新形势下的网络终端安全挑战,为终端安全一体化打造“新基建”

入馆观众请出示“健康码”，经测温核验无异常（不高于37.3℃），凭有效证件登记后戴口罩入场……“国庆节”作为国内疫情稳定以来的第一个黄金周，我国有超6亿人次安全有序的出游，向世界展现出历经疫情大考后流动起来、活力迸发的中国。同时我们也看到，出示“健康码”已经成为公众的生活习惯，确保了消费环境的更安全。那么，“健康码”的形式能否运用到企业的网络安全管理中呢？

其实，网络安全中的“健康码”机制由来已久，这便是“网络安全准入技术”，并且经过不断演化升级，已经成为“外防输入、内防传播”的有效手段之一。

新形势下的网络终端安全挑战

随着网络信息技术的发展，万物互联时代的到来，终端做为企业信息交互的最基本单位，其安全问题成为整个信息安全建设最重要的组成部分。但是，由于终端种类繁多，数量巨大、部署分散、安全属性无法统一，任何一个失陷的端点都可能造成全面的网络安全事故。

因此，网络安全管理首先要清楚终端类型、数量，同时确定入网终端的安全状况、合法性，确定哪些人员入网访问，访问了何种资源。要实现这样的管理目标，必然离不开网络安全准入系统为每个终端发布“健康码”。

如何选择安全准入技术？

网络准入（NAC）并不是一个年轻的概念，随着技术的进步，我们可以把不同的人员，各种接入方式，多样的终端，应用服务器以及业务数据都纳入到IT运维的“棋盘”上来，实现终端安全一体化防护。另外，网络准入不只是一个安全工具，更是解决安全管理难题的基础设施，为网络安全进阶提供了直接支撑。

网络准入控制系统的选择，首先要考虑这套“新”系统是否支持多种入网强制技术，是否支持多样化的异构终端识别（如：IoT设备、手机、PAD、字符终端、网络打印机等）。

其次，网络安全已经与“可视化”相辅相成、密不可分，态势感知、威胁情报等等网络安全热门领域都离不开可视化技术，端点安全也不例外。因此，深入的可视化可以确保快速、多维度的对资产信息进行统计，为安全管理提供原始信息。

最后是架构的选择，这决定了整个网络架构是否会出现“大调整”的情况，另外也是确保准入系统工作效率、稳定性以及有效性的关键。而目前市场认可度比较好的NAC方案，是集成了成熟的第二代Infrastructure-base 架构以及第三代Appliance-base NAC架构的融合方案，并且逐渐在向下一代准入控制技术发展。

除了以上几点，企业在选择网络准入系统时更需要关注“大终端” 安全的发展趋势，因为NAC产品不仅要站好自己的岗，同时也需要与防毒、数据安全、EDR等系统形成联动。

为终端安全一体化打造“新基建”

“大终端”安全的落地，将帮助用户摸清内网资产，并利用POC扫描、补丁修复等技术管控资产高危风险，还可以通过机器学习、威胁情报等技术发现内网存在的已知和新型攻击行为，进而让用户能够部署更加广泛的安全解决方案，最终构筑纵深防御的一体化方案。

为此，亚信安全在总结了大量的内网安全案例以及用户需求的基础上，秉承“无需改变网络、终端部署灵活”的特性，在亚信安全终端一体化方案中为用户提供了终端安全管理系统（TSM），改变了业界传统的将准入控制系统作为一个单独功能产品的做法，率先提出准入平台的概念，能够满足“违规不入网、入网必合规”的管理规范。

在产品功能方面，TSM支持包括了身份认证、设备智能识别管理、全网安全结构管理、友好WEB重定向引导、基于角色的动态授权访问控制、可配置的安全检查规范库、“一键式”智能修复、实名日志审计等功能。值得一提的是，TSM还采用了亚信安全研究的“设备指纹特征识别”技术，针对IoT环境需求，进行自动化设备识别、IoT设备替换防范，以及对于IPv6和IPv4双栈环境的支持。

用一体化去解决终端侧的安全诉求

当前，“健康码”已成为疫情防控常态化下与群众生活密切相关、使用频率最高的应用和服务之一。而小小一枚二维码的背后更关联着相关部门的权威数据、后台比对和综合判断，最终后形成“风险提示”，助力疫情防控。因此，要提升终端安全防护能力，不仅需要网络准入的“健康码”，更要不断改进安全防御技术，以组成更高效、更坚不可摧的防御体系，用一体化去解决企业在终端侧的安全诉求。

责任编辑：gt