提起“叮咚买菜”,许多人都不会陌生,作为主打前置仓生鲜电商模式的先行者之一,叮咚买菜APP早已走进无数消费者的一日三餐,成为人们追求品质生活的好帮手。而“叮咚买菜”的开发者和运营者——上海壹佰米网络科技有限公司,正是本期样板力量的主角。
拥有总部+分支+前置仓共上万台终端,这家头部生鲜电商公司是如何实现“无感化”终端安全管理升级的?盈仔来为您揭秘。(为方便阅读,下文称“叮咚买菜”)
合作背景
叮咚买菜总部位于上海,网络分支覆盖上海、北京、深圳、杭州、苏州等多座城市,拥有大量前置仓,通过VPN连入内部网络。(前置仓是指在物流配送网络中,位于中央仓库和客户之间的一个仓库,它通过预先将产品储存在接近客户的位置,实现更快速的配送和更高的服务水平)庞大的分支型网络结构、大量的各类型终端、频繁变动的第三方接入人员等,给终端安全管控造成了诸多不确定性。
因而,叮咚买菜需要寻求终端管理中的确定性。即:
- 不管终端在总部,在分部,还是在前置仓,要能管;
- 不管终端是windows终端,是MAC终端,还是哑终端,要能管;
- 不管终端是员工在用,是访客在用,还是第三方人员在用,要能管!
最好,还要轻松地管,要让终端员工“无感知”地管,要不影响业务效率和体验地管,要能看见管理成果地管。
基于这样的管理诉求,评估市面上已有的准入产品后,最终叮咚买菜选择盈高科技的ASM+ASC多分支网络准入管理方案,采用MAC旁路认证准入技术,进行端口级网络控制和镜像准入管理,实现终端用户接入管理、安全策略下发、安全基线检查以及所有接入终端的安全管理等用户价值。
通过部署此方案,叮咚买菜实现了如下管理升级:
- 实现用户管理升级
01 必装软件实现100%安装率
以前
为保证内部重要信息安全,叮咚买菜要求特殊终端安装某些特定软件,以实现核心“代码仓”资源的访问安全,但无有效手段保障软件的安装率和运行率。
现在
所有终端入网时必须通过全面安全检查,如必须安装软件、必须运行进程、域用户检测等,未安装必装软件的终端将被禁止入网,入网后卸载必装软件的终端将进行即时告警甚至断网处置,确保网内终端安全合规。
02 人员入网进行实名登记和终端绑定
以前
叮咚买菜内网使用人员多,缺乏有效手段防止非法人员随意接入;且前置站点人员流动和站点物资位置存在变化性,导致出现问题时难以进行溯源,追责到人。
现在
一方面,在总部和分支的人员、前置仓人员都需要进行实名制认证方可接入内网,并与终端进行绑定,防止非法人员随意入网访问业务应用;另一方面,提供入网访客管理,实现访客自主登记、员工扫一扫入网(企微)等便捷化、人性化的访客接待。
03 实现特定环境下不同终端类型管理
以前
叮咚买菜拥有多分支网络,windows终端、MAC终端、哑终端共计上万台,且分布于不同地域,特别是近1000台MAC终端缺少针对性的安全管理手段。因此,为满足叮咚买菜的管理需求,需要对终端进行分地域分类型的精细化管控。
现在
实现特定环境下不同终端类型的管理,包括MAC终端和哑终端管理。为不同地域的不同终端类型制定差异化的入网管理方案,并协同MAC终端管理软件,对MAC终端进行客户端统一推送安装,同时启用相关安全检查和修复;识别哑终端唯一设备指纹,防止被非法替代/仿冒,确保全网终端合规性,避免安全短板。
04 入网流程自动化,不影响员工办公体验
以前
叮咚买菜Windows终端实现了AD域自动登录入网,但是MAC终端未实现一次认证,静默入网,影响部分终端员工办公体验。
现在
ASM对网内的windows终端、MAC终端实现域用户自动登录认证、客户端静默安装部署、静默安全检查等,“无感化”管控不影响员工正常工作,不引起员工抵触心理。
05 资产信息智能采集,辅助全网资产管理
以前
叮咚买菜终端种类多、数量大、分布广,且变动频繁,客户原有资产登记系统的管理准确度无法评判和验证。
现在
ASM对所有PC终端、终端上的软硬件、BIOS序列号等进行采集,同时采集网络中打印机、服务器、IP电话、手持PDA、云称等资产信息,形成详细资产台账,与原有资产登记系统互为验证,双重管理更清晰。
叮咚买菜通过ASM+ASC建立起多级级联的多分支办公专网终端安全管理体系,实现以上管理升级,整体网络的安全度再上一个台阶。
- 不管终端在总部,在分部,还是在前置仓,跨区域管控全覆盖;
- 不管终端是windows终端,是MAC终端,还是哑终端,全网资产管理无遗漏;
- 不管终端是员工在用,是访客在用,还是第三方人员在用,在网人员身份皆可知。
- 而且,还能轻松地管,让终端员工“无感知”地管,不影响业务效率和体验地管,能看见管理成果地管。
在有了盈高准入方案的助力后,叮咚买菜的所有入网终端,不管是1台还是10万台,都能管得了,还能管得好。
