实例:网络访问控制帮助航空公司减少安全风险

作者: Andrew R. Hickey 出处:itccna.com　2008-03-07 16:35　   砖    好    评论  条 　进入论坛

阅读提示：航空航天业是一个管理非常严格的行业。与政府和美国航天局合作意味着许多检查和权衡。EADS Astrium北美公司知道这一切。这个网络包含不能和不应该被任何人访问的敏感数据。但是其它公司的客户、承包商和访问者也要能够访问这个网络。

航空航天业是一个管理非常严格的行业。与政府和美国航天局合作意味着许多检查和权衡。

EADS Astrium北美公司知道这一切。这个网络包含不能和不应该被任何人访问的敏感数据。但是其它公司的客户、承包商和访问者也要能够访问这个网络。

该公司商务管理经理George Owoc说，我们必须要对无权访问的人隔离这个网络中的数据。

最近，欧洲航天公司EADS的子公司EADS Astrium在一个测试环境中推出了Lockdown公司的“Enforcer NAC”(NAC，网络访问控制)设备。

Owoc介绍说，这种标准的设备能够根据一套灵活的参数强制限定对网络的访问。你可以根据端口位置、安装的软件、应用程序、重要的更新和补丁等参数批准或者拒绝访问。然而，这个产品最大的优点是Enforcer能够根据活动目录中的身份批准或者拒绝访问。

在保密的区域，只有某些组能够根据身份进入子网。为了交换和查看那个区域的数据，访问这个区域的任何人都要获得批准。遵守认证要求的需求推动了NAC解决方案的产生。

Owoc半开玩笑地说，这基本上可以使人不至于因为犯这种错误而蹲监狱。他补充说，允许任何人访问这个许可证可能会影响你未来保护这种许可证安全的能力。

其他获得批准访问这个网络的人将被放到一个单独的虚拟局域网。客人和访问者都被一起放到一个不同的虚拟局域网中。这个虚拟局域网与饭店中的网络相似。在那种网络中，你可以访问互联网，但是，不能访问其它应用程序。

Owoc说，我们依靠虚拟局域网控制那种访问。这与思科的NAC在功能上非常相似。对于我们来说，这是一个一站式的解决方案。

Owoc表示，在把Enforcer应用到测试环境中之前，他的公司使用过Lockdown公司的Auditor。但是，那个产品不能集成活动目录。在那个时候，如果一位客户要访问的话，Owoc必须亲自去那里批准这个访问。

Owoc说，如果我不在那里，他们如何获得访问权限呢?现在，这种事情可以放手了。我不需要到那里监视那些人了。

Owoc解释说，对于本地用户来说，NAC解决方案是不可见的。只有在他们进行身份识别的时候才会启动这个解决方案。客人和访问者都被放到一个“饭店”网络。由于这是基于身份识别的，因此，用户插入哪一个端口都没有关系。这样就完全自动化了。我不必担心谁插入了哪一个端口。

使用Enforcer产品引起了人们对于试验Lockdown公司未来的产品iNAC的兴趣。Owoc说，使用iNAC设备，不会因为设置错误或者缺少补丁或者病毒等问题封锁一个用户访问这个网络，这个系统将向这台机器发出更新程序。他说，我不用关闭这些机器，我可以强制它们进行升级。

据Lockdown公司称，iNAC解决方案还可以同Enterasys公司的Dragon和Sentinel安全设备集成在一起，以及同Patchlink公司的安全设备结合在一起。Owoc表示，一旦EADS Astrium北美公司获得和应用iNAC设备，他将把这种设备与Patchlink公司的产品结合在一起。

据Lockdown公司负责市场营销的副总裁Dan Clark说，Enforcer与第三方厂商的产品结合在一起增强了一级安全并且实现了许多应用程序之间的双向通讯的自动化。

Clark表示，在Lockdown计划与Enterasys、IBM、英特尔和微软的解决方案结合在一起的同时，Patchlink公司的这两种产品又对NAC系统增加了额外的检查。

当与Patchlink的产品结合在一起的时候，Enforcer检查并要求Patchlink提供一个补丁。这个补丁将自动更新设备。在更新之后，这个设备将放回网络之中。