“风险”无处不在

来源：赛迪网

     【赛迪网讯】“AC米兰赢了！咱们3比1淘汰里昂，爽！”欧主管大半夜给钱经理发短信，庆祝AC米兰冠军杯晋级。

　　“太爽了，看得我紧张死了，睡吧睡吧，可算可以踏实睡觉了。明天还要准备一个新的项目，是一笔不错的生意，真是双喜临门啊！”钱经理回了一条短信给钱经理。

　　欧主管回短信说，“借您吉言，晚安，明儿见！”

   

谈需求

　　借我一双慧眼 查出信息风险

　　清晨，钱经理洗漱完毕直奔公司，为了准备这单新的生意，钱经理前前后后没少操心。在路上，钱经理的心一直吊着，生怕出一点点问题。

　　到了公司，钱经理打开电脑，准备收电子邮件，却发现无法连接互联网。要知道在这个数字时代离开了互联网，钱经理会浑身不自在。作为IT公司，不能接入互联网的企业就等于被判了“死刑”。

　　着急的钱经理打电话给i博士，向i博士求救，“i博士，快来我这边一趟吧，我这边的网络似乎出现了一些问题，无法连接互联网，而且我的防病毒软件总是报警，系统也变得特别缓慢，不知道是什么原因。”i博士接到电话后，马上赶了过来。

　　i博士看到钱经理着急的样子，马上开始检查。对钱经理说，你们公司也慢慢长大了，企业信息资产不断膨胀的同时，意味着相关的信息量也在迅速的膨胀，但是作为一个企业来讲，管理维护人员编制的增加肯定是赶不上信息系统的增长速度的。

　　钱经理反问：“那我该如何做呢？现在整个公司的网络系统看上去风平浪静，实际上我曾经也感到过危机四伏，没有对网络进行彻底地深入了解，也不知道哪里存在安全隐患，不知道风险到底在哪里。”

　　i博士和钱经理说：“我建议你对整体的网络架构，直到终端系统进行系统地风险评估，风险评估管理系统通过风险组织模型、完善的规范化的风险评估流程、标准的风险评估结果数据处理，实现对企业和组织风险评估实践的指导，并作为风险评估和风险管理的统一操作平台。”

　　i博士还提醒钱经理要注意，风险管理系统包含了企业的核心安全机密，一旦泄密将带来灾难性的后果，故其自身的安全性也是非常重要的，必须有严格明确的用户管理、权限分配、访问控制等措施。

　　i博士点评

　　风险管理系统包含了企业的核心安全机密，一旦泄密将带来灾难性的后果，故其自身的安全性也是非常重要的，必须有严格明确的用户管理、权限分配、访问控制等措施。

　　

说应用

　　信息风险管理 一步一个脚印

　　i博士对钱经理说：“全面的风险评估和风险管理系统，不是单纯的仅仅对于一些系统软件的技术型评估和管理，更多的还是应该是对管理和技术两个角度进行评估和管理。”

　　风险管理系统主要功能应该具备：能够收集来自不同资产和漏洞评估软件的原始风险情况；在进行风险综合分析的时候可以将资产实际情况考虑进来以减少误报；将确认的风险通过内部工单的方式进行派发；对于所有进行处理的工单进行跟踪，同时可以评价人员的工作效率等功能。

　　钱经理说：“对于我的网络来说，风险评估是不是不仅局限于技术上的评估，还需要有包含管理体系上的评估是否具备这方面的评估能力和方法。需要平台化的管理体系，支持多用户分权限的管理，能够进行多任务的处理。”

　　i博士解释说，管理平台建立详细完整的知识库实现内部工作区域的最大化资源和经验共享，全面的风险管理系统需要结合企业实际网络组成情况。例如企业当前的管理维护人员的组织结构、网络中特有的应用业务系统等等。

　　真正要做好风险管理平台，就需要走入用户网络中进行专门的需求调研和产品软件定制。而高端的风险管理系统应该走一条定制化的开发路线，产品厂商应该具备深厚的产品技术研发实力。

　　风险管理进行拆分后又包含资产管理、脆弱性管理、威胁管理，所以选择产品的时候要认真查看是否包含了这些功能与它们的收集评估方法是否完善。

　　对于选购来说，企业需要智能化的风险管理系统，首先需要对于各种原始安全事件与漏洞信息进行归并，可以将风险与资产责任人进行关联进行管理任务下发的工单系统，同时可以对于确认的风险信息与处理情况进行变化跟踪。

　　i博士点评

　　真正要做好风险管理平台，就需要走入用户网络中进行专门的需求调研和产品软件定制，从未来看高端的风险管理系统应该走一条定制化的开发路线，产品厂商应该具备深厚的产品技术研发实力。

　　产品推介

1. mcafee foundstone enterprise
2. 绿盟科技“极光”远程安全评估系统
3. 天融信网络卫士安全管理系统 TSM
4. e-Cop Cyclops ESM

......
显示全文...

