產品解決方案
一、案例背景
隨著云計算、大數據、物聯網、SDN等新技術的快速應用,信息化的高速發展使得業務規模不斷擴大,分支站點數量不斷增加。傳統運維方式受地理位置和IT資源限制,無法做到實時監測到各個分支設備的運行狀態,無法掌握設備系統資源變化趨勢。當設備故障發生時,運維服務人員不能第一時間得到故障信息、設備狀態、設備的歷史記錄等,無法做出有效的應對和處理,只能到現場后才能診斷。這樣導致故障的修復時間長、運維效率低、影響信息系統的正常運行。
同時隨著運維精細化要求的日益提升,部署場景復雜化,導致用戶對數據分析的要求也越來越高,借助海量的日志數據,提前定位和預知各類安全威脅,從而進行趨勢預測、數據分析和多維度評估,為運維決策提供有力依據。各行各業信息化建設不斷深入和完善,良好的運維體系成為了信息化系統健康有序運營的必要支撐,因此建立運維故障智能分析模型,實現快速定位分析和遠程故障排查能力,保障業務高可用性,構建新型智能化運維管理體系,成為信息化建設不可分割的部分。
二、案例概述
通過對信息化建設和運維管理現狀的調研和深入分析后,了解到目前客戶IT運維發展的現狀及面臨的風險挑戰如下:
1.各分支機構和總部之間雖有專線形成了一個局域網用于業務的訪問和通信加密傳輸安全保障,各業務都在一個局域網里面,未做到業務與業務之間的隔離,還是存在業務交叉泄露的風險。
2.各分支機構對接入網絡的設備、資產、終端未進行實名的身份安全,存在身份被冒用的風險,對于訪問的業務也無法做到基于身份的細粒度授權,從而導致資源訪問混亂和信息泄密的風險。
3.分支機構不斷增加,組網規模不斷擴大,缺少一套針對組網設備的統一監控系統,及時了解邊界網關硬件設備的運行趨勢,快速故障定位,高效處理故障的解決方案。
4.業務服務的規模增大,規劃、維護、安全、管理等分工更加細致,缺乏對業務系統健康狀況和運行安全的監測,及時了解邊界網關硬件設備的運行趨勢,快速故障定位,高效處置故障、全網可視化的安全態勢感知和深層次的安全風險分析。
5.缺少終端管控手段,對于所有接入業務網絡的科研、生產和管理用的計算機都處于受控狀態,不受管理的計算機不能連入到內網,對于接入內網的計算機的操作都需要進行管控和審計,避免數據泄露。
6.邊界網關設備部署量不斷增多,管理流程日益復雜,管理成本不斷上升,缺乏能夠真實反映設備和業務運行情況與運行質量的統計分析報表,無法為運維、擴容調優提供有效的數據支撐。
三、安全技術應用情況
智行零信任安全解決方案
整個安全體系建設方案分為網絡隔離、訪問控制、終端控制三個部分。具體如下
1.專線內的隔離采用SD-WAN部署方案
利用SD-WAN的技術在現有的專線內網里面組件一個或者多個隔離的業務專網,用于分割不同的業務避免業務交叉,保障各業務網絡的獨立性和安全性。
在總部中心部署SD-WAN智能管理平臺,納管總部及分支機構Edge智能網關設備,實現整網的統一編排、實時監控,達成網絡整體運營的歸一化。總部接入位置部署高性能Edge網關,來對分支機構的上聯數據流量進行整合調度。各分支機構上聯位置部署Edge網關,對相關業務數據進行分類、檢測、加固、調度。根據各項目工作組的業務需求和組網要求,由智能管理平臺統一模板化下發篩選調度策略,實現業務工作組內的虛擬專網組建,達到工作組內高效互聯、工作組外隔離和訪問受控的網絡要求。
2.專網內的終端接入訪問控制安全部署方案
采用零信任安全理念對每個接入隔離業務專網的計算機終端進行全面的身份認證和動態訪問控制授權,保障只有被許可的人員訪問被授權的業務資源。在SD-WAN形成的業務專網里部署一臺零信任安全網關和零信任安全大腦,作為所有專網內用戶的身份認證及訪問業務系統的代理,訪問控制和授權所有訪問業務系統的終端必須安裝零信任安全瀏覽器或者客戶端,零信任安全大腦對所有訪問業務系統的瀏覽器和客戶端進行身份認證和授權,未安裝客戶端的用戶無法看到和訪問業務系統。
