2024年11月22日,公安部网络安全法律咨询委员会 2024 年会暨第十四届中国信息安全法律大会“网络与数据安全监管”分论坛在北京举行,专家学者们围绕网络安全等级保护、关键信息基础设施安全保护、数据安全保护相关法律法规进行了深入解读。公安机关将加快推进制定《网络安全等级保护条例》,进一步严格规范等级保护全链条工作,在数据保护方面“摸底数、强监管、严打击、防风险”,有效加强网络安全、数据安全领域监管力度。网络准入在网络安全中占据核心位置,是确保网络安全的第一道防线。如何科学合理地制定与执行网络准入控制策略,来加强网络安全防护,已成为网络安全建设需要重要考虑的问题。
一、网络准入控制策略如何制定?
(一)明确目标与范围
制定策略时,需明确保护敏感数据、防止网络攻击和确保合规性等目标。界定适用范围,涵盖办公、数据中心、远程办公网络等区域,涉及计算机、移动设备、物联网设备等类型,以及员工、合作伙伴、访客等用户群体。
(二)识别资产与风险
对网络中的资产进行全面梳理,包括服务器、交换机、路由器、存储设备、终端设备等硬件资产,以及各类应用系统、数据库等软件资产。明确资产的重要性、价值和所存储的数据类型。
分析可能面临的风险,如外部黑客攻击、内部人员恶意操作、设备漏洞被利用、恶意软件传播等。根据风险的可能性和影响程度进行评估和排序,以便在策略中针对性地加以防范。
(三)制定准入规则
1)设备准入规则
设备认证机制:采用如 MAC 地址认证、数字证书认证等方式,确保接入设备的身份真实性。例如,企业内部计算机在首次接入网络时,需向网络准入控制系统提交其唯一的 MAC 地址,经认证通过后方可接入。
设备合规性检查:检查接入设备是否满足安全要求,如安装了最新的操作系统补丁、防病毒软件且病毒库为最新、启用了防火墙等。对于不符合要求的设备,可限制其接入网络或引导其进行修复后再接入。例如,若发现某设备未安装最新的操作系统安全补丁,则禁止其接入网络,并提示用户进行更新操作。
设备类型限制:根据网络需求,限制特定类型的设备接入。例如,在生产网络环境中,禁止员工个人的智能音箱、智能摄像头等物联网设备接入,以防止潜在的安全风险。
2)用户准入规则
用户身份认证:建立多因素身份认证体系,如结合密码、指纹识别、动态验证码等方式,增强用户身份验证的安全性。例如,企业员工在登录内部网络时,除输入密码外,还需输入手机短信收到的动态验证码,确保是本人操作。
用户权限分配:根据用户的角色和工作职责,为其分配相应的网络访问权限。例如,财务人员可访问财务系统和相关数据文件,但不能访问研发部门的代码库;普通员工只能访问与其工作相关的应用程序和共享文件夹等。
访客管理:针对访客制定专门的准入流程,如访客需提前预约并在到达时在前台登记个人信息,获取临时账号和密码,且其访问权限仅限于公共区域资源或特定授权资源,访问期限根据实际需求设定。
(四)建立应急响应机制
定义安全事件类型与级别,如轻微(个别设备低风险病毒感染)、中度(部分区域 DDoS 攻击)、严重(核心数据泄露)。针对不同级别制定措施,涵盖监测发现、通知相关人员、隔离受影响部分、恢复系统数据以及配合调查取证等环节。
二、网络准入控制策略如何执行?
(一)技术部署与集成
在网络准入控制策略的执行过程中,技术部署与集成是基础且关键的环节。选择合适的网络准入控制技术解决方案,如基于 802.1X 的网络准入控制、网络访问控制(NAC)设备、软件定义网络(SDN)中的准入控制功能等。根据企业网络架构和需求进行部署,确保其能够覆盖所有需要管控的网络接入点。将网络准入控制系统与其他网络安全设备和系统进行集成,如防火墙、入侵检测系统(IDS)、防病毒系统等,实现信息共享和协同工作。
另外还需要考虑网络准入控制的好落地性,体现在部署快捷,实际使用好用易用,运维管理便利,产品稳定,同时在与其他业务系统集成时展现出高度的兼容性与精准性,盈高网络准入控制产品ASM坚定地走在“易实施、易使用、易维护”的产品路线上,以客户需求为中心,以提升安全管理的效果与体验为己任,让网络接入更安全、可落地、更高效。
二、培训与沟通
培训与沟通环节对于网络准入控制策略的有效执行起着桥梁作用。以终端用户认证入网为例,许多企业采用钉钉 / 飞书 / 企微等扫码认证方式,但因终端设备未联网,流程稳定性常受挑战。盈高产品采用服务器代理模式,确保了认证流程的稳定性。这一设计不仅减少了管理员在例外配置与日常维护方面的工作量,还避免用户因认证受阻而频繁向管理员求助的情况。如此一来,在开展网络准入控制策略培训时,可将重点聚焦于核心安全要点与操作规范的传授,减少因技术问题引发的沟通阻碍,显著提升培训效果,增强用户对策略的理解与依从性,促进全体人员积极主动地配合网络准入控制策略的执行。
三、监控与审计
监控与审计是保障网络准入控制策略持续有效执行的核心手段。在多分支网络部署中,面对诸如用户无认证账号体系、未划分部门,或不同分支存在相同 IP 段,以及各分支网络权限与入网策略需求差异大等复杂问题,盈高产品可依据物理区域精准下发策略,将准入场景精准应用到指定控制器。这种基于区域的策略管理方式,极大地简化了策略下发流程,提升了管理效率,同时也为精确监控不同区域的网络接入状况提供了有力保障。
此外,盈高产品在精细化管理方面的优势进一步助力监控与审计工作的深入开展。借助对协议和端口的深度解析来管理业务系统,能够对网络访问行为进行详尽追踪与记录,及时察觉异常的网络接入企图或潜在的安全隐患。在审计环节,这些丰富且细致的记录为审查网络准入控制策略的执行情况提供了坚实的数据依据。管理员借此可全面、深入地了解网络安全态势,迅速定位违规操作或安全漏洞,并及时采取相应的整改与优化措施,确保网络始终处于安全可控的状态。
四、策略更新与优化
网络环境的动态变化决定了网络准入控制策略必须持续更新与优化。盈高产品充分考量到这一需求,为策略的动态调整提供了灵活且便捷的解决方案。在来宾接入管理方面,盈高产品允许企业根据自身安全需求灵活定制来宾管控策略。企业可依据实际情况,选择对来宾进行严格管控,要求其安装准入客户端、接受强制安检与管理员审核,并且能够指定接待人为审核人。在终端安检策略方面,有30+策略项,还可自定义策略,可针对不同角色和类型终端设置相应规范的策略。这种多样化的策略选择既能满足不同企业的安全管理要求,又能根据实际场景灵活调整更新,确保网络安全与使用便利性的平衡。
网络准入控制策略的制定与执行是保障网络安全的关键所在,且这一过程是持续且动态的。在执行环节,盈高网络准入控制发挥着重要作用,尽显 “易实施、易使用、易维护” 的优势,使得网络准入控制策略得以有效落地,为企业筑牢网络安全防线,有力地保护重要资产和数据,维护网络正常运行秩序,助力政企单位在安全稳定的网络环境中实现可持续发展。