入館觀眾請出示“健康碼”，經測溫核驗無異常（不高于37.3℃），憑有效證件登記后戴口罩入場……“國慶節”作為國內疫情穩定以來的第一個黃金周，我國有超6億人次安全有序的出游，向世界展現出歷經疫情大考后流動起來、活力迸發的中國。同時我們也看到，出示“健康碼”已經成為公眾的生活習慣，確保了消費環境的更安全。那么，“健康碼”的形式能否運用到企業的網絡安全管理中呢？

其實，網絡安全中的“健康碼”機制由來已久，這便是“網絡安全準入技術”，并且經過不斷演化升級，已經成為“外防輸入、內防傳播”的有效手段之一。

新形勢下的網絡終端安全挑戰

隨著網絡信息技術的發展，萬物互聯時代的到來，終端做為企業信息交互的最基本單位，其安全問題成為整個信息安全建設最重要的組成部分。但是，由于終端種類繁多，數量巨大、部署分散、安全屬性無法統一，任何一個失陷的端點都可能造成全面的網絡安全事故。

因此，網絡安全管理首先要清楚終端類型、數量，同時確定入網終端的安全狀況、合法性，確定哪些人員入網訪問，訪問了何種資源。要實現這樣的管理目標，必然離不開網絡安全準入系統為每個終端發布“健康碼”。

如何選擇安全準入技術？

網絡準入（NAC）并不是一個年輕的概念，隨著技術的進步，我們可以把不同的人員，各種接入方式，多樣的終端，應用服務器以及業務數據都納入到IT運維的“棋盤”上來，實現終端安全一體化防護。另外，網絡準入不只是一個安全工具，更是解決安全管理難題的基礎設施，為網絡安全進階提供了直接支撐。

網絡準入控制系統的選擇，首先要考慮這套“新”系統是否支持多種入網強制技術，是否支持多樣化的異構終端識別（如：IoT設備、手機、PAD、字符終端、網絡打印機等）。

其次，網絡安全已經與“可視化”相輔相成、密不可分，態勢感知、威脅情報等等網絡安全熱門領域都離不開可視化技術，端點安全也不例外。因此，深入的可視化可以確保快速、多維度的對資產信息進行統計，為安全管理提供原始信息。

最后是架構的選擇，這決定了整個網絡架構是否會出現“大調整”的情況，另外也是確保準入系統工作效率、穩定性以及有效性的關鍵。而目前市場認可度比較好的NAC方案，是集成了成熟的第二代Infrastructure-base 架構以及第三代Appliance-base NAC架構的融合方案，并且逐漸在向下一代準入控制技術發展。

除了以上幾點，企業在選擇網絡準入系統時更需要關注“大終端” 安全的發展趨勢，因為NAC產品不僅要站好自己的崗，同時也需要與防毒、數據安全、EDR等系統形成聯動。

為終端安全一體化打造“新基建”

“大終端”安全的落地，將幫助用戶摸清內網資產，并利用POC掃描、補丁修復等技術管控資產高危風險，還可以通過機器學習、威脅情報等技術發現內網存在的已知和新型攻擊行為，進而讓用戶能夠部署更加廣泛的安全解決方案，最終構筑縱深防御的一體化方案。

為此，亞信安全在總結了大量的內網安全案例以及用戶需求的基礎上，秉承“無需改變網絡、終端部署靈活”的特性，在亞信安全終端一體化方案中為用戶提供了終端安全管理系統（TSM），改變了業界傳統的將準入控制系統作為一個單獨功能產品的做法，率先提出準入平臺的概念，能夠滿足“違規不入網、入網必合規”的管理規范。

在產品功能方面，TSM支持包括了身份認證、設備智能識別管理、全網安全結構管理、友好WEB重定向引導、基于角色的動態授權訪問控制、可配置的安全檢查規范庫、“一鍵式”智能修復、實名日志審計等功能。值得一提的是，TSM還采用了亞信安全研究的“設備指紋特征識別”技術，針對IoT環境需求，進行自動化設備識別、IoT設備替換防范，以及對于IPv6和IPv4雙棧環境的支持。

用一體化去解決終端側的安全訴求

當前，“健康碼”已成為疫情防控常態化下與群眾生活密切相關、使用頻率最高的應用和服務之一。而小小一枚二維碼的背后更關聯著相關部門的權威數據、后臺比對和綜合判斷，最終后形成“風險提示”，助力疫情防控。因此，要提升終端安全防護能力，不僅需要網絡準入的“健康碼”，更要不斷改進安全防御技術，以組成更高效、更堅不可摧的防御體系，用一體化去解決企業在終端側的安全訴求。

責任編輯：gt