【51CTO.com 綜合消息】這幾年來，企業(yè)網(wǎng)絡(luò)安全建設(shè)發(fā)展很快，在企業(yè)網(wǎng)與Internet之間建立起了由防火墻、IDS等安全手段協(xié)同組成的安全邊界，企業(yè)網(wǎng)內(nèi)部也實施了防病毒系統(tǒng)，企業(yè)網(wǎng)安全體系已經(jīng)出具規(guī)模，其安全性已經(jīng)遠遠高于Internet的安全性。

但是，企業(yè)網(wǎng)也繼承了Internet的開放和自由的特點，面對日新月異的攻擊手段和不斷加快的攻擊傳播速度，企業(yè)網(wǎng)面臨的安全形勢依舊非常嚴峻，尤其病毒仍是企業(yè)內(nèi)網(wǎng)的首要安全威脅，內(nèi)部攻擊也時有發(fā)生。究其原因，一方面是由于現(xiàn)有的安全防護技術(shù)的發(fā)展速度滯后于病毒技術(shù)的發(fā)展速度；另一方面，現(xiàn)階段企業(yè)中普遍存在著安全技術(shù)和安全管理相脫節(jié)的問題，要么是好的安全技術(shù)或產(chǎn)品不能被很好的利用起來，發(fā)揮應(yīng)有的作用，要么是安全管理制度缺少相應(yīng)的技術(shù)手段保證其有效地執(zhí)行下去。

安全管理中存在的巨大缺陷，集中表現(xiàn)在安全管理存在兩個被割裂的客體：企業(yè)中每一個真實的員工和企業(yè)網(wǎng)中的用戶。由于兩個客體之間不存在確定的對應(yīng)關(guān)系，致使病毒有了可乘之機，也縱容那些存在惡意企圖的員工進行非授權(quán)訪問，而且更為嚴重的是，由于網(wǎng)絡(luò)中的身份不可靠，即使發(fā)生了安全事故，也無法找出隱藏在背后的“真兇”，安全管理制度和條例也形同虛設(shè)。

企業(yè)網(wǎng)絡(luò)實名制，就是要借助最新的安全技術(shù)和產(chǎn)品，建立起安全管理中兩個客體之間的確定對應(yīng)關(guān)系，從而保證實現(xiàn)安全技術(shù)和安全管理的無縫結(jié)合，通過建立企業(yè)網(wǎng)絡(luò)中確定用戶的身份標識，將網(wǎng)絡(luò)用戶與自然人建立起一一對應(yīng)的關(guān)系，確保員工依據(jù)自己在企業(yè)中的真實角色，在網(wǎng)絡(luò)中從事與本職工作相關(guān)的行為。即使有人仍要嘗試去做違背自己角色的事情，企業(yè)仍可以通過網(wǎng)絡(luò)用戶與自然人的一一對應(yīng)關(guān)系，找到為這件事情負責的人。

1. 企業(yè)網(wǎng)絡(luò)實名制體系架構(gòu)

企業(yè)網(wǎng)絡(luò)實名制，核心是建立網(wǎng)絡(luò)用戶與企業(yè)員工之間的確定性的對應(yīng)關(guān)系。這種對應(yīng)關(guān)系，即包含了網(wǎng)絡(luò)用戶與企業(yè)員工之間的靜態(tài)的邏輯對應(yīng)關(guān)系，例如企業(yè)中廣泛應(yīng)用的基于LDAP的用戶管理，就是維護這樣一個用戶的對應(yīng)關(guān)系；同時，企業(yè)網(wǎng)絡(luò)實名制也包含了網(wǎng)絡(luò)用戶與企業(yè)員工之間的動態(tài)對應(yīng)關(guān)系，例如企業(yè)員工通過哪臺端點設(shè)備、用哪個IP地址、接入哪個網(wǎng)絡(luò)端口、通過哪個網(wǎng)絡(luò)路徑對網(wǎng)絡(luò)資源進行訪問。
建立網(wǎng)絡(luò)用戶與企業(yè)員工之間的動態(tài)對應(yīng)關(guān)系，就是要建立起每一個企業(yè)員工對于網(wǎng)絡(luò)訪問過程中的關(guān)鍵要素的動態(tài)對應(yīng)關(guān)系，具體要將企業(yè)員工所賴于使用的端點設(shè)備、所分配的IP地址、網(wǎng)絡(luò)端口、網(wǎng)絡(luò)訪問權(quán)限和網(wǎng)絡(luò)用戶身份有機結(jié)合起來，構(gòu)建起企業(yè)網(wǎng)絡(luò)實名制管理體系。

