隨著數(shù)字化轉(zhuǎn)型日益深入，SaaS應(yīng)用、物聯(lián)網(wǎng)設(shè)備、SDN（軟件定義網(wǎng)絡(luò)）開(kāi)始普及，企業(yè)的IT架構(gòu)日趨復(fù)雜。但無(wú)論IT架構(gòu)如何演進(jìn)，路由器、交換機(jī)、VPN網(wǎng)關(guān)等網(wǎng)絡(luò)設(shè)備“交通樞紐”的地位卻從未動(dòng)搖。所有的數(shù)據(jù)都需要經(jīng)由它們轉(zhuǎn)發(fā)，所有的業(yè)務(wù)都需要通過(guò)它們開(kāi)展。這些“交通樞紐”一旦被黑客攻破，就意味著企業(yè)在數(shù)字世界的“陣地”即將全面失陷，輕則數(shù)據(jù)被盜、業(yè)務(wù)癱瘓，重則承擔(dān)法律責(zé)任、面臨天價(jià)損失。

網(wǎng)絡(luò)設(shè)備如此重要，企業(yè)網(wǎng)絡(luò)設(shè)備的3A（認(rèn)證、授權(quán)、審計(jì)）管理卻總是問(wèn)題多多。多廠商設(shè)備并存、共享賬號(hào)失控、弱口令橫行，臨時(shí)權(quán)限泛濫……一系列問(wèn)題為企業(yè)網(wǎng)絡(luò)埋下了巨大隱患。如何提升對(duì)網(wǎng)絡(luò)設(shè)備的身份管理能力，已經(jīng)成為了企業(yè)必須直面的挑戰(zhàn)。

網(wǎng)絡(luò)設(shè)備管理為何風(fēng)險(xiǎn)重重？

網(wǎng)絡(luò)設(shè)備的3A管理不到位，其根源在網(wǎng)絡(luò)設(shè)備身份管理混亂、認(rèn)證安全性不足、權(quán)限管理能力弱、審計(jì)日志碎片化。

1.網(wǎng)絡(luò)設(shè)備身份管理混亂

由于網(wǎng)絡(luò)設(shè)備的廠商各異、架構(gòu)不同，企業(yè)往往需要單獨(dú)管理不同設(shè)備的身份信息，由管理員手動(dòng)開(kāi)通、注銷賬號(hào)，不但耗費(fèi)人力、效率低下，還容易因注銷賬號(hào)不及時(shí)、遺漏賬號(hào)等問(wèn)題造成安全風(fēng)險(xiǎn)。

2.身份認(rèn)證安全性不足

網(wǎng)絡(luò)設(shè)備的身份認(rèn)證一直是網(wǎng)絡(luò)安全領(lǐng)域的“老大難”，不但普遍采用“賬號(hào)+密碼”的靜態(tài)認(rèn)證方式，還普遍存在弱口令、賬號(hào)共用等安全風(fēng)險(xiǎn)，“一個(gè)密碼走天下”的問(wèn)題長(zhǎng)期存在。近年來(lái)，因網(wǎng)絡(luò)設(shè)備未修改默認(rèn)密碼而導(dǎo)致的安全事件時(shí)有發(fā)生，“admin”這個(gè)經(jīng)典默認(rèn)密碼更是成為了黑客手中的“萬(wàn)能鑰匙”。

3.權(quán)限管理能力不到位

網(wǎng)絡(luò)設(shè)備普遍存在權(quán)限管理粗放的問(wèn)題。尤其是老舊設(shè)備，更是直接“一刀切”，要么給全部權(quán)限，要么完全不給，無(wú)法建立“角色-權(quán)限”的映射關(guān)系，“越權(quán)”與“缺權(quán)”同時(shí)存在。更嚴(yán)峻的是，多數(shù)老舊設(shè)備缺乏動(dòng)態(tài)權(quán)限管理能力，無(wú)法根據(jù)身份、時(shí)間、IP等風(fēng)險(xiǎn)因素動(dòng)態(tài)調(diào)整訪問(wèn)權(quán)限，難以實(shí)現(xiàn)“最小化授權(quán)”，為越權(quán)訪問(wèn)和惡意破壞開(kāi)了方便之門。

