本文档详细介绍了动态控制在企业安全管理中的多种实际应用。依据企业特定的安全风险和差异化管理需求,您可以通过飞连的动态控制功能,打造一套符合您企业个性需求的动态安全解决方案。
飞连的动态控制功能通过与多个内置模块的协同作用,提供了对终端安全状况的持续监控和网络访问权限的即时调整。您可以根据安全政策或管理需求,手动设定动态决策规则,从而集中管理并持续检测超过 150 个细分维度的基线信息,这些维度涵盖账号信息、设备信息、行为信息、设备安全状态、操作信息以及时间常量。更多信息,请参考动态控制概述。
一旦检测到与设定规则相匹配的行为或风险,飞连将立即采取预定义的处置措施,如网络访问权限降级、禁止特定操作或发送告警通知。这一系列功能构建了一个细致的持续身份验证和动态处置系统,保障了用户、设备和行为的安全性,并提升了网络访问控制的灵活性与多样性。
场景介绍
在本场景中,我们建立了一个终端基线检测策略,定期扫描以识别基线、应用和进程方面的安全风险。同时,我们配置了一个动态决策规则组,以便在检测到安全风险时,自动降低违规终端的网络权限,阻止其访问办公网络。
操作步骤
登录飞连管理后台。
(可选)在左侧导航栏,选择终端管控 > 终端基线。
在管控策略页面,为您的企业构建办公安全基线的检测策略。具体操作,请参见管控策略。如果您已经配置了终端基线检测策略,则可以跳过本步骤。在左侧导航栏,选择动态控制 > 动态决策。
在动态决策页面,单击新增规则组。
在新增规则组页面,依次完成以下配置,并单击确认。
在页面底部的确认按钮右侧,您可以取消勾选确认修改后立即开启策略使用。取消勾选后,您需要自行在规则组列表中开启该策略。配置区域
配置项说明
基本信息
规则组名称:自定义名称,用于标识当前规则组,例如”办公安全基线检测“。
触发条件
- 触发条件:选择动态触发,当终端产生风险事件、病毒事件或数据防泄露事件等,导致设备状态发生变更时,飞连将实时触发当前决策。
- 触发方式:选择【终端风险检测/终端基线】+【终端风险检测/应用风险】+【终端风险检测/进程风险】,当客户端上报安全检测状态时会触发该决策。
- 触发参数:选择【设备安全状态/风险状态/设备风险等级】>【属于】>【低风险】+【中风险】【高风险】。
处置规则
参数组合:设置为 A。
处置方式:选择网络>【设备降级使用 VPN】+【设备降级使用 Wi-Fi】+【设备降级使用有限功能】。其中选择降级的处置方式时,还需要指定降级的策略(资源访问受限或者限制不可访问的资源)。
说明
如果您的员工入网认证协议是 Portal 认证,则下述的四个处置方式无法使用。
- 设备降级使用 Wi-Fi。
- 账号禁止使用 Wi-Fi。
- 设备降级使用有线功能。
- 账号禁止使用有线功能。
操作结果
企业内 A 部门的员工尝试通过其个人笔记本电脑连接到公司的办公网络。由于该笔记本电脑未通过安全基线检测,触发了动态决策规则,导致其网络访问权限被自动降低。因此,该员工的笔记本电脑被限制访问办公网络,直到其设备满足安全标准。
场景介绍
针对即将离职的员工,我们设计了一个动态决策规则组。当员工在离职前一个月内出现数据泄露行为时,系统将自动降低其终端的 VPN 和 Wi-Fi 使用权限,并即时通知企业管理员。此策略要求事先配置好数据防泄露策略。具体操作,请参考配置文件管控策略。
操作步骤
登录飞连管理后台。
在左侧导航栏,选择动态控制 > 动态决策。
在动态决策页面,单击新增规则组。
在新增规则组页面,依次完成以下配置,并单击确认。
在页面底部的确认按钮右侧,您可以取消勾选确认修改后立即开启策略使用。取消勾选后,您需要自行在规则组列表中开启该策略。配置区域
配置项说明
基本信息
规则组名称:自定义名称,用于标识该规则组。例如,
