bestitsecz 发表于 2012-9-6 14:24:00

[转帖]BYOD与企业自有设备安全准入结合的分析

1 需求概况
    某烟草集团公司本部设有营销中心及四大中心,计算机终端几千台,主要通过LDAP服务与国外某资产管理系统联动进行基本的运维管理,初步已实现了对终端应用软件、补丁、资产等管理。但整个集团没有对接入设备的进行有效控制,可能导致一些非安全终端、BYOD等设备和用户的接入,对集团网络和安全带非常大的威胁。特别是随着美国苹果公司的Iphone、Ipad等设备的大肆流行,越来越多的BYOD(Bring Your Own Device)在没有任何安全措施的情况下接入企业的内部,不加以有效的管控后果是不堪设想的。
因此某烟草集团公司希望通过建设一套统一的、有效的、智能的、以及易管理的网络准入控制系统,并实现通过自动的检测与其它安全系统标准化集成、认证,以及对计算机终端安全水平的快速检测和自动化修复来最大程度的防止企业网络及内部敏感信息遭受威胁。
2 关键需求
经过长期详细的现状调研、需求梳理,某烟草集团的关键要求如下:
1)实现对集团内部终端用户的网络准入控制;
2)准入控制系统的部署需要要灵活集成,无需改变用户现有网络结构,旁路模式部署,要求不存在3单点故障,同时能实现双机热备冗余,保障高可用性;
3)实现标准、智能的安全网络准入,检查身份、安全硬件标识、物理位置等;
4)实现Ipad、Android设备的无线802.1x准入,
5)同时支持Mac地址、用户名、无线准入控制器IP地址的绑定与校验,提供完整的准入审计信息。
6)实现高度集成,能与LDAP、AD、证书系统联动,关键必须通过LDAP用户身份准入;
7)实现准入控制系统智能化,外来访客或新内网用户需要入网时,需通过智能的Web重定向、邮件重8)定向等提交入网申请,并能够实现入网申请自动发送到集团办公自动化系统,由管理员审批后手动放行;
9)访客码管理,针对临时合作方或高端管理层,能实现操作简单、控制有效的访客码管理,详细登记、申请、审批、限范围、限时间。

3 选择解决方案的依据
    某烟草(集团)根据自身关键需求,前期选择了欧美、国内等共4个知名产品测试,主要包括:国内品牌1、国外品牌2、国外品牌3、国外品牌4等,经过长达1个月的选型测试后效果都不甚理想,深圳联软在项目的后期进入现场测试,测试长达半月,综合论证有以下被选中的理由:
公司实力及本地服务能力:深圳联软公司自2003年成立就一直专注于“网络准入控制与终端安全”系统的开发与推广,到2008年就占领着大陆、港澳等高端用户市场,特别是对安全要求苛刻的金融证券行业近60%的份额。无论是对国内用户的现状需求理解,还是在产品技术上都表现得尤为突出,并在全国各一线城市、省会城市都建立完善售后体系,不仅能提供专业的产品,而且能提供高效、优质的售后服务;联软在该客户的所在地设立有专业的技术服务中心,并且在当地有电力、电信、卷烟厂、医院、银行的优质成功案例,让客户感觉服务上非常放心。
产品专业性:网络准入控制系统针对国内网络环境、用户环境设计,不仅有效控制非法接入、防身份假冒、防硬件假冒等,还能高度的与现有安全系统集成联动,实现统一的安全管理控制、审计基础平台;
技术优势:网络准入控制系统具备完整的申请、控制、审批、审计流程,不仅能全面评估集成身份、复杂的安全、多样的硬件等进行绑定,还能基于MAC、IP的无代理认证方式,集成度高、控制有效、操作简单、适应性广、接入时间短等特点;
无代理认证流程(BYOD环境下完美的客户体验):我们要区分开无客户端准入和BYOD环境下的准入,这有本质上的不同。
第一步,系统管理员在后台制定无代理准入策略,包括:可无代理接入的用户组、MAC与IP、以及访问权限范围等;
第二步,终端用户电脑接入网络、获取IP地址;
第三步,试图访问网络(打开web页面、或收邮件),页面或邮箱被重定向,提示“选择用户类型”,此时可选择“无代理认证用户”类型;
第四步,输入合法的无代理认证用户名、口令(输入的用户名与口令可为已集成的第三方系统,如LDAP系统等);
第五步,认证失败将提醒错误信息,成功即可访问被允许访问的网络资源;

君韵科技 发表于 2013-4-14 16:31:00

成功即可访问被允许访问的网络资源
页: [1]
查看完整版本: [转帖]BYOD与企业自有设备安全准入结合的分析