<
    • 什么是全网行为管理
    • 为什么需要全网行为管理系统
    • 芯启时光全网行为管理
    • 网络接入认证控制
    • 为您推荐
    >

    什么是全网行为管理

    全网行为管理设备的初代产品是上网行为管理设备,,,所谓的上网行为管理指的是在企业、、、、学校及其他公共场所等网络环境中,,,通过技术手段对用户违规的上网行为进行管理,,以达到维护网络安全、、、、提高工作效率、、保护企业利益等目的的一种网络管理方式。。全网行为管理在上网行为管理的基础上,,,,进行了功能扩展,,管理的范围由上网行为的管理延伸至终端的管理以及办公业务和数据的管理,,实现对全网终端、、、、应用、、、、数据和流量的可视可控,,,防范智能感知终端违规接入、、、敏感数据泄露、、上网违规行为等内部风险,,,,解决上网管控、、终端准入管控和数据泄露管控的场景问题,,实现“内部风险智能感知,,全网行为可视可控”的一体化管控。。。

    为什么需要全网行为管理系统

    随着互联网技术的发展,,,,企业的业务模式和员工的工作模式、、行为习惯都在不断发生改变。。。企业的网络中会出现过如下诸多问题:

    ● 不明身份、、、不明终端入网造成内网安全风险剧增;

    ● 外来人员拿一根网线即可接入企业的内部网络,,进行非法接入,,给企业各业务系统带来风险;

    ● 未安装杀毒软件、、、安装不合规操作系统以及使用弱密码和不合规终端等接入网络,,,给内网环境带来极大的威胁,,导致病毒在内网传播;

    ● 敏感数据及文件被随意外发,,,,如个人隐私信息、、、、企业机密信息、、、、政务文件、、、红头文件等;

    ● 利用企业网络进行网络造谣、、、人身攻击,,,,肆意外发各种不良信息,,,给企业造成极大损害,,,且被追究法律责任;

    ● 先进的加密、、代理技术让非法“内容”容易绕过管控;

    ● 员工访问业务系统,,,出现操作失误或数据泄露时无法定责;

    ● 员工访问业务系统时,,,,可能会存在一些恶意或无意的行为对业务系统造成危害,,,如大量下载数据、、爬取所有数据、、、、执行删除或清空等敏感操作

    .......

    全网行为管理是为解决这些问题而产生的,,是保障企业网络安全、、、保护信息安全、、提高员工工作效率的重要手段。。。。全网行为管理通过综合管理用户上网行为,,,不仅保护了企业网络免受潜在威胁,,也促进了更高效、、更合规的工作环境。。

    芯启时光全网行为管理

    芯启时光全网行为管理设备是一款认证方式丰富、、管控精细、、、违规行为审计全面的网端融合的行为管理产品。。。芯启时光于2005年推出我国第一台专业的上网行为管理网关,,,并定义了上网行为管理产品的核心功能,,,这些功能包括身份认证、、、应用权限控制、、、、内容过滤、、、、应用行为记录等。。。。在2011年,,,芯启时光推出第二代上网行为管理产品,,,,明确了身份认证、、、应用权限控制、、流量管理、、内容过滤、、、应用行为记录、、、、SSL(安全套接层)审计、、、、数据分析、、、安全防护等基础功能,,增强了上网安全方面的能力。。。。近些年,,,,随着应用的快速发展,,用户在新形势下所面临的内部威胁和挑战逐渐升级,,,芯启时光上网行为管理产品在原有管控互联网的基础上,,,,将能力延伸到管控全网的用户、、、、终端、、、、应用和数据,,,,升级为全网行为管理产品,,,给用户带来更高的价值。。。。
     

    芯启时光全网行为管理产品聚焦办公网安全威胁,,,,提供多样化的身份认证、、、、精细化的行为管控、、全场景的违规行为管控,,全面管控办公网用户身份安全,,降低终端违规接入、、、上网违规行为、、、、敏感数据泄露等内部风险,,,,通过网端融合管控实现全网可视、、、可控,,,,让办公更规范、、、、更高效、、、、更安全。。。。

    网络接入认证控制有哪些

    在企业网络中,,针对全网进行管理,,首先需要明确网络中的对象,,,,所谓的对象就是各种类型的设备、、、、终端、、、、用户。。。。在进行对象确认后,,才可以有针对性地对其进行管理与控制,,针对这些对象的首要控制就是网络接入认证。。。。在网络接入认证中有很多种认证方式可供企业选择,,,,以满足企业不同需求层面、、、不同控制细粒度的内网准入认证需求,,其中最主要的方式有3种,,,,分别是802.1x认证、、、Portal认证和MAB认证。。
    • 802.1x认证(802.1x身份认证),,,又称为EAPOE(Extensible Authentication ProtocolOverEthernet,,,,以太网可扩展认证协议)认证,,,,其主要目的是解决局域网用户接入认证问题。。。
    • Portal认证,,,指用户通过浏览器访问外网的时候,,,,被全网行为管理设备的认证驱动重定向到Portal界面,,,,只有当用户登录成功,,,,在线信息保存在驱动中之后,,,数据报才会被驱动放通,,,实现认证控制。。。。
    • MAB认证,,,,支持对哑终端进行放行,,比如打印机、、、、扫描仪等设备,,,,可在入网失败用户中放行,,,,需要交换机开启MAB属性。。

