信息安全問題越來越頻繁地發(fā)生于網(wǎng)絡(luò)內(nèi)部（內(nèi)網(wǎng)），而傳統(tǒng)的安全防護(hù)產(chǎn)品更多的側(cè)重于邊界防護(hù),，對內(nèi)部安全問題難以有效發(fā)現(xiàn)及處置,。同時網(wǎng)絡(luò)內(nèi)部的安全問題相對不容易察覺，也更容易造成大范圍的影響,，可能在短時間內(nèi)就擴(kuò)散到全網(wǎng),。應(yīng)對當(dāng)前的信息安全局勢，我們需要將安全防護(hù)的邊界下沉至網(wǎng)絡(luò)層面,，讓網(wǎng)絡(luò)與安全融合,，使之在網(wǎng)絡(luò)層面就能夠發(fā)現(xiàn)威脅、處置威脅,，實(shí)現(xiàn)網(wǎng)絡(luò)原生自安全。

　　1 引言

　　信息安全問題越來越頻繁地發(fā)生于網(wǎng)絡(luò)內(nèi)部,，傳統(tǒng)的網(wǎng)絡(luò)只是單純的作為數(shù)據(jù)傳輸通道,， 而傳統(tǒng)的安全防護(hù)產(chǎn)品又更側(cè)重于邊界安全防護(hù)，也就是對外部攻擊的防護(hù),，這使得網(wǎng)絡(luò)內(nèi)部的安全處于一種近似“真空”的狀態(tài),。根據(jù)調(diào)研顯示，68% 的受訪組織表示內(nèi)部網(wǎng)絡(luò)攻擊的發(fā)生變得越來越頻繁,，70% 的受訪者在一年內(nèi)經(jīng)歷過一起或多起內(nèi)部網(wǎng)絡(luò)攻擊,。

　　同時，大多數(shù)受訪者（52%）認(rèn)為內(nèi)部網(wǎng)絡(luò)攻擊比外部網(wǎng)絡(luò)攻擊更難檢測和防護(hù),，這是因?yàn)閮?nèi)部人員本身即擁有內(nèi)部資源的訪問權(quán)限,，要區(qū)分對內(nèi)部資源的訪問是合法訪問還是惡意攻擊具有一定挑戰(zhàn)性。由此可見,，網(wǎng)絡(luò)內(nèi)部的信息安全問題呈現(xiàn)日益加劇的趨勢,。為應(yīng)對此種態(tài)勢， 我們不能僅僅依靠傳統(tǒng)的邊界防護(hù),，要將安全防護(hù)下沉至網(wǎng)絡(luò)層面,，讓網(wǎng)絡(luò)從數(shù)據(jù)傳輸?shù)耐ǖ雷兂砂踩尚湃蔚墓艿溃沟迷诰W(wǎng)絡(luò)層面就能夠防御攻擊以及阻斷威脅的擴(kuò)散,。

　　我們在網(wǎng)絡(luò)設(shè)備內(nèi)部增加安全防護(hù)模塊,， 使其能夠?qū)崟r采集、分析終端行為,，由于網(wǎng)絡(luò)設(shè)備離終端最近,，在部署位置上具備天然優(yōu)勢， 在遇到威脅、攻擊可以第一時間進(jìn)行處置并告警,。將網(wǎng)絡(luò)安全由原來單純基于安全防護(hù)產(chǎn)品的單點(diǎn)防御,，變成基于安全防護(hù)產(chǎn)品與網(wǎng)絡(luò)設(shè)備的網(wǎng)狀防御相融合的聯(lián)合防御系統(tǒng)。

　　2 網(wǎng)絡(luò)內(nèi)部安全面臨的挑戰(zhàn)

　　《2020 Insider Threat Report》[1] 報告針對網(wǎng)絡(luò)內(nèi)部攻擊的現(xiàn)狀進(jìn)行調(diào)研,，用戶覆蓋科技,、金融、政府,、教育,、企業(yè)、電信和制造業(yè)等多個行業(yè),，其中受訪企業(yè)員工規(guī)模在 1000 人以上的訪談樣本占比為 46%,。

