客户简介

中华人民共和国外交部（文中简称“外交部”）：中华人民共和国外交部是中华人民共和国政府的外交机关，是中华人民共和国国务院内主管外交事务的组成部门，负责处理中华人民共和国政府与世界其他国家政府及政府间国际组织的外交事务。作为国家重要的部委机构，外交部在信息化发展中取得了巨大成绩，已建立了完善的企业信息化办公网络及各类应用平台。但是由于终端众多，无有效手段对终端行为进行规范，各种问题频发，给运维带来了很大的压力。

客户需求

外交部一直很注重信息化建设，网络建设非常完善，但随着网络应用的增加，网络安全管理的难度增大，面临的主要问题有，外来终端轻松接入内网无法识别接入网络的用户名及设备身份、网络边界无法确定、IP地址私配乱用等。外交部在网络管理中的具体需求为：

1.实名制入网；

2.入网审核；

3.在准入控制的同时不改变网络拓扑；

4.保证接入网络的每一台终端都是符合内部安全规范的，对不合规的机器智能化修复；

5.落实终端对杀毒软件的安装；

6.对入网终端进行访问权限控制；

应用规模

终端规模为近1000台。

解决方案

全网采用策略路由技术接入在核心交换，管理全网接入终端。具体方案包括：

1.实名制入网：入网终端需填写个人注册信息；

2.网络隔离区：对于安全状态评估不合格的用户，可以限制其访问权限，被隔离到金盾网络隔离区，待危险终端到达安全级别后方可入网；
        3.入网审核：新入网终端需经过管理员批准；
        4.安全检查：对于外来计算机由于业务需要接入内网或者访问Internet时，针对对方IP、MAC等端口做授信暂时放行；入网终端需进行安全检查评估，合格后才可接入网络；
        5.内网安全域：对入网终端进行访问权限控制；

方案效果

通过部署以上解决方案，单位实际工作获得如下成效：
        1.对入网终端进行有效的管理，防止其接入单位网络访问重要的服务器，窃取单位的重要资料等；
        2.提高运维工作效率、日常维护工作的方便工具，减轻维护压力；
        3.规范入网终端，掌控终端动态，并进行全面而细致的审计和分析，为信息安全管理提供决策依据；
        4.提高终端设备的安全性和稳定性，减少漏洞攻击事件的发生，避免系统漏洞补丁引发的安全事件；
        5.规范和简化了维护人员日常的工作。