準入控制打造終端實名制管理平臺

2013-10-21 11:12:15 eNet硅谷動力　點擊量：評論 (0)

這幾年來，企業網絡安全建設發展很快，在企業網與Internet之間建立起了由防火墻、IDS等安全手段協同組成的安全邊界，企業網內部也實施了防病毒系統，企業網安全體系已經出具規模，其安全性已經遠遠高于Inter

這幾年來，企業網絡安全建設發展很快，在企業網與Internet之間建立起了由防火墻、IDS等安全手段協同組成的安全邊界，企業網內部也實施了防病毒系統，企業網安全體系已經出具規模，其安全性已經遠遠高于Internet的安全性。

　　但是，企業網也繼承了Internet的開放和自由的特點，面對日新月異的攻擊手段和不斷加快的攻擊傳播速度，企業網面臨的安全形勢依舊非常嚴峻，尤其病毒仍是企業內網的首要安全威脅，內部攻擊也時有發生。究其原因，一方面是由于現有的安全防護技術的發展速度滯后于病毒技術的發展速度；另一方面，現階段企業中普遍存在著安全技術和安全管理相脫節的問題，要么是好的安全技術或產品不能被很好的利用起來，發揮應有的作用，要么是安全管理制度缺少相應的技術手段保證其有效地執行下去。

　　安全管理中存在的巨大缺陷，集中表現在安全管理存在兩個被割裂的客體：企業中每一個真實的員工和企業網中的用戶。由于兩個客體之間不存在確定的對應關系，致使病毒有了可乘之機，也縱容那些存在惡意企圖的員工進行非授權訪問，而且更為嚴重的是，由于網絡中的身份不可靠，即使發生了安全事故，也無法找出隱藏在背后的“真兇”，安全管理制度和條例也形同虛設。

　　企業網絡實名制，就是要借助最新的安全技術和產品，建立起安全管理中兩個客體之間的確定對應關系，從而保證實現安全技術和安全管理的無縫結合，通過建立企業網絡中確定用戶的身份標識，將網絡用戶與自然人建立起一一對應的關系，確保員工依據自己在企業中的真實角色，在網絡中從事與本職工作相關的行為。即使有人仍要嘗試去做違背自己角色的事情，企業仍可以通過網絡用戶與自然人的一一對應關系，找到為這件事情負責的人。

　　1.企業網絡實名制體系架構

　　企業網絡實名制，核心是建立網絡用戶與企業員工之間的確定性的對應關系。這種對應關系，即包含了網絡用戶與企業員工之間的靜態的邏輯對應關系，例如企業中廣泛應用的基于LDAP的用戶管理，就是維護這樣一個用戶的對應關系；同時，企業網絡實名制也包含了網絡用戶與企業員工之間的動態對應關系，例如企業員工通過哪臺端點設備、用哪個IP地址、接入哪個網絡端口、通過哪個網絡路徑對網絡資源進行訪問。

　　建立網絡用戶與企業員工之間的動態對應關系，就是要建立起每一個企業員工對于網絡訪問過程中的關鍵要素的動態對應關系，具體要將企業員工所賴于使用的端點設備、所分配的IP地址、網絡端口、網絡訪問權限和網絡用戶身份有機結合起來，構建起企業網絡實名制管理體系。

　　圖1是企業網絡實名制管理體系架構邏輯圖：

　　準入控制打造終端實名制管理平臺

　　圖1 企業網絡實名制管理體系架構

　　其中，已經展示出企業網絡實名制管理的關鍵要素和關鍵步驟：

　　（1）企業員工：企業合法員工

　　（2）網絡用戶：企業員工在網絡中的用戶名或賬號（通常在LDAP中管理）

　　（3）端點設備：企業員工借助其對網絡進行訪問

　　（4）用戶認證：驗證企業員工所提供的網絡用戶名及密碼

　　（5）設備認證：驗證端點設備是否具備合法的物理地址、IP地址和安全狀態

　　（6）授權和訪問控制：規范網絡用戶依據企業員工在企業中的角色對網絡進行訪問