　　根據(jù)其調(diào)研，只有占比 48% 的受訪組織表示有適當(dāng)?shù)姆绞饺シ雷o(hù)內(nèi)部攻擊,，有 29% 的受訪組織對其自身的防護(hù)能力不了解,，還有剩下23% 的受訪組織表示明確不具備防護(hù)能力。如圖 1 所示,。

　　圖 1 受訪組織具備防護(hù)內(nèi)部攻擊能力調(diào)研

　　由于內(nèi)部人員本身擁有一定的內(nèi)部資源訪問權(quán)限,，要區(qū)分一次對內(nèi)部資源的訪問是合法性訪問還是惡意攻擊相比對外部網(wǎng)絡(luò)攻擊的檢測更具挑戰(zhàn)，因此,，內(nèi)部網(wǎng)絡(luò)攻擊相比外部網(wǎng)絡(luò)攻擊具備更強(qiáng)的隱蔽性和傳播性,。如 2017 年“永恒之藍(lán)”勒索病毒在短時間內(nèi)迅速蔓延 ， 包含政府部門,、企業(yè)單位和教育機(jī)構(gòu)等多個單位均受到侵害,。

　　而“永恒之藍(lán)”勒索病毒是利用 Windows 操作系統(tǒng)的漏洞進(jìn)行傳播，通過攻擊沒有關(guān)閉 TCP445 端口的 Windows 操作系統(tǒng),， 向其他受害者加以傳播和感染,。但 445 端口是很常用的 TCP 端口，開啟此端口可在局域網(wǎng)中輕松訪問各種共享文件夾或共享打印機(jī)以提高工作效率,，由此可以看出,，對內(nèi)部網(wǎng)絡(luò)攻擊的檢測與防護(hù)相比外部網(wǎng)絡(luò)攻擊確實(shí)更加充滿挑戰(zhàn)。

　　另外,，根據(jù)調(diào)研,，有 59% 的受訪者反饋無法及時處置內(nèi)部攻擊威脅，這在社會節(jié)奏逐步加快的今天是不可接受的,，對于業(yè)務(wù)實(shí)時性要求高的行業(yè)更是一種災(zāi)難,。根據(jù)前述，網(wǎng)絡(luò)內(nèi)部威脅相比外部威脅更具隱蔽性和傳播性,，故其爆發(fā)后也會造成更大范圍的影響,。有 54% 的受訪者表示內(nèi)部威脅的爆發(fā)會導(dǎo)致運(yùn)營中斷,， 有 50% 的受訪者表示內(nèi)部威脅爆發(fā)會導(dǎo)致關(guān)鍵數(shù)據(jù)丟失，有 38% 的受訪者表示內(nèi)部威脅爆發(fā)會導(dǎo)致其品牌損害,，具體如圖 2 所示,。

　　圖 2 內(nèi)部威脅影響

　　綜上所述，網(wǎng)絡(luò)內(nèi)部的安全威脅已經(jīng)呈現(xiàn)無法忽視的狀態(tài),，IT 管理者需要考慮更多方面來保障內(nèi)網(wǎng)安全,，其面臨的具體挑戰(zhàn)可以整理歸納如下。

　　2.1 移動終端,、物聯(lián)網(wǎng)終端帶來的接入風(fēng)險

　　網(wǎng)絡(luò)接入安全主要靠三大部分聯(lián)合完成,，分別為終端系統(tǒng)自帶的基礎(chǔ)防護(hù)安全、終端防病毒軟件提供的進(jìn)一步專業(yè)防護(hù),、終端準(zhǔn)入系統(tǒng)保障的網(wǎng)絡(luò)準(zhǔn)入安全,。與此同時，互聯(lián)網(wǎng)及物聯(lián)網(wǎng)的蓬勃發(fā)展,，也出現(xiàn)了對網(wǎng)絡(luò)接入安全的新挑戰(zhàn),。

　　其一，移動終端及物聯(lián)網(wǎng)終端的系統(tǒng)往往不是我們常見的 Windows 系統(tǒng),，無法安裝一些終端準(zhǔn)入控制軟件及防病毒軟件,，導(dǎo)致其在準(zhǔn)入控制及防病毒上存在天然缺陷， 無法很好地執(zhí)行終端準(zhǔn)入控制策略,，也無法及時發(fā)現(xiàn)自身安全風(fēng)險。若一臺感染病毒的終端接入網(wǎng)絡(luò),， 極有可能造成病毒在網(wǎng)絡(luò)內(nèi)部的大范圍傳播,。

