企業安全建設之自建准入系統

來源:互聯網
上載者:User
關鍵字 系統安全 企業安全

企業安全建設之自建准入系統,本文介紹了下自建准入系統的經歷,該系統在某大型互聯網公司穩定運行了5年。

准入系統簡介

網路准入控制 (NAC)是一項由思科發起、多家廠商參加的計畫,其宗旨是防止病毒和蠕蟲等新興駭客技術對企業安全造成危害。 借助NAC,企業可以只允許合法的、值得信任的設備(例如PC、伺服器、PDA)接入網路,而不允許其它設備接入。

亡羊補牢

互聯網公司除了美國上市基本就沒有安全合規壓力,一切以業務發展和工作效率為第一驅動力,所以費錢費人力的安全的建設主要依賴事件驅動,我們上准入前就遇到這麼幾個倒楣事:

辦公網大量PC殺毒被員工卸載,又沒及時打補丁,結果中了當時都覺得非常low的arp病毒,幾層辦公區網斷了,影響了小一千RD開發。

憤青小員工發帖,叔叔上門查水錶,我們差點沒查出是誰。

痛點

基於歷史教訓,我們上准入系統想解決的痛點簡單歸納就是:

身份認證:wifi和有線接入到情況下能設備/IP與人綁定,調查安全事件可以定位到人

許可權限制:不同職能的人群網路許可權不一樣,許可權最小化

安全加固:滿足公司安全基線要求的設備才能接入內網,沒裝殺毒沒打補丁就禁止接入

這上面任何一個問題,其實都有別的解決方案,例如綁定mac之類,但是當時我們北京四個樓,兩千RD,大量使用wifi移動辦公,有線網路有的大樓接入都是傻hub,有的是華三31,有的是思科29,目測也就上准入才能搞定了。

三人行必有我師

語文老師說三人行必有我師,歷史老師說師夷長技以制夷,總之我們根據當時gartner的排名,調研了國外幾家准入廠商的產品,總結了下它們的優點:

認證授權與微軟域SSO集成

有線無線切換時自動認證

網路控制在三層減少對網路基礎設施的依賴

相關文章

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

  • Sales Support

    1 on 1 presale consultation

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.