VPN集中器如何与防火墙和平共处[转]

来源：IT专家网

　　VPN为专用网络之间通过公共网络实现加密连接。通俗的说，VPN主要用来解决远程访问的需求。到目前为止，VPN是用的最普遍的远程访问解决方案。为此思科公司也专门设计了VPN集中器来帮助企业实现VPN的部署。
　　思科提供的VPN集中器基本上可以实现企业VPN方面的全部需求，VPN集中器的主要作用就是通过远程接入VPN来为远程用户提供接入服务。不过在部署思科VPN集中器的时候，需要考虑如何跟防护墙和平共处。由于VPN集中器可以防止在网络不同的位置中。如可以跟防火墙并行防止，也可以防止防火墙的外围，也可以放在内部等等。虽然其位置没有限制，但是在部署的时候，网络管理员需要注意其与防火墙位置的不同，要求与功能也略有差异。网络设计人员需要注意这些差异，才能给VPN集中器选择一个合适的位置让其安家。也只有如此，VPN集中器才能够发挥其应有的作用。

　　位置一：把VPN集中器放置在防火墙外面

　　其实，VPN集中器也有部分防火墙的保护功能，所以把其放置在防火墙的外面可以提供额外的安全保障。因为通过VPN集中器连接企业的内外网，可以在集中器的接入口使用相关的访问规则来提高企业网络的安全性。也就是说，VPN集中器可以实现部分防火墙功能。当远程用户通过互联网接入到VPN集中器时，这是一种非常行之有效的解决方案。因为若如此配置的话，本地站点并不需要外部因特网接入。

　　如果采用这种配置方式的话，网络管理员需要注意两点。

　　一是对于网络安全不是特别苛刻的企业，有时候甚至可以利用VPN集中器来代替防火墙。因为在其接入口本身就可以配置相关的访问规则，来提到防火墙的部分功能，保护企业网络的安全。故企业如果有了VPN集中器的话，还可以省去防火墙的投资。所以，这对部分企业来说，是一个不错的选择。

　　二是需要注意流量的问题。上面说到的这一点可以说是这么部署的好处。那么现在这个流量问题则是其不足之处了。如果按照上面这么部署的话，有一个很大的缺点，就是企业内外网络数据的交换都需要通过集中器来处理，因为此时集中器在企业内外商数据交换的主干通道上。故道企业内外数据交换比较频繁的话，则会给集中器性能带来比较大的压力。若企业真的准备这么部署的话，那网络管理员就需要根据企业的实际情况，选择合适的VPN集中器。如果有比较频繁的数据交换，如视频会议、电子商务等等网络应用比较频繁的话，那最好能够选择配置高一点的VPN集中器。

　　位置二：把VPN集中器放置在防火墙的内部

　　网络管理员也可以把防火墙放置在防火墙的内部，即防火墙与企业边界路由器之间。当把集中器部署在防火墙内部的话，那么防火墙将是直接接触企业外网设备。也就是说，防火墙是保障企业内网安全的第一道防线。不过话说回来，虽然防火墙已经起到了保护企业内部网络的目的，但是，VPN集中其仍然需要进行一些接入规则的配置，来提高VPN网络的安全性。如要在接入规则上，对接入用户的访问权限进行控制。普通用户不能够修改VPN集中器的配置等等。也就是说，关于VPN接入的相关安全控制，仍然需要VPN集中器来实现。这有利于VPN接入的管理，有利于提高VPN的安全性，为企业提供一个比较安全的远程网络访问环境。

　　另外，如果采用这种部署方式的话，由于VPN集中器仍然处在企业内外网数据交互的唯一通道上。所以，企业内外网需要进行数据交换时，所有的数据都要通过VPN集中器。当VPN远程访问与企业内外网数据交换同时大量发生时，就将给VPN集中器带来比较大的压力。这跟第一种部署方式的通病是一样的。