　　其二，企業(yè)內(nèi)部雖然對員工移動終端上的殺毒軟件的安裝及更新有明確的規(guī)章制度,，但缺乏有效的檢測手段,，使得針對殺毒軟件的規(guī)章制度在具體執(zhí)行上存在一定困難。網(wǎng)絡(luò)安全的防護(hù)需要方方面面,，有一個漏洞就有可能導(dǎo)致前功盡棄,。如果某終端未安裝殺毒軟件就接入內(nèi)部網(wǎng)絡(luò)，就會給網(wǎng)絡(luò)安全撕開一道口子,。

　　其三,，各行各業(yè)的業(yè)務(wù)場景中存在許多啞終端， 如一些醫(yī)療專用設(shè)備或工業(yè)專用設(shè)備等（如醫(yī)療 CT 機(jī),、倉儲 AGV 小車等）,，其往往沒有基本的輸入設(shè)備，導(dǎo)致我們傳統(tǒng)常用的賬號密碼認(rèn)證無法在此類設(shè)備上應(yīng)用,。其四,，物聯(lián)網(wǎng)終端系統(tǒng)種類多樣且起步較晚,，不像常見的 Windows系統(tǒng)在安全防護(hù)上有多年投入，可能存在部分系統(tǒng)對安全考慮不足的情況,。

　　2.2 終端移動帶來的信息安全隱患

　　不同部門,、不同崗位或不同職級往往有不同的訪問權(quán)限，如一個企業(yè)內(nèi)部,，財務(wù)部有財務(wù)部的特定訪問權(quán)限,，市場部有市場部的特定訪問權(quán)限，如果訪問了對方部門的敏感資源,，就有可能引發(fā)信息安全風(fēng)險,。而傳統(tǒng)安全防護(hù)的訪問控制策略的視角是基于位置（基于設(shè)備或基于端口）進(jìn)行防護(hù)，如將財務(wù)部網(wǎng)絡(luò)從接入往上都規(guī)劃為 VLAN10,，將市場部網(wǎng)絡(luò)從接入往上都規(guī)劃為 VLAN20,，IT 管理者對 VLAN10 及 VLAN20 進(jìn)行配置訪問控制策略來達(dá)到對部門的訪問權(quán)限進(jìn)行控制的目的。當(dāng)對應(yīng)部門辦公終端不離開其辦公區(qū)域時并不會引起問題,，一旦因工作需要移動終端位置則會出現(xiàn)問題,。不同部門的員工可能因?yàn)槟骋蝗蝿?wù)需要而聚集在一起進(jìn)行聯(lián)合辦公，也可能因?yàn)楣ぷ餍枰霾钪练止净蚩偣具M(jìn)行跨地域辦公,，若出現(xiàn)因?yàn)橐苿咏K端位置而導(dǎo)致員工訪問了其不應(yīng)該訪問的資源,，則會存在信息安全風(fēng)險。

　　因此,，訪問控制策略的視角應(yīng)該從聚焦于位置變更為聚焦于人,， 即訪問控制策略要跟著人的移動而移動，而不再局限于某一位置,。即財務(wù)部的員工具有財務(wù)部的權(quán)限,， 市場部的員工具有市場部的權(quán)限，不論將辦公終端移動到哪里,，都只會有其對應(yīng)的資源訪問權(quán)限,。

　　2.3 傳統(tǒng)的邊界防護(hù)對網(wǎng)絡(luò)內(nèi)部的攻擊無能為力

　　傳統(tǒng)的安全防護(hù)產(chǎn)品更專注于邊界防護(hù)， 基于成本考慮,，也無法將安全防護(hù)產(chǎn)品下沉至網(wǎng)絡(luò)的更底層（如接入層）,，故傳統(tǒng)的安全防護(hù)產(chǎn)品更多的是將防護(hù)對象聚焦于網(wǎng)絡(luò)外部， 讓網(wǎng)絡(luò)內(nèi)部的安全處于一種近似“真空”的狀態(tài),， 如圖 3 所示,。

　　圖 3 內(nèi)部攻擊無法防護(hù)

