現今企業在網路安全方面的管理模式不再只是佈建防火牆、防毒軟體那麼單純,隨著越來越多不同類型的行動裝置,不同身份的使用者族群,都改變了企業LAN邊界。林佶駿以科學園區為例,若去園區拜訪廠商,有些企業會在訪客所攜帶的筆記型電腦上的網路孔貼上封條,或者請訪客填單詢問是否有安裝防毒軟體、防毒軟體是否有下載最新病毒定義碼等等,但這些都是消極、成效低的管理方式。對此,網路存取控制解決方案(Network Access Control;NAC)成為新興網路安全管理工具。
林佶駿先釐清企業面對網路存取控制時常有的迷思。首先,佈建NAC不一定要使用在線(inline)模式的設備來針對每個上網設備做安全掃瞄;第2、透過VLAN來區隔網段,所能達到的存取控管效果有限;第3、要佈建NAC不見得必須使用同1家廠商的設備,而應選擇能支援開放標準的解決方案;第4、不見得要更換所有網路設備來支援NAC控管功能,解決方案應同時涵蓋第2層交換器與第3層防火牆的控管能力。
NAC解決方案多 有無自動修復功能很重要
謝東興表示隨著網路駭客的攻擊由試探性、為了出名,到現在都是以獲利為目的,企業的威脅控制方式也需轉由更主動式且即時的防護。過去面對惡意程式等安全威脅,是直接以入侵防禦系統(IPS)、防火牆等設備阻擋,而NAC則是過濾讓好的流量連上網路,但面對網路安全灰色地帶,過去透過人力進行log日誌檔的判讀與監控的方式,如今則可以透過事件關聯管理自動化工具(CS-MARS)來達到。
企業應特別注意解決方案所能提供的問題自動修復功能,不是建立NAC政策之後,把有問題的終端設備阻擋在企業網路之外就沒事,NAC若沒有自動的修復措施,會演變成IT部門成為電話接不完的客服中心,因此企業需特別留意解決方案所提供自動更新病毒碼或更新修補程式的功能。
沒有留言:
張貼留言