新闻中心

返回

宁盾发布无线有线一体化认证,侧重《网络安全法》合规

日期:2017-11-20  来源: 点击量:

1、 网络安全法解读

《网络安全法》第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月
(四)采取数据分类、重要数据备份和加密等措施;

 结合以上第二十一条中(一)和(三)内容解读如下:要求对网络日志有不少于6个月的存留,同时能够对网络访问者进行实名审计追索,是企业网络接入符合《网络安全法》的核心目标,帮助网络安全负责人可以快速定位相关违规事件及个人。
实名审计包含实名和审计两部分,实名即要求对网络访问者的身份做实名认证,审计即须完成对网络访问者上网行为的记录,二者有效结合才能真正实现实名审计管理,确保每一条网络日志都能定位到个人,帮助企业践行《网络安全法》。

2、技术实现

(1)无线有线一体化准入认证

宁盾一体化身份认证管理平台是集无线、有线portal认证于一体,面向企业提供网络接入流程标准化、portal可定制化、身份管理统一化的软件平台系统。通过基本portal认证方式或根据企业自身定制化认证接入流程实现网络接入的可管理性、安全性、便捷性。
其中无线部分通过WLC开启portal认证,认证服务器指向宁盾认证平台(ND AM),有线部分通过宁盾准入引擎(ND ACE)结合AM做portal的统一准入,最终实现无线有线的一体化准入控制。方案拓扑如下:

通过部署宁盾一体化认证与准入控制平台,将AC上的需要做认证的VLAN流量镜像到宁盾ACE上,所有认证、安全组件检测和阻断均由宁盾ACE和认证系统完成。
宁盾ND ACE采用旁路阻断及旁路侦听的手段来获取网络上的数据包,然后去分析获取的数据是否满足设定的安全检测规则。满足安检规则,进入下一步网络准入认证控制流程。

(2)多种身份认证方式,满足不同场景体现需求

访客场景:短信认证、微信认证、协助扫码、访客自助、邮箱认证
①短信认证,可设定短信内容模版、短信验证码有效期及长度等;


②微信认证,通过关注微信公众号进行认证连接上网;

③支持协助扫码认证,快速授权上网,实现访客与被访人之间可追溯;

④支持访客自助申请认证,由指定人员审批申请信息,加强内外网访问安全控制;


⑤支持邮箱认证,访客可以通过邮箱认证接入网络。

 
员工场景:用户名密码认证、802.1X认证、802.1x+portal认证、802.1x+portal+动态码认证
①用户名密码认证,用户名密码可以创建,也可与AD、LDAP同步帐号信息;

②支持802.1X认证;

③支持802.1x+portal认证;

④支持802.1x+portal+动态码认证。

(3)上网行为审计:

部署深信服上网行为管理设备于互联网出口,针对有线/无线网络终端、用户和关键应用提供全局统一的带宽控制、权限控制、合规审计,支持多维度组合制定精细的控制策略。
在上网行为审计方面,深信服不仅记录内网用户访问了哪些网站、使用了哪些应用,还能对用户的上网行为内容进行深入审计,如IM聊天内容、微博、社交论坛发帖内容、邮件发送内容、邮件附件内容和上传文件内容等。同时,还支持SSL加密网页和应用的内容审计,避免错审漏审,帮助企业深入的了解员工上网行为。
实现效果如下:

(4)宁盾无线有线一体化认证系统与行为审计联动,实现上网行为实名审计

将宁盾一体化认证平台与深信服上网行为管理设备联动,提供网络用户的身份实名认证及上网行为审计,可基于用户认证之后的角色、用户组、MAC地址等传递给深信服上网行为管理系统,实现用户上网控制、QOS及上网实名可查询、上网行为监控、日志审计等功能,充分满足了实名审计合规性要求。

最终实现效果如下,可实名查询单个用户的上网记录:

Q&A

Q:仅仅通过上网行为管理审计设备,为什么不能做到完全符合《网络安全法》?为什么必须是身份认证+上网行为审计?
A:上网行为管理审计设备本身包含认证功能,通常部署在网络出口位置,其认证只能实现出网认证,无法实现对员工、高级访客内网准入的控制,因此不符合企业内网安全管理标准。
而独立认证系统能够实现内网准入认证以及内网访问权限的控制。因此认证+上网行为审计才能做到完全符合企业《网络安全法》。
 
Q
:除了深信服上网行为审计,宁盾认证能够对接其他厂商上网行为审计设备么?
A:能。除了深信服,宁盾认证还支持网康、任子行等主流上网行为审计设备。