　　網(wǎng)絡(luò)內(nèi)部某終端中毒后可以直接通過內(nèi)部網(wǎng)絡(luò)傳播給其他終端，由于病毒傳播流量不經(jīng)過出口的安全防護(hù)產(chǎn)品,，故無法進(jìn)行防護(hù),。異常終端甚至可以攻擊某些網(wǎng)絡(luò)設(shè)備，并以此作為跳板進(jìn)一步在全網(wǎng)散播病毒,。這也是內(nèi)部網(wǎng)絡(luò)攻擊相比外部網(wǎng)絡(luò)攻擊更具傳播性的原因,。

　　3 自安全網(wǎng)絡(luò)解決方案

　　2017 年我國政府正式發(fā)布《中華人民共和國網(wǎng)絡(luò)安全法》,，充分體現(xiàn)了黨中央對網(wǎng)絡(luò)安全的高度重視。而網(wǎng)絡(luò)內(nèi)部的安全問題在近年又出現(xiàn)愈演愈烈的趨勢,，如何讓內(nèi)部網(wǎng)絡(luò)變得安全可信成為重中之重,。

　　自安全網(wǎng)絡(luò)解決方案提出一種讓網(wǎng)絡(luò)原生自安全的概念，即讓網(wǎng)絡(luò)不再僅僅是數(shù)據(jù)的傳輸通道,，更是安全可信任的通道,，使得在網(wǎng)絡(luò)層面就能夠防御攻擊以及阻斷威脅的擴(kuò)散。自安全網(wǎng)絡(luò)解決方案的整體思路為讓安全防護(hù)下沉至網(wǎng)絡(luò)層面,，在網(wǎng)絡(luò)設(shè)備（如交換機(jī),、路由器、AP 等）內(nèi)部增加安全防護(hù)模塊,，使其能夠?qū)崟r采集,、分析終端行為，由于網(wǎng)絡(luò)設(shè)備離終端更近,， 其具備位置優(yōu)勢,，在遇到威脅、攻擊時,，可以第一時間進(jìn)行處置并告警,。

　　同時，在網(wǎng)絡(luò)的各個位置（如接入,、匯聚,、核心）均有網(wǎng)絡(luò)設(shè)備， 可以讓不同位置的網(wǎng)絡(luò)設(shè)備聯(lián)合工作,，將網(wǎng)絡(luò)安全由原來單純基于安全防護(hù)產(chǎn)品的單點(diǎn)防御,， 變成基于安全防護(hù)產(chǎn)品與網(wǎng)絡(luò)設(shè)備的網(wǎng)狀防御相融合的聯(lián)合防御系統(tǒng)。

　　如圖 4 所示,，異常終端在發(fā)起內(nèi)網(wǎng)攻擊時,， 會立刻被自安全接入所檢測到并阻斷,。同時,， 自安全網(wǎng)絡(luò)在接入、匯聚,、核心均有防護(hù)能力,， 由于其距終端更近，可以在第一時間發(fā)現(xiàn)攻擊行為并處理,，大大提升了網(wǎng)絡(luò)的安全性,。

　　圖 4 自安全網(wǎng)絡(luò)

　　由于自安全網(wǎng)絡(luò)解決方案要求讓安全防護(hù)下沉至網(wǎng)絡(luò)層面，故需要對傳統(tǒng)網(wǎng)絡(luò)設(shè)備進(jìn)行改進(jìn)優(yōu)化,。需要在其內(nèi)部增加策略配置組件,、分析組件及異常流量處置組件,，共同完成安全防護(hù)工作 ，如圖 5 所示,。

　　圖 5 自安全交換機(jī)設(shè)計

　　策略配置組件：可針對不同威脅,、不同攻擊源、不同攻擊目的等配置不同防護(hù)策略,，以應(yīng)對各種應(yīng)用場景的對應(yīng)安全需求,。

　　分析組件：分析交換芯片上送的流量，將分析結(jié)果告知異常流量處置組件,。

　　異常流量處置組件：接收策略配置組件下發(fā)的處置策略,，并針對分析組件發(fā)送的分析結(jié)果，對交換芯片下發(fā)指令,，對異常流量按照預(yù)配置策略進(jìn)行處置,。

　　3.1 自安全網(wǎng)絡(luò)關(guān)鍵技術(shù)