圖1是企業(yè)網(wǎng)絡(luò)實名制管理體系架構(gòu)邏輯圖：

圖1 企業(yè)網(wǎng)絡(luò)實名制管理體系架構(gòu)

其中，已經(jīng)展示出企業(yè)網(wǎng)絡(luò)實名制管理的關(guān)鍵要素和關(guān)鍵步驟：

（1） 企業(yè)員工：企業(yè)合法員工

（2） 網(wǎng)絡(luò)用戶：企業(yè)員工在網(wǎng)絡(luò)中的用戶名或賬號（通常在LDAP中管理）

（3） 端點設(shè)備：企業(yè)員工借助其對網(wǎng)絡(luò)進行訪問

（4） 用戶認證：驗證企業(yè)員工所提供的網(wǎng)絡(luò)用戶名及密碼

（5） 設(shè)備認證：驗證端點設(shè)備是否具備合法的物理地址、IP地址和安全狀態(tài)

（6） 授權(quán)和訪問控制：規(guī)范網(wǎng)絡(luò)用戶依據(jù)企業(yè)員工在企業(yè)中的角色對網(wǎng)絡(luò)進行訪問

2. 實名制管理實現(xiàn)的關(guān)鍵——準入控制

實名制管理實現(xiàn)的關(guān)鍵在于解決用戶和終端的安全接入問題，也就是要實現(xiàn)終端與用戶的準入控制，確保只有合法和安全的電腦才能接入企業(yè)內(nèi)網(wǎng)，并全程進行安全保護。

企業(yè)內(nèi)網(wǎng)中，網(wǎng)絡(luò)接入層是用戶發(fā)起訪問的入口，非常適合對接入的終端和用戶進行認證、授權(quán)和管理，并通過對終端用戶的全程保護，建立起企業(yè)員工與網(wǎng)絡(luò)用戶之間動態(tài)確定的對應(yīng)關(guān)系，最終使實名制管理得以實現(xiàn)。

圖2是實現(xiàn)才網(wǎng)絡(luò)接入層實現(xiàn)準入控制之后的邏輯示意圖： 

圖2 實名制管理實現(xiàn)的網(wǎng)絡(luò)邏輯架構(gòu)圖

通過在接入層實施準入控制，企業(yè)內(nèi)部合法的用戶和安全的設(shè)備仍可以透明聯(lián)入內(nèi)網(wǎng)，而非法用戶和存在安全隱患的終端，將被禁止訪問網(wǎng)絡(luò)或者自動劃入修復區(qū)。

在接入層實現(xiàn)準入控制，事實上在終端與企業(yè)核心內(nèi)網(wǎng)建立起了一道堅固的內(nèi)部安全環(huán)。內(nèi)網(wǎng)安全環(huán)與外網(wǎng)安全邊界交相呼應(yīng)，徹底改變了企業(yè)網(wǎng)安全邊界強大，內(nèi)部空虛的安全現(xiàn)狀，使企業(yè)內(nèi)網(wǎng)跨入到安全、智能的可信任網(wǎng)絡(luò)時代。

啟明星辰天珣內(nèi)網(wǎng)安全風險管理與審計系統(tǒng)，通過與網(wǎng)絡(luò)接入設(shè)備共同建設(shè)企業(yè)網(wǎng)用戶實名制管理平臺，徹底改變了原有網(wǎng)絡(luò)安全管理與用戶管理、終端管理相脫節(jié)的局面，通過建立終端和用戶與內(nèi)網(wǎng)核心之間接入控制系統(tǒng)，使企業(yè)內(nèi)網(wǎng)圍繞企業(yè)網(wǎng)核心，構(gòu)建起內(nèi)網(wǎng)安全防御環(huán)，從而革命性地改變了企業(yè)內(nèi)網(wǎng)架構(gòu)，使企業(yè)網(wǎng)的安全性上了一個新的臺階。通過企業(yè)網(wǎng)用戶實名制管理，不僅可以有效將企業(yè)安全管理制定執(zhí)行落實到每一個員工，也為企業(yè)提供了非?？煽康膬?nèi)網(wǎng)安全審計平臺，為企業(yè)安全管理目標的實現(xiàn)，提供了強大的保證。