终端类型及数量的增多为企业移动化引入新的网络安全风险

咖啡厅、飞机场、地铁随处可见移动化办公，IoT以及BYOD普及加速企业移动化变革。为适应这一变革，企业为员工提供开放的办公环境和更轻、更智能、更便捷的办公工具，引入自动化智能技术，减轻员工重复性劳动成本；统一更换轻量级应用或引入云服务，提升企业工作效率。在享受移动化办公高效运作模式的同时，企业网络安全威胁形式日趋复杂。从访客到员工、从BYOD、企业派发设备到各种各样的 IoT终端，移动化网络隐患重重。

中心化IT管理无法适应移动化终端入网合规需求

任何企业都是把业务和安全结合起来的合资企业。面对肆意泛滥的互联网攻击及威胁，企业IT安全人员肩负着网络安全防御的重任，务必要洞悉网络中用户及终端的身份、安全合规状态、权限及组织关系，快速响应并定位网络威胁来源，降低网络排障成本，确保网络及时恢复。

移动化让用户及终端的流动性增强，传统集中化人工检测的方式无法实时可视化接入网络的终端合规性，劳动成本高，检测不及时，且易存在人为失误。某大型汽车机配件外资企业就因未及时发现病毒库过期而导致大面积攻击停产事故。入网终端自动化合规检测及可视化实时监控成为企业网络安全的必要选择。

“体验、轻量、业务随行”——宁盾面向移动化终端合规解决思路

基于“E-L-W”三要素，为企业建立“高体验、轻量化、业务随行”的移动化网络准入控制体系。可视化接入网络的终端，自动化及去中心化终端管理，减轻运维劳动成本，提升用户使用体验。

E：EXPERIENCE－体验

•    通过ND ACE可视化接入网络的用户及终端，实时监控接入网络的终端合规性及安全状态，避免人为检测的遗漏及不及时现象。

•    在网络接入层，对入网终端进行自动化检测，将传统人工检测杀毒软件、wifi钥匙等人为工作通过ND ACE自动化实现。

•    基于自助式认证，访客不用再找前台索要网络账号及密码，提升访客接入体验。

L：LIGHTWEIGHT－轻量

•    旁路镜像部署ND ACE，不改变网络原有架构，降低运维及部署成本；

•    简化IT运维流程，将重复性人工操作如IP及MAC绑定、Vlan策略下发及非法终端自动隔离等操作自动化，提升企业管理效率；

•    无客户端安全检测，避免客户端软件兼容性及客户端升级，降低运维劳动成本；

•    以去中心化管理取代集中化管控，将简单的运维维护工作下放至终端用户，如补丁更新、软件升级等。

W：WORK ROAMING－业务随行

•    基于ND ACE多分支统一管控功能，检测接入内网的终端合规性，实现总部、分支的统一安全准入，确保企业业务随行。

宁网移动化网络准入方案-ND ACE

基于“体验、轻量、业务随行”的准则，为各种入网设备提供用户身份实名认证及终端合规性准入的问题。宁盾移动化网络准入解决方案由访客认证管理、员工BYOD认证入网、终端可视化管理、入网终端自动化及去中心化管理、第三方联动、业务随行六部分组成。

1、访客认证管理

支持短信／微信、协助扫码、邮件审批、Facebook等认证方式，满足国内外不同访客的认证需求。一键式微信连WiFi＋强关注，助力公众号的营销与推广。与上网行为审计对接，实现实名认证与实名审计。

2、员工BYOD 管理

外网提供802.1x、Portal用户名密码认证，内网提供802.1x＋Portal＋双因素的强安全认证。保护企业网络接入安全的同时，实现企业网络传输层安全加密。

3、入网终端可视化

俗话说，如果你都看不到，又如何能控制它？基于主动发现技术，宁盾ND ACE主动探测接入网络中的终端类型及合规性状态。帮助运维人员快速发现问题、快速定位问题，及时锁定问题及终端，提高企业运维人员的管理效率。

可视化终端类型

越来越多终端支持网络接入功能，每时每刻都有新的设备接入您的网络，宁盾ND ACE基于丰富的设备指纹库可视化接入网络中的电脑、BYOD、瘦客户机、网络设备、摄像头、打印机、IP电话、服务器（云）、虚拟机、传感器等终端类型。

终端设备画像

支持客户端和非客户端实现电脑终端的细粒度合规性监控，如操作系统、硬件及内存、用户信息及是否加域、IP访问权限、是否安装合规软件及非合规软件、软件运行进程、补丁版本、杀毒软件安装件状态及病毒库是否过期等。并识别IoT设备厂商、型号，防止弱密码、伪造IP／Mac地址及非法私接等。

4、入网终端合规检测自动化及去中心化

将常规重复性工作自动化，宁盾ND ACE提供自动化检测及分类，并对非合规终端进行自动隔离，防止私接及流氓设备的接入。将设置好的VLAN策略、IP权限智能匹配至同类终端，实现一次性配置，同类终端自动化匹配，降低运维重复性劳动成本。

以去中心化管理取代集中管控，将补丁更新、版本升级等简单琐碎的工作下放至终端用户，基于ND ACE的终端合规性检测，确保只有更新或升级的终端才能接入企业正常办公网络。

5、第三方联动，加强终端安全管理

ND ACE与微软、Symantec、LANDesk、IP-Guard、splunk等第三方安全厂商联动，实现网络准入与补丁修复、入侵检测、入侵防御、防病毒管理、桌面管理、文档加密的统一管理，全方位提升网络安全。

6、业务随行

在多分支及总部旁路镜像部署宁盾ND ACE，实现总部集中管控，只要设备接入到网络中，自动实现身份认证、终端合规检测，并获取一致的权限，整个过程是无感知的。