隨著計算機技術和網(wǎng)絡通信技術的發(fā)展、應用的日趨復雜,計算機終端已不再是傳統(tǒng)意義上我們所理解的“終端”,它不僅是網(wǎng)線所連接的PC,還包括手機、PAD等各類新式的移動設備。這些形形色色的終端給信息安全工作帶來了巨大挑戰(zhàn):類型眾多,以各種方式接入;并且是大部分事物的起點和源頭:是用戶登錄并訪問網(wǎng)絡的起點、是用戶訪問Internet的起點、是應用系統(tǒng)訪問和數(shù)據(jù)產(chǎn)生的起點、更是病毒攻擊、從內(nèi)部發(fā)起惡意攻擊和內(nèi)部保密數(shù)據(jù)盜用或失竊的源頭。因此,終端安全管理對每個企業(yè)來說都極其重要,只有通過完善的終端安全管理才能夠真正從源頭上控制各種事件的啟始、遏制由內(nèi)網(wǎng)發(fā)起的攻擊和破壞。

 

 

在內(nèi)網(wǎng)安全管理中,身份認證是所有終端管理功能實現(xiàn)的基礎所在,采用身份認證區(qū)分各類終端的訪問權限,并對其進行審計。身份認證與傳統(tǒng)的網(wǎng)絡安全技術如防火墻、防病毒技術結合,將被動防御變?yōu)橹鲃臃烙?,能夠有效促進內(nèi)網(wǎng)合規(guī)建設,減少網(wǎng)絡事故。

我們使用思科ISE滿足用戶身份認證的需求,簡化跨有線和無線多供應商網(wǎng)絡及遠程 VPN 連接實現(xiàn)一致和安全的訪問控制的過程。

ISE功能總覽:

身份認證平臺插圖

ISE優(yōu)勢:

 

  • 根據(jù)業(yè)務角色集中并統(tǒng)一高度安全的訪問控制,無論最終用戶是通過有線還是無線網(wǎng)絡或 VPN 連接,均可為其提供一致的網(wǎng)絡訪問策略。
  • 思科身份服務引擎 (ISE) 的設備分析和設備配置文件饋送服務相結合,可減少未知終端的數(shù)量,從而提高可視性并獲得更準確的設備標識。
  • 簡化訪客體驗,通過完全可自定義的品牌化移動和桌面訪客門戶,更輕松地實現(xiàn)訪客聯(lián)入和管理,通過動態(tài)可視工作流程幾分鐘即可完成門戶創(chuàng)建,從而輕松管理訪客體驗。
  • 通過開箱即用的設置、自助設備聯(lián)入和管理、內(nèi)部設備證書管理,以及用于內(nèi)部和外部設備聯(lián)入的集成的企業(yè)移動性管理 (EMM) 合作伙伴軟件,加快實現(xiàn) BYOD 和企業(yè)移動性。
  • 使用 Cisco TrustSec? 技術在路由和交換層實施基于角色的訪問控制,從而建立軟件定義的網(wǎng)絡分段策略來遏制網(wǎng)絡威脅。在避免多個 VLAN 的復雜性或不需要重新設計網(wǎng)絡的情況下,動態(tài)地對訪問權限進行細分。
  • 通過與 Cisco Firepower 管理中心的集成來自動遏制威脅,因為 ISE 可以遏制受到感染的終端, 以便進行補救、觀察或刪除。

 

典型應用場景:

1、有線網(wǎng)絡

通過實施準入控制,可以從邊界保護企業(yè)內(nèi)網(wǎng)安全,將不合規(guī)的終端、用戶隔離至企業(yè)網(wǎng)絡之外,保護業(yè)務安全訪問。

2、無線接入(員工、訪客)

通過實名身份認證接入企業(yè)無線網(wǎng)絡,結合入網(wǎng)安全檢查,可保護企業(yè)無線網(wǎng)絡安全,符合國家網(wǎng)絡安全法和等保要求。

更多訪客認證方式:短信認證、二維碼認證、郵件審批、portal個性化認證…

3、遠程接入

可以有效防止非授權用戶從外部網(wǎng)絡遠程接入,可有效防止非法終端接入到內(nèi)部網(wǎng)絡獲取數(shù)據(jù)。

若您有以上需求,或想了解更多相關信息,歡迎聯(lián)系我們~