数字世界的“健康码”,网络安全准入守护大终端边界

发布时间:2020-10-23

入馆观众请出示“健康码”,经测温核验无异常(不高于37.3),凭有效证件登记后戴口罩入场……“国庆节”作为国内疫情稳定以来的第一个黄金周,我国有超6亿人次安全有序的出游,向世界展现出历经疫情大考后流动起来、活力迸发的中国。同时我们也看到,出示“健康码”已经成为公众的生活习惯,确保了消费环境的更安全。那么,“健康码”的形式能否运用到企业的网络安全管理中呢?

其实,网络安全中的“健康码”机制由来已久,这便是“网络安全准入技术”,并且经过不断演化升级,已经成为“外防输入、内防传播”的有效手段之一。

1.  新形势下的网络终端安全挑战

随着网络信息技术的发展,万物互联时代的到来,终端做为企业信息交互的最基本单位,其安全问题成为整个信息安全建设最重要的组成部分。但是,由于终端种类繁多,数量巨大、部署分散、安全属性无法统一,任何一个失陷的端点都可能造成全面的网络安全事故。

因此,网络安全管理首先要清楚终端类型、数量,同时确定入网终端的安全状况、合法性,确定哪些人员入网访问,访问了何种资源。要实现这样的管理目标,必然离不开网络安全准入系统为每个终端发布“健康码”。

2.  如何选择安全准入技术?

网络准入(NAC)并不是一个年轻的概念,随着技术的进步,我们可以把不同的人员,各种接入方式,多样的终端,应用服务器以及业务数据都纳入到IT运维的“棋盘”上来,实现终端安全一体化防护。另外,网络准入不只是一个安全工具,更是解决安全管理难题的基础设施,为网络安全进阶提供了直接支撑。

网络准入控制系统的选择,首先要考虑这套“新”系统是否支持多种入网强制技术,是否支持多样化的异构终端识别(如:IoT设备、手机、PAD、字符终端、网络打印机等)。

其次,网络安全已经与“可视化”相辅相成、密不可分,态势感知、威胁情报等等网络安全热门领域都离不开可视化技术,端点安全也不例外。因此,深入的可视化可以确保快速、多维度的对资产信息进行统计,为安全管理提供原始信息。

最后是架构的选择,这决定了整个网络架构是否会出现“大调整”的情况,另外也是确保准入系统工作效率、稳定性以及有效性的关键。而目前市场认可度比较好的NAC方案,是集成了成熟的第二代Infrastructure-base 架构以及第三代Appliance-base NAC架构的融合方案,并且逐渐在向下一代准入控制技术发展。

除了以上几点,企业在选择网络准入系统时更需要关注“大终端” 安全的发展趋势,因为NAC产品不仅要站好自己的岗,同时也需要与防毒、数据安全、EDR等系统形成联动。

3.  为终端安全一体化打造“新基建”

“大终端”安全的落地,将帮助用户摸清内网资产,并利用POC扫描、补丁修复等技术管控资产高危风险,还可以通过机器学习、威胁情报等技术发现内网存在的已知和新型攻击行为,进而让用户能够部署更加广泛的安全解决方案,最终构筑纵深防御的一体化方案。

为此,亚信安全在总结了大量的内网安全案例以及用户需求的基础上,秉承“无需改变网络、终端部署灵活”的特性,在亚信安全终端一体化方案中为用户提供了终端安全管理系统(TSM),改变了业界传统的将准入控制系统作为一个单独功能产品的做法,率先提出准入平台的概念,能够满足“违规不入网、入网必合规”的管理规范。

在产品功能方面,TSM支持包括了身份认证、设备智能识别管理、全网安全结构管理、友好WEB重定向引导、基于角色的动态授权访问控制、可配置的安全检查规范库、“一键式”智能修复、实名日志审计等功能。值得一提的是,TSM还采用了亚信安全研究的“设备指纹特征识别”技术,针对IoT环境需求,进行自动化设备识别、IoT设备替换防范,以及对于IPv6IPv4双栈环境的支持。

4.  用一体化去解决终端侧的安全诉求

当前,“健康码”已成为疫情防控常态化下与群众生活密切相关、使用频率最高的应用和服务之一。而小小一枚二维码的背后更关联着相关部门的权威数据、后台比对和综合判断,最终后形成“风险提示”,助力疫情防控。因此,要提升终端安全防护能力,不仅需要网络准入的“健康码”,更要不断改进安全防御技术,以组成更高效、更坚不可摧的防御体系,用一体化去解决企业在终端侧的安全诉求。


版权所有 © 皖西学院信息化建设与管理中心
地址:六安市皖西学院本部逸夫楼一楼
邮编:237012 电话:3305046 3307929 邮箱:admin@wxc.edu.cn