• 客户痛点需求
一、服务类终端数量庞大,存在网络仿冒篡改风险:各类智能自助服务类设备越来越多,众多终端设备部署在户外、分散安装、易被非法人员接触到而又没有纳入管理,存在物理攻击、篡改和仿冒的重大隐患,随着网络安全攻击路径的多样性变化,终端成为了安全防护的薄弱环节。
二、终端设备厂家杂乱,缺少认证机制:通信规范、防护措施在网络链路层、传输层等未建设有效的防护网,缺少适用于物联网终端的接入认证和数据传输机制;终端设备普遍存在漏洞、大量开放端口、网络协议混杂等安全风险,容易被恶意代码感染,增加了网络层的安全风险。三、安全管理和运维体系尚未构建,无法对设备实时管理和监控:终端设备的信息、运行状态、关系拓扑等无法实时的展示,安全告警信息无法实时通知。
针对智慧营业厅目前首先需要解决的问题和需求,制定了以下方案,首先在交换机间通过透明模式部署综合安全网关,设备同时发挥业务安全和设备管理的功能。既实现了不影响原有网络结构,又能实现对营业厅自助终端和人工终端保护的能力。同时,设备本身又可以将网络安全情况上报到统一管理平台。
实现营业厅营销服务类终端具有防网络攻击功能,能在受到主流的网络攻击类型的攻击下不影响正常的业务流量;可以抵挡主流的TCP SYN泛洪、UDP泛洪、ICMP泛洪等攻击类型;
通过设备集中管控平台可查看网络攻击行为产生告警审计信息,在攻击时同时观察业务流量,查看其通信延时是否会受到影响;在检测到非法数据后能阻断相关物理端口的所有通信连接功能等,实现对营业厅网络和安全设备统一管理,降低非法人员对设备越权管理。
• 方案优势
一、 无代理终端发现
智能营业厅防护监测单元基于无代理的技术路线,通过主/被动结合的技术来自动发现企业网络的设备,不仅能够识别终端的操作系统、品牌、厂商、固件号等指纹信息,还能识别终端的运行状态、连接关系、拓扑环境、上下行流量等状态信息。
二、 终端防冒用监测防护
智能营业厅防护监测单元采用无代理方式,综合主动和被动方式对网络终端进行发现和识别,综合终端IP地址、硬件地址、操作系统、开放端口、访问端口、协议指纹等多维度对每个终端生产一个唯一的终端指纹码,能够实时监测终端信息的变化,实时发现状态异常和仿冒的终端并告警,确保终端的唯一合法性。检测单元具备防火墙的功能对于不合法的终端进行阻断。
三、 第三方设备联动
第三方联动是指在终端发生异常时比如IP、mac的地址串改,未授权的终端接入等,可信智能营业厅防护监测单元除了已有的网络防护措施以外,还可以与第三方设备联动功能,通过将异常信息发送第三方网络设备,实现对终端的管控。同时设备也提供相应的接口,与网管大平台的对接。
四、 节约成本设备利旧使用
智能营业厅防护监测单元需要与现有网络交换机设备进行设备联动,因此需要尽量兼容现有网络中大部分品牌型号的交换机,达到利旧节约成本的目的。
五、 防攻击
智能营业厅防护监测单元具有防网络攻击功能,能在受到主流的网络攻击类型的攻击下不影响正常的业务流量。设备可以抵挡主流的TCP SYN泛洪、UDP泛洪、ICMP泛洪等攻击类型。
• 客户受益/客户价值
通过部署智能营业厅防护监测设备和设备统一管控实现对整个营销网络上服务类终端的防护和监控及网络安全设备的管控,具体目标如下:
一、通过主动和被动两种方式实现对营销终端的发现、识别,实现终端资产的可视化和仿冒用功能;
二、具有行为分析功能,可以对每一类业务甚至每个终端的通信、业务行为分析建模,建立访问控制黑白名单机制,实现终端业务行为的可视化和基于行为的细粒度管控;
三、通过收集和分析智能营业厅防护监测单元上送日志信息和网络状态信息,对全网所有终端状态进行全局展示,实时显示网络中终端的运行状态、在离线状态、流量情况、网络拓扑情况等信息;
四、通过设备集中管控可以对监测单元纳入集中管理,统一运维。最终实现可视、可管、可控,极大地提升电力营销的信息网络安全防护。
• 目标客户(哪些行业客户)
银行,电网,运营商,医院
