企業網絡的安全內患

在信息高速傳遞的現代工業社會，企業無可避免要利用公司網絡來連結員工、伙伴、客戶和供貨商以傳遞高度敏感的資料和數據，萬一網絡被惡意程序入侵，則可能令企業停止運作，或者令機密數據被黑客竊取，造成重大損失。

一直以來，企業面對的攻擊主要來自網絡外部，因此企業都十分著重搭建防御外在威脅的安全架構，例如部署防火墻和入侵偵測系統；但現今的間諜軟件等惡意程序能夠先通過互聯網感染企業用戶的流動設備，然后當這些用戶登入企業網絡時，便在企業內部網絡進行檔案破壞或密碼破解等動作，再將企業內部信息傳送到外界。這種攻擊模式已經十分流行，因此，完善企業網絡安全的關鍵，除了對外聯信息要進行管制之外，還要加強對內聯信息傳遞的監管，應該從每一個使用者連接到網絡的那一刻開始，進行徹底的統一接入控制 (Unified Access Control)，對于登入企業網絡及使用網絡者進行最全面的安全監控。

部署統一接入控制的考慮因素

統一接入控制可以分成三個層面，除了監控使用者能否連接網絡之外，接下來要監控使用者在網絡上的行為，讓其符合公司的安全規范，最后一個部份則是分層管理，也就是針對使用者不同的身份及角色，實施不同的網絡監控政策，使不同部門有不同的權限要求與保障。

UAC功完善，但因為涉及重要的安全問題，加上配置和管理工作的重要性也不容忽視，因此企業需要周全計劃，以及慎重地選擇適當的UAC方案。部署統一接入控制應當考慮的方面應該包括：

1. 周全性
完善的UAC方案應可根據不同的準則來訂出存取操控決策，包括設備的完整性、用戶身份及設備的地點。不同的用戶可能會于不同地點以不同的設備登入網絡，所以UAC方案要能夠對應各種可能會出現的網絡存取情況，以及隨時監控已登入的端點設備及用戶，并更新其存取權限，并向管理人員提供其相關信息。

2. 對應日后擴展需要
理想的UAC方案應該要有靈活和擴展能力，以應對日后的發展需要，例如企業可能會擴展其網絡基建以接納更大量用戶和端點設備，用戶亦可能會在日后采用全新的硬件設備、網絡接入方式和應用程序。好的UAC方案應該可以提供各種不同的配置選項，以對應硬件、網絡技術、應用軟件甚至存取操控政策方面的改變。

3. 開放式標準
UAC方案應該盡量采用符合業界標準的開放式規格，例如 TCG建議的 Trusted Network Connect標準，才能夠確保與客戶端安全軟件、防火墻、IDS/IPS、身份認證基及政策儲存目錄等現有的安全方案互相配合，同時確保可以對應日后推出的方案，以及簡化安裝、維護、更新和管理等各方面的程序和降低成本。

4. 簡化管理和報告功能
除了最重要的安全功能外，UAC方案最好還應當具有易于管理和方便用戶產生詳盡報告等優點，這樣有助企業減低成本、遵守法規需求，和讓管理人員充分了解網絡管理人員和安全狀況。

5. 配置及管理成本
為降低成本，考慮UAC的時候，企業還需要計算其配置選項的靈活性、操作方便程度及管理存取控制政策時所動用的資源。與之有關的準則包括：其架構是否采用開放式標準以方便管理和整體管理，以及配置成本能否分階段建立等。

在綜合考慮了以上各方面因素之后，企業才可以部署合理的統一接入控制方案，從而實現對于來自企業內部網絡的安全問題的防范與管理，并且對于內部信息存取動作與權限進行有效監管。