本文档详细介绍了动态控制在企业安全管理中的多种实际应用。依据企业特定的安全风险和差异化管理需求,您可以通过飞连的动态控制功能,打造一套符合您企业个性需求的动态安全解决方案。
飞连的动态控制功能通过与多个内置模块的协同作用,提供了对终端安全状况的持续监控和网络访问权限的即时调整。您可以根据安全政策或管理需求,手动设定动态决策规则,从而集中管理并持续检测超过 150 个细分维度的基线信息,这些维度涵盖账号信息、设备信息、行为信息、设备安全状态、操作信息以及时间常量。更多信息,请参考动态控制概述。
一旦检测到与设定规则相匹配的行为或风险,飞连将立即采取预定义的处置措施,如网络访问权限降级、禁止特定操作或发送告警通知。这一系列功能构建了一个细致的持续身份验证和动态处置系统,保障了用户、设备和行为的安全性,并提升了网络访问控制的灵活性与多样性。
在本场景中,我们建立了一个终端基线检测策略,定期扫描以识别基线、应用和进程方面的安全风险。同时,我们配置了一个动态决策规则组,以便在检测到安全风险时,自动降低违规终端的网络权限,阻止其访问办公网络。
登录飞连管理后台。
(可选)在左侧导航栏,选择终端管控 > 终端基线。
在管控策略页面,为您的企业构建办公安全基线的检测策略。具体操作,请参见管控策略。如果您已经配置了终端基线检测策略,则可以跳过本步骤。
在左侧导航栏,选择动态控制 > 动态决策。
在动态决策页面,单击新增规则组。
在新增规则组页面,依次完成以下配置,并单击确认。
在页面底部的确认按钮右侧,您可以取消勾选确认修改后立即开启策略使用。取消勾选后,您需要自行在规则组列表中开启该策略。
配置区域 | 配置项说明 |
---|---|
基本信息 | 规则组名称:自定义名称,用于标识当前规则组,例如”办公安全基线检测“。 |
触发条件 |
|
处置规则 | 参数组合:设置为 A。 |
处置方式:选择网络>【设备降级使用 VPN】+【设备降级使用 Wi-Fi】+【设备降级使用有限功能】。其中选择降级的处置方式时,还需要指定降级的策略(资源访问受限或者限制不可访问的资源)。 说明 如果您的员工入网认证协议是 Portal 认证,则下述的四个处置方式无法使用。
|
企业内 A 部门的员工尝试通过其个人笔记本电脑连接到公司的办公网络。由于该笔记本电脑未通过安全基线检测,触发了动态决策规则,导致其网络访问权限被自动降低。因此,该员工的笔记本电脑被限制访问办公网络,直到其设备满足安全标准。
针对即将离职的员工,我们设计了一个动态决策规则组。当员工在离职前一个月内出现数据泄露行为时,系统将自动降低其终端的 VPN 和 Wi-Fi 使用权限,并即时通知企业管理员。此策略要求事先配置好数据防泄露策略。具体操作,请参考配置文件管控策略。
登录飞连管理后台。
在左侧导航栏,选择动态控制 > 动态决策。
在动态决策页面,单击新增规则组。
在新增规则组页面,依次完成以下配置,并单击确认。
在页面底部的确认按钮右侧,您可以取消勾选确认修改后立即开启策略使用。取消勾选后,您需要自行在规则组列表中开启该策略。
配置区域 | 配置项说明 |
---|---|
基本信息 | 规则组名称:自定义名称,用于标识该规则组。例如, |
触发条件 |
|
处置规则 | 参数组合:设置为 |
处置方式:
|
A 部门的一名员工在提交离职申请后,被发现有数据泄露行为。根据动态决策规则,该员工的网络权限被立即降低,VPN 和 Wi-Fi 使用权限被限制。同时,企业管理员通过第三方通知平台收到了关于该事件的即时通知。
为了优化企业内网的设备接入管理,我们实施了一项限制员工设备接入数量的策略。该策略有效控制了个别员工设备对带宽的过度占用,提升了整个企业的网络带宽可用性和网络使用体验。
登录飞连管理后台。
在左侧导航栏,选择动态控制 > 动态决策。
在动态决策页面,单击新增规则组。
在新增规则组页面,依次完成以下配置,并单击确认。
在页面底部的确认按钮右侧,您可以取消勾选确认修改后立即开启策略使用。取消勾选后,您需要自行在规则组列表中开启该策略。
配置区域 | 配置项说明 |
---|---|
基本信息 | 规则组名称:自定义名称,用于标识该规则组。例如, |
触发条件 |
|
