位于上海郊區(qū)的某電器公司內，IT 運維部門領導的電腦上正顯示著全公司內網(wǎng)里所有在線設備的運行狀況，從入網(wǎng)人員身份到在網(wǎng)終端是公司設備還是個人設備，設備的 IP、MAC、操作系統(tǒng)類型、網(wǎng)絡流量使用情況、數(shù)據(jù)包、殺毒軟件是否安裝并運行，一系列信息清晰直觀地呈現(xiàn)在屏幕上。

如今，公司內網(wǎng)的安全性大幅提升。曾經(jīng) IT 部門推行全員電腦安裝殺毒軟件的安全政策因執(zhí)行不到位而中斷的情況也不復存在，動動鼠標添加一條規(guī)則：接入企業(yè)有線、無線網(wǎng)絡的 PC 電腦必須安裝并運行殺毒軟件，否則禁止入網(wǎng)。點擊執(zhí)行后，規(guī)則立刻生效。無論是公司電腦還是個人電腦想要接入公司內網(wǎng)必須符合這個準入條件，未安裝（或未運行）殺毒軟件的電腦自助安裝（運行）后經(jīng)過合規(guī)檢測才允許訪問內網(wǎng)，化被動為主動。

通過這樣一套網(wǎng)絡準入控制系統(tǒng)，在公司內網(wǎng)邊界拉起了一張無形的防護網(wǎng)，入網(wǎng)人員和終端設備的聯(lián)合信任，使得內網(wǎng)里重要的數(shù)據(jù)資產(chǎn)均得到了切實嚴密的保護。

但在一個月之前，該公司內部還是另一番景象。

原來，隨著辦公信息化的不斷發(fā)展，公司內網(wǎng)架構引發(fā)的安全隱患越發(fā)突顯。公司有線網(wǎng)、無線網(wǎng)還沒有做安全管控，任何人員獲取到SSID和密碼后都能隨意接入網(wǎng)絡。研發(fā)科室的網(wǎng)絡也未做更精細化的準入管控，存在一定的安全風險。公司內部為了確保安全而采購的殺毒軟件、桌管軟件不能100%覆蓋，未起到預期作用。

為增強企業(yè)網(wǎng)絡的安全性及可控性，期望針對企業(yè)重點場所員工接入網(wǎng)絡的終端執(zhí)行嚴格的準入控制策略，實現(xiàn)對網(wǎng)絡安全更精細粒度的控制，該公司 IT 部門領導計劃對入網(wǎng)人員、終端進行身份認證和終端管控。

● 挑戰(zhàn)一

有線、無線網(wǎng)絡，人員可隨意連接，入網(wǎng)人員身份未知。

● 解決方案一

用寧盾網(wǎng)絡準入系統(tǒng)對入網(wǎng)的人員進行身份識別、認證和訪問授權。訪客自助申請經(jīng)審批后才可認證入網(wǎng)。

● 挑戰(zhàn)二

對入網(wǎng)設備一抹黑。接入內網(wǎng)的設備是否安全？是公司電腦還是個人電腦？是否安裝殺毒、桌管？

● 解決方案二

設立內網(wǎng)準入基線，入網(wǎng)終端必須加域并安裝殺毒軟件、桌管，否則進行網(wǎng)絡隔離告警。

無需安裝客戶端，運維更輕體驗更好

作為研發(fā)驅動的高新技術企業(yè)，無論是運維部門還是最終用戶，都希望有順滑、無摩擦的使用體驗。在此之前，公司 IT 也了解了其他準入方案，但要實現(xiàn)期望的效果必須借助客戶端。拋開用戶體驗不談，對于運維人員來說，三個分支機構，數(shù)百點終端，安裝工作也是一個不小的挑戰(zhàn)。

而無客戶端方案，不僅可以結合公司現(xiàn)有的AD域環(huán)境，還能實現(xiàn)終端設備免安裝即可檢測出：

● 終端殺毒軟件是否運行、病毒庫是否最新

● 系統(tǒng)補丁包是否更新

● 系統(tǒng)安裝軟件

● 系統(tǒng)當前運行進程

● 系統(tǒng)CPU/內存使用情況

不僅可以省去安裝部署的工作量，IT 需求也全部得到了滿足，不犧牲用戶體驗，又兼顧了運維效率。

北上廣三個分支，實現(xiàn)集中統(tǒng)一管控

除上?？偛客猓摴驹诒本?、廣州均設有分支機構。分支與總部內網(wǎng)互通，不同品牌的網(wǎng)絡設備構成了異質化的基礎架構，所以需要一款兼容性強、靈活、開放的軟件來支撐內網(wǎng)的安全管控。

寧盾網(wǎng)絡準入系統(tǒng)足夠的開放性、兼容性極大滿足了公司IT基礎架構，對主流廠商設備都能快速對接。目前，IT 部門只需要維護這一套系統(tǒng)，大幅降低了管理成本。

異地多活高可用，提升業(yè)務連續(xù)性

該公司擁有強大的生產(chǎn)線，在上海擁有近2萬平米的生產(chǎn)基地，產(chǎn)品遠銷歐洲、亞洲、北美等地區(qū)。確保業(yè)務不中斷是擺在所有準入廠商面前的一道難題。

寧盾啟用高可用方案，在北、上、廣三地各部署一套軟硬件產(chǎn)品，三套互為主備，確保在自然災害、設備故障、人為操作破壞等情況下，業(yè)務也能不間斷運行。

云計算、移動辦公等趨勢的普及，使得企業(yè)內接入的終端數(shù)量和類型越來越多，接入方式也更加多樣化，網(wǎng)絡邊界逐漸模糊消失，取而代之的是零信任安全理念的盛行。在零信任理念中，“身份”才是新的邊界，每臺設備都可以視作通過身份識別訪問資源的網(wǎng)關。因此，確保入網(wǎng)人員和終端的身份可信、合規(guī)，才能實現(xiàn)內網(wǎng)安全的最終目標。

“通過寧盾無客戶端準入方案，解決了我們公司網(wǎng)絡內人員身份認證和訪問授權問題，也讓每一臺進來的設備都能符合我們的安全策略，在保證了用戶體驗的同時，也讓 IT 運維省心、省力、省時間。”該公司 IT 部門負責人說道：“對于像我們這樣的科技創(chuàng)新企業(yè)，都可以嘗試寧盾網(wǎng)絡準入，我相信一定是一次明智的抉擇。”