3.專網內的終端安全管控與零信任相結合部署方案
采用終端管控技術對用戶的訪問行為進行進一步的規范和控制,對于涉密的結構化數據和非結構化數據進行管控和審計,防止數據泄密。終端管理與零信任相結合,為訪問控制決策提供更加豐富的數據源支撐。基于零信任安全理念,以身份管控和動態授權確保業務訪問安全,以準入控制和介質管控確保終端接入安全。
四、客戶反饋效果
安全風險降低情況及使用效果情況
1.健全身份認證系統,加強身份生命周期管理
建設統一身份管理系統。實現職工在入職、升職、轉崗、調動、離職等場景下信息系統賬號的全生命周期管理,建立無縫的用戶身份管理體系;完善安全認證系統,為應用系統提供統一的靜態口令、短信驗證碼、動態令牌等認證方式,并預留未來指紋、虹膜、人臉等生物識別認證手段的接入準備;集成本單位主要信息系統,將本單位主要信息系統接入至統一身份認證管理系統平臺,充分利用平臺作為身份安全基礎設施提供的身份管理統一認證能力,同時支持對接上級單位信息系統。
2.實現動態訪問控制,重構網絡安全訪問邊界
以身份為中心,通過應用層業務代理縮小各個業務系統的暴露面,統一用戶對業務系統的訪問入口,根據用戶身份按需開放業務入口,同時基于零信任安全理念,遵循以下三個原則:
網絡無特權化原則:不靠網絡位置建立信任關系,所有用戶、設備和訪問都應該被認證、授權和加密;
信任最小化原則:在網絡層面,用戶只能“看見”和“接觸”到他所需要的訪問的業務系統,獲得最小權限;
權限動態化原則:訪問控制策略應該是動態的,應基于盡量多的數據源進行計算和評估。
提升零信任訪問控制中心能力,建設零信任安全大腦,將網絡安全基礎設施納入分析數據源,針對訪問主體和訪問客體進行持續的信任評估,實現動態的訪問控制。
3.建立虛擬專用網絡,確保分支安全便捷組網
基于現有Internet、MPLS、LTE等任意鏈路,采用Overlay技術部署SD-WAN,針對各業務搭建業務專網,各業務專網之間進行隔離,以保障業務自身網絡的獨立性和安全性。
通過平臺化的智能管理,納管總部及分支機構的接入網關設備,實現整網的統一編排、實時監控,達成網絡整體運營的歸一化。
4.強化終端基線管控,牢筑數據安全防御壁壘
終端安全管理系統與環境安全監測中心實現聯動,將現有能力結合終端進程、終端用戶行為納入基線管控,并能有效支撐訪問控制策略決策。
在端側集成網絡準入控制、存儲介質管控、文檔不落地、文件外發管控等功能,強化數據安全防護能力。
5.增強資產威脅感知,構建應用信任評估體系
態勢感知與安全運營平臺和網絡安全監測分析中心實現聯動,通過EDR、結合用戶訪問行為全面提升現有資產及流量的威脅感知能力,同時有效支撐訪問控制策略決策,及時避免威脅向用戶側反向或資產側橫向擴散。
6.協同運維工作空間,創建統一運維安全體系
基于零信任安全理念打造的一整套全新的、符合中心化管理、即插即用、靈活擴展的IT運維管理與安全審計解決方案,構建總分型機構內部IT運維服務支撐環境的同時,充分滿足IT運維管理過程中對運維安全、服務成本和服務質量的訴求,搭建精簡、高效、安全的IT運維管理體系,幫助IT運維管理人員全面應對各類運維資源及運維事件,同時進行集中賬號管理、精細化的權限管理和過程審計,提升風險控制水平,同時保障內部數據和信息的安全。在遠程IT服務方面,保障IT技術人員、合作伙伴以及第三方運維服務團隊可以在任何時間、地點和設備上安全完成IT的運維管理工作,并能實現高效的線上和線下、以及線上和線上全方位的協同工作。
400-700-1218
微信公眾號
公司微博
公安備案號:44030502000376