您的位置: 网界网 > 周报全文 > 正文

[周报全文]在使用NAC之前

2007年06月25日 16:18:58 | 作者:佚名 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:当美国巴尔的摩Mercy医疗中心建立起NAC(网络访问控制)基础设施,计划管理那些需要合法访问其网络的大量临时工作人员时,却遇到了比技术挑战要困难得多的业务挑战。

标签
NAC
  

【CNW.com.cn 专稿】当美国巴尔的摩Mercy医疗中心建立起NAC(网络访问控制)基础设施,计划管理那些需要合法访问其网络的大量临时工作人员时,却遇到了比技术挑战要困难得多的业务挑战。

寻找NAC

医疗中心的IT主管Mark Rein表示,那些需要访问网络的人员包括当地居民、实习生、来自其他医院拥有在Mercy行医执照的护士和医生等。他们使用各种设备(从笔记本、PDA到手机)登录到医疗中心的网络当中。他说:“在任何时刻,都有人接入到我们的网络上,而我却不知道他们是谁,以及谁在维护他们的设备。”

Rein9个月前刚开始在这家医院工作时,就开始寻找NAC设备,以便能够检查登录到网络上的机器是否符合安全标准,并授权它们只能访问需要的资源。据介绍,医疗中心专门指派了一个人用3个月的时间测试几家公司的NAC产品。最后选择了ConSentryLANShield设备,用它来扫描机器是否符合安全标准,并将机器限制在它们授权可以访问的资源上。

Rein说, ConSentry吸引他的地方正是与其他解决方案的不同之处—它不需要在所有需要扫描的合法机器上安装客户程序,不用建立昂贵的VLAN将用户与资源隔离开,而是通过访问Active Directory中的策略集合,直接隔离传输流。这样就省掉了很多思科和其他厂商试图复杂化的东西。

重要的是了解业务

但是,在真正开始使用NAC产品之前,Rein还必须首先决定哪些工作人员具有访问哪些资源的合法需要,然后才能让LANShield设备发挥作用。一些工作人员必须访问保存着各类病人信息(包括详细的保险信息)的信息系统,而另一些人可能只需要访问病历信息就可以了。

Rein说:“首先你必须了解你的用户需求,他们需要访问什么,不需要访问什么,并相应地隔离他们的传输流。此外,你必须确定打算保护的是什么(+本站微信networkworldweixin),并根据需要建立不同的网段。这些都将转换为ConSentry设备执行的策略。策略规定你需要知道什么,你不需要看到什么。”

对于医疗中心来说,限制对220多台服务器和大约800种应用的访问也是个漫长的过程。Rein说:“我们目前在这一过程上花了9个月时间。因为我们必须走出去,花很多时间到我们的最终用户那里,去了解他们需要访问什么。这个过程最复杂的部分是了解最终用户的业务需要。目前,我们仍在解决这个问题。到现在为止,这个产品可能刚发挥了20%的潜力。”

此外,Rein还表示,企业在计划采购NAC时,最重要的事情是全面测试这些设备。他说:“一般厂商都会做出很多可以解决你的问题的承诺。在购买它们前一定要进行测试,因为厂商做出的承诺往往只有很少一部分可以实现。NAC的确是个很好的概念,但前期需要进行很多分析。”(美国《Network World》供本报专稿)

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]