返回
宁盾解读等保2.0“边界防护”:资产可视+可信验证+动态管控.docx

宁盾解读等保2.0“边界防护”:资产可视+可信验证+动态管控.docx

ID:57574678

大小:707.59 KB

页数:6页

时间:2020-08-27

宁盾解读等保2.0“边界防护”:资产可视+可信验证+动态管控.docx_第1页
宁盾解读等保2.0“边界防护”:资产可视+可信验证+动态管控.docx_第2页
宁盾解读等保2.0“边界防护”:资产可视+可信验证+动态管控.docx_第3页
宁盾解读等保2.0“边界防护”:资产可视+可信验证+动态管控.docx_第4页
宁盾解读等保2.0“边界防护”:资产可视+可信验证+动态管控.docx_第5页
宁盾解读等保2.0“边界防护”:资产可视+可信验证+动态管控.docx_第6页
资源描述:

《宁盾解读等保2.0“边界防护”:资产可视+可信验证+动态管控.docx》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、传统上,企业对外基于“防火墙、杀毒软件、入侵检测”抵御外网攻击,对内采用物理隔离的方式禁止企业终端外出/禁止非授权终端的进入。随着云计算、物联网及移动互联技术的发展,业务上云、对外访客业务交流、员工BYOD接入企业网络等让传统网络边界不再安全。同时等保2.0从边界防护、访问控制、安全审计、可信验证四个方面对企业安全网络边界做相关要求,以要求企业实现对入网用户及终端的“可信”、“可控”、“可管”。“谁,通过什么设备,访问了哪些资源?”“这些终端是否安全,当前运行状态如何?多久没做维护了?”如果你都看不到,又如何实现管理和控制呢?因此,基于“人”+“端”的双重合规,从网络准入的层面解读边界防护的

2、可行性方法,帮企业建立“新”安全边界。一、网络资产可视化管理采用主动探测+被动镜像流量扫描的方式,网络准入产品(DKEYAM+NDACE)可视化接入网络的的用户信息(用户名/用户组/用户主色/手机号/邮箱等)、终端基础信息(IP/MAC地址/设备类型/剩余内存等)终端安全信息(杀毒软件/补丁信息/运行进程…)上下文关联等。网络资产可视化有利于帮助运维人员:a.通过认证或AD域检测的方式自动绑定用户身份与终端指纹,将谁使用了什么设备的情况可视;b.实时检测终端合规性,解决传统定期检测无法及时发现风险终端的情况;c.及时发现非合规终端,通过VirtualFirewall、SwitchVLAN、D

3、ACL的方式及时隔离非合规终端;d.除了传统IT设备,还能实现海量物联网IoT终端的可视、可控、可管。备注:身份验证中心的“身份”不仅仅是用户的身份,还是终端的身份。二、可信验证:基于“人”+“端”的网络准入验证以“人”+“端”的“身份”(“人”与“端”身份的组合)为最小单位,实现网络准入的可信验证。首先确认入网用户身份,其次检测终端的安全合规性,帮助企业建立以“身份”为核心的可信验证及网络准入机制。常见准入方法如下:1、Windows无客户端AD域信息采集:通过检测终端是否加入AD域的方式采集终端用户信息,包括用户名、用户角色、用户组、邮箱手机号等;2、员工入网身份认证:对于没有加入AD域

4、的Windows终端或不满足Windows域控检测条件的Linux/Mac终端,我们建议统一部署网络身份认证,以校验用户入网身份。3、访客入网授权认证:为避免陌生终端乱入,企业需要对外网访客的接入进行授权,同时在其访问结束后将其剔下线。4、Windows无客户端域控开发:基于对Windows域控的二次开发,NDACE在网络层实现对终端的底层的合规性检测,包括是否安装杀毒软件,是否更新30天内的高危漏洞,当前运行的进程等等,整个过程,员工处于无感状态,用户无需安装客户端,同时免除运维人员的安装维护成本,用户体验更好。5、多类型客户端检测:对于没有加入AD的windows终端,或者不符合Wind

5、ows域控检测的Mac/Linux终端,提供多类型客户端检测,用于检测终端合规性。总体来说,Mac/Linux在企业的占比较少,Windows域控无客户端更受顾客青睐!三、动态管控:合规终端权限派发及非合规自动隔离自定义终端合规条件,如是否加入AD域,是否安装Symantec杀毒软件,是否更新30天内高危补丁等。实时检测申请入网及运行于网络中的终端,及时发现非合规终端并对其进行隔离。常用网络调控方式包括VirtualFirewall、SwitchVLAN、DACL等。四、移动互联及双因子安全认证用户在享受移动化办公的同时,也面临着来自各界的网络攻击。身份鉴别作为访问接入的最外层准入手段,成为

6、攻击者的常用入口。奈何企业员工弱密码、账号密码共享/或被他人知晓等原因,都直接影响着身份鉴别的唯一性和安全性。因此面向VPN、移动办公应用场景,提供双因子验证及单点登录认证方案。1、VPN/单应用双因子认证加固:在账号密码的基础上增加动态密码,形成动态密码双因子动态口令保护。动态口令每隔30/60S变换一次,一旦使用立即失效,可有效提升身份的唯一性。2、多应用统一单点登录及账号安全加固:面向云端及本地应用提供统一身份及单点登录平台,同时在账号密码的基础上增加动态密码,实现账号密码动态加固。多因子形式除手机令牌、短信挑战码、硬件令牌外,还支持企业微信/钉钉“扫一扫”、推送认证等验证形式。如图,

7、为单点登录推送认证。以“人”+“端”的“身份”(“人”与“端”身份的组合)为最小单位,帮助企业建立“可视”、“可信”、“可管”的新的网络安全边界。通过实施检测终端合规性,及时自动调控入网终端的网络资源访问权限,减轻运维劳动成本的同时,实现“边界防护”的动态防御。智能安全接入,从宁盾开始。宁盾成立以来专注于动态密码双因素认证市场,并以技术为导向,于2013年正式上线网络认证系统,形成一体化身份认证与访问管理解决

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。