目前正在興建並預定於2010年正式啟用的中鋼集團大樓,將是地上29層及地下4層的鋼結構智慧型大樓。IT單位已經預見,屆時人員將在各個樓層之間頻繁移動,內部及外部使用者亦將共處在開放空間裡,資訊安全及網路管理即將面臨全新的挑戰。
因此,中鋼一直在尋找職務式(Role-based)解決方案來管控網路的存取,但現行巿場上相關產品的售價過高且採取專屬架構,即使中鋼需求甚殷,也必須受限於投資成本及效益的考量。
Windows Server 2008則成為打開僵局的一種選擇。中鋼表示:「Windows Server 2008的NAP(Network Access Protection)兼具認證、人員管理與設備健康檢查功能,不僅符合原先規劃的系統目標,也能滿足未來應用及需求的變化。」
賦予使用者更寬廣的行動力
目前,中鋼有超過六千部個人電腦,支援各項日常的管理活動,其中有五千多部桌上型電腦及六百多部筆記型電腦,均採定址的方式進行網路連線運作,無線網路則限制在提供外賓上網及內部局部的作業區域。
基於資訊安全與管理的要求,中鋼將內部網路採分區管哩,針對不同區域劃分等級,採取固定IP管理的管理方式,雖然這樣的管理方式能落實管控各IP之授權,但對筆記型電腦M化之能力就有些限制,尤其在跨區上網時,必須透過網管人員協助重新設定,時常造成使用者及IT單位的困擾。
中鋼說明:「我們很擔心開放筆記型電腦之無線網路作業後,由於移動性太高,將會造成更多不可預期的狀況,加深管理的困擾,因而一向嚴格審查筆記型電腦無線上網之申請。但NAP提供了完備的機制,讓我們更有信心也更願意開放內部無線網路的應用。」
在NAP的測試環境裡,無論使用者透過有線或無線網路連上網,NAP皆會把關檢查電腦的健康狀態,包括是否安裝防毒與反間諜程式軟體、定義檔是否保持在最新版本、是否啟用自動更新並已安裝重大的安全性更新,通過檢查的電腦會被分配到可完全存取企業網路的VLAN 100,未通過檢查及無法成功矯治的電腦則被分配到存取權受限的VLAN 101。
中鋼指出:「NAP可望解除使用者長久以來面臨安全考量的限制。在現行狀況下,就算使用者的電腦很健康,還是有很多無法使用或觸碰的區域;但未來,使用者只要遵循政策,就能順利獲得所需的服務。」
協助IT更有效率地提升服務品質
針對網路存取,中鋼過去是透過網路設備MAC位址來管控,但這個作法只能管到機器,卻管不到使用機器的人,而且也不能進行集中控管,無法滿足內部持續變動的需求。如何同時管理機器與使用者,並根據使用者身分進行授權分級,就成為中鋼亟欲達成的目標。
也因為如此,中鋼對Windows Server 2008的測試重點鎖定在自動管理機制,特別要求必須符合高成功率與可管理性等兩大條件。中鋼表示:「從Windows Server 2003到Windows Server 2008,微軟的管理介面愈來愈傾向職務式模式,這正是我們一直在尋找的解決方案,測試結果也證明完全符合我們的兩大條件。」
IT單位採用配備Intel Xeon處理器的刀鋒伺服器來測試Windows Server 2008,這也正是目前實際使用的主要硬體環境,Intel Xeon處理器的效能與穩定性,也流暢地展現了Windows Server 2008易用、彈性及高效率的特色。
對IT單位而言,Windows Server 2008將是以相同人力提供更高服務品質的利器。舉例來說,目前採用的靜態式IP管理,一旦使用者異動,就有重新設定的時效性問題;但Windows Server 2008的職務式管理模式,就可排除上述狀況。
此外,IT單位不僅可直接掌握每部伺服器的職務角色,而且還能根據職務來啟用所需功能,無需一次安裝所有功能,如此一來,就能降低安全漏洞,提升資安等級。
中鋼計劃,先在行政區無線網路的存取環境實施Windows Server 2008 NAP管控功能,再逐步推廣至全公司各廠辦公大樓的無線網路環境。同時,更希望善用NAP功能,將僅供外賓使用的獨立無線網路納入企業網路的範疇之中,讓原先涇渭分明、各自區隔的網路環境融合為一,藉此降低同時維運及管理兩套網路系統的成本、人力及資源。
