準(zhǔn)入控制打造終端實(shí)名制管理平臺(tái)

2013-10-21 11:12:15 eNet硅谷動(dòng)力　點(diǎn)擊量：評(píng)論 (0)

這幾年來(lái)，企業(yè)網(wǎng)絡(luò)安全建設(shè)發(fā)展很快，在企業(yè)網(wǎng)與Internet之間建立起了由防火墻、IDS等安全手段協(xié)同組成的安全邊界，企業(yè)網(wǎng)內(nèi)部也實(shí)施了防病毒系統(tǒng)，企業(yè)網(wǎng)安全體系已經(jīng)出具規(guī)模，其安全性已經(jīng)遠(yuǎn)遠(yuǎn)高于Internet的安全性。

　　但是，企業(yè)網(wǎng)也繼承了Internet的開放和自由的特點(diǎn)，面對(duì)日新月異的攻擊手段和不斷加快的攻擊傳播速度，企業(yè)網(wǎng)面臨的安全形勢(shì)依舊非常嚴(yán)峻，尤其病毒仍是企業(yè)內(nèi)網(wǎng)的首要安全威脅，內(nèi)部攻擊也時(shí)有發(fā)生。究其原因，一方面是由于現(xiàn)有的安全防護(hù)技術(shù)的發(fā)展速度滯后于病毒技術(shù)的發(fā)展速度；另一方面，現(xiàn)階段企業(yè)中普遍存在著安全技術(shù)和安全管理相脫節(jié)的問題，要么是好的安全技術(shù)或產(chǎn)品不能被很好的利用起來(lái)，發(fā)揮應(yīng)有的作用，要么是安全管理制度缺少相應(yīng)的技術(shù)手段保證其有效地執(zhí)行下去。

　　安全管理中存在的巨大缺陷，集中表現(xiàn)在安全管理存在兩個(gè)被割裂的客體：企業(yè)中每一個(gè)真實(shí)的員工和企業(yè)網(wǎng)中的用戶。由于兩個(gè)客體之間不存在確定的對(duì)應(yīng)關(guān)系，致使病毒有了可乘之機(jī)，也縱容那些存在惡意企圖的員工進(jìn)行非授權(quán)訪問，而且更為嚴(yán)重的是，由于網(wǎng)絡(luò)中的身份不可靠，即使發(fā)生了安全事故，也無(wú)法找出隱藏在背后的“真兇”，安全管理制度和條例也形同虛設(shè)。

　　企業(yè)網(wǎng)絡(luò)實(shí)名制，就是要借助最新的安全技術(shù)和產(chǎn)品，建立起安全管理中兩個(gè)客體之間的確定對(duì)應(yīng)關(guān)系，從而保證實(shí)現(xiàn)安全技術(shù)和安全管理的無(wú)縫結(jié)合，通過建立企業(yè)網(wǎng)絡(luò)中確定用戶的身份標(biāo)識(shí)，將網(wǎng)絡(luò)用戶與自然人建立起一一對(duì)應(yīng)的關(guān)系，確保員工依據(jù)自己在企業(yè)中的真實(shí)角色，在網(wǎng)絡(luò)中從事與本職工作相關(guān)的行為。即使有人仍要嘗試去做違背自己角色的事情，企業(yè)仍可以通過網(wǎng)絡(luò)用戶與自然人的一一對(duì)應(yīng)關(guān)系，找到為這件事情負(fù)責(zé)的人。

　　1.企業(yè)網(wǎng)絡(luò)實(shí)名制體系架構(gòu)

　　企業(yè)網(wǎng)絡(luò)實(shí)名制，核心是建立網(wǎng)絡(luò)用戶與企業(yè)員工之間的確定性的對(duì)應(yīng)關(guān)系。這種對(duì)應(yīng)關(guān)系，即包含了網(wǎng)絡(luò)用戶與企業(yè)員工之間的靜態(tài)的邏輯對(duì)應(yīng)關(guān)系，例如企業(yè)中廣泛應(yīng)用的基于LDAP的用戶管理，就是維護(hù)這樣一個(gè)用戶的對(duì)應(yīng)關(guān)系；同時(shí)，企業(yè)網(wǎng)絡(luò)實(shí)名制也包含了網(wǎng)絡(luò)用戶與企業(yè)員工之間的動(dòng)態(tài)對(duì)應(yīng)關(guān)系，例如企業(yè)員工通過哪臺(tái)端點(diǎn)設(shè)備、用哪個(gè)IP地址、接入哪個(gè)網(wǎng)絡(luò)端口、通過哪個(gè)網(wǎng)絡(luò)路徑對(duì)網(wǎng)絡(luò)資源進(jìn)行訪問。

　　建立網(wǎng)絡(luò)用戶與企業(yè)員工之間的動(dòng)態(tài)對(duì)應(yīng)關(guān)系，就是要建立起每一個(gè)企業(yè)員工對(duì)于網(wǎng)絡(luò)訪問過程中的關(guān)鍵要素的動(dòng)態(tài)對(duì)應(yīng)關(guān)系，具體要將企業(yè)員工所賴于使用的端點(diǎn)設(shè)備、所分配的IP地址、網(wǎng)絡(luò)端口、網(wǎng)絡(luò)訪問權(quán)限和網(wǎng)絡(luò)用戶身份有機(jī)結(jié)合起來(lái)，構(gòu)建起企業(yè)網(wǎng)絡(luò)實(shí)名制管理體系。

　　圖1是企業(yè)網(wǎng)絡(luò)實(shí)名制管理體系架構(gòu)邏輯圖：

　　準(zhǔn)入控制打造終端實(shí)名制管理平臺(tái)

　　圖1 企業(yè)網(wǎng)絡(luò)實(shí)名制管理體系架構(gòu)

　　其中，已經(jīng)展示出企業(yè)網(wǎng)絡(luò)實(shí)名制管理的關(guān)鍵要素和關(guān)鍵步驟：

　?。?）企業(yè)員工：企業(yè)合法員工

　?。?）網(wǎng)絡(luò)用戶：企業(yè)員工在網(wǎng)絡(luò)中的用戶名或賬號(hào)（通常在LDAP中管理）

　?。?）端點(diǎn)設(shè)備：企業(yè)員工借助其對(duì)網(wǎng)絡(luò)進(jìn)行訪問

　?。?）用戶認(rèn)證：驗(yàn)證企業(yè)員工所提供的網(wǎng)絡(luò)用戶名及密碼

　?。?）設(shè)備認(rèn)證：驗(yàn)證端點(diǎn)設(shè)備是否具備合法的物理地址、IP地址和安全狀態(tài)

　?。?）授權(quán)和訪問控制：規(guī)范網(wǎng)絡(luò)用戶依據(jù)企業(yè)員工在企業(yè)中的角色對(duì)網(wǎng)絡(luò)進(jìn)行訪問

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