正在阅读：网络安全方面的六大紧迫问题网络安全方面的六大紧迫问题

　　五、NAC：你的防火墙够了吗？

　　网络访问控制（NAC）并不适合每个人，不过它是用于控制个人需要访问网络这种环境的一种宝贵工具。

　　NAC对于那些受到严格监管的公司来说很重要。NAC能够在允许端点连接到公司网络之前，先对其进行全面的检查；这种检查有助于公司让监管部门对自己放心：监管部门要求执行相关政策，确保端点配置符合要求。

　　大多数NAC平台不但能够执行这项功能，还能记录执行情况，众多法规要求做到这一点，比如支付卡行业（PCI）的标准以及《健康保险可携性及责任性法案》（HIPAA）。

　　据Gartner声称，NAC特别擅于处理的一个问题就是对访客用户进行审查。Gartner的分析师Lawrence Orans在报告中说：“计划部署NAC的Gartner客户大多数声称，首先考虑的第一要务就是部署访客网络。2007年，许多把NAC看作是一项战略性安全流程的安全管理人员利用访客网络的近期效益，证明了有必要开始上马NAC项目。”

　　如果公司有众多不同的全职员工、承包商和访客需要经常使用自己的网络，NAC就有助于保证他们用来连接网络的设备符合配置政策。对于未满足要求的机器，NAC可以进行修复或者隔离，或者允许它们访问资源有效的网段，这样它们造成的破坏也很有限。

　　类似的是，需要按照部门或者工作职能对网络进行分段的公司可以使用NAC当中的授权控制功能，即可实现粒度相当细的分隔机制。

　　弗雷斯特研究公司的分析师Rob Whitely说：“如果公司面临多项法规遵从要求（《萨班斯－奥克斯利法案》、PCI和HIPAA）、有着不同的员工队伍（员工、承包商、远程工人、合作伙伴和供应商），而且在全球开展业务（需要按地区、业务部门及其他方面对网络环境进行分隔），我们会看到NAC将掀起一场完美风暴。”

　　Whitely表示，NAC最终会成为分层安全架构当中的一部分；这种架构不太依靠边界防火墙作为主要堡垒；而是主要依靠力求缓解威胁的多层安全。他说：“这只是消除边界（de-perimeterization）这个更大趋势中的一方面。NAC不是必要的，但是会成为这种新型安全架构的一个关键部分。”

　　大多数网络没有NAC也能应付过去。这项技术减小了这种风险：受到危及的机器获得网络访问权；一旦这些机器以某种方式设法获得了许可权，就会带来破坏。但是它不能完全保证安全。NAC是应对传统的第三层防火墙无法处理的威胁而出现的；现在有些威胁是NAC无法处理的，不过它能做出重要贡献。

　　Whiteley说：“问问自己：你的防火墙够了吗？如果答案是肯定的，NAC极有可能没有必要。它提供了额外的主机完整性检查功能；但是除了粒度更细的验证和授权机制，它提供不了太多的作用――NAC的这些机制其实完全是为了弥补如今防火墙的不足。”

　　六、IT人员克服补丁管理问题了吗？

　　补丁和漏洞管理工具能够胜任这项任务：发现及保护基本上静态、受控制的环境中易受攻击的机器。在IT管理人员看来，技术方面被认为是头等大事，他们极有可能花好多年的时间来完善漏洞扫描、补丁测试以及软件分布等工作。

　　据企业管理联合会的调查显示，接受调查的250名IT管理人员中超过四分之三（76%）其公司内部使用了某种补丁管理产品；并且表示，打补丁是一个重要或者很重要的过程。Van Dyke 软件公司对300名网络管理员开展了第五次年度企业安全调查，结果表明，30%的人仍在为打补丁而操心，这个比例已经在逐年减少。一些业界观察人士猜测，如今比较少的人为打补丁而操心，这表明补丁管理产品以及IT管理人员采用的方法日趋成熟。

　　Exactech公司的网络管理员Craig Bush说：“我们其实没有经常变化、需要打补丁的东西，除了远程访问用户以外，我们为他们的系统打补丁向来很困难。目前，我们只好等客户机连接到我们的VPN来更新补丁，这并不总是定期的。”

　　Bush表示，他的打补丁方法很成熟，但如果开发商能够留出足够的时间，让用户可以把补丁部署到分布式机器上之前先进行合理测试，也许有助于简化这个过程。

　　他说：“开发商应当确保自己在向外发布补丁之前先进行全面测试。与微软等闭源软件公司相比，这对采用开源技术的公司而言要容易得多，前者在补丁和修复程序方面从开发到发布的周期往往比较长。”

　　不过业界观察人士表示，如今及将来打补丁方面的问题更多地与用户环境有关，而不是与开发商的更新有关。他们提醒，尽管补丁管理技术比较成熟，但随着网络环境不断发展，加入了更多的虚拟化和复杂的应用基础架构，打补丁需要与时俱进。而反过来，像Altiris（现隶属赛门铁克公司）、BigFix、冠群、St. Bernard、PatchLink和Shavlik这些开发商需要把支持虚拟化及其他技术的功能添加到各自的工具中，以便有效地为客户环境打上补丁。

　　企业管理联合会的调研主任Andi Mann说：“打补丁是一项比较成熟的技术，但并不是说它已在掌控之中。现阶段，在虚拟化环境这样的领域打补丁仍然很不成熟；服务器和桌面虚拟化把原有的打补丁规则抛到了窗户。”

　　据Mann声称，虚拟化不仅带来了复杂性，还带来了需要在同一段时间内打上补丁的数量激增的机器。这可能会导致IT管理人员加快补丁测试过程，这最终可能会导致生产环境机器出现配置上的冲突。Mann说：“测试是打补丁的一个关键环节；由于零日攻击这些威胁迫在眉睫，加上虚拟机数量激增，确保所有更新程序都可以协同运行、保护网络环境就更加困难了。”

　　市场调研公司Ptak, Noel & Associates的首席分析师Jasmine Noel表示，另外要给相关的依赖系统打上补丁；打补丁可能会成为摆在IT管理人员面前的一个新挑战。她表示，随着网络环境变得更加复杂、分发补丁的开发商日益增多，测试层面以及补丁分发会打破许多IT管理人员以前打补丁的方法。

　　她说：“仍需要努力的就是，如果好几家开发商同时发布了补丁，就要确定谁先打上、谁后打上；因为基础架构涉及各个层面：硬件、物理设备上的操作系统、虚拟化软件以及虚拟机（操作系统和应用堆栈）。所以，怎样先后安装同一天发布的惠普、微软和Oracle的补丁才是正确的顺序呢？”