设备联网权限该如何管控？

本文目录导读：

1. 基础前提：资产识别与分类
2. 技术管控层（核心手段）
3. 管理流程与策略
4. 针对特殊设备的管控建议
5. 审计与监控
6. 实战中推荐的组合拳

这是一个涉及网络安全、访问控制和运营管理的核心问题，设备联网权限管控的核心目标是在保障业务效率的同时，最小化攻击面，防止未经授权的设备接入内网，或已授权设备被非法利用。

有效的管控需要遵循 “最小权限原则”、“默认拒绝” 和 “持续验证” 的思路，以下是系统化的管控方案，分为五个层面：

基础前提：资产识别与分类

在管控之前,必须先知道“有哪些设备”以及“它们是什么”。

1. 建立设备台账：通过扫描工具（如NMAP、Zabbix）或终端管理软件，发现所有联网设备的IP、MAC、主机名、操作系统、开放端口。
2. 分类分级：
   • 按类型：PC、服务器、IoT设备、打印机、摄像头、工控机。
   • 按安全等级：核心业务服务器（高）、普通办公机（中）、访客设备（低）。
   • 按归属：公司资产、BYOD（自带设备）、访客、合作伙伴设备。

技术管控层（核心手段）

这是具体的落地技术,建议组合使用：

网络准入控制

这是最常用也是最强硬的边界管控手段。

• 1X 协议：在交换机端口启用802.1X认证，设备接入时必须通过账号/密码或证书认证，否则端口直接被关闭（无法获取IP）。
• MAC地址过滤：在路由器/交换机上设置允许/禁止的MAC地址列表。注意：MAC地址可伪造，只能作为辅助手段。
• NAC（网络准入控制）方案：如思科ISE、华为Agile Controller或开源方案（如PacketFence），它们能对接入设备进行身份、合规性（如是否安装杀毒软件、补丁是否最新） 检查，不符合则直接隔离到“修复网络”。

基于策略的VLAN隔离

仅授权设备访问特定网络,阻止横向移动。

• 技术实现：结合RADIUS服务器（如FreeRADIUS），当设备通过802.1X认证后，动态下发VLAN（虚拟局域网）或ACL（访问控制列表）。
• 示例：
  • 办公PC → 分配 VLAN 10（可访问内网服务器 + 互联网）
  • 安防摄像头 → 分配 VLAN 20（仅可访问NVR录像机，禁止访问互联网和办公区）
  • 访客Wi-Fi → 分配 VLAN 30（仅可访问互联网，隔离内网）
  • IoT传感器 → 分配 VLAN 40（仅可向中央服务器上报数据）

终端安全与证书管理

除了网络准入,还需要应用层的严格管控。

• 数字证书认证：要求设备必须安装合法的客户端证书才能连接VPN或特定业务系统，证书可以有效防止伪造身份。
• 终端管理代理：在员工电脑上安装EDR（端点检测与响应）或MDM（移动设备管理）软件，实时检查：
  • 是否有病毒/木马？
  • 是否关闭了系统防火墙？
  • 是否用了弱密码？
  • 不符合条件则告警并自动断开网络。

物理/近场管控

• 禁用无用端口：物理拔掉设备上不需要的网口，或在交换机上关闭未使用的端口（Shutdown Unused Ports）。
• Wi-Fi 安全：企业Wi-Fi使用WPA3-Enterprise（802.1X）加密，避免WPA2-PSK（预共享密钥）泄露密码导致外部设备随意接入。

管理流程与策略

技术是手段,制度是保障。

1. 申请与审批流程：

   • 原则：设备入网必须走流程，采用IT服务管理（ITSM）流程，如工单系统。
   • 动作：申请人填写设备型号、MAC、用途、有效期；负责人（如部门主管、安全管理员）审批。
   • 自动化：审批通过后，系统自动在RADIUS或NAC系统中开放权限，或自动在交换机上配置白名单。

2. 最小权限策略：

   • “默认拒绝”：所有设备默认无权限访问任何资源，除非明确授权。
   • 动态授权：临时访客设备可获得限时（如8小时）的互联网访问权限，到期自动失效。
   • 按需开放：生产服务器仅允许特定IP（跳板机、运维堡垒机）的特定端口（如22、443）访问。

3. 生命周期管理：

   • 入网：首次认证。
   • 使用中：定期（如每周）重新认证或健康检查。
   • 离网：设备报废或员工离职时，系统自动撤销所有网络权限。

针对特殊设备的管控建议

• IoT/OT（运营技术）设备（如摄像头、工业PLC）：
  • 使用无头认证：很多IoT设备没有浏览器或交互界面，无法输入账号密码，这时可以用MAC认证旁路：仅允许MAC地址在资产库中的设备，且自动加入隔离VLAN。
  • 东西向流量阻断：IoT设备绝对禁止与办公PC直接通信（如摄像头尝试访问员工电脑的445端口应被阻断）。
• 远程/移动设备（如出差员工笔记本、手机）：
  • 强制VPN：必须通过VPN网关认证（证书+口令/生物识别），VPN网关再对接NAC。
  • 应用层VPN（零信任模型）：使用零信任网络访问（ZTNA，Zero Trust Network Access）产品，不再赋予整个网络权限，用户仅能看到和访问其被授权的具体应用（如一个ERP网页），看不到内网的其他设备。

审计与监控

管控不是一劳永逸的,需要持续监控。

1. 日志记录：记录所有设备接入的日志（时间、MAC、IP、认证结果、VLAN分配）。
2. 异常检测：
   • 一台设备在非工作时间（如凌晨3点）突然上线。
   • 一台已登记的打印机试图去扫描服务器的高危端口。
   • 一个MAC地址在两个不同的物理位置同时上线。
   • 触发这些规则,系统应自动阻断并告警。
3. 定期审计：每季度清理一次权限列表，注销长期未使用的设备权限。

实战中推荐的组合拳

对于大多数中小企业,推荐一个高效且平衡安全与成本的方案：

边界层：部署支持1X的交换机（成本可控）。 认证层：使用 FreeRADIUS + Windows AD（活动目录）/LDAP（轻量级目录访问协议） 作为认证源。 策略层：在无线网和有线网中，按设备类型动态分配VLAN（交换机上启用RADIUS动态VLAN分配）。 准入层：为访客Wi-Fi设置独立的Portal认证（短信验证码或扫码关注）。 核心层：生产服务器统一由堡垒机管理，禁止员工直接访问IP和端口。

一句话原则：先分类、后隔离、再认证，最后持续监控。