　　（ 1 ） 安全準(zhǔn)入

　　安全準(zhǔn)入旨在對終端接入網(wǎng)絡(luò)的合法性進(jìn)行控制,，斷絕非授權(quán)終端的接入,，在接入層保障網(wǎng)絡(luò)安全可信。由于移動終端,、物聯(lián)網(wǎng)終端等新型終端的不斷出現(xiàn),，安全準(zhǔn)入需要支持不同終端的不同認(rèn)證方式，如常規(guī) Windows 電腦可使用傳統(tǒng)的賬號密碼認(rèn)證,，有殺毒軟件安裝要求的可支持殺毒軟件安裝認(rèn)證,，攝像頭、醫(yī)療專用設(shè)備等可針對其業(yè)務(wù)模型進(jìn)行業(yè)務(wù)模型認(rèn)證等多種認(rèn)證方式,，當(dāng)接入終端不滿足認(rèn)證條件時,，阻斷其網(wǎng)絡(luò)訪問權(quán)限，保障網(wǎng)絡(luò)接入安全,。同時,，此類無客戶端或輕客戶端認(rèn)證方式更受用戶歡迎。

　　自安全網(wǎng)絡(luò)安全準(zhǔn)入技術(shù)可以有效識別終端類型,，自適配地為不同類型終端引導(dǎo)至對應(yīng)認(rèn)證方式進(jìn)行認(rèn)證,，有效避免人工干預(yù)，降低用戶學(xué)習(xí)成本,。

　　同時,，安全準(zhǔn)入技術(shù)的終端識別技術(shù)可以進(jìn)一步進(jìn)行應(yīng)用，有效防范私接行為,。例如,， 在部分場景下， 為信息安全考慮不允許員工私接路由,， 但可能存在部分員工為個人便捷考慮,， 在網(wǎng)絡(luò)內(nèi)部私接無線路由器給手機(jī)上網(wǎng),，從而將內(nèi)部網(wǎng)絡(luò)通過無線廣播出去。若此時無線不設(shè)置密碼或簡單使用弱口令作為無線密碼,，將造成更嚴(yán)重的后果,。安全準(zhǔn)入技術(shù)的防私接技術(shù)， 可對非法接入的私接路由器,、私接攝像頭等其他設(shè)備進(jìn)行禁入,，可以有效防止數(shù)據(jù)脫離安全防護(hù)邊界，造成信息泄露的安全風(fēng)險,。

　?。?2 ） 安全檢測

　　安全檢測旨在將安全邊界下移，讓網(wǎng)絡(luò)設(shè)備具備安全防護(hù)能力,，其主要專注安全威脅的檢測識別等,。由于網(wǎng)絡(luò)設(shè)備離終端最近，可以第一時間發(fā)現(xiàn)異常行為,，并將異常上報,，以進(jìn)行后續(xù)處理。即使某臺終端存在漏洞或者中毒也沒關(guān)系,，當(dāng)其在網(wǎng)絡(luò)中傳播攻擊時會被立刻識別并上報,。

　　自安全網(wǎng)絡(luò)的安全檢測技術(shù)除了傳統(tǒng)基于報文數(shù)據(jù)特征的威脅識別方式，還增加了基于行為特征的威脅識別方式,。雖然不同病毒的報文數(shù)據(jù)特征不同,，但是傳播的行為模型往往相似。自安全網(wǎng)絡(luò)對病毒傳播的行為模型進(jìn)行整理歸納,、特征提取,，形成基于行為特征的威脅識別方式，對未知的新型病毒具備一定識別率,， 可以更有效地保障網(wǎng)絡(luò)安全,。

　　同時，安全監(jiān)測技術(shù)還具備業(yè)務(wù)模型學(xué)習(xí)及匹配技術(shù),。一些特殊場景的專用設(shè)備具有獨(dú)特的業(yè)務(wù)模型,，在此類特殊場景下，業(yè)務(wù)往往比較簡單,，不會出現(xiàn)業(yè)務(wù)模型以外的流量,。如醫(yī)療場景下的 CT 機(jī),，只應(yīng)該傳輸醫(yī)療業(yè)務(wù)數(shù)據(jù),， 自安全網(wǎng)絡(luò)可以對不匹配業(yè)務(wù)模型的流量進(jìn)行識別并上報，由安全處置模塊進(jìn)行進(jìn)一步處置,。同時,，為方便用戶使用,，自安全網(wǎng)絡(luò)具備業(yè)務(wù)模型學(xué)習(xí)技術(shù)，可自動學(xué)習(xí)業(yè)務(wù)模型,，避免人工干預(yù),，提升設(shè)備易用性。

