从AD域安全防护痛点看安全可信网络体系搭建

AD域是目前大型企业常用的内网管理方案，但随着近年来实网演习的常态化和不断深入，AD域安全越来越得到企业的重视。不论是在演练还是在真实的高级攻击场景中，在复盘中可以看出，大部分的攻击者渗透到企业内网中，首要目标就是寻找AD域服务器，以获得控制企业内网，窃取重要数据的目的。

在当前网络安全态势日益严峻，以及国家网络安全合规要求不断加强的背景下，如何提升内网的安全性，保障业务安全，是企业备受重视的核心环节。AD域由于其应用的普遍性和“靶标”性，无疑是企业防护的重点。

如北向峰会创始人潘柱廷在致辞中所说，AD域安全是一个契合实际的新探索方向，中安网星以此为切入点非常值得肯定。中安网星CEO杨常城表示，中安网星开的“新局”，首先是AD域的全新探索，AD安全产品一直是中安网星的优势，当务之急是应对网络安全发展新趋势，消除本地AD安全的局限性。长远来看，中安网星的未来战略方向是通过云AD颠覆本地化AD，未来两年有望实现平台连接企业所有场景；最后，是终端无密码，通过密钥自动轮换方案，以动态密码自动进行身份认证，化繁为简。

日前，中安网星在产品发布会上聚焦AD(Active Directory)域安全，发布了自研产品——“智域”。中安网星的合作伙伴以及甲方客户，分享了企业内网安全体系的建设思路、以及AD域安全防护的实践。

中安网星CTO李佳峰介绍了《智域——AD目录安全解决方案》。李佳峰表示，“智域”实现了AD域安全防护产品0到1的突破，在技术架构上，与国外同类产品相比，不仅有针对AD域的探索、漏洞的发现，更重要的是帮助用户清除AD域内的威胁，涵盖事前事中事后的全方面监控扫描修复。同时，针对目前的信创大潮，“智域”对国产操作系统做了很好的适配，为信创环境下内网管理提供了可行方案。目前“智域”已经得到金融等行业用户的认可，开始实地应用推广。

如何建设安全可信的网络体系？会上，多位专家分享了内网安全的实践经验。联通智慧安全CTO周凯带来了《企业生产系统网络横向移动现状与可信环境的构建》。周凯认为，在运营商视角看，必须以实际业务角度出发，充分理解系统架构、业务逻辑、调用关系等，构建可信的体系和架构，充分利用信息系统的原生安全能力，从网络连接、安装软件、敏感文件、文件进程等维度构建可信环境。

中国兵器装备集团公司信息中心安全部的刘富标部长分享了《企业可信网络体系建设思路》。在商密网络的实际应用中，横向安全若未加强部署，可被轻易获得服务器权限。所以在打造可信体系过程中，需要层层加固，以分片分单位的方式重新打造AD域及其横纵向安全建设，从安全环境、管理需求、安全互联互通、对生产经营提供服务等四个目标，形成完善的防御框架。

中国水利电力对外有限公司首席信息官CIO胡浩捷，在《基于AD域的大型办公内网安全防护探索与实践》为主题的演讲中表示，传统手段在内网安全防护领域已经疲于应对、难以招架，需要采取更为安全的防护方案，胡浩捷分享了如何解决AD域实践中遇到的难题，以及后期的一些技术方案思路。

同时，中安网星还积极进行攻防研究，打造三位一体的安全能力，支持中安网星将安全能力转换为产品能力，并为用户提供专业的技术支持。杨常城表示，未来中安网星将以身份为中心，致力于帮助企业解决AD域安全防护及IT基础资源、用户身份等多维度认证问题，为企业提供更全面的安全防护能力。同时，在持续打磨现有AD域安全防护产品“智域”的基础上，布局云AD方案，弥补现有AD方案的不足与市场缺失，借助无密码方案等手段创造更加安全。

来源： 中国信息安全