隨著數(shù)字化轉(zhuǎn)型日益深入，SaaS應(yīng)用、物聯(lián)網(wǎng)設(shè)備、SDN（軟件定義網(wǎng)絡(luò)）開始普及，企業(yè)的IT架構(gòu)日趨復(fù)雜。但無論IT架構(gòu)如何演進(jìn)，路由器、交換機、VPN網(wǎng)關(guān)等網(wǎng)絡(luò)設(shè)備“交通樞紐”的地位卻從未動搖。所有的數(shù)據(jù)都需要經(jīng)由它們轉(zhuǎn)發(fā)，所有的業(yè)務(wù)都需要通過它們開展。這些“交通樞紐”一旦被黑客攻破，就意味著企業(yè)在數(shù)字世界的“陣地”即將全面失陷，輕則數(shù)據(jù)被盜、業(yè)務(wù)癱瘓，重則承擔(dān)法律責(zé)任、面臨天價損失。

網(wǎng)絡(luò)設(shè)備如此重要，企業(yè)網(wǎng)絡(luò)設(shè)備的3A（認(rèn)證、授權(quán)、審計）管理卻總是問題多多。多廠商設(shè)備并存、共享賬號失控、弱口令橫行，臨時權(quán)限泛濫……一系列問題為企業(yè)網(wǎng)絡(luò)埋下了巨大隱患。如何提升對網(wǎng)絡(luò)設(shè)備的身份管理能力，已經(jīng)成為了企業(yè)必須直面的挑戰(zhàn)。

網(wǎng)絡(luò)設(shè)備管理為何風(fēng)險重重？

網(wǎng)絡(luò)設(shè)備的3A管理不到位，其根源在網(wǎng)絡(luò)設(shè)備身份管理混亂、認(rèn)證安全性不足、權(quán)限管理能力弱、審計日志碎片化。

1.網(wǎng)絡(luò)設(shè)備身份管理混亂

由于網(wǎng)絡(luò)設(shè)備的廠商各異、架構(gòu)不同，企業(yè)往往需要單獨管理不同設(shè)備的身份信息，由管理員手動開通、注銷賬號，不但耗費人力、效率低下，還容易因注銷賬號不及時、遺漏賬號等問題造成安全風(fēng)險。

2.身份認(rèn)證安全性不足

網(wǎng)絡(luò)設(shè)備的身份認(rèn)證一直是網(wǎng)絡(luò)安全領(lǐng)域的“老大難”，不但普遍采用“賬號+密碼”的靜態(tài)認(rèn)證方式，還普遍存在弱口令、賬號共用等安全風(fēng)險，“一個密碼走天下”的問題長期存在。近年來，因網(wǎng)絡(luò)設(shè)備未修改默認(rèn)密碼而導(dǎo)致的安全事件時有發(fā)生，“admin”這個經(jīng)典默認(rèn)密碼更是成為了黑客手中的“萬能鑰匙”。

3.權(quán)限管理能力不到位

網(wǎng)絡(luò)設(shè)備普遍存在權(quán)限管理粗放的問題。尤其是老舊設(shè)備，更是直接“一刀切”，要么給全部權(quán)限，要么完全不給，無法建立“角色-權(quán)限”的映射關(guān)系，“越權(quán)”與“缺權(quán)”同時存在。更嚴(yán)峻的是，多數(shù)老舊設(shè)備缺乏動態(tài)權(quán)限管理能力，無法根據(jù)身份、時間、IP等風(fēng)險因素動態(tài)調(diào)整訪問權(quán)限，難以實現(xiàn)“最小化授權(quán)”，為越權(quán)訪問和惡意破壞開了方便之門。

4.訪問日志嚴(yán)重“碎片化”

網(wǎng)絡(luò)設(shè)備訪問日志“數(shù)據(jù)碎片化”是行業(yè)通病。傳統(tǒng)網(wǎng)絡(luò)設(shè)備的日志審計功能往往非常薄弱。訪問日志分散在成百上千臺設(shè)備中，格式不一、內(nèi)容不全，形成了一本難以理清的“糊涂賬”。當(dāng)安全事件發(fā)生，企業(yè)想追溯“誰改了配置、改了什么”時，往往只能面對一堆雜亂無章的日志束手無策。

芯盾時代網(wǎng)絡(luò)設(shè)備3A管理（AAA）

給網(wǎng)絡(luò)設(shè)備裝上 “安全鎖”

針對企業(yè)網(wǎng)絡(luò)設(shè)備3A管理痛點，芯盾時代基于自主研發(fā)的用戶身份與訪問管理平臺（IAM），打造了網(wǎng)絡(luò)設(shè)備3A管理系統(tǒng)（AAA），能夠幫助企業(yè)統(tǒng)一管理網(wǎng)絡(luò)設(shè)備的身份信息，一站式建立網(wǎng)絡(luò)設(shè)備認(rèn)證、權(quán)限、審計管理體系，全面提升企業(yè)對網(wǎng)絡(luò)設(shè)備的管理能力。