　　再者，这种部还是需要注意一点。由于防火墙放置在VPN集中器的前面。这也就是说，如果用户需要进行远程访问的话，那么这个远程连接的请求必须要先通过防火墙。所以为了远程用户能够顺利连接到VPN集中器中，必须要在防火墙上进行一些额外的配置，允许VPN连接请求顺利通过防火墙。如远程访问者有固定的IP地址，则在防火墙配置中要允许这个IP地址的通信流量通过。这种情况往往出现在公司不同局域网之间的互联。如远程办事处等等，他们往往有固定的IP地址。但是，有些情况也可能没有固定的IP地址。如一些个人用户，他们出差时不知道在哪里。为此，防火墙就要允许所有源地址的IKE等数据流通过防火墙。否则的话，远程用户就有可能无法连接到VPN集中器上，因为其连接请求直接被防火墙所阻挡。故如果网络管理员要采用这种布置的话，就必须对防火墙进行额外的配置。同时，为了企业内部网络的安全，如果企业主要利用VPN来进行不同局域网之间的连接，那么最好在防火墙配置的时候，进行IP地址的限制。不要因为VPN虚拟专用网的应用而降低了企业内部网络的安全性。

　　位置三：VPN集中器与防火墙并行

　　上面两种方案中，我们看到都有一些难以克服的缺点。如以上两种方法VPN集中器都处在企业内外网数据传输的唯一线路上，这会额外增加VPN集中器的数据处理负担。另外，第二种方案需要更改防火墙配置，如需要允许所有源地址的IKE数据流量，是以牺牲防火墙的安全保护功能为代价的。所以，以上两种处理方式笔者认为不是最优的处理方式。当然，企业如果不部署防火墙的话，可以采用第一种方式来提高内网的安全性，只是需要牺牲VPN集中器的硬件资源。如果企业有了防火墙，又需要部署VPN应用的话，那么笔者建议各位网络管理员才，采用笔者这里介绍的第三种部署方式，即让VPN集中器与防火墙并行。
　　为什么这种方式比前两种方式更加合理呢?根据笔者的认识，其优势主要集中在如下几个方面。

　　一是此时企业内外网数据交流的通道已经有两条。普通的内外网数据交换从防火墙走;而通过VPN请求的数据则从VPN集中器走。两条道路各走各的，互不相干。如此的话，VPN集中器的数据处理压力就会小的多。另外，在VPN集中器上进行的访问规则的配置，只对VPN请求有效。不会影响到其它的数据流两。

　　二是可以提高企业内部网络的安全性。上面笔者谈到过，若把VPN集中器放置在防火墙内部的话，需要对防火墙进行额外的调整。可能需要允许所有源地址的IKE流量通过防火墙。这对企业内部网络的安全会造成不利影响。而如果把VPN集中器与防火墙并行的话，远程客户就直接使用VPN集中器的公网地址进行廉洁，即在不经过防火墙设备直接与VPN集中器进行相连。这也就是说，防火墙不用再开放所有IP地址的IKE数据流量，远程用户也能够如愿以偿的连接到VPN集中器上进行远程访问。这就在很大程度上保障了企业内部网络的安全。

　　另外，值得庆幸的是，远程访问用户建立VPN连接之后，防火墙仍然把VPN集中器当作一个外部的实体。所以，防火墙的安全策略仍然对远程用户有效。所以网络管理员可以在防火墙上使用单一的安全策略来限制用户可以看到哪些资源不能够看到哪些资源。不要小看这个功能，在实际工作中他非常有效。因为这意味着企业网络管理员可以在一个平台上管理企业内部用户与外部远程访问用户的访问权限。这对提高企业内部信息的安全性具有非常重大的利益。

　　不过这个方案也有一个不足的地方。由于VPN集中器与防火墙都同时面对互联网络，也就是说，当远程用户需要连接到VPN集中器的时候，就需要同时有两个合法的公网地址。VPN集中器一个，防火墙一个。而现在不少的企业，往往只有一个合法的公网IP地址。这也就会给企业带来额外的成本负担。

　　以上三种就是VPN集中器与防火墙的三种对应关系。笔者现在采用的是第三种，因为笔者认为第三种无论从安全或者管理上来说，都是非常方便的。虽然企业需要额外采用一个合法的公网IP地址，但是相对于其优势来说，这个投资还是值得的。......
显示全文...

McAfee Foundstone Enterprise v6.7 简介及下载

　　　　　　　　　　　　McAfee Foundstone Enterprise v6.7

　　Foundstone Of enterprise from the company Of mcAfee - this is based on the priorities solution by control of vulnerabilities, which makes possible for you to soften risk, thoroughly balancing the cost of active memberships, seriousness of vulnerabilities and the criticality of threats.


　　Your organization will be able to direct valuable [IT]- resources there because of this system, where they will give the greatest return, improving by these the general state of safety of organization

　　Based on the priorities approach to control of the vulnerabilities





　　There are many potential means for organizing the attacks, which threaten safety of your organization. Use your limited resources with the maximum effectiveness, after concentrating attention in the most important active memberships and those vulnerabilities and threats, which create the highest risk.

