统一接入控制（UAC）部署指南

企业网络的安全内患

在信息高速传递的现代工业社会，企业无可避免要利用公司网络来连结员工、伙伴、客户和供货商以传递高度敏感的资料和数据，万一网络被恶意程序入侵，则可能令企业停止运作，或者令机密数据被黑客窃取，造成重大损失。

一直以来，企业面对的攻击主要来自网络外部，因此企业都十分着重搭建防御外在威胁的安全架构，例如部署防火墙和入侵侦测系统；但现今的间谍软件等恶意程序能够先通过互联网感染企业用户的流动设备，然后当这些用户登入企业网络时，便在企业内部网络进行档案破坏或密码破解等动作，再将企业内部信息传送到外界。这种攻击模式已经十分流行，因此，完善企业网络安全的关键，除了对外联信息要进行管制之外，还要加强对内联信息传递的监管，应该从每一个使用者连接到网络的那一刻开始，进行彻底的统一接入控制 (Unified Access Control)，对于登入企业网络及使用网络者进行最全面的安全监控。

部署统一接入控制的考虑因素

统一接入控制可以分成三个层面，除了监控使用者能否连接网络之外，接下来要监控使用者在网络上的行为，让其符合公司的安全规范，最后一个部份则是分层管理，也就是针对使用者不同的身份及角色，实施不同的网络监控政策，使不同部门有不同的权限要求与保障。

UAC功完善，但因为涉及重要的安全问题，加上配置和管理工作的重要性也不容忽视，因此企业需要周全计划，以及慎重地选择适当的UAC方案。部署统一接入控制应当考虑的方面应该包括：

1. 周全性
完善的UAC方案应可根据不同的准则来订出存取操控决策，包括设备的完整性、用户身份及设备的地点。不同的用户可能会于不同地点以不同的设备登入网络，所以UAC方案要能够对应各种可能会出现的网络存取情况，以及随时监控已登入的端点设备及用户，并更新其存取权限，并向管理人员提供其相关信息。

2. 对应日后扩展需要
理想的UAC方案应该要有灵活和扩展能力，以应对日后的发展需要，例如企业可能会扩展其网络基建以接纳更大量用户和端点设备，用户亦可能会在日后采用全新的硬件设备、网络接入方式和应用程序。好的UAC方案应该可以提供各种不同的配置选项，以对应硬件、网络技术、应用软件甚至存取操控政策方面的改变。

3. 开放式标准
UAC方案应该尽量采用符合业界标准的开放式规格，例如 TCG建议的 Trusted Network Connect标准，才能够确保与客户端安全软件、防火墙、IDS/IPS、身份认证基及政策储存目录等现有的安全方案互相配合，同时确保可以对应日后推出的方案，以及简化安装、维护、更新和管理等各方面的程序和降低成本。

4. 简化管理和报告功能
除了最重要的安全功能外，UAC方案最好还应当具有易于管理和方便用户产生详尽报告等优点，这样有助企业减低成本、遵守法规需求，和让管理人员充分了解网络管理人员和安全状况。

5. 配置及管理成本
为降低成本，考虑UAC的时候，企业还需要计算其配置选项的灵活性、操作方便程度及管理存取控制政策时所动用的资源。与之有关的准则包括：其架构是否采用开放式标准以方便管理和整体管理，以及配置成本能否分阶段建立等。

在综合考虑了以上各方面因素之后，企业才可以部署合理的统一接入控制方案，从而实现对于来自企业内部网络的安全问题的防范与管理，并且对于内部信息存取动作与权限进行有效监管。