随着信息技术的发展,网络中的终端日益多样化,安卓、IPHONE、IPAD、3G、平板电脑、云、虚拟化……如雨后春笋般纷纷冒出来。不论你愿不愿意,随时、随地、任何人通过任何设备访问任何资源的时代已经来临,我们称之为”无边界网络”。
无边界网络为我们带来了网络应用的革命,办公人员可在任何时间(Anytime)、任何地点(Anywhere)处理与业务相关的任何事情(Anything)。然而在我们享受着”无边界网络”带来的各种便利和高效性时,安全问题不得不引起足够的重视。作为网络的管理者往往很难弄清楚现在是谁、在哪里、使用什么终端,访问了哪些信息资源。防火墙、入侵检测、入侵防御等传统的安全设备和技术已不足以抵御”无边界网络”所带来的新安全威胁。”无边界网络”必须使用新的技术手段和新的思维方式来解决全新的安全问题。
盈高科技产品经理贺韬先生认为,”无边界网络”≠”无限边界网络”,不能因为”无边界”就将网络的”边界”无限度扩展。所谓”无边界”应该是在有限范围内的”无边界”。这个范围就是安全的边界,管理的边界。因此对”无边界网络”的安全管理也应该从这两个边界作为出发点。
为有效应对”无边界网络”和”移动终端”带来的安全问题,盈高科技在其准入控制产品–ASM入网规范管理系统的设计时进行了充分的考虑,既体现出分而治之的概念,又提供统一的、一体化的管理方法。因此着重在以下几个方面进行了重点规划设计:
1、 全网的透视和终端的发现
在传统的网络中,网络结构都是由网络管理员进行规划的,当出现变动时,管理员一定是第一个知道的。然而随”无边界网络”的出现,任何用户都可能在接入交换机上连接一个一、二百元的无线路由器,将网络随意的就扩展到了围墙之外,内部网络被打出了无数个缺口。
对于网络管理员来说,需要第一时间直观、快速、准确的获知当前网络延展的情况,及每个网络边缘连接的终端,而不论这个终端是PC还是移动终端。一旦发现有非授权的网络延展和终端就可以快速定位并进行隔离处理。
2、 根据终端设备的类型自动区分并进行设备标定
与以前的网络不同的是,网络中的终端已不仅仅是PC。随着”everything over IP”、”IP over everything”的进一步应用加深,网络中形成了多种终端的混合应用。主要包括:PC、平板、智能手机、网路打印机、网络摄像头、网络打卡机、网络电话、网络传感器、POS终端等。对于这些千变万化的IP终端,如果不能不能自动区分类型,不能进行有效的设备标定,那么就无法阻止非法的各种终端的接入,安全也就无从谈起了。
由于MAC地址极易被伪造,因此在进行设备识别和标定时,不能单纯采取MAC地址的记录和比对。而需要能够通过设备特征指纹的一系列技术,对各种IP设备进行外部”非介入”的扫描,获取到该设备的指纹特征信息,并与强大的设备指纹特性库进行比对,实现自动发现该设备的类型,进行归类记录。通过采集到的指纹进行模糊匹配进行防伪造的设备标定。
3、 根据移动终端的特点进行专门的MDM、MAM的管理
智能手机、平板设备可以说是当今时代的大宠儿,它们在孕育无限机遇的同时也把新的安全风险带到每个人身边。它们承载着大量企业运营所产生的敏感信息,但大多数设备平台的所有权却被掌握在员工手中,而且IT技术团队很难–甚至根本无法–通过某套单独的安全管理方案为这些新平台提供如企业PC一样的保护机制。因此需要采用不一样的方式来对待移动终端的安全管理。
MDM移动设备管理。提供完整的移动设备生命周期管理。从设备注册、激活、使用、淘汰各个环节进行全面管理。具体能实现用户及设备管理,配置管理,安全管理,资产管理等功能。
MAM 移动应用管理。针对员工移动设备应用的安全保护、分发、访问、配置、更新、删除等策略和流程。通过企业应用商店控制和推送应用, 能集中监控应用的使用情况,对应用设置相应策略以满足企业的规范。
4、 对于BYOD和COPE的终端属性进行分类控制
在组织机构内部对于移动终端,根据归属权的不同,其实应该存在两种不同的终端。我们常见的是BYOD(Bring Your Own Device),设备的归属权在于员工个人。对于COPE(coperation own person employ),设备的归属权在组织机构内部。因此应该对两种设备进行不同的管理。
对于BYOD设备主要管理点在于设备在个人和办公应用之间的切换管理,设备丢失后的数据擦除处理,个人数据和办公数据的隔离,避免使用者反对。
对于COPE设备主要管理点在于程序限制设备使用范围限制(电子围栏、无线连接点管理),限制可以使用该设备的人员,关注管理力度。
5、 集成化的管理方案
不论是传统终端设备,还是移动终端,或是智能终端,需要提供的管理方式方法都不一样,所针对的侧重点也不同。但是由于都是链接到同一个网络中,彼此又存在千丝万缕的联系,为了避免管理中,木桶短板的问题,应该提供一个整体、集成的方案进行管理。遵循”透视网络”–“发现设备”–“授权标定”–“分而治之”–“统一统计查询”的过程,应对越来越复杂的网络和终端管理难题。
只有从更加全面的角度来构建安全的网络架构,在无界网络下为接入者提供安全高效的联接,才能实现信息发展价值的最大化,让终端使用者在安全的环境下真正享受到随时随地的信息服务。
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/139998.html<