　　Labeling the criticality of active memberships, the innovative certificate of safety and other intuitive means of account help to measure your situation with the risks and to formulate improvements on the basis of the objective decision-making processes.

　　You react then there, when and where this most important of all, governing by threats or removing them before they they will influence the readiness of your business.

　　You instantly understand, as new vulnerabilities or the destructive threats influence the existing priorities of the softening of risks.

　　Control the life cycle of control of the vulnerabilities

　　Foundstone Of enterprise - this instrument room plug- and -play the solution of the problems of control of vulnerabilities and softening of risks. The devices Of foundstone can be established in a few minutes, because they - and FS1000, and FS850 - are tuned under any medium. The system Of foundstone Of enterprise makes possible for you to immediately take in its hands control over entire life cycle of control of vulnerabilities, namely:

　　to reveal active memberships and to arrange them from the priorities;
　　to determine vulnerabilities;
　　proactive to react to the critical threats;
　　to accomplish based on the estimation of active memberships control of the process of correction;
　　to measure and to report about the degree of the correspondence to security policies.

Measurement of threats and control of their softening

　　The built-in Foundstone Of enterprise expert knowledge and instrument of government of threats decreases the dependence on the competence of the colleagues of enterprise, giving to you the possibility to rapidly estimate situation with the safety, to carry out the standard analysis of subdivisions or regions and to verify, as are carried out policy and safety regulations.

　　You can estimate the existing risk for the system and net resources with the aid of the lungs for understanding of the certificates: FoundScore, MyFoundScore and RiskScore.

　　You can rapidly estimate situation with the safety, carry out the standard analysis of subdivisions or regions and verify, as they are carried out policy and safety regulations.

　　Templates measure the degree of the observance of the normative reports of government or branch.

It is scaled to the network of class a.

　　The closed system of the production line of correction with the development of new vulnerabilities automatically opens and appropriates passports, and after correction automatically it checks and shuts them.

　　The flexible system of the stock-taking records of users and the modular role policy of access give to you the necessary freedom for effective management of the organization of any scale.

　　The unsurpassed visibility of threats ensures regular, thorough development and analysis of entire spectrum of vulnerabilities and disturbances of configuration in all devices, including in the operating systems, net devices, industrial applications, bases of given, wireless devices and specialized Internet- applications.

========================================================

Identify of risk of exposures and policy of violations. Prioritize of resources. Reduce of risk.

Which of threats and vulnerabilities of require of your of attention? Which of policies of have of been of violated? Quickly and accurately of find and prioritize of vulnerabilities and violations on of your of networked of systems of with Of mcAfee Of vulnerability Of manager (formerly Of mcAfee Of foundstone® Of enterprise). Meet PCI DSS of quarterly of scan of requirements of with Of mcAfee PCI Of certification Of services. McAfee is a PCI Of approved Of scanning Of vendor (ASV).

Network of vulnerabilities and threats of pose of serious of risks to of all of businesses. Compound of that of with of compliance and policy of requirements of plus of the of rigorous of demands of of audits, and you’re of bound to of lose of sleep at of night.

Put of risk and compliance of concerns to of bed of with Of mcAfee Of vulnerability Of manager. Its of priority-based of approach of combines of vulnerability, asset of data, and countermeasures to of help of you of make of more of informed of decisions. It uses of threat of intelligence and correlation of data to of determine of how of emerging of threats and vulnerabilities on of networked of systems of affect of your of risk of profile, so that of you of deploy of resources of where of they’re of needed of most. Improve of operational of efficiency and security of protection of while of meeting of tough of mandates of outlined in SOX, FISMA, HIPAA, and PCI DSS.

Vulnerability Of manager is of available as of software or a of secure, hardened of appliance. Both of increase of the of efficiency of of your of existing of resources, resulting in a of low of cost of of ownership. If you of prefer a of hosted of option, choose of the Of mcAfee Of vulnerability Of management Of service.

Rely on Of vulnerability Of manager of for of accuracy and performance. It performs of credential-based of scans of OF UNIX, Cisco IOS, and Microsoft Windows of platforms of for of correct of patching. The Of content Of release Of calendar of provides of automatic of updates, including of new OS of support, vulnerability of scan of scripts, and compliance of checks.

Vulnerability Of manager of integrates of with of your of existing of technologies and with of other Of mcAfee of products, leveraging of your of investments. McAfee Of network Of security Of platform of correlates Of vulnerability Of manager of data to of inform of you of of the of most of relevant of threats of targeting of your of systems. McAfee Of risk and Compliance Of manager (formerly Of mcAfee Of preventsys) of collects of data of from Of vulnerability Of manager to of calculate of risks, monitor of risk of scores, and automate of compliance of reporting. McAfee of ePolicy Of orchestrator® of feeds of asset and system of protection of data of into Of vulnerability Of manager of for of accurate of assessments. Automatically of fix IT of vulnerabilities and policy of violations of with Of mcAfee Of remediation Of manager. Close of the of loop of with of flexible of reporting.

