登录
2021.11.26
3163
江苏易安联网络技术有限公司
一、方案背景
奇瑞汽车股份有限公司,是一家从事汽车生产的国有控股企业,1997年1月8日注册成立,总部位于安徽省芜湖市。随着业务的不断发展规模日益壮大,企业靠OA、ERP、CRM等信息化手段管理,企业对系统的依赖性越来越强,但业务系统建设初期,各系统彼此独立,员工需要切换账号去访问不同的业务系统,可谓“苦多账号久矣”。且出差在外员工访问公司业务或连接公司内部环境,只能通过VPN,多人使用同一账号,难以支持多人同时访问资源的需求,且一旦发生信息泄露等安全事件,溯源困难。原有VPN并发数量不足,无法弹性升级,需要更换高性能设备。复杂的员工远程办公场所环境,存在不可控的安全风险,出现问题后回溯困难,只能定位到IP地址,不能精准定位到人。缺乏基于用户行为的风险评估和联动,不能动态调整访问权限。
二、案例概述
奇瑞公司网络现状和安全需求分析:
企业规模大:成立24年,公司现有普通员工3.7万余人,研发人员0.2万人;
接入有风险:企业各个业务领域的IT系统,移动远程办公及远程运维诸多采用了通过互联网VPN接入方式并向内外部客户提供服务;
设备多样化:Mac、Windows、台式机、笔记本、移动设备等8万余台;
职场分部多:有遍布各地的实体店,有通过专线连接集团企业网络的职场,特殊外包职场,投后公司,切分公司等;
协作厂商多:供应商协作系统、协作研发运维;
安全威胁多:公司现有VPN平台设备已使用8年,设备性能及使用许可不足,在应对本次“新冠”疫情带来的远程办公需求时,在稳定性和有效性方面存在不足;
员工体验差:面临着职员年轻化对办公领域,接入体验的要求。
产品架构图
本方案基于零信任SDP架构,提供统一接入入口,构建端到端的安全访问新模式。两套设备以主备方式串行接入到现网中,位于边界防火墙与业务服务器之间。通过多因子认证、社交化账号接入和设备清单关联,确保只有身份可信的用户使用清单内的设备才能够访问。对访问行为进行精细化访问控制,实现人员对数据“可用可见、可用不可见、不可用不可见”等状态的统一授权管理,防止恶意用户的横向攻击,实现核心应用隐藏,提升数据安全,防DDoS等黑客攻击,在保障数据要素流通的同时保护企业核心数据和个人隐私数据。
三、用户反馈
方案全面支持商用密码算法的使用,满足合规性要求;提供了高强度的身份标识,满足了身份真实性需求,即通过标识和鉴别主体的身份,防止身份的冒用和伪造;收敛互联网暴露面,实现了“业务隐藏”,满足了远程业务开展的安全需求;实现应用“零信任化”,简单运维,降低移动远程办公安全成本;稳定畅联,有效规避奇瑞公司安全风险。
手机:19925407556
邮箱:info@c-csa.cn