随着互联网的发展与普及,网络接入的形式越来越复杂,接入设备的种类越来越繁多。对于政府、企业的内部网络,工作人员在办公时,基本使用电脑、移动终端的办公设备接入办公内部网络进行办公。这些设备从使用者的角度划分,大致可以分为员工终端、访客终端,其中还包含一些哑终端,如打印机、扫描仪等。这些本身可能存在一些安全隐患的终端设备如果没有经过可信认证就随意接入内网或无线网络;可能会给内网带来了极大的安全隐患,如携带病毒接入导致病毒蔓延等安全威胁。除此之外,还有IOT设备,如摄像头、扫码枪等,如果被非法替换时,给公司的安全管理带来极大的挑战。
此外,这些终端接入网络后缺乏有效的访问权限管控,访问了哪些业务系统不可见,给业务系统带来了极大的威胁,出现事故也无法追溯!
内网准入的有效管理,不仅仅对政府、企业的内部管理至关重要,在政策法规中也有明确的规定。国家标准GB/T 22239-2019信息安全技术《信息系统安全等级保护基本要求》的边界防护-安全要求(三级)中c条要求明确提出:应能够对内部用户非授权联到外部网络的行为进行检查或限制。
深信服AC终端安全准入解决方案使用场景
- 多维认证方式,满足不同场景下使用需求:
能提供了多种内网准入认证方式,有效管理内网终端认证,同时为审计策略、有效防御身份冒充、权限扩散与滥用等提供管理基础。例如:
- 二层认证:802.1x 认证、MAB认证等
- 本地认证:Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定;
- 第三方认证: LDAP、RADIUS、POP3、数据库等;
- 短信认证:通过接收短信获取验证码,快速认证;
- 微信认证:通过扫描二维码,关注微信公众号进行快速认证;
- 访客二维码认证:接待人员扫描访客手机上的二维码,备注信息后,访客即可通过认证;
- 双因素认证:USB-Key认证;
- 单点登录:AD域、POP3、PROXY、WEB和第三方系统等;
- 强制认证:强制指定IP段的用户必须使用单点登录。
2.防止终端非法外联,保障内网安全
防非法外联方案能极大完善边界的安全性,在源头禁止非法外联行为的同时,构建主动发现、应急响应、快速处理的网络边界违规行为处置流程,大大的提升内网边界保护能力。对非法外联行为进行全面有效地事前预防,事中阻断,并及时告警上报,严格禁止内网终端在任何时间,任何地点(如携带设备外出维修等)发生外联行为
深信服AC终端安全准入解决方案效益分析
- 统一内网认证,控制终端准入
随着移动终端的普及,各种终端未经过认证,即可随意接入内网,访问到内网各种资源,对内网造成各种安全威胁,内网管理存在巨大隐患。并且,如果没有对这些接入内网的终端进行可信的认证,当出现泄密或发生安全事件时也无法及时追溯。因此,需要在终端接入内网的时候即进行有效的内网认证,实现不同类型终端的准入控制。 - 终端合规检测,规避非法接入
对接入内网的终端的安全性进行有效的合规性检测。接入内网的终端本身是存在一定安全隐患的,比如是否安装杀软,是否有开启windows更新安装补丁等,对存在安全隐患的终端要能够及时进行告警,或阻断其入网。避免存在安全风险的终端接入到内网中,导致内网受到威胁,比例勒索病毒在内部网络蔓延等。 - 非法外联管控,提升内网边界保护
政府、医院等行业的网络中,往往存在内网与外网,或专网与外网,客户要求内网设备只能访问内网,外网设备只能访问外网,否则,判断为非法外联行为。非法外联不仅会增加泄密风险,同时还可能使内网终端感染病毒,甚至危机整个内网安全并带来极大的未知威胁和挑战。防非法外联方案构建主动发现、应急响应、快速处理的网络边界违规行为处置流程,大大的提升内网边界保护能力。对非法外联行为进行全面有效地事前预防,事中阻断,并及时告警上报,严格禁止内网终端在任何时间,任何地点(如携带设备外出维修等)发生外联行为。 - 管控上网权限,实现职位与权限匹配
员工、访客对网络接入权限没有区别管控,不同业务区的员工对于访问内网的权限没有区别管控。给内部网络、业务系统带风险。AC内网准入能依据组织架构建立用户身份认证体系,并采用分时间段、基于用户、基于用户组进行网络行为控制,从而实现员工职位职责与上网权限的匹配,如限制研发部门不得访问财务系统,职能部门对业务区的访问权限控制等等。以此减少越权访问和权限滥用的现象,防止泄密和不良舆论风险。 - 内网资产管理,终端可视可控
在传统的网络架构中,很多的企业对接入内网的pc、移动终端、哑终端、IoT设备等的资产使用情况不清楚,人工盘点资产带来一定难度,而且随着越来越多的BYOD及IoT设备接入,资产自动盘点、可视化管理对政府、企业的管理来说至关重要。内网资产管理可实现各种接入设备、“哑终端”等进行分类、识别等控制,从而快速、准确的进行接入设备、“哑终端”类型发现和自动分类管理。