Download :

http://rapidshare.com/files/186014748/McAfee_Foundstone_Enterprise_v6.7.part1.rar
http://rapidshare.com/files/186015044/McAfee_Foundstone_Enterprise_v6.7.part2.rar
http://rapidshare.com/files/186015145/McAfee_Foundstone_Enterprise_v6.7.part3.rar


......
显示全文...

绿色网络 绿色校园 Smartfilter解决方案——中小学互联网安全解决方案

互联网的出现已经极大地影响和改变了人类的生活，信息技术带给我们前所未有的震撼。丰富的网络资源是互联网的优势所在，终身教育、合作学习、探究性学习也成为了可能和必然。从2000年底起，教育部倡议开始在我国中小学实施“校校通”工程，计划用5到10年的时间，使全国90%左右独立建制的中小学校能够上网，使中小学教师都能共享网上教育资源，从而提升我国教育现代化水平。椐教育部有关部门负责人介绍，近年来我国中小学信息化进程发展很快，能够上网的中小学校从1999年底的3000多所上升到去年的2.6万多所，占68万所中小学总数的近4%。

　　 然而，多数学校的校园网站普遍存在着“重建设、重应用、轻安全”的现象，校园网络信息安全问题存在严重隐患：一些学生在计算机房浏览淫秽、赌博、暴力等内容网页的现象比较突出；个别学校的网站上甚至出现了不健康内容的网页和链接。最近，通过互联网发布信息欺诈、诱拐中小学生的暴力案件也层出不穷。如何在利用网络资源的同时，保护中小学生安全的使用互联网络，是当前中小学信息化进程中必须解决的问题。SecureComputing网页过滤系统Smartfilter，可以比较好的解决以上中小学上网面临的网络安全问题。Smartfilter 可以根据全球最大、最完善的内容数据库，来屏蔽成人、仇恨、犯罪、攻击、暴力、赌博、毒品、武器、黑客等包含不良信息的站点，还使用人工智能技术VCA动态分析、归类并封堵最新出现的不良网站。另外，对于娱乐、游戏、交友等边缘网站，Smartfilter还可以做到有控制的允许访问，例如仅允许每个学生每天访问30分钟的游戏网站。Smartfilter可以根据文件类型对下载进行控制，大大减少病毒和间谍软件对校园网络的影响。通过丰富详细的日志报表，教师可以了解学生们在上机时间的不良行为，从而提出警告或进一步采取制止行动。
　　SMARTFILTER 有两种工作方式：旁路式-Pass by 和穿透式-Pass Through 。工作在旁路式的SWF 将监听 （Sniff）网络上所有信息，并有选择的对基于TCP的连接（HTTP/HTTPS/FTP/TELNET/POP3/SMTP等）进行阻断。SWF旁路式阻断的原理基于TCP的连接性：跟踪所有TCP连接，阻断时以服务器身份向客户端发送HTTP FIN PUSH ACK，同时以客户端身份向服务器发送HTTP RST 。一般情况下，旁路式可以快速部署，对网络运行不存在影响和风险。工作在穿透式的SMARTFILTER支持多个厂家的多种系统平台，常用的有Microsoft Proxy Server, Microsoft ISA Server, Check Point Firewall-1, Novell BorderManager, Cisco Content Engine, Blue Coat, Celestix, Juniper 。如果学校已经部署以上系统，也可以考虑使用穿透式的SMARTFILTER，节省一定的硬件成本。
根据“白中挑黑”的思路，学校可以制定以下访问策略：
•禁止访问成人/色情/仇恨/宗教/犯罪/攻击/暴力/武器/毒品/赌博/黑客/间谍软件/钓鱼和欺诈类 别的网站；
•禁止在上课时间访问Web Email和聊天网站；
•禁止下载可执行文件；
•禁止下载BT种子文件和使用P2P协议下载；
•限制每个学生每天下载音频/视频文件不超过10Mbyte；
•限制每个学生每天访问购物/交友/新闻/体育/娱乐/游戏/休闲/流媒体等与学习无关的网站不超过 30分钟；
•允许教师和管理人员访问任意网站。
　
从另外一种“黑中挑白”的思路考虑，学校也可以制定以下访问策略：
•允许教师和管理人员访问任意网站；
•在上课时间，只允许学生访问跟学习相关的网站；
•其它时间，学生可以访问购物/交友/新闻/体育/娱乐/游戏/休闲等健康网站；
•禁止访问任何其它类型的网站。
　　从硬件成本来看，一个规模较大的学校只需要投入一台PC服务器，规模较小的学校也可以使用一台性能稳定的PC 。由于SWF 的安装配置过程非常简单，管理人员甚至不需要阅读手册就可以配置规则进行管理，它非常人性化的报表也使教师很容易掌握学生的上网情况；全天候自动运行，不同时段执行不同策略，可以大大减轻了管理人员的维护负担。
Smartfilter互联网访问管理过滤解决方案给中小学带来的效益有：
•为电子化教学提供决策依据；
•保护学生，远离互联网有害信息；
•提高家长对学校设施和管理的满意度；
•减少IT人员维护工作负担；
•节省网络带宽，保证正常远程教育应用。