处置规则 | 参数组合:设置为 |
处置方式:【设备降级使用 Wi-Fi】-【降级到权限组】-【{此处选择对应的权限组}】。 说明 不同的权限组会关联到不同的 vlan,可以在交换机上对不同的 vlan 进行网络限速,达到限制带宽占用的目的。 |
A 部门的一名员工尝试连接其第四台设备到公司网络。由于超过了设定的设备接入数量限制,触发了动态决策规则,导致该设备的 Wi-Fi 连接权限被降级,只能访问有限的网络资源,直到其减少连接的设备数量。
对于非公司发放的电脑,我们执行了一套安全基线要求策略。不满足安全标准的设备将在接受访问权限时被降级,限制其只能访问企业网络中的非敏感资源。
登录飞连管理后台。
在左侧导航栏,选择动态控制 > 动态决策。
在动态决策页面,单击新增规则组。
在新增规则组页面,依次完成以下配置,并单击确认。
在页面底部的确认按钮右侧,您可以取消勾选确认修改后立即开启策略使用。取消勾选后,您需要自行在规则组列表中开启该策略。
配置区域 | 配置项说明 |
---|---|
基本信息 | 规则组名称:自定义名称,用于标识该规则组。例如, |
触发条件 |
|
处置规则 | 参数组合:设置为 |
处置方式:【设备降级使用 Wi-Fi】-【降级到权限组】-【{此处选择对应的权限组}】。 说明 不同的权限组会关联到不同的 vlan,可以在交换机上对不同的 vlan 进行网络限速,达到限制带宽占用的目的。 | |
处置自动恢复后主动通知:选择通知到飞连客户端。 |
A 部门的一名新员工使用其个人电脑尝试连接到公司网络。由于该电脑未安装公司要求的安全软件,触发了动态决策规则,导致该电脑的网络权限被降级,只能通过 Wi-Fi 访问非敏感资源。同时,该员工收到了飞连客户端的通知,告知其设备已被降级及如何恢复。
为保障远程办公员工的数据安全,我们制定了一项策略,限制非公司资产设备的远程访问权限。仅公司资产设备能够访问特定的敏感资源,利用其内置的安全防护和可追溯性,以减少远程访问的安全风险。
登录飞连管理后台。
(可选)在左侧导航栏,选择终端资产 > 终端登记。
在终端管理模块,依赖公司资产清单,做好公司资产和非公司资产的分类。具体操作,请参见添加终端登记策略。
在左侧导航栏,选择动态控制 > 动态决策。
在动态决策页面,单击新增规则组。
在新增规则组页面,依次完成以下配置,并单击确认。
在页面底部的确认按钮右侧,您可以取消勾选确认修改后立即开启策略使用。取消勾选后,您需要自行在规则组列表中开启该策略。
配置区域 | 配置项说明 |
---|---|
基本信息 | 规则组名称:自定义名称,用于标识该规则组。例如, |
触发条件 |
|
处置规则 | 参数组合:设置为 |
处置方式:选择【设备降级使用 VPN】>【限制不可访问资源】>【{此处选择敏感资源}】。关于如何设置 VPN 访问的网络资源,请参见访问权限。 |
A 部门的远程员工尝试通过非公司资产的电脑访问公司的敏感资源。由于该设备未被识别为公司资产,触发了动态决策规则,导致其 VPN 连接被限制,无法访问指定的敏感资源。
在本场景中,我们部署了一个动态决策规则组,用于在员工账号登录时自动检测并比对当前与最近的登录地点。若发现异地登录,系统将通过第三方机器人平台向员工发送提醒消息,增强账户安全性并及时通知潜在的账号安全事件。
登录飞连管理后台。
在左侧导航栏,选择动态控制 > 动态决策。
在动态决策页面,单击新增规则组。
在新增规则组页面,依次完成以下配置,并单击确认。
在页面底部的确认按钮右侧,您可以取消勾选确认修改后立即开启策略使用。取消勾选后,您需要自行在规则组列表中开启该策略。
配置区域 | 配置项说明 |
---|---|
基本信息 | 规则组名称:自定义名称,用于标识当前规则组,例如, |
触发条件 |
|
处置规则 | 参数组合:设置为 |
处置方式:选择通知 > 第三方通知员工。需要关联第三方机器人进行消息通知,支持多选。关于第三方机器人的管理操作,请参见管理第三方 IM。 |
A 部门的一名员工在外地出差时,通过其个人设备登录了公司的飞连客户端。系统检测到登录地点与最近的登录地点不一致,触发了动态决策规则,并通过第三方机器人平台向该员工发送了异地登录的提醒消息。