|
早在2016年,全球知名的神秘黑客组织“影子经纪人” 爆出世界上最尖端的网络攻击组织之一“方程式组织”掌握了思科、飞塔和X融信防火墙漏洞列表。2018年3月,“八大金刚”之一的思科爆出网络设备存在后门和漏洞问题,触发Cisco Smart Install协议代码缓冲区溢出的漏洞即可远程执行Cisco系统指令。可见,即使是知名上市公司亦存在诸多网络安全风险,网络安全设备的防护能力仍是需持续关注的热点之一。
SSL VPN、防火墙等能抵御黑客攻击的硬件产品能为我们带来安全的办公环境,但是其在很大程度上依赖于使用的操作系统、CPU、驱动和三方代码库等没有漏洞和后门,因此在以下场景中仅使用常规的安全设备进行防护仍然存在较大的风险。
【场景一】某公司内网安全边界防护
VPN被攻击者攻破后,当作跳板进一步对内网实施攻击。如下图所示。
【场景二】某公司视频会议系统
现有视频会议系统,主要为IP摄像机,如果被恶意攻击者突破后,视频和声音可以直接被攻击者窃取,造成重大的数据泄露风险。如下图所示。
【场景三】企业内网核心数据(代码服务器等)资产的保护
企业内网一般存储有比较核心的数据,例如:核心代码、数据库、财务数据等。这些数据部分员工有权限使用和查看,一般内网的防护级别比较低,这些核心数据的访问控制不容易实现,存在员工恶意攻击内网,盗取关键数据的风险。如下图所示。
解决方案
为了解决上述场景中使用常规安全设备可能存在的问题,中孚基于用户对网络安全设备安全性、可靠性和保密性等性能的诉求,推出了两款明星产品,加持五大强劲动力,为用户网络安全建设保驾护航。
可信接入网关(TNA Gateway)
中孚高保障可信接入TNA复合安全认证网关是一款集白名单防火墙、安全加密VPN、用户身份认证和细粒度访问控制为一体的复合性安全认证网关,提供网络隐藏和应用系统访问入口,可保护核心业务系统的安全。
高保障可信接入安全终端(TNA-BOX)
高保障可信接入安全终端(TNA-BOX)通过与可信接入网关(TNA Gateway)配合使用为用户提供便捷、安全和可信的通信环境,为各类业务系统提供安全认证及访问控制机制,有效防止非法用户、非法设备访问核心数据资产。
以上两款产品为上述三种场景中存在的问题提供了很好的解决方案
【解决方案一】某公司内网安全边界防护
驻外办公网络通过TNA网关接入受保护的内网;
外地出差的办公人员通过TNA网关接入受保护的内网;
TNA网关可以作为防火墙的前置安全设备,防止防火墙和VPN设备自身被恶意攻击。如下图所示。
【解决方案二】某公司视频会议系统
使用TNA网关和TNA-BOX作为会议系统的抗攻击加固防护和二次加密设备,防止视频内容被恶意攻击者通过非法手段截取。如下图所示。
【解决方案三】企业内网核心数据(代码服务器等)资产的保护
在核心数据服务器前方串入TNA网关,给需要访问的用户分发TNA-BOX,只有拥有TNA-BOX的人(机器)才可以访问核心数据,其它任何访问和攻击都会被阻止,保证企业内部核心数据的安全,不被内部人突破。如下图所示。
另外,此种场景支持扩展为零信任架构,将用户接入与资源接入分开,使用数据大脑进行统一分析与风险态势感知。
系统的复杂性是系统不安全的根源,人不能够遍历系统的所有状态,发现的漏洞也只是冰山一角 。将复杂系统做的天衣无缝是小概率事件 ,提升企业及政务单位关键信息基础建设才是硬道理。中孚信息紧随行业发展趋势,聚焦数据安全领域,深化关键技术,为国家网络安全支撑构建坚实可靠的防护体系贡献力量。
产品优势
高保障的设备安全:不依赖CPU、操作系统、驱动和第三方代码库的纯硬件高保障安全边界设备,500行核心代码保障了安全的可审计与最小化的网络暴露面。
多因子身份认证:支持智能密码钥匙、数字证书、生物识别和账号密码等多种身份认证方式。
数据完整性保护:对每一个经过网关的IP数据包进行完整性认证,同时过滤掉非授权设备的数据包。
细粒度的访问控制:遵循最小权限原则对人员进行细粒度的访问控制。可基于运行环境、角色、客户端类型、五元组、时间、地点等对客户端进行限制。
详细的审计:支持集中审计、行为审计和日志管理。
方便的部署、运维:基于全图形化的界面,详细的图文解释便于管理人员运维操作。
(文章来自中孚信息,如有违权请联系删除!)
| 
私信