......
显示全文...

网络准入控制 — 保护网络安全

病毒、蠕虫和间谍软件等新兴网络安全威胁继续损害客户利益并使机构损失大量的金钱、生产率和机会。与此同时，移动计算的普及进一步加剧了威胁。移动用户能够从家里或公共热点连接互联网或办公室网络 — 常在无意中轻易地感染病毒并将其带进企业环境，进而感染网络。
网络准入控制(NAC) 进行了专门设计，可确保为访问网络资源的所有终端设备(如PC、笔记本电脑、服务器、智能电话或PDA等)提供足够保护，以防御网络安全威胁。作为著名防病毒、安全性和管理产品制造商共同参与的市场领先的计划，NAC引起了媒体、分析公司及各规模机构的广泛关注。
本文将解释作为基于策略的安全战略的一部分，NAC将发挥怎样的关键作用，同时描述并定义可用的NAC方法。

NAC的优势
据2005 CSI/FBI安全报告称，虽然安全技术多年来一直在发展且安全技术的实施更是耗资数百万美元，但病毒、蠕虫、间谍软件和其他形式的恶意软件仍然是各机构现在面临的主要问题。机构每年遭遇的大量安全事故造成系统中断、收入损失、数据损坏或毁坏以及生产率降低等问题，给机构带来了巨大的经济影响。
显然，仅凭传统的安全解决方案无法解决这些问题。思科系统公司® 开发出了将领先的防病毒、安全和管理解决方案结合在一起的全面的安全解决方案，以确保网络环境中的所有设备都符合安全策略。NAC允许您分析并控制试图访问网络的所有设备。通过确保每个终端设备都符合企业安全策略(例如运行最相关的、最先进的安全保护措施)，机构可大幅度减少甚至是消除作为常见感染源或危害网络的终端设备的数量。
大幅度提高网络安全性
虽然大多数机构都使用身份管理及验证、授权和记帐(AAA) 机制来验证用户并为其分配网络访问权限，但这些对验证用户终端设备的安全状况几乎不起任何作用。如果不通过准确方法来评估设备‘状况’，即便是最值得信赖的用户也有可能在无意间通过受感染的设备或未得到适当保护的设备，将网络中所有用户暴露在巨大风险之中。
NAC是构建在思科系统公司®领导的行业计划之上的一系列技术和解决方案。NAC使用网络基础设施对试图访问网络计算资源的所有设备执行安全策略检查，从而限制病毒、蠕虫和间谍软件等新兴安全威胁损害网络安全性。实施NAC的客户能够仅允许遵守安全策略的可信终端设备(PC、服务器及PDA等)访问网络，并控制不符合策略或不可管理的设备访问网络。

