| 对企业局域网上的数据进行访问控制保护不是单靠企业IT部门就能独立完成的,它涉及到企业中的多个部门,例如包括负责桌面、服务器、网络和安全的团队,同样还有负责企业员工目录信息和应用系统的团队,而且IT之外的业务部门也必须参与到其中,来帮助IT部门制定合适的策略,以控制企业中的哪些人能够访问局域网上的哪些资源。
根据对不同行业、不同规模企业中的数百个局域网安全项目的研究,我们可以发现在企业局域网中对数据进行访问控制一般可以分为以下三类共性的问题:
•防范来自内部的威胁。
举个例子来说,许多企业通常需要通过网络和承包商进行业务合作。后者必须能够访问该企业的局域网网络,否则他们不能完成他们的任务。他们需要运行特定软件、访问特定文件和特定服务器,但是,他们不需要也不应该有权限来访问所有网络资源。
•达到规章制度要求。
不同的政府和行业规章要求公司必须实行访问控制策略,并且进行全局应用,而且这种控制要求自动化实现,而不是手工来进行控制。自动化控制可以简化审核过程,因为它们只需要测试一两次就可以,相比之下人工控制方式往往需要测试十几次,而且存在很多不确定性。
•限制用户访问敏感信息。
企业现在越来越多的希望根据用户在企业中的不同角色来对他们进行识别和区分,然后对不同的角色设定不同的访问权限。举个例子来说,它们可能希望仅允许财务部门员工查看财务信息,或者仅允许客户服务代表有权力查看机密客户数据。
虽然每一个企业的具体情况不完全相同,但是在某种程度上,数年以来,上面所说的三类共性问题一直让企业用户感到非常头疼。下面将根据我的经验提出一些最佳经验,希望能帮助你打造一个具有合适的网络访问控制的安全局域网。
为什么要进行访问控制及需要控制什么?
看一下那些成功在局域网中实现数据访问控制的企业,它们存在一个共同的地方:在这个安全项目真正开始前,它们的IT部门都花费了大量的时间来分析调查,以真正深入理解为什么要进行访问控制,以及要控制什么。要实现这一点,你可能需要与多个业务部门的人员进行座谈交流,了解他们的工作内容,以及谁需要访问哪些资源:是内部职工还是外部合同商,还是任何技术人员或其他需要访问企业局域网的其他人员。
在任何局域网安全项目中要采取的第一步是,识别并区分业务部门的资源访问需求。以下是一些最常见的需要明确的问题,可以供你参考,根据你自己的实际情况来选择:
•控制谁能访问局域网;
•降低非企业员工将能够访问敏感数据的风险:限制客人只可以访问互联网,而不能访问企业局域网上的资源。对资源进行控制,设定哪一个软件开发者、设计者或其他长期的非员工人员可以访问哪些资源。
•为不同的员工设定不同的访问权限。限制每个人只能访问他们需要的数据和应用程序。
•控制那些非计算机的网络设备的使用,诸如打印机、VoIP电话、数码相机等等。
•防范恶意软件攻击。
•实现对政府和行业标准的支持,并让业务组的人也了解这些要求。
讨论上述问题的目的是确定企业局域网的当前和长远目标。也就是你需要详细研究网络访问控制(NAC)问题的全面设置,决定谁可以登录到局域网中,并限制他们能够访问的内容。
举个例子来说,在项目一开始的时候,多数企业客户一般会先选择分离并限制客人的访问权限。然后其中多数企业计划在以后增加更多细化的控制,尤其是基于角色或基于策略的访问控制,来限制它们员工的访问权限。
在制定了你的网络访问控制优先权后,接下来,你需要在整个局域网安全计划中为不同的终端分配不同的角色。
确定终端策略
局域网安全的一个关键因素是允许控制(admission control),也就是说,你需要决定是否给予某一个终端访问局域网的权限。多数客户希望保护它们的局域网(和计算机终端)远离病毒和恶意软件,许多人使用终端验证或“状态检查”软件来确认任何试图访问局域网的设备已经被合适的进行了打补丁和升级处理。以下是一些关于状态检查的一些问题:
首先要了解你的终端上运行的软件,比如终端计算机上的反病毒软件,你可能希望你的访问控制能与终端上已有软件能够和平共处,不互相冲突。
尽管目前微软的网络访问保护(NAP)解决方案至今还没有部署(它需要依靠微软将在2008年第一季度发布的Longhorn服务器),考虑到微软的Vista系统进入企业是早晚的事,你可能希望你的网络访问控制平台可以处理微软的NAP终端软件所中继的信息。
另外,你需要考虑那些无法安装一个代理的终端如何处理,诸如打印机、VoIP电话、数码相机等。这些设备将需要使用诸如基于MAC地址的认证形式,因为它们不能运行一个终端代理软件。
现在你已经定义了你的需求,并确定了你的终端策略,现在是时候来看一下你现有的网络,并制定一个需要进行改变的网络计划了。
|
本站公告: (请经常关注我站公告,您将有意想不到的收获!)
