网络访问控制护航企业安全

2022-07-15

随着笔记本电脑、家庭电脑、PDA等端点设备广泛应用，对于因为这些设备管理不足或管理不当而给企业带来的潜在安全隐患，网络管理员们有着长期而深刻的认识。现在，越来越多的承包商、咨询师、客户及远程工作人员得以接触企业网络资源。在这一背景下，对单一架构下的多种终端设备及用户进行网络访问与安全控制的必要性日益凸显。

移动终端给企业带来的安全挑战

接入企业组织网络的终端设备日益增多，由于普通用户缺乏应有的网络安全常识，成为导致IT安全问题的主要原因；特别是大多数企业对内部用户在终端使用中的安全问题缺乏足够远见，更使IT安全问题频发。此外，移动与远程工作人员逐日增多，IT安全的头等大事就是，以降低系统易受攻击性为目的，控制与实施终端设备安全策略。

终端设备的用户往往缺乏设备管理、更新与设置的相应知识，他们可能会无意间（或有意）中断常规病毒扫描或重要补丁的下载，或关闭防火墙，导致系统在短期内受到外部攻击的威胁。

此外，为使业务供应链的运行更为顺畅，现在的企业组织允许更多第三方访问企业数据中心和网络的应用与信息，这些第三方包括供应商、银行、政府机构、合作伙伴以及客户等。许多企业甚至还允许访问者未经管理的设备登录其网络，进而访问互联网与应用程序。不幸的是，企业组织并不能保证这些未经管理的设备与其安全标准兼容，也不能明确第三方的网络访问责任。

与北美地区的同行相比，亚太地区企业所面临的政策监管压力尚称不上严苛，但在未来几年内情况可能就会有所改变。澳大利亚、香港、日本、韩国和台湾等地区已出台了隐私法，银行金融、零售、政府和电信等主要部门也建立了与行业相关的监管规定。这些法律法规要求组织机构进行内部管理以确保金融报告的完整性，同时保证重要客户信息的安全性。通过实施与终端设备和用户相关的安全政策，终端设备访问控制也将成为上述法律法规的重要组成部分。

多数企业实施的终端安全解决方案只限于解决上述安全问题，尤其是网络访问授权问题。目前，大多数企业组织使用的都是过于简单的面向客户的安全软件，如防病毒、防火墙、主机型入侵防御系统（host-IPS）和防间谍软件等，用于减轻终端设备造成的安全压力。但是，这些产品只能提供有限的（有些甚至完全不能提供）访问权限与安全策略在设备和用户端的实施功能。虽然补丁程序与易受攻击性管理解决方案能够使系统得到实时更新，但是，如果没有IT工作人员的人工干预，这些解决方案仍不能阻止未经更新的系统或其他违规系统对网络的访问。

网络访问控制（NAC）解决方案在端点设备接入网络之前就对其安全状况进行检查，以便在设备对网络进行控制之下的访问之前，根据预先设定的策略针对安全隐患采取必要的补救措施。这种方法能够更全面地防止蠕虫、病毒等安全威胁，同时针对终端设备实施多种安全与访问策略。

选择合适的解决方案

虽然NAC有助于改善企业组织的安全管理，但在选择合适的解决方案时仍要将具体企业的个体需求与资源现状纳入考虑范围。特定组织应选择的较佳解决方案取决于多种因素，包括企业环境、设备与用户种类、针对用户执行安全策略的熟练程度（以及能力）、现有的网络基础设备以及法规要求等。

下面列出了选择NAC解决方案时应考虑的要点：

•全面的NAC解决方案应将访问控制决策建立在综合考虑多种因素的基础之上，包括设备完整性、用户身份以设备位置等。NAC解决方案必须考虑到企业组织可能面临的针对不同用户的不同网络访问环境，以及在不同地点登录网络的设备。

•随着网络用户和终端设备数量的增加，企业组织的网络基础设施也必须相应地扩展以满足实际需要，因此理想的NAC解决方案应具备高度灵活和可扩展的特点。当网络架构或负责管理设备与访问权限的策略有所改变时，优秀的解决方案应能够提供多种部署选项，以实施访问控制，对网络架构与策略的改变提供支持。

•NAC解决方案应具备针对现有安全部署方案的可互兼容性，如客户安全软件、防火墙、IDS/IPS、身份管理基础设施以及策略存储目录等。基于开放标准的解决方案（如可信网络连接（TNC）工作组的可信网络连接架构）能够提供针对不同厂商的通用基础设施与安全部件的可互操作性。

•除良好的终端设备安全性外，NAC解决方案还应提供监控与事件日志功能，使不同用户和设备的网络访问具有可视性，并可明确相关责任。这一点对于面临政策监管压力的企业组织尤为重要。

•部署选项的灵活性、易用性、资源调配以及访问控制策略管理等都是影响成本的重要因素。企业应考虑基于开放标准的架构是否适用，这类架构能够帮助企业与现有基础设施或厂商专有架构实现轻松融合，但可能需要追加投资对现有设备进行更新与检修。

全面访问控制

越来越多的企业组织希望以更全面的方式管理终端设备与内部安全，因此访问控制正在成为这些企业关心的重要话题。除改善安全状况外，强大的访问控制机制还能够帮助企业减少IT帮助支持工作量，推动企业符合法规活动的开展。

NAC与VPN、身份管理解决方案、防火墙、IDS/IPS以及网络交换机等相结合，成为全面访问控制策略的重要组成部分。随着NAC技术日新月异的发展，企业应在选择理想的解决方案时综合考虑多种因素，包括与现有基础设施的可互操作性、产业支持、管理与报表的易用性、便于未来扩展的可升级性以及功能的全面性等。