深圳航空终端准入控制项目

业务需求

项目背景
1. 项目总体需求:

• 实现总部园区有线、无线接入控制;

• 以深航某一分公司为试点,实现其内部有线、无线用户的网络接入;

• 其他以专线形式与总部互联的分公司和以IPsec VPN方式与总部连接的各营业部实现其访问公司资源时的准入控制。


2. 设备智能发现与识别:

• 设备发现功能:需要精确定位网络上有多少终端,且需精确定位终端IP、MAC、所属人、所属部门、接入位置等信息;

• 设备分类:需要根据设备类型,自动归类,包括Windows终端、IOS终端、安卓终端、打印机、门禁、IP电话等。


3. 准入控制需求:

• 所有终端都要求使用无代理准入,用户接入类型包括:公共用户、普通用户、无线用户、哑终端用户(IP电话、打印机、门禁、摄像头)、访客;

• 要求准入便捷、但可防止IP地址或者MAC地址仿冒;

• 要求与深信服AC实现单点登录功能;

• 要求与第三方身份验证系统集成,实现单点登录功能。

解决方案

项目建设
通过集中部署联软IT安全运维管理软件,针对接入全公司有线和无线办公网络的终端进行统一安全管控,同时支持包括内部员工、外来访客、外包人员等在内的各种接入场景。具体管控如下:

n 设备快速发现与智能分类:

可精确定位网络上所有终端,且可自动发现终端IP、MAC、所属人、所属部门、接入位置等信息;

终端分类:通过DHCP特征码与流量分析,可精确定位终端类型,可自动识别Windows终端、IOS终端、安卓终端、打印机、门禁、IP电话等,并自动归类。

n 实现全公司Portal无感知认证:

针对不同用户类型智能设计不同的接入方案,从而满足深圳航空复杂化的管控需求,具体如下:

• 普通用户接入:首次接入,输入AD用户名和密码进行身份验证,验证成功后,系统自动获取指纹信息,在指纹有效期内,用户无需再次认证;

• VIP客户接入:可通过DHCP获取指纹信息,管理员手工加入白名单,VIP客户无需认证;

• 哑终端接入:联软后台自动发现哑终端设备,并自动加入到指纹库,从而实现免认证;

• 静态IP终端接入:通过IP地址放行,可基于IP+MAC绑定实现IP地址仿冒;

• 支持与深信服AC联动,实现单点登录;

• 可分类设置访客与内部员工指纹有效期与网络访问权限

方案价值

本方案是联软科技结合深圳航空相关需求,通过准入控制、办公终端集中运维、办公终端安全策略等功能设计,制定的一整套功能完备的终端安全解决方案,可充分满足深圳航空终端环境的风险控制、监管合规和日常运维需要。通过实施本方案,可以达到以下效果:

合规准入控制:

• 可实现深圳航空办公网有线、无线、访客准入控制,避免非法人员以及有安全隐患的终端接入网络;

• 每台终端都能够被管理,且都必须接受管理;

• 通过准入控制、桌面安全的集中管理,确保深圳航空网络安全相关的管理要求做到“可落地、可执行、可检查、可优化”。

终端安全保障

• 使深圳航空办公网电脑实现安全加固,减少安全漏洞,有效降低办公网各类安全风险,提高办公网络业务持续能力;

• 通过将安全状态作为终端准入控制的前置条件,通过准入控制技术确保终端在接入访问办公网络资源前已经处于良好的安全状况;

• 通过终端自检,实时监控终端安全状态,帮助管理员清晰的知道目前网络健康状态。

运维效率提高:

• 实现终端集中管理,使得深圳航空终端安全做到实时的可管、可控、可审;管理员对所有资产的配置及变动情况随时“了若指掌”,各分公司管理员也可通过平台及时了解本分公司终端运行状况;

• 自动识别终端类型,并动态下发安全管控策略,提升运维效率。