　?。?3 ） 安全處置

　　安全處置旨在將安全邊界下移,，讓網(wǎng)絡(luò)設(shè)備具備安全防護(hù)能力，其主要專注安全威脅的處置,。由于網(wǎng)絡(luò)設(shè)備離終端最近,，可在第一時間發(fā)現(xiàn)安全威脅后進(jìn)行處理，可阻止威脅擴(kuò)散,。如當(dāng)某臺終端的攻擊被識別后,，可立刻基于預(yù)配置策略進(jìn)行處理。

　?。?4 ） 安全可視

　　安全可視旨在通過可視化的方式,，更直接、更形象地展示網(wǎng)絡(luò)安全狀態(tài),。同時,，避免單設(shè)備信息孤立，統(tǒng)籌整網(wǎng)設(shè)備信息,，讓管理員更清楚明白地了解當(dāng)前網(wǎng)絡(luò)的安全問題,，并能夠快速采取行動，以此降低網(wǎng)絡(luò)安全運(yùn)維成本,。

　?。?5 ） 安全隨行

　　安全隨行旨在改變傳統(tǒng)基于位置的安全防護(hù)策略,，變更為基于人的安全防護(hù)策略,，達(dá)到策略隨行的目的，以應(yīng)對終端移動而引發(fā)的信息安全風(fēng)險,。如財務(wù)部員工因臨時任務(wù)需要,， 前往其他部門進(jìn)行工作,。當(dāng)該財務(wù)部員工接入其他部門網(wǎng)絡(luò)后，被自安全網(wǎng)絡(luò)自動識別為財務(wù)部終端,，則分配對應(yīng)權(quán)限,，可避免信息泄露的安全風(fēng)險。

　?。?6 ） 安全回溯

　　安全回溯旨在記錄終端行為,，以達(dá)到發(fā)生安全事件后協(xié)助管理員回溯分析，并以此數(shù)據(jù)為基礎(chǔ)對網(wǎng)絡(luò)進(jìn)行調(diào)優(yōu)、改進(jìn)的目的,。

　　3.2 自安全網(wǎng)絡(luò)帶來的價值

　?。?1 ） 持續(xù)業(yè)務(wù)安全保障

　　在當(dāng)今的社會下，網(wǎng)絡(luò)不僅是我們訪問互聯(lián)網(wǎng)的通道,，更是我們開展業(yè)務(wù)不可或缺的關(guān)鍵部分,。自安全網(wǎng)絡(luò)可以主動、快速發(fā)現(xiàn)并處置威脅,，可以提升網(wǎng)絡(luò)的可靠性,、降低業(yè)務(wù)中斷的風(fēng)險，以保障業(yè)務(wù)的持續(xù)穩(wěn)定運(yùn)行,。

　?。?2 ） 完善網(wǎng)絡(luò)安全架構(gòu)

　　自安全網(wǎng)絡(luò)加固了內(nèi)部網(wǎng)絡(luò)安全，可以降低或避免數(shù)據(jù)泄露和篡改的風(fēng)險,、并有效阻止內(nèi)部攻擊,、防范病毒擴(kuò)散，為用戶做到整網(wǎng)安全可控,。

　?。?3 ） 降低運(yùn)維管理成本

　　自安全網(wǎng)絡(luò)有效提升了網(wǎng)絡(luò)的安全性、可靠性,，可以降低企業(yè)對 IT 運(yùn)維管理的投入,，提升 IT 管理者的工作效率，進(jìn)一步讓企業(yè)將有限的人力,、物力投入業(yè)務(wù)發(fā)展,，為社會創(chuàng)造更大的價值。

　　3.3 安全網(wǎng)絡(luò)應(yīng)用場景

　　自安全網(wǎng)絡(luò)專注內(nèi)網(wǎng)安全,，著力于讓網(wǎng)絡(luò)原生自安全,，可在各種場景中應(yīng)用，以下用典型的辦公場景和存在專用設(shè)備的醫(yī)療場景對自安全網(wǎng)絡(luò)的場景應(yīng)用進(jìn)行論述,。

