盈高科技:準入控制為無界網絡設立安全邊界
隨著信息技術的發展,網絡中的終端日益多樣化,安卓、IPHONE、IPAD、3G、平板電腦、云、虛擬化......如雨后春筍般紛紛冒出來。不論你愿不愿意,隨時、隨地、任何人通過任何設備訪問任何資源的時代已經來臨,我們稱之為"無邊界網絡"。
無邊界網絡為我們帶來了網絡應用的革命,辦公人員可在任何時間(Anytime)、任何地點(Anywhere)處理與業務相關的任何事情(Anything)。然而在我們享受著"無邊界網絡"帶來的各種便利和高效性時,安全問題不得不引起足夠的重視。作為網絡的管理者往往很難弄清楚現在是誰、在哪里、使用什么終端,訪問了哪些信息資源。防火墻、入侵檢測、入侵防御等傳統的安全設備和技術已不足以抵御"無邊界網絡"所帶來的新安全威脅。"無邊界網絡"必須使用新的技術手段和新的思維方式來解決全新的安全問題。
盈高科技產品經理賀韜先生認為,"無邊界網絡"≠"無限邊界網絡",不能因為"無邊界"就將網絡的"邊界"無限度擴展。所謂"無邊界"應該是在有限范圍內的"無邊界"。這個范圍就是安全的邊界,管理的邊界。因此對"無邊界網絡"的安全管理也應該從這兩個邊界作為出發點。
為有效應對"無邊界網絡"和"移動終端"帶來的安全問題,盈高科技在其準入控制產品--ASM入網規范管理系統的設計時進行了充分的考慮,既體現出分而治之的概念,又提供統一的、一體化的管理方法。因此著重在以下幾個方面進行了重點規劃設計:
1、 全網的透視和終端的發現
在傳統的網絡中,網絡結構都是由網絡管理員進行規劃的,當出現變動時,管理員一定是第一個知道的。然而隨"無邊界網絡"的出現,任何用戶都可能在接入交換機上連接一個一、二百元的無線路由器,將網絡隨意的就擴展到了圍墻之外,內部網絡被打出了無數個缺口。
對于網絡管理員來說,需要第一時間直觀、快速、準確的獲知當前網絡延展的情況,及每個網絡邊緣連接的終端,而不論這個終端是PC還是移動終端。一旦發現有非授權的網絡延展和終端就可以快速定位并進行隔離處理。
2、 根據終端設備的類型自動區分并進行設備標定
與以前的網絡不同的是,網絡中的終端已不僅僅是PC。隨著"everything over IP"、"IP over everything"的進一步應用加深,網絡中形成了多種終端的混合應用。主要包括:PC、平板、智能手機、網路打印機、網絡攝像頭、網絡打卡機、網絡電話、網絡傳感器、POS終端等。對于這些千變萬化的IP終端,如果不能不能自動區分類型,不能進行有效的設備標定,那么就無法阻止非法的各種終端的接入,安全也就無從談起了。
由于MAC地址極易被偽造,因此在進行設備識別和標定時,不能單純采取MAC地址的記錄和比對。而需要能夠通過設備特征指紋的一系列技術,對各種IP設備進行外部"非介入"的掃描,獲取到該設備的指紋特征信息,并與強大的設備指紋特性庫進行比對,實現自動發現該設備的類型,進行歸類記錄。通過采集到的指紋進行模糊匹配進行防偽造的設備標定。
3、 根據移動終端的特點進行專門的MDM、MAM的管理
智能手機、平板設備可以說是當今時代的大寵兒,它們在孕育無限機遇的同時也把新的安全風險帶到每個人身邊。它們承載著大量企業運營所產生的敏感信息,但大多數設備平臺的所有權卻被掌握在員工手中,而且IT技術團隊很難--甚至根本無法--通過某套單獨的安全管理方案為這些新平臺提供如企業PC一樣的保護機制。因此需要采用不一樣的方式來對待移動終端的安全管理。
MDM移動設備管理。提供完整的移動設備生命周期管理。從設備注冊、激活、使用、淘汰各個環節進行全面管理。具體能實現用戶及設備管理,配置管理,安全管理,資產管理等功能。
MAM 移動應用管理。針對員工移動設備應用的安全保護、分發、訪問、配置、更新、刪除等策略和流程。通過企業應用商店控制和推送應用, 能集中監控應用的使用情況,對應用設置相應策略以滿足企業的規范。
4、 對于BYOD和COPE的終端屬性進行分類控制
在組織機構內部對于移動終端,根據歸屬權的不同,其實應該存在兩種不同的終端。我們常見的是BYOD(Bring Your Own Device),設備的歸屬權在于員工個人。對于COPE(coperation own person employ),設備的歸屬權在組織機構內部。因此應該對兩種設備進行不同的管理。
對于BYOD設備主要管理點在于設備在個人和辦公應用之間的切換管理,設備丟失后的數據擦除處理,個人數據和辦公數據的隔離,避免使用者反對。
對于COPE設備主要管理點在于程序限制設備使用范圍限制(電子圍欄、無線連接點管理),限制可以使用該設備的人員,關注管理力度。
5、 集成化的管理方案
不論是傳統終端設備,還是移動終端,或是智能終端,需要提供的管理方式方法都不一樣,所針對的側重點也不同。但是由于都是鏈接到同一個網絡中,彼此又存在千絲萬縷的聯系,為了避免管理中,木桶短板的問題,應該提供一個整體、集成的方案進行管理。遵循"透視網絡"--"發現設備"--"授權標定"--"分而治之"--"統一統計查詢"的過程,應對越來越復雜的網絡和終端管理難題。
只有從更加全面的角度來構建安全的網絡架構,在無界網絡下為接入者提供安全高效的聯接,才能實現信息發展價值的最大化,讓終端使用者在安全的環境下真正享受到隨時隨地的信息服務。
