You need to enable JavaScript to run this app.
导航
飞连
  • 文档首页
    • /
  • 飞连

动态控制最佳实践

最近更新时间2024.04.26 18:57:51

首次发布时间2022.12.07 14:16:02

我的收藏

本文档详细介绍了动态控制在企业安全管理中的多种实际应用。依据企业特定的安全风险和差异化管理需求,您可以通过飞连的动态控制功能,打造一套符合您企业个性需求的动态安全解决方案。

功能概述

飞连的动态控制功能通过与多个内置模块的协同作用,提供了对终端安全状况的持续监控和网络访问权限的即时调整。您可以根据安全政策或管理需求,手动设定动态决策规则,从而集中管理并持续检测超过 150 个细分维度的基线信息,这些维度涵盖账号信息、设备信息、行为信息、设备安全状态、操作信息以及时间常量。更多信息,请参考动态控制概述
一旦检测到与设定规则相匹配的行为或风险,飞连将立即采取预定义的处置措施,如网络访问权限降级、禁止特定操作或发送告警通知。这一系列功能构建了一个细致的持续身份验证和动态处置系统,保障了用户、设备和行为的安全性,并提升了网络访问控制的灵活性与多样性。

网络安全访问常见场景

这一类场景专注于加强企业的网络安全。通过实施基线检测、动态决策规则和访问权限的动态调整,企业能够确保只有符合安全标准的设备和用户才能访问敏感的网络资源。

场景一:限制不合规终端访问办公网络

场景介绍
在本场景中,我们建立了一个终端基线检测策略,定期扫描以识别基线、应用和进程方面的安全风险。同时,我们配置了一个动态决策规则组,以便在检测到安全风险时,自动降低违规终端的网络权限,阻止其访问办公网络。
操作步骤。

  1. 登录飞连管理后台。

  2. (可选)在左侧导航栏,选择终端管控终端基线
    在管控策略页面,为您的企业构建办公安全基线的检测策略。具体操作,请参见管控策略。如果您已经配置了终端基线检测策略,则可以跳过本步骤。

  3. 在左侧导航栏,选择动态控制动态决策

  4. 动态决策页面,单击新增规则组

  5. 新增规则组页面,依次完成以下配置,并单击确认
    在页面底部的确认按钮右侧,您可以取消勾选确认修改后立即开启策略使用。取消勾选后,您需要自行在规则组列表中开启该策略。

    配置区域

    配置项说明

    基本信息

    规则组名称:自定义名称,用于标识当前规则组,例如”办公安全基线检测“。

    触发条件

    • 触发条件:选择动态触发,当终端产生风险事件、病毒事件或数据防泄露事件等,导致设备状态发生变更时,飞连将实时触发当前决策。
    • 触发方式:选择【终端风险检测/终端基线】+【终端风险检测/应用风险】+【终端风险检测/进程风险】,当客户端上报安全检测状态时会触发该决策。
      图片
    • 触发参数:选择【设备安全状态/风险状态/设备风险等级】>【属于】>【低风险】+【中风险】【高风险】。
      图片

    处置规则

    参数组合:设置为 A

    处置方式:选择网络>【设备降级使用 VPN】+【设备降级使用 Wi-Fi】+【设备降级使用有限功能】。其中选择降级的处置方式时,还需要指定降级的策略(资源访问受限或者限制不可访问的资源)。
    图片

    说明

    如果您的员工入网认证协议是 Portal 认证,则下述的四个处置方式无法使用。

    • 设备降级使用 Wi-Fi
    • 账号禁止使用 Wi-Fi。
    • 设备降级使用有线功能。
    • 账号禁止使用有线功能

场景二:限制有离职意向员工的网络访问

场景介绍
针对即将离职的员工,我们设计了一个动态决策规则组。当员工在离职前一个月内出现数据泄露行为时,系统将自动降低其终端的 VPN 和 Wi-Fi 使用权限,并即时通知企业管理员。此策略要求事先配置好数据防泄露策略。具体操作,请参考配置外发审计策略
操作步骤

