- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
随着社会分工的专业化,精细化发展,现代企业不再是一个坚固围墙环绕的封闭实体,企业运行的每一天都是用户、供应商和合作方等外部人员进行密切合作、协同工作的过程。访客进入企业办公协作,通常都需要访问企业的网络基础设施。但是,访客对企业网络资源的访问,同企业内部员工存在较大区别:
访客是企业网络的临时用户,其流动性较强;
访客的网络访问权限通常仅限于访客工作的相关范围或互联网;
访客的接入终端,不是企业内部的资产,因此无法按照企业IT管理要求,安装企业内部网络用于控制管理的各种客户端软件。
可见,传统的仅针对企业内部员工的网络访问系统已难以应对访客的访问需求与安全控制。如何为访客提供网络访问服务,如何在允许访客接入的情况下,确保企业网络资源的安全性,同时大限度的降低该服务对IT支持的要求,是摆在所有企业IT管理人员面前一个重要而紧急的问题。
从IT业务角度来看,企业在提供访客网络访问方面,需要解决以下几个问题:
访客通常携带笔记本等移动终端进入企业,为了方便其使用网络,企业需要为其提供无线、有线一体化的接入方式。
企业网络的访客身份多样,可以是供应商,合作方,也可能是参观者。不同身份的访客,需要访问不同的网络资源。
访客携带的终端通常非企业内部资产,不受企业IT的统一管理,在访客终端接入企业网络时,可能对企业网络的可用性和安全性造成威胁。
记录访客的网络访问明细,满足相关法律法规对企业网络使用的合规性需求。
同企业现有业务系统集成,维护访客帐号信息,实现访客帐号的全生命周期管理。
为此,企业通常需要部署网络访客接入管理系统来完成访客的接入管理工作。一个完备的网络访客接入管理系统,应该满足以下需求:
面向访客的易用性:访客应不需要重新配置他们的笔记本电脑或下载客户端程序,身份验证也应该基于访客的角色
面向企业的易用性:解决方案应该“即插即用”,访客管理功能能够叠加在现有网络之上;非IT人员也应能够设置并管理访客用户账户。
面向企业的灵活性:解决方案应能满足企业内不同接入地点和接入设备的访客接入和管理需求。
面向企业的可管理性:管理员应该能够对访客的接入时间、地点、终端MAC地址、IP地址和用户名等信息进行全面的审核;并且基于访客的角色,合理分配网络接入权限,保证访客在企业获得适合其工作需要的网络资源。
从以上需求出发,通过对访客企业访问行为的流程重构,一个完备的访客管理系统应该包含六个模块,如图1所示。
图 1访客管理系统的组成
1、 访客帐号管理模块
能够针对访客的临时性特点,对访客的帐号进行全生命周期的管理。访客帐号通常有比较短的有效期,在访客结束对企业的访问后,访客帐号应该能够自动失效。同时能够允许由非IT人员创建访客帐号或由访客自己自注册帐号,然后由访客管理员激活,或由访客管理员创建帐号。生成的帐号可以通过短信、邮件或打印等方式提供给访客。访客管理员可以是门卫、前台或企业内部员工。IT管理员只要将访客管理的权限授予这些人员,这些人员就可以在IT授予的权限内,进行访客账号的开销户管理工作。访客的生命周期可按天设置,在访客离开企业后,其帐号将自动注销。
2、 访客身份认证和网络访问控制模块
提供基于访客身份的网络访问权限管理能够对访客的接入时间、接入地点、接入终端类型以及可访问的网络资源进行细粒度的控制和授权,并提供Web认证方式供访客进行身份验证。当访客输入认证页面的URL时,接入控制设备其重定向至企业内部的Web认证页面,访客输入分配到的账号、密码进行验证,验证通过后认证服务器根据访客的身份信息,下发接入控制权限至用户接入的设备端口,对访客的访问权限进行严格的控制。在某些对网络接入安全有严格控制要求的企业,比如某些涉密单位,也可以要求访客安装客户端,使用802.1x认证接入网络。
3、 访客终端安全检查模块
提供可溶解客户端对访客终端进行必要的安全检查。通常在访客完成身份验证后,认证页面内嵌的可溶解客户端会自动运行,按照企业IT管理的设置的安全合规规则,对访客的终端进行安全扫描,并针对安全检查的结果,对访客的接入权限进行限制,不合规的访客客户端,系统会将其访问范围限制在隔离区,并通知并引导用户进行必要的安全修复操作。在用户合规后,提示用户重新进行安全合规检查,授予访客基于其身份的访问权限。
4、 访客接入审计模块
能够保存访客的上网记录,并可方便的审计。即使访客账户自动注销了,访问记录也需要按照相关法律法规的要求保存足够长的时间。审计的另外一个方面,是对访客管理员的操作,进行有效的记录和监管,确保访客管理员的操作行为符合企业IT管理的规定。
5、 企业业务系统集成接口
访客对企业网络资源的使用,不仅涉及网络的接入控制系统,而且还同具体的业务系统相关。比如合作方员工,企业可能已经在人力资源管理系统中为其创建账户,并开放OA系统,邮件系统。为保证访客账号的生命周期一致性,有必要将访客的接入账号和业务系统账号统一为单一账号,这就需要企业访客网络接入管理系统提供账户关联相关的API,实现不同业务系统之间的帐号统一管理。设计良好的访客关联系统,最好能够提供基于SOA架构的帐号管理接入管理API,供第三方系统使用。
结束语
访客网络接入管理系统已日益成为企业生长率的核心要素,实现了以上六大模块功能的访客网络接入管理系统,能够帮助企业为来访者提供安全的网络访问,并通过检查访客终端的安全合规性,有效避免访客终端给企业网络带来的安全威胁,为企业提供一个深度的安全保护层,保护企业内部资源的安全性,维持企业网络的正常运行。在系统提供业务集成接口的情况下,还可以同企业的相关业务轻松集成,全面提升企业访客管理的工作效率。用户在选择企业网络访客接入管理系统或解决方案的时候,可以参照以上标准进行选择。
网络访客接入管理功能作为H3C EAD解决方案的组成部分,可有效帮助各种类型企业、各种接入方式下的访客安全接入管理问题,以某大型企业使用H3C网络访客管理为例,访客的网络的使用流程如图2所示。
图2 H3C访客管理流程
H3C访客管理功能具有以下特点:
1. 全面的接入方式支持。无论访客使用有线网络还是无线网络,笔记本还是平板电脑,均可有效控制其接入权限。
2. 灵活的访客安全策略管理。通过EAD系统对访客的终端安全进行管理,可灵活的根据访客身份定制安全策略并实施。可溶解客户端的使用,实现了安全检查的自动化。
3. 高效的访客帐号管理方式。IT管理员可以根据实际要求将普通员工、前台、门卫等企业内部人员授权为访客管理员,由访客管理员负责各自权限内的访客帐号管理,极大降低了IT管理员的工作量。
4. 完备的访客日志审计功能。访客离开企业后,其访问日志仍可按系统设置的保留时长保存,供IT管理员审计。同时,访客管理员的操作日志也被详细记录,可供查询和管理。
5. 开放的SOA架构。H3C iMC访客管理系统使用开放SOA架构设计,提供了丰富的API,可方便的同企业其它应用系统集成,提高了企业管理效率。
6. 一体化的解决方案。作为UAM系统的一部分,实现了企业员工网络接入、访客网络接入和终端安全控制的统一管理,为企业提供了网络接入控制的一体化解决方案,降低了企业的拥有成本。
产品与解决方案
售前咨询
售后咨询
人工在线咨询
