深信服上网行为审计(政务外网终端“一机两用”安全管控难?零信任给出答案)
Posted
篇首语:壮心未与年俱老,死去犹能作鬼雄。本文由小常识网(cha138.com)小编为大家整理,主要介绍了深信服上网行为审计(政务外网终端“一机两用”安全管控难?零信任给出答案)相关的知识,希望对你有一定的参考价值。
深信服上网行为审计(政务外网终端“一机两用”安全管控难?零信任给出答案)
政务服务数字化早已不是新鲜事儿,小到日常出行、核酸采集、电子证照,大到社区服务、医疗健康、人事资源,“互联网+政务服务”已无形中深入百姓生活。
越来越多的政务人员需要接入政务外网进行办公,接入政务外网的终端与日俱增,从互联网跨网攻击到政务外网的攻击行为和事件时有发生。
如何在兼顾用户终端使用体验的同时,做好政务终端“一机两用”的安全管控?
不少政务网络管理者感叹:难!
一、政务外网终端安全隐患大
1、大量政务外网终端存在“跨网访问”现象
据调查显示,大量政务外网终端能够同时连接政务外网和互联网,意味着用户在访问政务外网时,也可以访问互联网。这种情况下,用户终端极易成为网络攻击的跳板,将互联网威胁引入政务外网中,带来重重隐患。
2、传统解决方案难应对
解决政务外网终端接入互联网过程中存在安全风险的关键,在于对政务外网终端的“一机两用”进行严格的安全管控,确保终端同一时间内不允许同时访问互联网和政务外网(分时上网),或者以安全隔离的方式访问互联网和政务外网。
现有的传统解决方案包括网络准入系统、违规外联检测设备、VPN及统一部署终端杀毒软件等,由于缺乏建设标准和建设依据,各单位政务外网终端类型、网络访问模式及建设方案不同,最终导致无法实现安全与用户易用性的平衡,甚至出现严重影响终端使用的问题。
传统解决方案很难在NAT场景下快速识别终端、阻断、溯源,更无法从根本上确保数据安全,因此十分被动。
二、政务外网终端+零信任:复杂难题,简单解决
针对政务外网终端的安全隐患,通过零信任便可整体解决终端环境检测、权限管理等问题。
作为国内率先探索零信任应用的企业之一,深信服基于零信任技术,通过一套平台即可满足多场景安全建设,既轻松解决政务外网终端安全性问题,也解决了过去零信任难落地问题,全方位构建政务外网终端的认证准入、合规检查、跨网访问、违规外联、NAT终端溯源、终端数据保护等安全能力。
1、接入终端环境检测
首先,零信任对接入政务外网的终端进行全周期、进程级的环境安全检测,如系统补丁更新情况、是否运行杀毒软件、访问业务的进程是否可信等,一旦发现问题,立即阻断并告警,确保只有合规、安全的终端才能接入政务外网。
2、非法外联检测与阻断
运行期间,零信任客户端实时向互联网应用发起探测,一旦探测到终端存在非法外联或非指定互联网出口上网行为时,立即进行告警,NAT环境下也能实现违规外联终端定位,有效监管违规外联行为。
3、终端沙箱跨网访问隔离
针对备受关注的“一机两用”安全管控问题,我们提供两种不同的解决方案:
①分时上网:“一机两用”下同一时间只允许一个网络的安全使用。通过零信任客户端提供的驱动级网络隔离技术(无法通过修改本机路由绕过)限定终端在同一时间只允许访问政务外网或互联网。
②一机双网:“一机两用”下可以同时安全访问两个网络。零信任可限定政务外网终端在安全沙箱内访问政务外网,在安全沙箱外访问互联网,实现政务外网和互联网访问的安全隔离,可通过一个终端进行多场景、多门户的安全接入,既能确保安全,又能平衡体验。
此外,在终端访问政务业务系统时,深信服零信任基于沙箱技术的文件级加密能力,自动对下载的数据/文件进行加密、隔离等,并通过策略限制截屏录屏、限制拷贝、增加屏幕水印等多种方式确保数据安全。
4、NAT场景下的溯源
威胁检出、阻断后,如何溯源到“人”?零信任设备将所有流量打上身份标签并推送给态势感知,实现流量“身份化”。即使在NAT环境下,一旦检测出异常,即可立即联动安全感知管理平台SIP或全网行为管理AC,通过身份标签快速精准定位、溯源及审计。
有了这几大核心技术支撑,零信任实践如有神助。
但这些还不够,除打磨全终端安全技术外,深信服在零信任方案设计之初,便考虑到零信任部署落地问题,以更轻量、易落地、超稳定的特性,解除用户对于零信任架构“重”,落地“难”的疑虑:
1. 更轻量:一套平台即可满足多场景零信任安全建设需求;
2. 易落地:部署简单,一体化交付、对现网改动小;
3. 超稳定:支持百万级并发接入,支持架构拓展,可持续“生长”。
深信服以零信任理念,构筑安全、稳定、可控可管的政务外网安全环境,从整体上解决终端数据安全问题,以简驭繁,让自由访问与安全兼得,共同构建更坚实的政务网络终端安全。
相关参考
深信服ac一年前的上网行为(深信服全网行为管理AC重磅发布)
已经2020年了你还在因企业内网安全建设问题头疼吗?遇到下面这些问题要如何应对?移动办公和物联网应用兴起,接入设备多样化,网络边界逐渐模糊,如何保障接入网络的身份和终端安全可控?业务上云,互联网HTTPS流量普及...
