在政務(wù)關(guān)鍵信息基礎設施網(wǎng)絡(luò )中，網(wǎng)絡(luò )入口的“第一道門(mén)禁”至關(guān)重要。然而，大量未知或安全狀態(tài)不明的設備，未經(jīng)授權或未通過(guò)安全檢查便隨意接入內部網(wǎng)絡(luò )。這些“不速之客”一旦入網(wǎng)，極易成為病毒、木馬傳播的跳板，使內部網(wǎng)絡(luò )暴露于巨大風(fēng)險之下。

安全現狀

隨著(zhù)網(wǎng)絡(luò )規模擴大和設備類(lèi)型多樣化，傳統基于邊界的靜態(tài)防護策略已難以應對動(dòng)態(tài)復雜的內部接入風(fēng)險，使得網(wǎng)絡(luò )入口安全防線(xiàn)形同虛設。

身份不明導致無(wú)法快速定責：誰(shuí)在用什么設備接入網(wǎng)絡(luò )？設備歸屬哪個(gè)部門(mén)或人員？一旦發(fā)生安全事件，難以快速溯源和定責。

帶病入網(wǎng)存在嚴重隱患：設備是否安裝了殺毒軟件？是否存在弱口令、高危端口？將這些未進(jìn)行安全檢查的“帶病”設備直接入網(wǎng)，無(wú)異給內網(wǎng)帶來(lái)嚴重安全隱患。

權限混亂造成數據泄露：設備入網(wǎng)后應訪(fǎng)問(wèn)哪些資源？缺乏基于身份的精細化訪(fǎng)問(wèn)控制，可能導致設備越權訪(fǎng)問(wèn)，造成數據泄露或濫用。

應用訴求

面對上述挑戰，要求必須建立一套強制性的、閉環(huán)的設備入網(wǎng)安全管理機制：

身份可信：對入網(wǎng)設備及使用人員進(jìn)行強制身份認證與綁定，實(shí)現“設備-人員-責任”一一對應；

狀態(tài)合規：設備入網(wǎng)前進(jìn)行嚴格的安全基線(xiàn)檢查，杜絕“帶病入網(wǎng)”；

訪(fǎng)問(wèn)受控：實(shí)現設備網(wǎng)絡(luò )訪(fǎng)問(wèn)權限動(dòng)態(tài)分配最小化，防止越權行為。

解決方案

遠望信息憑借在網(wǎng)絡(luò )安全準入領(lǐng)域十多年的深厚積累推出設備入網(wǎng)合規解決方案，通過(guò)掃碼實(shí)名注冊和實(shí)名制接入，實(shí)現“違規不入網(wǎng)，入網(wǎng)必合規”，確保網(wǎng)絡(luò )接入安全可靠、可追溯。

1、實(shí)名制注冊審核：先審后入，責任落地?

新設備入網(wǎng)前須通過(guò)統一平臺發(fā)起掃碼實(shí)名注冊入網(wǎng)申請，安全管理員審批后方可進(jìn)入下一環(huán)節，將線(xiàn)下松散的管理轉變?yōu)榫€(xiàn)上可追溯的流程，從源頭落實(shí)安全責任。

2、接入控制：非授權即阻斷，守住邊界?

對于未注冊、未審批或審批未通過(guò)的設備，系統通過(guò)旁路鏡像、802.1X、MAC認證等多種技術(shù)手段，在網(wǎng)絡(luò )接入層實(shí)施實(shí)時(shí)阻斷，確保其無(wú)法訪(fǎng)問(wèn)任何內部網(wǎng)絡(luò )資源。對于已授權設備，可根據策略動(dòng)態(tài)分配VLAN或訪(fǎng)問(wèn)權限，實(shí)現網(wǎng)絡(luò )訪(fǎng)問(wèn)的按需分配和最小化授權。

3、入網(wǎng)安檢：健康檢查，合規放行?

設備入網(wǎng)時(shí)先對其安全狀態(tài)進(jìn)行自動(dòng)化“體檢”，檢查項包括安全軟件、系統補丁、密碼策略、進(jìn)程服務(wù)、外設端口等；對于檢查不通過(guò)的設備，系統可將其自動(dòng)引導至隔離修復區進(jìn)行修復，待其滿(mǎn)足所有安全要求后，方可正式入網(wǎng)。

?

?

?