离职意向员工数据外发时限制使用办公网并通知管理员。触发条件
- 触发条件:选择动态触发,当终端产生风险事件、病毒事件或数据防泄露事件等,导致设备状态发生变更时,飞连将实时触发当前决策。
- 触发方式:选择发现数据防泄露事件。
- 触发参数:添加以下三个触发参数:
- 【账号信息/账号失效时间】> 取值。
- 【内置函数/当前时间】。
- 【设备安全状态/数据防泄露事件[1 月内]/告警数量】>大于等于>1。
处置规则
参数组合:设置为
((A-B)<2592000)&&C。处置方式:
- 选择网络 > 设备降级使用 VPN +设备降级使用 Wi-Fi。其中选择降级的处置方式时,还需要指定降级的策略(资源访问受限或者限制不可访问的资源)。关于如何设置 VPN 访问的网络资源,请参见访问权限;关于如何设置网络权限组,请参见权限配置和管理 Portal 认证员工入网。
- 选择通知 > 第三方通知员工。需要关联第三方机器人进行消息通知,支持多选。关于第三方机器人的管理操作,请参见管理第三方 IM。
操作结果
A 部门的一名员工在提交离职申请后,被发现有数据泄露行为。根据动态决策规则,该员工的网络权限被立即降低,VPN 和 Wi-Fi 使用权限被限制。同时,企业管理员通过第三方通知平台收到了关于该事件的即时通知。
场景介绍
为了优化企业内网的设备接入管理,我们实施了一项限制员工设备接入数量的策略。该策略有效控制了个别员工设备对带宽的过度占用,提升了整个企业的网络带宽可用性和网络使用体验。
操作步骤
登录飞连管理后台。
在左侧导航栏,选择动态控制 > 动态决策。
在动态决策页面,单击新增规则组。
在新增规则组页面,依次完成以下配置,并单击确认。
在页面底部的确认按钮右侧,您可以取消勾选确认修改后立即开启策略使用。取消勾选后,您需要自行在规则组列表中开启该策略。配置区域
配置项说明
基本信息
规则组名称:自定义名称,用于标识该规则组。例如,
限制员工准入设备。触发条件
- 触发条件:选择动态触发,当终端产生风险事件、病毒事件或数据防泄露事件等,导致设备状态发生变更时,飞连将实时触发当前决策。
- 触发方式:选择周期触发(5 分钟)。
- 触发参数:选择【行为信息/账号行为/Wi-Fi 连接设备数量】-【大于】-【此处填写企业需要限制的数字}】。
处置规则
参数组合:设置为
A。处置方式:【设备降级使用 Wi-Fi】-【降级到权限组】-【{此处选择对应的权限组}】。
说明
不同的权限组会关联到不同的 vlan,可以在交换机上对不同的 vlan 进行网络限速,达到限制带宽占用的目的。
操作结果
A 部门的一名员工尝试连接其第四台设备到公司网络。由于超过了设定的设备接入数量限制,触发了动态决策规则,导致该设备的 Wi-Fi 连接权限被降级,只能访问有限的网络资源,直到其减少连接的设备数量。
场景介绍
对于非公司发放的电脑,我们执行了一套安全基线要求策略。不满足安全标准的设备将在接受访问权限时被降级,限制其只能访问企业网络中的非敏感资源。
操作步骤
登录飞连管理后台。
在左侧导航栏,选择动态控制 > 动态决策。
在动态决策页面,单击新增规则组。
在新增规则组页面,依次完成以下配置,并单击确认。
在页面底部的确认按钮右侧,您可以取消勾选确认修改后立即开启策略使用。取消勾选后,您需要自行在规则组列表中开启该策略。配置区域
配置项说明
基本信息
规则组名称:自定义名称,用于标识该规则组。例如,
未安装安全软件的终端入网降级。触发条件
- 触发条件:选择动态触发,当终端产生风险事件、病毒事件或数据防泄露事件等,导致设备状态发生变更时,飞连将实时触发当前决策。
- 触发方式:选择周期触发(5 分钟)。
