北信源動(dòng)態(tài)訪問控制系統(tǒng)—外包人員權(quán)限監(jiān)管“守門員”
對(duì)于多數(shù)企事業(yè)單位來說,外包服務(wù)是一個(gè)避不開的話題�����,小到系統(tǒng)運(yùn)維�,大到軟件程序�,眾多的企事業(yè)單位在享受外包服務(wù)帶來的便利的同時(shí),對(duì)于外包人員的網(wǎng)絡(luò)訪問權(quán)限管理�,也成為“老大難”問題:管的松一點(diǎn),外包人員和單位員工相同權(quán)限����,容易引發(fā)誤操作�、數(shù)據(jù)泄露等多種安全風(fēng)險(xiǎn);管的緊一點(diǎn)�,外包人員訪問內(nèi)網(wǎng)受限,工作不好開展�,無法及時(shí)高效解決問題,完全是因噎廢食����,得不償失。
還有類似的情況,客戶是某一大型政府單位���,整體網(wǎng)絡(luò)規(guī)劃時(shí)存在嚴(yán)重缺陷���,業(yè)務(wù)服務(wù)器與內(nèi)網(wǎng)沒有防火墻等邊界設(shè)備,更有多個(gè)下級(jí)部門托管的服務(wù)器�,加之多年的網(wǎng)絡(luò)維護(hù)、設(shè)備更新……��,整體網(wǎng)絡(luò)環(huán)境極度復(fù)雜�,難以梳理。用戶希望在不影響現(xiàn)有業(yè)務(wù)訪問的前提下(也就是不能添加邊界防火墻等阻斷設(shè)備)�,加強(qiáng)對(duì)外包人員的權(quán)限管理,該怎么解決呢��?有沒有一種兩全其美的方式呢���?
用北信源動(dòng)態(tài)訪問控制系統(tǒng)�����,完美解決該用戶的需求�����!
北信源動(dòng)態(tài)訪問控制系統(tǒng)��,����,由環(huán)境感知代理系統(tǒng)、環(huán)境感知系統(tǒng)以及零信任網(wǎng)關(guān)共同組成���。產(chǎn)品以“零信任”理念為基礎(chǔ)�����,對(duì)數(shù)據(jù)和功能核心資源訪問的行為進(jìn)行精細(xì)化訪問控制��,通過對(duì)終端多維度屬性進(jìn)行感知和風(fēng)險(xiǎn)評(píng)估���,與安全訪問平臺(tái)聯(lián)動(dòng)實(shí)現(xiàn)動(dòng)態(tài)鑒權(quán)訪問控制,說的簡單一點(diǎn):
零信任網(wǎng)關(guān)旁路部署(旁路常規(guī)網(wǎng)關(guān)):不需要結(jié)合防火墻(也就是只需要統(tǒng)計(jì)外包人員必須訪問的業(yè)務(wù)資源�,包括URL�、端口、協(xié)議等�����,其他設(shè)備安全無需納入管控);
僅限制安裝客戶端的終端設(shè)備:不裝客戶端或者客戶端連不上零信任網(wǎng)關(guān)����,走常規(guī)網(wǎng)關(guān),不影響日常訪問(這一點(diǎn)最重要���,對(duì)于非外包人員����,完全沒必要安裝客戶端)�;裝上客戶端而且連上零信任網(wǎng)關(guān),新建通信隧道���,只能訪問指定的URL或API�;
用戶身份驗(yàn)證:對(duì)于核心業(yè)務(wù)的訪問���,直接關(guān)聯(lián)到具體用戶����,責(zé)任到人��;
多維度持續(xù)評(píng)估終端安全性能:如果終端本身不安全�,有病毒感染或其他安全隱患�,主動(dòng)降低終端安全評(píng)分�;
動(dòng)態(tài)權(quán)限分配:隨著終端安全評(píng)分的變更,自動(dòng)調(diào)整核心業(yè)務(wù)訪問權(quán)限�����,始終保證訪問權(quán)限最小化�����。
客戶端本身防卸載���,且開機(jī)自檢��,守護(hù)進(jìn)程及時(shí)上報(bào)異常�;
技術(shù)原理上符合客戶預(yù)期�,經(jīng)過與客戶協(xié)商,客戶同意進(jìn)入測試流程���,經(jīng)過多輪驗(yàn)證����,只需以下簡單幾步就能實(shí)現(xiàn)用戶增強(qiáng)外包人員權(quán)限監(jiān)管的需求:
外包人員初次接入內(nèi)網(wǎng)時(shí)��,強(qiáng)制安裝客戶端軟件���;
如果需要訪問核心資源�,首先必須要使用自己的賬號(hào)登錄客戶端��;
其次�����,必須要對(duì)終端環(huán)境進(jìn)行評(píng)估�����,包括但不限于:是否安裝殺毒軟件���、是否存在系統(tǒng)漏洞等��;在不達(dá)標(biāo)的情況下�����,可利用客戶端提供的接口或提示信息�,通過安裝殺毒軟件�����、打補(bǔ)丁等形式,提升設(shè)備安全等級(jí)���;
在完成身份認(rèn)證和環(huán)境評(píng)估的基礎(chǔ)上�����,外包人員可訪問核心資源�����;
訪問期間����,客戶端會(huì)在后臺(tái)持續(xù)對(duì)終端環(huán)境進(jìn)行評(píng)估�����,如果出現(xiàn)安全等級(jí)評(píng)估不達(dá)標(biāo)的情況���,自動(dòng)降低訪問權(quán)限����,甚至斷開連接。外包人員必須修復(fù)不達(dá)標(biāo)項(xiàng)��,才能重新建立訪問連接�����。
目前�����,北信源動(dòng)態(tài)訪問控制系統(tǒng)已經(jīng)完成采購部署流程�����,正式在客戶現(xiàn)場上線了����,完全有望成為外包人員權(quán)限監(jiān)管的“守門員”���。
