一汽大眾萬人規模終端安全立體防護
責編:admin |2015-01-29 13:23:50客戶背景
一汽大眾汽車有限公司是由中國第一汽車集團公司和德國大眾汽車股份公司、奧迪汽車股份公司及大眾汽車(中國)投資有限公司合資經營的大型乘用車生產企業,是我國第一個現代化乘用車工業基地。在長春、成都、佛山共有三大生產基地,總員工達2萬余人,上下游產業鏈涉及1000多個企業共50萬人,2011年銷售額達2000億人民幣。
客戶面臨的挑戰
隨著一汽大眾業務及信息化建設不斷發展,終端數量愈加龐大,如何有效安全管理,降低IT運維成本,提高工作效率,建設完善的內網立體安全管理體系成為一汽大眾進一步發展的重要課題。
這樣一個跨地域的大型企業,在業務不斷發展,人員不斷擴增的情形下,終端安全管理問題,逐漸突顯。
1)萬人規模,如何有效管理與維護
一汽大眾正式員工總人數達到2萬多人,網絡規模大,終端用戶水平參差不齊,而網絡管理人員編制有限,終端資產管理,大規模IT事件如終端安裝操作系統補丁等繁雜的客戶端問題,成為一汽大眾網絡安全管理的瓶頸。
2)如何控制非法訪問、合理授權管理
原終端管理方式缺乏有效的準入控制手段,任何終端只要插入網絡就能夠自由的訪問整個網絡,存在大量非法接入和非授權訪問的狀況,導致業務系統的破壞,以及關鍵信息資產的泄漏,已經成為急需解決的重要風險。
3)提高網絡立體防護能力
一汽大眾信息點數眾多,需要有效地實現從入網認證到用戶在網絡中的行為進行整體管控的能力,如出現問題,只能“頭痛醫頭,腳痛醫腳“,非常需要加強全方位的安全防護能力。
解決方案
華為針對一汽大眾網絡安全現狀,通過為一汽大眾部署SecospaceTSM終端安全管理系統,將內部網絡分為多個區域,進行集中管理、分域防護,關鍵設備冗余部署,實現業務連續性保障;在網絡層面,從網絡終端、到網絡邊界進行準入控制;在安全策略層面,從身份認證、安全檢查、授權訪問、監控、響應、行為審計等多角度實現立體安全防護。
1)集中管理、分域防護、冗余部署
針對一汽大眾這樣萬人規模的龐大終端數量,華為采用SecospaceTSM終端安全管理系統以集中管理方式,實現統一定制安全策略;
在總部業務系統區域部署2臺TSM系統管理服務器互為冗余,分支機構分別部署2臺TSM系統控制服務器互為冗余,負責當地終端的身份認證和安全檢查,所有的控制器統一由總部的管理服務器進行管理;
將現有網絡資源按照業務和安全等級劃分為隔離域、服務器區域、辦公區域等三個安全域,授予不同用戶不同訪問權限,實現針對不同級別用戶限制訪問一個或多個受控域,防止非法接入及越權訪問。
2)聯動準入控制、最小化授權管理
在所有接入終端安裝客戶端Agent,通過終端安全管理系統(TSM)服務器與SACG網關設備的聯動,通過客戶端Agent收集終端是否為授權身份,與SACG認證網關信息交互,確認終端的網絡訪問權限。并通過策略管理最小化授權。
3)實現立體安全防護
從網絡邊界、網絡設備、終端等,實現點、線、面立體安全防護能力,最終保證業務的安全。
在所有接入終端安裝TSM系統的客戶端Agent。通過信息自動收集、自動更新,逐步建立設備生命周期性管理,提高桌面資產可管理性。建設統一、穩定、自動的操作系統補丁程序安全更新機制;對終端安全性、健康度檢查。實現策略的離線控制管理,防止終端繞過安全管理機制造成安全威脅,提高工作效率。
華為在為各行業伙伴提供終端安全解決方案的同時,自身也是十幾萬人的大規模應用,與一汽大眾模式相近,華為堅信可以為一汽大眾提供長期安全方案服務。
客戶價值
一汽大眾內網系統打造了一套“綠色終端”,實現終端的標準化運維工作,通過一體化、多層次和全方位的內網安全管理,實現一汽大眾從被動響應到有預見性、主動性的防御方式轉變。
通過業界最多的終端安全檢查策略,提供完善的系統安全加固和安全防護方案,全面評估終端的安全狀態,保證終端安全、受控,實現一汽大眾安全管理政策的落實,滿足一汽大眾對法律法規遵從性的需求。
降低資產管理、IT運維成本,在只有數十個網絡管理人員的情況下,有效支撐長春、成都及佛山三個生產基地的網絡及終端管理,極大程度的提高了生產和辦公效率,并對后續終端規模的發展提供了有力的保障。
