欢迎光临散文网 会员登陆 & 注册

如何通过网络准入系统为运维提速增效?

2023-05-05 17:47 作者:宁盾  | 我要投稿

位于上海郊区的某电器公司内,IT 运维部门领导的电脑上正显示着全公司内网里所有在线设备的运行状况,从入网人员身份到在网终端是公司设备还是个人设备,设备的 IP、MAC、操作系统类型、网络流量使用情况、数据包、杀毒软件是否安装并运行,一系列信息清晰直观地呈现在屏幕上。


如今,公司内网的安全性大幅提升。曾经 IT 部门推行全员电脑安装杀毒软件的安全政策因执行不到位而中断的情况也不复存在,动动鼠标添加一条规则:接入企业有线、无线网络的 PC 电脑必须安装并运行杀毒软件,否则禁止入网。点击执行后,规则立刻生效。无论是公司电脑还是个人电脑想要接入公司内网必须符合这个准入条件,未安装(或未运行)杀毒软件的电脑自助安装(运行)后经过合规检测才允许访问内网,化被动为主动。


通过这样一套网络准入控制系统,在公司内网边界拉起了一张无形的防护网,入网人员和终端设备的联合信任,使得内网里重要的数据资产均得到了切实严密的保护。


但在一个月之前,该公司内部还是另一番景象。


原来,随着办公信息化的不断发展,公司内网架构引发的安全隐患越发突显。公司有线网、无线网还没有做安全管控,任何人员获取到SSID和密码后都能随意接入网络。研发科室的网络也未做更精细化的准入管控,存在一定的安全风险。公司内部为了确保安全而采购的杀毒软件、桌管软件不能100%覆盖,未起到预期作用。


为增强企业网络的安全性及可控性,期望针对企业重点场所员工接入网络的终端执行严格的准入控制策略,实现对网络安全更精细粒度的控制,该公司 IT 部门领导计划对入网人员、终端进行身份认证和终端管控。


● 挑战一

有线、无线网络,人员可随意连接,入网人员身份未知。


解决方案一

用宁盾网络准入系统对入网的人员进行身份识别、认证和访问授权。访客自助申请经审批后才可认证入网。


挑战二

对入网设备一抹黑。接入内网的设备是否安全?是公司电脑还是个人电脑?是否安装杀毒、桌管?


解决方案二

设立内网准入基线,入网终端必须加域并安装杀毒软件、桌管,否则进行网络隔离告警。



无需安装客户端,运维更轻体验更好


作为研发驱动的高新技术企业,无论是运维部门还是最终用户,都希望有顺滑、无摩擦的使用体验。在此之前,公司 IT 也了解了其他准入方案,但要实现期望的效果必须借助客户端。抛开用户体验不谈,对于运维人员来说,三个分支机构,数百点终端,安装工作也是一个不小的挑战。


而无客户端方案,不仅可以结合公司现有的AD域环境,还能实现终端设备免安装即可检测出:

终端杀毒软件是否运行、病毒库是否最新

系统补丁包是否更新

系统安装软件

系统当前运行进程

系统CPU/内存使用情况


不仅可以省去安装部署的工作量,IT 需求也全部得到了满足,不牺牲用户体验,又兼顾了运维效率。



北上广三个分支,实现集中统一管控


除上海总部外,该公司在北京、广州均设有分支机构。分支与总部内网互通,不同品牌的网络设备构成了异质化的基础架构,所以需要一款兼容性强、灵活、开放的软件来支撑内网的安全管控。


宁盾网络准入系统足够的开放性、兼容性极大满足了公司IT基础架构,对主流厂商设备都能快速对接。目前,IT 部门只需要维护这一套系统,大幅降低了管理成本。



异地多活高可用,提升业务连续性


该公司拥有强大的生产线,在上海拥有近2万平米的生产基地,产品远销欧洲、亚洲、北美等地区。确保业务不中断是摆在所有准入厂商面前的一道难题。


宁盾启用高可用方案,在北、上、广三地各部署一套软硬件产品,三套互为主备,确保在自然灾害、设备故障、人为操作破坏等情况下,业务也能不间断运行。


云计算、移动办公等趋势的普及,使得企业内接入的终端数量和类型越来越多,接入方式也更加多样化,网络边界逐渐模糊消失,取而代之的是零信任安全理念的盛行。在零信任理念中,“身份”才是新的边界,每台设备都可以视作通过身份识别访问资源的网关。因此,确保入网人员和终端的身份可信、合规,才能实现内网安全的最终目标。


“通过宁盾无客户端准入方案,解决了我们公司网络内人员身份认证和访问授权问题,也让每一台进来的设备都能符合我们的安全策略,在保证了用户体验的同时,也让 IT 运维省心、省力、省时间。”该公司 IT 部门负责人说道:“对于像我们这样的科技创新企业,都可以尝试宁盾网络准入,我相信一定是一次明智的抉择。”

如何通过网络准入系统为运维提速增效?的评论 (共 条)

分享到微博请遵守国家法律