宁盾网络身份认证+深信服上网行为审计-帮助企业践行《网络安全法》

宁盾网络身份认证+深信服上网行为审计，帮助企业践行网络安全法摘要：企业网络接入符合网络安全法，须对网络日志有不少于6个月的存留，同时对网络访问者进行实名审计追索。宁盾网络身份认证+深信服上网行为审计，通过对网络用户的身份实名认证及上网行为审计，帮助企业践行网络安全法。1、网络安全法解读网络安全法第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（四）采取数据分类、重要数据备份和加密等措施；结合以上第二十一条中（一）和（三）内容解读如下：要求对网络日志有不少于6个月的存留，同时能够对网络访问者进行实名审计追索，是企业网络接入符合网络安全法的核心目标，帮助网络安全负责人可以快速定位相关违规事件及个人。实名审计包含实名和审计两部分，实名即要求对网络访问者的身份做实名认证，审计即须完成对网络访问者上网行为的记录，二者有效结合才能真正实现实名审计管理，确保每一条网络日志都能定位到个人，帮助企业践行网络安全法。2、技术实现（1）网络接入认证通过部署宁盾一体化认证与准入控制平台（ND AM），为员工和访客网络接入提供身份安全认证和访问控制，帮助企业实现无线有线员工及访客的准入安全，采用portal认证方式，并对接现有AD域系统保证账号统一管理。访客认证：短信认证、微信认证、协助扫码、访客自助短信认证流程微信认证流程协助扫码流程自助认证流程员工认证：用户名密码认证（结合AD域）用户名密码认证流程有线/无线一体化准入认证在不改变现有网络的情况下，增加一套宁盾一体化认证平台和宁盾ACE设备，将AC上的需要做认证的VLAN流量镜像到宁盾ACE上，所有认证、安全组件检测和阻断均由宁盾ACE和认证系统完成。宁盾ND ACE采用旁路阻断及旁路侦听的手段来获取网络上的数据包，然后去分析获取的数据是否满足设定的安全检测规则。满足安检规则，进入下一步网络准入认证控制流程。（2）上网行为审计部署深信服上网行为管理设备于互联网出口，针对有线/无线网络终端、用户和关键应用提供全局统一的带宽控制、权限控制、合规审计，支持多维度组合制定精细的控制策略。在上网行为审计方面，深信服不仅记录内网用户访问了哪些网站、使用了哪些应用，还能对用户的上网行为内容进行深入审计，如IM聊天内容、微博、社交论坛发帖内容、邮件发送内容、邮件附件内容和上传文件内容等。同时，还支持SSL加密网页和应用的内容审计，避免错审漏审，帮助企业深入的了解员工上网行为。实现效果如下：（3）认证系统与行为审计联动，实现上网行为实名审计将宁盾一体化认证平台与深信服上网行为管理设备联动，提供网络用户的身份实名认证及上网行为审计，可基于用户认证之后的角色、用户组、MAC地址等传递给深信服上网行为管理系统，实现用户上网控制、QOS及上网实名可查询、上网行为监控、日志审计等功能，充分满足了实名审计合规性要求。最终实现效果如下，可实名查询单个用户的上网记录：（4）Q&AQ：仅仅通过上网行为管理审计设备，为什么不能做到完全符合网络安全法？为什么必须是身份认证+上网行为审计？A：上网行为管理审计设备本身包含认证功能，通常部署在网络出口位置，其认证只能实现出网认证，无法实现对员工、高级访客内网准入的控制，因此不符合企业内网安全管理标准。而独立认证系统能够实现内网准入认证以及内网访问权限的控制。因此认证+上网行为审计才能做到