【賽迪網-IT技術報道】這幾年來,企業網絡安全建設發展很快,在企業網與Internet之間建立起了由防火牆、IDS等安全手段協同組成的安全邊界,企業網內部也實施了防病毒系統,企業網安全體系已經出具規模,其安全性已經遠遠高於Internet的安全性。
但是,企業網也繼承了Internet的開放和自由的特點,面對日新月異的攻擊手段和不斷加快的攻擊傳播速度,企業網面臨的安全形勢依舊非常嚴峻,尤其病毒仍是企業內網的首要安全威脅,內部攻擊也時有發生。究其原因,一方面是由於現有的安全防護技術的發展速度滯後於病毒技術的發展速度;另一方面,現階段企業中普遍存在著安全技術和安全管理相脫節的問題,要麼是好的安全技術或產品不能被很好的利用起來,發揮應有的作用,要麼是安全管理制度缺少相應的技術手段保證其有效地執行下去。
安全管理中存在的巨大缺陷,集中表現在安全管理存在兩個被割裂的客體:企業中每一個真實的員工和企業網中的用戶。由於兩個客體之間不存在確定的對應關係,致使病毒有了可乘之機,也縱容那些存在惡意企圖的員工進行非授權訪問,而且更為嚴重的是,由於網絡中的身份不可靠,即使發生了安全事故,也無法找出隱藏在背後的「真兇」,安全管理制度和條例也形同虛設。
企業網絡實名制,就是要借助最新的安全技術和產品,建立起安全管理中兩個客體之間的確定對應關係,從而保證實現安全技術和安全管理的無縫結合,通過建立企業網絡中確定用戶的身份標識,將網絡用戶與自然人建立起一一對應的關係,確保員工依據自己在企業中的真實角色,在網絡中從事與本職工作相關的行為。即使有人仍要嘗試去做違背自己角色的事情,企業仍可以通過網絡用戶與自然人的一一對應關係,找到為這件事情負責的人。
1.企業網絡實名制體系架構
企業網絡實名制,核心是建立網絡用戶與企業員工之間的確定性的對應關係。這種對應關係,即包含了網絡用戶與企業員工之間的靜態的邏輯對應關係,例如企業中廣泛應用的基於LDAP的用戶管理,就是維護這樣一個用戶的對應關係;同時,企業網絡實名制也包含了網絡用戶與企業員工之間的動態對應關係,例如企業員工通過哪台端點設備、用哪個IP地址、接入哪個網絡端口、通過哪個網絡路徑對網絡資源進行訪問。
建立網絡用戶與企業員工之間的動態對應關係,就是要建立起每一個企業員工對於網絡訪問過程中的關鍵要素的動態對應關係,具體要將企業員工所賴於使用的端點設備、所分配的IP地址、網絡端口、網絡訪問權限和網絡用戶身份有機結合起來,構建起企業網絡實名制管理體系。
其中,已經展示出企業網絡實名制管理的關鍵要素和關鍵步驟:
(1)企業員工:企業合法員工
(2)網絡用戶:企業員工在網絡中的用戶名或賬號(通常在LDAP中管理)
(3)端點設備:企業員工借助其對網絡進行訪問
(4)用戶認證:驗證企業員工所提供的網絡用戶名及密碼
(5)設備認證:驗證端點設備是否具備合法的物理地址、IP地址和安全狀態
(6)授權和訪問控制:規範網絡用戶依據企業員工在企業中的角色對網絡進行訪問
2.實名制管理實現的關鍵--准入控制
實名制管理實現的關鍵在於解決用戶和終端的安全接入問題,也就是要實現終端與用戶的准入控制,確保只有合法和安全的電腦才能接入企業內網,並全程進行安全保護。
企業內網中,網絡接入層是用戶發起訪問的入口,非常適合對接入的終端和用戶進行認證、授權和管理,並通過對終端用戶的全程保護,建立起企業員工與網絡用戶之間動態確定的對應關係,最終使實名制管理得以實現。
通過在接入層實施准入控制,企業內部合法的用戶和安全的設備仍可以透明聯入內網,而非法用戶和存在安全隱患的終端,將被禁止訪問網絡或者自動劃入修復區。
在接入層實現准入控制,事實上在終端與企業核心內網建立起了一道堅固的內部安全環。內網安全環與外網安全邊界交相呼應,徹底改變了企業網安全邊界強大,內部空虛的安全現狀,使企業內網跨入到安全、智能的可信任網絡時代。
啟明星辰天 內網安全風險管理與審計系統,通過與網絡接入設備共同建設企業網用戶實名制管理平台,徹底改變了原有網絡安全管理與用戶管理、終端管理相脫節的局面,通過建立終端和用戶與內網核心之間接入控制系統,使企業內網圍繞企業網核心,構建起內網安全防禦環,從而革命性地改變了企業內網架構,使企業網的安全性上了一個新的台階。通過企業網用戶實名制管理,不僅可以有效將企業安全管理制定執行落實到每一個員工,也為企業提供了非常可靠的內網安全審計平台,為企業安全管理目標的實現,提供了強大的保證。
(