这几年来,企业网络安全建设发展很快,在企业网与Internet之间建立起了由防火墙、IDS等安全手段协同组成的安全边界,企业网内部也实施了防病毒系统,企业网安全体系已经出具规模,其安全性已经远远高于Internet的安全性。
但是,企业网也继承了Internet的开放和自由的特点,面对日新月异的攻击手段和不断加快的攻击传播速度,企业网面临的安全形势依旧非常严峻,尤其病毒仍是企业内网的首要安全威胁,内部攻击也时有发生。究其原因,一方面是由于现有的安全防护技术的发展速度滞后于病毒技术的发展速度;另一方面,现阶段企业中普遍存在着安全技术和安全管理相脱节的问题,要么是好的安全技术或产品不能被很好的利用起来,发挥应有的作用,要么是安全管理制度缺少相应的技术手段保证其有效地执行下去。
安全管理中存在的巨大缺陷,集中表现在安全管理存在两个被割裂的客体:企业中每一个真实的员工和企业网中的用户。由于两个客体之间不存在确定的对应关系,致使病毒有了可乘之机,也纵容那些存在恶意企图的员工进行非授权访问,而且更为严重的是,由于网络中的身份不可靠,即使发生了安全事故,也无法找出隐藏在背后的“真凶”,安全管理制度和条例也形同虚设。
企业网络实名制,就是要借助最新的安全技术和产品,建立起安全管理中两个客体之间的确定对应关系,从而保证实现安全技术和安全管理的无缝结合,通过建立企业网络中确定用户的身份标识,将网络用户与自然人建立起一一对应的关系,确保员工依据自己在企业中的真实角色,在网络中从事与本职工作相关的行为。即使有人仍要尝试去做违背自己角色的事情,企业仍可以通过网络用户与自然人的一一对应关系,找到为这件事情负责的人。
1.企业网络实名制体系架构
企业网络实名制,核心是建立网络用户与企业员工之间的确定性的对应关系。这种对应关系,即包含了网络用户与企业员工之间的静态的逻辑对应关系,例如企业中广泛应用的基于LDAP的用户管理,就是维护这样一个用户的对应关系;同时,企业网络实名制也包含了网络用户与企业员工之间的动态对应关系,例如企业员工通过哪台端点设备、用哪个IP地址、接入哪个网络端口、通过哪个网络路径对网络资源进行访问。
建立网络用户与企业员工之间的动态对应关系,就是要建立起每一个企业员工对于网络访问过程中的关键要素的动态对应关系,具体要将企业员工所赖于使用的端点设备、所分配的IP地址、网络端口、网络访问权限和网络用户身份有机结合起来,构建起企业网络实名制管理体系。
图1是企业网络实名制管理体系架构逻辑图:
图1 企业网络实名制管理体系架构 |
其中,已经展示出企业网络实名制管理的关键要素和关键步骤:
(1)企业员工:企业合法员工
(2)网络用户:企业员工在网络中的用户名或账号(通常在LDAP中管理)
(3)端点设备:企业员工借助其对网络进行访问
(4)用户认证:验证企业员工所提供的网络用户名及密码
(5)设备认证:验证端点设备是否具备合法的物理地址、IP地址和安全状态
(6)授权和访问控制:规范网络用户依据企业员工在企业中的角色对网络进行访问
2.实名制管理实现的关键——准入控制
实名制管理实现的关键在于解决用户和终端的安全接入问题,也就是要实现终端与用户的准入控制,确保只有合法和安全的电脑才能接入企业内网,并全程进行安全保护。
企业内网中,网络接入层是用户发起访问的入口,非常适合对接入的终端和用户进行认证、授权和管理,并通过对终端用户的全程保护,建立起企业员工与网络用户之间动态确定的对应关系,最终使实名制管理得以实现。
图2是实现才网络接入层实现准入控制之后的逻辑示意图:
图2 实名制管理实现的网络逻辑架构图 |
通过在接入层实施准入控制,企业内部合法的用户和安全的设备仍可以透明联入内网,而非法用户和存在安全隐患的终端,将被禁止访问网络或者自动划入修复区。
在接入层实现准入控制,事实上在终端与企业核心内网建立起了一道坚固的内部安全环。内网安全环与外网安全边界交相呼应,彻底改变了企业网安全边界强大,内部空虚的安全现状,使企业内网跨入到安全、智能的可信任网络时代。
启明星辰天珣内网安全风险管理与审计系统,通过与网络接入设备共同建设企业网用户实名制管理平台,彻底改变了原有网络安全管理与用户管理、终端管理相脱节的局面,通过建立终端和用户与内网核心之间接入控制系统,使企业内网围绕企业网核心,构建起内网安全防御环,从而革命性地改变了企业内网架构,使企业网的安全性上了一个新的台阶。通过企业网用户实名制管理,不仅可以有效将企业安全管理制定执行落实到每一个员工,也为企业提供了非常可靠的内网安全审计平台,为企业安全管理目标的实现,提供了强大的保证。