信息安全解决方案——XX供电分公司综合访问控制项目   

XX分公司是一个以本部为中心由多个基层单位构成的大型企业，其IT设施由宽带骨干网相连的多种设备、应用系统、多个合作伙伴网络构成，在项目实施之前，公司内各单位的访问控制是分散和独立的，IT管理大部分自成体系，造成了整个公司用户管理和信息发布的不统一，用户在访问特定资源需要经过多次认证等问题。为增强整个公司的安全防护能力，降低安全管理成本，公司需要建立统一IT资产数据库，在这个平台上进行集中的访问控制。
　

由于企业内部客户端都是windows平台，各安全边界防火墙是checkpoint，在经过充分的调研和测试后，决定采用微软的域管理模式，并结合checkpoint防火墙对活动目录的支持，综合进行身份认证与访问控制。
　

项目的主要宗旨是通过将原来分散的域或工作组以升级、迁移、合并等方式整合到一个新的windows2003域中，并将公司内部的计算机、用户及部分应用纳入其中进行管理，各基层单位按OU划分，委派各单位管理员全权管理本OU，这样总部管理中心可以根据灵活的策略对用户进行分组，通过组策略控制其访问相应级别的资源，同时还加强了上网管理的控制，由于公司内部原来对Internet的访问控制是通过IP与MAC地址的绑定来限制，管理变更相当烦锁而且不能保证足够的安全，在整合域管理后，通过活动目录服务平台，用户的认证方式采取基于用户的认证，部分移动VPN用户采用数字证书认证。在访问资源的登录方式上采用了SSO，即将各安全边界的防火墙身份认证与域用户认证结合起来，实现用户访问的一次登录，就可以访问内外部的多个资源，简化其认证过程，提升了安全性，同时还加强了对用户访问资源的审计能力。