　?。?1 ） 辦公場景

　　辦公場景是政府、企業(yè),、教育,、醫(yī)療等各行各業(yè)均存在的典型應(yīng)用場景。在辦公場景下,， 一方面為接入安全,，只有授權(quán)終端允許接入， 如辦公電腦,、打印機(jī),、企業(yè) AP、訪客終端等， 并禁止非授權(quán)終端,，如私接路由、員工個人筆記本等,，這里可以應(yīng)用安全準(zhǔn)入技術(shù)保障接入安全,。另一方面，需要保障接入后的威脅防護(hù)檢測及策略隨行,。外部訪客終端,，只擁有訪客的權(quán)限，內(nèi)部員工擁有內(nèi)部員工的權(quán)限,，同時,， 內(nèi)部員工根據(jù)不同部門、不同崗位,、不同職級也需要分配相應(yīng)的權(quán)限,，并啟用策略隨行，讓防護(hù)策略細(xì)化到人,。

　?。?2 ） 醫(yī)療場景

　　在醫(yī)技科室中，有 CT 機(jī),、核磁共振等專用醫(yī)療設(shè)備,。由于該類醫(yī)療設(shè)備是用于臨床診斷的重要工具，故其業(yè)務(wù)量大且連續(xù)性要求高,。同時,，此類醫(yī)療設(shè)備必定部署于內(nèi)網(wǎng)，也需要做好相應(yīng)的安全防護(hù),。專用醫(yī)療設(shè)備非常精密復(fù)雜,，醫(yī)院自身技術(shù)人員往往不具備設(shè)備維護(hù)保養(yǎng)的能力，需每年向設(shè)備原廠購買原廠維保服務(wù),，但勒索病毒等網(wǎng)絡(luò)安全事件爆發(fā)時往往需要快速解決以保證業(yè)務(wù),，原廠運(yùn)維人員趕赴醫(yī)院現(xiàn)場進(jìn)行維護(hù)往往需要一定時間，一旦發(fā)生網(wǎng)絡(luò)安全事件難免會造成業(yè)務(wù)在一定時間內(nèi)中斷,，這對病患和醫(yī)療機(jī)構(gòu)都是不可接受的,。

　　在醫(yī)療機(jī)構(gòu)的信息化發(fā)展中，網(wǎng)絡(luò)安全事件會隨著網(wǎng)絡(luò)規(guī)模不斷增大而同步增多,，這就會導(dǎo)致信息科的日常精力經(jīng)常消耗在此類事務(wù)上,， 難以讓信息科把主要精力放在提升醫(yī)療業(yè)務(wù)本身上。而自安全解決方案可有效解決此類問題,， 一方面,，通過安全準(zhǔn)入禁止非授權(quán)終端接入，甚至可以在具體科室只允許匹配醫(yī)療業(yè)務(wù)模型的醫(yī)療終端接入；另一方面,，通過安全檢測和安全防護(hù)第一時間發(fā)現(xiàn)并防護(hù)攻擊行為,，保障醫(yī)療業(yè)務(wù)穩(wěn)定運(yùn)行。

　　4 結(jié)語

　　隨著近年安全形勢的發(fā)展,，網(wǎng)絡(luò)內(nèi)部安全問題頻發(fā),，網(wǎng)絡(luò)內(nèi)部的安全形勢不容忽視。自安全網(wǎng)絡(luò)秉持著讓網(wǎng)絡(luò)原生自安全的思路,，在網(wǎng)絡(luò)設(shè)備上增加安全防護(hù)模塊,，將安全防護(hù)邊界下移，使網(wǎng)絡(luò)安全由原來單純基于安全防護(hù)產(chǎn)品的單點(diǎn)防御,，變成與基于網(wǎng)絡(luò)設(shè)備的網(wǎng)狀防御相融合的聯(lián)合防御系統(tǒng),。為各行各業(yè)的內(nèi)網(wǎng)安全提供了一套系統(tǒng)的解決方案，使網(wǎng)絡(luò)從數(shù)據(jù)傳輸?shù)耐ǖ雷兂砂踩尚湃蔚墓艿?，以更好地為用戶服?wù),。