  1. 登录飞连管理后台。

  2. 在左侧导航栏,选择动态控制动态决策

  3. 动态决策页面,单击新增规则组

  4. 新增规则组页面,依次完成以下配置,并单击确认
    在页面底部的确认按钮右侧,您可以取消勾选确认修改后立即开启策略使用。取消勾选后,您需要自行在规则组列表中开启该策略。

    配置区域

    配置项说明

    基本信息

    规则组名称:自定义名称,用于标识该规则组。例如,离职意向员工数据外发时限制使用办公网并通知管理员

    触发条件

    • 触发条件:选择动态触发,当终端产生风险事件、病毒事件或数据防泄露事件等,导致设备状态发生变更时,飞连将实时触发当前决策。
    • 触发方式:选择发现数据防泄露事件
      图片
    • 触发参数:添加以下三个触发参数:
      • 【账号信息/账号失效时间】> 取值。
      • 【内置函数/当前时间】。
      • 【设备安全状态/数据防泄露事件[1 月内]/告警数量】>大于等于>1。
        图片

    处置规则

    参数组合:设置为 ((A-B)<2592000)&&C

    处置方式

    • 选择网络设备降级使用 VPN设备降级使用 Wi-Fi。其中选择降级的处置方式时,还需要指定降级的策略(资源访问受限或者限制不可访问的资源)。关于如何设置 VPN 访问的网络资源,请参见访问权限;关于如何设置网络权限组,请参见权限配置管理 Portal 认证员工入网
    • 选择通知第三方通知员工。需要关联第三方机器人进行消息通知,支持多选。关于第三方机器人的管理操作,请参见管理第三方 IM

    图片

终端安全合规常见场景

这一类场景专注于确保所有接入企业网络的终端设备都符合企业的安全合规性要求。通过设置动态规则组来检测和限制未安装必装软件的终端设备,以及对超标的设备进行网络连接限制,企业能够有效地管理和优化其网络带宽使用。此外,对于未满足安全基线的非公司发放电脑,实施入网权限降级,进一步加强了对企业网络安全的保护。

场景一:限制员工准入设备数量

场景介绍
为了优化企业内网的设备接入管理,我们实施了一项限制员工设备接入数量的策略。该策略有效控制了个别员工设备对带宽的过度占用,提升了整个企业的网络带宽可用性和网络使用体验。
操作步骤

  1. 登录飞连管理后台。

  2. 在左侧导航栏,选择动态控制动态决策

  3. 动态决策页面,单击新增规则组

  4. 新增规则组页面,依次完成以下配置,并单击确认
    在页面底部的确认按钮右侧,您可以取消勾选确认修改后立即开启策略使用。取消勾选后,您需要自行在规则组列表中开启该策略。

    配置区域

    配置项说明

    基本信息

    规则组名称:自定义名称,用于标识该规则组。例如,限制员工准入设备

    触发条件

    • 触发条件:选择动态触发,当终端产生风险事件、病毒事件或数据防泄露事件等,导致设备状态发生变更时,飞连将实时触发当前决策。
    • 触发方式:选择周期触发(5 分钟)
      图片
    • 触发参数:选择【行为信息/账号行为/Wi-Fi 连接设备数量】-【大于】-【此处填写企业需要限制的数字}】。
      图片

    处置规则

    参数组合:设置为 A

    处置方式:【设备降级使用 Wi-Fi】-【降级到权限组】-【{此处选择对应的权限组}】。

    说明

    不同的权限组会关联到不同的 vlan,可以在交换机上对不同的 vlan 进行网络限速,达到限制带宽占用的目的。

    图片

场景二:未安装安全软件的终端入网降级

场景介绍
对于非公司发放的电脑,我们执行了一套安全基线要求策略。不满足安全标准的设备将在接受访问权限时被降级,限制其只能访问企业网络中的非敏感资源。
操作步骤

  1. 登录飞连管理后台。

  2. 在左侧导航栏,选择动态控制动态决策

  3. 动态决策页面,单击新增规则组

  4. 新增规则组页面,依次完成以下配置,并单击确认
    在页面底部的确认按钮右侧,您可以取消勾选确认修改后立即开启策略使用。取消勾选后,您需要自行在规则组列表中开启该策略。