芯盾時代AAA全面兼容國產(chǎn)化芯片、操作系統(tǒng)、數(shù)據(jù)庫、中間件，能夠無縫替換思科ISE系統(tǒng)，幫助企業(yè)構(gòu)建滿足信創(chuàng)要求的網(wǎng)絡(luò)設(shè)備管理體系，為信創(chuàng)建設(shè)提供有力支撐。

1.統(tǒng)一管理網(wǎng)絡(luò)設(shè)備身份信息

芯盾時代AAA作為中間件，全面兼容Radius、Tacacs+等身份認(rèn)證協(xié)議，向上能夠?qū)覫AM、HR、OA、AD域等身份數(shù)據(jù)源，向下能夠統(tǒng)一對接主流廠商的各種網(wǎng)絡(luò)設(shè)備，實現(xiàn)對所有網(wǎng)絡(luò)設(shè)備身份信息的統(tǒng)一管理，從而將企業(yè)的員工身份信息、組織架構(gòu)信息統(tǒng)一映射到網(wǎng)絡(luò)設(shè)備之中，實現(xiàn)組織用戶、用戶組的自動同步與管理。

借助芯盾時代AAA，無論是路由器、交換機，還是VPN網(wǎng)關(guān)、負(fù)載均衡，都能通過統(tǒng)一平臺實施身份管控，形成自動化流轉(zhuǎn)的身份信息管理機制，實現(xiàn)入職即時開通賬號、調(diào)崗?fù)秸{(diào)整權(quán)限、離職馬上注銷賬號，從源頭消除“僵尸賬號”、“影子賬號”。

2.一站式實施多因素認(rèn)證

在認(rèn)證安全上，芯盾時代AAA基于身份認(rèn)證App或SDK，提供密碼、短信驗證碼、App掃碼、動態(tài)口令、指紋識別等多種認(rèn)證方式，幫助企業(yè)一站式實現(xiàn)所有網(wǎng)絡(luò)設(shè)備的多因素認(rèn)證（MFA），徹底消除弱口令，大幅提升身份認(rèn)證的安全性，滿足合規(guī)要求。針對網(wǎng)絡(luò)設(shè)備賬號共用的問題，芯盾時代AAA能夠?qū)€人信息與共用賬號相關(guān)聯(lián)，將每一次公共賬號的登錄落實到具體的人，消除公用賬號安全隱患。

芯盾時代自主研發(fā)的設(shè)備指紋、終端環(huán)境安全監(jiān)測等技術(shù)，能夠確保身份認(rèn)證App或SDK在安全的終端環(huán)境中運行，為身份認(rèn)證再加一道“安全鎖”。

3.訪問權(quán)限管理精細(xì)化、動態(tài)化

芯盾時代AAA全面支持各種權(quán)限管理模型，不但能夠建立清晰的“角色-權(quán)限”映射機制，通過賦予員工不同的角色來授予對應(yīng)的訪問權(quán)限，還能夠基于用戶身份、登錄IP、操作時間等風(fēng)險因素自動調(diào)整權(quán)限，比如僅允許運維人員在工作時間登錄核心設(shè)備，非工作時間登錄自動觸發(fā)二次認(rèn)證。

借助自動化的權(quán)限管理機制，企業(yè)能夠?qū)崿F(xiàn)權(quán)限開通、調(diào)整、回收的高效流轉(zhuǎn)，權(quán)限調(diào)整時間縮短至分鐘級，真正實現(xiàn)“權(quán)隨職動”，徹底解決越權(quán)、缺權(quán)與權(quán)限回收滯后等問題，消除老舊網(wǎng)絡(luò)設(shè)備的權(quán)限管理短板。

4.一站式審計全局訪問日志

芯盾時代AAA將分散的網(wǎng)絡(luò)設(shè)備訪問日志統(tǒng)一為標(biāo)準(zhǔn)格式的全局訪問日志，無論是Console口操作還是遠(yuǎn)程配置修改，都能完整記錄“操作人、時間、內(nèi)容、設(shè)備”等關(guān)鍵信息。內(nèi)置的日志分析引擎能夠自動識別異常操作，如非工作時間登錄、批量修改配置等，實時觸發(fā)告警。

當(dāng)安全事件發(fā)生時，管理員可通過芯盾時代AAA快速追溯操作軌跡，精準(zhǔn)定位責(zé)任人，滿足等保2.0等合規(guī)要求，讓日志審計不再是“形式主義”。

芯盾時代網(wǎng)絡(luò)設(shè)備3A管理系統(tǒng)（AAA）從根源上解決了傳統(tǒng)網(wǎng)絡(luò)設(shè)備身份、認(rèn)證、權(quán)限、審計管理的種種頑疾。通過統(tǒng)一的管理平臺、強大的安全認(rèn)證、精細(xì)的授權(quán)策略和全面的行為審計，企業(yè)能夠全面提升網(wǎng)絡(luò)設(shè)備的可管、可控、可信水平，讓網(wǎng)絡(luò)的“交通樞紐”固若金湯，為數(shù)字化轉(zhuǎn)型保駕護(hù)航。