首页 >> 关于我们 >> 新闻动态

从"层层设防"到"精细入微" :一家国际工程央企的网络安全准入实战

深圳市联软科技股份有限公司
2026年07月14日

/ueditor/image/20260714/1784014099889655/3531c6368dc01e856e480003d5391bad.png

PART 1

一栋大楼里的"粗放式"网络

清晨八点半,十七楼的电话来了。几位海外合作方急着接入内网调资料,折腾了半小时,还是连不上。

"要么干脆连不上,要么连上了也不知道能访问什么。项目资料就摆在那儿,急用。"

信息中心不是第一次接到这类电话。

这家企业是某大型央企旗下上市公司,业务遍布全球数十个国家。

但回到自己的办公大楼,网络管理却粗放得惊人:十多个楼层同一套权限,访客接入折腾半小时,外来设备插上网线就能进内网——看起来是"内网",实际上谁都能进来。

PART 2

四个卡点,每一个都指向"门没锁好"

终端合规的"裸奔"状态

内网中大量终端安全状态无人管控——没装杀毒、没打补丁、策略不达标的设备,照样接入网络、访问业务系统。一台"带病"终端被攻破,整个内网都有横向渗透的风险。

一把钥匙开所有门

总部大楼十多个楼层,业务属性各不相同。但现有网络"平铺式"架构——任何楼层接入,权限几乎一致。研发参数、投标文件、财务数据全在同一张网里。

访客管理的灰色地带

几乎每天都有合作方、供应商、外籍专家来访。过去只有一个办法:要么不给网,要么给"全通"。不给影响协作,给了怕泄露。手动配置、手动撤销,管理员疲于奔命。

设备的"身份模糊"

只要插上网线或连上Wi-Fi就能自动获取IP接入内网。任何人带着笔记本在任意楼层接入,系统无法判断设备是否合规。这种"信任一切"的模式无异于城门大开。

PART 3

一场"层层设防、精细入微"的准入变革

这几个问题加在一起,不是缺工具,是缺"门"——设备随便进、权限不分层、访客管不住。最终落地的,是一套覆盖全场景的网络准入方案,从"谁能连"到"连了能看什么",层层管控。

01终端合规基线——违规不入网,入网必合规

以前终端有没有装杀毒、打没打补丁,全靠人工抽查。漏掉一台,整个内网就多一个隐患。新方案把检查放到了入口——设备接入时自动扫描杀毒软件、补丁、安全策略是否达标。不合格的挡在门外,引导到隔离修复区修好再进。无需人工逐个检查,从源头堵住"带病终端"。

02三层认证体系——覆盖所有接入场景

针对多楼层、多终端、多角色的环境,设计了三种认证方式:

有线电脑 客户端认证。每个楼层办公电脑统一部署轻量化客户端。设备接入时系统验证设备身份(MAC、IP)和用户身份(AD账号),双重验证通过才能访问内网资源。

无线设备 802.1x认证。移动办公场景下,无线终端通过客户端连接802.1x信号进行认证,实现用户身份与设备身份的双重验证。

访客设备 Portal自助认证。专门为访客设置独立的Portal信号。来访人员通过手机号验证或扫码方式自助入网,系统自动分配临时权限,限制其只能访问互联网或特定业务系统,与内网资源严格隔离。

三种方式按场景组合:办公终端强认证、移动终端便捷认证、访客终端隔离认证,每个接入场景都有对应的管控策略。

03楼层级精细化管理——不同楼层、不同权限

楼层管控是方案里最考验落地能力的一环——不同楼层接入要看到不同的资源,网络架构和认证逻辑需要同时发力。

网络层面:每个楼层部署独立交换机和无线控制器(AC),先按楼层物理分区。

认证层面:通过MAC地址绑定和端口定位,设备认证时自动识别它接入了哪个楼层、哪个交换机端口。

权限层面:同一个员工,在研发中心只能访问研发资源,到了财务楼层只能访问财务系统。"人随楼动、权限随行"——不同楼层,不同网络权限。

04MAC地址白名单——精确到二层的准入控制

有线和无线接入均支持MAC地址白名单,实现二层准入控制。只有管理员授权的设备才能入网。

未授权设备(笔记本、手机、路由器等)一旦连接,系统立即阻断并告警。即使物理接入交换机端口,也无法获得网络访问权。

PART 4

从一期落地到全生命周期规划

一期上线后,核心目标已经落地。但团队还在规划下一步:

双机热备——为生产环境提供高可用保障

计划部署双机热备,主备服务器自动切换,保证管理平台7×24小时不间断运行。对于跨时区的国际化业务,系统不掉线是刚性要求。

桌管功能拓展——从"准入"到"全生命周期管理"

在准入基础上进一步拓展桌面管理能力:统一推送补丁、审计网络连接行为(满足等保2.0日志留存要求)、管理软件资产。从"只管进门"走向"全程管理"。

联软科技 UniNAC + UniAccess:网络准入与终端管理核心能力拆解

覆盖终端合规、三层认证、楼层权限、MAC白名单的一体化方案

终端安全基线检查,违规不入网

接入时自动检测杀毒软件、补丁、安全策略是否达标

不合规终端自动阻断或引导至隔离修复区

修复后自动放行,全程无需人工干预

三种认证方式覆盖所有接入场景

有线客户端认证:设备+用户双重验证

无线802.1x认证:移动场景双重验证

访客Portal认证:临时权限,内外网隔离

楼层级精细化管理

独立接入交换机+AC,物理/逻辑网络分区

MAC绑定+端口定位,自动识别接入楼层

同一用户不同楼层不同权限

MAC白名单二层准入

只有授权设备可接入,未授权自动阻断

精确到二层,个人设备即插即拦

物理接入交换机端口也无法获得访问权

桌面管理拓展,从准入走向全生命周期

补丁统一推送、网络连接策略审计、软件资产管理

满足等保2.0日志留存≥6个月合规要求

本文案例技术方案基于联软UniNAC + UniAccess实施

适用场景

终端合规基线缺失、需自动检查杀毒/补丁的单位

访客接待频繁、需自助入网+内外网隔离的团队

对设备接入"零信任"、需MAC白名单的企业

需满足等保2.0合规、走向全生命周期管理的组织

多区域办公,需员工分区分域授权的企业


一把钥匙开所有门的时代,结束了。

一栋十多层的大楼,每个楼层装的不只是工位,更是不同密级的业务数据。现在每一层有每一层的锁、每一台设备有每一台设备的身份。网络准入不是装个系统就结束——管好、管住、管精细,才是真正落到了实处。

 

当每一台终端的接入都经过认证、每一个楼层的权限都严格隔离、每一位访客的网络访问都自动管控——"层层设防"才真正落到了"精细入微"。

如果大楼里的网络还是"一把钥匙开所有门"——多楼层、多终端、多角色的准入与权限隔离,不妨了解这套层层设防的一体化方案。


最新动态

  • 从发货到回收,苹果租赁设备如何做到全程可控?

  • 从"层层设防"到"精细入微" :一家国际工程央企的网络安全准入实战

热门推荐