資源描述:
《網(wǎng)絡(luò)準(zhǔn)入控制保持網(wǎng)絡(luò)開放性抵御安全風(fēng)險(xiǎn)》由會(huì)員上傳分享�,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)����。
1、網(wǎng)絡(luò)準(zhǔn)入控制保持網(wǎng)絡(luò)開放性抵御安全風(fēng)險(xiǎn)~教育資源庫(kù) 網(wǎng)絡(luò)化應(yīng)用已經(jīng)成為信息時(shí)代不可或缺的業(yè)務(wù)途徑�����,是企業(yè)發(fā)展壯大過(guò)程中的必然選擇��。而與此同時(shí),提供網(wǎng)上應(yīng)用的企業(yè)和機(jī)構(gòu)也在面臨著重重挑戰(zhàn)����,確保訪問安全就是其中的重要課題?�! 【W(wǎng)上應(yīng)用當(dāng)然得面對(duì)眾多用戶����。以前,為了保證網(wǎng)絡(luò)資源和內(nèi)容的安全性�,需要安全保障的信息歸入內(nèi)聯(lián)網(wǎng),一般信息則可對(duì)外發(fā)布�����,外部用戶只能訪問這部分內(nèi)容�����。但隨著業(yè)務(wù)的深入發(fā)展和網(wǎng)絡(luò)化應(yīng)用的縱深演進(jìn)��,企業(yè)和機(jī)構(gòu)已不能簡(jiǎn)單的堅(jiān)持這一理念�,許多業(yè)務(wù)的綜合需要全面而安全的訪問功能支持,企業(yè)員工��、客戶和供應(yīng)商等
2、等都需要進(jìn)入企業(yè)的系統(tǒng)�,業(yè)務(wù)暢通面臨新的要求。由此��,網(wǎng)絡(luò)訪問功能在擴(kuò)展��,而安全要求也在提高���?��! 「鶕?jù)調(diào)查,當(dāng)前企業(yè)在網(wǎng)絡(luò)訪問方面的實(shí)際需求大致是:希望控制訪問者對(duì)網(wǎng)絡(luò)資源的訪問�,但同時(shí)也盡可能地保持基礎(chǔ)設(shè)施的開放性,而不是簡(jiǎn)單的拒絕訪問��。另外�����,企業(yè)不希望為了網(wǎng)絡(luò)訪問安全保障而添置大量的設(shè)備����,或者在用戶的設(shè)備上安裝任何軟件��,這樣就會(huì)影響應(yīng)用的便捷性。而且�,很多企業(yè)都是在原有的網(wǎng)絡(luò)基礎(chǔ)上再來(lái)考慮網(wǎng)絡(luò)訪問安全問題,因此不希望對(duì)整個(gè)網(wǎng)絡(luò)架構(gòu)進(jìn)行調(diào)整�����。這些訪問支持都是企業(yè)用戶的實(shí)際需求���,也是技術(shù)廠商需要解決的技術(shù)課題��。正是
3�、在用戶的上述迫切需求基礎(chǔ)上�,網(wǎng)絡(luò)準(zhǔn)入控制(NAC)理念應(yīng)運(yùn)而生?����! AC的今生 網(wǎng)絡(luò)準(zhǔn)入控制就是對(duì)每一個(gè)欲接入網(wǎng)絡(luò)的用戶進(jìn)行認(rèn)證���,然后依照他們的身份和其他信息��,如端點(diǎn)安全檢查信息或者用戶是通過(guò)有線還是無(wú)線接入等����,而賦予其不同的訪問控制策略。而專門編寫NAC標(biāo)準(zhǔn)的可信計(jì)算集團(tuán)則進(jìn)一步從技術(shù)特點(diǎn)層面對(duì)NAC進(jìn)行剖析�����,認(rèn)為NAC是能夠在端點(diǎn)連接至企業(yè)網(wǎng)絡(luò)的過(guò)程中應(yīng)用和執(zhí)行各類安全要求的開放的�����、非專用的規(guī)格��?���! ≡贜AC的世界里,有一些特性是需要達(dá)到的�,這也是滿足用戶要求的必然選擇。首先�����,NAC必須提供進(jìn)入控制��,有選
