新形勢(shì)下的網(wǎng)絡(luò)終端安全挑戰(zhàn),為終端安全一體化打造“新基建”

入館觀眾請(qǐng)出示“健康碼”，經(jīng)測(cè)溫核驗(yàn)無(wú)異常（不高于37.3℃），憑有效證件登記后戴口罩入場(chǎng)……“國(guó)慶節(jié)”作為國(guó)內(nèi)疫情穩(wěn)定以來(lái)的第一個(gè)黃金周，我國(guó)有超6億人次安全有序的出游，向世界展現(xiàn)出歷經(jīng)疫情大考后流動(dòng)起來(lái)、活力迸發(fā)的中國(guó)。同時(shí)我們也看到，出示“健康碼”已經(jīng)成為公眾的生活習(xí)慣，確保了消費(fèi)環(huán)境的更安全。那么，“健康碼”的形式能否運(yùn)用到企業(yè)的網(wǎng)絡(luò)安全管理中呢？

其實(shí)，網(wǎng)絡(luò)安全中的“健康碼”機(jī)制由來(lái)已久，這便是“網(wǎng)絡(luò)安全準(zhǔn)入技術(shù)”，并且經(jīng)過(guò)不斷演化升級(jí)，已經(jīng)成為“外防輸入、內(nèi)防傳播”的有效手段之一。

新形勢(shì)下的網(wǎng)絡(luò)終端安全挑戰(zhàn)

隨著網(wǎng)絡(luò)信息技術(shù)的發(fā)展，萬(wàn)物互聯(lián)時(shí)代的到來(lái)，終端做為企業(yè)信息交互的最基本單位，其安全問(wèn)題成為整個(gè)信息安全建設(shè)最重要的組成部分。但是，由于終端種類(lèi)繁多，數(shù)量巨大、部署分散、安全屬性無(wú)法統(tǒng)一，任何一個(gè)失陷的端點(diǎn)都可能造成全面的網(wǎng)絡(luò)安全事故。

因此，網(wǎng)絡(luò)安全管理首先要清楚終端類(lèi)型、數(shù)量，同時(shí)確定入網(wǎng)終端的安全狀況、合法性，確定哪些人員入網(wǎng)訪(fǎng)問(wèn)，訪(fǎng)問(wèn)了何種資源。要實(shí)現(xiàn)這樣的管理目標(biāo)，必然離不開(kāi)網(wǎng)絡(luò)安全準(zhǔn)入系統(tǒng)為每個(gè)終端發(fā)布“健康碼”。

如何選擇安全準(zhǔn)入技術(shù)？

網(wǎng)絡(luò)準(zhǔn)入（NAC）并不是一個(gè)年輕的概念，隨著技術(shù)的進(jìn)步，我們可以把不同的人員，各種接入方式，多樣的終端，應(yīng)用服務(wù)器以及業(yè)務(wù)數(shù)據(jù)都納入到IT運(yùn)維的“棋盤(pán)”上來(lái)，實(shí)現(xiàn)終端安全一體化防護(hù)。另外，網(wǎng)絡(luò)準(zhǔn)入不只是一個(gè)安全工具，更是解決安全管理難題的基礎(chǔ)設(shè)施，為網(wǎng)絡(luò)安全進(jìn)階提供了直接支撐。

網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的選擇，首先要考慮這套“新”系統(tǒng)是否支持多種入網(wǎng)強(qiáng)制技術(shù)，是否支持多樣化的異構(gòu)終端識(shí)別（如：IoT設(shè)備、手機(jī)、PAD、字符終端、網(wǎng)絡(luò)打印機(jī)等）。

其次，網(wǎng)絡(luò)安全已經(jīng)與“可視化”相輔相成、密不可分，態(tài)勢(shì)感知、威脅情報(bào)等等網(wǎng)絡(luò)安全熱門(mén)領(lǐng)域都離不開(kāi)可視化技術(shù)，端點(diǎn)安全也不例外。因此，深入的可視化可以確保快速、多維度的對(duì)資產(chǎn)信息進(jìn)行統(tǒng)計(jì)，為安全管理提供原始信息。