    不同的网络接入认证方案的实现原理不同,,效果也不同,,,,各有利弊,,,,分别有其适用的场景。。在公共场所的接入认证一般使用Portal认证,,,,Portal认证不需要安装客户端。。。。使用Web页面进行认证,,操作方便,,,能够减少用户终端的维护工作量,,,,便于运营。。。此外,,,,还可以在Web页面上进行业务拓展,,,如广告展示、、责任公告、、、、企业宣传等。。

    对于严格管控内网接入的场景,,,,一般推荐使用802.1x认证,,,,在没有认证之前不能访问内网(包括二层网络也不能接入),,,即不能经过二层交换机,,,满足企业对内网的严格准入控制。。。。对于哑终端或是自助终端,,可以使用MAB认证,,,对于企业希望免认证直接上线的设备,,也可以采用这种认证方式,,,实现全网终端方便快捷上线、、、简单安全入网。。3种认证方式的对比情况如下,,,,不同的认证方式适用于不同对象。。

    控制点

    认证方式

    适用场景

    适用对象

    二层接入控制

    802.1x认证

    (1)需要交换机配合,,且需要安装客户端(实施较复杂)

    (2)未认证前同一个交换机下的PC之间不能互访,,,,管控严格

    员工

    M A B 认 证

    (1)需要交换机配合,,不需要安装客户端(实施复杂度中等)

    (2)未认证前同一个交换机下的PC之间不能互访,,管控严格

    哑终端

    自助终端

    免认证设备

    三层接入控制

    Portal认证

    (1)交换机对数据进行镜像操作即可,,,, 一般只有核心交换机对三层

    交换机支持,,,,不需要安装客户端(实施简单)

    (2)可支持多种认证方式,,如密码认证、、、AD域认证、、、、短信认证、、、

    微信认证、、单点登录认证等

    (3)控制点在三层核心交换机上,,,未认证前,,不能上互联网、、、、不能

    访问业务系统;但核心交换机下面的二层交换机PC之间可以互访

    员工

    访客

    哑终端(绑定MAC地

    址,,做免认证)
     
    有效区分用户,,是实现部署差异化授权和审计策略,,,,有效防御身份冒充、、权限扩散与滥用等的管理基础。。在二层与三层的接入控制方案中,,,,全网行为管理系统支持丰富的身份认证方式,,,,常见认证方式如下表所示。。。。
     

    认证方式

    内容描述

    说明

    本地认证

    用户名/密码认证、、、IP/MAC/IP-MAC地址绑

    定,,,,支持绑定短信和微信快捷认证

    基于设备本地数据库中的用户进行网络接入认证,,设备对于本地用户具备全生命周期管理权限

    第三方认证

    LDAP、、、、RADIUS、、、POP3、、、、Proxy、、、、数据库等

    基于第三方的数据库或者统一认证平台进行网络接入认证,,, 一般设备仅同步用户基本信息,,,,不同步密码信息

    短信认证

    通过接收短信获取验证码,,快速认证

    设备与短信网关或者短信猫等进行结合,,通过短信验证码的方式,,实现网络接入认证

    O A 认 证

    通过OA认证协议对接,,,支持钉钉、、、、企业微信等第三方账号授权认证

    通过标准的认证对接协议与设备进行对接,,调用第三方用户认证平台,,,,实现网络接入认证

    会议室二维码认证

    提供二维码和会议号,,,用户扫码或输入会议号认证上网,,,,支持通过验证手机号码实名认证

    通过二维码扫码功能,,实现快速网络接入认证

    访客二维码认证

    接待人员扫描访客手机上的二维码,,,,备注信息后访客即可通过认证

    通过使用已经认证过的设备,,对访问二维码进行授权操作,,,实现快速网络接入认证

    双因素认证

    USB-Key认证

    通过用户名/密码认证同时结合硬件Key认证,,,,在二次认证的条件下,,完成增强性身份验证,,,实现网络接入认证

    单点登录

    AD域、、、POP3、、、Proxy、、、、Web和第三方系统等

    通过结合第三方用户认证平台,,确保在用户处于一些特定情况下,,实现网络接入免认证方式的单点登录认证,,,本质是认证信息的同步和信任。。。。对于单点登录失败的用户,,则使用其他认证方式进行验证

    强制认证

    强制指定IP地址段的用户必须使用单点登录

    要求仅允许使用单点登录,,,,不允许使用其他认证方

    式实现上线

    802.1x认证

    交换机端口授权的认证方式,,,能够在认证通过之前有效阻止PC的TCP和UDP报文,,,实现二层的强管控

    基于标准的802.1x协议,,,实现入网接入认证,,,在二

    层接入环境下即进行校验

    M A B 认 证

    基于802.1x,支持哑终端通过MAC地址认证的方式接入网络

    基于标准的802.1x协议,,,,依靠MAC地址信息,,,实

    现哑终端设备的认证

    C A 认 证

    支持基于802.1x的外部CA(证书颁发机构)认证,,,,同时支持在线证书状态协议(OCSP)查询

    基于标准的802.1x协议,,结合CA体系,,,,进行认证

    站点地图