首页 > 安全 > 企业安全 > 正文
企业安全建设之自建准入系统
2017-02-16 09:28:25       个评论      
收藏    我要投稿

企业安全建设之自建准入系统,本文介绍了下自建准入系统的经历,该系统在某大型互联网公司稳定运行了5年。

\

准入系统简介

网络准入控制 (NAC)是一项由思科发起、多家厂商参加的计划,其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。借助NAC,企业可以只允许合法的、值得信任的设备(例如PC、服务器、PDA)接入网络,而不允许其它设备接入。

亡羊补牢

互联网公司除了美国上市基本就没有安全合规压力,一切以业务发展和工作效率为第一驱动力,所以费钱费人力的安全的建设主要依赖事件驱动,我们上准入前就遇到这么几个倒霉事:

办公网大量PC杀毒被员工卸载,又没及时打补丁,结果中了当时都觉得非常low的arp病毒,几层办公区网断了,影响了小一千RD开发。

愤青小员工发帖,叔叔上门查水表,我们差点没查出是谁。

痛点

基于历史教训,我们上准入系统想解决的痛点简单归纳就是:

身份认证:wifi和有线接入到情况下能设备/IP与人绑定,调查安全事件可以定位到人

权限限制:不同职能的人群网络权限不一样,权限最小化

安全加固:满足公司安全基线要求的设备才能接入内网,没装杀毒没打补丁就禁止接入

这上面任何一个问题,其实都有别的解决方案,例如绑定mac之类,但是当时我们北京四个楼,两千RD,大量使用wifi移动办公,有线网络有的大楼接入都是傻hub,有的是华三31,有的是思科29,目测也就上准入才能搞定了。

三人行必有我师

\

语文老师说三人行必有我师,历史老师说师夷长技以制夷,总之我们根据当时gartner的排名,调研了国外几家准入厂商的产品,总结了下它们的优点:

认证授权与微软域SSO集成

有线无线切换时自动认证

网络控制在三层减少对网络基础设施的依赖

点击复制链接 与好友分享!回本站首页
上一篇:中小企业网络安全建设指引
下一篇:企业安全建设之搭建开源SIEM平台(上)
相关文章
图文推荐
文章
推荐
热门新闻

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训
版权所有: 红黑联盟--致力于做实用的IT技术学习网站