宁盾发布无线有线一体化认证方案,侧重《网络安全法》合规及用户体验
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
宁盾发布⽆线有线⼀体化认证⽅案,侧重《⽹络安全法》合规及⽤户体验
宁盾发布⽆线有线⼀体化认证⽅案,侧重《⽹络安全法》合
规及⽤户体验
摘要:宁盾⽆线有线统⼀认证平台,帮助企业实现⽆线有线⽹络的⼀体化⾝份认证,多种认证⽅式打造安全便捷的接⼊体验,联动上⽹⾏为管理设备对⽤户⾝份实名认证及上⽹⾏为审计,帮助企业践⾏《⽹络安全法》,实现企业⽹络接⼊的可管理性、便捷性、安全性。
1、⽹络安全法解读
《⽹络安全法》第⼆⼗⼀条国家实⾏⽹络安全等级保护制度。
⽹络运营者应当按照⽹络安全等级保护制度的要求,履⾏下列安全保护义务,保障⽹络免受⼲扰、破坏或者未经授权的访问,防⽌⽹络数据泄露或者被窃取、篡改:(⼀)制定内部安全管理制度和操作规程,确定⽹络安全负责⼈,落实⽹络安全保护责任;
(⼆)采取防范计算机病毒和⽹络攻击、⽹络侵⼊等危害⽹络安全⾏为的技术措施;
(三)采取监测、记录⽹络运⾏状态、⽹络安全事件的技术措施,并按照规定留存相关的⽹络⽇志不少于六个⽉;
(四)采取数据分类、重要数据备份和加密等措施;
结合以上第⼆⼗⼀条中(⼀)和(三)内容解读如下:要求对⽹络⽇志有不少于6个⽉的存留,同时能够对⽹络访问者进⾏实名审计追索,是企业⽹络接⼊符合《⽹络安全法》的核⼼⽬标,帮助⽹络安全负责⼈可以快速定位相关违规事件及个⼈。
实名审计包含实名和审计两部分,实名即要求对⽹络访问者的⾝份做实名认证,审计即须完成对⽹络访问者上⽹⾏为的记录,⼆者有效结合才能真正实现实名审计管理,确保每⼀条⽹络⽇志都能定位到个⼈,帮助企业践⾏《⽹络安全法》。
2、技术实现
(1)⽆线有线⼀体化准⼊认证
宁盾⼀体化⾝份认证管理平台是集⽆线、有线portal认证于⼀体,⾯向企业提供⽹络接⼊流程标准化、portal可定制化、⾝份管理统⼀化的软件平台系统。
通过基本portal认证⽅式或根据企业⾃⾝定制化认证接⼊流程实现⽹络接⼊的可管理性、安全性、便捷性。
其中⽆线部分通过WLC开启portal认证,认证服务器指向宁盾认证平台(ND AM),有线部分通过宁盾准⼊引擎(ND ACE)结合AM做portal的统⼀准⼊,最终实现⽆线有线的⼀体化准⼊控制。
⽅案拓扑如下:
通过部署宁盾⼀体化认证与准⼊控制平台,将AC上的需要做认证的VLAN 流量镜像到宁盾ACE上,所有认证、安全组件检测和阻断均由宁盾ACE和认证系统完成。
宁盾ND ACE采⽤旁路阻断及旁路侦听的⼿段来获取⽹络上的数据包,然后去分析获取的数据是否满⾜设定的安全检测规则。
满⾜安检规则,进⼊下⼀步⽹络准⼊认证控制流程。
(2)多种⾝份认证⽅式,满⾜不同场景体现需求
访客场景:短信认证、微信认证、协助扫码、访客⾃助、邮箱认证①短信认证,可设定短信内容模版、短信验证码有效期及长度等;
②微信认证,通过关注微信公众号进⾏认证连接上⽹;
③⽀持协助扫码认证,快速授权上⽹,实现访客与被访⼈之间可追溯;
④⽀持访客⾃助申请认证,由指定⼈员审批申请信息,加强内外⽹访问安全控制;
⑤⽀持邮箱认证,访客可以通过邮箱认证接⼊⽹络。
员⼯场景:⽤户名密码认证、802.1X认证、802.1x+portal认证、802.1x+portal+动态码认证
①⽤户名密码认证,⽤户名密码可以创建,也可与AD、LDAP同步帐号信息;
②⽀持802.1X认证;
③⽀持802.1x+portal认证;
④⽀持802.1x+portal+动态码认证。
(3)上⽹⾏为审计
部署深信服上⽹⾏为管理设备于互联⽹出⼝,针对有线/⽆线⽹络终端、⽤户和关键应⽤提供全局统⼀的带宽控制、权限控制、合规审计,⽀持多维度组合制定精细的控制策略。
在上⽹⾏为审计⽅⾯,深信服不仅记录内⽹⽤户访问了哪些⽹站、使⽤了哪些应⽤,还能对⽤户的上⽹⾏为内容进⾏深⼊审计,如IM聊天内容、微博、社交论坛发帖内容、邮件发送内容、邮件附件内容和上传⽂件内容等。
同时,还⽀持SSL加密⽹页和应⽤的内容审计,避免错审漏审,帮助企业深⼊的了解员⼯上⽹⾏为。
实现效果如下:
(4)宁盾⽆线有线⼀体化认证系统与⾏为审计联动,实现上⽹⾏为实名审计
将宁盾⼀体化认证平台与深信服上⽹⾏为管理设备联动,提供⽹络⽤户的⾝份实名认证及上⽹⾏为审计,可基于⽤户认证之后的⾓⾊、⽤户组、MAC地址等传递给深信服上⽹⾏为管理系统,实现⽤户上⽹控制、QOS及上⽹实名可查询、上⽹⾏为监控、⽇志审计等功能,充分满⾜了实名审计合规性要求。
最终实现效果如下,可实名查询单个⽤户的上⽹记录:
3、Q&A
1、Q:仅仅通过上⽹⾏为管理审计设备,为什么不能做到完全符合《⽹络安全法》?为什么必须是⾝份认证+上⽹⾏为审计?A:上⽹⾏为管理审计设备本⾝包含认证功能,通常部署在⽹络出⼝位置,其认证只能实现出⽹认证,⽆法实现对员⼯、⾼级访客内⽹准⼊的控制,因此不符合企业内⽹安全管理标准。
⽽独⽴认证系统能够实现内⽹准⼊认证以及内⽹访问权限的控制。
因此认证+上⽹⾏为审计才能做到完全符合企业《⽹络安全法》。
2、Q:除了深信服上⽹⾏为审计,宁盾认证能够对接其他⼚商上⽹⾏为审计设备么?
A:能。
除了深信服,宁盾认证还⽀持⽹康、任⼦⾏等主流上⽹⾏为审计设备。