传统网络安全维护基于防火墙建立起内外网边界,内网终端不允许外出,外网终端只有在完成合规安全检测后才允许进入企业内网。受移动化影响,企业对外开放接口引进云应用,WiFi扩大了企业网络覆盖面积,员工允许携带电脑外出办公,BYOD进入企业内网,企业内外网边界逐渐被打破,给了非法操作人员以可乘之机。对此,宁盾提供终端及网络准入解决方案,检测入网身份的合法性及终端的合规性,提升企业对用户身份及终端的双重信任。
一、通过网络身份认证管理和控制访客、员工的网络使用权限
面向企业不同角色、不同应用场景,宁盾提供8021.X、用户名密码、短信、微信、协助扫码、邮件审批等多种认证方式及个性化定制体验。
1、自助及授权式访客认证
短信、微信认证:适用于企业对外提供开放式网络使用服务的场景,访客通过自助认证的方式连接企业网络;
协助扫码认证:适用于企业限制访客接入网络的场景,访客只有在企业授权后才允许访问企业网络资源。
邮件审批认证(访客自助申请认证):适用于在企业呆一段时间的外包人员,用户在认证前先需要向企业提交网络使用申请,企业审核后并将网络账号及密码发送至用户手机供用户上网认证。
2、员工认证
802.1X认证:因8021.X 在win7及以下操作系统的配置较为复杂,所以该认证方式适用于办公设备以win10 操作系统为主的网络环境,同时802.1X 在Android、iOS的兼容性较好,也可适用于BYOD 认证场景。
用户名密码Portal认证:员工通过Portal认证的方式接入企业网络,为避免弱账号密码、账号密码共享的现象,可在账号密码的基础上增加动态密码进行加固。
3、用户身份权限管控
基于认证方式、用户角色、用户源、用户组、用户IP分配用户网络访问权限,以阻止非法用户越权访问、跨部门访问等行为。
二、通过终端准入控制企业授权终端及BYOD的内网使用权限,并检测入网终端的合规性
1、 可视化接入网络的终端
宁盾终端准入主动发现并识别接入网络的一切终端,可视化接入终端的IP/MAC地址、终端类型、是否认证、是否为域账户、是否安装客户端、数据流量及更多安全信息,绑定用户及终端行为,直观展示谁可以使用哪个终端访问哪些应用及资源。
2、 区分企业授权终端及BYOD
基于多种终端准入策略,如IP地址、IP地址段、是否认证、是否加入域、是否安装客户端、终端类型及安全状态等区分企业授权终端及BYOD,防止非法终端进入企业内网。
3、 终端合规性检测及自动化安全隔离
检测终端安全:提供非代理检测及客户端检测。针对不同电脑操作系统,宁盾提供Windows32/64位、Linux32/64位、Mac OS版客户端软件,用于检测全部电脑的安全状态,如是否安装杀毒软件、补丁版本是否更新、是否安装大型网游、是否开启虚拟网卡、是否运行非合规应用等;
自动化安全隔离:通过IP、IP地址段、虚拟防火墙、VLAN、自定义标签等操作对非合规终端进行告警及自动隔离,增强企业终端的主动防御功能。
三、终端安全管控
U盘管控:为防治文件泄漏,宁盾NDACE 检测U盘的合规性,防止非企业U盘接入企业内脑拷贝文件;
防私接: 检测终端是否开启虚拟网卡,防止万能钥匙、虚拟热点占用网络带宽。检测一个IP下是否存在多个终端类型及操作系统,防止非法路由私接,规范化企业网络环境。
软件推送与第三方联动:杀毒软件(赛门铁克、360杀毒)、桌管工具(LANDesk)、文件加密工具(IP-Guard)等联动,对没有安装合规软件的终端进行软件推送,实现终端准入与病毒防御、补丁修复、文档管理、加密管理的一体化安全管理,帮助企业建立高度融合统一的网络管理环境。
以身份和终端为基础,宁盾终端及网络准入解决方案检测入网用户身份的可靠性及入网终端的合规性,确保入网用户需先经过认证之后才允许接入网络,仅允许合规终端接入企业内网。帮助企业构筑以身份和终端为中心的“零信任”网络安全架构,助力企业移动化转型。
来源:freebuf.com 2018-11-14 09:38:19 by: 宁盾nington
请登录后发表评论
注册