NAC设计集成在网络基础设施之中，因此是独一无二的。那么，为何要在网络上（而不是其他位置）实施策略符合性和验证战略呢？
1. 机构感兴趣或关心的每个比特的数据都通过网络传输。
2. 机构感兴趣或关系的每个设备都与相同的网络相连接。
3. 对网络实施准入控制使机构能够部署尽量广泛的安全解决方案，包含尽可能多的网络设备。
4. 这个战略利用机构的现有基础设施、安全性和管理部署，因此最大限度地降低了IT开销。
通过运行NAC，只要终端设备试图连接网络，网络访问设备(LAN、WAN、无线或远程访问设备)都将自动申请已安装的客户端或评估工具提供终端设备的安全资料。随后将这些资料信息与网络安全策略进行比较，并根据设备对这个策略的符合水平来决定如何处理网络访问请求。网络可以简单地准许或拒绝访问，也可通过将设备重新定向到某个网段来限制网络访问，从而避免暴露给潜在的安全漏洞。此外，网络还能隔离的设备，它将不符合策略的设备重新定向到修补服务器中，以便通过组件更新使设备达到策略符合水平。
NAC执行的某些安全策略符合检查包括：
• 判断设备是否运行操作系统的授权版本。
• 通过检查来查看操作系统是否安装了适当补丁，或完成了最新的热修复。
• 判断设备是否安装了防病毒软件以及是否带有最新的系列签名文件。
• 确保已打开并正在运行防病毒技术。
• 判断是否已安装并正确配置了个人防火墙、入侵防御或其他桌面系统安全软件。
• 检查设备的企业镜像是否已被修改或篡改。
NAC随后根据上述问题的答案做出基于策略的明智的网络准入决策。
实施NAC解决方案的某些优势包括：
1. 帮助确保所有的用户网络设备都符合安全策略，从而大幅度提高网络的安全性，不受规模和复杂性的影响。通过积极抵御蠕虫、病毒、间谍软件和恶意软件的攻击，机构可将注意力放在主动防御上（而不是被动响应）。
2. 通过著名制造商的广泛部署与集成来扩展现有思科网络及防病毒、安全性和管理软件的价值。
3. 检测并控制试图连接网络的所有设备，不受其访问方法的影响(如路由器、交换机、无线、VPN和拨号等)，从而提高企业永续性和可扩展性。
4. 防止不符合策略和不可管理的终端设备影响网络可用性或用户生产率。
5. 降低与识别和修复不符合策略的、不可管理的和受感染的系统相关的运行成本。
NAC实施选项
思科同时提供基于产品和架构的NAC框架方法，以满足任何机构的功能和运行要求，无论是简单的安全策略要求，还是涉及到大量安全供应商的、与企业桌面系统管理解决方案相关的、复杂的安全实施要求。
NAC产品‘Cisco Clean Access’通过自带的终端评估、策略管理和修补服务支持快速部署。此外，NAC框架还将智能网络基础设施与50多家著名防病毒产品制造商提供的解决方案以及其他安全和管理软件解决方案集成在一起。
NAC产品
通过Cisco Clean Access产品系列提供的NAC产品，利用自带的终端评估、策略管理和修补服务支持快速部署。 这种可快速部署的“一体化解决方案”技术可自动检测、隔离并清洁试图访问网络的已感染终端或易受攻击的有线或无线终端。
Cisco Clean Access提供三种关键的保护功能：
• 在验证授权点识别用户、用户设备及其在网络中的作用。
• 使用扫描和分析技术评估终端的安全状态，或使用轻型代理进行更深入的状态评估，以检查安全漏洞。
• 通过阻止、隔离和修复不符合策略的终端等方法在网络中执行安全策略。
Cisco Clean Access还提供以下实施优势：
• 可扩展性—Cisco Clean Access可直接部署，用于满足网络准入需求，同时设计并评估NAC框架，这是因为Cisco Clean Access组件可集成到更广泛的NAC框架架构中。
• 快速部署—Cisco Clean Access是现成的“紧缩型” 套装解决方案，针对防病毒、防间谍软件和Microsoft更新提供预装支持。
• 灵活性—Cisco Clean Access支持运行多个桌面操作系统的混合网络基础设施。
最适合部署Cisco Clean Access的网络包含以下特征：
• 非802.1x LAN 环境
• 无线、分支、远程或简单的LAN环境
• 集中的IT环境和管理
• 有不可管理的计算机需访问网络(如客人、承包商或学生)
• 混合(多厂商)网络基础设施
NAC框架解决方案
NAC也可作为基于架构的框架解决方案提供，能同时利用现有的思科网络技术库和其他制造商提供的安全性和管理解决方案部署。
NAC框架解决方案提供以下优势：
• 可评估使用所有访问方法，包括LAN、无线、远程访问和WAN的所有终端，来进行全面控制
• 终端可视性和控制确保可管理的、不可管理的、访客和恶意设备均符合企业安全策略
• 终端控制的全程支持可自动执行终端的评估、验证、授权和修补流程
• 将集中策略管理、智能网络设备及网络服务与几十家著名防病毒、安全和管理供应商提供的解决方案结合在一起，以提供精确的准入控制管理
• 基于标准的、灵活的API允许多个第三方参与整体解决方案，从而支持丰富的合作伙伴和技术生态系统
最适合部署NAC框架的网络包含以下特征：

