从历史上看,企业安全策略通过书面或电子邮件传播,并指望用户遵守,但是遵从性难以执行。利用网络访问控制(NAC)实现自动化执行是可能的。但是,必须想清楚策略执行在实践中的含义。
令人吃惊的是,尽管出现了各种有关NAC的炒作,但这个话题却没有引起人们的多少注意,而它却可能是某个部门取得成功的最重要的决定因素之一。
NAC的目标不是将设备挡在网络之外,而是确保网络免受问题设备或非法接入的伤害。
考虑以下策略:所有的计算机必须在72小时内更新杀毒软件病毒库,每周扫描病毒,运行防火墙,并且在96小时内安装操作系统补丁。
一些NAC解决方案使这项策略可以被自动执行,但存在着令人感兴趣的部分:如果CEO的计算机病毒特征过时,会将它隔离并执行补救措施吗?对待邮件服务器是否应当像对待便携机一样?答案几乎总是否定的。
这是因为NAC并不是实现策略执行的全能方式。考虑周全的策略很像是好的新闻报道。它必须回答“谁”、“什么”、“何时”、“何地”以及“为什么”,否则结果可能不能与企业的目标相适应。
从NAC的角度看,“谁”对应于针对用户和设备的基于身份的决定,如:
● 如果不认识/未经过认证,我该做什么?
● 用户/设备是至关重要的吗?
● 用户可能暴露在威胁之下吗?
“什么”涉及与问题本质有关的因素:
● 存在对设备或网络的直接威胁吗?
● 违规事件是需要立即纠正?还是“很快”纠正就足够了?
● 这是位客户吗?
“何时”包括以下参数:
● 我何时必须解决这个问题?现在,还是将来?
● 一天里有进行某些测试或跳过某些测试的时候吗?
● 我的行动根据时间的不同而不同吗?
“何地”对策略具有巨大影响,这些地点包括:会议室、休息厅、修理中心等。
例如,安装在数据中心或测试试验室的设备可能应当执行与用于电子邮件或上网冲浪的PC的不同标准。
最后是“为什么”。在NAC中必须存在采取行动的动机。“为什么”高度依赖于企业目标,一些例子包括:
● 记录执行遵从性规定(如Sarbanes-Oxley法和医疗保险便携与责任法)。
● 减少因漏洞利用而造成的终端补救/帮助台费用。
● 消除客户造成的反复出现的安全问题。
综合以上观点,可以考虑一些策略例子:
● 如果地点是数据中心,则每天扫描二十大漏洞(SANS-20)。如果设备未通过扫描,则通知管理员。
● 如果用户是经理,则允许进入网络并执行背景审计。如果未通过,则通知管理员。
● 如果是在现场办公室中,则在允许进入网络之前进行快速扫描。如果通过,则允许进入网络,否则隔离并采取补救措施。