深信服ac一年前的上网行为(深信服全网行为管理AC重磅发布)
已经2020年了你还在因企业内网安全建设问题头疼吗?遇到下面这些问题要如何应对?移动办公和物联网应用兴起,接入设备多样化,网络边界逐渐模糊,如何保障接入网络的身份和终端安全可控?业务上云,互联网HTTPS流量普及...
深信服流控设备(深信服上网行为管理AC让上网可视可控,让数据更有价值)
...户/终端、应用和内容、流量的可视可控。二、产品概述深信服的
深信服流控设备(深信服上网行为管理AC让上网可视可控,让数据更有价值)
...户/终端、应用和内容、流量的可视可控。二、产品概述深信服的
深信服上网行为监控(Zabbix501监控深信服上行为管理)
第一章深信服上网行为管理snmp的设置1.1开启sangforac的snmpZabbix5.0.1的安装不做介绍、按照下图的操作,其中团体名自行设置,下载MIB库。1.2MIBBrowser工具查看深信服mib信息导入MIB:比如我想看当前在线用户数,那就要找相应的oid,不...
深信服上网行为监控(Zabbix501监控深信服上行为管理)
第一章深信服上网行为管理snmp的设置1.1开启sangforac的snmpZabbix5.0.1的安装不做介绍、按照下图的操作,其中团体名自行设置,下载MIB库。1.2MIBBrowser工具查看深信服mib信息导入MIB:比如我想看当前在线用户数,那就要找相应的oid,不...
深信服查看上网记录(我都已经躺平了,深信服,你还想让我怎样?)
...正在通过行为分析系统“监控”着你。而这也是连日来,深信服科技股份有限公司(以下简称“深信服”,300454.SZ)深陷舆论泥潭并仍在持续发酵的原因。日前,有网友爆料称,“知乎被爆大裁员,监控系统,能提前获知员工跳...
深信服查看上网记录(我都已经躺平了,深信服,你还想让我怎样?)
...正在通过行为分析系统“监控”着你。而这也是连日来,深信服科技股份有限公司(以下简称“深信服”,300454.SZ)深陷舆论泥潭并仍在持续发酵的原因。日前,有网友爆料称,“知乎被爆大裁员,监控系统,能提前获知员工跳...
深信服上网监控(深信服陷“监控员工系统”风波,官网已删除光大银行等合作案例)
...提前获知员工是否有跳槽意向,随即引发舆论热议。此前深信服官网罗列出的该监控系统与光大银行深圳分行、新浪等公司合作的成功案例,目前已搜索不到。13日下午,光大银行深圳分行相关工作人员表示,并未与深信服开展...
深信服上网监控(深信服陷“监控员工系统”风波,官网已删除光大银行等合作案例)
...提前获知员工是否有跳槽意向,随即引发舆论热议。此前深信服官网罗列出的该监控系统与光大银行深圳分行、新浪等公司合作的成功案例,目前已搜索不到。13日下午,光大银行深圳分行相关工作人员表示,并未与深信服开展...