如何保證移動終端安全的接入到企業網絡中?返回BYOD網站首頁
您遇到的問題是這樣的麼?
問題1:員工在公共場所進行移動辦公時,通過3G/LTE/公共Wi-Fi接入,網絡傳輸不可信,相對傳統固定辦公而言安全問題更加突出,尤其是Wi-Fi熱點可能存在AP僞造、欺騙、嗅探監聽的風險,黑客通過引誘或監視用戶上網,進行賬號的竊取或者企業機密數據的監聽。
問題2:員工在內網移動辦公時,企業內部Wi-Fi網絡爲員工提供移動接入,首先必須要確保接入的移動終端合規性、接入身份的可信度、業務系統訪問權限、越獄設備和丟失設備的管理、惡意移動APP控制等,保證企業信息系統的安全性和數據的機密性。
然而,移動智能終端受系統性能限制,平臺種類多,難以像傳統固定Windows臺式機那樣實施有效的認證和安全檢查,有沒有針對移動智能終端的安全內控和移動設備管理方案?
問題3:企業訪客包括客戶、合作伙伴、供應商、臨時僱員等,他們的移動設備可能沒有安裝企業的安全客戶端軟件,會給企業帶來安全風險,有沒有一種簡單又相對安全的訪客接入管理系統?
華爲是如何幫您解決的
外網安全接入對於網絡鏈路的安全隱患、病毒入侵、非法竊聽等問題,華爲BYOD安全接入通過專業SSL VPN產品SVN提供通信隧道加密,並配合電信級防火牆USG提供網絡邊界威脅防護:
1. 移動客戶端AnyOffice和SVN之間的數據封裝在端到端的SSL安全隧道中,保證數據的可用性、機密性和完整性。
2. SVN網關提供身份鑑權、策略授權、應用訪問控制、傳輸加密、終端管理等全系列的移動辦公應用安全能力,保障身份互信、最小授權和可管可控。
3. USG網關集成UTM能力,提供AV、IPS和DDOS一體化邊界威脅防護。
圖1 鏈路安全,E2E加密
從外網到內網的無縫切換安裝AnyOffice客戶端的移動終端,從外網切換到內網,無須人工干預,不需要重新輸入用戶名和密碼,可以無感知的接入。
企業內網的移動NAC華爲針對移動終端的NAC有如下設計思路,如圖2:包括PDCA四個環節,首先做計劃,根據身份、終端類型、接入位置等綜合制定策略;然後在策略執行環節對移動設備做合規檢查,阻止非法用戶,隔離不合規終端;最後確保合適的用戶訪問受控的資源,同時還具備監控能力,並對漏網的非法訪問進行審計取證。
圖2 華爲移動NAC設計思路
企業員工在內網接入企業員工,無論是公司配機還是自帶移動設備,安裝AnyOffice客戶端以後,通過企業內部無線網絡接入的流程如圖3:
圖3 企業員工用BYOD設備通過企業內部無線網絡接入
1. 移動終端訪問企業內網域名資源,認證前域DNS服務器將域名解析成內網IP,流量發往SACG。SACG檢測到該用戶還未打開認證後域的訪問權限,會將移動終端重定向到移動安全接入網關Portal頁面或引導用戶啓動AnyOffice客戶端。
2. 移動安全接入網關認證通過後,下發MDM准入檢查策略到終端上的AnyOffice客戶端,做終端的MDM准入檢查(包括密碼強度檢查、應用合規性檢查、越獄檢測等), AnyOffice客戶端將MDM准入檢查結果上報給SVN網關。
3. 移動安全接入網關SVN獲知MDM准入檢查通過後,通知WLAN AC或SACG開放該移動終端對認證後域相關資源的訪問權限。
4. 移動終端訪問相應的網絡和應用資源。
企業訪客的安全接入對企業的外來訪客,由於其移動終端通常並未安裝AnyOffice客戶端,所以採用Web Portal或802.1x的認證方式。
圖4 企業訪客用BYOD設備通過企業內部無線網絡接入
訪客無需安裝AnyOffice客戶端,在管理員告知臨時賬號後,採用設備自帶802.1x客戶端,或者通過企業提供的Web認證客戶端接入內網,如圖4,具體接入流程如下:
1. 移動終端使用802.1X協議和WLAN AC進行認證,AC通過Radius協議將用戶身份認證信息發送到認證服務器(TSM)。
2. 認證服務器驗證用戶身份,並下發網絡控制策略到AC,非法用戶拒絕訪問;對合法用戶發放相應權限。
3. 移動終端訪問相應的網絡和應用資源。
4. 對不支持802.1X客戶端的終端,可以使用 Web Portal方式對用戶進行認證和授權。
給您帶來的好處
1. 員工通過外部公共3G/LTE/Wi-Fi網絡移動辦公時,能夠保證網絡傳輸的安全、可信和數據的機密性。
2. 員工通過企業內部Wi-Fi網絡移動辦公時,能夠保證企業信息系統的安全性和數據的機密性。
3. 訪客攜帶自己的移動終端,通過企業內部Wi-Fi網絡移動辦公時,能夠簡單又相對安全的接入企業內部,訪問授權的資源,或者訪問互聯網。