    配置区域

    配置项说明

    基本信息

    规则组名称:自定义名称,用于标识该规则组。例如,未安装安全软件的终端入网降级

    触发条件

    • 触发条件:选择动态触发,当终端产生风险事件、病毒事件或数据防泄露事件等,导致设备状态发生变更时,飞连将实时触发当前决策。
    • 触发方式:选择周期触发(5 分钟)
      图片
    • 触发参数:选择【设备安全状态/风险状态/设备未安装必装软件】-【包含任一】-【{选择必装软件}】。
      图片

    处置规则

    参数组合:设置为 A

    处置方式:【设备降级使用 Wi-Fi】-【降级到权限组】-【{此处选择对应的权限组}】。

    说明

    不同的权限组会关联到不同的 vlan,可以在交换机上对不同的 vlan 进行网络限速,达到限制带宽占用的目的。

    图片

    处置自动恢复后主动通知:选择通知到飞连客户端

远程办公常见场景

这一类别的场景涉及对不同用户和部门的资源可见性进行管理,以及对远程访问敏感资源的控制。对于远程办公的员工,通过限制非公司资产对敏感资源的访问,企业能够保护其内部系统不受潜在的安全威胁。

场景一:限制远程办公访问敏感资源

场景介绍
为保障远程办公员工的数据安全,我们制定了一项策略,限制非公司资产设备的远程访问权限。仅公司资产设备能够访问特定的敏感资源,利用其内置的安全防护和可追溯性,以减少远程访问的安全风险。
操作步骤

  1. 登录飞连管理后台。

  2. (可选)在左侧导航栏,选择终端资产终端登记
    在终端管理模块,依赖公司资产清单,做好公司资产非公司资产的分类。具体操作,请参见添加终端登记策略

  3. 在左侧导航栏,选择动态控制动态决策

  4. 动态决策页面,单击新增规则组

  5. 新增规则组页面,依次完成以下配置,并单击确认
    在页面底部的确认按钮右侧,您可以取消勾选确认修改后立即开启策略使用。取消勾选后,您需要自行在规则组列表中开启该策略。

    配置区域

    配置项说明

    基本信息

    规则组名称:自定义名称,用于标识该规则组。例如,限制非公司资产访问

    触发条件

    • 触发条件:选择操作触发,当员工在终端内进行指定操作时触发,飞连将实时触发当前决策。
    • 触发方式:选择 VPNVPN 连接
      图片
    • 触发参数:选择【设备信息/设备分组】-【不包含任一】-【{此处选择公司资产的分组组名}】。
      图片

    处置规则

    参数组合:设置为 A

    处置方式:选择【设备降级使用 VPN】>【限制不可访问资源】>【{此处选择敏感资源}】。关于如何设置 VPN 访问的网络资源,请参见访问权限
    图片

场景二:员工账号异地登录通知

场景介绍
在本场景中,我们部署了一个动态决策规则组,用于在员工账号登录时自动检测并比对当前与最近的登录地点。若发现异地登录,系统将通过第三方机器人平台向员工发送提醒消息,增强账户安全性并及时通知潜在的账号安全事件。
操作步骤

  1. 登录飞连管理后台。

  2. 在左侧导航栏,选择动态控制动态决策

  3. 动态决策页面,单击新增规则组

  4. 新增规则组页面,依次完成以下配置,并单击确认
    在页面底部的确认按钮右侧,您可以取消勾选确认修改后立即开启策略使用。取消勾选后,您需要自行在规则组列表中开启该策略。

    配置区域

    配置项说明

    基本信息

    规则组名称:自定义名称,用于标识当前规则组,例如,账号异地登录通知本人

    触发条件

    • 触发条件:选择操作触发,当员工在终端内进行指定操作时触发,飞连将实时触发当前决策。
    • 触发方式:选择客户端操作客户端登录(登录尝试)
      图片
    • 触发参数:添加以下两个触发参数:
      • 【操作信息/操作地理位置/城市】> 取值
      • 【行为信息/账号行为/最近登录地理位置/城市】> 取值
        图片

    处置规则

    参数组合:设置为 A!=B

    处置方式:选择通知第三方通知员工。需要关联第三方机器人进行消息通知,支持多选。关于第三方机器人的管理操作,请参见管理第三方 IM
    图片