话语权。

结语:通过以上的几个内网安全管理的案例,我们有这样一些感受:

1、 并非只有国外厂商才能成为应用的领导者和创新者。最早大规模准入控制部署,几家国内大型企业勇敢尝试并大胆启用了国产安全产品,经受起重重考验,走在世界前列。

2、 技术手段,往往是克服“人治”痼疾的良方。

3、 专业的安全部署能在最大程度保护用户现有资源及资产前提下,满足各类需求。

4、 网络世界的门户防守,网络设备商无法独步天下;专业安全厂商因为专注,所以专业。

5、 网络世界在不断膨胀和发展,我们管理的不仅是昨天和今天,还有明天。灵活弹性的多层准入机制,才能适应未来的发展,能够帮助我们超越各类复杂的困境,解决看似无法解决的难题。

 

责编:张鹏宇
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918