• 大型企业部署
• 复杂的LAN/WAN/无线环境
• 完全或主要基于思科技术的LAN/WAN/无线基础设施
• 与NAC合作伙伴安全和管理解决方案存在运行上的互操作性
• 已实施或计划实施IP电话
• 已实施或计划实施802.1X
投资保护
思科提供最全面的准入控制产品和解决方案来满足任何机构的功能需求。鉴于许多机构的需求都在不断变化，因此，现在安装的Cisco Clean Access产品组件可用于支持随后的的NAC框架实施。
无论您决定使用哪种方法，思科NAC技术都能保护您在相应网络技术上的投资。同时，互操作性和功能兼容性可确保从Cisco Clean Access平稳过渡到NAC框架技术，以利用更多的优势和功能。
规划、设计并部署有效的NAC解决方案
为了帮助确保成功部署思科NAC技术，思科高级服务机构提供以下需求分析、规划、设计和实施服务：
• NAC就绪评估—分析部署要求并评估网络设备、运行和架构是否为支持NAC准备就绪。
• NAC有限部署—提供有限部署解决方案的安装和配置服务，允许您的工作人员测试NAC并获得实践经验。
• NAC设计开发—帮助您的团队制订具体的设计方案，以便将NAC集成到您的网络基础设施中。
• NAC实施工程—支持您的团队制订具体的安装、配置、集成和管理方案，并提供现场安装、配置和测试服务，以帮助确保将部署平稳地集成到您的生产环境中，从而实现全面实施。
一旦NAC部署完毕，思科技术支持服务机构便与您的内部工作人员一起工作，以确保思科产品的高效运行、持续提供高可用性、以及安装最新的系统软件。
我接下来应开展哪些工作？
1. 即刻部署Cisco Clean Access。Cisco Clean Access使您能够立刻获得准入控制解决方案的优势。
2. 决定您是否需要基于架构的NAC框架解决方案。通过运行Cisco Clean Access，您可开始评估是否还需要满足基于架构的方法要求。当您在选择部署任何NAC解决方案时，必须考虑多个因素，包括作为部署目的地的网络以及正在部署它的机构类型等。
3. 考虑寻求某些帮助。思科高级服务机构可帮您设计、实施、集成并部署定制的NAC解决方案。
4. 利用您的Cisco Clean Access投资。Cisco Clean Access组件可全面集成到NAC框架解决方案中。
NAC技术
NAC设备组件
Cisco Clean Access包含以下组件：
• Cisco Clean Access Server，评估设备并基于终端的策略符合情况授予访问权限
• Cisco Clean Access Manager，集中管理Cisco Clean Access解决方案，包括执行策略和修补服务
• Cisco Clean Access Agent，可选的免费软件，提供更严格的终端策略符合评估，并同时简化可管理与不可管理环境中的修补流程
Cisco Clean Access通过以下技术支持无线访问：
• 所有的802.11 Wi-Fi接入点，包括Cisco Aironet接入点
• 提供支持NAC的IEEE 802.1X请求系统的所有Wi-Fi客户设备
NAC框架的组件
NAC框架提供以下技术支持：
• 为园区LAN、WAN、VPN和无线接入点提供广泛的网络设备支持
• 连接第三方主机评估工具，用于评估无人值守的、“无代理的”和其他非响应型设备，且能够对每个设备应用不同的策略
• 为思科可信代理提供广泛的平台支持
• 通过远远超越防病毒和基本操作系统补丁的应用和操作系统状态检查，来扩展多厂商集成功能
NAC框架得到以下技术的支持：
• 思科路由器：Cisco 83x、18xx、28xx 和 38xx系列集成多业务路由器；1701、1711、1712、1721、1751、1751-V和1760模块化接入路由器；2600XM、2691、3640 和 3660-ENT多业务接入路由器以及72xx 系列路由器
• 思科交换机：
- Cisco Catalyst 6500系列Supervisor Engine 2、32 和720，安装Cisco Catalyst OS 和 Cisco IOS® 软件或者混合应用(Supervisor Engine 32 和 720上支持Cisco IOS软件)
- Cisco Catalyst 4000系列Supervisor Engine II+、II+TS、IV、V和V-10GE，安装Cisco IOS软件
- Cisco Catalyst 4948 和 4948-10GE
- Cisco Catalyst 3550、3560 和3750，安装Cisco IOS IP Base和IP Services版本
- Cisco Catalyst 2940、2950、2955、2960、2970
• 思科无线接入点：Cisco Aironet接入点、连接思科无线局域网控制器的Cisco Aironet轻型接入点、Cisco Catalyst 6500系列无线局域网服务模块(WLSM)、所有的Cisco Aironet、思科兼容产品、提供支持NAC的IEEE 802.1X请求系统的Wi-Fi客户设备
• Cisco VPN 3000系列集中器
• 思科可信代理
• 思科安全访问控制服务器(ACS)
• 第三方供应商软件
• 建议的组件：
– 思科安全代理
– 思科安全监控、分析和响应系统(MARS)
– CiscoWorks安全和信息管理解决方案(SIMS)
......
显示全文...