1. 程式人生 > >如何保證移動終端安全的接入到企業網路中?

如何保證移動終端安全的接入到企業網路中?

您遇到的問題是這樣的麼?

問題1:員工在公共場所進行移動辦公時,通過3G/LTE/公共Wi-Fi接入,網路傳輸不可信,相對傳統固定辦公而言安全問題更加突出,尤其是Wi-Fi熱點可能存在AP偽造、欺騙、嗅探監聽的風險,黑客通過引誘或監視使用者上網,進行賬號的竊取或者企業機密資料的監聽。

問題2:員工在內網移動辦公時,企業內部Wi-Fi網路為員工提供移動接入,首先必須要確保接入的移動終端合規性、接入身份的可信度、業務系統訪問許可權、越獄裝置和丟失裝置的管理、惡意移動APP控制等,保證企業資訊系統的安全性和資料的機密性。
然而,移動智慧終端受系統性能限制,平臺種類多,難以像傳統固定Windows桌上型電腦那樣實施有效的認證和安全檢查,有沒有針對移動智慧終端的安全內控和移動裝置管理方案?

問題3:企業訪客包括客戶、合作伙伴、供應商、臨時僱員等,他們的移動裝置可能沒有安裝企業的安全客戶端軟體,會給企業帶來安全風險,有沒有一種簡單又相對安全的訪客接入管理系統?

華為是如何幫您解決的

外網安全接入對於網路鏈路的安全隱患、病毒入侵、非法竊聽等問題,華為BYOD安全接入通過專業SSL VPN產品SVN提供通訊隧道加密,並配合電信級防火牆USG提供網路邊界威脅防護:
1. 移動客戶端AnyOffice和SVN之間的資料封裝在端到端的SSL安全隧道中,保證資料的可用性、機密性和完整性。
2. SVN閘道器提供身份鑑權、策略授權、應用訪問控制、傳輸加密、終端管理等全系列的移動辦公應用安全能力,保障身份互信、最小授權和可管可控。
3. USG閘道器整合UTM能力,提供AV、IPS和DDOS一體化邊界威脅防護。

圖1 鏈路安全,E2E加密

從外網到內網的無縫切換安裝AnyOffice客戶端的移動終端,從外網切換到內網,無須人工干預,不需要重新輸入使用者名稱和密碼,可以無感知的接入。

企業內網的移動NAC華為針對移動終端的NAC有如下設計思路,如圖2:包括PDCA四個環節,首先做計劃,根據身份、終端型別、接入位置等綜合制定策略;然後在策略執行環節對移動裝置做合規檢查,阻止非法使用者,隔離不合規終端;最後確保合適的使用者訪問受控的資源,同時還具備監控能力,並對漏網的非法訪問進行審計取證。

圖2 華為移動NAC設計思路

企業員工在內網接入企業員工,無論是公司配機還是自帶移動裝置,安裝AnyOffice客戶端以後,通過企業內部無線網路接入的流程如圖3:

圖3 企業員工用BYOD裝置通過企業內部無線網路接入

1. 移動終端訪問企業內網域名資源,認證前域DNS伺服器將域名解析成內網IP,流量發往SACG。SACG檢測到該使用者還未開啟認證後域的訪問許可權,會將移動終端重定向到移動安全接入閘道器Portal頁面或引導使用者啟動AnyOffice客戶端。
2. 移動安全接入閘道器認證通過後,下發MDM准入檢查策略到終端上的AnyOffice客戶端,做終端的MDM准入檢查(包括密碼強度檢查、應用合規性檢查、越獄檢測等), AnyOffice客戶端將MDM准入檢查結果上報給SVN閘道器。 
3. 移動安全接入閘道器SVN獲知MDM准入檢查通過後,通知WLAN AC或SACG開放該移動終端對認證後域相關資源的訪問許可權。
4. 移動終端訪問相應的網路和應用資源。

企業訪客的安全接入對企業的外來訪客,由於其移動終端通常並未安裝AnyOffice客戶端,所以採用Web Portal或802.1x的認證方式。

圖4 企業訪客用BYOD裝置通過企業內部無線網路接入

訪客無需安裝AnyOffice客戶端,在管理員告知臨時賬號後,採用裝置自帶802.1x客戶端,或者通過企業提供的Web認證客戶端接入內網,如圖4,具體接入流程如下:
1. 移動終端使用802.1X協議和WLAN AC進行認證,AC通過Radius協議將使用者身份認證資訊傳送到認證伺服器(TSM)。
2. 認證伺服器驗證使用者身份,並下發網路控制策略到AC,非法使用者拒絕訪問;對合法使用者發放相應許可權。 
3. 移動終端訪問相應的網路和應用資源。 
4. 對不支援802.1X客戶端的終端,可以使用 Web Portal方式對使用者進行認證和授權。

給您帶來的好處

1. 員工通過外部公共3G/LTE/Wi-Fi網路移動辦公時,能夠保證網路傳輸的安全、可信和資料的機密性。
2. 員工通過企業內部Wi-Fi網路移動辦公時,能夠保證企業資訊系統的安全性和資料的機密性。
3. 訪客攜帶自己的移動終端,通過企業內部Wi-Fi網路移動辦公時,能夠簡單又相對安全的接入企業內部,訪問授權的資源,或者訪問網際網路。