一汽大众汽车有限公司是由中国第一汽车集团公司和德国大众汽车股份公司、奥迪汽车股份公司及大众汽车(中国)投资有限公司合资经营的大型乘用车生产企业,是我国第一个现代化乘用车工业基地。在长春、成都、佛山共有三大生产基地,总员工达2万余人,上下游产业链涉及1000多个企业共50万人,2011年销售额达2000亿人民币。
随着一汽大众业务及信息化建设不断发展,终端数量愈加庞大,如何有效安全管理,降低IT运维成本,提高工作效率,建设完善的内网立体安全管理体系成为一汽大众进一步发展的重要课题。
这样一个跨地域的大型企业,在业务不断发展,人员不断扩增的情形下,终端安全管理问题,逐渐突显。
1)万人规模,如何有效管理与维护
一汽大众正式员工总人数达到2万多人,网络规模大,终端用户水平参差不齐,而网络管理人员编制有限,终端资产管理,大规模IT事件如终端安装操作系统补丁等繁杂的客户端问题,成为一汽大众网络安全管理的瓶颈。
2)如何控制非法访问、合理授权管理
原终端管理方式缺乏有效的准入控制手段,任何终端只要插入网络就能够自由的访问整个网络,存在大量非法接入和非授权访问的状况,导致业务系统的破坏,以及关键信息资产的泄漏,已经成为急需解决的重要风险。
3)提高网络立体防护能力
一汽大众信息点数众多,需要有效地实现从入网认证到用户在网络中的行为进行整体管控的能力,如出现问题,只能“头痛医头,脚痛医脚“,非常需要加强全方位的安全防护能力。
华为针对一汽大众网络安全现状,通过为一汽大众部署SecospaceTSM终端安全管理系统,将内部网络分为多个区域,进行集中管理、分域防护,关键设备冗余部署,实现业务连续性保障;在网络层面,从网络终端、到网络边界进行准入控制;在安全策略层面,从身份认证、安全检查、授权访问、监控、响应、行为审计等多角度实现立体安全防护。
1)集中管理、分域防护、冗余部署
针对一汽大众这样万人规模的庞大终端数量,华为采用SecospaceTSM终端安全管理系统以集中管理方式,实现统一定制安全策略;
在总部业务系统区域部署2台TSM系统管理服务器互为冗余,分支机构分别部署2台TSM系统控制服务器互为冗余,负责当地终端的身份认证和安全检查,所有的控制器统一由总部的管理服务器进行管理;
将现有网络资源按照业务和安全等级划分为隔离域、服务器区域、办公区域等三个安全域,授予不同用户不同访问权限,实现针对不同级别用户限制访问一个或多个受控域,防止非法接入及越权访问。
2)联动准入控制、最小化授权管理
在所有接入终端安装客户端Agent,通过终端安全管理系统(TSM)服务器与SACG网关设备的联动,通过客户端Agent收集终端是否为授权身份,与SACG认证网关信息交互,确认终端的网络访问权限。并通过策略管理最小化授权。
3)实现立体安全防护
从网络边界、网络设备、终端等,实现点、线、面立体安全防护能力,最终保证业务的安全。
在所有接入终端安装TSM系统的客户端Agent。通过信息自动收集、自动更新,逐步建立设备生命周期性管理,提高桌面资产可管理性。建设统一、稳定、自动的操作系统补丁程序安全更新机制;对终端安全性、健康度检查。实现策略的离线控制管理,防止终端绕过安全管理机制造成安全威胁,提高工作效率。
华为在为各行业伙伴提供终端安全解决方案的同时,自身也是十几万人的大规模应用,与一汽大众模式相近,华为坚信可以为一汽大众提供长期安全方案服务。
一汽大众内网系统打造了一套“绿色终端”,实现终端的标准化运维工作,通过一体化、多层次和全方位的内网安全管理,实现一汽大众从被动响应到有预见性、主动性的防御方式转变。
通过业界最多的终端安全检查策略,提供完善的系统安全加固和安全防护方案,全面评估终端的安全状态,保证终端安全、受控,实现一汽大众安全管理政策的落实,满足一汽大众对法律法规遵从性的需求。
降低资产管理、IT运维成本,在只有数十个网络管理人员的情况下,有效支撑长春、成都及佛山三个生产基地的网络及终端管理,极大程度的提高了生产和办公效率,并对后续终端规模的发展提供了有力的保障。