4�����、擇性地允許主機(jī)聯(lián)入網(wǎng)絡(luò)并保持其連接的能力�����。其次���,NAC需要進(jìn)行安全檢查�,查看連入系統(tǒng)的補(bǔ)丁���、防病毒等功能是否已及時(shí)升級(jí)�����,是否具有潛在安全隱患����。然后���,NAC要提供訪問控制�,賦予聯(lián)入主機(jī)特定的訪問能力和訪問內(nèi)容����?���! ≡诋?dāng)前的市場(chǎng)狀況方面�,據(jù)調(diào)查顯示,目前55%的美國(guó)企業(yè)都計(jì)劃購(gòu)買內(nèi)部的網(wǎng)絡(luò)準(zhǔn)入控制解決方案��,另外11%表示還沒有考慮好�。在被訪的大型企業(yè)中,80%都表示要在企業(yè)網(wǎng)絡(luò)中部署NAC方案�����,51%表示還會(huì)在客戶端同樣部署NAC�����。此外�,那些計(jì)劃在2008年以前部署NAC的企業(yè)中,有32%已經(jīng)部署了NAC���。對(duì)于策略(
5���、64%)和遵從法規(guī)要求(54%)的需求仍然是推動(dòng)企業(yè)部署NAC的主要?jiǎng)恿?�。NAC的市場(chǎng)需求顯而易見?! ‘?dāng)然,現(xiàn)在已經(jīng)有部分受訪者在實(shí)踐NAC方案�。根據(jù)對(duì)實(shí)踐者和潛在實(shí)踐者的調(diào)查,發(fā)現(xiàn)這些企業(yè)由于應(yīng)用特點(diǎn)及業(yè)務(wù)發(fā)展階段不同��,在具體的檢查要求方面也有所不同��。一些 企業(yè)會(huì)針對(duì)端點(diǎn)檢查應(yīng)用和操作系統(tǒng)的補(bǔ)丁升級(jí)��,檢查防火墻���、防病毒和反間諜軟件是否存在����,以及檢查USB接口設(shè)備和口令的保密程度�����。有更多的企業(yè)表示希望至少對(duì)防火墻�����、防病毒和反間諜件等工具進(jìn)行檢查。另外還有企業(yè)根據(jù)自身的應(yīng)用特點(diǎn)���,需要NAC方案做口令和操作系統(tǒng)檢查
6����、以及應(yīng)用程序檢查�。而造成上述需求差異的原因是,企業(yè)要考慮到成本和復(fù)雜性問題����。 不過(guò)���,當(dāng)前也存在一定的爭(zhēng)議�。例如�����,也有專家認(rèn)為��,由于涉及的方面眾多����,是否配置NAC仍是一個(gè)有待商榷的話題�。如果希望部署這一方案����,專家建議企業(yè)選擇那種很適合當(dāng)前設(shè)備并且符合未來(lái)規(guī)劃的方案�����。而且如果企業(yè)比較傾向的方案太貴����,你可以等到有更好的標(biāo)準(zhǔn)出現(xiàn)、等市場(chǎng)成熟以及價(jià)格回落后再買����。同時(shí),專家還建議企業(yè)應(yīng)當(dāng)逐步地實(shí)現(xiàn)NAC���,這樣就能充分兼顧當(dāng)前的網(wǎng)絡(luò)架構(gòu)和訪問控制需求�?�! ?yīng)用層的訪問控制 目前�����,有很多廠商都在致力于NAC方面的創(chuàng)新,其中最
7�����、專注于第七層(應(yīng)用層)的是應(yīng)用優(yōu)化和全局安全訪問解決方案的提供商ArrayNetworks��。為什么該公司如此專攻第七層呢��?用公司首席執(zhí)行官趙耀的話講����,那是因?yàn)楣就ㄟ^(guò)對(duì)應(yīng)用送達(dá)與訪問的深刻了解,認(rèn)為解決用戶的真正問題在應(yīng)用層�。 趙耀表示:目前業(yè)界在NAC方面進(jìn)行了很多探索�,一些NAC方案希望在網(wǎng)絡(luò)上解決問題,對(duì)端口和終端設(shè)備進(jìn)行全面管理�,但這要求幾乎進(jìn)行全面的系統(tǒng)設(shè)備更新。另一些NAC方案希望用軟件來(lái)實(shí)現(xiàn)����,但部署很復(fù)雜,維護(hù)成本也較高�����。另外,還有一些方案是通過(guò)在線方式解決����,在每個(gè)端口部署檢測(cè)設(shè)備,但這無(wú)疑會(huì)增加
8��、部署成本���。從ArrayNetworks的角度來(lái)看,公司希望通過(guò)在應(yīng)用層開發(fā)NAC技術(shù)與產(chǎn)品方案��,以簡(jiǎn)單部署的方式���,著手解決每個(gè)訪問用戶�、每臺(tái)設(shè)備和每個(gè)網(wǎng)絡(luò)的隨時(shí)隨地訪問與控制的問題���,并支持海量的并發(fā)用戶安全訪問�?! 榇耍珹rrayNetworks著手開發(fā)了端點(diǎn)安全�、接入控制、虛擬化和資源發(fā)布等特性����,充分保障應(yīng)用層的NAC功能��。其中�����,在訪問性方面��,鑒于企業(yè)系統(tǒng)用戶身份的多
