项目建设背景
宝钢股份网络采用以太网络,其中各个办公地点之间使用光纤连接。网络设备使用Cisco系列产品。宝钢股份内网截至目前划分VLAN共计75个,后期可能增至85个。其中eCop中央控制服务器与其他监控设备单独部署在一个网段之中。
宝钢股份接入内部网络的计算机共有5000台左右,同属于一个网络安全范畴。IP地址采用静态指定的方式。
宝钢股份内网安全管理系统的特点:
1、全网部署eCop系统IP地址管理功能,解决IP地址滥用冒用和IP地址冲突的问题。
2、宝钢股份各个部门安全等级大多是统一的,没有重点和非重点之分。
3、宝钢股份有一个独立的信息化管理部门-宝钢股份设备部,负责宝钢股份网络管理的是通讯管理室,其中绝大部分的人为相关计算机专业出身,具备相关的理论水平和实践经验。
4、宝钢股份网络环境运行稳定性要求比较高。同时宝信软件系统服务部和智能化工程事业部提供专业的技术支持,有一定的运行维护经验和管理水平。
宝钢股份内网资源的特点:
终端分散程度:二级机构众多,内网节点总数大,位置相对比较分散;
问题与需求分析
宝钢股份是国内规模最大的制造型企业之一,由于网络环境规模较大、节点很多,管理起来由一定难度。主要有下列需求:
1、外联监控
涉密网内的计算机不让访问外部计算机或者Internet;
2、设备端口管理
不允许用USB等设备拷贝资料,特别是计算机的通讯端口,一般需要禁用掉。
3、资产管理
由于二级单位使用的计算机比较分散,台帐不好管理,对“基础信息”和“资产信息”的集中管理的需求强烈。
4、节点接入控制
对于不是该内网的计算机接入内网,希望能对该未登记注册的计算机进行快速隔离和阻断。
对于内部非法修改终端计算机网络设置的计算机能进行验证,即节点验证的需求。
对于大厦中裸露物理网口的保护。
5、访问权限控制
宝钢股份客户端数目众多,管理人员较多,需要准确分清“你是谁”“可以做什么”等权限问题。
6、服务监控
内网中的计算机是很多都是通过服务器来获取网络共享资源,如果服务器宕掉,或者其中运行关键服务关键进程出现问题,将影响到内网信息的可获得性,也是影响信息安全的一个重大问题。
方案设计
eCop中心控制服务器部署在宝钢指挥中心计算机中心机房的管理网段内。由于宝钢股份目前没有实施客户端安全管理模块,因此目前只部署了eCop中央控制服务器1台和IP地址管理代理31套。整个实施方案工作的示意图如下:
方案实施与效果
整个方案的实施大致分为以下阶段:
1、信息中心工作人员试用eCop。信息中心的人员先在自己部门小范围内试用,积累初步经验。
2、全面部署IP管理代理,IP地址管理模块正式上线阶段,完成全网接入用户的实名管理和非法阻断。
eCop的成功实施和稳定运行,规范了内网的IP地址管理,为内网规范化管理提供了技术保障,提升了网络和服务器安全管理的水平,达到如下效果:
1、规范了网络接入的管理程序,新增加的需要接入内网的计算机,需要到信息中心报备和批准;
2、杜绝了由于一般人员私自修改IP地址造成服务器冲突、停机的现象,避免了重大经济损失;
3、极大减轻了管理人员的工作量;
4、充分实现“以人为本”的理念,实现信息安全工作齐抓共管。
|