- 触发参数:选择【设备安全状态/风险状态/设备未安装必装软件】-【包含任一】-【{选择必装软件}】。
处置规则
参数组合:设置为
A。处置方式:【设备降级使用 Wi-Fi】-【降级到权限组】-【{此处选择对应的权限组}】。
说明
不同的权限组会关联到不同的 vlan,可以在交换机上对不同的 vlan 进行网络限速,达到限制带宽占用的目的。
处置自动恢复后主动通知:选择通知到飞连客户端。
操作结果
A 部门的一名新员工使用其个人电脑尝试连接到公司网络。由于该电脑未安装公司要求的安全软件,触发了动态决策规则,导致该电脑的网络权限被降级,只能通过 Wi-Fi 访问非敏感资源。同时,该员工收到了飞连客户端的通知,告知其设备已被降级及如何恢复。
场景介绍
为保障远程办公员工的数据安全,我们制定了一项策略,限制非公司资产设备的远程访问权限。仅公司资产设备能够访问特定的敏感资源,利用其内置的安全防护和可追溯性,以减少远程访问的安全风险。
操作步骤
登录飞连管理后台。
(可选)在左侧导航栏,选择终端资产 > 终端登记。
在终端管理模块,依赖公司资产清单,做好公司资产和非公司资产的分类。具体操作,请参见添加终端登记策略。在左侧导航栏,选择动态控制 > 动态决策。
在动态决策页面,单击新增规则组。
在新增规则组页面,依次完成以下配置,并单击确认。
在页面底部的确认按钮右侧,您可以取消勾选确认修改后立即开启策略使用。取消勾选后,您需要自行在规则组列表中开启该策略。配置区域
配置项说明
基本信息
规则组名称:自定义名称,用于标识该规则组。例如,
限制非公司资产访问。触发条件
- 触发条件:选择操作触发,当员工在终端内进行指定操作时触发,飞连将实时触发当前决策。
- 触发方式:选择 VPN > VPN 连接。
- 触发参数:选择【设备信息/设备分组】-【不包含任一】-【{此处选择公司资产的分组组名}】。
处置规则
参数组合:设置为
A。处置方式:选择【设备降级使用 VPN】>【限制不可访问资源】>【{此处选择敏感资源}】。关于如何设置 VPN 访问的网络资源,请参见访问权限。
操作结果
A 部门的远程员工尝试通过非公司资产的电脑访问公司的敏感资源。由于该设备未被识别为公司资产,触发了动态决策规则,导致其 VPN 连接被限制,无法访问指定的敏感资源。
场景介绍
在本场景中,我们部署了一个动态决策规则组,用于在员工账号登录时自动检测并比对当前与最近的登录地点。若发现异地登录,系统将通过第三方机器人平台向员工发送提醒消息,增强账户安全性并及时通知潜在的账号安全事件。
操作步骤
登录飞连管理后台。
在左侧导航栏,选择动态控制 > 动态决策。
在动态决策页面,单击新增规则组。
在新增规则组页面,依次完成以下配置,并单击确认。
在页面底部的确认按钮右侧,您可以取消勾选确认修改后立即开启策略使用。取消勾选后,您需要自行在规则组列表中开启该策略。配置区域
配置项说明
基本信息
规则组名称:自定义名称,用于标识当前规则组,例如,
账号异地登录通知本人。触发条件
- 触发条件:选择操作触发,当员工在终端内进行指定操作时触发,飞连将实时触发当前决策。
- 触发方式:选择客户端操作>客户端登录(登录尝试)。
- 触发参数:添加以下两个触发参数:
- 【操作信息/操作地理位置/城市】> 取值
- 【行为信息/账号行为/最近登录地理位置/城市】> 取值
处置规则
参数组合:设置为
A!=B。处置方式:选择通知 > 第三方通知员工。需要关联第三方机器人进行消息通知,支持多选。关于第三方机器人的管理操作,请参见管理第三方 IM。
操作结果
A 部门的一名员工在外地出差时,通过其个人设备登录了公司的飞连客户端。系统检测到登录地点与最近的登录地点不一致,触发了动态决策规则,并通过第三方机器人平台向该员工发送了异地登录的提醒消息。