如何保证移动终端安全的接入到企业网络中?返回BYOD网站首页
您遇到的问题是这样的么?
问题1:员工在公共场所进行移动办公时,通过3G/LTE/公共Wi-Fi接入,网络传输不可信,相对传统固定办公而言安全问题更加突出,尤其是Wi-Fi热点可能存在AP伪造、欺骗、嗅探监听的风险,黑客通过引诱或监视用户上网,进行账号的窃取或者企业机密数据的监听。
问题2:员工在内网移动办公时,企业内部Wi-Fi网络为员工提供移动接入,首先必须要确保接入的移动终端合规性、接入身份的可信度、业务系统访问权限、越狱设备和丢失设备的管理、恶意移动APP控制等,保证企业信息系统的安全性和数据的机密性。
然而,移动智能终端受系统性能限制,平台种类多,难以像传统固定Windows台式机那样实施有效的认证和安全检查,有没有针对移动智能终端的安全内控和移动设备管理方案?
问题3:企业访客包括客户、合作伙伴、供应商、临时雇员等,他们的移动设备可能没有安装企业的安全客户端软件,会给企业带来安全风险,有没有一种简单又相对安全的访客接入管理系统?
华为是如何帮您解决的
外网安全接入对于网络链路的安全隐患、病毒入侵、非法窃听等问题,华为BYOD安全接入通过专业SSL VPN产品SVN提供通信隧道加密,并配合电信级防火墙USG提供网络边界威胁防护:
1. 移动客户端AnyOffice和SVN之间的数据封装在端到端的SSL安全隧道中,保证数据的可用性、机密性和完整性。
2. SVN网关提供身份鉴权、策略授权、应用访问控制、传输加密、终端管理等全系列的移动办公应用安全能力,保障身份互信、最小授权和可管可控。
3. USG网关集成UTM能力,提供AV、IPS和DDOS一体化边界威胁防护。
图1 链路安全,E2E加密
从外网到内网的无缝切换安装AnyOffice客户端的移动终端,从外网切换到内网,无须人工干预,不需要重新输入用户名和密码,可以无感知的接入。
企业内网的移动NAC华为针对移动终端的NAC有如下设计思路,如图2:包括PDCA四个环节,首先做计划,根据身份、终端类型、接入位置等综合制定策略;然后在策略执行环节对移动设备做合规检查,阻止非法用户,隔离不合规终端;最后确保合适的用户访问受控的资源,同时还具备监控能力,并对漏网的非法访问进行审计取证。
图2 华为移动NAC设计思路
企业员工在内网接入企业员工,无论是公司配机还是自带移动设备,安装AnyOffice客户端以后,通过企业内部无线网络接入的流程如图3:
图3 企业员工用BYOD设备通过企业内部无线网络接入
1. 移动终端访问企业内网域名资源,认证前域DNS服务器将域名解析成内网IP,流量发往SACG。SACG检测到该用户还未打开认证后域的访问权限,会将移动终端重定向到移动安全接入网关Portal页面或引导用户启动AnyOffice客户端。
2. 移动安全接入网关认证通过后,下发MDM准入检查策略到终端上的AnyOffice客户端,做终端的MDM准入检查(包括密码强度检查、应用合规性检查、越狱检测等), AnyOffice客户端将MDM准入检查结果上报给SVN网关。
3. 移动安全接入网关SVN获知MDM准入检查通过后,通知WLAN AC或SACG开放该移动终端对认证后域相关资源的访问权限。
4. 移动终端访问相应的网络和应用资源。
企业访客的安全接入对企业的外来访客,由于其移动终端通常并未安装AnyOffice客户端,所以采用Web Portal或802.1x的认证方式。
图4 企业访客用BYOD设备通过企业内部无线网络接入
访客无需安装AnyOffice客户端,在管理员告知临时账号后,采用设备自带802.1x客户端,或者通过企业提供的Web认证客户端接入内网,如图4,具体接入流程如下:
1. 移动终端使用802.1X协议和WLAN AC进行认证,AC通过Radius协议将用户身份认证信息发送到认证服务器(TSM)。
2. 认证服务器验证用户身份,并下发网络控制策略到AC,非法用户拒绝访问;对合法用户发放相应权限。
3. 移动终端访问相应的网络和应用资源。
4. 对不支持802.1X客户端的终端,可以使用 Web Portal方式对用户进行认证和授权。
给您带来的好处
1. 员工通过外部公共3G/LTE/Wi-Fi网络移动办公时,能够保证网络传输的安全、可信和数据的机密性。
2. 员工通过企业内部Wi-Fi网络移动办公时,能够保证企业信息系统的安全性和数据的机密性。
3. 访客携带自己的移动终端,通过企业内部Wi-Fi网络移动办公时,能够简单又相对安全的接入企业内部,访问授权的资源,或者访问互联网。