4.訪問(wèn)日志嚴(yán)重“碎片化”

網(wǎng)絡(luò)設(shè)備訪問(wèn)日志“數(shù)據(jù)碎片化”是行業(yè)通病。傳統(tǒng)網(wǎng)絡(luò)設(shè)備的日志審計(jì)功能往往非常薄弱。訪問(wèn)日志分散在成百上千臺(tái)設(shè)備中，格式不一、內(nèi)容不全，形成了一本難以理清的“糊涂賬”。當(dāng)安全事件發(fā)生，企業(yè)想追溯“誰(shuí)改了配置、改了什么”時(shí)，往往只能面對(duì)一堆雜亂無(wú)章的日志束手無(wú)策。

芯盾時(shí)代網(wǎng)絡(luò)設(shè)備3A管理（AAA）

給網(wǎng)絡(luò)設(shè)備裝上 “安全鎖”

針對(duì)企業(yè)網(wǎng)絡(luò)設(shè)備3A管理痛點(diǎn)，芯盾時(shí)代基于自主研發(fā)的用戶身份與訪問(wèn)管理平臺(tái)（IAM），打造了網(wǎng)絡(luò)設(shè)備3A管理系統(tǒng)（AAA），能夠幫助企業(yè)統(tǒng)一管理網(wǎng)絡(luò)設(shè)備的身份信息，一站式建立網(wǎng)絡(luò)設(shè)備認(rèn)證、權(quán)限、審計(jì)管理體系，全面提升企業(yè)對(duì)網(wǎng)絡(luò)設(shè)備的管理能力。

芯盾時(shí)代AAA全面兼容國(guó)產(chǎn)化芯片、操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件，能夠無(wú)縫替換思科ISE系統(tǒng)，幫助企業(yè)構(gòu)建滿足信創(chuàng)要求的網(wǎng)絡(luò)設(shè)備管理體系，為信創(chuàng)建設(shè)提供有力支撐。

1.統(tǒng)一管理網(wǎng)絡(luò)設(shè)備身份信息

芯盾時(shí)代AAA作為中間件，全面兼容Radius、Tacacs+等身份認(rèn)證協(xié)議，向上能夠?qū)覫AM、HR、OA、AD域等身份數(shù)據(jù)源，向下能夠統(tǒng)一對(duì)接主流廠商的各種網(wǎng)絡(luò)設(shè)備，實(shí)現(xiàn)對(duì)所有網(wǎng)絡(luò)設(shè)備身份信息的統(tǒng)一管理，從而將企業(yè)的員工身份信息、組織架構(gòu)信息統(tǒng)一映射到網(wǎng)絡(luò)設(shè)備之中，實(shí)現(xiàn)組織用戶、用戶組的自動(dòng)同步與管理。

借助芯盾時(shí)代AAA，無(wú)論是路由器、交換機(jī)，還是VPN網(wǎng)關(guān)、負(fù)載均衡，都能通過(guò)統(tǒng)一平臺(tái)實(shí)施身份管控，形成自動(dòng)化流轉(zhuǎn)的身份信息管理機(jī)制，實(shí)現(xiàn)入職即時(shí)開(kāi)通賬號(hào)、調(diào)崗?fù)秸{(diào)整權(quán)限、離職馬上注銷賬號(hào)，從源頭消除“僵尸賬號(hào)”、“影子賬號(hào)”。

