安卓、IPHONE、IPAD、3G、平板电脑、云、虚拟化......
新的终端和新的网络如雨后春笋般的出现在我们的生活和工作中。突然间我们发现使用网络的终端和人员已不限于在四壁隔墙的办公室中了,也不限于在办公桌上规规矩矩摆放的电脑了。它可能是一台Android手机,也可能是一部IPAD;可能在我们的办公室中,也可能在相距数公里外的球场上;可能是我们的核心员工,也可能是从未谋面的合作伙伴......
在以前我们可以把整个网络的边界规划得非常完整,可以非常清晰的知晓哪里是我们网络的最远点。然而随着各种新技术、新需求的出现,原来网络的边界已经实实在在的被打破了。不论你愿不愿意,随时、随地、任何人通过任何设备访问任何资源的时代已经来临,我们称之为“无边界网络”。
然而在我们享受着“无边界网络”带来的各种便利和高效性时,安全问题不得不引起足够的重视。作为网络的管理者往往很难弄清楚现在是谁、在哪里、使用什么终端,访问了那些信息资源。会不会是非授权的用户和设备,甚至是网络攻击者访问到了不该访问的资源,这些设备本身是安全的吗?这些访问会带来网络攻击或信息泄露吗?在网络边界非常清晰的情况下我们的安全防护主要以边界、网关为主。因为访问者、访问设备是相对固定的,只要把好网络的入口就可以将威胁阻挡在“城门”之外。而“无边界网络”的出现却打破了这种格局,接入的终端不再固定,接入的人员更加复杂,接入的方式空前灵活。防火墙、入侵检测、入侵防御等传统的安全设备和技术已不足以抵御“无边界网络”所带来的新安全威胁。“无边界网络”必须使用新的技术手段和新的思维方式来解决全新的安全问题。
“无边界网络”≠“无限边界网络”,不因为“无边界”就将网络的“边界”无限度扩展。其实所谓“无边界”应该是在有限范围内的“无边界”。这个范围就是安全的边界,管理的边界。因此对“无边界网络”的安全管理也应该从这两个边界作为出发点。
首先,应该对访问的终端设备进行管理。由于目前终端设备的种类纷繁复杂,必须能够清晰的识别出访问资源的究竟是什么设备,它的安全状况如何。同时还需要对设备进行标识,防止设备的伪造;
第二,对访问人员进行身份识别。人是信息资源访问的主体,必须要能够确定访问资源的是何人,避免非法用户擅自访问信息资源;
第三,对访问者进行授权管理。通过授权可以控制对资源的访问。良好的授权管理能够最大限度的保护企业网络信息资源,避免非授权访问和敏感信息泄露;
第四,对访问行为进行监控。细致的访问监控可以及时发现异常情况,在出现安全事件后还可以进行事后追溯。
面对“无边界网络”时代,杭州盈高科技推出了入网规范管理系统(ASM),为有效应对“无边界网络”带来的安全问题提供了新的解决方案。
ASM提供了从802.1x、PBR(Policy–Based-Routing)、DHCP、到MVG的各种边界控制强度实现方案。基于独创的无客户端解决技术,不仅终端适应性强,而且提高了部署的普适性和客户体验。
ASM能够提供广泛的人员认证(识别)类型,以及基于人员角色的权限控制系统,从而在识别、授权、审计等多个角度对内网边界设立好人员管理的第一道防线。
ASM的核心规范库与设备识别、用户认证、行为监测等共同构成了几十项的内网安全要素集合,克服了老旧控制技术单一利用MAC地址、用户认证等极少量安全要素进行管理的安全短板。能够识别各种不同的终端设备,并通过多种要素进行设备固定。独特的监测系统,能够帮助机构抵御网络中无意或恶意的各种违规行为。对于安全威胁还可以提供多视角定位能力。
通过部署盈高科技的入网规范管理系统(ASM),能够在“无边界网络”中规划出完整的安全和管理边界,使我们在享受“无边界网络”的便利时,还能够确保信息安全。(本文作者:盈高科技贺韬)