2012年中NAC（網(wǎng)絡(luò)準(zhǔn)入控制）行業(yè)盤點(diǎn)

　　技術(shù)篇：

　　您看到“亞安全”了嗎？

　　內(nèi)部網(wǎng)絡(luò)“亞安全”問題無疑是上半年的安全市場(chǎng)主角。邊界無法管控、不清楚多少用戶接入內(nèi)網(wǎng)，無法驗(yàn)證接入設(shè)備安全性均是“亞安全”的矛頭所指。在2012年4月舉辦的政府機(jī)關(guān)及企事業(yè)單位信息安全論壇上，以“邊界”、“人員”、“設(shè)備”3因素為突出表象的內(nèi)網(wǎng)“亞安全”論辯成為會(huì)議主題，在全部10家參會(huì)的安全廠商中，涉及到以網(wǎng)絡(luò)準(zhǔn)入控制解決“亞安全”難題的演講就占到了4席，更是有2個(gè)完全以準(zhǔn)入控制為主題的演講，足見NAC在機(jī)構(gòu)“亞安全”大環(huán)境下的影響力——在2012的上半年，網(wǎng)絡(luò)準(zhǔn)入控制的安全大旗就已經(jīng)成為了行業(yè)的焦點(diǎn)所在。

　　醫(yī)療機(jī)構(gòu)，請(qǐng)療治您的內(nèi)網(wǎng)

　　2012年1月，美國加州羅馬琳達(dá)大學(xué)醫(yī)學(xué)中心(LLUMC)對(duì)外宣稱，其機(jī)構(gòu)一名前雇員利用未消除的身份賬號(hào)潛入醫(yī)院數(shù)據(jù)中心，累計(jì)竊取了1336例患者的病歷，其中包括了病人的姓名，地址，出生日期，駕駛執(zhí)照，醫(yī)療記錄號(hào)碼，社會(huì)安全號(hào)碼等信息。無獨(dú)有偶，2012年5月，浙江省溫州市多家醫(yī)院的信息系統(tǒng)從內(nèi)部被黑客入侵，共18家醫(yī)院的醫(yī)藥信息被非法竊取。

　　在上半年頻發(fā)于醫(yī)療機(jī)構(gòu)的信息竊取事件中，焦點(diǎn)無非是后臺(tái)所存儲(chǔ)的大量的患者個(gè)人信息(公共賬號(hào))，以及藥品處方信息(參見2011年統(tǒng)方事件)。在醫(yī)療機(jī)構(gòu)外部邊界不斷加固的同時(shí)，內(nèi)網(wǎng)的混亂無序卻給了外賊無限的想象空間，甚至在溫州事件中我們看到，只需要通過一臺(tái)簡(jiǎn)單的無線路由設(shè)備就能夠進(jìn)入內(nèi)網(wǎng)，以上恐怕還僅僅是醫(yī)療衛(wèi)生機(jī)構(gòu)內(nèi)部安全問題的一個(gè)縮影。作為DLP體系首道關(guān)卡的網(wǎng)絡(luò)準(zhǔn)入控制，何時(shí)才能成為醫(yī)療單位的必備安全準(zhǔn)則，成為緩解醫(yī)患矛盾的另一方阿司匹林？

　　BYOD，我們來了

　　當(dāng)員工們不斷通過自己的設(shè)備接入工作場(chǎng)所的時(shí)候，我們仿佛看到了網(wǎng)絡(luò)管理者的滿面愁容。2012年5月，美國某州就削減州政府計(jì)算機(jī)資產(chǎn)進(jìn)行了辯論，鼓勵(lì)公務(wù)員攜帶自有計(jì)算機(jī)進(jìn)行遠(yuǎn)程辦公，從而為政府降低近40%的預(yù)算。而據(jù)2012舊金山RSA大會(huì)調(diào)研的結(jié)果，有四分之三的IT專業(yè)人士認(rèn)為，個(gè)人移動(dòng)設(shè)備將對(duì)其機(jī)構(gòu)所在網(wǎng)絡(luò)造成不可預(yù)估的風(fēng)險(xiǎn)，與此相對(duì)的是，其中只有39%的機(jī)構(gòu)具備對(duì)移動(dòng)設(shè)備必要的安全控制能力。

