体验四:釜底抽薪 一统大业
受访者:某电力公司IT技术主管
2010年,我们E电力公司根据内网安全管理的需要,选定天珣作为构建内网准入控制体系和终端合规管理的产品。但部署时却面对很大的困惑:由于业务模式关系和一些历史原因,我司内网非常复杂,网络结构跨越了傻瓜式的HUB和支持802.1x可网管的交换机两个时代,只有一部分区域能够支持该协议,想要基于802.1x进行网络准入控制的全覆盖根本不可能。怎么才能解决这个棘手问题呢?
这个问题没有难倒天珣,天珣厂商针对我司内网和终端进行深入的调研和分析后,发现我司虽然无法全面实施基于802.1x的网络准入,但是可以在我们内部启用包括网络准入、应用准入和客户端准入等多种准入控制,完全满足我司的内网安全管理需求。
天珣工程师详细解释了实现方法:对需要访问Internet和营销系统的终端,启用基于DNS的应用准入控制,对能够访问互联网的终端执行准入控制;针对只能访问电力营销系统的终端,在电力营销系统前面部署一台天清汉马USG,与天珣一起联动,对能够访问电力营销系统的终端执行准入控制。如此以来,原本无力管理的终端,包括远在海边的变电站、变电所,都完全纳入到准入控制的覆盖范围内。
值得一提的是,在企业天珣的应用准入和与USG联动准入之后,对于未安装客户端的终端,天珣应用准入能够为用户弹出优化提示,我们只需点击链接,即可完成客户端的安装,实现“客户端用户自助安装”。原来我们一直担心的难题,居然也就这样被化解了…
点评:网络之复杂如同人体机理之繁杂,如何协同各类制式的多种网络设备联动起来,并保证其运作过程安全通畅,不留安全死角和盲区?多重准入机制弹性部署,可以完美实现这一点。
体验五:反客为主 技高一筹
受访者:某国有银行某省分行信息主管
近期,由于终端存在安全隐患所造成的威胁事件屡屡发生,作为省分行的数据中心,安全是我们的重中之重。通过与业界几家大的安全厂商逐一作了交流,我们更加关注到终端安全的重要性,特别是在试用了天珣产品后,决定加大网络准入控制相关投入,并对接入交换机更新换代,因此引入另外一家交换机备份厂商T,同时要求他们必须能够支持基于天珣的网络准入。
一开始,这家设备商T觉得是小case,独自扛一台交换机到我行测试,却不知为何测不通网络准入,看着满头大汗的T技术人员,我们支招让他们请天珣厂商协助解答。
经过天珣的技术人员分析,发现了问题所在,原来T没有严格遵循802.1x协议标准存在bug,其中一项关键属性“Srvice type”的值不准确,导致无法进行网络准入认证。修复了这个bug,测试通过,T也入围我行,成为我们正式的接入交换机设备供应商。
无独有偶,听说类似的故事在另一家知名通讯公司F也发生过,交换机的bug在天珣厂商的帮助下解决后,F的员工对自己的交换机在802.1x支持的评价是“很垃圾”…
专业安全厂商,还真有两下子!难题还得找他们来解决。
点评:术业有专攻,安全厂商在专业领域还是有自己的一套,有实力就有话语权。
结语:通过以上的几个内网安全管理的案例,我们有这样一些感受:
1、 并非只有国外厂商才能成为应用的领导者和创新者。最早大规模准入控制部署,几家国内大型企业勇敢尝试并大胆启用了国产安全产品,经受起重重考验,走在世界前列。
2、 技术手段,往往是克服“人治”痼疾的良方。
3、 专业的安全部署能在最大程度保护用户现有资源及资产前提下,满足各类需求。
4、 网络世界的门户防守,网络设备商无法独步天下;专业安全厂商因为专注,所以专业。
5、 网络世界在不断膨胀和发展,我们管理的不仅是昨天和今天,还有明天。灵活弹性的多层准入机制,才能适应未来的发展,能够帮助我们超越各类复杂的困境,解决看似无法解决的难题。