面临的挑战

用户是一家全球性贸易公司，通过建立对客户需求快速响应机制，灵活的服务产品组合，实现商流、物流、资金流、信息流、咨询流等的经营，为客户提供专业供应链服务。

企业网络的传统和非传统设备和其他端点服务 - 从 PC、平板电脑和智能手机到工业控制器、虚拟服务器、无线接入点和基于云的应用程序，无所不及。

毫无疑问，设备相关的挑战的范围将随着 BYOD*、IoT*、混合 IT 环境和黑客复杂化而继续增大。随着互联网连接设备和访问者的激增，网络安全成为前所未有的重中之重。

目前为了维护网络内部的整体安全及提高系统的管理控制，需要对企业内网办公终端、服务器、信息系统、关键数据、网络设备等统一进行安全防护，加强对非法外联、终端入侵、病毒传播、数据失窃等极端情况的风险抑制措施。面临以下挑战：

• 缺少全网资产的可视和管理，设备资产的不可视，没有实时资产清单，无法识别资产类别。
• 面临审计和安全合规性检查。
• 保护的关键资产，财务数据和客户信息免受网络间谍，勒索软件和其他威胁。
• 防止网络威胁影响业务，造成停机或故障。
• 智能设备，移动性和自动化，无风险的接入。
• 简化安全策略并扩展所有操作，无论其规模，地域，应用程序或复杂性如何。
• 控制对公司资产的访问，为企业协作和更深层次的供应链整合建立适当的应用程序和网络访问级别。

方案设计

• 在广域网边界部署PaloAlto NGFW；通过NGFW中的AV、IPS、间谍软件模块实现恶意代码防护、病毒、漏洞、入侵防御。
• 在内网安全域边界处，部署虚拟防火墙实现域边界的安全防护，实现内网边界隔离，严格控制进出内网信息系统的访问，明确访问的来源、访问的对象及访问的类型，确保合法访问的正常进行，杜绝非法及越权访问。同时有效预防、发现、处理异常的网络访问，确保该区域信息网络正常访问活动。
• ForeScout采用镜像旁路部署的解决方案，实时发现设备并对设备进行分类、评估和监控，并对其进行安全管理。
• ForeScout根据设备情况和安全策略允许、拒绝或限制网络访问。通过评估和修复恶意或高风险端点，缓解组织面临风险的数据违规和恶意软件的威胁。
• PC终端采用Agentless或Agent可靠执行安全与合规检查，与AD域控服务器集成进行终端身份识别，临时访客仅有上网服务，不同的角色入网拥有相对应的网络权限，实现人机一一对应，一旦出现安全事故，迅速定位终端和人。
• 不符合企业要求安全规范的终端设备，则会被暂时隔离，无法访问业务网络，待将问题修复符合安全规范后才能正常访问业务网络。
• ForeScout和PaloAlto NGFW进行联动，实现更深一步的防护。

方案实施

NTT Ltd是一家全球领先的 ICT 服务公司，公司专门致力于提供 IT 解决方案和服务，拥有网络集成、应用部署和全球可管理服务领域的专业技术，使它能为用户提供更优质的服务。

PaloAlto设备部署：

• 梳理网络整体架构，配合客户规划安全域。
• 实施PA NGFW设备的上线，使设备的连通性可达。
• 实现安全区域的划分，实现零信任架构。
• 基于用户规则定制安全策略，优化安全防护级别。

ForeScout 设备部署：

• ForeScout采用镜像旁路部署。
• 梳理准入规则，定制合规性检测。
• 限制不合规设备建议整改。
• 准入流程。

带来的价值

• 实现资产的可视化，资产清单的实时性，确定关键资产并建立安全基础。
• 对不合规设备的管控，更方便快捷的审计和对安全合规性的检查。
• 解决了传统安全方案无法覆盖的问题，提升了企业整体业务的安全性、稳定性和持续性。
• 系统安全而又不失易用性，部署、运维和威胁分析非常方便，大大降低安全维护的成本。
• 通过采用NTT的Uptime服务，使得整个项目的实施交付变得顺畅和高效。
• 在后期维护中，采用NTT专业工程师的7*24*4 hr的服务，可以大大降低处理故障所需要的时间，保障了企业业务持续、良好的运行。