　　事實(shí)上，從2011的初露頭角，到2012的來勢(shì)洶洶，BYOD已經(jīng)越來越展現(xiàn)出其清晰的面孔，而不僅僅是一個(gè)停留在概念階段的趨勢(shì)。如果機(jī)構(gòu)沒有進(jìn)行適當(dāng)?shù)奶摂M化工作，那么可以預(yù)見的是越來越多的重要數(shù)據(jù)會(huì)意外地出現(xiàn)在某員工的iphone娛樂文件夾中，并在某個(gè)時(shí)間在貼吧中被板磚拍的一塌糊涂。

　　做為幫助機(jī)構(gòu)過渡到云計(jì)算與虛擬化的必備安全平臺(tái)，網(wǎng)絡(luò)準(zhǔn)入控制對(duì)BYOD的控制是很多機(jī)構(gòu)的管理者樂于看到的，通過控制個(gè)人的notebook、iphone、ipad、小米手機(jī)等移動(dòng)設(shè)備并引導(dǎo)到有限訪問區(qū)，準(zhǔn)入控制能夠提供區(qū)別于外來訪客與內(nèi)部計(jì)算機(jī)的“第三類區(qū)域”，這樣的安全保障將十分有助于管理者降低對(duì)于BYOD的恐懼感，并將注意力放到BYOD所帶來的費(fèi)用降低的收益中去。

　　無線不能“無限”

　　談到BYOD，一個(gè)避不開的話題就是無線網(wǎng)絡(luò)。由于傳統(tǒng)的觀念和安全手段所限，管理者對(duì)無線安全的專注度短期內(nèi)必定無法達(dá)到等同于有線網(wǎng)絡(luò)的強(qiáng)度，因此無線網(wǎng)絡(luò)更容易成為一個(gè)“無限”的蜜罐，成為最容易獲取資源的“潛規(guī)則”。

　　在SANSInstitute 2012年上半年對(duì)500名IT專業(yè)人員所做的一次調(diào)研中，只有9%的管理者對(duì)無線網(wǎng)絡(luò)中的移動(dòng)設(shè)備給予了充分的關(guān)注，而有14%的管理者完全不清楚在他們的無線網(wǎng)絡(luò)中到底接入了些什么，即便是UFO飛進(jìn)來了也無所謂。無線安全最前端的手段首推準(zhǔn)入控制，早在年初的一篇《2012網(wǎng)絡(luò)準(zhǔn)入控制行業(yè)5大趨勢(shì)預(yù)測(cè)》文章中就已經(jīng)提及這個(gè)趨勢(shì)，而面對(duì)目前無線網(wǎng)絡(luò)建設(shè)的發(fā)展，以及諸多省份智慧城市體系的建設(shè)，利用準(zhǔn)入控制樹立一個(gè)無線接入的有限訪問區(qū)必須成為行業(yè)的一個(gè)重要安全標(biāo)準(zhǔn)。

　　管理篇：

　　認(rèn)證“之前”的事情

　　認(rèn)證(Authentication)在3A(Authentication、Authorization、Accounting)中排行老大，也是最原始的安全手段，但當(dāng)我們埋下頭潛心研究技術(shù)的時(shí)候，為什么不抬起頭來熏陶一下管理的空氣？“Changing culture to be more risk-aware cannot be achieved overnight.”當(dāng)安全意識(shí)無法一蹴而就的時(shí)候，認(rèn)證能起到多大的安全效力是頗為可疑的。責(zé)任分離、最小權(quán)限、輪崗等管理性的安全法則如果能夠成為普通員工熟悉ukey前的職業(yè)道德圣經(jīng)，那么認(rèn)證也將升級(jí)成為審計(jì)的手段而非控制的工具。

　　“攻城為下，攻心為上”，當(dāng)我們覺得《孫子兵法》中老祖宗的思維在21世紀(jì)仍然不過時(shí)的時(shí)候，諸位做安全時(shí)請(qǐng)默念下面這句《準(zhǔn)入控制圣經(jīng)》中的名言：“技術(shù)為下，管理為上”。

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]