最后是架構(gòu)的選擇，這決定了整個(gè)網(wǎng)絡(luò)架構(gòu)是否會(huì)出現(xiàn)“大調(diào)整”的情況，另外也是確保準(zhǔn)入系統(tǒng)工作效率、穩(wěn)定性以及有效性的關(guān)鍵。而目前市場(chǎng)認(rèn)可度比較好的NAC方案，是集成了成熟的第二代Infrastructure-base 架構(gòu)以及第三代Appliance-base NAC架構(gòu)的融合方案，并且逐漸在向下一代準(zhǔn)入控制技術(shù)發(fā)展。

除了以上幾點(diǎn)，企業(yè)在選擇網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)時(shí)更需要關(guān)注“大終端” 安全的發(fā)展趨勢(shì)，因?yàn)镹AC產(chǎn)品不僅要站好自己的崗，同時(shí)也需要與防毒、數(shù)據(jù)安全、EDR等系統(tǒng)形成聯(lián)動(dòng)。

為終端安全一體化打造“新基建”

“大終端”安全的落地，將幫助用戶(hù)摸清內(nèi)網(wǎng)資產(chǎn)，并利用POC掃描、補(bǔ)丁修復(fù)等技術(shù)管控資產(chǎn)高危風(fēng)險(xiǎn)，還可以通過(guò)機(jī)器學(xué)習(xí)、威脅情報(bào)等技術(shù)發(fā)現(xiàn)內(nèi)網(wǎng)存在的已知和新型攻擊行為，進(jìn)而讓用戶(hù)能夠部署更加廣泛的安全解決方案，最終構(gòu)筑縱深防御的一體化方案。

為此，亞信安全在總結(jié)了大量的內(nèi)網(wǎng)安全案例以及用戶(hù)需求的基礎(chǔ)上，秉承“無(wú)需改變網(wǎng)絡(luò)、終端部署靈活”的特性，在亞信安全終端一體化方案中為用戶(hù)提供了終端安全管理系統(tǒng)（TSM），改變了業(yè)界傳統(tǒng)的將準(zhǔn)入控制系統(tǒng)作為一個(gè)單獨(dú)功能產(chǎn)品的做法，率先提出準(zhǔn)入平臺(tái)的概念，能夠滿(mǎn)足“違規(guī)不入網(wǎng)、入網(wǎng)必合規(guī)”的管理規(guī)范。

在產(chǎn)品功能方面，TSM支持包括了身份認(rèn)證、設(shè)備智能識(shí)別管理、全網(wǎng)安全結(jié)構(gòu)管理、友好WEB重定向引導(dǎo)、基于角色的動(dòng)態(tài)授權(quán)訪(fǎng)問(wèn)控制、可配置的安全檢查規(guī)范庫(kù)、“一鍵式”智能修復(fù)、實(shí)名日志審計(jì)等功能。值得一提的是，TSM還采用了亞信安全研究的“設(shè)備指紋特征識(shí)別”技術(shù)，針對(duì)IoT環(huán)境需求，進(jìn)行自動(dòng)化設(shè)備識(shí)別、IoT設(shè)備替換防范，以及對(duì)于IPv6和IPv4雙棧環(huán)境的支持。

用一體化去解決終端側(cè)的安全訴求

當(dāng)前，“健康碼”已成為疫情防控常態(tài)化下與群眾生活密切相關(guān)、使用頻率最高的應(yīng)用和服務(wù)之一。而小小一枚二維碼的背后更關(guān)聯(lián)著相關(guān)部門(mén)的權(quán)威數(shù)據(jù)、后臺(tái)比對(duì)和綜合判斷，最終后形成“風(fēng)險(xiǎn)提示”，助力疫情防控。因此，要提升終端安全防護(hù)能力，不僅需要網(wǎng)絡(luò)準(zhǔn)入的“健康碼”，更要不斷改進(jìn)安全防御技術(shù)，以組成更高效、更堅(jiān)不可摧的防御體系，用一體化去解決企業(yè)在終端側(cè)的安全訴求。

責(zé)任編輯：gt