随着互联网的不断发展,移动办公、远程办公趋势使得接入企业网络的终端设备类型越来越多种多样,接入方式也更加灵活,但同时也带来了安全风险。如果未经过认证和授权的电脑、手机、打印机、监控等IoT物联网终端接入企业网络,可能会导致企业信息泄露、病毒感染、网络瘫痪等严重问题。因此,做好企业内网的终端准入控制显得尤为重要。
背景
在企业内网中,未经过认证和授权的终端设备接入会带来以下问题:
● 安全问题:可能携带恶意软件或病毒,导致企业信息泄露或网络瘫痪。
● 管理问题:可能会违反企业管理规定,如擅自改变网络设备、服务器等配置,影响企业网络的正常运行。
● 效率问题:可能会占用企业网络资源,导致网络拥堵、延迟等问题,影响企业工作效率。
预防措施
为了防止未经认证和授权的终端设备接入企业网络,企业IT信息部门可以考虑采取以下措施:
● 网络认证:对接入网络的人员、设备进行身份认证,并辅以2FA双因素认证,增强身份鉴别,提高人员、设备的可信度;
● 强密码设置:要求所有终端电脑使用强密码,确保密码的安全性和复杂性。同时,需要定期更换密码,防止密码泄露。
● 访问控制:通过访问控制策略,限制终端电脑的访问权限,确保只有经过认证和授权的终端电脑才能访问企业网络资源。
● 合规检查:检查终端电脑是否安装杀毒软件、是否加域、是否更新漏洞补丁等符合企业安全准入的条件。
● 账户禁用:对于长时间未使用的账户,可以将其禁用,以避免未经授权的终端电脑利用这些账户访问企业网络。
● 防火墙和IDS/IPS:利用防火墙等安全设备,限制未经授权的终端电脑接入企业网络。同时,利用IDS/IPS设备监测网络流量,及时发现并处理安全问题。
● 审计和监控:对企业网络进行审计和监控,确保所有终端电脑符合企业的安全策略和规定。对于违规行为,要及时发现和处理。
客户案例
案例背景:
当前随着信息网络的迅速发展,某电脑制造厂商在办公网、生产网里接入的终端和人员都不断增多,有些代工厂对办公区、生产网实现简单的身份认证和网络管控,但计算机终端的各种安全问题也逐渐开始显现。当前办公专网和生产网就存在如下风险,如病毒库未更新、终端MAC地址伪造,仅靠当前的安全体系,缺乏有效的手段对威胁进行实时监测和及时阻断,由此将带来各种损失。因此,为提高公司网络接入安全基线,需要建设一套安全准入控制平台,从而及时发现内网中的各种违规行为,并及时上报、及时通告、及时处理,以达到公司办公专网信息安全建设要求。
客户需求:
● 非可信人员以及非法设备禁止接入;
● 终端安全管理,健康检查:赛门铁克、终端类型及版本、域身份、桌管软件等;检测不合规给予告警并阻断终端流量;
● 网络边界扩展问题(私接小路由、热点、HUB);
● 多厂区的集中管控。
方案拓扑:
宁盾终端准入方案:
● 终端合规管控
多种有效管控手段,包含但不限于网页重定向告警、虚拟防火墙,实现针对不合规终端有效阻断,并持续性地监控终端安全情况与管控。
● 客户端兼容性佳
支持Windows加域电脑无客户端扫描获取终端信息,准入客户端兼容Windows、Mac OS、Linux操作系统,轻量的安装包以及低占用资源并不会给终端增加压力,可以推送定制化的告警页面,给用户带来良好的体验感。
● 终端可视化
支持无客户端扫描终端、客户端主动汇报方式快速识别入网终端,自定义规则自动化地筛选终端并进行资产分类,形成基于终端类型、网段、安装软件、网络位置、进程等多维度终端列表,大大提高了IT运维人员的管理效率。
宁盾(www.nington.com)版权所有
—END—