2.一站式實(shí)施多因素認(rèn)證

在認(rèn)證安全上，芯盾時(shí)代AAA基于身份認(rèn)證App或SDK，提供密碼、短信驗(yàn)證碼、App掃碼、動(dòng)態(tài)口令、指紋識(shí)別等多種認(rèn)證方式，幫助企業(yè)一站式實(shí)現(xiàn)所有網(wǎng)絡(luò)設(shè)備的多因素認(rèn)證（MFA），徹底消除弱口令，大幅提升身份認(rèn)證的安全性，滿足合規(guī)要求。針對(duì)網(wǎng)絡(luò)設(shè)備賬號(hào)共用的問(wèn)題，芯盾時(shí)代AAA能夠?qū)€(gè)人信息與共用賬號(hào)相關(guān)聯(lián)，將每一次公共賬號(hào)的登錄落實(shí)到具體的人，消除公用賬號(hào)安全隱患。

芯盾時(shí)代自主研發(fā)的設(shè)備指紋、終端環(huán)境安全監(jiān)測(cè)等技術(shù)，能夠確保身份認(rèn)證App或SDK在安全的終端環(huán)境中運(yùn)行，為身份認(rèn)證再加一道“安全鎖”。

3.訪問(wèn)權(quán)限管理精細(xì)化、動(dòng)態(tài)化

芯盾時(shí)代AAA全面支持各種權(quán)限管理模型，不但能夠建立清晰的“角色-權(quán)限”映射機(jī)制，通過(guò)賦予員工不同的角色來(lái)授予對(duì)應(yīng)的訪問(wèn)權(quán)限，還能夠基于用戶身份、登錄IP、操作時(shí)間等風(fēng)險(xiǎn)因素自動(dòng)調(diào)整權(quán)限，比如僅允許運(yùn)維人員在工作時(shí)間登錄核心設(shè)備，非工作時(shí)間登錄自動(dòng)觸發(fā)二次認(rèn)證。

借助自動(dòng)化的權(quán)限管理機(jī)制，企業(yè)能夠?qū)崿F(xiàn)權(quán)限開(kāi)通、調(diào)整、回收的高效流轉(zhuǎn)，權(quán)限調(diào)整時(shí)間縮短至分鐘級(jí)，真正實(shí)現(xiàn)“權(quán)隨職動(dòng)”，徹底解決越權(quán)、缺權(quán)與權(quán)限回收滯后等問(wèn)題，消除老舊網(wǎng)絡(luò)設(shè)備的權(quán)限管理短板。

4.一站式審計(jì)全局訪問(wèn)日志

芯盾時(shí)代AAA將分散的網(wǎng)絡(luò)設(shè)備訪問(wèn)日志統(tǒng)一為標(biāo)準(zhǔn)格式的全局訪問(wèn)日志，無(wú)論是Console口操作還是遠(yuǎn)程配置修改，都能完整記錄“操作人、時(shí)間、內(nèi)容、設(shè)備”等關(guān)鍵信息。內(nèi)置的日志分析引擎能夠自動(dòng)識(shí)別異常操作，如非工作時(shí)間登錄、批量修改配置等，實(shí)時(shí)觸發(fā)告警。

當(dāng)安全事件發(fā)生時(shí)，管理員可通過(guò)芯盾時(shí)代AAA快速追溯操作軌跡，精準(zhǔn)定位責(zé)任人，滿足等保2.0等合規(guī)要求，讓日志審計(jì)不再是“形式主義”。

芯盾時(shí)代網(wǎng)絡(luò)設(shè)備3A管理系統(tǒng)（AAA）從根源上解決了傳統(tǒng)網(wǎng)絡(luò)設(shè)備身份、認(rèn)證、權(quán)限、審計(jì)管理的種種頑疾。通過(guò)統(tǒng)一的管理平臺(tái)、強(qiáng)大的安全認(rèn)證、精細(xì)的授權(quán)策略和全面的行為審計(jì)，企業(yè)能夠全面提升網(wǎng)絡(luò)設(shè)備的可管、可控、可信水平，讓網(wǎng)絡(luò)的“交通樞紐”固若金湯，為數(shù)字化轉(zhuǎn)型保駕護(hù)航。