当终端试图通过交换机接入内网时:天珣能够在内网接入层,甚至内网汇聚层,与接入层或汇聚层的网络设备联动,对尝试联网的终端实施网络准入控制,执行身份验证和合规检查,保证只有使用专属于指定的用户名/密码、指定的终端、指定的IP地址,并在授权有效期限内,接入内网。对于不合规的终端,系统将自动对其进行隔离或者自动划入修复区。
2) 实名制业务系统和服务资源访问
当接入网络的终端试图访问内网服务器或关键业务系统时:天珣在关键业务系统服务器之上,执行应用层准入控制,可以对来访的终端执行合规检查,保证使用专属于指定的用户名/密码、指定的终端、指定的IP地址,并在授权有效期限内,才能对内网服务资源进行授权访问,如果来访终端非受控或不合规,将被拒绝访问该服务器或业务系统。天珣可以详细记录由终端发起的各种网络行为,其中包括终端对业务系统服务器的网络访问记录,如果业务系统或服务器发生了意外的非法访问或攻击,可以通过天珣所记录的网络行为信息,定位非法方位或攻击是从那台终端发起,追查事件的责任人。
3) 实名制网上邻居
当两个终端相互之间进行访问时:合规受控的终端可以对来访的终端实施客户端准入控制,对来访的终端执行合规检查,只接受合规安全的终端的访问,杜绝不安全的终端进行非法访问,也有效切断感染蠕虫病毒的非受控终端对合规终端的病毒感染和传播。
借助实名制管理系统,还可以帮助银行实施实名制终端行为审计和实名制移动存储管理,即便是内网意外发生安全事件,借助实名管理系统,即可精确定位到发起网络访问的终端和用户账号,并通过集中管理的用户系统,很容易就找出当时具体是哪个员工在访问网络,从而为加强企业安全管理,将安全管理政策的执行,具体落实到每一个员工,并在企业网突发安全事件,也能够快速定位源头,并找出该安全事件的责任人。
银行实名制合规管理系统案例赏析
中国建设银行广东省分行一直都很关注网络实名制对内控管理的价值,而启明星辰的天珣多层准入控制的独特价值,正切中了实现企业网实名制管理的关键,经过与启明星辰深入交流之后,中国建设银行广东省分行最终选择了启明星辰的天珣内网安全风险管理与审计系统,为广东建行构建用户实名制合规管理系统。
图2 建设银行广东分行基于天珣的实名制管理系统示意
广东建行实名制管理合规系统是由安装在每一台终端的天珣客户端软件、接入层交换机和天珣后台认证和管理服务器组成的。其中天珣客户端不仅作为用户进行验证和登录网络的起点,也是终端全程安全防御的起点;后台的天珣认证和管理服务器作为验证和管理终端与用户的系统,维护终端实名制管理列表,而接入交换机则作为终端和用户接入和访问网络的唯一入口,实现内部合法用户使用实名接入和访问网络。
