华为Policy center助力企业信息化的有效管理
在企业当前复杂的网络环境下,如何有效保证接入企业网络的终端的安全可信,成为了信息安全建设的重中之重。身份认证、安全检查、补丁管理、重要网络资源的安全防护、终端行为管理、资产管理等一系列归一化的完整终端安全解决,成为企业IT安全管理人员追求的目标。
身份认证系统
Policy center系统中,终端用户是以终端角色来进行安全策略和网络访问权限管理的,终端只有完成身份认证才能接入企业内网。
Policy center系统建立了完善的接入用户身份认证机制,支持系统内置账号和外部数据源方式。系统内置账号包括普通账号、MAC账号,外部数据源账号支持从AD账号、LDAP账号和CA账号等第三方的用户系统中同步账号,实现终端的网络准入前的身份认证。
准入控制
终端身份认证通过前,不能访问网络资源/或者只能访问很少的网络资源,防止外来非法终端接入网络带来安全风险。终端通过身份认证,但是终端不符合企业安全策略的规定,限制访问网络资源。通过限制网络访问的方式,强制终端实施修复以符合企业安全策略的规定。终端通过身份认证,并且终端符合企业安全策略的规定,可以访问特定的网络资源,由于不同用户的业务需求不同,可以访问的认证后域可以不同。
灵活的访客管理
随着企业对外交流的扩大,来访访客不断增多,例如,企业客户前来参观交流、企业顾问短期工作等等,需要给访客提供一个随时随地浏览资讯的空间;传统的企业IT管理人员往往疲于访客账号的申请、生效和回收,浪费了大量精力,又不一定满足访客及时性需求和公司信息安全管理规定。
华为Policy Center提供了强大的访客管理功能,支持对访客的生命周期管理,实现访客申请、审批、分发、认证、注销统一管理。提供个性化定制Portal登录界面,提供所见即所得的定制功能,降低二次开发成本,提高公司品牌形象;同时自动化的访客处理流程能够提高访客工作效率,降低IT运维的压力。
防病毒软件安全策略
通过Policy center系统的防病毒管理策略实现终端的安全防护,Policy center配合企业自身的防病毒软件,通过检查终端是否安装、运行状态以及防病毒软件的更新状态,作为判断终端当前安全状态的一个依据,阻止或提示没有部署杀毒软件的终端或者杀毒软件长期不更新的终端接入网络。保证企业内网运行的终端杀毒软件能够及时更新并且有效运行,减少病毒感染和扩散的风险。
监控非法应用和服务
通过检查终端的软件安装情况和监控终端软件程序的运行情况,阻止终端安装和运行非法应用程序。如果发现安装或使用了非法软件、进程和服务,可以通过与准入控制设备的联动提示或阻止该终端接入网络,也可以拦截非法软件、进程和服务的使用,规范员工的行为。同时,管理员可通过审计软件的安装和使用情况,从而及时了解安全状态。
终端行为管理
法律规定了很多网站是非法的,比如有色情、迷信和犯罪相关的等等。使用宽带接入互联网后,企业内部网络某种程度上成了一种“公共”上网场所,很多与法律相违背的行为都有可能发生在内部网中。这些事情难以追查,给企业带来的法律法规方面的风险。因此,建议对员工的网络访问行为进行管理,具体管理方案如下:
监控网站访问
通过对WEB访问的监控,记录终端用户的WEB网站访问信息,由管理员进行统一管理和审计。通过这样的手段,一方面可以管理员工的上网行为,上班时间屏蔽一些与工作无关的网站;另一方面,提供审计和责任追溯的途径。
软件安装标准化
通过软件黑白名单检查,检查终端安装软件的列表,可以定义软件黑名单的违规软件列表和软件白名单的合法的软件列表,也可以通过检查软件黑白名单规定只能安装列表中的软件或者必须安装的软件,加强企业桌面软件统一安装的标准性。
IP访问和网络应用程序监控
通过对终端的IP访问控制和网络应用程序访问控制功能,对于一些安全性要求比较高的业务系统,允许定义基于时间段的IP访问规则,允许配置特定用户群在下班时间后不能访问一些关键的业务系统,防止对这些关键服务器可能造成的危害。允许定义网络应用程序访问规则,控制IM等聊天工具在上班时间的使用。此外,提供网络流量监控功能,能够协助管理员发现流量异常的终端。
终端入网审计
提供终端登录内部网络的日志上下线记录,管理员可以通过日志及时查询哪些用户在什么时间登录的企业内网安全网络,同时对长期没有登录的账号也提供检索查询;
设备自动发现功能
现网网络规模较大,接入内网的设备较多,管理员很难及时动态的了解网络设备的接入情况。建议启用Policy center系统的自动网络扫描功能,扫描并自动分类网络中的接入设备,如交换路由设备、PC设备、服务器、IP电话、网络打印机等,同时保证能够及时发现网络中出现的新设备,对未安装Policy center代理的外来终端的接入行为进行告警,方便管理员了解网络终端的接入情况。
小编寄语:
华为Policy center整套方案可实现了集中统一的认证、授权管理,管理员不在需要费尽脑汁去配置网络中的各个设备,去完成相应的访问控制机制,所有的安全策略都由Policy center服务器统一的进行配置和下发,无论对于安全策略的定义、执行还是故障排查,都提供了很大的方便性。
华为Policy center可充分利用已有的网络安全建设,将各个孤立的解决方案实现非常好的的融合。Policy center将内部网络的网络访问控制解决方案、防病毒解决方案、身份认证解决方案、终端设备管理解决方案结合一起,实现了对终端安全方案的强制执行,不符合终端安全策略的用户,将会在网络访问中受到限制,对网络访问的方案增强到基于网络标识、用户标识和终端状况等因素的集中授权。
关注我们
