客户简介

中国电信湖南公司是湖南省最大的基础网络运营商和综合信息服务提供商，是省内唯一拥有完整的固定网、移动网、基础网、数字网和数据网的通信运营企业，可以向客户提供丰富多彩、优质高效的信息通信服务，能够满足客户的各种通信及信息服务需求。

客户需求

目前湖南省电信网络连接了众多部门的PC终端，地域分布较广，由于没有一套切实有效的入网安全管理规范，在日常运行过程中暴露出许多安全性隐患，如：

1.外来机器可以随意接入。电信公司有大量的合作伙伴，经常需要接入到单位网络，如果非授权人员随意将外来笔记本电脑接入内网的某个网络端口，很容易伪造成内网中的合法机器入网，从而引发重大安全事故；

2.内部机器安全性无法保证。信息部人员在管理过程中，对如下问题一直缺乏有效的解决手段：如何保证内部PC机的操作系统没有漏洞，补丁得到有效更新；如何保证所有机器的杀毒软件版本统一及病毒库都符合要求；如何保证终端操作系统必须具有一定强度的账号密码。

3.内部人员将内网机器违规带出外网。如果工作人员把电脑带回家或者出差连接了互联网，进行了违规的外联操作，那么在再次接回到电信单位内网的时候就很容易带入木马及病毒，这将给网络内部的破坏攻击提供风险源头。

4.对于存在安全隐患的终端，没有安全可靠的机制或者平台来对其进行快速、有效、智能的安全修复。

应用规模

省公司下属2个一级部门共约500台终端，主要涉及办公台式机、笔记本电脑及外来集成公司人员终端。

解决方案

本方案采用盈高科技的一体化准入终端安全管理平台，在省公司所属2幢办公大楼机房分别部署一台ASM准入控制设备并安装一套DSM桌面管理系统，整个方案基于策略路由（PBR）和Cisco EOU准入强制技术。合法设备经过安全检查合格后方可入网进行正常访问，外来设备只有经过管理员审核批准后才能够接入网络。同时利用DSM桌面管理系统对终端入网后的使用行为进行安全管理，整个网络边界明确，入网流程清晰，终端使用规范安全。

方案效果

根据内网终端安全管理的需求，本方案通过入网规范管理平台与网络设备联动，有效地规避了安全风险。在平台建设后实现了以下效果：

1.解决了终端非法接入问题：终端入网必须遵循一整套规范的安全流程，没有得到管理员许可，任何非法终端将无法接入网络；

2.内网终端的安全性检查与过滤：通过各项安全策略，对入网终端自身的安全性（健康性）进行检查，如果发现存在安全问题，管理平台将自动阻断终端对网络的访问，终端必须完成了相应的加固修复后，方可依据策略访问相应的授权区域；

3.对访问网络的合理切换：对于业务上有访问外网需要的设备，通过策略限制确保了终端在一个时间点只能访问一个网络，比如只能访问互联网，或者只能访问内网，从而避免了终端同时访问两个网络时形成两个网络之间隐蔽通道的问题。