|
【PConline 解决方案】现在随着越来越多的移动终端接入到企业内部网络,BYOD自带设备办公已经成为了大趋势。员工在公共场所进行移动办公时,通过3G/LTE/公共Wi-Fi接入,网络传输不可信,相对传统固定办公而言安全问题更加突出,尤其是Wi-Fi热点可能存在AP伪造、欺骗、嗅探监听的风险,黑客通过引诱或监视用户上网,进行账号的窃取或者企业机密数据的监听。 员工在内网移动办公时,企业内部Wi-Fi网络为员工提供移动接入,首先必须要确保接入的移动终端合规性、接入身份的可信度、业务系统访问权限、越狱设备和丢失设备的管理、恶意移动APP控制等,保证企业信息系统的安全性和数据的机密性。 华为外网安全接入 对于网络链路的安全隐患、病毒入侵、非法窃听等问题,华为BYOD安全接入通过专业SSL VPN产品SVN提供通信隧道加密,并配合电信级防火墙USG提供网络边界威胁防护: ♦ 移动客户端AnyOffice和SVN之间的数据封装在端到端的SSL安全隧道中,保证数据的可用性、机密性和完整性。 ♦ SVN网关提供身份鉴权、策略授权、应用访问控制、传输加密、终端管理等全系列的移动办公应用安全能力,保障身份互信、最小授权和可管可控。 ♦ USG网关集成UTM能力,提供AV、IPS和DDOS一体化边界威胁防护。
企业内网的移动NAC 华为针对移动终端的NAC有如下设计思路,如图2:包括PDCA四个环节,首先做计划,根据身份、终端类型、接入位置等综合制定策略;然后在策略执行环节对移动设备做合规检查,阻止非法用户,隔离不合规终端;最后确保合适的用户访问受控的资源,同时还具备监控能力,并对漏网的非法访问进行审计取证。
企业员工在内网接入 企业员工,无论是公司配机还是自带移动设备,安装AnyOffice客户端以后,通过企业内部无线网络接入: ♦ 移动终端访问企业内网域名资源,认证前域DNS服务器将域名解析成内网IP,流量发往SACG。SACG检测到该用户还未打开认证后域的访问权限,会将移动终端重定向到移动安全接入网关Portal页面或引导用户启动AnyOffice客户端。
♦ 移动安全接入网关认证通过后,下发MDM准入检查策略到终端上的AnyOffice客户端,做终端的MDM准入检查(包括密码强度检查、应用合规性检查、越狱检测等), AnyOffice客户端将MDM准入检查结果上报给SVN网关。 ♦ 移动安全接入网关SVN获知MDM准入检查通过后,通知WLAN AC或SACG开放该移动终端对认证后域相关资源的访问权限。 ♦ 移动终端访问相应的网络和应用资源。 企业访客的安全接入 对企业的外来访客,由于其移动终端通常并未安装AnyOffice客户端,所以采用Web Portal或802.1x的认证方式。访客无需安装AnyOffice客户端,在管理员告知临时账号后,采用设备自带802.1x客户端,或者通过企业提供的Web认证客户端接入内网。
♦ 移动终端使用802.1X协议和WLAN AC进行认证,AC通过Radius协议将用户身份认证信息发送到认证服务器(TSM)。 ♦ 认证服务器验证用户身份,并下发网络控制策略到AC,非法用户拒绝访问;对合法用户发放相应权限。 ♦ 移动终端访问相应的网络和应用资源。 ♦ 对不支持802.1X客户端的终端,可以使用 Web Portal方式对用户进行认证和授权。 解决方案实施效果 ♦ 员工通过外部公共3G/LTE/Wi-Fi网络移动办公时,能够保证网络传输的安全、可信和数据的机密性。 ♦ 员工通过企业内部Wi-Fi网络移动办公时,能够保证企业信息系统的安全性和数据的机密性。 ♦ 访客携带自己的移动终端,通过企业内部Wi-Fi网络移动办公时,能够简单又相对安全的接入企业内部,访问授权的资源,或者访问互联网。[返回频道首页] |
